통신사·OTT “개인정보법 애매해”… 아직 갈 길 먼 자율규제(종합)

[천지일보=손지하 기자] 개인정보 보호법 개정안이 오는 9월 시행되는 가운데 시행령과 고시 수립에 대한 방향에 ‘명확성’이 필요하다는 통신사·OTT 업계의 목소리가 나왔다. 이와 더불어 정부와의 원활한 소통과 명시적인 가이드라인을 촉구했다.

개인정보보호위원회(개인정보위)는 26일 서울 중구 SK T타워에서 통신 및 온라인 동영상 서비스(OTT) 기업 11개사, 개인정보보호협회가 참여하는 간담회를 개최했다.

이번 간담회는 개인정보위가 올해 9월 15일부터 시행 예정인 개인정보 보호법의 개정 내용과 향후 정책 방향을 산업계와 공유하고 의견을 청취하는 개인정보위 위원장 주재 릴레이 간담회의 일환이다. 간담회엔 SK텔레콤, KT, LG유플러스, SK브로드밴드, 프리텔레콤, LG헬로비전, 넷플릭스, 디즈니, 웨이브, 티빙, 왓챠가 참석했다.

◆통신 대리점·판매점 개인정보 시스템 도마 위

통신 분야 개인정보 보호 자율규제 단체인 개인정보보호협회는 통신 시장의 현황 및 통신 산업 구조에 대해 발제를 했다.

통신 분야는 크게 유선 통신 분야, 무선 통신 분야 두 가지로 나눌 수 있다. 유선에는 이동통신 3사와 알뜰폰 사업자 총 27개사가 있다. IPTV, 종합유선방송 사업자 등 유사 사업자도 총 17개가 있다. 운영되는 회선은 7600만개로 모든 국민이 통신 서비스를 이용하는 실정이다.

각 통신사는 대리점에 개인정보 처리를 위탁하고 있다. 대리점은 다시 통신 판매점에 위탁한다. 약 7600개사가 통신사와 직접 계약을 맺고 영업을 하는 상황이고 판매점은 약 1만 7000개로 추산된다. 통신사는 대리점(개인정보 처리 수탁자)을, 대리점은 판매점(재수탁자)을 직접 관리감독 한다.

대리점의 경우 통신사 본사와 전용선 등으로 개인정보 처리 시스템이 직접 연결돼 있다. 이 개인정보 처리 시스템은 망분리까지 된 상황이다. 반면 판매점에는 개인정보 처리 시스템이 깔려 있지 않다. 단순 판매만 가능한 곳이다.

박찬휘 개인정보보호협회 본부장은 “대리점은 각 통신사와 직접 계약을 맺고 있기 때문에 관리감독 체계가 잘 이뤄지고 있다”면서 “판매점은 대리점이 직접 관리해야 하고 대리점에 직접적인 책임이 있으나 미흡한 점이 있었다”고 말했다.

이에 협회는 2018년도부터 개인정보 보호 자율규제를 통해 이 판매점들을 대상으로 개인정보보호 교육 및 컨설팅, 현장 점검, 모니터링 등을 하며 간접적으로 관리감독 하고 있다. 아울러 통신 서비스를 이용하는 국민을 대상으로 2012년부터 개인정보 인식 제고를 위한 캠페인을 매년 진행하고 있다.

또 협회는 개인정보보호 자율감시센터를 운영하고 있다. 자율감시센터는 방송·통신 서비스에 대한 불법 텔레마케팅과 개인정보 부정 이용 신고·상담을 하고 있다. 이 신고·상담이 정상적으로 확인될 경우 포상금도 지급 중이다.

개인정보위는 개인정보 보호법 개정내용과 하위 법령의 개정 방향에 대해 설명했다. 개인정보 전송요구권 도입, 온·오프라인으로 이원화된 규제체계의 일원화, 과도한 사전 동의 의존방식 개선 등 산업계 관심이 높은 사항들을 중심으로 설명이 이뤄졌다. 개정 방향에 따르면 개인정보 처리 수탁자뿐 아니라 위탁자에도 처리 책임이 강화된다.

