[디지털데일리 이종현기자] “개인정보보호 관련, 프라이버시를 보호하면서도 데이터 활용을 장려하는 혁신 기술이 굉장히 많다. 위원회는 그런 기술이 우리나라 법·제도 환경에서 적절하게 녹여낼 수 있을지, 그런 가이드를 제시하는 일에 힘쏟고자 한다.”(고학수 개인정보위원장)

15일 개인정보보호위원회(이하 개인정보위)는 정부서울청사에서 고학수 위원장 취임 이후 첫 기자간담회를 개최했다. 고 위원장이 직접 개인정보위의 지난 활동 내역과 개인정보보호법 개정 관련 진행 상황, 향후 청사진 등을 제시했다.

고 위원장이 제시한 키워드는 ‘신뢰 기반의 데이터 활용’이다. “우리나라의 개인정보보호법제는 동의 기반 데이터 수집과 이용이다. 이는 자칫하면 동의만능주의에 빠지기 쉽다. 법조계에서는 현재 동의 제도를 껍질만 남아 있다, 형해화돼 있다고 표현하는데 이런 방향으로 가서는 안 된다고 생각한다”는 것이 그의 설명이다.

그간 개인정보 수집·이용 동의 제도가 지나치게 포괄적이라는 지적은 줄곧 제기돼 왔다. 사용자가 명확히 인식하지 못했거나, 해당 건에 대한 동의를 받지 않은 상태에서 데이터를 수집·활용하다가 문제가 된 사례도 있다. 인공지능(AI) 챗봇 서비스인 ‘이루다’나 올해 막대한 과징금을 부과받은 구글, 메타 등이다.

고 위원장은 “데이터를 활용하려면 정보 주체가 납득하는 것이 전제조건이라고 생각한다”며 “현재 추진 중인 개인정보보호법 개정안에서의 주요 내용 중 하나인 전송 요구권도 정보주체의 신뢰를 기반으로 한다”고 말했다.

이와 함께 달라지는 기술 환경에서의 개인정보보호 및 데이터 활용에 대해서도 강조했다. 시장이 변하는 가운데 개인정보가 충분히 지켜져야 하며, 그러면서도 혁신을 가로막아서는 안 된다는 것이 고 위원장의 생각이다.

그는 “개인정보위는 여타 행정기관과 다르게 전문성이 너무나도 중요하다. 법에 대한 전문성도 있어야 하지만 기술에 대해서도 깊이 이해해야 한다”며 “기술이 우리 환경에서 어떻게 잘 쓰일지에 대해 가이드를 제시하는 것이 개인정보위의 굉장히 중요한 역할 중 하나다. 만들어진지 2년 됐다면 다시 들여다 볼 필요가 있다”고 강조했다.

가이드라인의 중요성을 특히 강조했다. 고 위원장은 “현업의 입장에서 법은 너무 추상적이다. 산업계의 입장에서는 법보다 가이드가 더 중요할 수 있다. 그리고 가이드가 현실을 제대로 반영하지 못한다면 어디선가부터 꼬이기 시작한다”고 밝혔다.

이와 같은 고 위원장의 견해는 지난 이력과도 맞닿아 있다. 고 위원장은 위원장 취임 직전까지 서울대학교 법학전문대학원에서 교수로 활동했다. 개인정보보호 및 인공지능(AI) 규제 등 신기술 분야 법제 전문가로서 서울대학교 AI정책이니셔티브 공동디렉터 및 AI연구원 부원장 등을 역임했다. 학자 출신이면서도 기술에 정통한 배경이다.

그는 “이공계 교수, 대학원생들과 얘기하다 보면 개인정보를 보호하면서도 활용을 할 수 있도록 하는 좋은 기술을 많이 소개해 준다. 그러나 그런 기술이 등장하더라도 위원회 입장에서는 이를 곧바로 받아들이기 어렵다. 논문에 담겨 있는 아이디어가 우리나라 법·제도 환경에 알맞게 반영될 수 있도록 단계적인 접근이 필요하다. 개인정보위가 연구 현장과 법제도 사이의 간극을 메우는 가교 역할을 해야 한다”고 전했다.

지난 5일 개인정보보호법 개정안이 원안에서 일부 후퇴한 내용으로 국회 정무위원회를 통과한 데 대해서는 “과징금에 관해서는 이해 관계자들 사이에 의견이 많이 엇갈릴 수밖에 없는 영역이라고 생각한다. 여러 목소리를 듣고 조율하는 과정인데, 잘못한 것에 비례하는 수준의 처벌이 이뤄져야 한다는 주장이 많았고 이를 반영한 것이 이번에 통과된 법안”이라고 말했다.

달라진 것은 개인정보보호법 위반 관련 과징금 책정시 해당 기업의 전체 매출액 3%를 부과하는 것에서 전체 매출액의 3%라는 상한은 두되 위반 행위와 관련이 없는 매출액을 제외한다는 조건을 달은 점이다.

다소의 수정이 있었지만 개정 취지는 지켜냈다는 것이 개인정보위의 입장이다. 기존에는 기업이 법을 위반했을 경우 관련 매출액을 개인정보위가 입증해야 했는데, 기업이 자료를 제출하지 않을 경우 개인정보위로서는 뾰족한 수가 없었다. 실제로 메타의 경우 개인정보위 조사에서 불완전한 자료를 제출하는 등 비협조적인 태도를 취했다.

하지만 이번 개정안의 경우 기업에게 입증 책임을 부여함으로써 그 부담을 덜었다. 만약 기업이 매출액 관련 자료를 제출하지 않거나 거짓으로 제출할 경우 전체 매출액을 기준으로 과징금을 산정할 수 있는 기준이 마련된 셈이다.

한편 고 위원장은 개인정보위의 업무 중요성에 비해 지나치게 조직 규모가 작다는 아쉬움을 표했다. 2020년 출범 이후 456건의 조사 처분을 진행했는데, 내부 조사관은 24명에 불과하다. 쏟아지는 업무에 대응하기에는 역부족이라고 토로했다.

그는 “위법 여부에 대한 조사에 더해 기술 변화에 법·제도가 발맞추려면 인력과 역량이 확보돼야 하는데 현재는 많이 부족하다”고 피력했다.