10년 만에 바뀐 개인정보보호법, '3가지 쟁점' 어떻게 풀어야 하나?

분리됐던 개인정보 관련 규정이 일원화된다. 지난 28일 국무회의는 개인정보보호법 2차 개정안을 의결했다. 개인정보위원회는 빠르면 이달 중 국회에 제출할 예정이다.

이번 개정 개인정보보호법은 개인정보보호법, 정보통신망법, 신용정보법 등 데이터 3법이 개정되면서 각각 나눠졌던 개인정보과 관련된 규정들이 한 데 모여 정비된 법 규정이다. 특히 기존 정보통신망법에서 규정하던 온라인 이용자의 개인정보에 대한 규정을 개인정보보호법으로 이관해 특례 규정으로 정비했다는 점에서 크게 달라졌다.

올 초 개인정보위가 개정안을 입법 예고한 이래 국무회의 의결에 이르기까지 약 7개월 간 산업계 및 시민단체, 그리고 금융위 등 각 정부 부처의 의견 수렴 과정이 이뤄진 바 있다. 개인정보 관련 규정을 일원화한다는 점과 동시에 책임 강화, 마이데이터 사업 등 여러 데이터 관련 사업이 결부됐기 때문이다.

이미지=픽사베이

기업 "전체 매출 기준은 과하다" vs 개인정보위 "글로벌 수준에 맞췄다"

갈등 국면에 부딪힌 사안은 '과징금 부과' 규정이다. 개인정보위는 개인정보에 대한 기업의 보호 책임을 강화하기 위해 법 위반 시 이전의 과징금 부과 상한 기준이었던 '관련 매출액의 3%'에서 기업의 '전체 매출액의 3% 이하'로 조정했다. 대상도 정보통신 서비스 제공자에 더해 개인정보처리자에게까지 확대했다.

이에 대해 산업계는 과도하다는 입장이다. 단순히 전체 매출액 기준은 불분명하며, 사업이 나눠져 추진되는 와중에 조직 전체가 연대 책임을 지게 된다는 주장이다. 더불어 처벌 규정 강화를 위해 '관련 매출액 5%' 등 상향하는 제안을 내놨으나 받아 들여지지 않았다고 전했다.

그러나 개인정보위는 '위반행위에 상응하는 비례성'과 '침해 예방에 대한 효과성' 모두 확보했다는 입장이다. 개인정보위 측은 "산업계·관계기관 의견을 반영해 개인정보가 유출됐어도, 기업이 안전조치를 다한 경우에는 과징금 부과 대상에서 제외된다"며, "유럽연합의 일반개인정보보호법(GDPR) 등 글로벌 수준에 맞춰 상한액을 높였다"고 설명했다.

EU의 GDPR의 경우, 개인에 대한 형벌은 완화하되 기업에 대한 경제적 책임을 강화하는 방향으로 설정됐으며, 위반 시 과징금은 '전체 매출액의 4%' 또는 '2000만유로(약 276억원)' 중 높은 금액으로 부과할 수 있다.

향후 개인정보위는 과징금 부과의 합리적 산정기준을 위해 오는 10월부터 연구반 운영해 그 결과를 시행령, 고시 등 하위규정에 반영할 계획이다.

개인정보 전송, 주고 받을 수 있는 여건 갖추기도 힘들어

두번째 주요 쟁점 사안은 '개인정보 전송요구권'이다. 이번 개인정보보호법 개정을 통해 그동안 금융 등 일부 분야에 제한적으로 도입됐던 개인정보 전송요구권이 전 분야로 확대 도입된다. 개인정보 전송요구권은 정보 주체인 개인이 개인정보 처리자에게 제공한 개인정보를 본인이나 사업자 등 3자에게 이전하도록 요구할 수 있는 권리로, 개정을 통해 내년 1월 본격적으로 시행 예정인 마이데이터 사업 추진에 있어 모멘텀을 줄 것으로 예상된다.

