[디지털투데이 백연식 기자] 지난 9월 28일 개인정보보호법 2차 개정안이 최근 국무회의를 통과해 국회로 이송됐다. 규제개혁위원회, 법제처, 차관회의, 국무회의 등을 모두 통과한 정부입법 발의로 절차적 정당성을 갖췄다. 개인정보보호법 2차 개정안의 핵심은 과징금 기준을 ‘위반행위 관련 매출액’에서 ‘전체 매출액’(최대 3%) 기준으로 상향하는 것과 마이데이터 사업 법적 근거라고 볼 수 있는  개인정보전송요구권(이동권) 도입 등이다.

윤종인 개인정보보호위원회 위원장은 디지털투데이와 인터뷰에서 개인정보보호법 2차 개정안(이하, 개정안)이 국회를 통과해야 한다고 밝혔다. 현행법은 객관적인 관련 매출액의 산정이 어렵지만 개정안은 과징금의 상한을 정한 것에 불과하고, 글로벌 수준에 부합하는 기준 마련이 필요하기 때문에 전체 매출액 상향이 필요하다는 것이 윤 위원장의 입장이다. 또한 형벌 중심에서 경제적 재재로 전환을 통한 제재의 실효성 제고를 위해 개정안이 반드시 통과돼야 한다고 윤 위원장은 말했다. 지난 25일 오후 정부서울청사에 위치한 개인정보보호위원장실에서 윤 위원장을 만나 자세한 얘기를 들어봤다.  

-개인정보보호위원회가 출범한 지 1년이 조금 지났다. 행정안전부 차관이었다가 통합 개인정보위의 초대 위원장을 맡게 됐는데, 가장 인상 깊었던 순간을 꼽는다면 언제인가? 

"가장 인상깊었던 순간은 지난 9월 28일 개인정보 보호법 2차 개정안을 국회에 제출한 것이다. 이번 개정안은 개인정보 보호법 제정(2011년) 이후 최초로 정부 주도하에 산업계·시민단체·관계부처 등 다양한 의견을 반영하여 마련한 실질적인 전면 개정안이라는 점에서 그 의미가 크다. 개정안은 아날로그 경제에서 디지털 경제로의 전환에 맞춰 업그레이드하는데 초점을 맞춘 것으로, 디지털 시대에 국민의 개인정보는 더욱 두텁게 보호하고 산업계에 대한 규제를 완화하는 내용을 담고 있다. 

이밖에 확실한 보호, 안전한 활용, 국제협력 세 가지 분야별로 주요 성과가 있었다. 보호 측면에서 개인안심번호 도입(2021년 2월), 방역시스템 실태점검 등 코로나19 관련 보호조치를 강화했고, 페이스북, 이루다 개발사 등 보호법 위반 사업자에 대해 엄정한 조사·처분을 실시했다. 

활용 측면에서는 가명정보 제도 안착을 위한 활용기준 제시, 결합전문기관 지정, 5대 분야 7개 시범사례(암완치자의 합병증 예측‧관리, 고객유형별 소비패턴분석, 불법스팸유형 분석  등) 추진 등 가명정보 성과를 가시화했다. 국제협력 측면에서는 유럽연합(EU) 적정성 초기결정 달성(2021년 3월)과 제55차 APPA포럼 개최(2021년 6월) 등 국제적 공조 노력도 성과를 거뒀다."

-개인정보 보호법 2차 개정안이 최근 국무회의를 통과해 국회로 이송됐다. 과징금 기준을 ‘위반행위 관련 매출액’에서 ‘전체 매출액’(최대 3%) 상향한 것에 대한 산업계의 우려가 있다. 반드시 개정안이 통과돼야 하는 이유를 설명해달라.

"현행법은 객관적인 관련 매출액의 산정이 어렵지만 개정안은 과징금의 상한을 정한 것에 불과하다. 글로벌 수준에 부합하는 기준 마련이 필요하다는 점이 무엇보다 중요하다. 형벌 중심에서 경제적 재재로 전환을 통한 제재의 실효성 제고를 위해 개정안이 반드시 통과돼야 한다.

