개인정보 보호법 개정안이 지난 2월 말 국회를 통과했다. 2020년 7월 이후 발의된 총 21개의 개인정보 보호법 개정안들을 아우르는 통합안이다. 개인정보 보호 및 데이터산업 육성을 위해 제안됐던 다양한 내용들이 학계와 산업계 등의 의견을 수렴하고 논의를 거쳐 개정안에 반영됐다.
고객 및 이용자 개인정보에 기반을 둔 산업 및 서비스가 폭발적으로 성장하고 있는 오늘날, 개인정보 보호법은 가장 핵심적인 법령 중 하나로 자리 잡은 지 오래다.
더욱이 최근 인공지능(AI)과 메타버스 등 다양하고 고도화된 방식의 개인정보 처리 및 활용이 빠르게 확대되는 상황에서 이번 개인정보 보호법 개정은 그 의미가 크다.
개정안은 사업자가 고객 및 이용자의 요청에 따른 계약 및 서비스를 제공하기 위해 반드시 필요한 개인정보를 수집하는 경우에는 동의를 면제하고(개정안 제15조 제1항 제4호), 일정한 개인정보 보호 조치에 대한 인증을 갖춘 사업자 또는 실질적 보안 동등성을 갖춘 국가 등에 대한 국외 이전 허용범위를 확대하는 등(개정안 제28조의 8 제1항 제4호, 제5호), 상당히 엄격했던 동의 요건들을 서비스 현실과 산업계의 합리적인 필요를 고려해 적정한 수준으로 개선했다. 사업자들의 서비스 개선 및 편의성 강화에 미칠 긍정적인 효과가 적지 않을 것으로 본다.
뿐만 아니라 개정안에는 산업계와 학계, 시민단체 등 다양한 이해관계인들이 치열하게 논의해 온 쟁점들도 포함됐다. 개정안의 핵심으로 평가되는 개인정보 전송요구권이 대표적이다(개정안 제35조의 2). 정보 주체가 일정한 기준의 사업자(개인정보 처리자)에 대해 자신의 개인정보를 본인 또는 제3자에게 전송할 수 있는 전송요구권은 정보 주체 스스로 자신의 개인정보를 통제할 수 있는, 이른바 ‘개인정보 자기결정권’의 핵심이다. 정보 주체의 요청에 따라 그 개인정보가 다양한 서비스 제공자에게 제공 및 공유해 기업의 데이터 독점을 방지하고, 개인정보에 기반을 둔 다양한 서비스의 등장을 촉진하는 제도이기도 하다.
하지만 우려도 있다. 정보 보안 측면에서 안전한 정보 전송을 위한 암호화나 기술적 표준은 어떻게 정할지, 정보 주체에 요청에 따라 개인정보를 전송하는 과정에서 보안 사고가 발생하였을 때 누구의 책임으로 볼 지 등이 명확하지 않다.
정보 주체의 개인정보는 사업자가 많은 자원과 시간을 들여 확보한 데이터베이스이자 중요한 자산인데 정보전송권을 통해 이를 의무적으로 다른 사업자에게 이전하도록 요구하는 것이 공정 경쟁을 촉진하는지에 대한 의문도 있다.
사업자들은 그 서비스에 필요한 방식과 형태로 고객 개인정보를 수집하고 이를 활용하므로 다른 사업자가 이를 이전받더라도 실효성 있게 이용하기 어렵다는 회의론도 있다.
개인정보 보호법 개정안이 전송요구권, 그리고 다른 개인정보 이슈들에 대한 명쾌한 해답을 담지 못했다고 실망할 필요는 없다. 개정안은 정보 주체와 사업자들이 공감할 수 있는 실효성 있는 제도를 마련해 나가기 위한 시작점이자 최소한의 법적 토대일 뿐이다. 전송요구권이 정보 주체의 기본권으로서 보장돼야 한다는 정신하에 정보 보안이나 기존 사업자의 정당한 권리와 제도의 실효성을 확보하기 위한 세부적이고 구체적인 실행 방안은 앞으로 지속적인 논의와 의견 수렴을 통해 찾아나가야 한다. 다른 제도들도 마찬가지다.
개인정보는 디지털경제와 데이터산업의 핵심적인 자원이고 그 활용은 현대사회에서 거대한 물결과 같다. 기존에 경험하거나 예상하지 못한 다양한 쟁점들이 계속적으로 등장하고 있다.
이번 개인정보 보호법 개정을 계기로 산업계와 학계 등의 다양한 논의가 촉진되고, 이를 통해 개인정보 보호 및 활용에 관한 개정안의 다양한 제도들이 구체화돼 합리적이고 실효성 있게 운용될 수 있기를 기대한다.
노태영 김앤장 법률사무소 변호사
jakmeen@heraldcorp.com