코로나19 팬데믹 대응 과정에서 건강정보 수집이 불가피해지고 백신여권 등이 도입되면서 개인정보 보호와 안전한 활용이 중요한 글로벌 이슈로 부각되고 있다. 한국은 정보통신(IT) 강국답게 포스트코로나 시대 데이터 경제에 필수적인 개인정보보호 법제의 글로벌 규범 형성과 주요 이슈 논의를 선도하고 있다.
개인정보보호위원회(위원장 윤종인)는 지난 16~18일 정부서울청사 회의실에서 비대면으로 제55차 APPA(Asia Pacific Privacy Authorities) 포럼을 성공적으로 개최했다. APPA는 ‘아태지역 개인정보 감독기관장 협의체’로, 한·미·일·캐나다·멕시코·홍콩·싱가포르·호주·뉴질랜드·필리핀·페루·콜롬비아 등 12개 국가 19개 기관이 정회원으로 참여하고 있다. APPA 포럼은 매년 상·하반기에 개최되는 ‘아태지역 개인정보 감독기관장 회의’다. 이번 포럼에는 회원기관, 글로벌 협의체, 마이크로소프트·삼성전자·네이버 관계자 등 450여 명이 참석했다.
참석자들은 각국의 개인정보 법제 정비가 글로범 규범과의 정합성을 높이고, 글로벌 상호운용성을 강화하는 방향으로 추진되어야 한다는데 인식을 같이했다. 데이터가 원유와 같은 역할을 하는 디지털 경제 사회의 급격한 발전과 함께 전세계 기업들이 국경을 넘는 자유로운 데이터 이동의 필요성을 절실하게 체감하는 상황에서 각국의 개인정보 감독기관들이 각기 다른 원칙·법령으로 규제하는 것은 글로벌 비즈니스의 불확실성을 높이고, 신시장 개척을 저해한다는 것이다.
이번 포럼에서는 디지털 경제와 포스트 코로나 시대를 맞아 개인정보 보호와 안전한 활용이 더욱 중요해지고 있는 환경 변화에 각 국가와 기업들이 효과적으로 대응하기 위한 다양한 이슈들이 논의됐다. 폐막과 함께 채택된 공동성명에는 각국 정부의 신속하고 효율적인 팬데믹 대응을 위해 개인 건강정보 등 민감정보의 이용이 불가피하지만 최소 수집, 이용제한, 데이터 보안, 투명성 등 보호조치를 통해 개인정보보호는 반드시 보장되어야 한다는 내용이 담겼다. 특히 출입국시 개인의 건강정보를 처리하는 백신여권·백신접종증명서를 이용하는 공공당국도 이 원칙을 지켜야 한다고 강조했다. APPA는 포스트 코로나 뉴노멀(새로운 기준) 사회를 준비하기 위한 논의를 지속해나갈 예정이다.
아·태지역 개인정보 감독기관들은 디지털 경제가 급격히 발전하는 과정에서 인공지능, 디지털 신원, 생체인식정보 등 신기술 활용이 급증하고 개인정보 보호 이슈가 더욱 중요해짐에 따라 산업계와의 소통이 절실하다는데 인식을 같이했다. 신기술 활용 시에도 철저한 개인정보보호 원칙 준수를 견지하되, 디지털 경제발전을 위한 규제환경 변화에 대해서는 산업계와 소통하며 관련 정책입안 및 지침 개발 등의 노력을 아·태 지역에서 함께 지속해가기로 했다.
감독기관들은 또 온라인 서비스 이용 연령이 점차 낮아지고 있고 코로나19로 인해 원격교육이 활성화됨에 따라 일상 속에서 아동·청소년의 개인정보에 대한 위협이 커지고 있어 이에 대한 대책 마련이 시급하다는 공감대를 형성했다. 이에 따라 APPA는 아동·청소년 개인정보 보호를 위한 실제적인 정책·지침 발간, 대중의 인식을 높이기 위한 다양한 교육·홍보 프로그램 개발 등을 통해 온라인 환경에서 아동·청소년을 보호하기 위한 논의를 지속해갈 예정이다.
아울러 아·태지역 개인정보 감독기관들은 각국에서 추진 중이거나 추진할 개인정보 법제 정비가 디지털 시장의 글로벌 규범과의 정합성을 확보하고 국외 데이터 이전을 활성화하는 방식으로 이뤄져야 한다고 봤다. 또 개인정보 보호지수·활용지수 개발 제안을 통해 개인정보 보호 법제의 상호운용성을 증진하고 개인정보를 안전하게 활용하기 위한 논의의 틀을 마련했다.
참석자들은 최근 한국이 법 개정을 통해 개인정보보호위원회를 장관급으로 격상하고 통합된 개인정보 감독기관에 실효성 있는 규제 권한을 부여한 것에 주목했다. 한국은 데이터3법 통과와 함께 지난해 8월 개인정보 감독기능을 통합한 개인정보보호위원회를 장관급 중앙행정기관으로 출범시켰다. 이어 지난 3월 한국의 개인정보보호 법체계가 EU 일반 개인정보보호법(GDPR)과 동등한 수준임을 확인했다.
일본도 디지털 사회 혁신을 위한 일련의 법개정과 함께 3개로 나눠어져 있던 개인정보보호법을 통합하고, 개인정보보호위원회로 감독기관을 일원화했다. 필리핀·홍콩·캐나다는 개인정보 감독기관의 권한 강화를 추진하고 있으며 호주는 ‘소비자데이터권리’의 해외사업자 인증 추진 등으로 글로벌 상호운용성 강화를 꾀하고 있다.
이번 포럼에서 산업계 참석자들도 적극적으로 의견을 개진했다. Julie Brill 마이크로소프트 부사장(CPO)은 국가간 데이터 흐름이 자유로워야 하고, 데이터가 국경을 넘어 다른 나라로 이동할 때 보호를 받을 수 있다는 점을 믿을 수 있어야 한다고 주장했다. 김현종 삼성전자 상무(CPO)는 “개인정보의 ‘보호’와 ‘활용’은 소비자와 기업 모두에게 혜택이 될 수 있는 상호보완적 관계에 있다”면서 “개인정보 범위에 관한 예측가능성을 높이기 위한 실용적 가이드와 국가간 개인정보의 국외이전 법제의 정합성을 도모할 필요가 있다”고 주장했다. 이진규 네이버 이사(CPO)는 글로벌 개인정보 원칙이 잘 반영된 법률체계 정비 필요, 전세계적으로 통일된 개인정보 처리 규칙, 개인정보처리자·정보주체·시민단체의 개인정보 정책 개선과정 참여, 기업의 프라이버시 기술혁신에 대한 인센티브 부여 등을 제안했다.
윤종인 개인정보보호위원회 위원장은 폐회사에서 “이번 포럼에서 공유된 비전과 협력방안을 각 기관이 정책에 반영하여 개인정보보호와 활용의 균형을 찾고 이를 국제 규범화하는 데 노력해달라”고 당부했다. 각국의 기관장들은 이번 포럼에서 논의된 의제들을 더욱 발전시켜 나가고, 개인정보 보호와 활용에 대해 국제적인 연대와 협력을 강화해 나가자는 데 뜻을 같이했다.
김재중 선임기자 jjkim@kmib.co.kr