「개인정보 보호법」 개정 관련 주요 내용 브리핑

안녕하십니까? 개인정보보호위원회 위원장 고학수입니다.

데이터 경제 시대, 신뢰 기반의 디지털 대전환을 선도할 개인정보보호법 개정안이 오늘 국무회의에서 심의·의결되었습니다.

이번 개정은 지난 2011년 개인정보보호법이 제정된 이래 정부가 다양한 의견을 반영하여 마련한 정부안을 중심으로 국회에서 발의된 20개 의원안을 통합한 실질적인 전면 개정이라는 점에서 그 의미가 매우 큽니다.

개인정보보호위원회는 2021년 9월 정부안을 국회에 제출했고 그 이후에 관계부처, 학계·법조계, 산업계, 시민단체 등 국내외 여러 이해관계자들과 소통을 통해 이견을 조정하였으며, 2년여에 걸친 심도 있는 논의 끝에 국회를 통과하게 되었습니다.

특히 이번 개정으로 디지털 전환이 가속화하는 환경 속에서 국민의 권리를 실질적으로 보장하고 합리적인 규제 정비로 법적 불확실성을 해소하여 데이터 경제 시대 기업과 산업이 성장할 수 있는 토대를 마련하였습니다.

그럼 이번 법 개정으로 달라지는 사항들이 어떠한지 말씀드리도록 하겠습니다.

먼저, 신기술·신산업을 지원하는 개인정보 활용 기반 강화로 새로운 데이터 경제 시대를 열어가겠습니다.

이번 법 개정으로 특정 기업이나 기관이 보유한 개인정보를 해당 업체의... 해당 정보의 주체인 국민의 요청에 따라 다른 기업이나 기관으로 옮길 수 있는 개인정보 전송요구권의 일반법적 근거가 마련되었습니다.

그동안 금융·공공 등 일부 분야에서 마이데이터 서비스가 제한적으로 이루어졌다면 앞으로는 모든 분야에서 데이터가 칸막이 없이 이동할 수 있게 된 것입니다.

국민은 데이터의 진정한 주인으로서 통제권을 행사하고 다양한 영역에서 맞춤형 서비스를 보편적으로 이용할 수 있게 될 것이고, 기업에게는 창의적이고 혁신적인 비즈니스 기회가 열리게 될 것으로 기대하고 있습니다.

또한 자율주행차, 드론, 배달 로봇 등 기존의 사전동의 원칙을 적용하기 곤란한 이동형 영상정보처리기기에 대해서도 이동형 기기의 특성에 맞는 운영기준을 새롭게 규정하여 신기술 산업의 성장 기반도 마련하였습니다.

아울러, 온라인-오프라인 사업자로 구분하여 규율해 왔던 불합리한 규제체계를 정비하여 동일한 행위에 대해서는 동일한 규제가 이루어질 수 있도록 개선하였습니다.

둘째, 디지털 시대에 걸맞은 국민의 적극적 권리가 강화됩니다.

누구나 일상생활에 필요한 서비스에 가입하거나 이용할 때 제대로 읽어보지 않고 개인정보 수집·이용 동의 항목에 체크한 경험이 있을 것이라고 생각합니다.

이는 그동안 온라인 서비스의 경우에 '동의'만을 적법한 처리 요건으로 규정하고 있었기 때문입니다. 이를 개선하기 위해 동의 이외에도 다른 처리 요건을 활성화하고, 개인정보 처리방침에 대한 평가제도를 도입하여 국민의 실질적 선택권을 보장하는 계기를 마련하였습니다.

또한, 인공지능을 활용한 채용 면접, 복지 수혜자격 결정 등 국민의 권리·의무에 중대한 영향을 미치는 경우에 자동화된 의사결정에 대해 국민이 거부하거나 설명을 요구할 수 있는 권리를 신설하였습니다.

더불어 개인정보 침해로 인한 분쟁이 발생한 경우에 신속하게 구제받을 수 있도록 현재는 공공기관으로 한정하고 있는 분쟁조정 참여 의무를 모든 개인정보처리자로 확대하는 등 분쟁조정 절차를 내실화하였습니다.

이를 통해 정보 주체가 신뢰할 수 있는 인공지능 등 디지털 생태계의 기반이 마련될 것으로 기대합니다.

마지막으로, 글로벌 스탠더드에 부합하고 개인정보 국제 규범을 선도할 수 있도록 체계를 정비하였습니다.

우선 데이터에 대한 국외 이전 요건을 다양화하여 글로벌 통상 규범과의 정합성을 제고하고, 법 위반 또는 보호 수준이 낮은 국가나 기업으로 국외 이전이 이루어지는 경우에 이전 중지를 명령할 수 있는 근거도 마련하였습니다.

