“인공지능(AI) 등 신기술·신서비스 개발 시 기획 단계부터 사전적정성 검토를 요청하면 개인정보보호위원회가 더 잘 도와줄 수 있습니다.”
전승재 개인정보보호위원회 조사3팀장은 13일 열린 '사전적정성 검토제' 설명회에서 “사전적정성 검토제도는 조사보다는 컨설팅에 가깝다”며 이같이 강조했다.
이 제도는 신서비스·신기술 분야에서 '개인정보보호법'을 준수하는 방안을 개인정보위와 사업자가 함께 마련하고, 이를 사업자가 적정히 적용했다면 추후 환경·사정 변화가 없는 한 과태료 부과 등 행정처분을 하지 않는 제도다. 기업의 법적 불확실성을 해소하는 동시에 사업 초기 단계부터 개인정보 보호를 중심으로 두도록 해 이용자들이 신뢰할 수 있는 서비스를 제공하는 게 핵심이다. 올해 말까지 시범운영을 마치면 결과 등을 반영해 고시 등 제정 후 내년 1월 본격 시행할 예정이다.
전 팀장은 “개인정보보호법 자체가 적용범위와 해석이 포괄적이라 회색영역(gray zone)이 있을 수밖에 없다”며 “개인정보를 다루기만 하면 모든 정보기술(IT) 서비스는 개인정보보호법 적용 대상”이라고 말했다. 그러면서 그는 “이용자에게 런칭하기 전 서비스가 사전적정성 검토제 대상”이라며 “운영 중인 서비스도 완전히 새로운 기능이 추가되면 사전적정성 검토 대상일 수 있다”고 덧붙였다.
일부 이용자를 대상으로 베타 서비스를 하는 경우에 대해선 “베타 테스트가 끝나고 개인정보를 삭제한다면 사전적정성 검토 대상이 될 수도 있다”고 설명했다.
개인정보위는 기업이 요청할 경우에만 현장 방문을 실시할 방침이다. 전 팀장은 “현장 방문은 선택사항(옵션)으로 기업이 현장 인프라를 공개하는 게 설명에 더 수월해 요청한다면 실시하겠다”며 “다만 서비스가 추상적이라 서면자료만으로 팩트 확인이 어려울 경우 개인정보위가 현장 방문을 요청할 수 있다”고 말했다.
개인정보위 측은 신서비스 등을 기획하는 사업자들이 사전적정성 검토제를 적극적으로 활용하면 개인정보보호법 준수 여부를 선제적·예방적으로 점검해, 개인정보를 안전하게 활용할 수 있을 뿐만 아니라 개인정보 보호 중심설계(PbD·Privacy By Design)가 산업계에 조기에 뿌리내리는 데에도 이바지할 것으로 기대하고 있다. PbD는 제품 또는 서비스의 기획·제조·폐기 등 전 과정에서 개인정보 보호 요소를 고려해 개인정보 침해를 사전에 예방하는 설계 개념을 말한다.
다만 사전적정성 검토제 신청을 유인하는 법적조치 면제엔 예외 사항도 있다. △신청서에 기재한 내용 또는 제출한 자료의 내용이 사실과 다른 경우 △검토결과에 영향을 미치는 중요한 자료를 제출하지 않은 경우 △신청한 내용과 상이한 내용의 신서비스 등을 출시한 경우 △검토결과서에 기재된 법 준수방안을 이행하지 아니한 경우 등이다. 특히 법령·행정규칙 개정 등 중대한 사정변경으로 인해 기존 의견을 유지할 수 없는 특별한 사정이 생긴 경우도 예외로 적용된다.
남석 개인정보위 조사조정국장은 △제도 대상 여부에 대한 신속한 판정 △기업비밀 보호 등을 약속했다.
남 국장은 “사전적정성 검토제를 신청하면 최대한 2주 안에 대상 여부를 판단해 통보하겠다”면서 “사전적정성 검토 이후 기업이 원하지 않는 내용은 외부에 공개하지 않겠다”고 강조했다.
조재학 기자 2jh@etnews.com