[ET시론]새로운 시대의 개인정보보호법 기대와 과제

최경진 가천대 법학과 교수
최경진 가천대 법학과 교수

세계는 지금 '챗GPT' 중심으로 '생성형 인공지능(AI)' 열풍에 휩싸였다. 이미 거리에는 상당한 수준의 자율주행 기능이 장착된 차량이 운행되고 있고, 곧 완전자율주행이 가능한 차량이 출시될 것으로 예상된다. 범죄자를 잡는 지능형 폐쇄회로(CC)TV나 서빙로봇을 비롯한 다양한 로봇도 우리 사회 곳곳에서 널리 활용될 것으로 보인다.

디지털 기술이 정교화·고도화돼 우리 삶 전반에 걸쳐 세밀하게 적용됨으로써 디지털전환을 넘어 사회·경제·문화 등 전 분야에 혁신적 영향을 미치는 디지털 심화(Digital Sophistication) 시대로 나아가고 있다. 디지털 심화 시대로 접어들면서 글로벌 경쟁력을 갖추기 위한 핵심 동력은 결국 데이터의 양과 질에 좌우된다고 해도 과언이 아니다.

예를 들어 실제 다양한 서비스에 적용되기 시작한 챗GPT의 뛰어난 언어 생성 능력과 동시에 부정확한 오류 사례로부터 그 경쟁력이 얼마나 많은 양질의 데이터를 학습했는가에 달려 있다는 점이 속속 확인되고 있다. 세상에 존재하는 수많은 데이터, 특히 개인정보를 얼마나 잘 활용하게 할 것인가가 우리 숙제로 떠오른 것이다. 디지털 심화 시대에 맞춰 데이터 처리를 확대한다면 '빅브라더' 논쟁은 불가피하다. 결국 디지털 심화에 따른 양질의 데이터 처리는 확대하면서도 데이터, 특히 개인정보의 출발점인 정보 주체의 권리를 실질적으로 보장하는 것이 디지털 심화 시대의 개인정보 규율 방향이어야 한다.

◇ 개정 개인정보보호법 9월 15일 시행

이러한 시대적 요청에 응답해 전면 개정된 개인정보보호법이 지난달 국회를 통과, 오는 14일 공포 이후 9월 15일부터 시행될 예정이다.

돌이켜보면 국민 생활과 매우 밀접한 관련이 있는 개인정보보호법은 2011년 제정 이후 10여 년 동안 우리나라 개인정보보호 수준을 획기적으로 끌어올리는 데 결정적 역할을 했다. 2020년 '데이터 3법' 개정으로 개인정보보호위원회가 독립적인 중앙행정기관으로 출범하고, 개인정보의 안전한 활용을 확대하기 위한 기반이 마련됐다.

개인정보보호법 전부개정 주요 내용
개인정보보호법 전부개정 주요 내용

그러나 우리 사회·경제 발전을 이끌 혁신을 위한 데이터 활용 기반은 충분하지 못하다는 지적이 계속됐다. 완전자율주행을 개발하기 위한 주행 과정에서 영상 데이터나 각종 센싱 데이터 수집·활용, 챗GPT 등 AI 개발을 위한 수많은 데이터의 처리 등 좀 더 유연한 데이터 활용이 합리적으로 허용되어야 한다는 것이다.

이와 함께 디지털 심화 시대에 맞는 정보 주체의 권리가 법으로 보장돼야 한다는 국민적 요구도 컸다. 개인정보보호법 전면 개정은 그동안 누적돼 온 법률 개정 수요와 본격화하고 있는 디지털 심화 시대에 적합한 개인정보 규율체계를 세우기 위한 시의적절한 입법으로 평가할 수 있다.

개정법 중심이던 정부(안)의 성안 과정에서 개인정보보호위원회는 민간 전문가가 중심이 된 '개인정보보호법 개정 연구위원회'를 발족해서 초안을 마련했다. 이후 학계, 법조계, 산업계, 시민단체 등과의 2년여 협의 과정을 거쳐 다양한 의견을 반영했다.

