세계 보안 엑스포 전자정부 솔루션 페어 스마트팩토리 개인정보보호 페어  세계 다이어트 엑스포  세계 태양에너지 엑스포  국제 사이버 시큐리티 컨퍼런스  INFO-CON
1년 남은 GDPR 대응, 개인정보보호위원회가 함께 합니다
  |  입력 : 2017-05-18 10:45
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
[특별인터뷰] 대통령직속 개인정보보호위원회 임채호 상임위원(차관급)

[보안뉴스 원병철 기자] EU의 ‘GDPR(General Data Protection Regulation)’ 적용이 불과 1년 남짓 남은 가운데, 미국에서는 오바마 정부에서 통과시켰던 ‘프라이버시 규칙(Privacy Rule)’을 트럼프 대통령이 폐기하는 등 개인정보의 보호와 활용은 이제 국제사회의 큰 관심거리로 떠올랐다.

우리나라에서는 2011년 개인정보보호법 제정과 함께 대통령 직속 ‘개인정보보호위원회’가 설립되면서 개인정보보호에 대한 정부의 의지가 본격 실현되기 시작했다. 특히, 개인정보보호위원회(이하 보호위)는 개인정보보호에 관한 사항의 심의·의결을 통해 그 권한에 속하는 업무를 독립적으로 수행하는 것은 물론, 2015년 개인정보보호법 개정에 따라 총괄·조정기능이 강화되면서 좀 더 빠르고 강력하게 대응할 수 있게 됐다.

EU의 GDPR 시행과 대한민국 개인정보보호 분야 최대 축제 ‘개인정보보호 페어(PIS Fair 2017)’ 개최를 앞둔 지금, 본지에서는 보호위의 임채호 상임위원을 만나 대한민국 개인정보보호의 현황과 앞으로의 계획에 대해 알아봤다.

먼저 간단히 본인 소개를 해주신다면
반갑습니다. 저는 대통령직속 개인정보보호위원회 임채호 상임위원입니다. 저는 1983년 행정사무관으로 임용된 후 행정자치부에서 주로 지방행정과 재정과 관련된 업무를 담당해 왔습니다. 사무관 시절 미국 Syracuse 대학 대학원 과정에서 데이터와 프라이버시에 관련된 기초지식을 배웠고, 행정정보 공개와 참여행정을 주요 가치로 공직을 수행해 왔습니다.

▲ 개인정보보호위원회 임채호 상임위원[사진=보안뉴스]

보호위의 설립취지와 역할에 대해 말씀해 주십시오
보호위는 개인정보보호법에 따라 설립된 대통령 소속의 합의제 행정위원회로, 위원장을 포함해 총 15명의 위원으로 구성됩니다. 개인정보보호 관련 사항의 심의·의결을 담당하며, 개인정보 처리를 수반하는 정책이나 제도를 도입하는 법령안의 개인정보 침해 여부를 평가하고 개선을 권고합니다. 또한, 헌법기관, 중앙행정기관, 지방자치단체의 개인정보보호법 위법행위에 대해 중지 및 시정권고를 하며, 개인정보 분쟁조정을 통한 정보주체의 권리를 구제하는 역할을 담당합니다.

그리고 지난 2014년 카드 3사의 대규모 개인정보 유출사고를 계기로 정부는 분산된 개인정보보호 체계의 문제점을 개선하기 위해 개인정보보호 정상화 대책을 발표하고 후속조치로 개인정보보호법을 개정해 보호위의 총괄·조정기능을 강화했습니다. 강화된 기능은 크게 두 가지로, 개인정보보호 기본계획 수립, 법령안의 개인정보 침해요인 평가 등의 법령형성 기능 부여와 개인정보 분쟁조정기능의 보호위 이관(종전 행자부가 KISA에 위탁)입니다.

EU의 GDPR이 전 세계 개인정보보호 정책에 영향을 끼치고 있습니다. 보호위에서는 어떻게 대응할 계획인지 궁금합니다
GDPR은 1995년 이래 운영된 EU의 개인정보보호 지침(Directive)을 형식과 내용 측면에서 모두 업그레이드해 대체한 것입니다. 특히, 고려하지 못했던 새로운 디지털 시대에 적용될 수 있는 효과적인 개인정보 보호 및 관리 프레임워크를 제공한다는 점에서 의미가 매우 큽니다.

GDPR의 가장 큰 특징은 관할권의 확대와 벌칙 강화를 들 수 있습니다. 우선 EU 역내 사업자 외에도 EU 역외 사업자가 EU 시민의 개인정보를 처리하는 경우까지 확대되어 EU 시민의 개인정보를 처리하는 경우 우리나라 기업도 직접 관할에 포함됩니다. 그리고 관할 기업이 규정을 위반할 경우 최대 2천만 유로(약 248억 원) 또는 기업의 글로벌 매출액의 4% 중 높은 쪽을 과징금으로 부과합니다. 즉, 최소한 248억 원의 벌금을 물 수 있다는 거죠.

이처럼 우리나라 기업들도 잘못하면 큰 손해를 입을 수 있기에 보호위에서도 이에 대한 준비를 하고 있습니다. 우선 정책연구를 위해 EU 집행위 및 각 회원국들의 GDPR 시행 준비상황 조사, 이를 중심으로 가이드라인 제정, 입법조치 동향 등 연구를 하고 있습니다. 또한, 진행 중인 정책 연구를 바탕으로 관련 정부부처의 입법 및 제도발전 현황을 파악하고, 민간 부문의 대응방안을 논의하고 있습니다. 이와 함께 이행 법률과 가이드라인을 중심으로 EU 회원국 및 집행위원회의 공개 자료를 번역, 위원회 홈페이지에 게시해 기업들이 쉽게 볼 수 있도록 했습니다.

