개정 개인정보 보호법의 시행이 목전에 있다. 올해 9월 15일 시행될 예정인데, 이에 맞춰 시행령도 입법예고되었다. 이번 개정은 정부안을 중심으로 국회에서 발의된 20여개 의원안을 통합한 실질적인 전면개정으로 평가된다. 개인정보보호위원회(이하 '보호위')는 이번 개정으로 디지털 전환이 가속화하는 환경 속에서 국민의 권리를 실질적으로 보장하고 합리적인 규제 정비로 법적 불확실성을 해소하여 데이터 경제 시대에 기업과 산업이 성장할 수 있는 토대가 마련되길 기대하고 있다.
9월 15일 시행 예정
개정법 시행에 따른 기업들의 움직임도 바빠지고 있고, 개인정보 프라이버시 컴플라이언스 자문수요도 꾸준히 늘고 있다. 점검 차원에서 이번 개정에서 개인정보처리자가 주목해야 할 내용 몇 가지를 짚어보려고 한다(내년 3월 15일 시행 예정인 개인정보 전송요구권과 자동화된 결정에 대한 정보주체의 권리조항에 대한 설명은 생략한다).
첫째, 개정법은 형사처벌 조항을 대폭 손질하는 동시에 과징금 부과규정을 정비하면서 과징금 상한을 '전체 매출액의 100분의 3'으로 상향하였다(법 제64조의2). 개정과정에서 가장 첨예한 의견대립이 있었던 쟁점이다. 다만, 전체 매출액에서 '위반행위와 관련이 없는 매출액을 제외'한 매출액을 기준으로 과징금을 산정한다. 현행 규정과의 차이점에 대해 보호위는 입증책임이 전환되는 효과로 설명하고 있다.
보호위의 위반행위 조사실무가 어떻게 운영될지는 단정하기 어려우나, 개인정보처리자 입장에서 '관련 매출액'의 사전 관리와 세분화된 과징금 부과기준의 숙지가 필요하다. 특히 동종 사고의 반복적인 발생은 여전히 엄한 경제적 제재가 예상되므로, 개인정보 컴플라이언스 운영과정에서 이 부분에 대한 면밀하고 상시적인 점검도 필요하다.
필수 동의 규정 삭제
둘째, 동의제도와 관련해서 정보통신서비스 제공자의 필수 동의 규정이 삭제되었고, 미동의 적법 처리 근거 중 계약 체결 · 이행에 필요한 경우의 요건을 정비('불가피하게'를 삭제)하였다. 대신 정보주체의 실질적 동의권을 보장하기 위해 개정 시행령에 ①정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 있어야 하고, ②동의 내용이 구체적이고 명확하여야 하며, ③평이하고 이해하기 쉬운 문구를 사용하여야 하고, ④정보주체에게 동의 여부에 대한 의사를 명확하게 표시할 수 있는 방법을 제공하여야 한다는 요건을 신설하였다(시행령 제17조). 이 조항은 대법원 2016. 6. 28. 선고 2014두2638 판결 등 기존 법원의 선례와 EU GDPR의 동의 유효요건을 참고한 것으로 알려져 있다.
개인정보처리자는 동의의 적법성이 인정될 수 있도록 기존의 절차와 문언, 형식을 점검할 필요가 있다. 특히 아동이나 선택권이 제한되는 정보주체에 대한 동의 프로세스는 조금 더 섬세하게 운영해야 한다.
개인정보의 추가적인 이용 · 제공과 관련해서는 그 기준을 개인정보 처리방침에 어느 정도 공개해야 하는지가 문제되었는데, 개정 시행령에서는 개인정보의 추가적인 이용 · 제공이 '지속적으로 발생하는 경우'에만 관련 내용을 개인정보 처리방침에 공개하는 것으로 현실화했다(시행령 제14조의2). 개인정보의 추가적인 이용 · 제공을 염두에 두고 있는 개인정보처리자는 추가적인 이용 · 제공이 지속성을 가지는지 따져볼 필요가 있다.
셋째, 개인정보 처리방침 평가 및 개선권고제도의 도입도 주목할 만하다(법 제30조의2). 개인정보 처리방침의 '적정성'도 평가대상인데, 개인정보 처리방침에 기재된 내용대로 실제 개인정보처리가 이루어지고 있는지도 보겠다는 취지로 이해되므로, 이에 대한 대비가 필요하다. 평가대상자의 선정기준은 시행령에 있는데(시행령 제31조의2), 현재 보호위 인력구조와 여건을 감안할 때 대상군의 구체적인 선정규모와 어느 정도 수준의 평가가 이루어질지는 조금 더 지켜보아야 한다.
한편 개인정보처리자 입장에서는 평가과정에서 법위반 소지가 있는 행위가 발견될 경우를 염려할 수 있다. 평가제는 개인정보처리자의 자발적 협력이 필수적인 만큼, 보호위에는 이 제도의 도입 취지와 실효성을 감안한 탄력적인 운용의 묘가 요구된다.