개인정보위는 새로 도입되는 제도와 정책을 구체화하는 과정에서 통신 및 OTT 서비스 분야를 비롯한 다양한 이해관계자 의견을 폭넓게 청취하고 이를 반영한 시행령 및 고시 등의 제·개정안을 차질 없이 마련할 계획이라고 덧붙였다.

◆“시장 변화 빠른데… 명시적 정책도 빨리 나와야”

통신 및 OTT 서비스 업계는 동의 방식 개선 및 국외이전 요건 다양화 등 새로운 법과 제도가 실제 현장에 의미 있게 적용될 수 있도록 개인정보위에서 구체적인 기준을 제시해줄 필요가 있다고 건의했다. 아울러 복합해지는 개인정보 처리 환경에서 수탁자 및 재수탁자에 대한 관리감독 의무 등은 위탁자에게 과도한 업무 부담이라고 주장했다.

박환석 KT 상무는 “생성형 AI 활성화를 많이 하려고 하고 있다. 혼란스러운 부분이 있어서 내부적으로 방침을 세우려고 하고 있지만 상황이 어렵다. 과거에는 인터넷이 지금처럼 개인정보가 수집되고 활용되고 악용될 때 그 부분에 대해 준비할 시간이 있었다면 챗GPT 같은 경우에서는 어떻게 활용해야 할지 (알 수 없을 정도로) 빠른 속도로 진행되고 있다. 정책이 빠르게 도입돼야 불편함이 없을 것 같다”고 말했다.

또 박 상무는 “글로벌 플랫폼을 활용하는 걸 검토하고 있다”며 “고객 정보, 기업 자료를 외부 클라우드 플랫폼을 활용하는 부분에 있어서 실제로 컴플라이언스에 대한 부분들이, 암호화 방식이 다른 부분이 있다. 클라우드와 관련된 것도 명확하게 해달라”고 주문했다.

올해 초 약 29만명의 고객 정보가 유출돼 개인정보위의 조사를 받고 있는 LG유플러스는 기술적으로 정확한 가이드라인을 제시해달라고 요청했다.

김기용 LG유플러스 상무는 “정책이나 법적인 것을 어떤 형태로 기술적으로 하면 되는지 가이드를 강화해 달라”며 “이제는 기술적으로 어떻게 하면 되냐고 물어보면 답을 할 수 있는 체계가 마련돼 자의적인 해석이 아니라 구체적인 것으로 해결하는 형태로 진행됐으면 좋겠다”고 말했다.

개인정보 처리 수탁자를 관리감독 하기 어렵다는 의견도 있었다.

김동섭 SK브로드밴드 부사장은 “단계별로는 개인정보 보호라는 측면에서 수탁자별 인식 수준이 차이가 난다”며 “기술적으로 보안 시스템을 구축해도 계약 관계에서 벗어난 상태에서 위법 행위를 할 가능성, 외부에 개인정보가 유출될 가능성이 있는데 통제할 수 있는 방법이 없다”고 설명했다.

김 부사장은 “실무적으로 이를 개선하려고 해도 가진 데이터는 그대로인데 A라는 회사가 B로 바뀌는 등 개선하는 데 한계가 있다”며 “이런 부분도 시행령에 들어갈 때 고려해주시면 좋겠다”고 밝혔다.

이건호 LG헬로비전 정보보호국장도 “법을 통해서 구속되는 시행령이나 고시를 통해 좀 더 디테일한 기준을 제시하실 필요가 있지 않을까 한다”며 “사고가 안 나게 관리를 해야겠지만 사고가 일어나게 됐을 때 부담이 크다”고 설명했다.

이 국장은 “과징금 산정 과정에서 ‘위반 행위와 관련 없는’이라는 범위가 어디까지인지 관심이 많다”며 “위탁, 재위탁 경우가 실제로 많은데 하지 말라고 한 부분에 대해서도 문제를 일으키면 어느 정도로 면책이 되는 건지 궁금하다”고 말했다.

또 개인정보 처리방침 평가제 도입과 관련해 “저희가 임의로 판단할 수 없으니 표준안을 제공해 달라”고 요구했다.

알뜰폰 등 중소 사업자가 정보 보호에 투자할 여력이 없다는 애로사항도 나왔다.

