분리됐던 개인정보 관련 규정이 일원화된다. 지난 28일 국무회의는 개인정보보호법 2차 개정안을 의결했다. 개인정보위원회는 빠르면 이달 중 국회에 제출할 예정이다.
이번 개정 개인정보보호법은 개인정보보호법, 정보통신망법, 신용정보법 등 데이터 3법이 개정되면서 각각 나눠졌던 개인정보과 관련된 규정들이 한 데 모여 정비된 법 규정이다. 특히 기존 정보통신망법에서 규정하던 온라인 이용자의 개인정보에 대한 규정을 개인정보보호법으로 이관해 특례 규정으로 정비했다는 점에서 크게 달라졌다.
올 초 개인정보위가 개정안을 입법 예고한 이래 국무회의 의결에 이르기까지 약 7개월 간 산업계 및 시민단체, 그리고 금융위 등 각 정부 부처의 의견 수렴 과정이 이뤄진 바 있다. 개인정보 관련 규정을 일원화한다는 점과 동시에 책임 강화, 마이데이터 사업 등 여러 데이터 관련 사업이 결부됐기 때문이다.
갈등 국면에 부딪힌 사안은 '과징금 부과' 규정이다. 개인정보위는 개인정보에 대한 기업의 보호 책임을 강화하기 위해 법 위반 시 이전의 과징금 부과 상한 기준이었던 '관련 매출액의 3%'에서 기업의 '전체 매출액의 3% 이하'로 조정했다. 대상도 정보통신 서비스 제공자에 더해 개인정보처리자에게까지 확대했다.
이에 대해 산업계는 과도하다는 입장이다. 단순히 전체 매출액 기준은 불분명하며, 사업이 나눠져 추진되는 와중에 조직 전체가 연대 책임을 지게 된다는 주장이다. 더불어 처벌 규정 강화를 위해 '관련 매출액 5%' 등 상향하는 제안을 내놨으나 받아 들여지지 않았다고 전했다.
그러나 개인정보위는 '위반행위에 상응하는 비례성'과 '침해 예방에 대한 효과성' 모두 확보했다는 입장이다. 개인정보위 측은 "산업계·관계기관 의견을 반영해 개인정보가 유출됐어도, 기업이 안전조치를 다한 경우에는 과징금 부과 대상에서 제외된다"며, "유럽연합의 일반개인정보보호법(GDPR) 등 글로벌 수준에 맞춰 상한액을 높였다"고 설명했다.
EU의 GDPR의 경우, 개인에 대한 형벌은 완화하되 기업에 대한 경제적 책임을 강화하는 방향으로 설정됐으며, 위반 시 과징금은 '전체 매출액의 4%' 또는 '2000만유로(약 276억원)' 중 높은 금액으로 부과할 수 있다.
향후 개인정보위는 과징금 부과의 합리적 산정기준을 위해 오는 10월부터 연구반 운영해 그 결과를 시행령, 고시 등 하위규정에 반영할 계획이다.
두번째 주요 쟁점 사안은 '개인정보 전송요구권'이다. 이번 개인정보보호법 개정을 통해 그동안 금융 등 일부 분야에 제한적으로 도입됐던 개인정보 전송요구권이 전 분야로 확대 도입된다. 개인정보 전송요구권은 정보 주체인 개인이 개인정보 처리자에게 제공한 개인정보를 본인이나 사업자 등 3자에게 이전하도록 요구할 수 있는 권리로, 개정을 통해 내년 1월 본격적으로 시행 예정인 마이데이터 사업 추진에 있어 모멘텀을 줄 것으로 예상된다.
개인정보 전송요구권의 정책 의도는 플랫폼의 정보 독점 방지다. 정보 주체, 즉 국민이 이 요구권을 기반으로 제3자 기업에 자신의 정보를 보낼 것을 요구할 경우, 기존 정보를 보유하고 있던 플랫폼이나 대기업은 전송해줘야 한다. 이는 데이터의 활용 주체 전환 개념으로 기업이 사용자에게 동의를 받는 게 아닌, 사용자가 기업에 요구하는 방식으로 변화하는 것이다. 개인정보위는 "현재 금융·공공 등 일부 분야에서만 추진 중인 마이데이터 사업이 전 산업 분야로 확산될 것"이라고 전했다.
그러나 여기에도 갈등 요소는 있다. 개인정보를 보내고 받을 수 있는 방법에 대한 논의가 지지부진하다는 것이다. 우선 금융 마이데이터 분야를 살펴보면, 현재 금융 당국은 마이데이터 사업자로 하여금 내년 1월까지 표준 API를 통한 정보 제공 및 전송 방식을 의무화하도록 했다. 이전까지 금융사는 스크래핑 방식을 통해 사용자 정보를 수집 · 활용했다. 스크래핑 방식은 금융사가 사전에 동의한 고객을 대신해 인증정보에 접근, 다른 금융사의 데이터를 가져오는 방식이다.
