세계일보
메뉴 보기 검색

윤종인 개인정보보호위원회 위원장 “온라인상 ‘잊힐 권리’ EU선 명문화… 국내도 법제화 검토” [세계초대석]

부처별로 흩어졌던 기능 넘겨받아
개인정보 보호 전담 컨트롤타워로
보호·활용 균형 이룬 체계 갖출것
조직의 권한·전문성 강화도 과제
온라인상에서 사생활과 정보 자기결정권 침해에 따른 피해를 호소하거나 우려하는 사람 중심으로 요구해 온 ‘잊힐 권리’와 관련해 정부가 법제화 방안을 검토키로 했다. 26일 정부서울청사 개인정보보호위원회(정보보호위) 집무실에서 만난 윤종인(56) 위원장은 “유럽연합(EU)이 일반개인정보보호법(GDPR)을 기준으로 한국의 개인정보 보호 수준을 평가한 적정성 결정을 앞두고 있는데 EU의 GDPR에는 ‘잊힐 권리’가 명문화돼 있다”며 이같이 밝혔다. EU는 6년 전 잊힐 권리를 인정한 유럽사법재판소의 결정 이후 2016년 회원국에 법적 효력이 있는 GDPR를 제정하는 등 강력한 개인정보보호제도를 시행하고 있다.

 

우리나라는 정보통신망 이용촉진 및 정보보호, 언론중재 및 피해구제 등에 관한 법률 등 관련법에서 일정 부분 잊힐 권리를 보장하고 있다. 하지만 자발적으로 제공한 개인정보를 제3자가 복사하거나 링크한 경우는 삭제가 어려운 점 등 피해자를 구제하는 데 한계가 많다는 지적이 제기돼 왔다. 윤 위원장은 “잊힐 권리를 놓고 표현의 자유나 (공적 인물 또는 공익적 이슈 등 공중의 정당한 관심 사안에 대한) 알권리 침해, 개인정보 삭제 범위와 방법 등을 둘러싼 논란도 적지 않다”며 “풀어야 할 난제가 많은 만큼 종합적으로 고려해 법제화 여부를 결정할 것”이라고 말했다. 윤 위원장은 지난 8월 5일 시행된 ‘데이터 3법’(개인정보보호법, 정보통신망법, 신용정보법)에 맞춰 국무총리 소속 중앙행정기관으로 격상돼 개인정보 보호 전담 컨트롤타워로 재탄생한 정보보호위 초대 사령탑(장관급)으로 제격이란 평가를 받는다. 그는 정보보호위가 대통령 소속 합의제 기관이었을 때 상임위원을 맡아 데이터 3법 개정 작업과 EU의 한국에 대한 GDPR 적정성 협상을 주도했다. 하지만 보호위 앞에 놓인 상황은 녹록지 않다. ‘디지털 세상’에서 개인정보 데이터를 둘러싸고 상충하는 ‘보호’와 ‘활용’ 가치에서 균형을 잡아야 하기 때문이다. 막중한 역할과 위상에 걸맞도록 조직의 권한과 전문성을 강화하는 것도 과제다.

 

윤 위원장은 “‘개인정보가 제대로 보호받고 있다’는 국민의 신뢰 속에 데이터가 유용하게 활용돼 고부가 가치를 창출할 수 있도록 최선을 다하겠다”고 각오를 밝혔다. 다음은 윤 위원장과의 일문일답.

 

― 정보보호위 출범의 의미와 역할은.

 

“이제는 유망 산업이든, 국가경제든 간에 데이터에 기반할 수밖에 없는 시대이다. 그런데 데이터의 75%는 개인정보다. 산업·경제적으로 중요하다고 개인 신상과 관련된 정보를 마구 쓸 수는 없다. 안전하게 잘 써야 한다. 보호위는 보호와 활용이라는 개인정보 두 가치에 대한 요구를 반영한 컨트롤타워다. 중앙행정기관으로서 개인정보 관련 정책을 총괄·조정하고 침해·유출사고 예방 및 대응, 안전한 데이터 활용 기반을 조성하겠다.”

