개인정보 보호법 2차 전면 개정(안)...무엇이 바뀌나 [알아야 보이는 법(法)]

개정 ‘데이터 3법’이 지난해 8월5일 시행된 지 얼마 지나지 않았는데, 그 중심에 있는 개인정보보호법(이하 개보법)의 2차 개정이 추진된다. 새해 첫주였던 지난 6일 입법예고된 이 법안은 2월16일까지 의견 수렴을 거친 뒤 국회에 발의될 전망이다. 무엇이 달라지기에 법률을 연달아 대거 개정하는 것일까.

먼저 수범자들이 환영할 만한 주요 개정사항에 대해 살펴본다.

첫째 개보법에서 요구하는 안전성 확보조치(암호화해라, 방화벽 써라 등)를 위반하여 고객정보 해킹을 막지 못하면 과징금 부과 대상이다. 현행법에서는 ‘조치의무 위반’과 ‘유출’ 사이의 ‘인과관계’ 유무를 불문하고 과징금을 부과할 수 있도록 일응 규정되어 있다(이 부분이 이른바 ‘인터파크 사건’에서 쟁점이 되었다). 개정안에서는 과징금 부과 시 인과관계를 고려하도록 명문화되었다(64조의 2 3항 5호). 그러면 개인정보 처리자의 행위와 인과관계 없는 엉뚱한 사고에 대해서 과징금을 물릴 일은 없어질 것이다.

둘째 위와 같은 조치의무를 위반하여 고객정보를 유출 당하면 현행법에서는 그 기업·기관뿐만 아니라 보안 담당자 개인까지 처벌 대상으로 삼고 있다(73조 1호). 이에 대해 “기업·기관이 담당자 개인의 책임으로 넘기고 ‘꼬리 자르기’를 할 수 있다”는 지적이 제기되어 왔다. 개정안은 이 지적을 받아들여 처벌조항을 삭제하고 있으므로 개정안이 통과되면 기업·기관이든, 담당자 개인이든 고객정보 해킹을 당했을 때 형사처벌을 받을 일은 없어진다. 물론 행정제재와 민·사상 손해배상 책임은 여전히 부과된다.

셋째 수탁자가 위와 같은 조치의무를 위반하여 고객정보가 유출됐다면 현행법상 과징금 부과 대상은 위탁자만이고 수탁자는 빠져있다(39조의 15 1항 각호). 이것은 1차 개정 시 개보법과 정보통신망법이 통합되는 과정에서 발생한 작은 흠결이다. 예컨대 스타트업이 고객정보를 아마존 클라우드(AWS) 등을 통해 처리할 때 그 스타트업이 위탁자, 아마존이 수탁자 지위에 각각 놓인다. 통상 위탁자가 갑(甲), 수탁자는 을(乙)의 입장이지만 이 사례에서는 지위가 역전되어 있다. 아마존 클라우드의 보안 소홀, 즉 거대한 수탁자의 과실로 위탁자가 손 쓸 도리 없이 개인정보 유출 등 사고가 터졌을 때 현행법에 따르면 그런 거대한 수탁자를 제재하지 못한다. 개정법은 각 과징금 부과 요건을 수탁자에게도 준용토록 함으로써 흠결을 메우고 있다(64조의 2 1항 각호).

넷째 현행법상 개인정보 수집 허용요건 중 “정보 주체와의 계약 체결 및 이행을 위해 ‘불가피하게’ 필요한 경우”가 있다. 서비스 제공에 필수적인 개인정보에 대해서는 굳이 동의를 받을 필요가 없으며, 오히려 명시적 동의 절차를 강제하면 정보 주체를 ‘예스(yes) 거수기’ 취급하는 셈이 된다. 필수 설치하는 액티브엑스 보안 프로그램에 학습 된 이용자들이 악성 코드 설치 시에도 ‘yes’를 연타해 보안이 더 취약해진 것과 같은 이치이다. 이 때문에 필수 수집항목(이른바 contractual necessity)에 대해서는 동의 절차를 면제하는 것이 글로벌 스탠더드이다. 그런데 현행법상 ‘불가피하게’라는 수식어로 이 동의면제 사유를 매우 좁고 보수적으로 인식하는 경향이 있었다. 개정안은 ‘불가피하게’를 삭제함으로써 그러한 경직성을 완화하고 있다(15조 1항 4호).

다섯째 개인정보 수집 허용요건(동의, 계약, 법률, 공공기관 소관업무, 긴급피난, 정당방위 등)을 구비하지 못한 때, 즉 무단 수집행위에 대해 부과되는 제재가 과태료에서 과징금으로 상향된다(64조의 2 1항 1호). 제재 수위가 높아지는 것 자체를 환영하는 것은 아니지만, 개인정보의 무단 3자 제공 등 유사한 위법행위가 과징금 부과 대상인 것과 정합성이 맞게 되었다는 측면에서 바람직하다.

