[디지털데일리 이종현기자] 지난 2월27일 개인정보보호법 개정안이 국회를 통과했다. 3월7일 국무회의에서 의결됐고 오는 14일 공포된다. 6개월의 유예기간을 둔 뒤 9월15일부터 개정법이 시행된다.

개정법은 일부 내용을 손보는 것이 아니라 큰 변화가 있는 전부개정이다. 개인정보 전송요구권 및 인공지능(AI)에 의한 자동화 결정에 대한 거부 또는 설명 요구권 추가, 자율주행이나 로봇, 드론 등 이동형 영상정보처리기기에 대한 기준 마련, 과징금 제도 개편 등이 핵심 내용이다.

◆그간 ‘반쪽’이었던 마이데이터, 9월부터 본격 시행

법 개정으로 변하는 내용 중 가장 많은 주목을 끈 것은 개인정보 전송요구권이다. 전송요구권은 개인이 자신의 개인정보를 보유한 기업·기관에게 그 정보를 다른 곳으로 옮기도록 요구할 수 있는 권한을 의미한다.

이로 인해 활성화되는 것은 마이데이터다. 기존에는 금융 상담 과정에서 A 은행에 서류를 제출한 뒤 B 카드사에도 동일한 서류를 제출해야 했다. 여기에 마이데이터 서비스가 적용될 경우, 고객이 요청할 때 A 은행이 B 카드사에게 곧바로 데이터를 전달함으로써 불편함을 줄일 수 있다. 은행 계좌나 카드 사용내역 등을 통합 관리하는 핀테크 서비스 다수가 마이데이터를 기반으로 한다.

마이데이터가 이제야 처음 시행되는 것은 아니다. 금융 분야는 신용정보보호법, 공공 분야는 전자정부법에 개인의 정보를 이동할 수 있도록 요구하는 법적 근거가 마련돼 일찌감치 마이데이터 산업이 활성화됐다.

그러나 산학계에서는 현행 마이데이터를 ‘반쪽’이라고 꼬집는다. 마이데이터가 진정한 의미를 지니려면 다른 산업간 정보가 서로 결합돼야 하는데 위치 및 의료정보의 경우 법적 근거가 없는 탓에 그러지 못했다는 지적이다.

이번 개인정보보호법 개정으로 일반법에서 개인정보를 옮길 수 있는 법적 근거가 마련됨에 따라 마이데이터가 보다 활성화될 것으로 전망된다. 그리고 이는 보다 많은, 양질의 데이터를 요구하는 인공지능(AI) 산업 발전에도 긍정적이다.

◆현실 반영 못했던 내용도 대폭 개선

현실적이지 않다고 지적을 받아온 부분도 다수 개선됐다. 온라인 사업자와 오프라인 사업자간 적용되는 규정이 달랐던 것을 일원화하거나, 드론이나 자율주행차와 같은 카메라가 설치된 이동형 영상정보처리기기의 운영 기준을 마련하는 등이다.

특히 이동형 영상정보처리기기의 경우 자율주행차나 서빙로봇, 드론 등이 실생활에 활용되고 있지만 법적 사각지대에 놓였었다. 기존 법은 폐쇄회로(CC)TV와 같은 고정형 영상정보처리기기에 대해서만 운영 기준을 뒀다.

개정법에서는 이동형 영상정보처리기기로 공개된 장소에서 업무를 목적으로 사람 또는 그 사람과 관련된 사물의 영상을 촬영할 수 없도록 원칙적으로 금지했다. 정보주체의 동의를 받거나 정보주체와 체결한 계약을 이행하는 등 예외적인 경우에 촬영할 수 있도록 했다. 이에 따라 영상정보에 대한 비식별 조치 등 기술에 대한 수요가 크게 증가할 것으로 전망된다.

AI 기술을 이용해 자동화된 시스템으로 개인정보를 처리해 이뤄지는 결정에 대해 거부하거나 설명을 요구할 수 있도록 하는 내용도 더해졌다. 앞으로 대출, 채용 등 민감한 결정까지 AI가 담당하는 영역이 확대될 것으로 예상되는 가운데 선제적인 조치에 나섰다.

법 위반 기업들에 대한 과징금 상한액도 늘렸다. 최대 전체 매출액의 3%까지 부과할 수 있도록 했다. 위반 행위와 관련 없는 매출액은 제외하는 방식이다.

◆일각선 “과징금 글로벌 스탠다드화 실패” 지적도

호평만 있는 것은 아니다. 기존 개인정보위 안에서는 과징금을 전체 매출액의 3%로 부과하겠다고 한 것에 비해 개정법에서는 전체 매출액의 3%(-관련 없는 매출액)으로 변경됐다. 사실상 관련 매출액 3%에서 변한 게 없는 것 아니냐는 지적이 나온다.

아예 의미가 없는 변화는 아니다. 기존 법의 경우 법 위반시 개인정보위가 관련 매출액을 입증해야 했다. 해당 기업이 자료를 제출하지 않을 경우 과징금 산정이 어렵다는 의미다. 실제 메타(구 페이스북)가 개인정보위 조사 과정에서 거짓 또는 불완전한 자료를 제출해 조사를 방해한 사례가 있었다.

개정법에서는 우선 개인정보위가 전체 매출액을 기준으로 과징금을 산정하고, 기업이 관련 없는 매출액을 입증하도록 하는 형태로 바뀌었다. 입증 책임이 개인정보위에서 기업으로 바뀌어 실효성이 강화됐다.

그러나 최종 과징금 금액이 낮아 기업들에게 경각심을 주는 데는 실패하리라는 평가가 나온다. 중대한 사고가 있더라도 기존처럼 ‘솜방망이 처벌’만 이뤄져 보안 투자 확대로는 이어지지 않으리라는 지적이다.

진보네트워크센터, 참여연대 등 시민단체는 “애초 정부안도 전 세계 연간 매출액 4%까지 부과할 수 있는 유럽연합(EU)의 개인정보보호법에 미치지 못했는데 그마저도 후퇴했다. 여전히 무엇이 관련 매출액인지에 대한 논란이 발생할 수밖에 없고 기업들은 이를 빌미로 소송을 제기해 법 위반에 대한 처벌이 한없이 유예되지 않을지 우려된다”고 성명을 발표했다.

정보기술(IT) 업계 관계자는 “첫술에 배부를 수는 없다. 처벌을 지나치게 강화할 경우 기업들의 활동에 제약이 생길 수 있고, 이런 갈등 요소 때문에 빨리 통과돼야 했던 법 개정이 지체됐다”며 “과징금의 규모에 대해서는 논의를 이어가며 적정선을 찾아 개정하면 된다고 생각한다”고 의견을 개진했다.