"안전조치 지키면 개인정보 유출 시 과징금 부과 제외" [윤종인 개인정보위 위원장 단독 인터뷰]

1. 가장 궁금한 것부터 여쭤보겠습니다. 휴대전화로 날아드는 스팸문자, 보이스피싱 전화들 자주 마주하게 됩니다.
도대체 내 정보를 어디서 알아서 이렇게 연락이 오는걸까 당황스러운데, 이런 경우 보통 어디서 정보가 유출되는 건가요? 국민들은 어떻게 대처해야 할까요?

[답변]
스팸문자나 보이스피싱 전화는 1차적으로 회원가입 시 광고성 정보수신, 개인정보 마케팅 활용에 동의했거나, 또는 해킹 등으로 유출된 개인정보가 불법유통을 거쳐 활용되는 것이 원인인 것으로 추정.
2015년 이후 개인정보 유출 건수(신고기준)는 7,328만 건이고, 이 중 90.2%(6,607만 건)가 해킹으로 유출된 것으로 나타남(개인정보 침해신고·유출 및 처분현황, ’21.6월)
유출 방지를 위해서 국민들께서는 불필요한 광고성 개인정보 수집은 동의하지 않고, 스팸차단 서비스를 활용하는 등 불법스팸에 대한 사전예방 노력이 필요. 스팸차단앱 설치, 스마트폰 문구차단 설정, 이통사 문자스팸 차단서비스 이용 등.
개인정보위에서 운영 중인 `e프라이버시 클린서비스` 이용도 추천. e프라이버시 클린서비스 홈페이지를 접속하면 인터넷에서 회원가입 등을 위해 사용된 주민번호·휴대폰 등을 통한 본인확인 내역을 한눈에 확인할 수 있고, 불필요한 웹사이트에 대한 회원탈퇴도 지원받을 수 있음.

2. 개인정보가 유출이 되는 사례들이 종종 보도가 되곤 합니다. 개인정보 유출을 해결하기 위해 위원회가 어떤 노력들을 하고 있는지 궁금합니다.

[답변]
개인정보위는 개인정보 불법유통 등으로 인한 불법스팸, 보이스피싱 등 2차 피해를 방지하기 위해 국내외 웹사이트의 개인정보 불법유통 게시물을 탐지해 삭제하고 있으며, 불법유통 정보 상습게시자에 대해서는 수사기관에 수사를 의뢰를 하고 있음. 2020년 말 기준, 연평균 12만 건의 불법유통 게시물 탐지, 이 중 매년 91% 삭제.
국민들이 본인의 이메일 계정정보(아이디, 비밀번호) 유출 여부를 직접 확인할 수 있는 `웹사이트 계정정보 유출확인 서비스`를 구축·운영할 예정(’21.11월). 기확보된 불법 유출계정 DB(23백만여 건)와 구글社 패스워드 체크업 전용 API(40억여 건)를 연계한 `보안 AP` 기능 구현.
또, 코로나19 장기화에 따라 비대면 서비스 이용이 급증한 국민생활 밀접 5대 분야에 대하여 선제적 점검에 나서고 있음. 5대 점검 분야는 오픈마켓, 통신시장, 인터넷광고, 택배, 배달중개업.
아울러, 지난 1년간(’20.8∼’21.6) 총 106건의 심의·의결을 통해 안전조치 미흡 등 개인정보 보호조치를 위반한 공공·민간 개인정보처리자에 대한 제재 처분함. 위반사례 중 안전조치 미흡(개인정보처리시스템 접속기록 미보관, 개인정보취급자 간 계정 무단 공유 등)이 44%(56건)으로 가장 큰 비중 차지.

3. 이와 관련해 글로벌 IT기업인 페이스북을 상대로 집단분쟁 조정절차를 진행하고 있죠. 피해자들이 구제를 받을 수 있는 건가요? 어떻습니까?

