인공지능(AI)과 데이터 기술의 눈부신 발전은 개인정보의 가치를 새롭게 조명하고 있다. 이러한 변화에 따라, 개인정보 전송요구권의 신설과 개인정보 동의제도의 개편은 기업에 새로운 도전과 기회를 제공한다. 기업은 이제 단순히 개인정보를 수집하고 활용하는 수준을 넘어서 타사에 개인정보를 안전하고 투명하게 이동시키고 전송받을 수 있으면서 정보주체의 권리를 보장할 수 있는 체계적인 관리 시스템을 갖춰야 한다.
지난해 12월 공개된 '개인정보 처리 통합 안내서(안)'에 따르면, 이제 서비스 이용 계약을 통한 개인정보 수집과 이용에 있어 정보주체의 명시적 동의가 필요 없게 됐다. 이러한 변화는 일각에서 개인정보를 동의 없이 자유롭게 처리할 수 있는 길이 열렸다고 오해할 수 있는 여지를 제공하지만, 실제론 이러한 규제의 완화보다는 더욱 엄격한 규제로의 전환을 의미한다. 기업이 이 규정을 위반할 때 매출액의 최대 3%에 해당하는 과징금이 부과될 수 있으므로 주의가 필요하다.
개정된 개인정보보호법 제15조는 '불가피하게'라는 용어를 삭제해, 기업에 더욱 명확하고 책임 있는 정보 수집을 요구하고 있다. 이에 따라, 정보주체의 동의 없이 개인정보를 수집할 경우, 법령에 따른 의무 이행, 계약의 체결 및 이행, 급박한 이익 보호 등 법적 근거를 철저히 검토하고, 이를 계약서, 개인정보처리방침 등 문서로 만들어진 증거로 제시할 수 있어야 한다. 또 개인정보처리자가 정보주체의 동의를 얻어 개인정보를 수집할 때는 동의 내용을 구체적이고 명확하게 하고, 쉽게 이해할 수 있는 문구를 사용해 동의 여부를 명확하게 표시함으로써, 정보주체가 자유롭게 동의할 수 있는 환경을 조성해야 한다.
이는 유럽연합(EU)의 개인정보보호법(GDPR)을 반영한 것으로, 유럽 정보보호사회(EDPB)에 따르면, GDPR 관련 벌금의 57%가 동의 위반과 관련된 것이라고 한다. 이는 정보주체의 진정한 동의를 얻는 것이 얼마나 어려운지를 보여주는 사례로, 기업이 정보주체의 동의를 제대로 관리하지 않을 때 심각한 법적 결과에 직면할 수 있음을 의미한다.
올해 3월 시행된 개인정보 전송요구권은 정보주체가 자신의 데이터를 한 조직에서 다른 조직으로 자유롭게 이동할 수 있도록 해, 개인정보에 대한 통제력과 권익을 강화한다. 이러한 법적 변화는 기업에 정보 전송의 범위를 명확하게 설정하고, 프라이버시를 침해하지 않는 방법을 도입하는 것은 물론, 명확한 동의를 기반으로 개인정보를 이용하고 이전해야 할 법적 책임을 강화한다. 따라서 기업은 정보주체의 동의 상태를 정확히 파악하고 관리할 수 있는 체계를 마련하고, 동의의 유효성을 주기적으로 검토해 필요에 따라 갱신하는 과정을 포함하는 전략을 수립해야 한다.
결론적으로, 개인정보 전송요구권 시행과 개인정보 동의제도의 변화는 기업에 개인정보 처리의 근거를 체계적으로 관리하도록 요구하고 있다. 기업은 이제 단순히 법적 요구사항을 준수하는 것을 넘어서, 개인정보의 투명한 수집, 이용, 전송을 추적할 수 있는 시스템을 구축해 개인정보 처리의 적법한 근거를 명확히 하고, 정보주체의 개인정보 관리를 자유롭게 지원함으로써, 지속 가능한 발전과 시장에서 경쟁력을 높일 수 있다.
조아영 오내피플 대표 aycho@catchsecu.com
