다음 달부터 코로나19 방역 과정에서 생기는 개인정보 유출 위험을 줄이도록 수기명부에 기입하는 휴대전화 번호를 대체할 ‘코로나19 개인안심번호’를 도입한다.

또한 최근 인공지능(AI) 챗봇 '이루다' 논란으로 불거진 개인정보 침해 우려를 해소하기 위해 인공지능과 자율주행차 등 신기술과 관련한 개인정보보호 수칙이 마련된다.

개인정보보호위원회(개인정보위)는 26일 이 같은 내용을 담은 올해 업무계획을 발표했다.

개인정보위는 올해 중점적으로 추진할 신규 과제로 ▲사회적 합의를 통한 개인정보 이슈 해결 및 신산업 불확실성 해소 ▲국민 관점에서 알기 쉬운 동의제도 개편 ▲국민 생활밀착분야 선제적 안전관리 강화 ▲스타트업·중소기업의 안전한 데이터 활용 지원 강화를 꼽았다.

이를 뒷받침하기 위해 개인정보 전송요구권, 자동화된 의사 결정에 대한 대응권 등을 골자로 하는 제2차 개인정보 보호법 전면 개정을 추진한다.

◇ 수기명부용 '개인안심번호' 도입… AI 가이드라인에 '이루다' 조사결과 반영

개인정보위는 먼저 코로나19 대응 과정에서 개인정보 유출·악용을 막기 위한 방안으로 코로나19 개인안심번호를 도입한다.

현재는 다중이용시설 출입 시 작성하는 수기명부에 휴대전화 번호를 적게 돼 있는데 2월부터는 '12가34나'처럼 숫자 4자리와 문자 2자리로 구성된 개인안심번호를 발급받아 쓰면 된다.

개인안심번호는 네이버나 카카오, 패스 등 인증기관을 통해 QR코드 체크인을 하면 생성되며 한번 발급받으면 계속 사용할 수 있다.

최영진 개인정보위 부위원장은 "작년에 수기 출입명부에서 이름을 빼고 휴대전화 번호만 적도록 조치했으나 모르는 사람에게서 전화가 오거나 다른 사람의 번호를 적는 등의 문제가 발생해 이를 해결하고자 개인을 특정할 수 없는 안심번호를 도입하게 됐다"고 말했다.

이와 함께 코로나19 장기화에 따라 온라인 수요가 급증한 통신대리점(고객정보), 오픈마켓(판매자 계정), 배달앱(주문정보), 택배(운송장), 인터넷 광고(행태정보) 등 5대 민간분야 개인정보 보호조치 이행 여부를 집중 점검한다.

다만 어려운 경영 여건을 고려해 중소기업이나 영세 소상공인의 경미한 위반사항에 대해서는 과징금·과태료를 감면해준다.

개인정보위는 또한 '이루다' 같은 사례의 재발을 막고 기업들이 현장에서 개인정보를 안전하게 처리할 수 있도록 '인공지능 환경의 개인정보보호 수칙'(가칭)을 만들어 3월에 발표할 계획이다.

이 수칙에는 개인정보보호 핵심 원칙과 서비스 개발자·제공자·이용자 등 행위자별로 실천해야 하는 내용, 국내외 참고사례 등을 담는다.

이루다 개발사 스캐터랩은 이용자들의 카카오톡 대화를 수집해 이루다를 개발하는 과정에서 가명 처리를 제대로 하지 않는 등 개인정보 유출 정황이 있어 개인정보위의 조사를 받고 있다. 조사 결과는 인공지능 개인정보보호 수칙에 반영된다.

최 부위원장은 "이루다 사태와 관련 개인정보보호 위반 조사 결과 발표 등에 상당 부분 구체적인 판단이 포함될 텐데 수칙은 이런 판단을 포괄하면서 기존 가이드라인들을 구체화하는 방향으로 작성하려 한다"고 말했다.

개인정보위는 인공지능 분야 외에도 자율주행차, 스마트시티와 관련해 개인정보 수집·이용과 보호 기준을 담은 가이드라인도 4분기까지 마련할 계획이다. 

◇ 복잡하고 어려운 동의제도 개편… 공공부문 개인정보보호 강화

개인정보 수집·활용 과정에서 하는 동의 절차 가운데 불필요하게 중복되는 부분은 개편한다.

특히 서비스 계약 체결·이행에 필수적인 개인정보는 동의 없이도 수집·이용이 가능하도록 바꾼다.

예를 들면, 휴대전화 서비스 가입 시 이용약관 동의와 개인정보 수집 동의를 따로 받는데 이처럼 같은 성질의 동의를 거듭하는 것을 줄이는 식이다.

또한 웹사이트의 개인정보보호 수준을 우수·보통·미흡으로 나눠 색상으로 표시하는 '신호등 표시제'를 연말에 시범 도입하고, 개인정보 처리 방침에 따라 수집·제공하는 정보를 시각화해 제공하는 등 복잡한 동의방식을 알기 쉽게 바꾼다.

최 부위원장은 "개인정보 제공 방식은 동의 외에 여러 가지인데 우리나라는 사전동의에 과도하게 의존하고 있다. 또 현 동의제도는 오프라인 기준으로 돼 있다"면서 "이를 디지털 시대에 맞게 개선하려는 것으로, 단순히 간소화해 개인정보처리 통제가 약화하는 의미는 아니다"라고 설명했다.

공공부문의 개인정보 보호 수준을 높이기 위한 방안들도 추진된다.

현재 정부 입법안 위주로 하는 개인정보 침해요인 평가를 확대해 의원 발의안은 물론 기존법령 전체 4500여개에 대해서도 개인정보 침해요인이 있는지 살핀다.

또 지방자치단체 조례에 대해서도 침해평가 컨설팅과 가이드라인을 제공하며 개인정보 관리 수준이 미흡한 기초자치단체나 지방공기업은 중점 관리한다.

이와 함께 공공분야 홈페이지 6600곳을 시작으로 지자체 민원처리, 의료·복지, 고용, 부동산 분야 등 민감한 개인정보를 대량으로 처리하는 5개 분야를 대상으로 개인정보 관리 실태를 점검해 종합대책을 마련한다.

국내기업들이 별도 절차 없이 유럽연합(EU) 개인정보를 국내로 이전·활용하게 하는 EU 일반개인정보보호법(GDPR) 적정성 결정은 상반기 중으로 완료하는 것을 목표로 삼았다.

이밖에 가명처리 등 개인정보보호 관련 기술을 선도하기 위해 연구개발(R&D) 전략 로드맵을 수립하고, 중소기업의 가명처리 기술을 지원하는 '가명정보 활용지원센터'를 구축하는 등 데이터 활용 기반도 확충한다.

윤종인 개인정보보호위원장은 “올해를 출범 원년으로 삼고 컨트롤타워로서의 위상을 확고하게 정립해나가겠다”면서 “개인정보 안전에 대한 국민의 신뢰를 확보하고, 이에 기반한 안전한 데이터 활용 촉진으로 데이터 시대를 선도해 나가겠다”고 밝혔다.