정광필 프리텔레콤 상무는 “알뜰폰은 큰 사업자들처럼 개인정보를 대대적으로 활용하지는 못한다. 단순한 상황이지만 알뜰폰은 정보보호에 기술·인력을 투자하기가 애매하다”며 “개인정보가 침해되는 방법이 고도화되고 있는데 할 수 있는 한계가 분명한 점에서는 개인정보위가 신경을 써달라”고 요청했다.

기업들은 개인정보위와의 논의의 장이 활성화됐으면 하는 바람을 전했다.

김동섭 부사장은 “실무자가 개인정보 관련으로 해석을 어떻게 해야 할지 판단이 애매할 때 개인정보위에 논의하기는 부담이 된다”며 “공식적인 유권 해석이 아니더라도 어떻게 판단해야 할지에 대해 소통하는 문이 자연스럽게, 부담감 없이 활성화됐으면 좋겠다”고 말했다.

정광필 상무도 “개인정보 보호법을 읽어보면 기준이 애매한 부분이 있는데 법적인 조항에 대해 문의하기 부담스럽다”며 “괜히 질문해서 긁어 부스럼을 만드는 게 아닌가 싶다고 하고 명쾌한 답변도 없다. 작은 사업자에게는 추상적인 가이드보다 명시적인 가이드를 제시해달라”고 요청했다.

◆“마이데이터·국외이전, 구체화 필요”… 일각선 부작용 우려도

OTT 업계에서는 마이데이터 도입 등 개정안에 담긴 내용과 관련해 여러 가지 측면으로 우려의 목소리가 나왔다.

조성철 티빙 상무는 “자동화된 정보주체의 권리 도입이라는 게 기준이 모호해서 좀 더 명확해졌으면 좋겠고 마이데이터를 제공해야 하는 사업자는 어떤 식으로 선정되고 의무 기업은 어느 곳까지인지, 기업에서 이를 제공하면 비용이 발생하는데 어떻게 부담해야 하는지도 명확하게 알려 달라”고 촉구했다.

노동환 웨이브 리더는 “마이데이터 부분에서 사업 내, 유관 산업, 관계성이 많이 떨어지는 산업 간에 시행령, 가이드라인을 만들었을 때 기술에 대한 기준이나 표준화가 논의될 텐데 OTT의 행태정보 같은 경우 하나로 표준화하기는 어렵다”며 “데이터 전송과 관련해 시행령을 만들 때 너무 협소한 범위보다는 플랫폼 여러개사를 고려해서 확대했으면 하는 바람이 있다”고 제안했다.

노 리더는 “개인정보 국외이전 부분에 대해서는 해외 진출할 때 마케팅이나 이런 부분에 있어서 개인정보를 해외 사업자들과 연계하는 부분이 있다”며 “위반 행위와 관련해 조금 더 지켜보고 신중하게 접근하는 게 괜찮은 것 같다”고 말했다.

또 노 리더는 “과징금 산정에 있어 ‘위반 행위와 관련 없는 매출’이라고 했을 때 사업자 측에서 이를 증명해야 한다”며 “이런 부분에서 어떻게 풀어나갈 수 있는지 내부적으로 검토하고 있는지 묻고 싶다”고 밝혔다.

허승 왓챠 이사는 “분쟁조정 제도가 확대됐는데 개인정보 관련해 분쟁조정을 신청하면 개인정보 처리자를 현장 조사 내지 사실 조사를 하고 있다”며 “처리자는 이에 응해야 하는 의무가 있는데 분쟁조정의 실효성을 확보하는 측면에서는 의미가 있다고 본다”고 말했다.

허 이사는 분쟁조정 제도 확대의 부정적 측면에 대해 “본래 취지인 분쟁조정이 아니라 강제수사로 남용될 우려도 있다”며 “분쟁조정에 대한 지침이 업계 의견을 많이 수렴해서 세부적으로 마련되면 적극적으로 임할 수 있을 거 같다”고 제안했다.

또 허 이사는 “마이데이터 전송요구권은 좋은 선례가 있긴 하지만 이것이 일반으로 확대될 경우 거대 플랫폼 위주의 정보 집중이 심화돼서 중소기업이 경쟁력을 확보하기가 더 어려워질 수 있다”며 “산업별로 정교하게 검토해서 단계적으로 추진해줬으면 좋겠다”고 바람을 전했다.