여섯째 개인정보 전송 요구권 제도가 신설된다(35조의 2). 정보 주체의 동의 또는 계약에 근거하여 개인정보가 전산처리될 때 정보 주체가 직접 본인 정보를 내려받을 수 있음은 물론, 다른 개인정보 처리자 또는 전문기관에 전송할 것을 요구할 수 있게 된다. 이때 전송 형식은 ‘전산처리 가능하고 통상적으로 이용되는 구조화된 형식’(표준 포맷)이어야 한다. 참고로 이러한 법률효과는 전송된 정보에 대해서 정기적 갱신(refresh)까지 해주어야 한다는 신용정보법상 마이 데이터 제도만큼 강하지는 않다.

일곱째 1년 휴면회원의 개인정보 파기 규제(39조의 6)가 폐지된다. 이 규제로 군에 입대하거나 해외유학 등을 다녀오면 계정이 정지되어버려 오히려 이용자의 개인정보 자기 결정권을 침해할 수 있다는 비판이 제기되어 왔는데, 개정안에서 이를 수용한 것이다.

여덟째 시민에 의한 견제가 커질 것으로 보인다. 자율규제 단체나 소비자 단체 등이 시중의 개인정보 처리방침에 대해서 그 위법 여부를 주무부처에 심사를 청구할 수 있다는 조항이 신설된다(30조의 2).

아홉째 정보 주체에게 이른바 ‘프로파일링 거부권’이 주어진다. 자동화된 개인정보 처리에만 의존하여 정보 주체의 생명·신체·정신·재산에 중대한 영향을 미칠 때 정보 주체는 개인정보 처리자에게 설명을 요구하거나 이의를 제기할 수 있다. 나아가 공공기관의 프로파일링에 대해서는 거부권까지 행사할 수 있다(37조의 2).

열째 ‘이동형 영상정보 처리기기’의 개념 및 이에 대한 특례가 도입된다. 차량이나 드론 등의 카메라에서 촬영 사실을 표시하였거나 정보 주체가 촬영 사실을 알 수 있었음에도 거부 의사를 밝히지 않으면 촬영이 허용된다. 카메라 화각 안에 들어온 행인에게 일일이 동의서를 들이밀 수 없다는 현실을 고려한 특례이다. 물론 이렇게 촬영이 허용됐다 할지라도 정보 주체의 처리정지요구권(opt-out)을 보장해야 하고, 정보 주체의 권리를 부당하게 침해하거나 도촬을 하는 것은 금지된다(25조의 2).

한편 개정안 가운데에는 사회적 논의가 더 필요할 만한 쟁점도 보인다.

첫째 ‘고정형 영상정보 처리기기’의 개념을 다듬을 필요가 있다. 현행법도, 개정안도 이를 ‘일정한 공간에 지속적으로 설치되어 사람·사물의 영상을 촬영·전송하는 장치’로 정의한다. 한편 촬영한 영상 자체로 또는 다른 정보와 쉽게 결합하여 개인을 식별할 수 있어야 비로소 여기에 해당한다는 요건은 빠져있다. 그러다 보니 예컨대 원본 영상 저장 또는 안면인식 등을 하지 않으면서 오로지 체온만 측정하는 적외선 열화상 카메라는 개인정보를 처리하지 않는데도 보호법의 규제를 받을 소지가 생기게 된다.

둘째 개정안은 정부 주도 규제의 한계를 인정하면서, 대안으로 자율규제를 활성화하기 위해 단체를 지정할 수 있도록 하고 정부 지원 근거를 마련하고 있다(13조의 2, 3). 그러나 개인정보 처리자가 자율규제를 어겼을 때 어떤 법률상 불이익이 부과되는지를 규정한 조항은 보이지 않는다. 자율규제란 산업계 스스로 “우리는 이렇게 잘하겠습니다”라고 소비자에게 공약(公約)을 내거는 것이다. 자율규제 인증 마크를 달고 있는 상품·서비스는 소비자의 신뢰를 얻어 구매로 연결될 가능성이 커지기 때문에 산업계에서는 이를 운영할 유인이 있다. 이것을 어겼을 때 윤리적 비난뿐만 아니라 법적 불이익도 가해질 수 있어야만 자율규제가 제대로 지켜진다. 예컨대 미국은 기업 스스로 내건 약속(계약뿐만 아니라 상품용기·웹 페이지 표시문구 및 광고 등도 포함됨)을 어기면 허위(false or misleading) 표시·광고로써 소비자를 기망했다고 보아 무겁게 제재한다. 따라서 이번 개정안에도 자율규제를 위반한 개인정보 처리자에 대해 정부가 조사권을 행사하거나 시정명령 등을 부과하도록 하는 제도 도입을 검토해봄직하다.

