유럽연합(EU) 개인정보보호법(GDPR)에 담겨있는 신설 조항에 관심이 집중되고 있다.
개인정보 이동권, 프로파일링, 처리제한권 등은 한국 개인정보보호법이나 정보통신망법에는 없는 새로운 개인정보 주체를 강화한 조항으로 국내 기업의 주의와 적절한 대비책이 필요하기 때문이다.
1일 한국인터넷진흥원에 따르면 개인정보 이동권(GDRP 20조)은 개인정보 주체인 이용자가 A기업에 있는 자신의 정보를 B기업으로 옮겨달라고 요청할 때 한 달에서 최대 석 달 내에 이동시켜줘야 하는 권리다. 예를들어 라인과 카카오톡이 모두 유럽에 진출했다고 가정했을 경우 라인에 있는 이용자 사진 등을 카카오톡으로 옮겨달라고 하면 한 달 내로 옮겨줘야 하는 것이다. 개인정보 이동 요구가 복잡하거나 여러 개일 경우 이행기간을 2개월 연장해 3개월 내로 정보 이동을 완료하고, 그전에 연장이 필요한 이유를 알려줘야 한다.
GDPR 22조에 담긴 '프로파일링을 포함한 자동화된 의사결정'은 최근 기업이 인공지능(AI) 기술을 통해 데이터 처리.의사결정을 자동화하는 데 대응하는 법이다.
이용자가 자신의 개인정보를 자동화된 처리에만 근거한 결정을 받지 않을 권리, 즉 정보주체인 이용자가 프로파일링에 '반대할 권리'를 보장하고 인간의 개입을 요구하는 조항이다. 인터넷진흥원 관계자는 "프로파일링, 자동화된 의사결정은 이용자에게 편리하지만 타깃팅 광고로 기분이 나쁘거나 원치 않은 프로파일링 등 AI 기술 발전에 따른 부작용도 존재한다"면서 "정보 주체가 인적개입을 요구하면 사람이 다시 의사결정을 검증해볼 수 있어 어떤 측면에선 인간적인 법"이라고 설명했다.
처리제한권(18조)은 자신에 관한 개인정보의 처리를 차단하거나 제한할 권리를 보장하는 조항으로, 역시 정보 주체의 권리를 강화한 법이다. 기업은 이용자가 개인정보 처리를 제한하면 그 정보를 보관하는 것만 가능하며, 처리 제한을 해제하는 경우 그 사실은 정보 주체에 알려줘야 한다.
다만 개인정보 처리가 제한된 경우에도 △제3자 권리 보호를 위하거나 △EU나 회원국의 공익상 이유가 있는 경우에는 개인정보 처리가 가능하다.
'잊혀질 권리'로 잘 알려진 삭제권(17조)도 신설됐지만 국내 정보통신망법에도 이는 일부 보장된 권리다. 이용자가 개인정보 수집.처리 등에 대한 동의를 철회하거나 원래 목적에 부합하지 않은 경우 삭제권이 보장된다. 김선희 법무법인 율촌 변호사는 "개인정보 이동, 삭제 등의 권리를 요구할 경우 기업은 정해진 기일 내에 완료해야 한다"면서 "GDPR 담당 조직을 정비하고 유럽의 이용자 개인정보 데이터를 얼마나 보유하고 있는지 현황을 파악, 이를 처리할 수 있는 매뉴얼화를 해야 경영활동에 혼란이 없을 것"이라고 조언했다.
gogosing@fnnews.com 박소현 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지