개인정보 전송요구권의 정책 의도는 플랫폼의 정보 독점 방지다. 정보 주체, 즉 국민이 이 요구권을 기반으로 제3자 기업에 자신의 정보를 보낼 것을 요구할 경우, 기존 정보를 보유하고 있던 플랫폼이나 대기업은 전송해줘야 한다. 이는 데이터의 활용 주체 전환 개념으로 기업이 사용자에게 동의를 받는 게 아닌, 사용자가 기업에 요구하는 방식으로 변화하는 것이다. 개인정보위는 "현재 금융·공공 등 일부 분야에서만 추진 중인 마이데이터 사업이 전 산업 분야로 확산될 것"이라고 전했다.

그러나 여기에도 갈등 요소는 있다. 개인정보를 보내고 받을 수 있는 방법에 대한 논의가 지지부진하다는 것이다. 우선 금융 마이데이터 분야를 살펴보면, 현재 금융 당국은 마이데이터 사업자로 하여금 내년 1월까지 표준 API를 통한 정보 제공 및 전송 방식을 의무화하도록 했다. 이전까지 금융사는 스크래핑 방식을 통해 사용자 정보를 수집 · 활용했다. 스크래핑 방식은 금융사가 사전에 동의한 고객을 대신해 인증정보에 접근, 다른 금융사의 데이터를 가져오는 방식이다.

예를 들어, 금융사가 대출 심사를 할 경우 스크래핑을 통해 건강보험공단 정보를 불러왔다. 그러나 표준 API를 통해 전송할 경우 별도 인프라를 별도로 구축해야 하는 등 추가적인 소모가 크다. 마이데이터 사업에 뛰어든 중소 핀테크 사업자의 경우도 표준 API로의 전환에 어려움을 겪고 있다. 금융 당국은 보안 문제와 함께, 정보 제공 및 전송 방식이 통일되어야 한다는 입장이다.

게다가 개인정보에 대한 인식 전환에도 걸림돌이 예상된다. GDPR은 개인의 정보 이동권에 대한 권리 보장에 초점을 맞추고 있지만, 우리 개인정보보호법의 경우 도입 취지와는 달리 개인정보의 상품성에만 치중하고 있다는 것. 이번 법 개정 역시 마이데이터 사업을 위한 개정일 뿐 정작 권리 보장 측면에서는 미진하다는 것이 시민단체의 지적이다.

AI의 결정에 대한 대응권, 유명무실해질 가능성 높아

세번째 쟁점은 기업의 자동화된 데이터 처리 등에 대해 설명을 요구하고 이의를 제기할 수 있는 '자동화된 결정에 대한 대응권'의 도입이다. 이 설명가능성(XAI, eXplainable Artificial Intelligence) 개념은 기업이 운용하는 서비스 내 AI가 특정한 결정을 사용자에게 부여했을 경우, 이에 대한 이유를 밝혀야 한다는 의미다.

이번 개정 개인정보보호법은 과세대상·복지 수혜자격 결정·신용등급 등 완전히 자동화된 결정으로 인해 자신의 권리와 의무에 중대한 영향을 받게 되는 경우, 이를 거부하거나 이에 대한 설명을 요구할 수 있는 대응권이 포함됐다.

그러나 문제는 '예외' 부분이다. 요구를 받은 개인정보처리자는 특별한 사정이 없는 한 그 요구에 따라 배제, 재처리, 설명 등 필요한 조치를 하여야 한다. AI의 결정을 기업의 지적재산권과 결부한다면, 설명 요구권 자체가 무색해지고 만다. 앞서 요기요는 배달 라이더에 AI 배차 시스템을 운영하며 30분 동안 화장실 다녀오니 등급이 떨어졌다고 설명을 요구한 라이더 주장을 묵살한 바 있다.

비록 개정 법안에서 대통령령에 정하는 바에 따라 정보주체가 쉽게 인식할 수 있도록 알려야 한다고 정했지만, 사용자 측면에서는 자동화된 AI의 결정에 대한 설명 요구권은 강제적 절차 기준이 없다면 사용자 입장에선 유명무실한 권리로 남을 가능성이 높다.

