“중요성 커진 개인정보…규제 패러다임이 바뀐다”

개인정보의 활용 및 침해에 대한 글로벌 논의와 규제가 확대되고 있다. 국내에서도 데이터3법 개정, 개인정보보호위원회 출범 등이 이루어졌다. 개인정보 활용의 주체성을 높이는 마이데이터 사업, 아동과 청소년의 개인정보 보호 가이드라인, 정보 수집에 대한 규정 개정 등 다양한 노력이 이어지고 있다
[한경ESG] 대한민국 ESG 클럽 월례포럼
이병남 개인정보보호위원회 개인보호정책과장이 국내 기업이 집중해야 할 개인정보보호 정책에 대해 설명하고 있다.사진=이승재 기자
디지털 트랜스포메이션(디지털전환), 글로벌 진출과 함께 기업의 개인정보 보호 책임이 커지고 있다. 글로벌 트렌드 역시 개인정보 침해를 심각한 문제로 보고 보호 정책을 강화하는 쪽으로 변화 중이다. 지난 7월 20일 서울 중구 롯데호텔에서 진행한 ‘대한민국 ESG 클럽 월례포럼’에서 개인정보 보호에 대한 특강이 열렸다. 국내 관련 규정은 어떤 것이 있는지, 국내 기업은 어떠한 부분을 중점적으로 봐야 하는지에 대해 이병남 개인정보보호위원회 개인보호정책과장이 강의했다. 글로벌 차원의 규제는 점점 강화되는 추세다. 특히 프라이버시 보호 및 국가안보를 목적으로 데이터를 국외 이전하는 데 엄격한 규칙을 적용한다. 유럽연합(EU)은 일반 개인정보보호법(GDPR)을 근거로 제3국으로 개인정보를 이전하는 것에 이미 까다로운 요건을 적용하고 있다. 미국, 중국 역시 자국 내 데이터를 보호하는 법령을 시행 중이거나 시행 예정인 상황이다.

다크 패턴 역시 새로운 화두다. 다크 패턴은 소비자의 행동이나 의사결정을 특정 방향으로 유도하기 위해 설계한 것을 의미한다. 실제로 프랑스 감독기구는 구글에 개인정보 처리 방침 고지 및 동의 불충분을 이유로 5000만 유로의 과징금 처분을 내렸다. 이어 아동과 청소년에 대한 프라이버시권, 연령별 보호 조치 규정 등을 어긴 틱톡, 유튜브 등에도 과징금이 부과됐다.

한국은 개인정보 우수 국가국내에서 개인정보를 보호하는 기반이 되는 법은 데이터3법이다. 2020년 2월에 개정된 데이터 3법 이후 개인정보보호위원회(이하 개보위)가 독립 감독기구로 출범하면서 본격적인 개인정보 보호 시대가 열렸다. 이 과장은 “개보위는 출범 이후 국민 실생활과 밀접한 관련이 있는 개인정보 보호를 강화했다”며 “코로나19 이후 시작된 개인 안심 번호 도입과 아동 폭력 근절을 위한 어린이집 CCTV 영상 원본 열람 가이드라인 개정, 털린 내 정보 찾기 서비스 개시 등이 대표적 사례”라고 소개했다.

개인정보 처리가 급증한 민간 5대 분야, 공공 5대 분야에서 발생한 위반 사업에는 엄중한 제재를 가한다. 메타, 인공지능(AI) 챗봇 이루다, 네이버, 쿠팡 등이 위반 사업자로 엄정 조사 처분을 받았다. 데이터3법 내에는 가명 정보 활용도 포함된다. 추가 정보 없이는 특정 개인을 식별할 수 없는 정보이기에 통계 작성, 연구, 공익적 기록 보존 목적으로 정보 주체 동의 없이도 활용이 가능하다. 의료, 금융, 소득, 통신, 레저 등 다양한 분야에서 활용할 수 있다.

우리나라는 지난해 12월 EU의 GDPR 적정성 결정을 최종 통과하며, 한국의 개인정보보호 법제가 EU와 동등하거나 그 이상의 수준임을 입증받았다. 적정성 결정을 통과하면 개인정보 국외 이전 시 EU 회원국에 준하는 지위를 부여받으며, EU 시민의 개인정보를 자유롭게 국내 이전·처리할 수 있는 권리가 부여된다. 개보위는 글로벌 수준의 법적 체계를 위해 개인정보 보호법 2차 개정과 생체정보 가이드라인, AI 개인정보 자율점검표 마련 등 보호 체계 확장을 준비 중이다. 국내에서 주로 발견되는 위반 사례로는 크게 3가지가 꼽혔다. 첫 번째는 안전 조치 의무 위반이다. 개인정보보호법 제29조에 따라 개인정보가 분실·도난·유출·위조·변조되지 않도록 관리 계획이나 접속 기록 보관 등의 조치를 해야 한다는 의무다. 위원회에서 처분한 주요 위반 사례는 접속 기록을 최소 1년 이상 보존 관리하지 않았거나 보안 서버를 구축하지 않은 경우, 개인정보 유출 시도를 탐지할 수 있는 시스템이 설치·운영되지 않은 경우다.