[답변]
지난달 분쟁조정위원회는 페이스북에 대한 집단분쟁조정 절차를 개시하기로 의결했고, 2주간의 공고기간(홈페이지) 동안 당초 분쟁조정을 신청한 당사자 외에 추가 당사자를 모집.(당초 신청인(89명) + 추가당사자(94명) = 신청인 총 183명)
이후 페이스북에 자료제출 요청, 관련 자료 검토 등 사실확인을 거쳐 조정안을 작성·제시하는 등 조정절차를 진행할 예정. 당사자가 조정안을 수락하면 조정이 성립(재판상 화해의 효력)되어 정보주체에 대한 손해배상 지급 등 권리구제가 가능하나, 페이스북이 자료요청에 응하지 않는 등 조정 참여를 거부할 경우 `조정불성립`으로 종결될 수 있어 분쟁해결에 한계.
이에 현행 법령은 공공기관만 의무적으로 분쟁조정에 참여토록 하고 있으나, 모든 `개인정보처리자`로 참여 대상을 확대하고, 분쟁조정위에 사실조사 권한을 부여하는 등 `개인정보 보호법`을 개정해 분쟁조정 실효성을 높이는 방안 추진중. 정당한 사유 없이 자료제출 거부 시 3천만 원 이하 과태료 부과.

4. 우리나라에 개인정보보호위원회가 생긴 지 오늘이 딱 1년 되는 날입니다.
이 분야에서 앞서나가고 있는 해외 선진국들과 비교할 때 우리가 앞으로 이런 점들은 보완이 필요하다 하시는 부분이 있습니까?

[답변]
먼저, 우리나라의 개인정보 보호수준은 선진국과 비교해 큰 수준차가 있는 것은 아님.
국제적인 표준으로 인정받고 있는 EU의 GDPR과 유사한 수준이라는 사실이 최근 EU와의 협의 과정에서도 입증. 한-EU 적정성 결정과 관련해서 EU집행위원회가 지난 6월 한국에 대한 적정성 결정서 초안을 공식 발표했고, 금년 내 최종결정 통과가 예상됨에 따라 우리 기업들이 세계시장에서 유리한 고지를 선점하고 경쟁할 수 있는 기틀을 마련할 것으로 기대. 영국 BBC(2013년)는 "한국의 정보제공 동의 제도는 세계적으로 매우 강한 수준"이라고 언급.
다만 GDPR과 비교할 때 개인정보 이동권(국민이 A사가 보유 중인 자신의 개인정보를 B사로 이동시킬 것을 요청할 수 있는 권리), 프로파일링 거부권(AI를 통한 채용, 신용평가 등 개인에 대한 자동화된 의사결정), 국외이전 메커니즘(적정성 결정, 표준계약 등 국가 차원에서 국외이전의 안전성을 담보하는 제도. 현재 우리는 정보주체의 동의 위주로 국외이전 허용) 등 디지털 시대에 특화된 일부 제도가 현재 우리 제도에 아직 구체화되지 않은 측면.
이러한 배경 속에서 개인정보위는 디지털 사회에서 개인정보 관련 법제의 시대적·국제적 정합성을 높이기 위해 개인정보 보호법 2차 개정을 추진 중.
현재 개정안은 정부 내 합의를 거쳐 지난 주(7.29.) 차관회의를 마친 상태로 국무회의를 거쳐 국회에 제출할 계획임

5. 개인정보보호법 개정안을 두고 산업계와 시민단체, 타부처 등의 의견을 듣고 있다고 들었습니다.
특히 보호와 활용을 둘다 담다 보니 이해관계가 상충하는 부분도 있을텐데요. 어떻게 조정하고 계신가요.