우선, ‘위반행위 관련 매출액’은 기업이 데이터를 위법하게 활용한 결과로 매출액이 얼마만큼 발생하였는지 객관적으로 산정하기 어려움이 있다. 게다가, 해외에 본사를 둔 글로벌 기업이 매출액 산정에 필요한 자료를 제출하지 않는 등 조사에 협조하지 않는 경우에는 매출액 산정이 더욱 어려워 위반 기업에 대한 제재가 지연되는 사례가 있다.

또한, 전체 매출액을 기준으로 하더라도 개인정보 보호법을 위반한 기업에 대해 일률적으로 전체 매출액의 3%를 부과하는 것은 아니며, 개정안은 과징금 부과의 상한을 정한 것에 불과하다. 기업이 위반행위로 얻은 이익이 없음을 입증하거나, 평소 개인정보보호를 위해 투자를 많이 하고 있는 기업에 대해서는 과징금을 감경하는 등 위반행위와 과징금 간의 균형을 갖출 수 있도록 합리적인 산정기준(시행령·고시)을 마련할 계획이다. 

시행령에서 위반행위별 내용과 정도, 이익의 취득 여부, 안전성 확보조치, 피해확산 방지 노력, 업무형태·규모 등을 종합적으로 고려하여 사안별 합리적 부과비율과 금액을 산정하도록 규정할 것이다. 

해외 사례를 보면, 과징금이 자본력이 강한 글로벌 기업에 대해서도 충분한 제재 및 억지 효과를 발휘하도록 EU·중국 등도 전체 매출액 기준으로 과징금의 상한을 정하고 있다. 유럽연합 개인정보보호법인 EU GDPR은 위반시 전체 매출의 4%, 중국은 개인정보법 위반시 전체 매출 5%를 상한선으로 과징금을 부과하고 있으며, 캐나다 등도 전체 매출을 대상으로 과징금 부과를 추진 중이다. 

지난 6월 UN도 인권이사회 특별보고를 통해 과징금 기준을 전세계 매출액의 4~5% 이하로 개선할 것을 권고했다. 무엇보다 개인정보 법규 위반시 기존의 형벌 중심에서 경제벌 중심으로 전환함으로써, 제재의 실효성을 높이고, 산업계의 적극적인 데이터 활용을 촉진하기 위해서다. 

산업계 현장의 목소리를 자주 들으려 노력하고 있는데 데이터기업, 특히 스타트업·영세기업에서 개인정보 법규 위반에 따른 형벌 우려로 사업이 위축되고 있는 실정이라고 말하고 있다. 경미한 법 위반에도 형벌을 부과하는 현행 규정이 부담이 커 이 부분만 해소해도 데이터 산업계 종사자들이 법적 기준 내에서 보다 적극적으로 사업을 전개할 수 있을 것으로 기대한다." 

-개인정보 보호법 2차 개정안은 데이터 시대에 국민의 개인정보에 대한 권리를 실질적으로 강화하기 위한 내용들도 도입하고 있다고 들었다. 도입 내용, 국민들이 누리게 되는 혜택 등 자세한 설명 부탁한다.

"개인정보 전송요구권, 자동화된 결정의 대응권, 동의제도 개선 등 디지털 시대 국민과 기업이 새로운 변화에 대응할 수 있도록 선제적으로 법 개정을 추진하고 있다. 법 개정안에는 디지털 대전환 시대에 맞춰 국민과 기업이 새로운 환경변화에 대응할 수 있도록 선제적으로 데이터 기반 제도를 마련하고 국민의 개인정보를 실질적으로 강화하는 내용을 담고 있다. 

첫째, 개인정보 전송요구권 도입은 국민들과 기업들 모두에게 디지털 시대 새로운 데이터 경제·생활 패러다임을 제시하는 것이다. 예를 들어, 국민들은 일상생활 활동에서 분야의 빅테크 플랫폼을 이용하며 수년간 모아진 자신의 활동정보(life log)를, 스타트업 기업의 혁신적인 서비스에 본인이 스스로 활용하기 위해 전송할 수 있다. 

또한 기업들은 데이터를 전송받기 위해 서비스 개발 시작단계부터 개인정보 보호 중심의 설계(Privacy by Design : PbD)를 갖춘 혁신적인 서비스들을 만들어 가는데 집중할 계획이다. 이렇게 국민과 기업 사이에 개인정보 전송에 대한 신뢰 관계가 형성되면, 국민은 자신의 개인정보에 대한 가치를 인정받고 기업을 통해 자신의 개인정보를 안심하고 활용하여 보다 나은 데이터 기반 혁신서비스를 제공받을 수 있다. 