두 번째는 신기술·서비스 개발 과정에서 위반 사항이다. AI 챗봇 이루다가 대표적 사례로, 법정 대리인의 동의 없이 만 14세 미만 아동의 정보를 수집하거나, 수집 목적 외로 카카오톡 대화 문장을 AI 학습에 이용한 행위 등이 문제가 됐다. 세 번째는 주로 국내 사업장을 보유한 글로벌 기업의 부적절한 동의로 인한 처분 사례가 꼽혔다. 당사자 동의 없이 개인정보를 다른 사업자에게 제공하거나 수집한 사례다. 페이스북, 넷플릭스 등에 각각 과징금 64억4000만원, 과징금 2억2000만원이 부과됐다.

개인정보, 상호 합의 모델로 전환될 것이 과장은 향후 개인정보 대책은 아날로그 시대에서 디지털 시대로 패러다임 자체가 변화할 것이라고 전망했다. 개인정보는 보호되어야 할 대상에서 보호와 안전한 활용의 대상으로 확대될 것이다. 또한 정보처리자 위주의 소극적·수동적 통제 대상이던 개인정보는 정보 주체 중심이자 적극적이고 능동적인 통제 대상으로 변화할 것이다. 은행의 마이데이터 사업이 일례다.

또한 정보 주체의 동의 중심으로 운영되던 개인정보 제공은 상호 합의 모델로 변경해 정보 주체와 사업자의 이익을 동시에 고려하는 상호 합의의 문제로 확장될 예정이다. 이 과장은 “법이 개정되면 사업자는 정보 주체로부터 최소한의 개인정보를 수집하고 그 사용처를 정확히 입증해야 한다”고 설명했다.

이를 위해 현재 개인정보보호법 개정이 추진되고 있다. 보호법이 개정되면 개인정보를 자유롭게 활용 및 이동할 수 있고, 개인정보 제공 동의제도 개선도 가능해진다. 드론, 로봇과 같은 개인 영상 정보 처리에 대한 제도적 근거가 마련되면 법적 활용도 기대할 수 있다. 개인정보의 국외 이전 방식을 다양화하고, 현재 형벌 규정 중심인 위반행위 제재를 경제벌로 전환함으로써 글로벌 수준의 규제와도 발을 맞춘다.

또한 공공부문의 개인정보 보호대책 강화, 아동과 청소년의 프라이버시 불안 요소에 대한 보호 가이드라인 제공 등으로 개인정보보호 사각지대 문제도 해소한다. 개인정보 보호가 모든 디지털 활용 시 개발 단계부터 고려해야 하는 기초적 문제가 될 수 있도록 인지도도 높인다. 이병남 과장은 “기존 규정 기반의 통제 방식이 한계점을 맞이한 상황이다. 기업의 자율 규제나 공동 규제안을 통해 자율 규제를 활성화하고 정부와 기업이 공동으로 추진하는 사업을 고려하고 있다”고 말했다.

이번 포럼부터 새로 마련된 ‘기업들의 ESG 경영 사례’ 소개는 포스코가 스타트를 끊었다. 포스코는 ‘더불어 함께 발전하는 기업시민’ 경영이념을 바탕으로 ESG 경영을 적극 확대하고 있다. 2차전지·수소 포트폴리오로 그룹사업을 재편하고 아시아 철강사 최초로 2050 탄소중립 목표를 선언했다.

이정협 포스코 ESG그룹장은 주된 성과로 수소환원 제철 공법, 버려지는 굴 껍데기의 석회 재활용 사업, 중소 고객사와 선사의 수출 선박 확보를 돕는 포스코형 스마트 상생 제도, 안전사고와 유해가스 농도를 측정하는 세계 최초의 세이프티 볼 개발 등을 소개했다. 포스코는 이를 통해 세계철강협회 지속 가능성 최우수 멤버에 선정됐고, S&P DJSI 최상위 등급과 KCGS A등급을 받았다.다음 월례포럼은 8월 24일 서울 롯데호텔에서 진행할 예정이다.

조수빈 기자 subinn@hankyung.com