또한, 국제적 입법 추세에 맞추어 개인에 대한 과도한 형벌규정을 경제 제재 중심으로 전환하여 과징금의 상한액을 전체 매출액 3% 이하로 상향하고 과징금 액수 산정 시 위반행위와 관련 없는 매출액은 제외하도록 하였습니다.

이번 개인정보보호법 개정은 디지털 대전환 시대 혁신적 변화를 선도할 수 있는 중요한 출발점이 될 것입니다.

국민들은 자신의 데이터에 대해 스스로 결정하고 자기주도적으로 활용할 수 있게 되고, 기업은 역동적으로 변화하는 환경 속에서 데이터를 안전하게 활용함으로써 세계적인 경쟁력을 갖춘 글로벌 기업으로 도약할 수 있게 될 것입니다.

물론 이러한 새로운 변화는 국민으로부터의 신뢰가 전제되어야 가능하겠습니다. 개인정보위원회는 개인정보 보호와 활용의 균형점을 찾아 조정하고 협력해 나가는 나침반 역할을 담당하는 부처로서 이번의 법 개정 이후에도 국민 여러분과 산·학·연, 시민단체 등 현장과 직접 소통하며 법 개정 내용을 공유하고 폭넓은 의견을 청취하여 법 시행에 필요한 하위 법령도 마련해 나갈 계획입니다.

조속한 시일 내에 '국가 마이데이터 혁신 로드맵' 마련을 포함해서 디지털 대전환 시대에 맞는 개인정보의 비전과 정책방향을 제시하겠습니다.

앞으로도 개인정보위원회는 국민과 함께 지금까지와는 다른 새로운 국민 신뢰 기반의 디지털혁신 2.0 시대를 열어갈 수 있도록 최선을 다하겠습니다.

감사합니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 우선 과징금 기준 관련해서 세계 기준은 전 세계 매출액의 4%가 GDPR로, GDPR에서 그렇게 규정하고 있는데 그것에 못 미친다는 비판이 있더라고요. 그래서 그것에 대해서 어떻게 생각하시는지 궁금하고, 그리고 이게 관련 매출액이 아니라 전체 매출로 바꿨다고 하시는데 사실 예외가 있는 거잖아요. 그래서 사실상 구문만 달라진 걸로 보이는데 그게 실효성이 있다고 보시는지 궁금합니다.

그리고 AI 의사결정 관련해서 채용이나 그런 것을 예시로 여기 들어놓으셨는데 사실 채용이라는 것은 지원자에게 거부권을 준다는 게 어불성설로 들리거든요. 그래서 구체적으로 이 거부권이 어떤 방식으로 보장될 수 있는 건지 말씀 부탁드립니다.

<답변> 두 가지 다 매우 좋은 질문이신데요. 첫 번째 과징금 관련해서는 말씀하신 대로 GDPR은 전 세계 매출액 기준으로 4% 또 2%, 위반 조항에 따라서 차등화된 처벌 조항이 있습니다. 그런데 당연히 GDPR이 굉장히 중요한 법규이긴 합니다만 EU의 법이고요. 글로벌 스탠더드는 전혀 아닙니다. EU 이외에 전 세계 굉장히 많은 나라들이 당연히 있고요.

어떤 나라는 10%까지 과징금이 있는 나라도 있고, 5% 수준의 과징금 제한이 나와 있는 나라도 있고, 그보다 훨씬 못 미치는 수준의 처벌 조항이 있는 나라들도 있습니다. 그래서 어느, 예컨대 4%, 5%, 6% 이런 식의 숫자가 어느 한 숫자가 글로벌 스탠더드라고는 말할 수가 없고요.

다만, 최근 한 5년 정도, 지난 몇 년 정도의 경향을 보면 세계 여러 나라에서 우리나라로 치면 과징금 형태의 벌칙 조항들이 전반적으로는 강화되는 경향성은 볼 수가 있습니다. 그러한 큰 흐름 속에서 우리나라의 이번 법 개정도 그런 글로벌 트렌드에 부합하는 것이라고 할 수 있겠고요. 과징금이 몇 퍼센티지인지 어떤 수치 기준으로 어느 한 숫자가 글로벌 스탠더드라고 말씀드리기는 어려울 것 같습니다.

그리고 전체 매출액 기준으로 이번에 법 개정이 됐고요. 다만 관련 매출액이 아닌 것은 빠질 수 있는 그런 표현이 담겨 있는데, 실무적으로는 상당히 큰 차이가 있습니다. 왜냐하면 현실적으로는 법률가 시각에서는 입증 책임이 전환되는 효과가 발생하기 때문인 것이고요. 그러니까 현실적으로는 위원회에서 조사하는 과정에서 위원회 쪽에서 관련 매출액을 제시해야 되는 게 과거의 법이었다면 이번에 법이 바뀐다 하면 거꾸로 조사 대상자가 관련이 없는 매출액을 밝혀야 되는 그런 부담이 바뀌게 되는 게 있고요.

