행정안전부와 방송통신위원회 등 정부부처에 분산돼 있던 개인정보 보호 관련 부서를 일원화해 장관급 행정기관으로 통합 출범된 개인정보보호위원회가 1주년을 맞이했다.

출범 1주년을 맞이해 개인정보위는 4일 온라인 간담회를 열고, 1년 간의 성과와 향후 추진 계획 등을 밝혔다. 그동안 개인정보위는 '가명정보' 제도 안착과 마이데이터 도입 운영 기반 마련, 바이오·자율주행·스마트도시 등 분야의 개인정보 관련 규정 마련 등 첨단 산업에 꼭 필요한 개인정보 활용 법안 틀을 정비해왔다.

개인정보 제도 안착 위한 노력들

먼저 개인정보위는 코로나19 방역 차원에서 실시 중인 개인정보 수집 과정에서의 개인정보 유출 피해를 막기 위해 안심번호 도입, 전자출입 명부 시스템 점검을 성공적으로 수행했다고 자평했다.

또 페이스북과 인공지능(AI) 챗봇 이루다 등 개인정보 피해 사례에 대한 위법 사례 총 106건을 조사하고 처분했다.

윤종인 개인정보위 위원장은 "통합 부처 출범과 함께 행정안전부와 방통위로부터 개인정보 침해 조사 총 337건을 이관받았고 지난 1년간 총 106건을 처리하는 등 조사 및 처분에 총력을 기울여 왔다"면서도 "코로나19로 인한 급격한 디지털 전환으로 개인정보 침해 사례도 늘고 있으며, 이에 따라 개인정보위 임무도 크게 늘고 있는 것이 사실"이라고 말했다.

이어 "급증하는 침해 사건에 비해 대응 인력은 한계가 있어, 조사관 중심의 인력 증원에 대해 행안부 등 관계부처와 긴밀히 협의하고 있다"며 "증원 필요성에 대한 공감대가 형성된 상황"이라고 덧붙였다.

이 과정을 거치면서 미래 핵심 산업으로 주목받는 AI에 특화된 개인정보 보호 자율점검표를 제공해 AI 기업이 서비스를 개발, 운영할 때 개인정보보호법을 준수할 수 있도록 지원했다.

가명정보 활용 확산을 위한 제도적 기반도 마련했다. 개인정보위는 데이터3법 통과에 따라 '정보 주체를 알아볼 수 없도록 가명 처리한' 가명정보의 분석과 결합이 가능하도록 해 법 제도 내에 포함시켰다.

정보 주체 의사에 따라 개인정보를 모아 맞춤형 서비스를 제공받는 '마이데이터' 사업의 법적 근거인 '개인정보 전송요구권'을 도입하고, 현행 형사벌 제재를 경제벌 위주로 전환하는 등의 내용이 담긴 개인정보보호법 2차 개정안도 부처 간 합의를 완료해 국회 제출을 앞뒀다.

유럽연합(EU) 일반 개인정보보호법(GDPR)이 요구하는 개인정보 보호 수준을 충족함으로서 지난 3월 적정성 초기 결정이 완료된 점도 성과 중 하나다. 적정성 결정 절차가 완료되면 국내 기업들이 표준계약 체결 등 별도 절차를 거치지 않고도 EU 시민의 개인정보를 해당국가로 이전·처리할 수 있게 된다. 우리나라는 연내 GDPR 적정성 결정 국가로 포함될 것으로 전망되고 있다.

마이데이터 산업 활성화 위한 대비…첨단 산업에 활용되는 개인정보 틀 마련

이날 간담회에서 윤종인 개인정보위원장은 AI를 비롯한 각종 신기술에 적용되는 개인정보 보호 가이드라인을 마련하겠다고 밝혔다. 또한 하반기를 목표로 추진 중인 개인정보보호법 2차 개정안을 마무리할 것이라고 전했다.

개인정보위는 개인정보보호법 2차 개정안과관련, 국회 입법 추진과 병행해 개정안의 주요 내용에 대한 시행령 등 하위 법령 개정안을 마련하고 개인정보 전송요구권 도입 관련해 전 분야 마이데이터 도입·운영을 위한 거버넌스 구축 등의 후속 조치도 추진할 계획이다.

AI 개인정보 자율점검표에 이어 자율주행차, 바이오, 스마트도시 등에 대한 개인정보 보호 가이드라인도 마련한다.

개인정보 보호 인프라 관련해서는 동형암호, 영지식 증명, 블록체인 등 개인정보 보호 강화 기술 및 스타트업도 쉽게 활용 가능한 범용 개인정보 보호 기술 연구를 추진한다는 방침이다.

또한, 해외 인터넷 사업자 등의 개인정보 침해를 막기 위한 국제 공조도 강화한다. 적정성 결정 국가 승인 절차를 추진 중인 EU를 비롯, 전세계 50개국 개인정보감독기구가 참여하는 조사·집행 협력기구인 GPEN, 아시아태평양경제협력체(APEC) 회원국 중 11개국 26개 개인정보감독기구가 참여하는 법집행 협정인 CPEA와 협력할 계획이다.

온라인 서비스 이용 연령이 낮아지는 점을 감안해 아동, 청소년의 온라인 이용에 특화된 개인정보 보호 대책도 마련한다.

이에 대해 윤 위원장은 "영국의 경우 개인정보보호법에 근거한 ‘연령 적합 설계 규약’을 통해 18세 미만 아동이 접근 가능한 온라인 서비스를 제공하는 기업이 연령 적합 설계를 하도록 하고 있다"며 "개인정보위도 아동‧청소년 개인정보 보호 가이드라인 제정, 법제 개선 방안 마련 등 아동·청소년을 위한개인정보 보호 대책을 올해 중 마련하려 한다"고 말했다.