[디지털데일리 이종현기자] 개인정보보호위원회(이하 개인정보위)가 통합 출범한 지 2년이 지났다. 코로나19 대유행 국면 속 출범한 개인정보위는 과도한 개인정보 수집·활용이나 개인정보 유·노출에 대한 행정처분을 내리는 규제 기구로서의 역할을 수행해왔다.
단순 규제 기구로의 면모만 지닌 것은 아니다. 자동차의 브레이크가 보다 빨리 달릴 수 있도록 하는 장치인 것처럼, 개인정보위는 개인정보가 잘 활용될 수 있도록 하는 윤활유 역할도 맡아왔다. 가명정보 활용이나 마이데이터 등이 대표적인 예다.
윤종인 개인정보위 위원장은 출범 2년을 맞은 기자간담회에서 “개인정보위를 비롯한 많은 관계부처가 노력하고 있지만, 국민은 자신의 개인정보가 안전하게 지켜지고 있다고 체감하지 못하는 중”이라고 아쉬움을 토로했다.
이어서 “데이터 시대의 도래는 피할 수 없다고 본다. 이 흐름 속에 개인정보의 안전한 활용은 굉장히 중요한 이슈가 될 것이고, 우리 정부가 여기에 어떻게 대응하느냐가 디지털 시대를 꽃피울지 아닐지를 결정하게 될 것”이라며 “디지털 전환이 이뤄지는 와중에 자유와 인권이 보호되고, 개인정보가 안전하게 활용될 수 있도록 노력하는 것이 위원회의 역할”이라고 강조했다.
◆메타 개인정보 수집 동의 강제 철회
최근 개인정보위의 활동 중 가장 눈에 띄는 것을 하나 꼽자면 사회관계망서비스(SNS) 페이스북과 인스타그램을 운영하는 메타(Meta)의 개인정보 처리방침(Privacy Policy) 및 이용약관 개정 철회다.
메타는 지난 7월 개인정보 수집 및 이용을 필수 동의 항목으로 두고, 동의하지 않으면 계정을 사용하지 못하도록 약관 개정을 추진했다. 사실상의 동의 강제라는 점에서 많은 비판을 받았는데, 개인정보위가 메타 측과 소통한 이후 관련 약관 개정은 철회됐다.
윤 위원장은 해당 건과 관련 “메타가 약관 개정을 철회했지만, 철회와 별개로 메타의 사용자 개인정보 수집과 관련한 조사는 진행 중”이라며 “가급적 빠른 시일 내에 결과를 발표할 수 있도록 하겠다”고 말했다.
개인정보위는 메타뿐만 아니라 국내·외 플랫폼 사업자의 개인정보 수집 현황을 조사 중이다. 향후 개인정보보호법 개정을 통해 플랫폼 기업들의 과도한 사용자 정보 수집을 방지하겠다는 취지다.
윤 위원장은 “개인정보 처리와 관련, 동의 만능주의가 있다는 지적이 있다. 정보 주체의 권리가 보장되지 못하는 상태에서 마구잡이로 운영되는 경향이 있는데, 개인정보 동의 만능주의 패러다임을 상호 합의 모델로 바꿔나가도록 노력할 것”이라고 피력했다.
◆디지털플랫폼정부, 개인정보 안전장치는 필수
개인정보위는 최근 윤석열 정부서 추진하는 디지털플랫폼정부(DPG) 속 개인정보보호 강화에 공을 들이고 있다. 오는 9월 출범 예정인 DPG 위원회에는 개인정보위 위원장이 당연직으로 포함돼 있다. 개인정보위 실무진을 파견할 방침이다.
윤 위원장은 “DPG는 모든 데이터가 연결되는 디지털플랫폼을 구현하고, 이를 통해 국민이나 기업, 정부가 함께 사회 문제를 해결하고 새로운 가치를 창출하겠다는 취지에서 마련됐다”며 “이를 위해서는 데이터가 필수적인데, 데이터의 70%가량은 개인이 생성한 정보라는 점에서 DPG의 성공 여부는 개인정보를 어떻게 보호하고 활용하느냐에 달렸다고 해도 과언이 아니다”고 말했다.
데이터 활용은 양날의 검이다. 대표적인 사례가 작년 법무부의 공항 자동출입국심사시스템 고도화 사건이다. 당시 법무부는 공항 자동출입국심사시스템의 인공지능(AI)을 고도화하기 위해 외국인 정보 1억2000만건, 내국인 정보 5700만건을 동의 없이 활용했다. 활용된 정보는 일방향 암호화를 수행한 여권번호, 국적, 생년, 성별, 얼굴사진 등이다.
개인정보위 조사 결과 해당 건은 적법한 절차를 통해 수행된 것으로 판가름났다. 시스템 개발을 위해 AI 업체와 위탁 계약을 한 위탁사실, 또 수탁자를 홈페이지에 공개하지 않은 것에 대해 과태료 100만원을 부과한 것이 전부다. 다만 위법 여부를 떠나 국민 정서상 납득하기 어렵다는 지적이 잇달아 제기됨에 따라 개인정보위는 개인정보를 활용하는 사업의 경우 사전진단 프로그램을 통해 오·남용을 막고 있다.
윤 위원장은 “중요한 것은 법적 정합성 확보와 개인정보 처리 과정의 투명성이다. 이를 국민들에게 어떻게 전할 것이냐가 핵심”이라며 “코로나19 대응 과정에서 질병관리청과 협조해 개인정보의 오·남용을 막았던 것처럼, 관계부처와 협력해 DPG가 성공할 수 있도록 힘쏟겠다”고 전했다.
◆“‘피해는 개인이, 보상은 정부가’ 비판, 뼈아프다”
개인정보보호법 위반 사례가 있을 때마다 개인정보위는 사건에 대한 조사와 행정처분을 내린다. 지난 3~4월 두 차례에 걸쳐 162만명의 고객정보가 유출된 발란에게 5억원가량의 과징금을 내린 바 있다.
다만 이와 같은 조치에 피해자 다수는 “과징금이 너무 적다”, “피해는 개인이 봤는데 왜 정부가 돈을 걷어가느냐”고 비판한다.
이에 대해 윤 위원장은 “뼈아픈 부분이다. 과징금은 개인정보위가 임의로 판단하는 것이 아니라 관련 규정에 따라 부과하고 있다. 전반적으로 과징금 액수가 너무 적은 것에 대해서는 국제 표준에 맞게 과징금 산정을 달리 하는 법안을 국회에 제출해둔 상태인데, 해당 법이 통과된다면 어느 정도 답이 되리라 본다”고 말했다.
이어서 “하지만 법이 개정되더라도 개인에 대한 피해구제로 이어지기는 어렵다. 이는 행정처분이 아니라 민사 배상의 영역이기 때문이다. 피해자 구제가 이뤄져야 한다는 데 위원회도 의식을 공유하고 있다. 그래서 과징금을 처분할 때면 위원회가 가진 공적 제도인 분쟁조정을 적극적으로 안내하는 중이다. 앞으로도 여러 피해 보상 장치에 대한 보강을 고민하겠다”고 부연했다.
한편 이날 윤 위원장은 배달로봇 상용화나 폐쇄회로(CC)TV 증가, 빈번한 클라우드 보안사고에 대한 대비책 등 여러 주제에 대해 폭넓게 대담을 나눴다.