다른 한편, 조사 과정에서 협조가 제대로 안 이루어질 경우에는 전체 매출액 기준으로 과징금이 부과되도록 하는 조항도 있기 때문에 그런 점에서 실효성이 상당히 있을 것으로 예상을 하고 있고요.

두 번째 말씀하신 AI, 인공지능 관련된 맥락, 법에는 ‘자동화된 의사결정’ 이렇게 되어 있습니다. 자동화된 의사결정은 사실은 나중에 후속 작업, 하위 법령이 마련되는 과정에서 더 구체화가 돼야 될 것 같고요. 지금 법에, 개정된 법에 있는 것은 자동화된 의사결정에 대해서 첫 번째는 당사자, 정보 주체가 거절할 수 있는 권한이 있고요. 두 번째는 자동화된 의사결정이 이루어질 경우에 그에 대해서 설명을 요구할 수 있는, 말하자면 2단계로 법에 규정이 되어 있습니다.

그런데 예시로 질문 주신 ‘채용의 경우에 어떻게 할 것이냐?’ 이런 거는 실제 상황을 고려해야 될 거고 하위 법령이 어떻게 만들어질지, 사실은 지금 자동화된 의사결정에 관한 규정 포함해서 꽤 많은 규정들은 지금 법 개정에 상당히 큰 원칙이 담겨 있는 상황이고, 더 구체적인 거는 하위 법령 만드는 과정에서 상세한 내용이 담기게 될 예정입니다.

그러니까 자동화된 의사결정은 사실은 이제 영어로는 ‘Automated decision making’이라고 하는 표현인 것인데요. ‘자동화된’이라고 하는 것이 무엇인지, 또는 자동화된 의사결정의 과정에 사람이 부분적으로라도 개입을 하는 경우가 더 일상적일 것인데 그런 경우에 어떤 선을 어떻게 그을 것인지, 원칙을 어떻게 더욱 구체화할 것인지, 그런 부분은 하위 법령 마련하는 과정에서 여러 또 의견을 들어가면서 마련해야 될 것 같습니다.

<질문> 개인정보보호법이 제가 기억하기로는 2021년 9월에 국무회의 통과돼서 지금 한 1년 6개월 정도 국회에 계류된 것으로 알고 있는데, 저는, 제가 생각으로는 조금 진통도 있었고 조금 기간도 오래 걸렸다고 생각을 합니다. 그래서 부처 평가에서 조금 더 반영이 된 게 아닐까가 제 생각인데요. 다른 몇 개 부처와 부처 평가가 낮았던 걸로 알고 있는데 혹시 법 통과를 계기로 윤석열 대통령도 C등급 평가에 대해서 주문을 한 걸로 알고 있고, 그래서 법 통과를 계기로 조금 내년에 개선된 모습을 볼 수 있을지가 첫 번째 질문이고요.

두 번째 질문은 오늘 개인정보법 통과 관련해서 시민단체에서 단체적으로 목소리를 낸 걸로 알고 있습니다. 그래서 조금 보완을 더 해야 된다, 국제 기준에 못 미친다, 라고 여러 많은 단체에서도 한목소리를 냈는데 보완 계획, 조금 이를 수도 있는데 그런 시민단체에서 좀 비판적인 목소리를 낸 것에 대해서 어떻게 생각하시는지가 두 번째 질문입니다.

<답변> 첫 번째 질문, 정확하게 제가 이해했는지 모르겠는데 말씀하신 대로 이번 법의 처음 제안은 2021년 9월에 만들어졌고요. 현실적으로 국회의 입법과정은 일반론적으로는 9월 정기국회 때 논의가 되는 게 일상적이라서 2021년 9월 정기국회 때 논의가 아주 잠깐 되고는 사실은 넘어간 거고, 사실 그때 논의가 본격적으로 이루어... 그러니까 약간만 이루어지고 본격적으로 이루어지지 못한 상황에서 그다음에 현실적으로는 1년 가까운 시간 동안에 국회에서 논의가 본격적으로 되기 어려운 환경이었고요.

그래서 현실적으로는 이제 지난가을, 2022년 가을 정기국회 때 본격적인 논의가 재개된 셈이고요. 그래서 지난가을 국회 이후로 지난 2월 말까지 굉장히 여러 형태의 이제 복잡다단한 입법과정을 거쳐 왔습니다. 그런데 그게 입법과정이 오래 걸렸던 것이 부처 평가에 영향을 미쳤는지는 정확히는 잘 알 수 없고요.

그런데 입법과정이 오래 걸린 배경 이유 중의 하나는 우리나라에서의, 국회에서의 어떤 정치 스케줄 이슈도 있고, 이거는 정부안으로 제출이 됐는데, 이제 정부안 이외에 의원입법으로 발의된 법안이 굉장히 많았습니다. 이번에 입법과정에서 20개 정도의 법안 병합이 돼서 수정 대안을 마련한 건데, 그 과정에서 일부 발의된 거는 포함이 되지 못했고요. 포함이 되지 않은 것들은 아직도 발의된 상태에 있고요.

