개인정보보호법 개정안, 2년 만에 국회 정무위원회 의결
정무위 「개인정보보호법 일부개정법률안」 의결, 신기술 환경에서 국민의 권리 보호 개인정보보호법 첫 시행 이후 개정안 발의 잇따랐지만, 계속된 불발로 2년째 계류 개정안의 핵심은 ‘개인정보 이동권’ 도입, 실질적인 제도 개선 향한 정부 관심 요구
국회 정무위원회는 지난 22일 법안심사제1소위원회를 열어 「개인정보보호법 일부개정법률안」을 의결했다. 이날 의결된 「개인정보보호법 일부개정법률안」은 신기술 환경에서 국민의 권리 보호를 강화하고 현행법의 입법 미비 사항을 보완하기 위한 목적으로 발의됐다. 해당 개정안에는 기존 개인정보보호법이 야기하는 맹점을 개정하는 내용이 담겼다.
우선 개인정보 전송요구권, 자동화된 결정에 대한 대응권 등을 도입하여 국민의 개인정보에 대한 통제권을 강화하고 금융·공공분야에 도입된 정보이동권을 전 분야로 확산할 수 있도록 했다. 나아가 그동안 혼란을 일으켰던 온라인·오프라인 분야의 기업에 대한 규제를 일원화하여 이중부담을 해소하며, 신기술 변화에 선제적으로 대응할 수 있는 제도적 기반을 마련했다. 아울러 개인정보의 국외이전 방식 다양화, 국외 이전 중지명령권 도입, 이동형 영상기기에 대한 운영기준 마련 등 글로벌 통상규범과 상호운용성 확보에 적극 나서도록 했다.
개인정보보호법 개정안, 2년째 계류
「개인정보 보호법 일부개정법률안」은 2020년 8월 개인정보보호법이 처음 시행된 이후 여러 정당을 통해 잇따라 발의돼왔으나 통과되지 못하고 2년간 계류된 상태로 남아있었다. 첫 발의는 2021년 1월 개인정보보호위원회 위원장이 일부 개정안을 입법 예고하면서 시작됐다. 해당 개정안은 개인정보이동권 등 신기술 환경에 부응하는 정보 주체의 권리 강화 사항이 법률에 도입되지 못한 점을 지적했다. 또한 온라인과 오프라인의 이중 규제가 해소되지 않아 수범자의 불필요한 혼란과 부담을 야기하고 있다며 개정의 필요성을 짚었다. 더불어 국제적인 규범과 개인정보 보호 원칙에 맞게 정보 주체의 권리를 과도하게 침해하는 규정을 보완할 것을 요구했다.
당시 배진교 정의당 비례대표가 대표로 발의하며 장혜영, 강은미, 김홍걸, 조정훈, 허종식, 류호정, 민형배, 이은주, 심상정, 민병덕 등 정의당과 민주당 의원 총 11명이 이름을 올렸다. 보통 분쟁의 소지가 없는 법안들은 50명 남짓의 국회의원들이 함께 발의하는 것으로 미뤄봤을 때 해당 개정안이 큰 주목을 얻지 못했음을 알 수 있다. 이는 당시 정치권 내부의 논란으로 거대 여당(현 야당)의 지원을 받지 못한 것이 그 원인으로 평가된다.
결과적으로 해당 「개인정보보호법 일부개정법률안」은 통과에 실패했다. 4개월 뒤인 2021년 5월 개인정보보호위원회 위원장이 재입법예고를 했으나 이 또한 문턱을 넘어서지 못하다가 결국 올해 7월 국민의힘 박성민 국회의원이 「개인정보보호법 일부개정법률안」을 재발의하며 입법이 추진됐다. 개인정보를 제3자에게 유상으로 판매할 때 유상 제공 여부를 알리고 동의를 받도록 하는 내용이 골자다.
해당 개정안의 키워드는 ‘마이데이터(개인이 데이터를 주체적으로 관리하는 것을 넘어 능동적으로 활용하는 일련의 과정)’로, 박성민 의원은 마이데이터 사업자의 개인정보 도용 가능성을 들며 개정의 필요성을 역설했고 이러한 전략은 세간의 관심을 불러일으키는 데 성공했다. 이에 박성민 의원 등 국민의 힘 의원 10명이 개정안을 발의해 의결 절차를 따르고 있는 상황이며 현재 국회 소위원회와 정무위원회에서 의결을 마쳤다. 이후 법제사위원회와 국회 본회의의 의결을 거치면 최종 통과된다.
이번 개정안에는 어떤 내용이 담겼나?
이번 개정안의 핵심은 개인정보 이동권 도입이다. 개인정보 이동권이란 본인의 정보를 본인 또는 제3자에게 전송을 요구할 수 있는 일반적인 권리다.
주요 내용을 살펴보면 ‘전송의무자’는 매출액과 개인정보 보유 수가 일정 규모 이상인 개인정보처리자로 제한하고 ‘전송 대상’은 정보 주체 본인과 개인정보관리 전문기관 또는 안전조치 의무를 이행하고 일정한 시설 및 기준을 갖춘 개인정보 처리자로 규정했다. ‘대상 정보’는 컴퓨터 등 자동화된 방법으로 처리되는 개인정보로, 동의 또는 계약에 의거해야만 처리할 수 있다. 단, 개인정보처리자가 별도로 생성하거나 가공한 정보는 대상에서 제외된다. 또 ‘권리 제한’으로 타인의 권리 또는 이익 침해에 불가하도록 막았으며 ‘시행령 위임사항’을 통해 전송 의무를 부담하는 처리자의 구체적인 범위와 전송 요구, 방법 및 절차에 관해 필요한 사항들을 위임토록 했다.
이 밖에도 △동의제도 개선 △자동화된 결정에 대한 정보주체의 권리 도입 △이원화된 규제의 일원화(정보통신서비스 특례규정 정비) △이동형 영상기기 개인영상정보 보호 근거 마련 △개인정보 국외이전 방식 다양화 △형벌 중심을 경제제재 중심으로 전환 △개인정보 자율보호 활성화 △개인정보 분쟁조정제도 실질화 △안전한 가명정보 처리 환경 마련 △적용의 일부 제외 규정 정비 △개인정보 침해 조사 및 제재 기능 강화 등의 내용이 개정안에 담겨 있다.
기술발전 시대에 맞춘 법안 개정, 국회가 면밀히 검토해야
「개인정보보호법 일부개정법률안」은 마이데이터 개인정보 도용 문제는 물론, 기술발전 시대에 발맞춰 빈틈없는 규제 또한 아우르고 있다. 그간 블록체인 등 첨단 기술을 활용하는 기업들은 개인정보의 영구 삭제가 사실상 불가능해 보유 기간의 경과 등으로 개인정보를 파기하는 데 어려움을 겪어왔다. 나아가 과징금·과태료 감면규정의 미비로 인해 위반 정도가 경미한 경우에도 감면받기가 어려웠던 만큼 해당 개정안이 무리 없이 통과된다면 신산업 분야의 개인정보 규제가 개선될 것으로 전망된다.
한편 개정안이 발의된 지 2년이 지났음에도 불구하고의결이 완료되지 않은 것은 정부의 역량을 의심케 하는 대목인 만큼 실질적인 제도 개선을 위해 여야가 초당적 합의를 이뤄 개정안 통과에 힘을 실어야 할 것으로 보인다.