88서울올림픽의 여운이 채 가시지 않던 1989년 한 시민단체가 개인정보 보호에 관한 법 제정을 주장한 이래 개인정보보호법은 30여 년 동안 시대 흐름과 호흡을 함께하면서 발전했다. 1983년에 수립된 '국가기간전산망기본계획'에 따라 행정·금융 등 전산망 구축사업이 진행되면서 공공부문에서 가장 먼저 '공공기관의 개인정보 보호에 관한 법률'이 제정됐다. 전산화가 빠르게 진행된 통신·금융 분야에서도 개별법이 제·개정됐다.
이후 2000년대 초반 인터넷 보급률이 90% 이상이 될 정도로 초고속 인터넷이 확산되고 스마트폰 이용자가 많아지면서 모든 영역에서 개인정보 수집과 이용이 보편화됐다. 통합법안이 국회에서 논의되기 시작한 지 7년 만인 2011년에 공공과 민간 분야를 아우르는 '개인정보보호법'이 제정됐다.
개인정보보호법은 데이터가 모든 산업의 성장을 견인하는 '데이터 경제' 시대가 도래하면서 재차 큰 변화를 맞았다. 2020년 1월 '데이터 3법'이 국회를 통과하면서 여러 법에 흩어져 있던 개인정보 보호 규정을 개인정보보호법으로 통합하고, 개인정보 관리·감독 기능을 개인정보보호위원회로 일원화했다. 가명정보 제도 도입 등 데이터를 안전하게 활용하는 기반도 마련했다.
지금까지 개인정보보호법은 대부분 의원입법으로 제·개정됐고, 국회에서 통과되기까지 상당한 기간이 소요됐다. 개인정보 '보호'와 '활용'이라는 두 가치를 조화하는 데 사회적 합의를 도출하기까지 오랜 시간이 걸렸기 때문일 것이다. 개인정보보호위원회는 지난 8월 출범 이후 1년여 동안 관계부처, 산업계, 시민단체 등과 폭넓은 논의·의견수렴을 거친 끝에 사실상 전면 개정안을 마련해 국회에 제출했다.
이번 개정안은 디지털전환 시대에 국민 개인정보를 더욱 두껍게 보호하는 한편 신뢰할 수 있는 데이터 경제 선도에 초점을 맞췄다.
먼저 국민 권리를 실질적으로 강화한다. 대표적인 것이 자신의 개인정보를 본인 또는 제3자에게 전송할 것을 요구할 수 있는 '개인정보 전송요구권' 도입이다. 전송요구권이 도입되면 개인이 능동적으로 개인정보를 활용·통제할 수 있다. 일부 기업에 데이터가 집중되는 현상도 완화될 것이다. 또한 최근 자동 대출 심사, 과세 대상자 선정 등 많은 분야에서 활용되고 있는 인공지능(AI) 기반의 '자동화된 결정'에 대해 설명을 요구하거나 거부할 수 있는 권리도 신설한다.
두 번째 국민과 기업이 법·제도를 쉽게 이해하도록 합리화한다. 지난해 실시한 개인정보 실태조사에 따르면 동의서 내용을 확인하지 않고 개인정보 처리에 동의하는 비율이 64% 수준인 것으로 나타났다. 온라인 서비스는 '동의'만을 적법 요건으로 규정하고 있어 하루에도 수차례 동의 요구를 받다 보니 꼭 읽고서 동의 여부를 판단해야 하는 내용은 제대로 확인조차 하지 않는 '동의 피로' 현상이 발생한다. 개정안은 개인정보 처리방침 평가제도를 도입하는 등 동의제도 합리적 개선을 추진한다. 또한 데이터 3법 개정 과정에서 물리적 통합에 그치던 정보통신망법상 특례 규정을 '동일행위-동일규제' 원칙에 부합하도록 정비해 화학적 통합을 꾀하고 수범자의 혼란도 최소화한다.
세 번째 글로벌 시대에 부합하게 제도를 정비한다. 우리나라와 동등한 수준으로 개인정보를 보호하는 국가나 기업에 국외 이전이 가능하도록 했다. 보호 수준이 취약한 경우 국외 이전을 중지할 수 있게 했다. 개인정보 업무 담당자에게 과도한 부담을 안긴 형벌 규정도 기업 차원에서 책임을 부담하도록 경제적 제재 중심으로 전환한다.
디지털 시대로의 전환이 가속되고, 정치·경제·사회·문화 등 모든 영역이 신기술과 융합되면서 빠르게 변화하고 있다. 정부는 국민이 안심하고 기업이 신뢰하는 데이터 거버넌스를 만드는 역할을 해야 한다. 대전환 시대에 발맞춰 또 한 번 변신을 도모하는 개인정보보호법의 조속한 국회 통과를 기대한다.
최영진 개인정보보호위원회 부위원장 choileo1967@korea.kr