GDPR과 관련해 국내법 개정에 대한 의견도 제시되고 있다고 들었습니다
EU의 개인정보보호 지침(Directive)에서 규정(GDPR)으로 이행하게 된 배경은 새로운 디지털 시대의 도래라는 세계 공통의 흐름입니다. 새로운 온라인서비스와 빅데이터, 인공지능 등과 관련된 개인정보보호 이슈에 대응할 수 있는 프레임워크 구축이 필요하다는 겁니다.

또한, 개인정보 보호와 이용의 양 측면에서 글로벌 스탠더드가 되고 있는 EU의 개인정보보호 법제는 우리나라 법제도 발전의 주요 참조 모델이라 할 수 있습니다. EU의 적정성 결정(Adequacy Decision)을 이끌어내어 EU와 우리나라 사이에 개인정보의 자유로운 유통을 통한 기업 활동을 지원할 수 있습니다.

[사진=보안뉴스]

개인정보보호법과 관련해 주목하고 있는 국내 이슈는 어떤 것들이 있는지 궁금합니다
국내 이슈는 빅데이터와 개인정보의 국외 이전에 주목하고 있습니다. 우선, 빅데이터 분석을 위해 개인정보의 활용범위를 어디까지 허용하고, 허용하는 경우 안전한 활용을 위한 관리체계를 어떻게 갖춰야 하는지에 대한 논의가 필요합니다. 예를 들면, 영국 등 EU 회원국들의 경우 공익적인 연구에 한정, 서로 다른 분야 사이의 교차 연구를 통해 연구의 부가가치를 높일 수 있도록 행정정보와 의료정보 등 공공정보를 결합해 제공하고 있습니다.

또한, 국가 간 자유무역협정 체결과 디지털 거래가 이 확대되고, 클라우드 컴퓨팅 활성화로 개인정보의 국경 간 유통이 급증하면서 우리 국민의 정보가 해외 기업에 의해 해외로 이전되는 경우가 있습니다. 이때 해외 기업에 대한 관할권 문제와 정보 이전 관련 국내법 규정 조항의 개선방향에 대한 검토가 필요합니다. 특히, 클라우드 컴퓨팅 서비스의 경우 수탁처리자인 클라우드 컴퓨팅 서비스 제공자에 대해 개인정보 처리자에 준하는 책임과 의무 부여가 필요합니다.

개인정보보호와 관련해 위원회는 물론 각 부처별로 부서가 나뉘어 있습니다
현행 개인정보보호 체계는 보호위가 주요 정책을 심의·의결하고, 행자부와 방통위, 금융위 등이 소관 분야별 집행업무를 담당하는 분산형 체계입니다. 분산형 집행체계는 담당 부처가 소관 분야에 대한 전문성을 발휘할 수 있는 장점이 있지만, 반대로 한계도 있습니다.

이 때문에 이미 정립된 국제적 표준에 맞게 독립적인 성격의 개인정보보호기관이 통합적으로 업무를 관장하는 방향으로 개편이 필요하다고 생각합니다. 보호위의 독립성 부족은 EU 적정성 결정(Adequacy Decision)의 최대 걸림돌로 부상하고 있습니다. 이에 따라 분산된 집행체계를 일원화해 책임성을 높이는 한편, 빅데이터와 AI 시대의 새로운 개인정보보호 쟁점에 신속하고 일관성 있게 대응하고, 침해행위로부터 정보주체의 신속한 권리구제가 필요하다고 생각합니다.

보호위의 올해 중점 추진방향과 향후 계획에 대해 말씀해 주십시오
우선, GDPR이 국내 기업들에게 미치는 영향과 새로운 규제환경에 대비한 국내 기업들의 데이터 사용전략과 기업의 경쟁력 확보방안을 연구하고, 의무준수비용 최소화를 위한 기업의 준비과제를 논의하고자 합니다. 또한, 빅데이터 시대에 정보의 자유로운 흐름의 보장 및 정보주체의 자기정보통제권을 보장하기 위한 법제도 개선방향을 집중 연구할 계획입니다.

국내 기업이 GDPR에 원활하게 대응할 수 있도록 정책연구와 정보를 제공하는 한편, 심의·의결 기능을 통해 법제도 방향도 제시하고자 합니다. 이를 위해 독일·프랑스 등 주요 국가의 개인정보보호법 개정사항, EU 29조 운영위원회의 의견서, 영국·일본 등 주요 국가의 정책동향 등을 정리해 보호위 홈페이지에 공개했습니다.

또한, 보호위는 보안뉴스와 함께 2011년도부터 국민과 사업자의 개인정보보호 인식제고 및 관련 신기술·정책동향을 전파하기 위한 개인정보보호 페어(PIS Fair)를 개최하고 있습니다. 올해 역시 행자부, 방통위 등 유관부처와 협업해 PIS fair를 국내 개인정보보호 관련 제도 발전을 위한 기회로 삼고자 합니다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



5월 9일 대통령 선거 이후, 차기 정부의 사이버보안 정책 및 산업 육성은 어디서 총괄해야 한다고 보시나요?
별도의 ICT 전담부처(미래창조과학부, 정보통신부 등)
별도의 사이버보안 전담부처(사이버보안청 등)
대통령 직속 위원회 또는 대통령실 산하 별도조직
사이버보안 정책은 전담부처, 산업 육성은 산업통상자원부로 이원화
국가정보원
기타(댓글로)