둘째, 자동화된 결정에 대한 대응권 도입으로 AI 등 디지털 시대 빠르게 발전하고 있는 신기술에 대한 신뢰를 쌓아나갈수 있다. 최근 서류전형에서 AI를 활용하여 입사 지원자를 과도하게 자동으로 필터링하는 문제들이 나타나고 있으며, AI 면접을 선호하지 않는다는 비율도 작년 53.8%에서 올해 64.9%로 증가(11.1% 포인트 증가)했다는 조사결과도 있다. 

이번 개정으로 채용시험, 복지·수혜자격 결정 등 본인의 권리 또는 의무에 중대한 영향을 미치는 경우, 그 결정에 대해 거부하거나 설명 등을 요구할 수 있게 된다. 국민들은 자신의 정보를 활용한 자동화된 결정에 합리적으로 이의제기하거나 재결정을 요구할 수 있으며, 자동화된 결정을 서로 믿고 합의해 가는 과정을 통해 지속적인 AI 신기술 발전을 기대할 수 있다. 

셋째, 복잡하고 형식적인 동의제도의 개선으로 국민들이 안심하고 편리하게 디지털 서비스를 이용할 수 있는 환경을 만들 수 있다. 2020년 개인정보보호 실태조사에 따르면 국민들이 개인정보를 제공할 때 33.9%만 동의서를 확인하는 것으로 나타났다. 복잡한 고지사항, 절차 등으로 국민들의 동의는 형식화되고 있고, 기업들은 합리적인 개인정보 처리 및 활용이 제약된다. 이번 법 개정을 통해 개인정보 수집·이용 시 과도하게 사전동의에만 의존하는 방식을 합리적으로 정비하고, 개인정보 처리방침에 대한 평가제도 도입을 통해 개인정보 처리 현황을 명확하고 알기 쉽게 공개하도록 해, 국민들이 안심하고 편리하게 기업들의 서비스를 이용할 수 있도록 할 것이다."

-개인정보를 데이터로서 안전하게 활용하는 정책을 추진해 왔지만, 의료, 공공 등 데이터 개방이 늦은 분야가 있는 것도 사실이다. 이에 대해 어떻게 생각하는가. 

"데이터 3법으로 도입된 가명정보 활용과 전 분야 확산을 추진하는 마이데이터 사업을 통해 데이터 개방이 확대될 것으로 기대한다. 2020년 8월 개인정보 보호법 등 데이터 3법 개정으로 도입된 가명정보의 이용이 증가하고, 마이데이터 사업이 전 산업 분야에 확산되면 데이터의 안전한 개방이 더욱 활발해질 수 있다.

의료‧공공을 비롯한 다양한 분야에서 개인정보를 보호하며 안전하게 활용하는 것이 가명정보 활용 사업이며, 개인의 인지와 동의에 기반하여 적극적으로 데이터를 활용하는 것이 마이데이터 사업이다. 개인정보위는 가명정보 활용의 확대를 위해 17개 결합전문기관을 지정하고, 결합 시범사례(5대 분야 7개 과제)를 발굴‧추진 중이며, 아직은 초기 단계라 데이터 개방이 다소 늦은 것으로 보이나, 가명정보 결합을 위한 업계의 관심은 지속적으로 높아지고 있다. 가명정보 결합 현황은 지난 9월말 기준 일반‧금융분야 총 120건이 완료 및 진행된 상태다. 

또한, 국민이 본인 정보를 적극 관리·통제하고 신용, 자산, 건강 등 전 분야에 주도적으로 활용하기 위한 ‘마이데이터’ 사업도 추진 중이다. 향후 개인정보 보호법 내 개인정보 전송요구권 도입, 통합플랫폼 구축 등 국가 차원의 마이데이터 활용 기반이 마련되면 금융 분야뿐만 아니라 의료, 공공분야 등 데이터 개방이 늦은 분야까지 장벽 없이 개인정보의 전송과 활용이 가능해질 전망이다."

