개인정보위, 'AI 융합사회' 맞춰 개인정보 보호 체계 전면 손질

징벌적 과징금·단체소송 확대…반복 위반 기업 '강력 제재'

AI 특례·가명정보 지원체계로 보안투자·데이터 활용 동시 강화

송경희 개인정보보호위원장이 12일 세종시 정부세종컨벤션센터에서 열린 과학기술정보통신부ㆍ개인정보보호위원회 업무보고에서 발언하고 있다. [사진=연합뉴스]

개인정보보호위원회가 징벌적 과징금(고의·중대한 위반에 일반보다 훨씬 무겁게 매기는 과징금)과 단체소송 확대, 인공지능(AI) 특례 도입 등을 담은 새 계획을 내놓고, 지금까지의 ‘사고 나면 처벌’ 중심에서 ‘미리 막고, 투자 유도’ 중심으로 개인정보 보호 체계를 바꾸겠다고 밝혔다.
 
개인정보위는 12일 정부세종컨벤션센터에서 업무보고를 열고 △실효적 제재 및 보호투자 촉진 △공공·민간 선제적 예방·점검 △신뢰 기반 AI 사회 구축 △국민 생활 속 사생활 보호 △글로벌 데이터 신뢰 네트워크 구축 등 5대 추진방향과 10대 핵심과제를 제시했다.
 
우선 반복·중대한 위반에 대해서는 징벌적 과징금 특례를 도입하고, 단체소송 요건에 ‘손해배상’까지 포함해 대규모 개인정보 유출 피해에 대한 집단 보상을 강화한다. 정보보호·개인정보보호 관리체계인 ISMS-P(정보보호·개인정보보호 관리체계 인증)에는 예비심사(본심사 전에 미리 점검해 주는 단계)를 도입하고, 중대·반복 위반 기업은 인증을 취소하는 등 사후 관리도 강화한다.
 
기업 대표자(CEO)를 최종 개인정보 보호 책임자로 법에 못박고, CPO(개인정보보호책임자) 지정 신고제를 도입해 대규모·민감정보를 다루는 기관 책임을 높인다. 대신 보안 투자에 적극적인 기업에는 과징금 감경 인센티브(벌금을 줄여주는 혜택)를 줘 스스로 보호 수준을 끌어올리도록 유도한다.
 

AI 확산에 맞춰 AX(업무 자동화 전환) 환경에서도 개인정보를 안전하게 활용할 수 있도록 AI 특례를 도입하고, 가명정보(개인을 바로 알아보기 어렵게 가공한 정보) 활용을 돕는 ‘가명처리 원스톱 지원체계’를 구축한다.

PET(개인정보 보호 강화 기술) 연구개발과 전문인력 양성을 통해 동형암호(암호화 상태로 연산 가능한 기술), 합성데이터(실제와 비슷하게 만든 가짜 데이터) 등 기술 기반의 안전한 데이터 활용도 지원한다.
 
국민이 바로 체감할 수 있는 과제로는 보안인증 IP카메라(보안 기능을 국가가 검증한 인터넷 카메라) 사용 의무 확대, 딥페이크(AI로 합성한 영상·음성) 악용 범죄에 대한 대응 강화, 아동·청소년 ‘지우개 서비스’(어릴 때 올린 개인정보 삭제를 도와주는 서비스) 확대, 침해신고센터 기능 고도화 등이 추진된다.
 
해외로 개인정보를 보내는 경우에는 SCC(표준계약조항), BCR(다국적 기업 내부 공통 규정), 국외이전 영향평가제(해외 전송 시 위험을 기업이 스스로 분석·평가하는 제도) 등을 통해 글로벌 데이터 이동 과정에서도 안전장치를 촘촘히 마련한다는 계획이다.