개정된 개인정보보호법이 지난 2월 4일 공포되고 오는 8월 5일 시행될 예정이다. 주요 개정 내용은 △개인정보거버넌스 일원화 △데이터 이용 활성화 △개인정보처리자 책임성 강화 등이다.
법 개정 내용중 핵심은 개인정보보호위원회(이하 보호위원회)를 중앙행정기관으로 격상하고 분산됐던 개인정보보호 관련 업무를 보호위원회로 통합·이관한다는 내용이다. 즉 행정안전부, 방송통신위원회, 개인정보보호보호위원회로 분산됐던 업무를 보호위원회로 통합하고 안전한 데이터 활용을 위한 감독체계를 구축했다는 점이다.
오용석 KISA 개인정보정책단장은 “보호위원회를 총리실 소속 행정기관으로 격상하고 개인정보보호 업무를 일원화하면서 인사, 예산 등 독립성을 부여했다. 이 부분이 올해 상반기 확정될 한·EU 적정성 결정에 직접적 영향을 미친다. 결정된다면 우리 기업이 EU에서 국내로 개인정보 역외 이전시 규제준수 부담이 크게 완화될 수 있다”고 밝혔다.
한·EU 적정성 결정은 EU가 상대국 개인정보보호법제 보호 수준이 적정하다는 결정을 하는 제도다. 이에 한국 정부는 개별 기업의 규제 준수 부담 완화를 위해 국가 차원의 적정성 결정을 추진했으며 개인정보보호법과 보호위원회의 독립성 확보로 올해 상반기 적정성 최종 결정이 될 전망이다. 다만 코로나19 여파로 다소 늦어질 수도 있다.
한·EU 적정성 결정은 EU 경제 권역에 진출 또는 진출 예정인 모든 기업에게 전반적으로 영향을 미칠 것으로 보이며 특히 개인정보 처리량이 많은 ICT 플랫폼 서비스 산업의 자유로운 정보이전 촉진을 통해 데이터 교역 활성화가 기대된다. 한국이 올해 결정되면 13번째 적정성 결정 국가가 된다.
한편 개정 내용에는 정보통신망법(이하 정통망법)과 통합에 따른 법령 일원화도 포함됐다. 정통망법에 있는 유사 규정은 기존 개인정보보호법 관련 규정에 통합하고 보호법 내에 정보통신서비스제공자 등에 대한 특례를 신설해 망법에만 있는 규정을 이관하게 된다.
데이터 이용 활성화에 있어서는 개인정보 개념을 명확히 했다. 개인정보, 가명정보, 익명정보에서 익명정보를 개인정보보호법의 적용대상에서 배제했다.
또 개인정보 이용·제공 범위를 확대해 개인정보의 수집목적과 합리적으로 관련된 범위 내 이용·제공이 가능하다. 수집목적과 합리적으로 관련된 범위 내에서 안정성 확보에 필요한 조치를 했다면 정보주체의 동의없이 개인정보 이용·제공이 가능하다는 것이다.
가명정보 이용·제공 범위도 확대된다. 기존 ‘통계작성 및 학술연구 등’에서 개정된 내용은 ‘통계작성, 과학적 연구, 공익적 기록 보존 등’으로 신기술, 제품, 서비스 개발 등 산업적 목적을 포함하는 과학적 연구, 시장조사와 상업목적의 통계작성도 포함시켰다.
데이터 결합을 위한 법적 근거도 마련됐다. 정보집합물 결합에 대한 법적 근거를 명시하며, 기업 내부 데이터는 자체적으로 결합이 가능하며 서로 다른 기업간 데이터는 보안시설을 갖춘 전문기관 내에서 수행해야 한다. 그리고 결합된 데이터를 기관 외부로 반출할 경우 가명 또는 익명조치 후 전문기관 승인을 거쳐 반출한다는 내용이다.
더불어 가명정보의 안전한 활용을 위해 가명정보에 대한 안전 조치 의무를 부과하고 위반 시 2년 이하 징역 또는 2천만원 이하 벌금 및 3천만원 이하 과태료가 부과된다.
또 재식별 금지를 위반할 경우, 4억원 이하 또는 전체 매출 3% 이하 과징금, 5년 이하 징역 또는 5천만원 이하 벌금을 부과할 수 있다.
한편 시행령은 3월중 입안완료하고 4월 중 입법예고를 추진할 예정이며 고시 등 행정규칙은 4월 중 입안을 완료하고 5월중 행정예고를 추진한다는 방침이다.
이와 함께 법 시행에 맞춰 국민 우려 해소를 위해 분야별 가이드라인 및 법령 해설서를 준비하고 있다. 총 42개 개인정보 관련 가이드라인 제·개정을 추진하고 있으며 법 개정으로 새롭게 도입된 개념이나 내용이 구체적 예시나 사례를 통해 이해될 수 있도록 해설서도 발간할 계획이다.
“GDPR 준수 위반 및 과징금 부과 사례 급증...공공 서비스 통해 철저히 대응해야”
또 KISA는 2020년 GDPR 준수 지원을 위해 △중소, 영세기업 무료컨설팅 △GDPR 홈페이지를 구축해 관련 정보 국문으로 제공 △전화 및 이메일로 수시상담 △국내 및 EU 현지 실무교육 △EU 현지 진출 기업을 위한 협력채널 운영 등을 제공한다는 계획이다.
오용석 단장은 “KISA는 GDPR 관련 수시상담을 지원해 오고 있다. 지난해 단순상담을 제외한 실질적 상담이 170건이 넘는다. 또 15개 기업을 대상으로 GDPR 전문 컨설팅도 진행했다. 개별 기업에서 GDPR 대응 컨설팅을 받게 되면 많은 비용이 발생하기 때문에 KISA GDPR 준수 지원사업을 적극 활용하기 바란다”며 “올해 하반기에는 EU 지역에 현지 감독기구와 커뮤니케이션 지원을 위한 연락사무소도 개소할 예정이다. GDPR 홈페이지를 중심으로 관련 정보를 신속하게 제공하고 현업에 활용 가능한 정보, 현장 중심의 찾아가는 서비스를 지원하겠다”고 밝혔다.
GDPR은 EU 일반 개인정보보호법으로 2018년 발효됐으며 중대위반시 전세계 연간 매출 4% 혹은 2천만 유로, 일반위반시 전세계 연간 매출 2% 혹은 1천만 유로의 과징금을 부과할 수 있는 강력한 법이다. 시행 초기 1년간 민원접수는 14만4천건이 넘었고 유출통지는 9만여 건 증가했다. 또 영국 감독기구의 경우 민원이 3배 증가한 것으로 조사됐다. 특히 대형기업의 과징금 부과 뿐만 아니라 중소, 영세자영업자, 개인 등에도 과징금이 부과되고 있어 한국 기업들은 철저히 대비해야 하는 상황이다.
★정보보안 대표 미디어 데일리시큐!★
