[기획 칼럼⑱] 개인정보 보호법상 형사처벌 규정 개선을 위한 관계기관 소통 절실

AI 시대의 개인정보 보호는 단순히 개인정보를 보호하는 것을 넘어, 혁신과 발전을 위한 기술적, 제도적 기반을 마련하는 것을 목표로 해야 한다. 사진은 개인정보보호법학회 세미나 장면./개인정보보호법학회

AI(인공지능) 대전환 시대에 발맞춰 인터넷 종합 미디어 <더팩트>와 <개인정보보호법학회>가 손잡고 '인공지능 대전환시대 데이터법제의 발전'을 주제로 한 기획 칼럼 시리즈를 연재합니다. 이번 기획은 AI 혁신을 위한 필수 과제인 데이터의 활용과 보호 간 균형을 맞추는 정교한 법제도 정비의 중요성에 주목했습니다. 특히 AI 시대에 맞는 개인정보보호법 재설계의 필요성에 대한 심도 있는 논의를 이끌어낼 예정입니다. 데이터가 어떻게 수집되고, 활용되며, 보호돼야 하는지에 대해 전문가들의 학문적 분석과 사회적 담론을 제공합니다.<편집자 주>

[더팩트 | 정경오 변호사(법무법인 린, 개인정보보호법학회 감사)] 인공지능(AI) 기술이 급격하게 발전하면서 개인정보 활용은 물론, 개인정보보호에 대한 사회적 요구도 높아지고 있다. 그러나 현재 개인정보 보호법상의 형사처벌 규정은 AI시대의 현실과 괴리될 뿐만 아니라, 오히려 산업의 위축과 정책기관과 수사기관 간의 혼선 심화라는 부작용을 초래하고 있는 실정이다.

개인정보 보호법은 개인정보를 안전하게 관리하고 이용하도록 규정하고 있지만, 그 실효성은 상당 부분 형사처벌 규정에 의해 담보되고 있다. 현행 개인정보 보호법은 4개의 벌칙 규정에서 20개의 구성요건에 대한 처벌규정을 두고 있으며, 제2차 개정(2023년 3월 공포, 2023년 9월 시행)으로 형사처벌 규정 중 일부가 과징금, 과태료와 같은 금전제재로 전환되었지만 여전히 처벌규정 상당부분을 그대로 유지하고 있다.

무엇보다 개인정보 보호와 활용에 대해 개인정보보호위원회와 수사기관과의 동일한 규정에 대한 해석 차이로 인해 현장에서는 혼선이 빚어지고 있다는 점이 문제이다. 형사실무 현장에서는 개인정보 보호법 위반 사건에 대한 개인정보보호위원회의 정책 방향과 수사기관의 수사 방향은 그 시각이 상당히 다르다는 점을 체감하게 된다. 개인정보처리를 둘러싸고 행정기관인 개인정보보호위원회와 형사사법기관인 일선 수사기관 간의 해석 차이는 고스란히 개인정보의 정당한 활용을 어렵게 하는 중대한 요인이 되고 있다.

개인정보 보호법 제15조제1항에 따르면, 개인정보처리자는 정보주체의 동의를 받은 경우 개인정보를 수집할 수 있으며 ‘그 수집 목적의 범위’에서 이용할 수 있다. 이에 대해 2020년 개인정보의 활용도를 높이기 위해 정보주체의 동의가 없더라도 ‘당초 수집 목적과 합리적으로 관련된 범위’에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 개인정보를 이용할 수 있도록 개인정보 보호법이 개정되었다.