이번에 개정 작업이 막바지에 이른 그 후에도 의원입법으로 개정안이 몇 개가 올라와 있습니다. 그래서 제가 정확한 숫자를 잊어버렸는데 지금 현재 발의된 상태로 있는 개정안만 해도 한 30개 정도 있습니다.

그러니까 이쪽 영역은 굉장히 많은 분들, 의원 개개인 또는 사회적으로 관심을 가지고 있는 분들이 너무나 많고 계속적으로 늘어나고 있어서 법 개정 작업을 하고 있는 그 와중에도 계속적으로 개정안이, 새로운 개정안이 나오고 있는, 그래서 앞으로 다음번 개정을 또 어떻게 해야 되나, 이런 얘기가 또 곧바로 나타나고 있는 중입니다.

그에 대해서 지금, 지금은 위원회 차원에서는 개정안의 후속 작업, 하위 법령 만드는 작업이 당연히 급히 진행돼야 하겠지만 그다음 개정을 어떻게 할지에 관해서는 또다시 논의를 해야 될 그런 상황이고요.

시민단체 의견은 제가 정확한 내용을 상세하게 보지는 못했는데요. 입법과정이라고 하는 것이 굉장히 많은 이해관계자들과 협의하고 논의하는 과정이 수반되고요. 국회에서는 기본적으로 국회의원분들 통해서 그 의견들이 표현이 되는데, 개인정보 영역은 정치적인 어떤 정당 사이의 입장 그것도 약간은 있지만 정당 안에서도 개별 의원들, 개개 의원들의 생각이 각기 다른 부분도 많이 있고 해서 그런 것들을 조율하는 과정이 굉장히 오래 걸리고 복잡한 면이 있었습니다.

그래서 시민단체라고 해도 또 시민단체 안에서도 개별 시민단체에 따라서도 의견이 약간씩은 다른 면이 있고, 기업 입장에서도 기업들 따라 또 약간씩은 다른 면이 있고요. 그래서 그런 이해관계라고 하는 측면에서는 너무나 다양한 시각들이 있어서 그런 다양한 시각을 조율해 가는 과정이 간단치는 않고, 앞으로도 그런 다양한 시각들, 입장들을 어떻게 같이 조율해 가면서 합의를 만들어 갈 것이냐 하는 게 특히나 이쪽 영역에서는 계속 고민하게 되는 큰 과제 같습니다.

<질문> 안녕하세요? 두 가지 질문을 하겠는데요. 동의에만 의존했던 처리 관행에서 벗어나서 상호 계약 등 합리적으로 예상할 수 있는 범위 내에서도 동의 없이도 개인정보 수집·이용이 가능하겠다, 라고 하셨는데 구체적으로 어떤 사례인지 조금 더 자세히 설명해 주시면 좋겠고요.

그리고 두 번째로는 그때 개인정보위가 정보보호법 위반행위로 온라인 맞춤형 광고 플랫폼 행태정보 수집에 대해서 첫 번째 제재로 구글과 메타한테 내렸잖아요. 그런데 최근에 대형 로펌을 선임해서 행정소송을 제기했는데 이에 어떤 의견이시고 어떻게 대응하실 계획이신지 여쭙겠습니다.

<답변> 동의 제도에 대해서는 조금 있다가 실무진에서 조금 더 설명해 주시면 좋을 것 같은데, 그러니까 기존에는 동의, 현실적으로는 동의 이외의 방법으로 정보를 수집할 수 있는 방법이 없었다고 해도 과언이 아닐 정도로 동의의 의존도가 높았고요.

이번에 개정하면서 조금 더 동의 아닌 방법으로 정보를 수집할 수 있는 근거가 조금 더 마련이 됐고요. 그에 대한 후속 작업을 조금 더 해야 될 그런 정황이고 구글, 메타 처분 관련해서는 말씀하신 대로 각각, 구글과 메타가 각각 행정소송을 제기했습니다. 지금 법원에 가서 다투게 된 상황이고요.

2건 다 우리 위원회 입장에서도 그렇고 우리나라에서의 어떤 뭐랄까, 데이터 환경 맥락에서 굉장히 중요한 함의를 가지고 있는 그런 사안이라서 저희 위원회에서는 굉장히 적극 대응할 것이고 굉장히 많은 고민과 내부적인 논의를 하고 있습니다.

그런데 지금으로는 소송 굉장히 초기 단계이고 아직 구체적인 기일이 잡히거나 이런 본격적인 진행이 된 상황은 아니라서 지금으로서는 더 구체적인 말씀을 드릴 수 있는 것은 딱히 없는 것 같습니다.