-지난 3월 말 EU로부터 ‘GDPR 적정성 초기 결정’을 받은 우리나라는 지난 9월 EDPB(EU정보보호이사회)에서 적정성 결정 의견 채택돼, EU집행위 최종 의결만 남은 것으로 알고 있다. 향후 일정 등을 설명해달라.

"현재 EU집행위와 함께 EDPB의견을 적정성 결정서에 반영 중이다. 수정 작업 완료 후, 최종 결정서에 대한 EU회원국 승인을 거쳐 EU집행위원 전원회의(국무회의)에서 의결될 예정이다. 올해는 EU 적정성 결정에 있어 중요한 진전이 있었던 한 해였다. 

지난 3월에는 초기 결정 즉, 한-EU 담당장관인 저와 디디에 레인더스 집행위원이 한-EU 간 적정성 논의가 성공적으로 마무리되었음을 공동으로 발표했다. 이와 관련해 지난 6월 영국에서 개최된 G7 정상회의 계기로 추진된 한-EU 정상회담에서도 초기결정 채택 성과를 높이 평가한 바 있다. 

또한, 지난 9월 24일에는 EU정보보호이사회(EDPB)가 한국 적정성 결정서 초안에 대한 공식 의견을 채택하였는데, EDPB의 의견채택은 EU 내부의사결정에 있어 핵심 절차로서 그 의미가 크다. EDPB의 의견채택은 사실상 통과됐다고 볼 수 있다. 

현재 EU집행위는 우리 측과 협의해 EDPB 의견을 적정성 결정서에 반영하는 작업을 하고 있으며, 수정 작업이 완료되면 최종 결정서는 EU 회원국 승인을 거쳐 EU집행위원 전원회의(국무회의)에서 의결될 예정이다. 통상 EDPB 의견채택 후 2-3개월 내에는 EU집행위원 전원회의에서 적정성 결정서에 대한 의결이 이루어지는 점을 감안할 때, 연내 최종 완료될 것으로 예측된다. 

EU집행위는 적정성 결정이 한국에 EU회원국에 준하는 지위를 부여하여 EU로부터 한국으로의 자유롭고 안전한 정보의 흐름을 가능하게 하고, 한-EU 자유무역협정(FTA)을 보완해 한-EU 간 디지털 협력을 강화할 것으로 평가하고 있다. 그동안 EU진출 한국 주요기업들은 주로 표준계약조항 등을 통해 EU 개인정보를 국내로 이전해 왔으며, 이를 위해 많은 시간과 비용을 투자해 왔음에도 불구하고 GDPR 관련 규정 위반에 따른 과징금(최대 전세계 매출 4%) 부과 등에 대한 부담을 안고 있었다. 또한 중소기업의 경우에는 표준계약절차 자체가 어려워 EU 진출을 포기하고 있는 것으로 파악되고 있다.

그러나 이번 적정성 결정으로 인해 국내 기업들의 경우 표준계약 등 기존의 까다로운 절차가 면제됨에 따라 국내 기업들의 EU 진출이 늘어나고, 이를 위해 기업이 들여야 했던 시간 및 비용이 절감될 것으로 본다."

-보호와 규제는 사실상 같은 의미인 것 같고, 다른 의미인 것도 같다. 개인정보 보호와 관련해서 개인정보보호위원회는 보호기관인가, 규제기관인가? 

"개인정보보호위원회는 보호기관과 규제기관으로서의 역할 모두를 수행하는 기관이다. 소극적 규제 집행기관으로서의 역할뿐만 아니라 ‘개인정보 자기결정권’의 실효적 보호기관으로서의 책임을 다하고자 한다. 

개인정보위는 보호기관과 규제기관으로서의 역할 모두를 수행하는 기관이며, 각국의 개인정보 전담 기관들도 마찬가지다. 모든 개인의 기본적 인권을 보호하는 국가인권위원회처럼 보호기관으로서 정보 주체의 권리 보호를 위해 노력하고 있고, 공정시장 경제를 유지하기 위한 공정거래위원회의 규제 집행기관역할처럼 개인정보 침해에 대한 엄정한 제재·처분도 수행하고 있다. 