예를 들어, 금융사가 대출 심사를 할 경우 스크래핑을 통해 건강보험공단 정보를 불러왔다. 그러나 표준 API를 통해 전송할 경우 별도 인프라를 별도로 구축해야 하는 등 추가적인 소모가 크다. 마이데이터 사업에 뛰어든 중소 핀테크 사업자의 경우도 표준 API로의 전환에 어려움을 겪고 있다. 금융 당국은 보안 문제와 함께, 정보 제공 및 전송 방식이 통일되어야 한다는 입장이다.
게다가 개인정보에 대한 인식 전환에도 걸림돌이 예상된다. GDPR은 개인의 정보 이동권에 대한 권리 보장에 초점을 맞추고 있지만, 우리 개인정보보호법의 경우 도입 취지와는 달리 개인정보의 상품성에만 치중하고 있다는 것. 이번 법 개정 역시 마이데이터 사업을 위한 개정일 뿐 정작 권리 보장 측면에서는 미진하다는 것이 시민단체의 지적이다.
세번째 쟁점은 기업의 자동화된 데이터 처리 등에 대해 설명을 요구하고 이의를 제기할 수 있는 '자동화된 결정에 대한 대응권'의 도입이다. 이 설명가능성(XAI, eXplainable Artificial Intelligence) 개념은 기업이 운용하는 서비스 내 AI가 특정한 결정을 사용자에게 부여했을 경우, 이에 대한 이유를 밝혀야 한다는 의미다.
이번 개정 개인정보보호법은 과세대상·복지 수혜자격 결정·신용등급 등 완전히 자동화된 결정으로 인해 자신의 권리와 의무에 중대한 영향을 받게 되는 경우, 이를 거부하거나 이에 대한 설명을 요구할 수 있는 대응권이 포함됐다.
그러나 문제는 '예외' 부분이다. 요구를 받은 개인정보처리자는 특별한 사정이 없는 한 그 요구에 따라 배제, 재처리, 설명 등 필요한 조치를 하여야 한다. AI의 결정을 기업의 지적재산권과 결부한다면, 설명 요구권 자체가 무색해지고 만다. 앞서 요기요는 배달 라이더에 AI 배차 시스템을 운영하며 30분 동안 화장실 다녀오니 등급이 떨어졌다고 설명을 요구한 라이더 주장을 묵살한 바 있다.
비록 개정 법안에서 대통령령에 정하는 바에 따라 정보주체가 쉽게 인식할 수 있도록 알려야 한다고 정했지만, 사용자 측면에서는 자동화된 AI의 결정에 대한 설명 요구권은 강제적 절차 기준이 없다면 사용자 입장에선 유명무실한 권리로 남을 가능성이 높다.
게다가 마이데이터 서비스를 통해 활용될 개인정보는 향후 기업이 가진 AI와 결합된다는 점에서 해당 대응권은 더욱 중요해진다. AI의 자동화된 결정에 대한 설명 요구권과 관련 정필모 의원실은 '인공지능 육성 및 신뢰 기반 조성 등에 관한 법률안'를 발의한 바 있다. 해당 법률안은 AI의 주요 활용 분야를 ▲보건의료 ▲필수 공공재 ▲범죄수사 ▲원자력 ▲민사결정 ▲국가활용 ▲포털 ▲기타 등 8개로 구분해 특수 활용 AI로 지정하고, 해당 분야의 공공 및 민간 사업자는 서비스 이용자에게 AI를 활용한다는 점을 미리 밝히도록 사전 고지 의무를 부과했다.
즉 AI의 서비스 결과에 대한 설명 의무를 더해 기업 및 기관의 책임을 기술에 전가하지 않도록 막은 법안으로, AI 활용에 대한 '사전 고지', '신고제', '설명 가능성'으로, 이를 충족할 수 있는 제도 틀로 구성됐다.
최재식 카이스트 AI대학원 설명가능인공지능 연구센터장은 "이렇게 금융, 의료, 국방 등과 같은 분야는 미션 크리티컬 시스템에 속한다"며,"잘못된다면 생명에 지장을 주거나 심각한 피해를 입을 수 있는 분야는 AI를 활용했더니 잘 되는 것 같다로 충분치 않다. 이해하는 동시에, 혹시라도 잘못되었을 때 우리가 파악할 수 있을지 검증할 수 있어야 한다"고 말했다.
소셜댓글