셋째 과징금의 상한액이 대폭 상향되었다. 현행법상 i)정보통신 서비스 제공자(온라인 사업자 등)인 개인정보 처리자가 고객정보를 유출하거나 오·남용하면 ‘위반행위와 관련된 매출액의 3% 이하’의 과징금 ii)그 외 유형의 개인정보 처리자(오프라인 사업자, 비영리 기관 등)가 주민등록번호를 유출하면 ‘5억원 이하’의 과징금 iii)가명정보를 갖고 개인 재식별을 꾀하면 개인정보 처리자의 유형을 불문하고 ‘전체 매출액의 3% 이하’의 과징금이 부과될 수 있다. 이 중 iii)의 과징금액이 과다하다는 지적이 데이터 3법 개정 이래 끊이질 않았다. 그런데 이번 개정안은 한 술 더 떠서 모든 유형의 과징금 대상 행위에 대해 ‘전체 매출액의 3%’를 기준으로 부과하는 쪽으로 획일화를 하고 있다(39조의 15). 예컨대 건설회사가 구축한 어느 스마트 시티 시범단지에서 사이버 보안 소홀로 개인정보가 유출됐다면 현행법에 따를 때 위반행위와 관련된 매출액(문제된 스마트 시티 관련 매출액)의 3%가 과징금의 상한액인데 비하여 개정안에 따르면 그 건설사 전체 매출액(개인정보 처리와 상관없는 다른 사업부문 매출액까지 포함)의 3%에 달하는 과징금이 부과될 여지가 생긴다. 이것은 과징금액이 위법성의 정도 및 취득된 부당이득의 정도와 비례해야 한다는 대원칙에 어긋난다. 이 문제를 해결하려면 ‘전체 매출액’ 부분을 ‘위반행위와 관련된 매출액으로서 대통령령이 정하는 매출액’으로 바꿔야 한다(참고로 공정거래법이 이 방식으로 관련 매출액 제도를 운영하고 있다).

넷째 개보법과 다른 법률과의 관계를 정립하는 조항이 난해하게 바뀌었다. 현행법 6조는 “개인정보 보호에 관하여는 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법에서 정하는 바에 따른다”라고 되어 있다. 한편 개정안 6조 2항은 “개인정보에 관하여 이 법과 다른 법률이 경합하는 경우에는 이 법을 우선 적용한다. 다만, 다른 법률을 적용하는 것이 정보 주체의 개인정보 보호에 유리한 경우에는 그 법을 적용한다”라고 바뀌었다. 그런데 ‘개인정보 보호에 유리한 경우’가 도대체 무슨 뜻인가. 정보 주체의 입장에서 개보법이 유리한가, 신용정보법이 유리한가. 우리의 신용정보가 우리 손을 떠나 신용정보 집중기관에 모임으로써 정보 주체의 자기 결정권이 일견 제한되니 불리하다고 할 것인가, 아니면 그 데이터 덕분에 우리가 신용대출을 받거나 신용 카드를 쓸 수 있으니 결과적으로 유리하다고 할 것인가. 특별법에서 공공복리를 위해 그 분야에 한하여 정보 주체의 권리를 일부 제한하는 특칙을 두는 사례가 있을 것인데, 그러한 특칙이 개보법보다 불리하다는 이유로 개보법을 우선 적용하고 특별법을 배제할 것인가. 생각건대 현행법 6조를 그대로 두거나 혹은 “다른 법률의 개별 조항이 이 법률을 배제하고자 하는 취지가 분명한 경우를 제외하고는 이 법에서 정하는 바에 따른다”라고 함으로써 개보법의 일반법적 지위를 선언하는 것이 적정해 보인다.

개보법은 2011년 제정된 이래 매우 광범위한 개인정보의 범위, 경직된 동의제도 등 쟁점이 많았다. 그러다가 2018년 해커톤을 계기로 어느 정도 사회적 합의가 이루어지면서 작년에 대폭 개정될 수 있었다. 그 연장선상에서 법을 좀 더 다듬어 현실 적합성을 높이고자 하는 것이 이번 2차 개정안의 취지로 보인다. 특히 ‘contractual necessity’ 인정 사유를 넓힌 것은 고무적이다. 지난 1차 개정에 1년이 넘게 걸렸는데, 이번 2차는 어떨까. 논의에 참여하는 국민이 부디 소비자 보호 및 데이터 활용의 가치 사이에서 균형을 놓치지 않기를 바란다.