개정된 개인정보보호법… 어떤 내용이 담겼나?
[IT동아 정연호 기자] 우리 정부는 디지털 시대에 맞춰 국민 권익을 보호하기 위해서 개인정보보호법을 개정했다. 효력은 오늘부터 나타난다. 개정 개인정보보호법에는 ▲국민 권익을 보호하고 ▲낡은 규제를 개선하고 ▲국제 기준을 반영하는 내용이 담겼다. 주요 내용과 의미를 하나씩 짚어보자.
개인정보보호법 개정해서 국민권익 보호한다
우선, 국민 권익을 보호하기 위해 정부는 긴급상황에서 개인정보를 수집하고 처리할 때 지켜야 하는 법을 정비했다. 국민들이 생명의 위협을 받는 상황에서도 기업과 조직들이 구조기관에 개인정보를 제공하지 않고 있어서다. 지난 2021년 2월 30대 남성이 쏘카에서 렌터카를 빌린 뒤 미성년자를 납치했다. 쏘카는 남성의 핸드폰 번호를 경찰에 제공하는 것을 거부했는데, 개인정보라서 줄 수 없다는 이유를 댔다.
정부는 ▲감염병이 퍼졌거나 ▲아동이 사라졌거나 ▲자살시도자를 발견했을 때 구조기관에 구조에 필요한 개인정보를 제공하는 것을 허용한다. 정보 주체 동의를 받지 않아도 된다. 대신 개인정보 처리자는 재난에 대응할 때 필요한 정도로만 개인정보를 수집하고, 다른 용도로 쓰거나 분실·유출·위조해서는 안 된다.
개인정보보호위원회에 따르면, 납치된 아동이 핸드폰을 사용하지 않아서 위치를 확인하지 못한다면 납치 용의자의 위치 정보를 요구하는 것이 가능하다. 다만, 관할 지방법원이 허락해야만 전기통신사업자에 요청할 수 있다. 더 많은 허용 사례들은 개인정보보호위원회에서 공개한 ‘긴급상황 시 개인정보 처리 및 보호수칙’에서 확인할 수 있다.
정부는 개인정보 처리자에 민감정보에 대한 의무를 부여하기도 했다. 지난 2021년 1월 카카오맵에서는 이용자의 상세주소·자녀사진과 군사기밀이 공개된 바 있다. 이용자들은 카카오맵에 있는 즐겨찾기 폴더가 공개 상태라는 것을 모른 채 민감정보를 입력했다. 정보 주체들이 민감정보를 실수로 노출하지 않도록 개인정보 처리자들은 ‘민감정보가 공개되는지’를 알리고, 비공개 전환을 하는 법을 설명해야 한다.
정부는 개인정보를 사적으로 이용하는 것도 금지했다. 개인정보를 사적으로 이용하면 5년 이하의 징역이나 5천만 원 이하의 벌금에 처한다. 업무를 처리하면서 알게 된 개인정보를 동의 없이 이용하는 일을 막으려고 하는 것이다. 실제로 지난 2019년에는 경찰관 A씨가 여성 민원인에게 “마음에 든다”고 연락해 논란을 빚었다.
개인정보를 수집하고 처리할 때 지켜야 하는 조건을 개선하기도 했다. 원칙은 자유로운 의사에 따라 동의 여부를 선택하도록 하는 것이다. 정보 주체에게 개인정보 처리 약관에 동의해야 한다고 강요하거나, 동의를 거부했다고 해서 불이익을 줘서는 안 된다. 개인정보보호위원회 관계자는 “자세한 수칙은 가이드라인을 통해서 안내해야 할 것으로 보인다.”라고 설명했다.
서비스를 제공하는 데 필수인 개인정보는 동의 없이 수집하는 것을 허락했다. 대신 서비스를 제공하는 데 필수라는 점을 개인정보 처리자가 직접 입증해야 한다. 하지만, ‘서비스 제공에 필요한 경우’는 모호한 기준이라서 명확한 가이드라인이 필요한 상황이다.
정보 주체가 공공기관뿐 아니라 민관기관에도 분쟁조정을 신청할 수 있도록 제도를 마련하기도 했다. 분쟁조정위원회는 사건 장소에서 자료를 조사하는 사실조사 권한을 받았고, 관계 기관에 자료나 의견을 제출해달라고 요청할 수 있게 됐다.
분쟁조정위원회가 제시한 조정안에 대해서 15일 이내에 수락 여부를 알리지 않으면 기존에는 '거부'로 받아들였지만 이제 '수락'으로 간주하기로 했다. 조정안은 수락되면 민사소송 확정판결과 같은 효력을 갖는다. 분쟁조정제도가 강화된 만큼 이를 통해 권리를 구제받으려는 사례가 늘어날 것으로 예상한다.
규제, 현장 목소리 반영해서 개선한다
정부는 규제를 개선하기 위해서 영상정보처리기준을 마련하고, 온-오프라인에 동일한 기준을 적용하기로 했다. 기존 개인정보보호법에는 고정형 영상정보처리기기(CCTV)와 관련된 규율만 있었다. 자율주행차·드론·배달로봇에 부착하는 이동형 영상정보처리기기를 다루는 규정이 없었다.
