[맘스타임즈, 최영진기자] 개인정보보호위원회는 현 정부 출범 이후 개인정보 정책 성과와 향후 추진계획을 발표했다. 개인정보위는 지난 2년 6개월 간 ‘개인정보를 철저히 보호하고 데이터를 안전하고 신뢰성 있게 활용할 수 있는 체계 확립’이라는 국정과제 추진에 주력했다.
데이터 처리 방식이 복잡하고 변화의 속도가 빠른 AI 시대에 대응하여 세세한 ‘규정(rule)’이 아닌 ‘원칙’ 중심(principle-based)의 개인정보 활용 정책방향을 제시했다. AI 개발의 핵심재료인 비정형데이터, 공개된 개인정보, 이동형 영상기기(드론·자율주행차 등)에 의해 촬영된 영상정보, 합성데이터 등의 구체적인 처리 기준을 마련하여 공개했다.
규제 샌드박스(총 67건)를 통해 연구와 공익 목적의 AI 기술 개발에 필요한 데이터를 합리적으로 활용할 수 있도록 지원했으며, 연구자나 기업이 안전한 환경에서 유연하게 가명정보를 분석할 수 있는 공간인 개인정보 안심구역 5개소를 지정했다.
또한, 가명정보 활용 활성화를 위해 모든 과정을 원스톱으로 지원하는 가명정보 활용 지원플랫폼 운영을 개시했으며, 지역 기반의 데이터 기업 지원을 위해 권역별 가명정보 활용지원센터 5개소를 추가 개설(총 7개소)했다.
아울러, 가명정보 결합전문기관의 자기 활용 목적을 위한 데이터 자체결합을 허용하고 결합전문기관 지정요건을 합리화했으며, 보건·의료·데이터 활성화를 위해 가명정보 처리·제공 과정에서 병원과 공공기관의 법적 책임 범위를 명확화하는 등 가명정보 활용 제약을 해소했다.
사업자가 AI 등 신기술·신서비스를 기획·개발하는 과정에서 기존 선례나 해석례만으로 명확한 개인정보 보호법 준수방안을 찾기 어려운 경우, 사업자와 개인정보위가 함께 법 적용방안을 마련하는 사전적정성 검토제도 신설해 법적 불확실성을 해소(9건 의결)해 나가고 있다. 이에 더해, 위원장 직속 혁신지원 원스톱 창구를 개설하여 기업 현장의 애로사항에 대해 5일 이내 답변을 원칙으로 신속하게 처리(4건)하고 있다.
AI 등 사람의 개입 없이 완전히 자동화된 결정에 대해 정보주체가 설명이나 검토를 요구할 수 있고 권리·의무에 중대한 영향을 미치는 경우에는 이를 거부할 수 있는 권리를 마련하고, 국민들이 자신의 데이터에 대해 주도적 권리를 행사할 수 있도록 개인정보 전송요구권을 신설했다.
개인정보 처리의 투명성·책임성 제고를 위해 개인정보 처리방침 평가제를 도입하여 49개 기업·기관을 대상으로 첫 평가를 진행하고 있으며, 종전 공공기관 관리수준 진단을 대폭 개선한 공공기관 보호수준 평가제를 신설하여 평가·환류 체계를 보완했다. 또한, 개인정보 보호책임자(CPO)가 전문성을 가지고 업무를 수행할 수 있도록 자격 요건을 강화했다.
아울러, 온라인 상에 노출되거나 불법적으로 유통 중인 개인정보가 포함된 게시물 등을 신속하게 탐지하여 삭제·차단하는 온라인 대응체계 강화를 위해 ‘개인정보 노출·불법유통 대응 강화방안’을 발표했다. 딥페이크 등 개인정보 오·남용을 막기 위해 개인정보 노출 탐지과정에 인공지능 기술 등을 접목할 계획이다.
지난해부터 개인정보가 포함된 온라인 게시물의 삭제를 지원하는 디지털 잊힐권리 지원사업(지우개 서비스)을 운영 중이며, 올해에는 지원 대상(신청연령25세 → 30세 미만, 지원대상18세 → 19세 미만 시기 게시물)을 대폭 확대했다. 아울러, 관계부처 합동으로 아동·청소년 개인정보 보호 강화를 위한 기본계획을 수립하고, 가이드라인도 제정했다.
