[디지털데일리 이종현기자] 개인정보 유·노출 사고가 지속해서 발생하고 있다. 한국인터넷진흥원(KISA)에 따르면 2017년 33만6407건이었던 개인정보 침해 민원은 작년 42만6382건으로 늘었다. 정부가 올해부터 데이터 활용 드라이브를 본격화한 만큼 관련 민원은 더욱 늘어날 것으로 추정된다.
이런 가운데 개인정보보호법(이하 개보법) 개정안도 연거푸 나오고 있다. 올해 국회에서 발의된 개보법 개정안은 총 14개로, 다수가 정보주체의 권리 강화를 골자로 한다. 인공지능(AI) 챗봇 서비스 ‘이루다’와 카카오의 지도 서비스 ‘카카오맵’의 개인정보 유·노출 등이 불씨를 지폈다.
◆산업계서도, 시민사회서도 비판받는 개인정보위··· 난감=개인정보보호 전담 기구인 개인정보보호위원회(이하 개인정보위)도 개보법 2차 개정안을 내놨다. 정부가 추진 중인 마이데이터의 근거가 될 수 있는 ‘개인정보 전송요구권’ 도입 등 활용 강화안과 법 위반시 과징금·과태료를 ‘관련 매출액 3%’에서 ‘전체 매출액 3%’로 변경하는 규제안을 함께 담았다.
하지만 산업계가 해당 개정안에 대한 반대 성명을 내며 셈이 복잡해졌다. 한국인터넷기업협회를 비롯한 주요 정보기술(IT) 협·단체는 지난 10일 개인정보위가 마련한 개보법 개정안에 대해 반대 성명을 냈다. 한국인터넷기업협회는 네이버, 카카오, NHN, 넥슨, 엔씨소프트, 쿠팡, 이베이코리아, 토스 등 다수 정보통신기술(ICT) 기업이 회원사로 있는 단체다.
한국인터넷기업협회는 “전체 매출액 기준으로 과징금을 상향하는 조정안이 반드시 철회돼야 한다”며 “산업계의 현실을 반영하지 못하면서 정보주체의 권리 강화에도 도움이 되지 않는 법 개정안 주요 조항들의 재검토가 필요하다”고 입장을 밝혔다. 개정안의 규제안이 너무 가혹하다는 주장이다.
시민사회에서는 과징금 상향 등 규제안이 반드시 필요하다고 강조했다. 또 개인정보위의 개정안에 담긴 정보주체의 권리 강화 내용이 기대에 미치지 못해 별도 개정안을 내놓겠다는 의견이다.
◆관련 매출액→전체 매출액 전환은 불가피=산업계의 반발에도 불구하고 개인정보위는 관련 매출액을 전체 매출액으로 바꿀 수밖에 없다는 입장인데, 사정을 들여다 보면 개인정보위로서는 어쩔 수 없는 선택이다.
과징금·과태료를 관련 매출액으로 산정하려면 기업이 개인정보를 통해 얻는 매출액을 알아야 하는데, 이는 기업 기밀의 영역이다. 개인정보위로서는 특정 기업이 개인정보로 어느 만큼의 매출을 거두는지 파악할 수 없는 만큼, 법의 실효성을 위해서는 전체 매출액을 기준으로 할 수밖에 없다.
이를 확인할 수 있는 사례가 페이스북 개인정보 유출 건이다. 페이스북코리아는 2012년부터 2018년까지 6년 동안 당사자의 동의 없이 다른 사업자에게 이용자 개인정보를 제공했는데, 유출된 정보는 330만명 이상으로 추산된다.
개인정보위는 이보다 많은 유출이 있었으리라 짐작하면서도 페이스북코리아가 정보 제공을 하지 않아 정확한 피해 규모를 파악하지 못한 상태로 67억원의 과징금을 부과했다. 이는 개인정보 유출 건으로 부과된 국내 과징금 중 최대 액수다.
◆정부부처 내에서도 이견··· 개인정보위 “조율해 나가는 중”=균형점을 찾지 못한 상태에서 양극단의 첨예한 대립이 이어지는 가운데 정부입법 절차를 진행 중이던 개인정보위로서는 예상치 못한 장벽에 부딪혔다. 정부부처 내에서도 이견이 나온 것이다.
법무부는 개인정보위의 개정안이 정보주체의 권리보다는 이를 이용하는 개인정보처리자에 집중했다며, 활용안에 대한 반대 의견을 낸 것으로 전해진다.
같은 안에 대해 ‘지나치게 활용 위주다’, ‘지나치게 규제 위주다’는 전혀 상반된 반응이 나오는 가운데 보호와 활용, 두 마리 토끼를 함께 잡는 것을 목표로 했던 개인정보위로서는 난감한 상황에 봉착했다.
이병남 개인정보위 정책과장은 “당초 6월 내 정부입법이 목표였지만 다소 지연될 듯하다”며 “개정안을 고칠 예정은 없다. 잘 논의해서 입법할 수 있도록 하겠다”고 말했다.
한편 개인정보위의 개보법 개정안 통과가 지연될 것으로 예상됨에 따라 정부의 마이데이터 사업에도 차질이 빚어질 것으로 보인다. 4차산업혁명위원회를 비롯한 마이데이터 관련 부처는 개보법 개정안에 담긴 개인정보 전송요구권을 근거로 사업을 준비해 왔다.
개인정보 전송요구권 조항이 포함된 신용정보법의 영향을 받는 금융 마이데이터는 예정대로 오는 8월 시행된다.