개인정보보호법 개정안 국무회의 의결…개인정보 전송요구권 도입
AI 활용 채용 거부권 신설…과징금 상한액, 매출액 3%로 조정
개인정보 '필수동의' 체크란 없어진다…정부가 처리방침 평가
올해 9월부터 개인이 곳곳에 흩어진 자신의 정보를 의료, 금융 등 모든 분야에서 능동적으로 활용할 수 있게 된다.

생활에 꼭 필요한 서비스 사이트에 가입할 때 형식적으로 체크해왔던 '개인정보 수집 필수동의란'은 없어지는 대신 정부가 기업이나 기관의 개인정보 처리방침을 평가한다.

개인정보보호위원회는 지난달 27일 국회를 통과한 '개인정보보호법' 개정안이 7일 국무회의에서 의결됐다고 밝혔다.

이 개정안은 오는 14일 공포되며, 9월 15일부터 시행된다.

개인정보보호법이 2011년 제정된 이후 처음으로 정부가 학계, 법조계, 산업계, 시민단체 등과 2년여의 협의 과정을 거쳐 정비한 실질적인 전면 개정이라는 점에서 큰 의미가 있다고 개인정보위는 설명했다.

개정안에는 자신의 개인정보를 보유한 기업이나 기관에게 그 정보를 다른 곳으로 옮기도록 요구할 수 있는 '개인정보 전송요구권'의 일반법적 근거가 담겼다.

이에 따라 그동안 금융·공공 등 일부 분야에서만 제한적으로 가능했던 마이데이터 서비스가 국민이 원하면 의료·유통 등 모든 영역에서 이뤄질 수 있게 됐다.

마이데이터는 개인이 자신의 데이터를 능동적으로 활용하는 일련의 과정을 말한다.

이와 함께 개인정보위는 마이데이터를 전 분야에 확산하기 위한 전략을 담은 '대한민국 마이데이터 로드맵'을 6월까지 마련해 발표할 방침이다.

이동형 폐쇄회로(CC)TV 등 영상정보처리기기의 특성을 반영한 개인정보 처리 기준도 마련됐다.

그동안 이동형 영상정보처리기기는 일상생활에서 광범위하게 쓰이고 있었으나 개인정보 수집·처리에 관한 명확한 규정이 없었다.

개정안에는 이동형 영상정보처리기기를 업무 목적으로 쓸 경우 촬영 사실을 명확하게 표시하도록 하는 등 운영 기준이 담겼다.

형식적인 '필수동의' 관행도 개선된다.

정보주체의 동의에만 의존해 개인정보를 처리하던 관행에서 벗어나, 상호계약 등 합리적으로 예상할 수 있는 범위 내에서는 동의 없이도 개인정보 수집과 이용이 가능하도록 정비했다.

대신 개인정보위가 서비스 제공 기관의 개인정보 처리방침을 평가한 후 개선하도록 했다.

서비스 제공과 본질적으로 관련 없는 부분에 대해서는 기존처럼 '선택동의'에 의해 개인정보가 수집된다.

고학수 개인정보위 위원장은 이날 브리핑에서 "누구나 일상생활에 필요한 서비스에 가입하거나 이용할 때 제대로 읽어보지 않고 개인정보 수집·이용 동의 항목에 체크한 경험이 있을 것"이라며 "개인정보 처리방침 평가제도를 도입해 국민의 실질적인 선택권을 보장했다"고 말했다.

또 AI를 활용한 자동화된 결정이 채용 면접, 복지수급자 선정 등 국민에게 중대한 영향을 미치는 경우, 이를 거부하거나 설명을 요구할 수 있는 권리를 신설했다.

아동에게 개인정보 관련 내용을 알릴 때는 이해하기 쉬운 언어를 쓸 의무를 온라인 분야에서 모든 분야로 확대했다.

또 국가와 지자체의 아동 개인정보 보호 시책 의무를 명확하게 했다.

개인정보 분쟁조정절차 참여 의무를 공공기관에서 전체 개인정보 처리자로 확대하고, 분쟁조정을 위해 사실확인이 필요한 경우 사실조사를 할 수 있는 근거를 마련했다.

아울러 국제 기준에 맞춰 개인정보 국외 이전을 수월하게 하고, 개인정보 유출에 대한 책임을 형벌보다 경제벌 중심으로 묻도록 하는 내용도 포함됐다.

그동안 개인정보를 국외로 이전하려면 정보주체의 동의가 필요했으나, 동의 외에도 계약·인증·적정성결정 등으로 국외이전 요건을 다양화했다.

적정성 결정은 타국의 개인정보보호 수준을 평가해 자국의 개인정보 이전이 가능한 국가로 승인하는 제도다.

유럽연합(EU), 영국, 일본, 브라질 등이 운영하고 있다.

다만 해당 국가가 개인정보를 적정하게 보호하고 있지 않다고 판단되면 국외이전 중지를 명령할 수 있는 근거도 마련했다.

국제 기준과 달리 개인정보보호 책임을 기업보다는 담당자 개인에 대한 형벌 위주로 규율하고 있는 문제도 개선하기 위해 과도한 형벌을 경제벌 중심으로 전환했다.

현재는 개인정보 수집·이용·파기 등 경미한 사항에 대해서도 형벌을 내렸으나, 앞으로는 과징금이나 과태료로 전환된다.

과징금 상한액은 국제 기준에 맞춰 전체 매출액의 3% 이하로 조정하고, 산정 시 위반행위와 관련 없는 매출액은 제외하도록 했다.

기존 개인정보보호법은 과징금의 산정을 위법행위와 관련된 매출액의 3%를 상한으로 하고 있었는데, 이번 개정으로 기업이 '위법행위와 관련없는 매출액'을 입증하는 부담을 지게 됐다는 의미가 있다.

이밖에도 매년 공공기관의 개인정보 보호 수준을 평가할 수 있는 근거와 개인정보 침해 발생 위험이 높고 효과적인 대응이 필요한 경우 사전에 실태점검을 할 수 있는 근거도 포함했다.

/연합뉴스