[세미나=TMT] 개정 개인정보 보호법의 내용과 전망
[세미나=TMT] 개정 개인정보 보호법의 내용과 전망
  • 기사출고 2023.04.04 08:55
이 기사를 공유합니다

개인정보 전송요구권 도입, 개인정보 처리요건 완화

개인정보 보호법의 이른바 제2차 전면 개정안이 2월 27일 국회 본회의를 통과했다. 개정법은 3월 7일 국무회의에서 의결되어 3월 14일에 공포되었으며, 개인정보 전송요구권 및 자동화된 결정에 대한 대응권 등 일부 예외를 제외한 대부분의 규정이 9월 15일부터 시행된다.

이번 개정은 디지털 사회에서 개인정보 활용을 통한 신기술 성장 기반 마련, 정보주체의 권리 강화, 글로벌 규제와의 상호운용성 확보를 목적으로 하며, 일부 개정임에도 불구하고 전면 개정에 준한다고 평가된다. 법무법인 광장이 한국데이터법정책학회(사)와 공동으로 개인정보보호위원회(이하 "개인정보위")의 후원 아래 웨비나를 개최하여, 개정 개인정보 보호법의 내용과 이로 인해 예상되는 변화를 살펴보고, 개정법에 대비할 수 있는 통찰을 모색하고 있다.

총 3회 웨비나 예정

웨비나는 총 3회의 시리즈 형식으로 진행되며, 3월 15일 진행된 1회차 웨비나에선 법무법인 광장의 고환경 변호사가 "개인정보 처리근거 완화, 가명처리, 개인정보 전송권"을 주제로 발제했다. 이어 한국데이터법정책학회장인 고려대 이성엽 교수가 좌장을 맡아, 서울대 로스쿨의 권영준 교수, 네이버의 이진규 상무, 개인정보위 이병남 과장, 법무법인 광장의 이일신 변호사가 토론을 벌였다. 주요 발제 및 토론 내용을 요약해 소개한다.

1. 개인정보 전송요구권 도입

①"개인정보 전송요구권(Right to Data Portability)"이란 정보주체가 개인정보처리자에 대해 본인의 개인정보를 본인 또는 제3자에게 전송하도록 요구할 수 있는 일반적 권리를 의미한다. 금융 · 공공 등 일부 분야에서 전송요구권의 근거를 마련하여 마이데이터 사업이 추진되고 있는데, 이번 개정으로 개인정보 보호법에 일반 조항이 도입되었다(제35조의2). ②또한 개인정보 전송요구권 행사 지원, 개인정보 전송시스템의 구축 및 표준화, 개인정보의 관리 · 분석, 기타 정보주체의 권리 행사를 효과적으로 지원하기 위해 시행령으로 정하는 업무를 수행하는 기관인 "개인정보관리 전문기관"에 관한 조항(제35조의3), ③개인정보 전송 지원 플랫폼 등 개인정보위의 개인정보 전송 관리 및 지원에 관한 조항(제35조의4)도 신설되었다.

◇법무법인 광장이 3월 15일 개정 개인정보 보호법에 관한 웨비나를 열어 내용과 이로 인해 예상되는 변화 등에 대한 통찰을 모색했다. 웨비나는 총 3회로 기획되어 두 차례 더 개최될 예정이다.
◇법무법인 광장이 3월 15일 개정 개인정보 보호법에 관한 웨비나를 열어 내용과 이로 인해 예상되는 변화 등에 대한 통찰을 모색했다. 웨비나는 총 3회로 기획되어 두 차례 더 개최될 예정이다.

개인정보 전송요구권의 도입으로 정보주체의 개인정보 통제권이 강화되고, 마이데이터의 전 산업 분야 확산 및 디지털플랫폼정부 구현이 가속화될 것으로 전망된다. 다만, 기업 간 또는 분야 간 개인정보 전송이 활성화되기 위해서는 데이터 형식 및 전송 방식의 표준화가 필수적이며, 시행령에서 세부사항을 합리적으로 규정해야 한다. 또한 디지털플랫폼정부 및 개인정보위를 컨트롤 타워로 하여 관련 부처 간 협의 및 일관된 법 해석이 가능하도록 하는 거버넌스 체계와 관련 소통창구를 마련하는 방안, 마이데이터 사업자가 다양한 정보를 활용하여 정보주체에게 혁신적이고 실용적인 서비스를 제공할 수 있도록 특별법을 제정하는 방안을 고려할 필요가 있다.

2. 개인정보 처리근거 완화

정보주체의 동의 없이 개인정보를 처리할 수 있는 요건이 일부 완화되었다.

