KISA "개인정보 패러다임, 보호+활용으로 변화"

정부 개인정보 관련 정책이 보호 중심에서 '활용'까지 함께 고려하는 방향으로 움직일 전망이다. 국내 개인정보보호 정책 현안 대응과 제도 정비를 담당하는 산하기관 한국인터넷진흥원(KISA)이 최근 이같은 취지의 업무 추진방안을 제시했다.

KISA 김원 개인정보보호본부장은 "지난해까지 본부 업무는 개인정보보호 중심적이었지만 이제 (산업계 요구에 따라) 활용에 대한 쪽으로 패러다임이 넘어가고 있다"며 "국제 트렌드도 보호 중심에서 활용 중심으로 가고 있어, 정보 주체와 활용하는 쪽이 서로 신뢰를 가져야 한다"고 말했다.

김 본부장은 이같은 발언 근거로 국내외 개인정보 관련 환경 변화를 지목했다. 그는 2018년 5월부터 유럽연합(EU) 지역에서 시행될 개인정보보호법(GDPR), 아시아태평양경제협력체(APEC) 가입국가간 개인정보보호인증체계(CBPR) 확산, 미국의 개인정보보호 규정내 비식별정보 활용 근거 및 일본 개인정보보호법의 익명가공정보 규정 신설 등을 개인정보 보호와 활용을 함께 추구하는 흐름으로 제시했다.

그는 이어 국내에선 시민 사회의 여러 시각이 엇갈리고 있다고 지적했다. 그에 따르면 산업계에서는 현재 보호를 위한 규제가 심하고 활성화할 수 있는 쪽으로 바뀌길 기대한다. 시민단체에선 여전히 활용보다 보호에 무게를 둔 관점의 요구를 지속해 오고 있다. 개인정보의 당사자인 '정보주체'의 입장엔 양면성이 있다. 기본적으로 보호되길 바라지만 활용에도 기대감을 갖고 있다는 진단이다.

■"정보주체·시민단체·산업계 사회적 합의 필요"

김 본부장은 "산업계, 시민단체, 정보주체, 3개 그룹이 (개인정보 보호와 활용의 균형을 위해) 긴밀한 사회적 합의를 봐야 한다"고 말했다.

그의 설명에 따르면 지난해 3월 개인정보보호법 개정으로 주민등록번호 처리 제한이 강화됐고 고유식별정보의 안전성 확보조치를 정기 점검하는 조사가 시행됐다. 정보통신망법 개정으로 개인정보 유출사고 발생시 사고 기업에 징벌적 손해배상제, 최고경영자 책임 강화, 노출된 개인정보 삭제차단조치도 강화됐다.

KISA는 보호와 활용 2가지 방향성을 모두 담아낸 업무 추진방안을 마련했다. 추진방안은 개인정보 수집, 이용, 침해사고 대응, 피해상담, 인식제고, 글로벌 수준 제고, ICT신산업지원, 7가지 분야로 구체화됐다. 개인정보보호본부는 여기에 국제적 추세에 맞춰 법과 제도 수준을 제고하면서 사회구성원이 스스로 개인정보를 안전하게 관리하고 처리하며 이용할 수 있게 유도하겠다는 목표를 담았다.

본부는 '수집' 단계에서 지난 3월부터 강화된 주민번호 처리근거 법정주의를 홍보 중이다. 정부 시행규칙과 지방자치단체 조례 등으로 이뤄졌던 주민등록번호 수집을 금지하고 시행령 수준의 근거가 있어야만 허용하도록 했다.

또 정보주체로부터 개인정보 이용동의를 받을 때 중요한 내용이면 그걸 눈에 띄게 명확히 인지하게 만들라고 규정한 개인정보보호법 신설조항(22조 2항)의 시행령과 행자부령 개정안을 만들고 오는 9월까지 안내서를 만들 예정이다.

■휴폐업사이트 임시중지 제도 도입

본부는 수집된 개인정보 '이용' 단계에서 안전 관리를 강화하기로 했다.

김 본부장은 "개인정보보호체계 강화 이후 1만건 이상 유출 사고 건수는 줄어들었지만 소규모 침해 사고는 지속 발생 중인데, 산술적으로 외부공격(해킹)을 막으면 개인정보유출 65%를 막을 수 있다"고 말했다.

개인정보보호 관리실태점검 범위를 확대해 10만개 가량인 개인정보 대량처리 사이트를 5년 주기로 집중점검하기로 했다. 대량처리 사이트에는 공공기관 1만2천개, 5만명 이상의 개인정보 보유기업 6만8천개, 일평균 방문자 1만명 이상의 웹사이트 2만개가 포함된다.

본부는 또 전체 200만개 개인정보처리자를 10년 주기로 전수점검한다는 방침이다.