지금까지 개인정보위가 개인정보보호법에 기반한 소극적 규제 집행기관으로서 주된 역할을 해왔다면, 앞으로는 헌법상 기본권인 ‘개인정보 자기결정권’의 실효적 보호기관으로서 책임을 다하고자 한다. 데이터 경제 시대에 개인정보의 안전한 보호가 전제되어야 산업적 활용이 가능하다는 것이 국제사회의 규범이며, 확실한 개인정보 보호와 안전한 활용의 균형점을 찾는 것이 개인정보위의 시대적 사명이라고 생각한다. 

개인정보위는 컨트롤타워로서 각 분야의 데이터 활용 과정을 개인정보 보호적 관점에서 조율하고, 개인정보를 안전하게 활용하는 제도적 틀을 마련하는 등 세계적 수준의 개인정보 보호·활용 시스템을 구축하기 위해 노력할 것이다."

-임기 내 목표로 하는 것(개인정보위의 미래 모습을 포함해 바꾸고 싶은 것, 가장 역점을 두는 정책방향 3가지)이 있다면 무엇인가.

"데이터 경제 시대에 맞는 세계적 수준의 개인정보 보호·활용 시스템을 구축하기 위해 최선을 다할 것이다. 이를 위해 개인정보의 실효적 보호, 데이터의 안전한 활용 환경 조성, 개인정보 보호 인프라 확충을 역점 추진할 계획이다. 저의 가장 큰 목표는 ‘데이터 경제 시대에 걸맞는 세계적 수준의 개인정보보호·활용 시스템 구축’이다. 

이를 위해 먼저, 형식적 수준의 동의를 넘어 정보주체의 실질적 권리 강화 방안을 마련해  ‘개인정보의 실효적 보호’를 위해 노력하겠다. 개인정보 전송요구권, 자동화된 의사결정에 의한 대응권 등 개인정보 자기결정의 강화, 아동·청소년·근로자 등 개인정보보호가 취약한 대상 및 영상 개인정보 등에 적합한 보호기준 제시 등 국민 생활 밀접 분야 개인정보보호 강화를 추진할 것이다. 

또한, 안전한 데이터 활용 환경 조성을 선도하겠다. 자율주행차, 스마트도시 등 신기술분야 보호기준의 조속한 마련으로 디지털 사회에서의 ‘프라이버시 리스크’ 최소화를 연말까지 추진할 생각이다. 시작단계인 마이데이터와 가명정보 활용서비스를 대폭 확대해 ‘전국민·전분야 마이데이터 시대’를 열고, ‘가명정보 활성화’를 본격 추진한다. 범정부 마이데이터 추진단 설립은 올해 하반기에 추진한다. 이를 위해 위원회 내 최근 마이데이터팀을 신설하기도 했다. 디지털기기 제조업자, 앱 개발자 등의 제품·서비스 개발시 개인정보보호 중심 설계(PbD) 적용 등 개인정보 보호 책임을 강화할 생각이다. 

마지막으로, 개인정보보호 인프라 확충에 역점을 두겠다. 동형암호, 블록체인 등 다양한 개인정보보호 강화 기술 연구개발 및 스타트업이 활용 가능한 저비용·고효율의 범용 개인정보보호 기술 개발에도 힘쓰겠다. 이러한 계획을 바탕으로 국민·기업 모두가 개인정보 분야의 성과를 체감할 수 있도록 개인정보 정책 컨트롤타워로서 확실히 자리 잡겠다는 것이 목표다."

◆ 윤종인 개인정보위 위원장은 누구? 

윤종인 개인정보위 위원장은 1964년생으로 상문고와 서울대 서양사학과를 졸업했다. 이후 동 대학원을 마치고, 미국 조지아대에서 행정학 박사를 받았다. 제31회 행정고시에 합격해 청와대 비서실 행정자치비서관과 충남 행정부지사, 행정안전부 차관 등을 역임했다. 행정혁신․조직․지방행정을 두루 경험한 전문가다. 문재인 정부의 핵심정책인 정부혁신, 자치분권을 성공적으로 추진해 왔다는 평가다.

특히 지난 2018년 개인정보보호위원회 상임위원 재직 시 국정과제인 신기술 장비 확산에 따른 개인정보 보호체계 개선과 국제협력 강화에 기여해 왔다. 이어 2020년까지 행정안전부 차관으로 일했다. 정통 관료로써 합리성과 전문성을 인정받아 작년 8월 개인정보위 출범과 함께 초대 개인정보위 위원장(장관급)으로 임명됐다.