개인정보 보호위원회

업무 현장에서 궁금해 할 만한 개인정보 관련 법,제도,정책,사례 등을 개인정보보호위원회 전문가들이 골라서 설명해드립니다. 개인정보 관련 모니터링과 사전검토가 필요한 기업에는 가이드가 되고, 개인정보에 관심이 많은 분들께는 현안, 이슈를 두루 살펴볼 수 있는 유용한 창구가 되기를 기대합니다. 소재에 관한 제언이나 그 이외의 의견은 언제든지 환영합니다. pipcpr@korea.kr 로 연락주시기 바랍니다. 

[11.4.(월). 발행] 

개인정보위가 법적 불확실성도 해결해준다고?

2023년 10월에 운영 개시된 개인정보보호위원회(이하 '개인정보위')의 사전적정성 검토제가 이제 막 첫돌을 맞이했습니다. 이 제도는 기업을 비롯한 경제주체가 신기술·신서비스를 기획·개발하다 개인정보 보호와 관련하여 법적 불확실성이 있다고 느낄 때 개인정보위에 신청해 함께 해결책을 찾고, 해당 해결책의 충실한 이행을 전제로 추후 법적 조치가 없으리라는 신뢰를 부여하는 기능을 합니다. 개인정보처리자 관점에서는 법적 불확실성을 해소하고 신기술·신서비스를 보다 적극적으로 제공함으로써 경쟁력을 갖출 수 있으며, 이를 이용하는 정보주체 관점에서는 신뢰할 수 있는 개인정보 보호 장치가 마련되는 효용이 생깁니다. 지난 1년 동안 실증된 이 제도의 여섯 가지 의의를 소개해보겠습니다. 

첫째, 사전적정성 검토제는 법적 불확실성을 해소하는 유효적절한 수단입니다. 개인정보 보호법은 이용자 데이터를 다루는 IT 산업 전반에 적용되어 워낙 다양한 사례를 규율해야 하므로 법해석상 일정부분 불확실성이 수반되는 것이 불가피합니다. 과거 사회 자체가 단순했던 시절에는 남의 물건을 훔치면 안 된다거나 사람을 해치면 안 된다는 등의 규범을 쉽게 규정화할 수 있었지만, 복잡한 현대사회에서, 특히 경제활동을 규율하는 다각도의 규범을 일일이 규정화하려면 변화의 속도를 따라갈 수 없고, 일정한 법원칙을 구심점으로 한 유연한 법집행이 필요할 수 있습니다. 개인정보 분야의 예를 들면, "사전 동의 받고 개인정보를 처리하라"가 규정 기반 규범(rule based regulation)이라면, "합리적으로 관련된 범위 내 추가적인 처리도 가능하다"는 법익형량이나 투명성 등 원칙에 기반한 규범(principle based regulation)입니다. 원칙 기반 규율의 난점은 명확성이 떨어진다는 것인데, 위 예시의 경우 '합리적으로 관련된 범위 내'가 어디까지인지 해석에 관하여 혼란이 생길 수 있습니다. 이에 개인정보처리자가 합법이라고 여기고 서비스를 출시했음에도 사후적으로 위법으로 판단될 리스크가 있는 한편, 합법으로 볼만한 서비스임에도 지레 불확실성을 꺼려 새로운 시도를 포기하는 사례도 생길 수 있습니다. 사전적정성 검토제는 이러한 법적 불확실성을 선제적으로 해소하기 위해 도입된 제도입니다. 

둘째, 사전적정성 검토제는 추상적·포괄적 규범이 아닌 구체적·개별적 사안에 국한된 판단을 제시합니다. 여러 사건을 아우르는 원칙과 해석론을 제시하는 것은 안내서나 가이드라인의 역할인 것과 대비하여, 사전적정성 검토제는 당해 신청된 특정 신기술·신서비스 내에서 개인정보가 다루어지는 사실관계에 국한하여 적법한 방안을 찾는 제도입니다. 아직 일어나지 않은 다양한 사건을 포섭하는 규범을 미리 제시하는 경우에는 '상황에 따라 어떻게 달라질지 모르는' 회색지대가 해소되기 어려운데 비하여, 눈앞에 놓인 구체적·개별적 사안으로 범위를 좁힌다면 좀 더 명확하고 세밀한 답을 내릴 수 있습니다.

