이성엽 고려대 기술경영전문대학원 교수/기술법정책센터장 기술법정책센터장
AI는 데이터·개인정보를 필수 자양분으로 해서 성장하는 만큼 데이터나 개인정보 규제의 역할이 막중하다. 이에 정부는 초거대 AI 시대, 전세계적 디지털 대전환 추세에 부합하기 위해 개인정보보호법 제2차 개정안을 마련하고 9월부터 시행한다. 개정법은 크게 데이터 활용을 통한 데이터경제 견인, 데이터 보호를 통한 국민 개인정보 신뢰사회 구현, 글로벌 스탠더드에 부합하는 데이터·개인정보 규범제정 3가지를 축으로 하지만 2011년 법 제정 이후 사실상 가장 포괄적이고 전면적인 개정이라고 할 수 있다.
다음은 데이터 보호를 통한 국민 개인정보 신뢰사회 구현이다. 그간 정보주체의 동의에만 과도하게 의존한 관행에서 벗어나 계약이행, 공중안전 등 합리적으로 예상할 수 있는 범위에서는 동의 없이도 개인정보 수집·이용이 가능하도록 했다. 또한 정부가 기업·기관의 개인정보 처리방침을 평가한 후 개선하도록 해 국민들이 안심하고 개인정보를 제공할 수 있도록 했다. 형식화한 동의가 개인정보처리자에게 면죄부를 주는 것 아니냐는 비판에 대응해 데이터 보호에 대한 국가책임제가 도입됐다는 점에서 의미가 있다.
끝으로 글로벌 스탠더드에 부합하는 데이터·개인정보 규범제정이다. 개인정보를 국외로 이전하려면 정보주체의 '동의'가 유일한 수단이었으나 동의 외에도 계약·인증·적정성 결정 등으로 국외 이전 요건을 다양화했다. 이제 유럽연합(EU)이나 일본과 유사한 수준의 데이터 이동의 자유화가 실현된 셈이다. 또한 글로벌 스탠더드와 달리 형벌 위주인 법 위반 제재를 경제벌 중심으로 전환하고, 특히 과징금 상한액은 전체 매출액의 3% 이하로 조정하며 산정시 위반행위와 관련 없는 매출액은 제외하도록 했다. 기업으로서는 전체 매출액 기준의 부담이 줄어들었으나 위반행위와 관련이 없다는 점을 입증해야 하는 부담은 여전하다.
결론적으로 개인정보법제의 역할은 초거대 AI 시대의 도래에 따라 개인정보 활용을 극대화하는 것과 동시에 이로 인한 개인정보 침해 이슈도 균형적으로 고려하는 것이라고 할 것이다.
이 시각 인기 뉴스
미니부처인 개인정보보호위원회가 제2기를 맞아 일심동체로 뚝심을 가지고 국회 등을 설득한 결과 학계, 업계 등 요구사항의 상당부분이 반영된 법 개정이 이뤄졌다. 다만 전분야 마이데이터 도입이라는 야심만만한 계획의 실행이 걱정이다. 여러 부처의 이해관계 조정 등을 수행하기에 조직, 인력이 턱없이 부족하기 때문이다. 조직, 인력의 보강을 통해 시행령 제정 등 후속작업에도 만전을 기하기 바란다.