본부는 이와 함께 개인정보를 수집한 뒤 휴업 또는 폐업으로 연락이 되지 않는 사이트에 '서비스 임시 중지' 조치를 할 수 있는 제도를 도입할 필요가 있다고 판단하고 있다.

또 개인정보보호법과 정보통신망법 고시를 개정해 개인정보 처리 웹사이트 대상의 취약점 점검 및 조치를 의무화할 방침이다. 이는 최근 3년간 개인정보 유출 사고 205건 중 121건(59%)이 해킹으로 발생했다는 점, 'SQL인젝션'에 당할만큼 기본적인 취약점 대응조차 이뤄지지 않았던 '여기어때' 해킹사례가 최근 있었다는 점을 반영한 것이다.

■불법유통 게시물 삭제권한 확보 추진

본부는 '침해사고 대응' 단계에서 온라인사이트의 개인정보 불법유통 게시물 삭제 요청 권한을 확보하기로 했다.

김 본부장은 "온라인 홈페이지에 개인정보 직접 노출시에는 삭제요구를 할 수 있어 지속적으로 삭제하고 있고, 개인정보를 유통하려는 불법 게시물도 우리가 삭제를 요청하면 검색업체 구글이나 다른 포털업체에서 잘 협조해 주고 있지만 요구할 권한은 없다"고 설명했다.

이어 "현재 개인정보 불법유통 게시글은 방송통신심의위원회 심의의결 절차를 거쳐야 차단할 수 있는데 이 행정처리까지는 1~2개월이 소요되는 실정"이라며 "포털사이트에 전화해 삭제를 요청하고 있는데 행자부, 방통위, KISA가 직접 요청할 수 있는 법적 근거를 마련해야 할 것으로 보고 차기 정부에서 협의할 예정"이라고 덧붙였다.

그는 이밖에 불법음성스팸 차단을 강화하고 국제스팸대응협의체(UCENet)와 스팸정보 공유, 내년 미국과 국가간 인터넷협력센터 구축을 통한 개인정보 노출 및 불법유통 게시물 삭제 공조 확대를 예고했다.

본부는 '피해상담' 단계에서 빠른 고충 해소를 위해 'e프라이버시 클린서비스' 기능 확대를 검토 중이다. 정보주체가 본인확인을 통해 자기 명의로 가입된 웹사이트를 조회해 회원 탈퇴를 할 수 있도록 돕는 서비스다. 그간 주민번호와 아이핀 기반으로 본인확인 후 가입 내역을 조회할 수 있었다. 이달부터 휴대폰을 사용한 본인 확인 내역 통합 조회를 할 수 있게 된다. 내년부터는 공인인증서, 신용카드, 생체정보 등으로 조회 수단을 확대한다는 구상이다.

■비식별조치 법적 근거 마련

본부는 개인정보보호 제도의 '글로벌 수준 제고'를 위한 국제 트렌드 대응과 국가간 협력을 강조했다.

김 본부장은 "국제 트렌드상 EU GDPR이나 일본 개인정보보호법에서는 개인정보 비식별조치와 관련된 법적 근거가 다 마련돼 있지만 우리 정부의 개인정보보호법에는 '익명처리'라는 단어가 들어가 있기는 하나 비식별조치 정의가 돼 있지 않다"면서 "4차산업혁명 지원 차원에서 신규 ICT서비스 분야별 개인정보보호 가이드라인을 만들고, IoT 관련 온라인 추적, 생체정보 활용과 개인정보 비식별조치 관련 법적 근거가 마련돼야 한다"고 설명했다.

EU GDPR 제정으로 기업의 규제 부담 증가가 예상됨에 따라 현지 진출 기업의 법규준수 비용을 덜어 주는 'EU 적정성 평가' 승인을 받기로 했다. 국내 개인정보보호 규정의 역외 적용 한계를 극복하기 위해 APEC CBPR 가입도 추진한다.

또 미국과 EU 중심의 국제규범 형성 조류에 대응해 한국 주도의 아시아지역 프라이버시 협의체인 '아시아프라이버시브리지(APB)포럼' 운영에 나섰다.

관련기사

본부는 개인정보 보호와 활용의 조화가 새로운 정보통신기술(ICT) 환경에 필요하다는 인식아래 관련 법적 근거 마련과 제도 정비를 추진 중이다.

IoT 서비스 가운데 온라인트래킹으로부터 이용자를 보호하는 법제 개선, IoT 개인정보보호 가이드라인, 생체정보보호 가이드라인을 제정할 예정이다. 사업자의 개인정보 '비식별조치' 활용 사례를 만들고 개념 정의에 대한 법 개정을 지원할 계획이다. 위치기반서비스(LBS) 환경에서 정보주체의 권익을 강화하는 손해배상제도 도입, 사물위치정보 사전동의 의무 삭제와 LBS 스타트업 발굴도 추진한다.