그리고 동의 관련해서는 조금 부가 설명을.

<답변> (이병남 개인정보보호정책과장) 개인정보정책과장 이병남입니다. 동의 제도에 대해서 제가 보충 설명을 드리도록 하겠습니다. 국민이 일상생활에서 꼭 필요한 서비스들이 있습니다. 그러한 서비스를 가입하기 위해서는 사실은 본인에 대한 개인정보를 무상으로 제공하고 그 서비스를 무상으로 제공받는 형태로 서비스 가입을 하는데, 지금 법 개정 전에는 온라인사업자의 망법 특례에 의해서 반드시 동의를 받아서만 가입이 돼서 서비스를 받을 수 있었습니다.

그런데 이번 법 개정으로 계약체결 이행에 필수적인 그런 정보들은 동의 없이도 정보... 그 사업자가 서비스 제공의 본질적인 내용들은 동의 없이 수집하고 서비스 제공과 본질적인 관련 없는 내용에 대해서만 선택 동의로 하게 돼 있습니다.

그러니까 실질적으로 지금 운영되고 있는 필수 동의와 선택 동의의 체계가 바뀌게 될 것입니다. 그래서 필수 동의는 점차 사라질 것이고, 그리고 서비스 제공과 본질적으로 관련 있는 내용들은 동의 없이 사업자가 수집해 가고 그 사업... 수집의 입증 책임은 당연히 사업자가 지게 됩니다. 서비스 제공과 본질적으로 관련 없는 부분들에 한해서만 선택 동의에 의해서 개인정보가 수집됩니다.

결국 그렇게 돼야만 정보 주체에게 실질적인 동의의 선택권이 보장되는 겁니다. 지금은 서비스를 꼭 이용해야 되는데 필수 동의를 체크하지 않을 수 없잖아요, 서비스를 이용해야 되니까. 그러니까 실질적으로 지금은 정보 주체에게 선택권이 보장된 형태가 아니라는 거죠. 그걸 이번에 개선한 겁니다.

그리고 아까 한겨레 기자님께서 해주신 GDPR 사례는 GDPR도 마찬가지로 상한액만 규정하고 있고 EU 회원국들은 별도의 기준을, 과징금 부과 기준을 별도로 갖고 있습니다. 그래서 기업 규모라든가 위반행위의 책임성과 그런 기준을 가지고 별도의 과징금을 부과하고 있고 우리와 유사한 사례라고 보시면 될 것 같습니다. 결코 저희가 퇴색됐거나 아니면 저희가 GDPR에 비해서 우리 과징금 규모가 적다고 말하기는 좀 어렵습니다.

<질문> 방금 과장님께서도 말씀해 주셨고 과징금 관련해서 질문이 두 가지 있는데요. 이게 GDPR보다 적지 않다고 하셨는데 원래 정부 초안에서는 전체 매출액의 3%로 잡았었다가 이게 국회 심사과정에서 산업계 의견을 반영해서 바뀐 부분이잖아요. 그래서 사실상 조삼모사가 아니냐, 문구가 앞에서만 빠졌고 뒤에 추가됐으니까 조삼모사가 아니냐, 라는 지적도 의원들도 지적을 했었던 부분이고요.

그런데 이것 관련해서 아까 법안 지금 보완 논의 하고 있다고 하셨는데 논의되는 부분이 없는지, 그리고 아까 유럽, 유럽은 4%고 10% 넘는 곳도 있지만 우리나라는 3%인 게 글로벌 스탠더드에 있어서 부족하지 않다고 하셨는데 그럼 3%가 우리나라가 최종적으로 가야 될 숫자라고 보시면 중국 같은 경우는 5%잖아요. 그것 궁금하고요. 그러니까 이것 다 포함해서 지금 법 보완 논의과정에서 과징금 관련해서는 추가 보완 계획이 없는지가 궁금하고요.

두 번째로는 과징금 부과할 때 그 기준이 되는 매출액을 전년도 매출액으로 잡는 곳들이 있고, 3개년 평균 연매출액으로 잡는 곳들도 있는데 우리나라는 어떻게 할 건지, 이게 시행령에서 정해야 되는 거라고 들었어요. 이것 관련해서도 답변 부탁드립니다.

<답변> 조삼모사라는 말은 저 개인적으로는 전혀 동의할 수 없는 말이고요. 아마 법을 해보신 분들은 다, 아까 ‘입증 책임의 전환’ 이런 표현이 익숙하실 건데, 그러니까 지금 통과된 법에는 전체 매출액 기준으로 과징금을 정하게 되어 있고, 그중에 관련이 없는 것은 뺄 수 있게 되어 있는 것이 실무적으로는 굉장히 큰 차이가 있습니다. 법률가들은 모두 다 그 부분에 대해서 굉장히 큰 차이가 있을 거라고, 그리고 그에 대해서 동의할 것이라고 생각하고요.

