법 위반시 과징금 기준을 유럽 일반개인정보보호법(GDPR)과 유사하게 강화하고 형벌규정을 완화하는 '개인정보보호법 2차 개정안'이 23일 개인정보보호위원회 전체회의에서 검토됐다. 이날 개인정보위는 비대면‧온라인 전환 추세에 맞춰 국민 개인정보를 더 두텁게 보호하고 국민이 신뢰하는 데이터 경제로의 이행을 위해 2차 법 개정을 추진한다고 밝혔다. 개정 내용에 대한 시민단체·산업계·학계 등 각계 의견 수렴과 관계부처 협의를 예고했다.

개인정보위가 검토한 법 개정안은 국민 정보주권 강화를 위해 국민이 자신의 개인정보가 언제, 누구에게, 어느 범위까지 이용·제공되도록 할지 스스로 결정할 수 있는 '개인정보 이동권(전송 요구권)'을 도입한다. 인공지능(AI) 발전과 자동화된 의사결정 보편화에 따라 설명을 요구하는 등 대응권도 보장한다. 이를 반영해 법이 개정되면 가입자가 소셜네트워크서비스(SNS) 등 분야별로 기존대비 보안성이 유사한 경쟁 서비스로 개인정보를 옮겨 이용할 수 있게 된다는 설명이다.

데이터3법 개정시 편입된 정보통신서비스 특례(제6장)를 일반규정으로 일원화해 민간 온라인 영역의 노출개인정보 삭제 의무를 공공분야까지 확대하는 등 온·오프라인에 모두 적용돼야 하는 특례규정을 모든 분야로 확대(제39조의10 삭제 후 제34조의3 신설)한다. 개인정보 유출 통지·신고제도 등 온·오프라인 간 상이한 규제를 통일해 온라인(24시간 이내 통지 및 신고)과 오프라인(즉시 통지 후 조치결과 신고) 사업자간 상이한 의무 기준이 '즉시 통지·신고'로 바뀌게 된다.

개인정보침해시 과징금 부과 대상을 정보통신서비스 제공자에서 전체 기업·기관으로 확대하고, 부과기준도 '위반행위 관련 매출액 3% 이하'에서 '전체 매출액 3% 이하'로 확대하며, 온·오프라인 사업자 구분을 없앤다. 앞서 국내 이용자 330만명 이상의 개인정보를 무단으로 다른 사업자에 제공한 혐의로 과징금 67억원을 부과받은 페이스북은 이 기준대로라면 과징금 규모가 훨씬 커진다. 다만 이미 과징금을 부과한 사업자에 2차 개정안이 소급 적용되진 않는다.

이밖에 입법공백 해소 차원에서 드론, 자율주행차 등 '이동형 영상기기' 운영기준을 마련한다. 적정 개인정보 보호수준이 보장되는 국가에는 고객동의 없이 서비스이행에 필요한 개인정보 이전을 허용하는 등 국외이전 방식을 다양화해, 해외 직접구매, 전자상거래 등 일상화로 증가하는 개인정보 국외이전 상황에 대응한다. 감염병 위기 상황에 공공안전 보장을 위한 개인정보 처리시 보호조치·파기의무 준수로 개인정보가 보호되도록 적용예외규정(제58조)도 정비한다.

윤종인 개인정보위원장은 "이번 법 개정은 디지털 사회로의 대전환 속에 확실한 개인정보 보호와 안전한 활용을 지원함으로써 국민이 신뢰하는 데이터 시대를 선도하기 위한 첫걸음"이라며 "개인정보 보호 분야의 기본법으로서의 위상을 정립하고 글로벌 규제와의 상호운용성을 확보할 수 있는 계기가 마련되기를 바란다"고 말했다.