①정보주체와의 계약 체결 및 이행을 위해 "불가피하게 필요한" 경우 동의 없이 개인정보의 수집 · 이용이 가능하던 것에서, "불가피하게" 요건을 삭제하였다(제15조 제1항 제4호). ②"정보주체 또는 그 법정대리인의 동의를 받을 수 없고, 명백히 생명 · 신체 · 재산 · 이익을 위해 필요한 경우" 동의 없이 개인정보의 수집 · 이용 또는 목적 외 이용 · 제공이 가능하던 것에서, "동의를 받을 수 없는 경우" 요건을 삭제하였다(제15조 제1항 제5호, 제18조 제2항 제3호). ③또한 개인정보 수집 목적 내에서 동의 없이 제3자에게 제공할 수 있는 경우로 "개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우"가 추가되었으며(제17조 제1항에서 제15조 제1항 제6호 인용), ④코로나19 팬데믹 등 상황을 고려하여 "공중위생 목적 등 공공의 안전과 안녕을 위해 긴급히 필요한 경우"를 동의 예외 사유로 신설함으로써 동의 없이 개인정보의 수집 · 이용 및 목적 외 이용 · 제공이 가능해졌다(제15조 제1항 제7호, 제18조 제2항 제10호).

개정법은 정보주체의 형식적이고 사전적인 필수 동의에 과도하게 의존하는 실무 관행을 다소 완화 · 개선할 것으로 예상된다. 다만, 계약의 체결 및 이행을 위해 개인정보의 "제공"이 필요한 경우에는 여전히 사전 동의가 요구된다는 점에 유의해야 한다(제17조 제1항에서 인용하는 제15조 제1항 각호 규정에 제4호는 미 포함). 나아가 정보주체가 동의의 내용을 구체적으로 인지하지 못하고 인공지능의 발달로 대량의 개인정보가 처리되는 현실과 개인정보의 다양한 적법한 처리근거를 활용하는 해외 실무를 고려할 때, 사전 동의 및 구분 동의 제도에 대해 근본적으로 재고할 필요가 있다.

3. 가명정보 처리 규정 정비

①가명정보 처리 시 가명정보 처리 목적 등을 고려하여 처리 기간을 별도로 정할 수 있도록 하는 규정이 도입되었다(제28조의4 제2항). ②또한 "가명정보"를 "제28조의2 또는 제28조의3에 따라 처리된 가명정보"로 명확히 하고, 가명정보에 대하여도 파기 의무가 적용됨을 명확히 하였다(제28조의7).

데이터 경제의 가치사슬(구축-유통-활용) 체계 하에서는 가명정보를 통해 국민 개개인이 데이터 기반 혁신 서비스를 이용할 수 있으며, 특히 가명정보는 AI 산업의 학습데이터로 활용될 수 있다. 가명정보에 대해 제3자 제공이 금지되어 있는 부분에 있어서도 제도 개선이 필요할 것으로 보이며, 초거대 AI 환경에서 AI 학습데이터 확보의 중요성이 더욱 커지고 있으므로 그와 관련한 추가적인 법제도 개선도 필요할 것으로 보인다.

4. 토론

이번 개정으로 정보주체의 권리를 실질적으로 강화하면서 데이터 기반 경제의 방향성에도 부합하는 법제 개선이 가능하게 된 것으로 보인다. 개인정보 분야는 법과 기술, 법과 사회의 공진화(coevolution) 내지 동반진화가 특히 중요한 영역으로, 개인정보 법제는 단순하고 경직된 법제보다 세밀하고 유연한 법제를 지향할 필요가 있다. 개인정보 처리근거 완화, 특히 동의 제도 개선은 이러한 방향성에 부합한다.

사전 일률규제에서 사후 개별규제로 사전적인 일률 규제에서 사후적인 개별 규제로 입법 · 정책적 차원의 개선이 이루어질 것으로 보인다. 개인정보 활용의 문턱은 낮추되, 활용 과정에서 발생할 수 있는 구체적인 위험을 세밀하게 포착하고 상응하는 구체적인 주의의무와 책임을 집중적으로 강화하는 방향을 추구해야 한다.