이것을 예컨대 3%가 맞다, 4%가 맞다, 3.5%가 맞다, 이런 식으로 어느 한 몇 퍼센티지라는 게 정답이라는 식으로 접근할 수는 없는 것이라고 생각하고요.

국회 입법과정에서 당연히 굉장히 다양한 목소리들이 나왔고, 현실적으로는 전체 매출액 기준으로 일단 출발점을 잡으면 우리 위원회 입장에서 업무를 추진하는 데 있어서 굉장히 큰 도움을 받습니다, 사실은.

왜냐하면 저희가 중앙행정부처 중에서 단연 초미니, 가장 작은 조직인데요. 관련 매출액이 뭔지를 하나하나 서류를 들여다봐야 되는 그것만으로도 상당한 내부 자원이 투입이 돼야 되는데 입증 책임이 전환되면 그런 점에서 훨씬 더 저희가 업무를 하는 데 뭐랄까요, 더 집중해서 할 수 있는 여지가 조금이라도 생기는 그런 면이 있고요.

그리고 아까 좀 전에 과장님이 설명하신 것 같이 과징금 체계나 이런 것들은 GDPR에 있는 것과 큰 틀에서는 유사한 점이 있고요. 당연히 일부 다른 점이 있고, 그리고 전 세계의 이런 규모의 과징금 포함해서 처벌 조항을 가지고 있는 나라들이 EU와 그 이외 몇몇 나라를 빼면 사실은 많지 않습니다.

우리가 자꾸 EU GDPR을 마치 중요한 출발점으로 생각을 하니까 EU하고 비교를 자꾸 하게 되는 것인데 EU 이외의 나라들을 보기 시작을 하면 또 굉장히 다양한 법·제도 사례들이 있습니다. 그래서 아까도 말씀드렸지만 EU가 굉장히 중요한 사례이긴 하지만 그 이외의 여러 나라들의 사례도 당연히 우리가 참조를 해야 될 상황이고요.

시행령에서 정해야 될 부분은 지금은 시행령에 관해서 구체적인 준비 작업을 이제 시작할 단계라서 시행령에 어떤 내용이 담길지에 대해서는 지금 시점에 말씀드리기는 어려울 것 같습니다.

<질문> 안녕하세요? 저는 전송요구권 관련해서 두 가지 질문드리려고 하는데요. 지금 기업들도 보면 위원장님도 잘 아시겠지만 좀 데이터 우위에 있는 기업들은 전송요구권 도입을 반대하고 스타트업들은 좀 찬성을 하는 분위기가 있었던 것 같아요. 취재 과정에서도 그런 온도차가 느껴졌는데, 정보 주체 권리 강화도 있겠지만 전송요구 도입하면 데이터 시장에서 공정 경쟁이 이루어질 것으로 위원회도 보고 계신 것 같은데 대략적으로 저도 원리는 이해합니다. 그런데 전송요구권이 어떻게 데이터 독점을 타파할 수 있는지 좀 더 구체적으로 위원장님께서 설명해 주시면 좋겠고요.

두 번째는 금융권에서도 전송요구권 대상 정보를 결정하는 데 어려움을 겪었다고 저도 알고 있습니다. 그런데 작년 말에 열렸던 이런 세미나 같은 데를 가게 되면 전송정보선정검토위원회 이런 것을 만들어서 어떤 정보를 전송 대상으로 설정할 것인지 논의가 필요하다는 말도 나왔는데요. 이 같은 내용도 검토하고 계신지, 아니면 현재까지 어떤 식으로 논의가 이루어지고 있는지 구체적인 설명 부탁드리겠습니다.

<답변> 전송요구권 관련해서는 사실은 작년서부터 내부적으로 준비하고 연구해 오던 것들이 있긴 합니다만, 현실적으로는 이번에 법 통과된 걸 계기로 말하자면 제로베이스에서 새로 논의의 판을 출발시켜야 될 것이고요. 기존에 논의해 온 것은 당연히 중요한 참고는 되지만 기존에 논의한 것을, 그로부터 뭘 한 단계 연장을 시켜서 한다, 이렇게 생각하지는 않고 있고요.

그 전송요구권에 대해서 바라보는 시각이, 기자님 질문하시면서 말씀하신 것 같이 굉장히 다양합니다. 그런데 그게 뭐 대기업과 작은 기업 이런 식의 차이도 있겠지만 그 이외에 내가 데이터를 얼마나 많이 가지고 있는지, 적게 가지고 있는지, 아니면 유용한 데이터를 가지고 있는지, 남들은 없는 데이터를 가지고 있는지, 그 밖에 무수히 많은 요소에 따라서 데이터를 내가 내줘야 되는 입장인지 다른 기업들의 데이터를 받아서 내... 뭐랄까, 부가가치를 높이는 데 도움이 될 것인지 등등 각기 입장이 정말 천차만별입니다.