― 음식점 등 출입명부 부실관리 논란에서 보듯 코로나19 사태 와중에 무차별적인 개인정보 수집과 오·남용 우려가 더 커졌는데.

 

“QR 코드를 통한 전자명부는 충분히 안전한 상태다. 역학 조사와 무관한 출입자 정보는 보유 기간(4주)이 지나면 자동으로 폐기되고 있다. QR코드의 이용자 정보는 네이버 등 발급기관이, 출입 정보는 사회보장원이 각각 암호화해서 가지고 있는 데다 역학조사가 필요한 경우에만 두 정보를 결합한다. QR코드 발급기관도 이용자 정보를 기존 데이터베이스(DB)와 섞지 않고 별도로 보관하고 있다. 문제는 수기명부인데, 지난달부터 이름을 빼는 등 꼭 필요한 정보만 수집하도록 했지만 현장에서 아직 미흡한 부분이 있다. 휴대전화 번호를 대체하는 방안도 궁리 중인데 기술적으로 어려운 측면이 있다. 수기명부 폐기가 제대로 되도록 관공서에서 파쇄기를 지원하는 방안을 관계부처와 협의 중이다.”

 

― 데이터3법 통과로 가명정보 개념이 도입됐다. 가명정보는 무엇이고, 경제·산업적으로 어떤 의미를 갖는가.

 

“가명정보는 개인정보를 적절히 가공해 개인을 식별할 수 없도록 만든 정보다. 개인정보는 본래 수집 목적 외에는 쓸 수 없었다. 하지만 데이터3법 개정으로 통계나 산업, 공공 등의 목적에 부합할 땐 카드사, 보험사, 의료기관 등 여러 기관들이 보유한 정보를 결합할 수 있도록 한 게 가명정보 결합이다. ‘사일로’(저장고)에 갇혀 있던 정보들이 가명정보를 통해 ‘스퀘어’(광장)로 나오게 됐다고 보면 된다. 기업 입장에선 다양한 가명정보 조합을 통해 새로운 비즈니스 창출 기회를 갖게 됐다.”

윤종인 개인정보보호위원회 위원장은 26일 “국민들의 개인정보를 잘 지키면서 활용할 방안을 고민할 수 있는 중앙행정기관이 생긴 게 개인정보보호위원회의 출범 의미”라고 설명했다. 이재문 기자

― 내 개인정보가 온전히 보호될 수 있을지 의구심을 갖는 시민이 많다.

 

“무엇보다 정보처리규정 위반 등에 엄정한 법 집행이 필요하다고 본다. 앞으로 관련 법규를 준수하지 않아 적발될 경우 형사처벌은 물론 과징금 등 경제적 부담을 감수하도록 처분의 실효성을 높이겠다. 기업 입장에서도 개인정보 보호 이슈가 단순 마케팅 차원이 아닌 생존전략이라는 점을 알아야 한다. 개인정보를 제대로 보호하지 않는 기업을 누가 신뢰하고 정보를 내주겠나. 정보주체의 불안감을 해소할수록 정보 활용이 더 잘될 것이다. 개인정보 보호와 활용이 상충하는 게 아니라 상호 보완재라고 말하는 이유다.”

 

― 구글과 페이스북, 에어비앤비 등 엄청난 양의 개인정보를 수집하는 다국적 ‘빅테크’ 기업에 비해 네이버와 카카오 등 국내 사업자가 역차별을 받는다는 지적도 나온다.

