개인정보 보호 정책이 '사후규제' 중심에서 '사전예방'으로 전환되고 있지만, 제도 전반에서 추가로 풀어야 할 과제가 적지 않다는 의견이 나왔다. 잇따른 침해 사고 대응 차원을 넘어 중장기적인 법 제도 개선이 필요하다는 조언이다.
최경진 가천대 교수는 19일 서울 서초구 엘타워에서 열린 '개인정보 미래포럼' 발제자로 나서 “지금은 사고 대응에 논의가 집중돼 있지만, 놓치고 있는 부분이 없는지 점검해야 한다”며 “예방 중심 전환 이후 단계에서 필요한 제도 보완 과제를 함께 고민할 필요가 있다”고 밝혔다.
최 교수는 개인정보 개념 자체를 다시 살펴볼 필요가 있다고 강조했다. 개인정보 범위를 어디까지로 규정할지에 대한 검토가 이뤄져야 한다는 것이다. 또 어떤 정보를 개인정보로 볼지 판단하는 기준과 비식별화 기준도 명확히 해야 한다고 설명했다.
개인정보 활용 기준도 손봐야 한다고 했다. 현재 이용자 동의에 의존하는 구조는 데이터 활용 방식이 다양해진 현실을 충분히 반영하지 못한다는 이유에서다. 이에 따라 제한적 옵트아웃(Opt-Out) 도입 여부와 함께 데이터 수집·이용·보관·파기 전 과정에 일원적으로 적용할 합법처리기준을 정비할 필요가 있다고 제언했다.
여러 기업이 함께 데이터를 처리하는 경우에 대한 기준 마련 필요성도 제기했다. 데이터가 여러 사업자를 거쳐 처리되는 일이 늘고 있지만, 책임을 어떻게 나눌지에 대한 명확한 기준은 부족한 상황이라는 것이다.
이와 함께 개인정보 보호가 실제로 이용자 권리로 이어지도록 해야 한다는 점도 강조했다. 손해배상 등 권리 구제 수단이 제대로 작동하도록 제도를 보완해야 한다는 분석이다.
개인정보보호법의 역할도 더 넓어져야 한다고 봤다. 단순히 개인정보를 어떻게 처리했는지만 보는 것이 아니라, 그로 인해 개인의 자유와 권리에 어떤 영향이 있는지까지 함께 살펴야 한다는 것이다.
최 교수는 “이제는 개인정보인지 아닌지를 따지는 논의보다 어떻게 활용을 허용하고 제한할 것인지에 대한 논의가 필요하다”고 강조했다.
개인정보 미래포럼은 개인정보보호위원회가 구성한 40명 규모의 정책 자문기구다. 개인정보 분야 중장기적 아젠다를 논의하는 곳이다. 포럼은 이날 발족식을 갖고 제1차 회의를 진행했다.
박진형 기자 jin@etnews.com