그래서 그 여러 이해관계가 얽혀 있는 그런 분들하고 굉장히 많은 대화를, 이미 어느 정도는 시작은 했습니다만 앞으로 굉장히 많이 해야 될 것이라고 생각을 하고요.

중요한 것은 톱다운 방식으로 제도를 만들지는 않을 것이다. 그리고 영어로 ‘one size fits all’이라 그러죠? ‘한 가지 방식으로 다 따라오세요.’라고 하는 식의 그런 방식으로 가지는 않을 것이고요. 그래서 한 가지 방식을 정해서 모두 다, 산업 영역을 불문하고, 기업의 규모를 불문하고 그렇게 그런 획일적인 방식으로는 진행되지 않을 것이고 당연히 참가자들한테 유인이, 적절한 유인이 제공되어야 할 것이고요.

그리고 이런 것을 통해서 예컨대 거대한 데이터를 축적하고 있는, 말하자면 데이터 독점 기업 이런 것이 만들어지는 방향, 당연히 그러면 안 될 것이고요. 그래서 그런 부분은 하위 법령을 만들고, 또 앞으로 정책추진단 만들어서 논의하는 과정에서 구체적인 고민을 당연히 해야 되는 고민 과정에 녹아들어가야 되는 중요한 이슈라고 생각하고요.

저희는 당연히 이게 독점화가 아니라 오히려 그 반대로, 말하자면 백가쟁명식으로 스타트업들이 잔뜩 나타나고 그 여러 스타트업들이 개별 정보 주체들한테 도움이 되는 다양한 종류의 서비스를 제공하는, 즉 그런 환경을 그림을 그리고 있고요.

금융 영역은 작년, 재작년 사이에 또 그전에 여러 가지 논의를 해온 것은 제가 알고 있는데요. 금융 영역에서 논의한 것을 저희가 참고를 하겠습니다만 금융 영역의 연장에서 이것을 저희 쪽 제도를 바라보지는 않고 금융 영역도 참고하지만 저희는 금융에서 한 것과는 아마도 다른 모습으로 마이데이터 제도를 구체화할 것 같다, 라고 생각하고 있습니다.

<질문> 요즘 개인정보법이나... 개인정보나 데이터 관련해서 중요성은 굉장히 높아지는데 개인정보보호위원회에 대한 지위 격상 얘기도 있는 것 같습니다. 필요하다는 얘기도 있는 것 같고요. 그래서 이 관련해서 위원장님 어떤 견해 갖고 계신지 궁금하고요.

그리고 말씀 주셨던 국가 마이데이터 혁신 로드맵 이것 관련해서 계획이나 어떤 방향을 가지고 간다, 이렇게 설명해 주실 수 있는지도 궁금합니다.

<답변> 지위 격상이 어떤 취지의...

<질문> ***

<답변> 아, 대통령실?

<질문> ***

<답변> 일단 위원회가 사실은 생긴 지 얼마 안 되기도 하고 그래서 조직 규모는 굉장히 작습니다. 아까 말씀드린 대로 중앙행정기관 중에는 단연 가장 작은 규모이고 사실은 예산 규모로 봐도 비교, 다른 부처와 비교가 안 될 만큼 작은 편이고요.

그런 점에서 실제 저희가 구상하고 있고 하고 있는 업무를 충실히 하기 위해서는 한계가 굉장히 많은 게 현실이고요. 그런데 말씀하신, 지금 총리실 산하로 되어 있는데 대통령실 산하로 되면 그게 현실적으로 어떤 차이가 있을지에 대해서는 제가 행정 전문가가 아니라서, 혹시 배석하신 분 중에 설명 구체적으로 하실 수 있으면 조금 있다가 말씀해 주시고요.

그런데 제 개인적인 입장에서는 조직체계상 어디 위치에 있냐는 것보다는 비유적으로 이야기하면 실탄이 될 수 있는 인력과 예산, 그래서 저희가 조금 더 많은 일을 조금 더 완성도 있고 충실하게 할 수 있는, 즉 그런 여건이 만들어질 수 있으면 좋겠다, 그런 바람은 있습니다.

그리고 국가 마이데이터 로드맵은 지금 내부적으로는 회의 여러 차례 하면서 브레인스토밍을 하고 있는 중이고요. 지금 계획으로는 상반기 중에, 6월까지는 그 로드맵을 마련해서 발표하는 것으로 구상을 하고 있습니다.

그래서 그 로드맵에는 이번 법 개정과 관련해서는 마이데이터 제도를 어떤 식으로 구체화할 건지에 관한 비전이나 조금 더 구체적인 안이 담길 그런 예정이고요.