국회에서도 20개 의원(안)이 통합돼 현재 개정법이 마련, 국회·정부·민간의 공동 노력으로 전면 개정이 가능하게 됐다는 점에서 큰 의의가 있다. 향후 법률 개정 취지를 정확하게 이해해서 법을 해석·집행하고 법의 실효성을 높이기 위해서는 그 밑바탕이 된, 다각적 숙의 과정에서 정립된 법 개정의 방향성을 알아볼 필요가 있다.

첫 출발점인 '개정 연구위원회'에서의 문제의식은 '데이터 3법' 개정으로 데이터 경제 활성화를 위한 제도적 기반은 마련됐지만 AI·빅데이터 등 새로운 정보 환경에서 정보주체의 권리 강화, 온·오프라인의 이중 규제 해소 등 과제는 차기 입법 과제로 유보됐다는 점에서 출발했다. 신기술 환경에서 정보 주체의 적극적 권리를 보장하고 데이터 경제로의 이행을 저해하는 불합리한 규제 해소 등 개인정보 보호와 활용의 균형을 통한 신뢰 기반 디지털 사회 구현이 필요하다는 관점이 기반으로 작용했다.

이에 따라 개인정보의 안전한 활용 기반을 만드는 것이 데이터를 필수 요소로 하는 미래 사회의 바람직한 개인정보 규율체계라는 인식 아래 불필요한 형식적 규제나 제재는 최대한 제거하고 사회 구성원 모두가 수용할 수 있는 합리적 처리 체계 구축의 필요성이 제기됐다. 글로벌 데이터 기반 사회·경제에 맞게 정보 주체의 권리가 실질적으로 보장받을 수 있는 법제도적 기반을 다지는 방향으로 정부안이 마련됐다.

개인정보보호법 전부개정 주요 내용
개인정보보호법 전부개정 주요 내용

국회 논의 과정에서 자율규제 활성화, 가명 처리 근거의 명확화와 관련한 규정은 삭제되고 AI에 대응한 자동화 결정 관련 정보주체 권리의 내용은 다소 변경됐다. 그럼에도 최초의 개정 방향은 대부분 그대로 반영돼 입법이 완료됐다.

◇ 규제 일관성 증진...글로벌 스탠더드 조화

주요 개정 사항을 살펴보면 개인정보 처리 관련 법령·조례 적용과 타법 제·개정 시 개인정보 보호 원칙에 맞도록 해서 개인정보 규제의 일관성을 증진하고 온·오프라인 규제를 통합·일원화하면서 합법 처리 근거 가운데 계약 근거를 합리화했다. 적용 일부 제외로부터 삭제된 '공중위생 등 공공의 안전과 안녕을 위해 긴급히 필요한 경우'와 같이 팬데믹 상황의 개인정보 처리 근거를 신설했다.

개인정보 처리방침 평가 및 개선권고 제도 도입을 통해 규제를 합리화했고, 지능정보사회에 대응한 정보주체의 권리로서 전송요구권과 완전히 자동화된 개인정보처리에 따른 결정에 대한 거부나 설명요구 등의 권리를 새로 보장했다. 특히 제3자에 대한 전송요구권과 개인정보관리전문기관의 도입으로 전 분야 '마이데이터 시대'를 여는 기틀을 마련했다. 종래의 고정형 CCTV 중심으로 규율되던 영상정보처리기기를 이동형으로 확대하면서도 합리적 처리 근거를 신설, 모바일 기기나 자율주행차 등에서 처리되는 개인영상정보에 대한 규율이 가능해졌다.

국가 간 안전한 데이터 이동을 규율하기 위해 글로벌 스탠더드와 조화되는 법적 근거를 마련했다. 법 실효성을 보장하기 위한 제재 규정을 합리화하고 실질적 법 준수를 더 담보하기 위해 단순 규정 위반에 대한 형사벌은 폐지·축소했다. 제한적이던 과징금 규정을 다양한 법 위반으로 대폭 확대하면서 전체 매출액의 3% 이하로 규정, 경제적 제재 중심으로 전환했다. 다만 과징금 위반 행위에 상응하는 비례성과 침해 예방에 대한 효과성을 확보하기 위해 위반 행위 내용·정도·기간·횟수, 이익의 규모, 개인정보처리자가 처리하는 개인정보 유형과 정보주체에 미치는 영향, 위반행위로 인한 정보주체의 피해 규모 등 11가지 고려사항을 규정했다.