셋째, 사전적정성 검토제는 균형 잡힌 법해석례를 축적하는 데에도 기여합니다. 원칙 기반 규율이 실효성을 갖기 위해서는 실제 사안에서 원칙이 어떻게 해석되는지에 관한 선례가 모여야 합니다. 과징금을 비롯한 행정처분 사례는 사고나 불법 상황에 관한 것에 치중되는 반면, 사전적정성 검토제에 의하여는 서비스를 어떻게 만들면 적법하게 되는지에 관한 선례가 축적됩니다. 개인정보위가 조사·처분과 더불어 사전적정성 검토제를 병행 운영하면 위법사례뿐만 아니라 적법사례까지 양면이 고루 쌓일 수 있습니다.

넷째, 사전적정성 검토제는 민·관 간 신뢰를 이끌어내어 실효적인 법해석을 도출합니다. 기존의 법령해석·질의회신 제도의 경우 신청인이 "개인정보를 이러한 방식으로 처리하려 하는데 적법한가"라고 질문하면 감독기관이 답변하는 방식으로 발령되는데, 이때 신청인이 질의한 사실관계를 전제로 삼을 수 있을 뿐 그 전제사실의 진위여부 및 세부사항을 확인할 제도적 수단이 없어 실무상 다양한 리스크 소지를 열어두고 보수적으로 접근하게 되는 경향이 있습니다. 반면에 사전적정성 검토제는 그 전제 사실, 즉 개인정보 처리흐름을 조사에 준하는 절차를 거쳐 개인정보위가 직접 확인합니다. 애매한 부분에 대해서는 서비스의 세부사항을 구체화하거나 안전장치를 확충할 것을 제안·협의할 수도 있습니다. 전제사실에 관한 불명확성이 해소되는 만큼 법해석상의 불확실성이 줄어드는 효과가 있습니다.

다섯째, 사전적정성 검토제는 오로지 자발적 신청으로만 개시되며 신청인 보호장치가 갖추어져 있습니다. 조사나 인허가와 다르게 강제성이 없으며, 개인정보처리자가 사전적정성 검토를 거치지 않고 서비스를 출시해도 무방합니다. 신청이 접수되면 해당 신기술·신서비스 환경 내 개인정보 처리현황을 신청인과 개인정보위가 협력하에 함께 분석하고 법준수방안을 도출합니다. 마련된 법준수방안에 대해서는 위원회 의결을 거쳐 행정처분에 준하는 신뢰를 부여하며, 신청인이 이 방안을 적정하게 준수하며 서비스를 운영할 경우 개인정보보호법에 따른 제재처분을 받지 않습니다. 아울러 검토 과정에서 신청인이 제출한 자료는 비밀로 관리되며 다른 목적으로 활용되지 않음이 규정화되어 있습니다. 심지어 개인정보위 의결 후 신청인에게 송부하는 결정문도, 행정처분서의 일종으로서 공개가 원칙이지만, 신청인이 영업비밀 노출 등을 우려할 경우 서비스 출시 전까지 비공개 처리할 수 있습니다.

여섯째, 사전적정성 검토제는 민간·공공·영리·비영리 등 모든 분야의 개인정보 처리자들에게 열려있습니다. 운영개시 이래 1년간 의결된 안건 9건을 살펴보면, 대기업, 중견기업, 스타트업, 공공기관, 비영리법인이 각각 신청한 건들이 분야별로 다양하게 분포되어 있습니다. 신청 요건은 단 두 가지인데, 첫째, 현행법의 해석을 통해 적법한 방안이 도출될 수 있어야 합니다. 만약 현행법의 범위를 벗어나 법개정을 요한다면 규제샌드박스 임시허가 등 다른 제도를 활용해야 합니다. 둘째, 개인정보 처리가 개시되기 전, 즉 출시 전의 서비스여야 합니다. 이는 기존에 개인정보 침해를 야기한 부분에 대해 면죄부를 주지 않기 위함입니다.

  개인정보 보호법이 2011년 제정 초기에는 수범자들에게 명확한 메시지를 주고자 규정 기반 규율에 집중하고 있었다면, 2020년 및 2023년 두 차례의 법개정을 거치고는 복잡다양한 신기술에 유연하게 대응하고 데이터 보호와 활용의 균형을 추구하고자 원칙 기반 규율을 시도하는 비중이 점차 커지고 있습니다. 개인정보위는 이 규율체계를 현장에 정착시키기 위한 제도 중 하나로서 사전적정성 검토제를 도입한 만큼 활발한 운영을 지속하기 위해 노력을 경주해 나가겠습니다.

개인정보보호위원회 조사3팀장 전승재 서기관