![]() |
▲AI 챗봇 ‘이루다’. (사진=이루다 페이스북) |
개인정보 유출 피해자들은 집단소송 절차에 돌입한 가운데, 업계는 정부가 2차 개정에 돌입한 개인정보보호법(개보법)이 ‘유럽연합(EU) GDPR(일반 데이터 보호 규정)’ 수준으로 대폭 강화될까 전전긍긍하고 있다.
16일 IT업계에 따르면 EU GDPR는 EU가 2016년 제정해 2018년부터 시행하고 있는 개인정보 보호 규정이다.
GDPR에는 우리나라 개보법에 딱히 규정되지 않거나, 개보법보다 훨씬 강하게 규제하고 있는 조항들이 포함됐다. GDPR은 기업에는 정보 프라이버시 보호 평가를 시행하도록 강제하는데, 관련 법령을 어긴다면 처벌도 우리보다 강력하다.
GDPR 위반 때 기업에 부과되는 과징금은 최대 2000만 유로(약 267억원), 또는 해외 전체 매출액의 4%다. 국내 개보법은 과징금을 전체 매출액이 아닌 ‘위반 행위 관련 매출액의 3% 이하’로 규정하고 있다.
GDPR은 16세 미만 어린이 개인정보는 보호자 동의를 얻도록 하는데, 국내 개보법은 만 14세 미만으로 더 낮다.
업계에서는 이루다 사건을 계기로 국내 개보법이 GDPR 수준으로 강화되는 것 아니냐는 우려를 내놓는다. 신종 코로나바이러스 감염증(코로나19)으로 지원이 늘어난 상황에서 규제가 더 확대될까 걱정된다는 것이다.
또 법학계에서는 GDRP는 정보 수집이나 보관·저장 등에 관한 규율을 모든 형태의 알고리즘에 일률적으로 적용해 AI 알고리즘 발전에 장애물이 되고 있다는 비판도 내놓는다.
반면 소비자단체에서는 현행 법규가 개인정보 주체인 개인 권리를 제대로 보장하지 못하고 있어 규제 강화가 필요하다고 주장한다. 참여연대·민변 등은 최근 성명에서 "이루다 논란은 기업을 위해 개인정보를 기업 상품 개발에 거의 무한대로 이용할 수 있도록 한 데이터3법이 자초한 문제"라며 "열람권·삭제권 등을 보장하는 방향으로 개보법을 개정해야 한다"고 촉구했다.
개인정보보호위원회는 개보법 위반 과징금을 ‘전체 매출액의 3% 이하’ 수준으로 높이고, 개인정보 주체의 권리를 소폭 강화하는 등의 내용을 담은 개보법 2차 개정안을 지난 6일 입법예고하고 의견을 수렴하고 있다.
송두리 기자 dsk@ekn.kr