이데일리

경제 기업 정치 사회 부동산 증권 문화 연예 스포츠

COPYRIGHT EDAILY, ALL RIGHTS RESERVED.

개인정보위, GDPR·AI 점검 성과…개인정보법 개정안 과제 남아

by이후섭 기자
2021.05.28 17:59:33

GDPR 적정성 결정 상반기 발효 기대…AI 점검표 곧 공개
`전체 매출 3%` 과징금 부과 개정안, 산업계 반발 넘어야
턱없이 부족한 인력 한계…밀린 조사만 400건 달해

윤종인 개인정보보호위원회 위원장이 지난 3월 29일 오전 서울 종로구 정부청사 합동브리핑룸에서 유럽연합(EU) 일반개인정보보호법(GDPR) 적정성 결정 관련 사전 브리핑을 하고 있다.(사진=개인정보보호위원회 제공)
[이데일리 이후섭 기자] 비대면 서비스 급증으로 개인정보 보호 이슈가 부각되는 가운데 컨트롤 타워로 출범한 개인정보보호위원회가 유럽연합(EU)의 일반개인정보보호법(GDPR) 적정성 결정 초기 채택, `인공지능(AI) 개인정보보호 자율점검표` 마련 등의 성과를 이어가고 있다.

개인정보 보호법 2차 개정을 위한 작업도 서두르고 있지만, 과징금 부과기준 상향 관련 산업계의 반발을 넘을 수 있는 합리적인 시행령 마련이 과제로 남아있다. 400여건 넘게 밀려있는 개인정보 보호법 위반 행위 관련 조사, AI 자율점검 안착을 위한 현장 컨설팅 확대 등을 위해 현재 턱없이 부족한 인력을 확충하는 것도 과제로 꼽힌다.

개인정보위는 지난해 8월 데이터 3법(개인정보보호법·신용정보법·정보통신망법) 시행과 함께 독자적인 조직·인사·예산의 운영 권한을 갖는 장관급 중앙행정기관으로 격상됐다. 지난해 상반기에만 온라인에서 1300만건의 개인정보가 유출돼 전년의 3배 이상 급증한 상황에서 개인정보위는 지난해 11월 최소 330만명 이상의 개인정보를 유출한 페이스북에 67억원의 과징금을 부과하면서 존재감을 알렸다.

출범 이후 윤종인 위원장도 우선 추진 과제로 의지를 보였던 EU의 GDPR 적정성 결정이 지난 3월 1단계를 통과하면서 이르면 올 상반기 최종 결정이 날 예정이다. 적정성 결정이 발효되면 네이버·SK텔레콤 등 EU에 진출한 기업들이 개인정보를 가져오는 데 들였던 최대 2억원의 비용과 시간을 줄일 수 있을 전망이다.

다만 이번 결정에는 금융기관이 제외돼 앞으로 풀어야 할 숙제로 남았다. 금융기관도 포함하려면 흩어져 있는 개인정보 관련 법·규정의 해석에 있어 일관성 체계를 확립할 필요가 있으며, 외교적 노력도 뒷받침돼야 한다.

AI 챗봇 `이루다` 사태 조사에 나섰던 개인정보위는 8가지 개인정보보호법 위반행위에 대해 총 1억330만원의 과징금·과태료 처분을 내렸다. AI 기술 관련 개인정보 처리를 제재한 첫 사례로, 개인정보위는 해당 사례를 반영해 만든 AI 관련 개인정보보호 자율점검표를 이달 말 공개할 예정이다. 점검표에는 8단계 흐름표에 따라 동의·가명처리 등의 구체적 항목이 담겨 개인정보보호법에 대해 잘 모르는, 규모가 작은 스타트업 등에 많은 도움이 될 것으로 기대된다.

그럼에도 막상 현장에서 점검표 만으로 높은 전문성을 요하는 개인정보 보호법의 규정을 이해하고, 적용할 수 있을지에 대한 우려도 있다. 이에 개인정보위는 현장 컨설팅 등을 추진해 스타트업 등을 지원하고, 현장의 목소리를 반영해 점검표를 지속적으로 보완해 나갈 방침이다.



인공지능(AI) 개인정보보호 자율점검표 흐름도(자료=개인정보보호위원회 제공)
개인정보위는 올 상반기 내 개인정보 보호법 2차 개정안을 국회에 제출하는 것을 목표로 하고 있다. 윤 위원장은 “현재 20개가 넘는 의원 입법안이 제출돼 있는데, 정부 입법안이 제출되면 이를 기준으로 활발한 논의가 이뤄져 개정 작업에 속도를 낼 수 있을 것으로 보인다”고 내다봤다.

2차 개정안에는 과징금 부과기준을 `위반행위 관련 매출액의 3%`에서 `전체 매출액의 3%`로 강화하는 내용이 담겼다. 이에 대해 지난 2월 열린 공청회에서 삼성전자의 경우 최대 7조2000억원의 과징금이 산출될 수 있다는 사례를 들어 산업계가 일제히 반발했다.

개인정보위는 시행령에 8가지 항목을 둬 과징금을 낮출 수 있다는 단서 조항을 달았다고 하지만, 산업계에서는 `관련 매출액`을 산정하는 기준을 우선적으로 마련하거나 `관련 매출액`의 3%에서 5%로 높이는 등 다른 방안을 모색할 수 있다는 의견을 내고 있어 적잖은 갈등이 예상된다.

AI 기술의 확산과 더불어 마이데이터 시대 본격 개막, 가명정보 활용 등에 힘입어 개인정보위의 역할은 앞으로 더 커질 것으로 전망되지만 턱없이 부족한 인력이 한계점으로 꼽힌다. 현재 개인정보위 전체 인원은 147명으로, 200명이 넘는 금융위원회나 방송통신위원회에 미치지 못하며 400명이 넘는 공정거래위원회의 절반도 안되는 수준이다.

지난 3월말 기준 방통위와 행안부에서 이관된 조사만 337건에 달하는데 이루다 사태, 오픈마켓 실태 조사 등 새로 200건이 넘는 사건이 발생하면서 현재 400여 건의 조사가 밀려있다. 이런 상황에서 AI 점검표 현장 컨설팅도 나가야 하는 등 현재 인력만으로는 감당하기 어려운 실정이다.

개인정보위 내부에서도 “비대면 서비스가 확산되면서 개인정보 관련 사고도 계속 늘어날텐데 앞으로가 더욱 걱정”이라며 “인력 충원이 매우 시급한 상황”이라는 하소연이 나온다.

Copyright ⓒ 이데일리. All rights reserved.