[디지털투데이 백연식 기자] 올해 9월부터 개인이 곳곳에 흩어진 자신의 정보를 의료, 금융 등 모든 분야에서 능동적으로 활용할 수 있게 된다. 인공지능(AI)을 활용한 결정이 채용 면접 등에 쓰일 경우 이를 거부할 수 있는 권리도 생긴다.

개인정보보호위원회는 지난달 27일 국회를 통과한 ‘개인정보보호법’ 2차 개정안이 7일 국무회의에서 의결됐다고 밝혔다. 이 개정안은 오는 14일 공포되며, 9월 15일부터 시행된다. 개인정보위는 위원회 출범을 기준으로 지난 2020년 2월 4일 국회를 통과해 그해 8월 5일 시행에 들어간 개인정보보호법 개정을 ‘1차 법개정’, 현재 진행 중인 추가 법 개정을 ‘2차 법개정’으로 지칭한다.

개인정보보호법이 2011년 제정된 이후 처음으로 정부가 학계, 법조계, 산업계, 시민단체 등과 2년여의 협의 과정을 거쳐 정비한 실질적인 전면 개정이라는 점에서 큰 의미가 있다고 개인정보위는 주장했다.

개정안에는 자신의 개인정보를 보유한 기업이나 기관에게 그 정보를 다른 곳으로 옮기도록 요구할 수 있는 ‘개인정보 전송요구권’의 일반법적 근거가 담겼다.

이에 따라 그동안 금융·공공 등 일부 분야에서만 제한적으로 가능했던 마이데이터 서비스가 국민이 원하면 의료·유통 등 모든 영역에서 이뤄질 수 있게 됐다. 마이데이터는 개인이 자신의 데이터를 능동적으로 활용하는 일련의 과정을 말한다.

이동형 폐쇄회로(CC)TV 등 영상정보처리기기의 특성을 반영한 개인정보 처리 기준도 마련됐다.

그동안 이동형 영상정보처리기기는 일상생활에서 광범위하게 쓰이고 있었으나 개인정보 수집·처리에 관한 명확한 규정이 없었다.

개정안에는 이동형 영상정보처리기기를 업무 목적으로 쓸 경우 촬영 사실을 명확하게 표시하도록 하는 등 운영 기준이 담겼다.

형식적인 ‘필수동의’ 관행도 개선된다. 정보주체의 동의에만 의존해 개인정보를 처리하던 관행에서 벗어나, 상호계약 등 합리적으로 예상할 수 있는 범위 내에서는 동의 없이도 개인정보 수집과 이용이 가능하도록 정비했다.

또 AI를 활용한 자동화된 결정이 채용 면접, 복지수급자 선정 등 국민에게 중대한 영향을 미치는 경우, 이를 거부하거나 설명을 요구할 수 있는 권리를 신설했다.

아동에게 개인정보 관련 내용을 알릴 때는 이해하기 쉬운 언어를 쓸 의무를 온라인 분야에서 모든 분야로 확대했다. 또 국가와 지자체의 아동 개인정보 보호 시책 의무를 명확하게 했다.

개인정보 분쟁조정절차 참여 의무를 공공기관에서 전체 개인정보 처리자로 확대하고, 분쟁조정을 위해 사실확인이 필요한 경우 사실조사를 할 수 있는 근거를 마련했다.

아울러 국제 기준에 맞춰 개인정보 국외 이전을 수월하게 하고, 개인정보 유출에 대한 책임을 형벌보다 경제벌 중심으로 묻도록 하는 내용도 포함됐다.

그동안 개인정보를 국외로 이전하려면 정보주체의 동의가 필요했으나, 동의 외에도 계약·인증·적정성결정 등으로 국외이전 요건을 다양화했다. 적정성 결정은 타국의 개인정보보호 수준을 평가해 자국의 개인정보 이전이 가능한 국가로 승인하는 제도다. 유럽연합(EU), 영국, 일본, 브라질 등이 운영하고 있다.

다만 해당 국가가 개인정보를 적정하게 보호하고 있지 않다고 판단되면 국외이전 중지를 명령할 수 있는 근거도 마련했다.

국제 기준과 달리 개인정보보호 책임을 기업보다는 담당자 개인에 대한 형벌 위주로 규율하고 있는 문제도 개선하기 위해 과도한 형벌을 경제벌 중심으로 전환했다.

현재는 개인정보 수집·이용·파기 등 경미한 사항에 대해서도 형벌을 내렸으나, 앞으로는 과징금이나 과태료로 전환된다.

과징금 상한액은 국제 기준에 맞춰 전체 매출액의 3% 이하로 조정하고, 산정 시 위반행위와 관련 없는 매출액은 제외하도록 했다.

이밖에도 매년 공공기관의 개인정보 보호 수준을 평가할 수 있는 근거와 개인정보 침해 발생 위험이 높고 효과적인 대응이 필요한 경우 사전에 실태점검을 할 수 있는 근거도 포함했다.

저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지

관련기사