정부 출범 이후, 총 1,552억원의 과징금·과태료와 240건의 시정명령을 부과하는 등 개인정보 보호 법령 위반 사업자를 엄정하게 제재함으로써 불법 행위의 재발 방지를 유도하고, 개인정보 보호에 대한 투자 확대 필요성을 환기했다.
특히, 개인정보를 불법적으로 수집·활용한 글로벌 빅테크 기업에 총 1,290억원의 과징금을 부과했다. 이용자 동의 없이 개인정보를 수집하여 맞춤형 광고에 활용한 사례, 종교관·정치관 등 민감정보를 적법한 처리 근거 없이 수집하여 광고주에게 제공한 사례 등이 이에 포함된다.
공공분야 개인정보 관리 수준 제고를 위해서도 다양한 노력을 펼쳤다. ‘공공부문 유출 방지 대책’을 수립했고, 고의 유출 시 파면·해임으로 징계를 강화하는 한편, 대규모 개인정보를 처리하는 공공기관 등에 추가적인 안전조치 의무를 부과했다. 아울러, 공공기관에 대해서도 과징금 한도를 상향 조정하고 엄정한 법 적용을 통해 경각심과 책임성을 높이고 있다.
AI·데이터 질서 정립 과정에서 국제규범과 국내 규율체계 간 상호 연계 운용성 확대 등 국익 확보를 위해 AI와 데이터 프라이버시 국제 컨퍼런스 개최, 2025년 글로벌 프라이버시 총회(GPA)의 서울 유치, UN AI 고위급 자문기구 참여 등 국제규범 형성 과정에서 적극적인 노력을 하고 있다.
해외 기업이 한국 개인정보 보호법을 준수할 수 있도록 해외 사업자의 개인정보 보호법 적용 안내서를 발간하고, 중국 인터넷 기업 간담회를 개최하는 등 해외사업자를 대상으로 우리 법에 규정된 의무 이행을 요청했다.
개인정보위는 개인정보 보호의 핵심가치를 지키면서도 AI로 인한 사회적 편익을 높일 수 있도록 개인정보보호 규율체계를 지속 정비할 계획이다. 사회적으로 꼭 필요한 AI 서비스 개발을 위해 안전조치를 전제로 개인정보를 보다 유연하게 활용할 수 있도록 현행 법령을 합리적으로 해석하고 동시에 개인정보 보호법 개정도 추진한다.
AI 등 신기술 혁신과 이를 위한 개인정보 처리 과정에서 정보주체의 권리 보장을 위해 합성데이터 생성·활용 안내서, AI 프라이버시 리스크 평가·관리 방안, 생체인식정보 규율체계 등도 마련해 나갈 예정이다.
시범 운영 중인 개인정보보호 중심 설계(PbD) 인증제의 법정 인증화 등 제도 개선으로 IP 카메라 등 신기술·신제품의 개인정보 보호 기능을 강화한다. 또한, 위원회 조사·처분 기능 강화를 위해 개인정보 유출사고 발생 시 입증 자료를 분석할 수 있는 디지털 포렌식랩을 구축하고, 소송전담팀을 구성한다.
우리나라가 AI와 개인정보 분야 국제규범 형성 과정에서 주도적인 역할을 해 나갈 계획이다. 내년 9월에 ‘일상화된 인공지능으로 일어날 개인정보 이슈’를 주제로 2025 GPA를 서울에서 개최한다. 또한, 우리나라와 EU 간 안전하고 자유로운 데이터 이전이 활성화될 수 있도록 동등성 인정 제도의 첫 대상국으로 EU를 선정하여 본격적으로 관련 검토를 진행 중이다.
고학수 개인정보위 위원장은 “인공지능과 같이 데이터 의존도가 높은 신기술·신산업 혁신 생태계 조성을 위해서는 기술의 변화에 상응하는 법·제도적 기반이 뒷받침되어야 한다.”라며, “앞으로도 AI 시대에 걸맞은 법 체계 마련과 신기술 개발 과정에서의 개인정보 처리에 대한 사회적 신뢰 확보에 정책적 역량을 집중할 계획이다.”라고 밝혔다.