그런데 최근 정보주체의 동의가 없는 상태에서 법령상 허용되는 개인정보 수집 목적 범위를 초과해 회원 개인정보를 이용했다는 사유로 개인정보처리자인 모 협회에 대한 휴대폰, 사무실, 자택에 대한 압수수색을 한 일이 보도된 일이 있었다. 이 보도를 보면 개인정보의 이용과 관련해서 행정기관과 수사기관의 시각 차이가 명백하게 드러난다. 개인정보보호위원회는 법 일부 개정을 통해 정보주체의 동의가 없더라도 ‘당초 수집 목적과 합리적으로 관련된 범위’에서 개인정보의 활용도를 높이고, 있는데, 수사기관은 정보주체가 동의한 ‘개인정보의 수집 목적 범위’에서 이용으로 엄격하게 제한하고 있는 것이다. 또한, 개인정보 ‘유출’ 사건도 아닌 ‘목적 외 사용’으로 인해 휴대폰, 사무실, 자택에 대한 압수수색의 필요성이 있었는지도 의문이다.

그동안 수사기관에서 개인정보 보호법 위반 혐의로 기업에 압수수색을 진행하면 관련 업계는 큰 충격을 받았다. 개인정보 보호법의 기본적 입법취지를 고려하더라도 수사기관의 과도한 압수수색은 기업의 운영 활동을 저해하고, 기업의 개인정보 보호에 대한 불신을 심화시키는 결과를 초래한다. 이는 정책기관과 수사기관 간의 소통 부족, 법 집행의 전문성 부족, 그리고 개인정보보호의 중요성에 대한 인식 차이에서 비롯된 문제라고 볼 수 있다.

개인정보 보호법상 형사처벌은 주로 ‘고의’ 또는 ‘위험성을 인식하지 못한 상태’에서 발생하는 행위에 대해 부과된다. 그러나 AI 기술 발전으로 인해 예측하기 어려운 기술적 오류나 시스템 사고로 개인정보 유출이 발생하거나, 개인정보를 수집할 당시 목적이 아닌 ‘당초 수집 목적과 관련된 범위’에서 활용할 경우, 기업은 고의성이 없더라도 형사처벌의 대상이 될 수 있다. 이러한 불확실성은 기업들이 AI 시스템 도입 및 개인정보 활용에 대한 투자를 주저하게 만들고, 결국 산업의 성장과 혁신을 저해한다.

AI 시대의 데이터 활용은 긍정적인 성과를 가져올 수 있지만, 개인정보 침해 위험도 동시에 내포하고 있다. AI 시대의 개인정보 보호는 단순히 개인정보를 보호하는 것을 넘어, 혁신과 발전을 위한 기술적, 제도적 기반을 마련하는 것을 목표로 해야 한다. 따라서 AI 시대 개인정보 보호와 활용의 균형을 맞추기 위해 개인정보 보호 및 활용 목적 명확화, 정책기관과 수사기관의 소통 확대 등과 더불어 개인정보 보호법상 형사처벌 규정의 비형벌화 등 형사처벌 규정의 재정비가 필요한 때이다.

개인정보보호위원회는 과학기술정보통신부, 산업통사부 등 관련 행정기관과의 소통에 그치지 말고 형사사법기관은 물론 법원과의 소통을 보다 적극적으로 늘려갈 필요가 있다. 이러한 소통을 기반으로 형사처벌 규정과 집행 실무의 개선을 위한 단초를 마련해야 할 것이다.

정경오 변호사(법무법인 린, 개인정보보호법학회 감사)

▶AI 대전환시대 공동 기획 칼럼 관련 시리즈

[기획 칼럼⑰] 상시적 내부통제 강화는 규제 아닌 경영문화로 자리 잡아야

[기획 칼럼⑯] 법률 AI 혁신의 시대, 유연성과 개방성의 저울로 공정의 중심을 세우자

[기획 칼럼⑮] AI 대전환 시대, 가명정보 활용의 새로운 기준을 세워야 할 때

[기획 칼럼⑭] 인공지능 개발을 위한 개인정보 처리 특례에 주목하는 이유

[기획 칼럼⑬] 인공지능 시대, 개인정보처리 근거로서 ‘계약의 이행’

[기획 칼럼⑫] 인공지능 대전환에 따른 '개인정보 보호법'의 변화 필요성

Copyright@더팩트(tf.co.kr) All right reserved.