스타트업이 사업을 영위하는 과정에서 중요하게 생각해야 할 법령으로 ’개인정보보호법’을 빼놓을 수 없습니다. 2023년 2월, 개인정보보호법이 전면 개정되어 2023년 9월 14일에 시행이 될 예정(일부 조항의 경우 2024년 3월 14일에 시행 예정)입니다.

개정된 내용을 살펴보면 개인정보에도 마이데이터 제도를 도입하는 등 중요 사항을 규정하고 있어 대기업 및 스타트업에도 신사업 발굴 기회가 열릴 뿐만 아니라, 개인정보보호법을 준수하는 방법에도 상당한 변화가 필요할 것으로 예상됩니다.

이번 글에서는 개인정보보호법의 개정 내용 및 그에 따른 스타트업에 대한 영향에 대해서 살펴보도록 하겠습니다.

개인정보에 대한 마이데이터 도입

자신의 개인정보를 보유한 기업·기관에게 그 정보를 다른 곳으로 옮기도록 요구할 수 있는 ‘개인정보 전송요구권’의 근거가 개인정보보호법에 신설되었습니다(개인정보보호법 제35조의2).

이에 따라, 그간 금융·공공 등 일부 분야에서만 제한적으로 가능했던 마이데이터 서비스가 개인의 뜻에 따라 의료·유통 등 모든 영역에서 보편적으로 이루어질 수 있는 기반이 마련되었으며, 다양한 데이터 간 결합이 가속화되면서 새로운 사업 모델을 발굴 및 추진할 수 있는 기회의 장이 열릴 것으로 예상됩니다.

특히 스타트업이 정보주체인 개인으로부터 동의를 받아 제3자가 가지고 있는 개인정보를 모두 전송받은 후 이를 활용하여 새로운 정보를 창출하거나 맞춤형 광고 등을 수행할 수 있어, 새로운 수익원을 창출할 수 있을 것으로 사료됩니다.

이동형 영상정보처리기기에 대한 기준 마련

이동형 영상정보처리기기가 부착된 자율주행차, 드론, 배달 로봇 등이 안전하게 운행될 수 있도록 합리적인 기준이 마련되었습니다(개인정보보호법 제2조 제7조의2호 및 제25조의2).

기존 개인정보보호법은 고정형 영상기기(CCTV)만 규율하고 있어, 이동형 영상정보처리기기는 일상생활에서 광범위하게 사용되고 있는 현실과는 달리 명확한 규정 없이 운영되어 왔고, 급증하는 이동형 영상기기(자율주행차, 드론, 배달로봇 등)의 특성을 반영하기에 한계가 있었습니다. 특히 기존에는 이동형 영상기기를 통한 개인정보 수집‧이용 시 일반규정이 적용되어 정보주체의 개별적 동의를 요하는 등의 제약이 있었습니다.

이에 개정 개인정보보호법은 공개된 장소 등에서 업무 목적으로 이동형 영상정보처리기기를 이용하여 개인영상정보를 촬영하는 것을 원칙적으로 제한하되, i) 개인정보 수집ㆍ이용 사유(제15조제1항 각 호: 정보주체의 동의를 받은 경우, 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우 등)에 해당하거나, ii) 정보주체가 촬영 사실을 알 수 있었으나 거부 의사를 밝히지 않은 경우에는 촬영을 허용하고, 촬영을 하는 경우에는 불빛, 소리, 안내판 등으로 촬영 사실을 표시하도록 하는 등 이동형 영상정보처리기기의 운영 기준을 마련하였습니다.

이동형 영상정보처리기기의 운영 기준이 마련됨에 따라 자율주행차, 드론, 배달로봇 등 다가오는 모빌리티 시대에서 스타트업이 보다 유연하게 개인정보를 수집하여 사업을 수행할 수 있을 것으로 기대됩니다.

개인정보 처리 요건 완화

기존에는 개인정보주체의 동의 없이 개인정보를 수집할 수 있는 사유로 ‘정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우’로 규정되어 있어, 해당 사유로 개인정보를 수집하는 것은 거의 불가능하였습니다.

하지만 개정 개인정보보호법에서는 ‘정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우’로 규정(개인정보보호법 제15조 제1항 제4호)하여, 개인정보주체의 동의 없이 개인정보를 수집할 수 있는 사유에 대한 제한을 완화하는 대신, 개인정보주체의 동의 없는 개인정보 수집·이용에 대한 입증 책임은 개인정보처리자가 부담하도록 하였습니다(개인정보보호법 제22조 제2항).

또한, 정보통신서비스 제공자에 대해서 적용되는 개인정보 수집·이용 동의 등에 대한 특례 조항(개인정보보호법 제39조의3)도 폐지되어, 정보통신서비스 제공자도 일반규정인 개인정보보호법 제15조의 적용을 받는 것으로 변경되었습니다.

이에 스타트업이 고객과 체결하는 계약의 내용 또는 고객에게 제공하는 서비스의 내용에 따라 고객의 동의 없이 개인정보를 수집할 수 있는 경우가 상당히 늘어날 것으로 기대됩니다.

인공지능(AI)에 의한 결정에 대한 개인의 대응권 도입

완전히 자동화된 시스템으로 개인정보를 처리하여 이루어지는 결정(이하 “자동화된 결정”)이 개인정보주체의 권리 또는 의무에 중대한 영향을 미치는 경우에는 개인정보주체는 해당 개인정보처리자에 대하여 해당 결정을 거부할 수 있습니다(개인정보보호법 제37조의2). 또한 개인정보주체는 개인정보처리자가 자동화된 결정을 한 경우에는 그 결정에 대하여 설명 등을 요구할 수 있습니다.

개인정보처리자는 개인정보주체가 자동화된 결정을 거부하거나 이에 대한 설명 등을 요구한 경우에는 정당한 사유가 없는 한 자동화된 결정을 적용하지 않거나 인적 개입에 의한 재처리ㆍ설명 등 필요한 조치를 해야 합니다.

그렇기 때문에 인공지능 등을 이용하여 인사채용, 면접을 수행하는 서비스를 제공하는 스타트업 등이 상기 개정 조항의 적용을 직접적으로 받게 되므로 이를 유의할 필요가 있습니다.

기타

앞에서 살펴본 개정 사항 이외에도 온·오프라인 규제의 일원화(정보통신서비스 특례규정 정비), 개인정보 분쟁조정제도 개선, 개인정보의 사적 목적 이용 금지(처벌 조항도 도입), 개인정보 국외 이전 요건 다양화 및 보호조치 강화, 개인정보 처리 업무 재위탁 시 위탁자 동의 필요, 손해배상책임 한도 상향(기존 3배에서 5배로 상향) 등 다수의 조항들이 신설 또는 개정되었습니다.

개정 개인정보보호법에 대해서 면밀히 파악하여 새로운 사업기회를 발굴하는 한편, 개정된 내용에 따른 대응을 제대로 하여 법령을 위반하는 상황을 예방할 수 있도록 주의해야 합니다.

–글: 법무법인 세움 윤정옥 변호사
–원문: [윤정옥의 스타트업 법률가이드] #101. 개인정보보호법 개정이 스타트업에 미칠 영향