[답변]
개인정보위는 개인정보 보호법 개정안 발표(‘20.12.) 후 간담회, 공청회, 관계부처 의견조회 등을 통해 사회 각계 의견을 적극 청취·반영.(△관계부처 의견조회(’20.12.31.∼’21.1.18.), △입법예고(1.6.∼2.16.), △4차위, 산업계, 시민단체 의견수렴(‘20.1.∼2월.) △공청회(2.8.), △미국 무역대표부(USTR) 회의(3.9) 등)
특히, 과징금 상한액 산정기준 상향(관련 매출액→전체 매출액)에 대한 산업계의 우려가 큰데, 그간 공청회, 간담회를 통해 제기된 산업계·시민단체 등의 의견을 폭넓게 수렴해 과징금 부과 시 `비례성`, `효과성` 확보 원칙을 추가하고, 과징금 부과 고려요소 확대, 개인정보 유출 시에도 안전조치 의무를 다한 경우에는 과징금 부과대상에서 제외하도록 법안 수정
법 개정안에서는 부과 가능한 과징금의 상한액을 규정한 것이며, 실제 산정기준은 시행령에서 구체화될 것임. 시행령 개정 시에는 관계부처와 산업계, 각계 전문가·시민단체 등이 참여하는 `과징금 부과기준 연구반`을 구성해 각 부문의 의견을 충분히 반영한 개정안을 마련할 것.

6. 개인정보위 초대 위원장으로 1년을 보내셨습니다.
지난 1년간 잘했다 싶은 점과 아쉬웠던 점은 무엇인가요. 그리고 앞으로 꼭 달성하고 싶은 목표가 있으신가요.

[답변]
지난 1년은 코로나 위기 속에서 국민의 개인정보를 최대한 보호하는 한편, 데이터경제 시대에 개인정보의 보호와 안전한 활용을 도모하는 것이 큰 과제.
수기명부 성명 삭제, QR코드 시스템 동의절차 간소화, 개인안심번호 도입 등 코로나19 관련 보호조치를 강화하고, 페이스북, 이루다 개발사 등 보호법 위반 사례에 대한 엄정한 조사·처분을 실시한 한편, AI 개인정보보호 자율점검표 공개로 보호와 활용의 균형점을 찾기 위해 노력.
아울러, 가명정보 제도의 안착을 위한 활용기준 제시, 결합전문기관 지정, 5대 분야 7개 시범사례 추진 등 가명정보 활용확산을 주도.
폐암완치자의 합병증 예측·관리, 고객유형별 소비패턴분석, 불법스팸유형 분석 등 이외에 EU GDPR 적정성 초기결정과 APPA 회의 개최 등 국제적 공조 노력도 성과.
아쉬운 점은, 이러한 노력에도 불구하고 국민들은 자신의 개인정보가 유출될지 모른다는 불안감을 여전히 갖고 있음.
앞으로는 "데이터경제 시대에 맞는 세계적 수준의 새로운 개인정보보호 체계 구축"을 위해 최선을 다할 것임.
우선, `개인정보의 실효적 보호` 노력 강화. 이를 위해 △개인정보 전송요구권, 자동화된 의사결정에 의한 대응권 등 데이터 프라이버시권의 법제화, △강요된·형식화된 동의기반의 현재의 개인정보 활용방식을 현실에 맞도록 실질화, △아동·청소년, 영상 개인정보 등에 적합한 개인정보 보호 기준 제시 등 국민생활 밀접 분야 개인정보보호 강화 추진.
다음으로, `데이터를 안전하게 잘 활용하는 환경` 조성. 시작단계인 마이데이터와 가명정보 활용서비스를 대폭 확대하여 `전국민·전분야 마이데이터 시대`를 열고, `가명정보 실용화` 본격 추진. 아울러, 자율주행차, 드론 등 신기술분야 보호기준 마련으로 `프라이버시 리스크` 최소화 추진.
마지막으로, `개인정보보호 인프라` 확충. 동형암호, 영지식증명, 블록체인 등 다양한 개인정보보호 강화 기술 연구개발 중점 추진 및 스타트업이 활용 가능한 저비용·고효율의 범용 개인정보보호기술 개발 추진 등 개인정보위가 개인정보 정책의 명실상부한 컨트롤타워로 확실하게 자리잡을 수 있도록 힘을 실어 주시기를 부탁. 국민과 함께하는 개인정보위가 되도록 최선.