[시시비비] 열심히 달려온 개인정보보호委 1년

이성엽 고려대 기술경영전문대학원 교수·한국데이터법정책학회장

8월5일은 데이터3법이 시행되고 동시에 행정안전부와 방송통신위원회의 개인정보 정책과 규제 기능을 이관받은 개인정보보호위원회가 총리 소속의 중앙행정기관으로 출범한 지 1년이 되는 날이다. 필자는 1년 전 위원회 출범에 부쳐 인간의 삶을 윤택하게 하려는 데이터의 활용은 물론, 인간의 존엄을 지키기 위한 프라이버시 보호라는 두 가지 중차대한 과제가 위원회에 부여돼 있는데, 이를 위해 특히 민간과의 소통 강화, 법령에 대한 유권해석 활성화, 공공부문에 대한 감독 강화, 제재 시 대심적 기능 강화 등을 주문했다.

지난 1년 위원회는 톡톡 릴레이, 개인정보 미래포럼을 통해 이해관계자, 전문가로부터 다양한 의견을 청취하고 실질적으로 정책에도 반영하는 한편, 전자상거래소비자보호법, 전자금융거래법 등 개정안에 대한 의견 제시 사례와 같이 공공부문의 개인정보 침해예방에도 성과를 거뒀다. 그 외에도 데이터 활용과 보호 차원에서 여러 성과가 있었다.

데이터 활용 차원의 성과로는 가명 처리, 데이터 결합과 유럽연합(EU) 적정성 평가가 돋보인다. 안전한 가명정보 처리 및 활용을 위해 가명정보 결합·반출 고시, 가명정보 처리 가이드라인, 공공기관의 가명정보 결합·반출 고시 등 하위 법령 작업을 진행했다. 또한 국민적 파급효과가 큰 5대 분야 7개 과제에 대한 가명정보 결합 시범 사례를 발굴하고 추진했으며, 가명정보의 안전한 결합업무를 수행하는 결합전문기관 지정도 진행했다. 또한 지난 3월 말에는 EU 적정성 초기결정을 마무리함으로써 한국은 개인정보 보호에 있어 EU 회원국에 준하는 지위를 부여받게 돼 EU로부터 한국으로의 자유롭고 안전한 정보 이전이 가능하게 됐다.

데이터 보호 분야에서도 수기명부에서 이름 삭제, 열화상카메라 개인영상 저장 금지, 개인안심번호 도입 등 코로나19 방역 관련 개인정보 보호를 강화했고, 인공지능 서비스 기업인 이루다에 대한 조사·제재를 진행하면서 인공지능 서비스의 개발과 운영 시 발생할 수 있는 개인정보 침해를 예방하기 위한 개인정보 보호 기준도 마련했다. 최근에는 개인정보 전송요구권, 자동화된 의사결정에 대한 대응권 등 정보 주체의 권리를 강화하고 동의 외 국경 간 정보 이전 방식의 다양화 등을 내용으로 하는 개인정보보호법 개정안을 마련해 입법 절차를 진행 중이다. 한마디로 위원회는 데이터 경제 선도자이자 인간 존엄 지킴이로서 숨가쁘게 열심히 1년을 달려왔다. 신생 조직으로서 인력, 예산 모두가 부족하지만, 차근차근 중앙행정기관으로서 면모를 갖춰 가고 있다.

다만 아직도 과제가 적지 않다. 데이터 활용과 관련해서 보면 아직 가명 처리나 데이터 결합의 사례가 미미하다. 하위 법령작업에 시간이 걸린 것이 그 이유로 보이나, 제3의 결합전문기관을 통한 결합, 결합키 관리기관의 존재 등의 절차가 과도한 것은 아닌지, 위험의 크기에 따라 절차를 달리할 필요성은 없는지 검토해볼 필요가 있다. 데이터 활용 정책을 담당할 별도 조직의 신설도 필요하다. 특히, 최근 위원회가 총괄 기능을 수행하게 된 마이데이터 사업에 대한 별도의 법 제정도 필요해 보인다. 향후에도 개인정보보호위원회가 개인정보 보호를 위한 독립 규제기관으로서 고유한 역할에 더해 데이터 활용, 진흥을 위한 정책기관으로서의 역할도 충실히 수행함으로써 명실상부 우리 국민과 기업으로부터 신뢰받는 조직으로 계속 성장해 나가길 기대한다.

이성엽 고려대 기술경영전문대학원 교수·한국데이터법정책학회장