제15조 제1항 제6호는 이번에 개정되지 않았는데, 관련하여 논의가 필요하다. 이는 일반적인 이익 형량을 통해 동의 없는 활용을 가능하게 하는 매우 중요한 조항인데, GDPR 제6조 제1항 (f)가 처리주체의 정당한 이익과 정보주체의 기본적 권리 및 자유를 평등하게 형량하는 것과 달리, "명백성" 기준을 채택하여 형량이 한쪽에 기울어져 있다. 이로 인해 법이 원래 의도한 개인정보 활용의 가능폭이 줄어들 위험이 있고, 동의와 비동의 사유 사이의 합리적 역할 분담을 도모하려는 개정법의 취지가 현실에서 구현되는 데 걸림돌이 될 수 있다. (이상 권영준 교수)

개인정보 전송요구권(Right to Data Portability)은 Portable Data를 전제로 하며, Portable Data를 어떻게 실현할 것인가에 따라 개인정보 전송요구권 보장의 수준이 결정된다. 따라서 누가 Portable Data를 생성하는지, 누가 Data를 Porting하는지, 누가 특정 Data가 Portable한지 결정하며 그 기준은 무엇인지에 관하여, 사전에 충분히 논의하여 기준을 마련해야 한다.

또한 개인정보 전송요구권이 실무에 어떻게 적용될지 많은 혼란이 예상된다. 전문기관의 역할은 무엇인지, 금융 · 의료 마이데이터 및 글로벌 플레이어들과의 상호운영성은 어떻게 확보할 것인지, 데이터 전송 방식으로 API만 허용할 것인지 또는 다양한 방식을 허용할 것인지에 대하여, 개인정보위의 해석 및 기준의 상세화가 필요하다.

개인정보 처리근거 완화와 관련하여, 동의 만능주의 해소를 위한 정책적 넛지를 제공할 필요가 있으며, 개정법 제15조 제1항 제4호가 규정하고 있는 "정보주체의 요청에 따른 조치"의 해석 및 서비스에의 적용에 관해 충분한 논의가 필요하다. 그리고 민감정보 및 고유식별정보의 처리 관련 규정은 개정되지 않았는데, 우리 법은 GDPR과 비교하여 과도하게 제한된 적법처리 근거만 허용하고 있으므로 이를 다양화할 필요가 있다고 생각된다.

또한 가명정보는 보호조치를 한 안전한 정보인데, 위험한 정보라는 인식이 있으므로 이를 개선할 필요가 있다. 그리고 가명정보 결합에 대해 보다 큰 자율성을 부여하고, 결합정보 이용에 대한 TTP(Trusted Third Party) Review 절차를 마련하는 방안도 고려할 수 있을 것이다. (이상 이진규 상무)

개정법상 규제의 변화는 데이터 산업 활성화에 긍정적인 영향을 줄 수 있을 것이나, 입법목적을 보다 효과적으로 달성하기 위해서는 일부 이슈에 대해 생각해볼 필요가 있다. 먼저 개인정보 처리근거 완화와 관련하여, 제15조 제1항 제4호의 "불가피성" 요건이 삭제되었으나, 이로 인해 동의 없는 수집 · 이용이 가능한 범위가 어떻게 변경되어 적용될지에 대해 판례나 유권해석이 집적되기 전까지는 사업자들이 예상하기 곤란하므로, 적극적이고 구체적인 법 해석이 수반되어야 한다.

AI 관련 적극적 해석 필요

또한 개정법은 AI 학습데이터 수집을 위한 개인정보 처리근거 완화를 규정하지는 않았으나, AI 산업 활성화를 위해 개정법을 근거로 한 적극적인 해석이 필요하다. 예를 들어, 계약의 체결 및 이행에 관하여 완화된 요건을 AI 학습데이터 수집 · 이용에 적용하는 방안, 현행법상 개인정보처리자의 정당한 이익을 달성하기 위해 필요한 경우에 관한 규정의 적용 범위를 확대하여 이에 포섭하는 방안 등을 고려할 수 있다. 특히 프로파일링을 전제하지 않는 공개된 학습데이터의 수집에 대해서는 대법원의 로앤비 판결에 기초하되 유연한 법 해석을 통해 동의 없는 처리를 인정하거나, 향후 국민적 공감대의 형성을 전제로 그 처리근거 완화를 법제화하는 방안도 생각해 볼 수 있다.

마지막으로, 개인정보 전송요구권 규정이 데이터 경제 활성화를 위한 '사업'으로 이어지기 위해서는 개인정보관리 전문기관의 역할이 시행령 등을 통해 보다 명확히 규정되어야 한다. 그리고 개인정보 전송요구권에 기반하여 마이데이터 사업을 전 분야로 확장함에 있어 개인정보 보호법에 국한되지 않고 관련 법제도를 사전적으로 정비할 필요가 있을 것이다. (이상 이일신 변호사)

정리=리걸타임즈 이은재 기자(eunjae@legaltimes.co.kr)