Law & Company, 혁신 경영을 위한 법률 정보_16
개인정보보호법 일부 개정안이 2023년 2월 27일 국회 본회의를 통과했다. 이번 개정안은 2011년 개인정보 보호법이 제정된 이래 가장 전면적인 개정안으로 평가받고 있다. 기존의 정책 기조를 유지하며 합리적이고 현실적인 개정으로 보인다.
지난 2월 국회 본회의를 통과한 개인정보보호법 일부 개정안은 데이터 전송 요구권, 데이터 이전, 형벌 규정부터 오프라인 및 온라인 사업체 적용 규정의 일원화까지 다양한 이슈를 다루고 있다. 개정안의 가장 중요한 내용을 알기 쉽게 요약해봤다.
(개인정보보호법 28조의 8부터 11까지)
개인정보의 국외이전과 관련하여 개정안은 다음의 경우에 정보 주체의 동의 없이 데이터 전송이 이루어질 수 있도록 법적 근거를 마련했다.
1. 개인정보보호법상의 개인정보 보호 수준을 충족한다고 개인정보보호위원회가 인정한 국가로 개인정보를 이전하는 경우
2. 법률이나 대한민국을 당사자로 하는 조약 또는 국제협정에 개인정보의 국외이전에 관한 별도의 조항이 있는 경우
3. 정보 주체와의 계약 체결 및 이행에 필요한 개인정보의 처리위탁 및 보관이 필요한 경우로서 다음 각 목의 어느 하나에 해당하는 경우
가. 정보 주체의 동의를 받을 때 알려야 할 사항을 공개한 경우
나. 정보 주체의 동의를 받을 때 알려야 할 사항을 전자우편 등의 방법에 따라 정보 주체에게 알린 경우
4. 개인정보를 국외 이전받는 자가 개인정보보호위원회가 고시한 개인정보 보호 안전조치를 이행했음을 개인정보보호위원회로부터 인증받은 경우로서, 인증받은 사항을 개인정보가 이전되는 국가에서 이행하기 위해 필요한 조치를 한 경우
이번 개정안은 개인정보 이전에 관한 현실적인 요구를 수용했다고 평가할 수 있다. 그동안 많은 해외 기업은 한국 밖의 데이터센터나 서버로 개인정보를 이전하기 위해 전문가에게 자문을 구할 경우, 대부분 한국의 엄격한 개인정보 보호 정책을 준수하기 위해 대단히 많은 시간과 노력을 들여야 했다. 이러한 상황에서 개인정보 이전 동의요건을 완화하는 개정안의 조항은 이러한 관점에서 긍정적이라 할 수 있다.
한편으로는 우려할 만한 측면도 없지 않다. 이번 개정안은 개인정보보호법에 대한 위반이 있다고 판단하는 경우, 개인정보의 국외 이전 중지를 명령할 수 있는 권한을 개인정보보호위원회에 부여하고 있기 때문이다.(개인정보보호법 제28조의 9). 때문에 이번 개정안은 양날의 검으로 작용할 만한 측면이 있지만 전반적으로는 환영할 만하다.
(개인정보보호법 제35조의 2)
본 개정안은 정보 주체가 다음 각호의 요건을 모두 충족하는 경우에 개인정보를 자신 또는 다른 정보처리자에게 전송할 것을 요구할 권리를 부여하고 있다.
① 정보 주체의 동의를 받아 처리되는 개인정보일 것 ② 정보 주체가 체결한 계약의 이행을 위해 처리되는 개인정보일 것 ③ 전송을 요구받은 개인정보 처리자의 시설 및 기술 수준이 특정 기준을 충족할 것
이번 개정안은 누가 개인정보를 통제하며 어떻게 사용할지에 대해 정보 주체의 개인정보 통제 권한을 효과적으로 강화하는 것을 목적으로 하고 있다. 빅테크 기업의 빅 브라더로의 변모에 대한 우려가 흔히 제기되는 현 상황에서 이번 개정안은 개인정보를 누가 어떻게 관리하고 저장할지에 대한 올바른 방향을 제시하고 있다.
데이터는 새로운 화폐로 떠오르고 있으며 그에 따라 데이터 통제권 및 접속권은 강력한 도구가 될 것이다. 다만 데이터 이전이 어떻게 이루어질지에 대해서는 까다로운 측면이 존재한다. 대부분의 회사는 고유의 방식으로 구성된 내부 시스템을 갖추고 있기에 각기 다른 이 시스템들을 표준화하는 작업이 까다로울 수밖에 없다. 때문에 모든 개인정보 처리자들이 따라야 하는 특정한 기준은 오히려 규모가 큰 일부 기업만이 기준에 따라 개인정보 통제 자격을 얻게 하는 결과를 낳을 수 있다. 다시 원점으로 돌아가는 셈이다. 그럼에도 자신의 개인정보에 대한 권한을 개인정보 주체에게 보다 많이 부여하는 이번 개정안은 환영받을 것이다.