넷째, 온 · 오프라인 규제 일원화에 맞춰 정보통신서비스 제공자에 대한 특례규정을 일반규정과 일원화하였다. 개인정보유효기간제는 삭제되었다. 실효성 논란이 있었던 개인정보 이용내역 통지제는 모든 개인정보처리자에게 확대적용하되, 수집 · 출처 등의 통지의무 제도와 연계하는 조항을 두었다(시행령 제15조의2). 수집 · 출처 등의 내용을 포함하여 이용 · 제공내역 통지를 한 경우 수집 · 출처 통지를 한 것으로 간주하는 것이다.
유출 인지 72시간내로 일원화
실무상 많이 문제 되는 개인정보 유출 통지 · 신고제도도 정비되었다. 통지 · 신고 기한의 경우 현재는 정보통신서비스 제공자의 경우 24시간 이내, 그 외 개인정보처리자는 5일 이내로 이원화된 규율체계를 취하고 있었는데, 유출 인지시로부터 72시간 이내로 일원화되었다(시행령 39조). 이 조항은 EU GDPR과 싱가포르 입법례 등을 참고하였다. 신고요건도 ①1천명 이상 정보주체의 개인정보 유출, ②1건 이상 민감정보, 고유식별정보 유출, ③외부로부터의 불법적인 접근에 의한 유출로 더욱 구체화하였다.
개인정보 유출 등의 경로가 확인되어 해당 개인정보를 회수 · 삭제하는 등의 조치를 통해 정보주체의 권익 침해 가능성이 현저히 낮은 경우를 신고의무의 예외로 두었는데, '현저히 낮은'이라는 요건의 엄격성을 감안할 때 개인정보처리자가 이 조항에 기대어 신고의무를 이행하지 않을 가능성은 적어 보인다.
다섯째, 이동형 영상정보처리기기 규정을 마련하였다(법 제25조의2). '원칙적 금지, 예외적 허용'의 규제 형식을 취한 것은 다소 아쉬우나, 실생활에서 널리 활용됨에도 불구하고 규제 사각지대에 있었던 각종 이동형 영상정보처리기기에서 처리되는 개인영상정보에 대한 합법적 처리 근거를 신설하였다는 점은 긍정적으로 평가할 만하다. 이동형 영상정보처리기기로 촬영을 하는 경우 불빛, 소리, 안내판 등으로 정보주체가 촬영 사실을 쉽게 알 수 있도록 표시하고 알려야 하는데, 시행령에서 드론에 의한 항공촬영 등 촬영 방법의 특성상 촬영 사실을 정보주체에게 알리기 어려운 경우에는 홈페이지 공지 등으로 알릴 수 있도록 하였다는 점도 눈여겨 볼 필요가 있다(시행령 제27조의3).
'개인정보 사적 이용' 형사처벌
여섯째, 개인정보취급자의 금지행위에 허용된 권한을 초과하여 타인의 개인정보를 이용하는 행위가 추가되어 형사처벌의 대상이 된 것도 주목해야 한다. 수능감독관이 수험표 정보를 보고 수험생에게 '마음에 든다'고 연락한 행위 등 개인정보취급자의 개인정보 사적 목적 이용이 문제가 된 사례가 왕왕 있었다. 그런데 정작 현행법에서는 이런 행위에 대한 명시적 제재근거가 없어 수사 및 재판과정에서 논란이 되어 왔다. 취급자의 부적절한 개인정보의 사적 이용은 개인정보처리자의 법상 관리책임이 문제될 뿐만 아니라, 기업 평판에도 직결된다. 적어도 개인정보의 사적 이용이나 유출 등 고의적 비위행위에 대한 징계처리 기준 마련 등 관리적 보호조치를 체계적으로 구축하고, 개인정보취급자 등 구성원에게 공유할 필요가 있다.
위 · 수탁 규정 정비 등 과제
개인정보 보호법의 전면 개정으로 다양한 입법수요가 어느 정도 반영되었지만, 디지털 전환에 따른 글로벌 경쟁력을 갖추기 위한 데이터 활용기반이 완비되었다고 평가하긴 시기상조이다. 개인정보 수집 · 이용과 제3자 제공으로 구분된 개인정보 합법 처리 근거의 일원화, EU GDPR의 Joint Controllers에 대응하는 공동개인정보 처리자 개념의 도입, 경직된 위 · 수탁 규정의 정비 등 실무에서 적지 않게 개정수요로 언급되던 사항들은 향후 개정과제로 남게 되었다. 다만, 글로벌 스탠다드에 맞게 개인정보의 적법한 처리 근거는 확대하면서 정보주체의 권리를 실질적이고 적극적으로 보장하는 방향으로 규율체계가 개선되고 있는 추세라는 점에 대해서는 우리 사회가 어느 정도 공감대를 형성한 것으로 보인다.
개인정보처리자는 이런 맥락과 배경을 감안하여 법 개정의 방향성을 이해할 필요가 있고, 개정법의 시행 이후 마련될 보호위의 고시 및 가이드라인, 유권해석 등을 통해 규제실무가 구체화되는 과정을 지속적으로 모니터링할 필요가 있다.
최정규 변호사(법무법인 지평, jkchoe@jipyong.com)
