앞으로는 개인정보처리자의 환경과 위험 분석 결과에 따라 인터넷망 차단 여부를 자율적으로 결정할 수 있도록 개인정보 보호조치의 일률적 기준이 완화된다. 

개인정보보호위원회(위원장 고학수)는 21일 이 같은 내용을 담은 ‘개인정보의 안전성 확보조치 기준’ 고시 개정안을 행정예고했다. 의견 수렴 기간은 다음 달 9일까지다.

이번 개정안은 인공지능(AI), 클라우드 등 디지털 기술이 급속히 확산되는 가운데 개인정보 처리방식의 다양성을 반영해 규제를 유연화하려는 취지다.

가장 큰 변화는 대규모 개인정보처리자를 대상으로 한 인터넷망 차단 의무의 탄력적 적용이다. 지금까지는 하루 평균 이용자 수 100만 명 이상인 대규모 처리자가 개인정보처리시스템(PIMS)에서 개인정보를 내려받거나 삭제할 수 있는 직원의 기기에는 인터넷 접속이 원칙적으로 차단돼야만 했다.

하지만 앞으로는 해당 처리자가 자체 위험분석을 해 위험 수준이 낮다고 판단하거나, 보완 대책을 마련한 경우에 한해서는 인터넷망 연결을 허용할 수 있다.

접근 권한 관리도 강화된다. 개정안은 기존 ‘취급자’로 한정됐던 시스템 접속 대상자를 ‘정당한 권한 보유자’(예: 오픈마켓 입점자 등)로 확대하고, 이들에 대한 접속 기록 보관 및 인증수단 적용을 의무화했다.

또 개인정보 처리환경에 맞춰 처리시스템 접속기록 점검 주기를 자율적으로 정할 수 있도록 했다. 지금까지는 월 1회 이상 점검이 의무였으나 앞으로는 처리 규모와 유형에 따라 점검 주기와 방법을 내부 계획에 반영해 운영할 수 있다.

양청삼 개인정보정책국장은 “데이터 활용이 활발해지는 상황에서, 규제의 경직성을 해소하고 책임 기반의 보호 체계로 전환할 시점”이라며 “행정예고 동안 현장의 다양한 의견을 반영하겠다”라고 밝혔다.

개정안 전문은 개인정보위 홈페이지(www.pipc.go.kr)에서 확인할 수 있으며, 의견은 우편, 이메일(hongsoonjung@korea.kr) 또는 팩스(02-2100-3006) 등을 통해 제출할 수 있다.

/김진홍경제에디터 kjh25@kbmaeil.com