해외 사업자들은 이번 개정안에 적극 협조하겠다는 입장을 전달했다.

류승균 넷플릭스 준법팀장은 “국내외 사업자 모두 개인정보 보호를 위해 비즈니스 케이스를 갖고 있을텐데 (이번 개정은) 전면 개정에 가까운지라 향후에도 시행령 개정이 준비될 시에 사업자들을 불러주시면 계속 참여하고 적극적으로 협조하겠다”고 말했다.

김하나 디즈니 DPO는 “디즈니가 디즈니플러스를 준비할 때 글로벌 사업자다보니 글로벌 정책이 분명히 있음에도 국내에서 요구하는 포인트가 달랐고 이 때문에 본사를 설득하기 어려운 경우도 있었다”며 “(한국이) 글로벌과 발맞춰 가려고 하는 게 감사하다. 더 좋은 방향인 거 같아서 기대가 크다”고 했다. 다만 김 DPO는 “국외이전할 때 요구되는 방식과 절차가 무엇인지 명확하게 해주면 좋겠다”고 첨언했다.

◆개인정보위 “의견 적극 수렴하겠지만 사업자 노력 중요”

이에 개인정보위는 법 개정에 따른 가이드라인, 해설서 등을 조속히 마련하고 산업계의 데이터 관련 혁신적 도전들이 개인정보 보호법령 해석이나 판단의 문제로 한계나 어려움을 겪지 않도록 적극 지원하겠다고 답했다.

이정렬 사무처장은 “이제부터가 본 게임이다. 시행령과 고시, 가인드라인을 현장에서 알기 쉽게 하도록 노력하겠다”며 “위치정보, 신용 정보 등 위원회 차원으로 안 되는 부분은 방송통신위원회, 국회 과학기술정보방송통신위원회 등과 합의하고 있다”고 말했다.

이 처장은 “시행령에는 모두를 담긴 어렵다. 큰 틀에 대해 어떻게 하겠다는 방향성을 담으려고 하고 구체적인 건 고시에 담으려고 한다”며 “의견을 적극적으로 듣겠다. 어느 나라를 특정해서 할 생각은 없다. 내부 논의를 거치고 업체 이익에 관계되는 부분이기 때문에 학계 입장을 들어서 정리하고 알릴 예정”이라고 덧붙였다.

개인정보위는 통신사들의 대리점·판매점 관리감독 의무를 강화하면서도 함께 인식을 개선해나가겠다고 밝혔다.

이 처장은 “통신사와 대리점·판매점 같은 경우는 현장에서 자율규제가 할 분야라고 생각한다”며 “모든 걸 맡긴다는 의미는 아니고 자율규제 정책과가 중점 사업 중 하나로 중소기업, 소상공인, 벤처 분야에 대한 교육 프로그램을 확대하려고 한다. 온라인뿐 아니라 상담을 확대하겠다”고 말했다.

양청삼 정책국장은 “통신사들도 수탁자에 대한 관리감독을 굉장히 잘해야 한다”며 “통신 분야에 있어서는 보호 수준 관리 체계를 더 새롭게 인식을 환기하고 체제를 당겨야 할 필요가 있다”고 강조했다.

고학수 개인정보위원장은 “기술 규제와 기준을 명확화해달라는 수요가 있지만 규정을 마련하는 데에는 1년씩이나 걸린다. 그렇게 하면 경직적이고 현장과 동떨어진 결과가 나온다”며 “원칙 중심으로 갈 수밖에 없는데 이 방식이 실효성이 있으려면 원칙을 개별성에 적용하고 해석에 대한 역량을 키우는 게 중요하다”고 조언했다.

그러면서 “세세하게 규정한다고 해도 그것만 지키면 면책이 되는 것이냐. 정책적으로 바람직한 것은 최소한의 것과 방향성을 제시하고 선순환 구조를 만들어서 열심히 하는 곳에 대해서는 문제가 생겨도 감경을 해주고 열심히 하지 않은 곳에는 패널티를 부여하는 방향이 맞지 않을까 싶다”고 부연했다.