그 이외 몇 가지 큰... 뭐랄까요, 큰 꼭지가 같이 담길 것으로 생각을 하는데, 또 하나는 인공지능 관련입니다. 특히나 올, 지난 연말 이후로 챗GPT를 계기로 인공지능에 관해서 다시 관심이 더 커지고 있는 중인데, 인공지능은 당연히 관련된 데이터가 굉장히 중요하고, 데이터 관련해서 어떤 식의 데이터를 수집할 수 있는지, 그걸 수집해서 학습용으로, 인공지능 학습용으로 어떻게 쓸 수 있는지 그리고 결과물에서 또 개인정보 관련된 문제가 발생하면 어떻게 할 것인지 등등 해서 전체 라이프 사이클에서 개인정보 관련된, 인공지능 라이프 사이클에서 개인정보 관련된 이슈들이 여러 형태로 나타날 것이기 때문에 그에 관해서 저희 위원회 차원에서 필요하면 다른 부처와 협업을 하면서 그 인공지능 관련된 내용도 로드맵에 담길 것이고요.

그리고 또 다른, 세 번째 큰 틀에서는 개정된 법에는 마이데이터 관련된 부분이 제일 주목을 받고 있는데 기존에 이미, 2020년에 마련된 법의 가명정보의 개념이라든가 이런 것들이 지난 3년 동안 그런 개념을 어떤 식으로 활용할 것인지에 관한 이런저런 시도가 있어 왔는데 일부 성과도 있고 일부는 한계도 있고 했던 것들을 좀 다시 둘러보면서 필요한, 기존의 법에 있었던 내용 중에 개선할 수 있는 부분들 그런 내용들을 포함해서 로드맵에 담을 예정입니다.

<질문> 한 가지 더 질문드리고 싶은데, 이동형 영상정보처리기기 관련해서 규정 신설하신다고 했잖아요. 그럼 예를 들어서 지금 그냥 고정형 CCTV 밑에 촬영 중이라고 고지하듯이 소리나 그런 걸로 알리게끔 하신다는 것 같은데, 이게 사실 말 그대로 이동형이기 때문에 고지 방식이 대개 기존과 달라야 할 것 같더라고요. 아무리 불빛 반짝반짝한다고 해도 빨리 지나가면 사람들이 알 수도 없고, 또 택시에 카메라가 붙어서 그걸로 찍는다고 하면 사실 길에 다니는 사람들은 그거를 정말 피할 수가 없는 거잖아요. 그래서 구체적으로 어떤 아이디어들이 나오고 있는지 궁금합니다.

<답변> 그러니까 이쪽 영역은 기술 개발이 계속 한없이 이루어지고 있어서 그로 인해서 계속 새롭게 고민하는 이슈들이 있는데요. 지금 질문 주신 것도 그렇게 새로운 이슈의 영역인데, 제일 큰 거는 일단 회색지대가 기존 법에 있었던 거죠.

그러니까 기존 법에는 말하자면 고정형 영상처리기기 규율 대상이고, 이동형에 대해서는 법의 회색지대였던, 현실적으로는 법이 없었던 셈인 거죠, 개인정보 관련해서는.

그런데 다른 한편, 그냥 법이 있는지, 없는지는 상관없이 '나는 이것 쓸래.'라고 하면서 차에 달려 있기도 하고 드론 같은 것을 일부 쓰기도 하고 보디캠 유형의 카메라가 사용되기도 하고 이런 상황들이 있어서 이제 이번 법 개정에 들어간 것은 그렇게 고정형, 이동형 구분을 해서 영상처리기기를 규율하는 시스템을 일단은 법에 명문화해서 들여온다, 라고 하는 게 제일 큰 의미가 있고요.

그리고 지금 질문하신 대로 이동형 영상정보처리기기에 대해서 어떤 식으로, 고정형은 이렇게 고지하는 걸 붙여놓는 방식으로 하는데 이동형은 현실... 실효성 있게 장치를 부착을 하거나 하는 게 훨씬 더 어렵지 않겠냐, 뭐 맞는 말씀이시고요.

그래서 이 부분에 대해서는 지금 법에 들어온 것은 어떻게 보면 일단 법에 명문화함으로 해서 뭔가 이렇게 규율할 수 있는 근거를 마련했다, 최소한의 근거를 마련했다, 그게 제일 큰 의미가 되겠고요.

그리고 이쪽은 이용자한테 고지하고 동의하는 이런 패러다임이 전혀 먹히기 어려운 그런 상황이기 때문에 이쪽 영역에 대해서는 별도 법 논의를 이제 시작을 본격적으로 해야 된다고 생각을 하고, 그에 대해서는 개인정보법이 아니라 이미 의원안으로 발의된 법이 개인영상정보 보호에 관한 법, 이런 법안이 발의된 게 2건이 있습니다. 그래서 그 발의된 법안 포함해서 이쪽 영역에 관한 새로운 규율체계는 곧바로 후속 작업을 해서 논의를 시작할 예정입니다.

고맙습니다.

<끝>