윤종인 개인정보위 위원장 "챗봇 이루다 사태, 법 몰라 생기기도…보완할 것"

"바늘허리에 실 못매…보호해야 활용도"

전문가 정책자문 포럼·온라인그룹 구성

개보법 2차개정 산업계 우려 해소 예고

EU GDPR 적정성결정 비관적이지 않다

개별법 상충시 보호원칙 입각·개선권고

윤종인 개인정보보호위원회 위원장. [사진=임민철 기자]

"스타트업이나 중소기업이 비식별조치·가명정보 가이드라인 내용을 숙지하지 못해 사고가 발생할 수 있다. 인공지능(AI) 챗봇 '이루다' 조사 내용에서도 실제로 몰라서 (개인정보보호법을 준수)하지 못하는 없지 않다고 본다."

16일 윤종인 개인정보보호위원회 위원장이 개인정보보호법 위반 여부 조사를 받고 있는 AI챗봇 이루다의 개발업체 '스캐터랩'과 같은 사례에 대해, 개인정보 활용을 위한 신개념과 가이드라인에 대한 이해 부족 탓일 수 있음을 인정했다.

그는 "관련 조사 내용을 충분히 인지한 건 아니지만 언론에 보도된 내용을 보면 실제로 (기업이) 몰라서 그런 부분이 없지 않다"면서 "인력적으로 한계가 있지만, 중소기업 대상 컨설팅, 지원센터를 통해 보완해 나가겠다"고 덧붙였다.

이 발언은 윤 위원장이 이날 서울청사 기자간담회 질의응답 자리에서 AI스타트업 스캐터랩과 같은 기업현장에 부족한 개인정보 관련 전문성 문제의 현황과 개선방안에 답하며 나왔다. 스캐터랩은 페이스북 메신저를 통해 대화를 나눌 수 있는 챗봇서비스 이루다를 개발한 스타트업이다. 이루다가 '연애의 과학' 등 앞서 출시한 별개 서비스의 이용자들로부터 수년간 수집한 데이터를 적절한 동의·조치 없이 활용해 개발됐다는 문제가 제기돼, 개인정보위가 두달 넘게 조사 중이다.

윤 위원장은 이루다 조사 현황에 대해 "지속적으로 (스캐터랩으로부터) 자료를 제출받아 검토하고 있다"며 "이용자와 산업계에 미치는 영향을 고려해 최단시일 안에 완료할 방침"이라고 밝혔다. 또 "이루다 사태는 아무리 혁신적이고 편리한 기술이어도 개인정보가 안전하게 보호되지 못하면 이용자 선택을 못 받을 수 있다는 자각이 되는 계기가 될 것"이라며 "아무리 바빠도 바늘허리에 실 매서 쓸 수 없다, 보호부터 잘 해 활용하게 하는 것이 순서라 생각한다"고 덧붙였다.

개인정보위는 디지털시대에 맞는 정보주체 중심의 개인정보패러다임 등 중장기 이슈를 외부전문가들과 함께 논의하기 위한 '개인정보미래포럼'을 이달 중 발족한다. 적극적·능동적 개인정보 자기결정권 보장을 위한 법과 제도를 마련하고 국민이 참여·주도하는 데이터생태계 구축과 전국민의 '개인정보감수성'을 향상시킬 문화 형성 방안을 검토한다는 구상이다. 윤 위원장은 "법조계, 학계, 산업계, 시민단체 등에서 30여명 규모 전문가를 추천·위촉할 것"이라고 언급했다.

개인정보미래포럼보다 더 큰 규모로 '온라인 정책자문그룹'을 운영하는 방안도 고려 중이다. 개인정보위에서 필요로 하는 개인정보보호 관련 다양한 관련분야 전문성을 갖춘 자문위원들로부터 주요 추진정책에 대한 의견을 구할 수 있는 방안으로 검토 중이다. 윤 위원장은 "개인정보미래포럼은 디지털관련 (중장기) 의제를 선제 논의하고 온라인 정책자문그룹은 그보다 더 넓게 200여명 규모로 비대면시대에 맞게 더 많은 사람들의 자문을 구할 방안으로 고려하고 있다"고 말했다.

올초 시작한 개인정보보호법 2차개정 추진은 지난달 16일부로 입법예고기간이 완료됐고 각계 45건의 의견이 수렴돼, 개인정보위는 이를 개정안에 반영할 방침이다. 법 위반시 매출 3% 이하 과징금을 부과하는 제재규정의 부담을 우려·반발하는 산업계 반응에 대해서는 윤 위원장이 "매출 4% 과징금을 설정한 GDPR 등에 비춰볼 때 우리만 낮게 설정시 국내기업 역차별 문제도 불거질 수 있다"며 "산업계 우려를 해소하고 과징금의 비례성·효과성을 명확히 규정하겠다"고 설명했다.

모든 유럽연합(EU) 지역 진출기업이 EU 개인정보를 국내서 처리할 길을 열어줄 것으로 기대되는 'GDPR 적정성결정' 논의에 대해서는 이변이 없는 한 곧 성과가 있을 것이라는 입장이다. 윤 위원장은 "실무적 쟁점은 대부분 처리가 완료됐고 EU가 적정성 결정문 초안을 마련 중이어서 우리가 그것을 받으면 1차 관문을 넘는다고 생각하고 비관적이지 않다고 본다"고 말했다. 초안이 공개되면 이후 EU정보보호이사회(EDPB) 의견을 수렴 후 EU집행위 전원회의 의결로 확정된다.

윤 위원장은 EU GDPR과 별도로 네이버, 카카오 등 디지털서비스 분야 대기업과 중소중견 기업들이 진출했거나 진출가능성을 타진하고 있는 동남아·아태·일본지역에서의 개인정보 역외이전에 대한 정책지원 가능성도 언급했다.

그는 관련 질문에 "EU 이외 지역은 통상 기업별로 각지 심사를 받아 왔다"면서 "개인정보보호법 2차개정을 통해 국가간 적정성결정 등 다양한 역외이전 방법을 도입할 예정인데, 이 경우 아태지역이나 일본 등 다양한 나라에서도 더 적극 논의할 수 있지않을까 생각한다"고 답했다. 또 "앞서 일본이 적정성결정을 받았기에 (우리가) EU GDPR 적정성결정을 받으면, 아직 구상단계지만 (한일간) 역외이전도 가능하지 않을까싶다"고 덧붙였다.

최근 개인정보 침해소지가 제기된 전자상거래법 개정을 추진하는 공정거래위원회, 전자금융거래법 개정안을 추진하는 금융위원회, 데이터기본법 기반의 국가 데이터정책 컨트롤타워가 된 4차산업혁명위원회 등 다른 정부부처의 개인정보 관련 개별 입법이나 정책 추진에 따른 충돌이나 역할 구분 문제에 대해선 '개인정보보호에 영향을 미치는 타 법령에 대한 심의·의결과 이를 통한 개선권고를 할 수 있는 권한'을 적극 활용하겠다는 입장도 강조했다.

윤 위원장은 "개인정보보호법은 일반법이고 다른 개별법의 관련 규정은 비례성·최소성 등 개인정보보호법의 기본원칙을 벗어나선 안 된다"며 "개인정보보호 정책협의회 등을 통해 중앙행정기관과 관계기관에 대한 의견을 제시하고 위원회의 기본원칙을 반영할 수 있는 입법이 추진되도록 해나갈 것"이라고 말했다.