본 개정안은 현행법의 과징금 및 형벌 조항을 다음과 같이 조정했다.
1. 과징금의 상한액을 위반행위와 관계없는 매출액을 제외한 전체 매출액의 3%로 조정했다. 그러나 개인정보 처리자가 정당한 사유 없이 매출액 산정자료의 제출을 거부하거나 허위로 제출하는 경우 해당 개인정보 처리자는 전체 매출액을 기준으로 과징금을 산정받는다.
2. 오프라인 및 온라인 사업체는 동일한 위반에 대하여 동일한 규제를 받는다. 이는 앞서 언급한 개인정보 보호 규칙 단일화와 연결된다. 개인정보 처리자와 개인정보를 처리하는 정보통신서비스 제공자의 차이는 이제 무의미하다.
3. 다음의 형벌 조항은 개인정보보호법에서 삭제되었다.
가. 개인정보 처리자가 안전조치 의무를 이행하지 않아 발생한 개인정보 유출
나. 정보통신서비스 제공자의 동의 없는 개인정보 수집 및 이용
다. 개인정보 미파기
과징금 및 형벌 처분에 대해서는 일부 특정 형벌 조항을 삭제했다는 점에서 특히 유의미하다. 기존의 데이터 보호 요건은 개인정보보호법의 위반에 대한 처벌이라는 관점에서 과도한 측면이 있었다. 특히 수천 명의 정보 주체를 상대하는 개인정보 처리자의 경우 실수나 간과, 인적 오류의 가능성이 언제나 존재하는데 과도한 처벌 조항을 삭제한 점은 긍정적인 개정이라 할 수 있다. 또한 개인정보보호법 개정안은 규정하에서 발생하는 분쟁 해결에 대한 제출 요건을 확대하여 부담스러운 제재나 처벌의 필요 없이 분쟁을 해결하는 긍정적인 동력이 될 수 있게 했다.
온·오프라인 사업체의 개인정보 보호규정 통일
이번 개정안에서는 일반 개인정보 처리자와 개인정보를 처리하는 정보통신서비스 공급자의 구분을 삭제했다. 따라서 기존 개인정보보호법의 특정 조항들, 예를 들어 정보통신서비스 제공자에게 특수하게 적용되던 조항들이 삭제되고 통합됨으로써 모든 개인정보 처리자가 동일한 규칙과 요구사항의 적용을 받게 된다. 이는 개인정보보호법의 집행과 관련하여 발생할 수 있는 모든 혼란을 제거하기 위함이라 할 수 있다.
이러한 개정은 충분히 합리적이며 개인정보 보호규정의 적용에 일관성을 부여한다. 한편 오프라인 사업체의 경우 개인정보보호법 준수에 대한 부담이 소폭 증가한 만큼 보다 높은 주의를 기울여야 할 것으로 보인다.
영상정보처리기기에 관한 조항 신설
또한 보안용 CCTV, 교통관제기 등과 같은 고정형 영상정보처리기기와 자율주행 자동차 및 드론 등의 이동형 영상정보처리기기를 포함한 영상정보처리기기에 관한 조항을 신설했다. 고정형 영상정보처리기기의 경우 개인정보를 사진이나 영상으로 저장하지 않는다는 조건에서만 설치 및 운영이 허용된다. 이동형 영상정보처리기기의 경우 촬영 사실을 불빛이나 소리, 안내판 등을 통해 명확히 표시하여 정보 주체가 촬영 사실을 분명히 알 수 있도록 한다는 조건하에, 불특정 다수로부터 동의를 얻기 힘든 상황에서도 개방 공간에서 이동형 영상정보처리기기로 영상 정보를 수집 또는 처리할 수 있다.
희망적이긴 하지만 아직은 지켜볼 때
종전의 여러 개정안과 마찬가지로 이번 개정안 역시 불특정 다수, 때로는 대규모의 다수로부터 사전동의를 얻기 위해 거쳐야 했던 여러 고군분투를 크게 줄여주는 방향으로 이뤄졌다. 새로운 기준 및 조치가 어떻게 시행될 것인지는 지켜볼 점이지만 우리는 개인정보보호법이 이번 개정안을 어떻게 해석하고 시행할지 면밀하게 살펴볼 것이다.
개인정보의 국외 이전이 양적으로 증가세를 보이는 현재 이번 개정안은 반가운 변화다. 더불어 개인정보 통제권에 관한 소비자와 정보 주체의 요구에 부합할 뿐 아니라 빅테크 기업이 개인정보 이용을 독점하는 행태를 저지하는 데도 큰 역할을 할 것으로 기대된다. 끊임없이 변화하는 현실에서 정책 입안자들이 지금처럼 계속 합리적이고 논리적이며 효과적인 데이터 보호 정책 기조를 유지하기를 희망한다.
티모시 디킨스
법무법인 대륙아주 외국변호사