"내 정보 제3자에 전송"…개인정보 보호법 개정안 9월 시행

[아이뉴스24 김혜경 기자] 개인정보 전송요구권 도입을 골자로 한 개인정보 보호법 2차 개정안이 9월부터 본격 시행된다. 금융·공공 분야에 제한적으로 활용됐던 마이데이터 제도가 전면 확대될 전망이다.

개인정보보호위원회는 지난달 국회를 통과한 보호법 개정안이 7일 오전 국무회의에서 의결됐다고 발표했다. 개정안은 오는 14일 공포돼 6개월 후 시행될 예정이다.

전송요구권의 일반법적 근거를 마련했다는 점이 핵심이다. 전송요구권이란 정보 주체가 개인정보를 본인이 내려받아 활용하거나 제3자에게 이전하도록 요구할 수 있는 권리다. 개인이 본인정보를 관리·통제하고 본인이 원하는 서비스를 제공받기 위해 데이터 전송을 요구하는 행위 일체를 뜻한다.

관점에 따라 '보호'와 '활용' 두 가지 성격을 동시에 띈다는 점에서 전송요구권이 실제 도입될 시 많은 변화가 예상된다. 전송요구권은 마이데이터 사업의 제도적 기반이기 때문이다. 금융 등 일부 분야에서 제한적으로 가능했던 마이데이터 서비스가 의료‧유통 등 모든 영역에서 보편적으로 이뤄질 수 있다는 기반이 마련됐다. 스타트업 등이 새로운 데이터 생태계에서 혁신을 주도할 것으로 위원회는 기대하고 있다.

자율주행차와 드론, 배달 로봇 등이 안전하게 운행될 수 있도록 이동형 영상정보처리기기 기준도 마련됐다. 그동안 이동형 영상정보처리기기는 명확한 규정 없이 운영된 바 있다. 개정안에는 업무 목적으로 운영할 경우 촬영 사실을 명확하게 표시하는 등 운영 기준 관련 내용이 포함됐다.

기업‧기관의 개인정보 처리 방식을 동의 기반에서 상호계약 등 신뢰 기반으로 전환했다. 합리적으로 예상할 수 있는 범위 내에서는 동의 없이도 개인정보 수집·이용이 가능하도록 정비했다. 개인정보위가 기업·기관의 개인정보 처리방침을 평가한 후 개선을 요구하게 된다.

인공지능(AI)을 활용한 자동화된 결정이 채용 면접, 복지수급자 선정 등 중대한 영향을 미치는 경우 정보주체가 이를 거부하거나 설명을 요구할 수 있는 권리를 신설했다.

글로벌 스탠다드에 발맞춰 국외이전, 과징금 제도 등도 개선했다고 위원회는 설명했다. 그동안 개인정보를 국외로 이전하려면 정보주체 동의가 필요했지만 동의 외에도 계약·인증·적정성결정 등으로 국외이전 요건을 다양화했다. 다만 해당 국가가 개인정보를 적정하게 보호하고 있지 않다고 판단되는 경우에는 국외이전 중지를 명령할 수 있는 근거도 마련했다.

과징금 상한액은 '위반행위 관련 매출액 3%' 기준에서 '전체 매출액 3%' 이하로 조정했다. 국제적 입법추세와 형벌의 과징금 전환을 반영, 상한은 전체 매출액 기준을 유지하되 실제 산정기준은 위반행위와 관련 없는 매출액을 제외할 방침이다. 개인정보위는 기업이 과징금 산정에 대한 입증 책임을 져야 한다는 점에서 의의가 있다고 보고 있다.

고학수 개인정보위 위원장은 "국민은 언제든 자신의 개인정보를 실질적으로 통제할 수 있어야 하고 기업은 국민의 신뢰를 기반으로 데이터를 안전하게 활용할 수 있는 선순환 구조가 정착되어야 한다"며 "위원회에서는 '국가 마이데이터 혁신 로드맵' 등을 마련할 것"이라고 말했다.