 

“국내외 기업 간 역차별 이슈 중 하나가 개인정보 수집·이용 동의 절차다. 국내 사업자의 경우 정보 제공 주체가 ‘필수’ 입력과 ‘선택’ 입력을 나눠 하도록 돼 있다. 그런데 해외 사업자는 그런 절차가 없이 클릭해서 들어가는 링크 방식이다. 이런 차이가 차별적인지, 어떤 방식이 더 개인정보 보호에 부합하는지를 검증하고 논의해서 어떻게 할지 정리할 계획이다. 해외 사업자들이 우리 국민에 대한 개인정보 보호 의무를 소홀히 한다면 국내 사업자처럼 과징금 부과 등 행정처분 외에 수사기관에 고발 조치된다. 개인정보가 무더기로 유출되면 최대 매출액의 3%를 과징금으로 내야 한다. 어쨌든 개인정보 보호의 기본 원칙은 국내외 사업자 모두 정해진 룰을 반드시 지켜야 한다는 것이다.”

 

― 개인정보 제공에 동의하지 않으면 서비스 접근 자체가 안 되는 경우가 많아 개선 목소리가 높다.

 

“맞다. 보완해야 할 부분이다. 구글이나 네이버, 인스타그램, 페이스북 등은 제3자에 대한 마케팅 목적으로 개인정보를 수집하거나 없애야 할 쿠키 정보를 갖고 있을 때가 있다. 이용자의 동의를 받지 않은 채 필수적이지 않은 정보까지 수집하는 것은 개인정보보호법 위반이다. 하지만 이용자들이 (동의 절차를) 거부할 경우 서비스를 이용할 수 없도록 해서 별 수 없이 정보수집을 동의하게 하는 경우가 많다. 정보 제공 주체가 본인 동의 여부를 명확히 인식하고, 제공한 정보가 어떻게 활용되는지 투명하게 알 수 있도록 하는 시스템을 구축해야 한다.”

― EU와의 GDPR 적정성 협상이 왜 중요하고, 진행 상황이 어떤지 궁금하다.

 

“국내 기업과 기관이 EU 지역에서 사업을 하거나 개인정보를 활용하려면 그쪽 기준에 맞춰야 한다. EU의 GDPR는 ‘잊힐 권리’와 개인정보이동권 등의 조항이 있어 국제적 표준으로 볼 만한 규칙이다. 만약 EU가 한국에 대해 적정성 결정을 하면 우리의 개인정보 보호 여건이 세계적 수준이라는 평가를 받게 되는 셈이다. EU에 진출한 우리 기업들이 현지에서 수집한 개인정보를 번거로운 절차 없이 국내로 이전해 처리할 수 있다는 점도 기대효과 중 하나다. 다만 코로나19 장기화에 더해 지난 7월 유럽사법재판소가 미국 연방통신위원회(FCC)의 개인정보 부실 관리와 독립성 저해 등을 이유로 개인정보 이전협정을 무효화하는 판결을 내린 게 악재로 작용하고 있다. 한국의 개인정보 처리에 대해서도 (EU는) 보다 신중히 검토하겠다는 입장이다. 하지만 주요 쟁점에서 EU와 합의가 이뤄졌고, 양국 지도부에서도 조속히 협상을 마무리하겠다는 입장이어서 올해 안에 결정 날 것으로 예상한다.”

 

― 정보보호위 초대 사령탑으로서의 각오는.

 

“당장의 목표는 개인정보 보호와 활용에 균형을 맞춘 정책을 추진함으로써 우리나라가 데이터를 가장 안전하게 잘 쓰는 나라가 되도록 보탬이 되는 것이다. 지금이야 (정보보호위가) 작은 스타트업에 불과하지만 혁신과 소통, 전문성으로 개인정보 보호·활용에 관한 한 유니콘이 될 수 있도록 하겠다.”

 

대담=이강은 사회2부장 

정리=송민섭 기자 stsong@segye.com

 

윤종인 개인정보보호위원장은 ●충남 홍성(56) ●서울 상문고 ●서울대 서양사학과 ●서울대 행정학 석사 ●미국 조지아대 행정학 박사 ●제31회 행정고시 합격(1987) ●행정안전부 자치제도기획관 ●주미한국대사관 공사참사관 ●충남 행정부지사 ●행안부 정부혁신조직실장 ●행안부 지방자치분권실장 ●개인정보보호위원회 상임위원 ●행안부 차관