게다가 마이데이터 서비스를 통해 활용될 개인정보는 향후 기업이 가진 AI와 결합된다는 점에서 해당 대응권은 더욱 중요해진다. AI의 자동화된 결정에 대한 설명 요구권과 관련 정필모 의원실은 '인공지능 육성 및 신뢰 기반 조성 등에 관한 법률안'를 발의한 바 있다. 해당 법률안은 AI의 주요 활용 분야를 ▲보건의료 ▲필수 공공재 ▲범죄수사 ▲원자력 ▲민사결정 ▲국가활용 ▲포털 ▲기타 등 8개로 구분해 특수 활용 AI로 지정하고, 해당 분야의 공공 및 민간 사업자는 서비스 이용자에게 AI를 활용한다는 점을 미리 밝히도록 사전 고지 의무를 부과했다.

즉 AI의 서비스 결과에 대한 설명 의무를 더해 기업 및 기관의 책임을 기술에 전가하지 않도록 막은 법안으로, AI 활용에 대한 '사전 고지', '신고제', '설명 가능성'으로, 이를 충족할 수 있는 제도 틀로 구성됐다.

최재식 카이스트 AI대학원 설명가능인공지능 연구센터장은 "이렇게 금융, 의료, 국방 등과 같은 분야는 미션 크리티컬 시스템에 속한다"며,"잘못된다면 생명에 지장을 주거나 심각한 피해를 입을 수 있는 분야는 AI를 활용했더니 잘 되는 것 같다로 충분치 않다. 이해하는 동시에, 혹시라도 잘못되었을 때 우리가 파악할 수 있을지 검증할 수 있어야 한다"고 말했다.

석대건 기자

daegeon@tech42.co.kr
기자의 다른 기사보기
저작권자 © Tech42 - Tech Journalism by AI 테크42 무단전재 및 재배포 금지

관련 기사

[인터뷰] 윤거성 펄스애드 대표 “셀러의 광고 효율을 높여주는 글로벌 리테일 미디어 플랫폼을 만들고 있습니다”

설립 직후 시드 투자 유치에 이어 아마존 광고 기술 분야 파트너 선정, 이어진 CJ ENM으로부터 전략적 투자 유치, 팁스 선정 등이 모두 지난 몇 개월 사이에 펄스애드가 이뤄낸 일들이다. 놀랍도록 빠른 속도로 성과를 만들어 내고 있는 펄스애드의 전략과 무기, 다가오는 새해의 계획은 무엇일까? 오는 28일 개최되는 ‘디지털 마케팅 인사이트 2025(DMI 2025)’에서 ‘리테일 미디어의 성장과 브랜드의 채널 전략 변화’를 주제로 발표를 앞둔 윤거성 대표를 만나 좀 더 구체적인 이야기를 들어봤다.

‘2024 빅테크 성적표’ AI 지출과 기업 점유율 보기

올해 빅테크의 AI에 대한 기업지출이 올해 500% 급증해 약 19조원을 쏟아부은 것으로 집계됐다. 그동안 AI 시장의 선두에 있었던 오픈AI의 시장 점유율은 지난해 50%에서 올해 34%로 줄어들었으며, 이는 경쟁사인 앤트로픽의 챗봇 모델 클로드 3.5의 활약때문이라는 분석이 나온다.

AI부터 암호화폐까지 ‘트럼프 2기’ 변화할 핵심 ‘기술 정책’

도널드 트럼프가 백악관으로 복귀하고 공화당이 양원을 장악하면 의심할 여지 없이 기술 분야가 재편될 것으로 보인다. 트럼프의 미국 우선주의 철학과 함께, 규제보다 혁신에 기반한 그의 행정부 정책은 AI, 사이버 보안 및 기타 핵심 기술 정책 분야의 글로벌 역학을 크게 바꾸면서 급속한 기술 발전을 촉발할 것으로 예상되고 있다.

스타워즈에서 영감을 받은 킬러 위성이 등장했다

조지 루카스 감독의 스타워즈(1977)에 등장한 ‘데스스타’(죽음의 별)는 가상의 우주 정거장이자 슈퍼무기다. 이 영화에 영감을 받은 중국 과학자들이 실제로 ‘데스 스타’를 만들었다. 스타워즈에서 영감을 받은 이 무기는 마이크로파 빔을 집중시켜 적의 위성을 쓸어버린다.