정부가 마련한 것은 이동형 영상정보처리기기를 사용할 때 참고할 기준이다. 자율주행차·드론·배달로봇이 목적지까지 주행할 때 안전을 확보하기 위해서 주변을 촬영할 수 있도록 했다. 덕분에 이 산업들의 법적 불확실성을 어느 정도 해소했다.
이동형 영상정보처리기기를 활용해서 촬영하려면 먼저 정보 주체에게 소리·안내판으로 촬영사실을 안내해야 한다. 거부의사를 내비치지 않으면 촬영해도 된다. 정보 주체가 안내를 인지하기 어려운 상황이라면 개인정보보호위원회가 만든 홈페이지에서 관련 내용을 알려야 한다. 목욕탕이나 화장실처럼 사생활을 침해할 우려가 있으면 내부를 촬영할 수 없다. 예외적으로 범죄·재난·화재 상황에서 영상이 필요할 때는 촬영할 수 있도록 했다. 다만, 촬영 사실을 어떻게 알려야 하는지 모호하기 때문에 정부가 서둘러 가이드라인을 마련해야 한다.
온라인과 오프라인의 사업자가 따라야 할 의무가 다른 점도 개선했다. 지금까지 온라인 사업자만 만 14세 미만 아동의 개인정보를 수집할 때 법적대리인 동의를 받았다. 이제 오프라인 사업자도 동의를 받아야 한다.
개인정보가 유출됐을 때는 개인정보 처리자가 신고하도록 의무를 부여했다. 개인정보 유출 사건을 인지했을 때 ▲1천 명 이상의 개인정보가 유출됐을 때 ▲민감정보나 고유식별 정보가 유출됐거나 ▲해킹처럼 외부 불법 접근에 의한 유출일 때 정보당국에 72시간 이내에 신고해야 한다.
벌칙 규정을 정비하기도 했다. 기존에는 위반 행위에 과태료를 부과했지만, 이제는 위반 행위의 정도·동기·결과 등을 고려해 면제할 수 있다. 경미한 위반행위를 했을 때는 부담이 완화될 것으로 예상한다. 소상공인이 법을 잘 알지 못해서 위반행위를 했을 때는 과태료를 부과하지 않고 시정조치를 명령한다. 시정조치를 이행하지 않으면 과태료를 부과한다.
과징금 상한선을 올리기도 했다. 기존 법에서는 ‘위반행위와 관련한 매출액의 3%’가 과징금 규정이었으면, 이제는 ‘전체 매출액의 3%’가 과징금 규정이다. 위반행위의 심각성에 비례해 과징금을 부과하기 위해서 전체 매출액에서 위반행위와 관련 없는 매출액은 계산에서 제외한다. 이제 사업자들은 위반행위와 관련 없는 매출액을 직접 입증해야 한다.
엔터 사업을 하는 기업이 공연·음반판매·굿즈판매 등에서 매출을 올린다고 해보자. 개인정보 유출 문제가 굿즈 사업에서 발생했다면, 기존 법에서는 굿즈 판매와 관련된 매출액의 3%까지를 과징금으로 부과했다. 이제는 모든 매출액의 3%를 최대 과징금으로 부과할 수 있다. 과징금 규모를 줄이려면 사업자가 ‘공연과 음반판매는 개인정보 유출 사건과 관련 없다’는 점을 증명해야 한다.
국제 기준 반영해 보호 수준 높인다.
정부는 국외이전 제한 규정을 만들어서 국제 기준을 반영하기로 했다. 지난 2월 메타버스 플랫폼 본디를 운영하는 메타드림은 이용자 정보를 해외로 이전해 논란을 일으켰다. 기존 법에서는 이용 약관을 통해 국외이전과 관련된 동의를 받으면, 개인정보 처리자들은 세계 어느 국가로든 개인정보를 이전할 수 있었다.
정부는 우리나라와 동등한 수준으로 개인정보를 보호하는 국가와 기업에 인증을 부여한다고 방침을 세웠다. 안전 인증을 받은 국가에는 정보 주체 동의를 받지 않고도 개인정보를 이전할 수 있다. 국외 이전과 관련된 규정을 위반하거나 보호 수준이 취약해서 정보 주체에게 피해를 유발한다면 정부가 국외 이전을 막는 명령을 내릴 수 있다고 한다.
정부는 내년 3월 15일 2차 시행령을 발표하겠다는 계획을 공개했다. 자동화된 개인정보 처리를 거부하거나 설명을 요구할 권리, 전송요구권에 대한 내용을 담았다고 한다. 인공지능을 보험 가입이나 대출심사에 활용할 때 정보 주체가 거부하거나 설명을 요구할 수 있는 것이다. 전송요구권은 개인정보를 본인 혹은 제삼자에게 보내는 권리이다. A병원에 B병원으로 본인 의료정보를 공유해달라고 요청할 수 있는 것이다. 의료정보를 공유할 수 있다면 과거에 진행했던 CT나 MRI 같은 검사를 중복해서 받지 않아도 된다.
이처럼 개정 개인정보보호법에는 국민 권익을 보호하면서 규제를 개선하는 내용들이 담겨 있다. 국제 기준에 맞춰서 개인정보 처리자들이 개인정보를 엄격하게 지키도록 하는 규정들도 있다. 2차 시행령에도 개인 권리를 강화하는 내용이 들어간다고 하니 보호 수준이 더 높아질 것으로 예상한다.
글 / IT동아 정연호 (hoho@itdonga.com)