국회 논의 과정에서 과징금 산정 시 위반행위와 관련 없는 매출액은 제외하도록 수정됐다. 이 밖에도 개인정보 분쟁조정이 강제되는 범위가 종래 공공기관에서 전체 개인정보처리자로 확대됐다. 자료 요청과 사실조사 강화, 조정안에 대한 수락 여부를 알리지 않으면 수락으로 보는 등 분쟁조정 기능도 강화됐다.

◇ 하위법령 제·개정 필요...개인정보보호위 역량 강화해야

새로운 개인정보보호법 시대가 열렸다고 할 수 있는 정도로 법 개정 취지를 최대한 살리기 위해서는 디테일이 중요하다. 개정 취지에 맞춰 합리적이고 조화로운 개인정보 처리 환경을 조성하고 정보 주체 권리를 실질적으로 보장하는 방향으로 하위법령을 제·개정해야 한다. 나아가 사실상 전면 개정의 의미가 있는 만큼 개정되지 않은 나머지 규정과 해석상 일관성을 유지하면서도 개정 취지가 다른 규정의 해석에도 조화롭게 반영될 수 있도록 해설서, 가이드라인 등을 최신화하는 작업이 필요하다. 개정 개인정보보호법이 연착륙하기 위한 차원이다.

법의 실효성을 증진하기 위해 개인정보보호위원회 역량도 강화해야 한다. 그 과정에서 민간 전문가 참여를 비롯해 다양한 이해관계자나 국민의 의견을 수렴, 절차적 정당성 확보도 중요하다.

개인정보보호법 향후 과제
개인정보보호법 향후 과제

개인정보보호법 전면 개정으로 다양한 입법 수요가 반영됐지만 미래 사회에 적합한 다양한 개인정보 이슈를 해결하기 위한 추가적인 개정 수요는 여전히 남아 있다. 디지털 심화가 가속화될수록 법의 변화도 불가피하다. 무엇보다 수집·이용이나 제3자 제공 등으로 구분된 합법 처리 근거를 일원화하고, 다양한 형태의 개인정보 처리자를 아우를 수 있도록 공동개인정보처리자 도입과 위·수탁 규정 종합 정비를 통해 논리적 완결성을 갖추는 한편 사각지대를 제거하는 방향으로의 개정이 필요하다.

여러 법률과 부처로 분산된 규제체계를 정비해서 개인정보 규제 일관성 메커니즘을 구축하고 AI 연구개발(R&D) 등 혁신을 뒷받침하기 위한 데이터 규제 샌드박스 도입, 디지털 유산과 사망자의 개인정보 규제체계 정비, 잊힐 권리의 실질적 보장과 합리적 준수체계 도입, AI 시대에 대응한 자동화 결정과 프로파일링 관련 개인정보 규제 세밀화, 정보주체의 권리·데이터 주권 보장과 디지털 무역 활성화 및 글로벌 스탠더드를 선도하는 방향으로 개인정보 국외 이전 체계를 정립해야 한다.

또 국제규범 제정을 선도하는 등 다양한 이슈를 전문가·정보주체·개인정보처리자로부터 발굴·확인, 개인정보보호법이 시대 변화에 맞게 합리적으로 발전할 수 있도록 적극적인 노력을 계속해야 한다.

최경진 가천대 법학과 교수 kjchoi@gachon.ac.kr
〈필자〉 최경진 교수는 데이터·정보통신기술(ICT) 법 연구자로서 관련 법·정책 전문가다. 개인정보보호법 개정 과정에서 개인정보보호위원회의 개인정보보호법 개정 연구위원회 위원장직을 맡아 법안 성안을 이끌었다. 현재 한국인공지능법학회장, 개인정보보호법학회장, 한국정보법학회 수석부회장, 유엔 국제상거래법위원회 정부대표로 활동하고 있다. 데이터와 ICT에 대한 폭넓은 이해를 바탕으로 법제 개선과 정책 추진에 기여하고 있다.

[ET시론]새로운 시대의 개인정보보호법 기대와 과제