SBS Biz

중국의 생성형 AI(인공지능) 모델 딥시크의 무차별적인 개인정보 수집과 해외 이전 논란을 계기로 정부가 표준계약 조항(SCC, Standard Contract Clause)을 마련해 해외 사업자들에게 우리나라의 개인정보 보호 규정을 적용하는 방안을 추진하기로 했습니다. 



앞서 딥시크가 수집한 개인정보를 '틱톡' 모회사 바이트댄스로 넘긴 사실이 개인정보보호위원회 조사에서 확인되면서 국내 신규 다운로드가 중단되기도 했고, 로보락 등 일부 기업의 경우 개인정보 처리 방침에서 고객 동의 없이 정보를 다른 중국 기업과 공유할 수 있다는 조항이 포함돼 논란이 일었기 때문입니다. 

문제의 핵심 쟁점은 '개인정보 국외이전'입니다. 

개인정보보호법은 개인정보를 국외로 이전할 때 반드시 동의를 받도록 규정합니다. 개인정보 수집·이용 동의나 제3자 제공 동의와는 별개로 진행됩니다. 예를 들어 A사가 고객 동의를 통해 수집한 개인정보를 해외 B사로 이전할 때, 다시 A사 고객에게 '3자 제공 동의'와 '국외 이전 동의'까지 받아야 하는 겁니다.

다만 이같은 방식은 개인정보와 관련된 쟁점을 '정보주체 동의'에 의존한다는 문제를 야기합니다. 생성형 AI나 편의성 서비스 이용을 위해 개인정보 이용약관과 제3자 제공 동의, 국외 이전 동의 등을 해야 할 때 공백이 생기는 셈입니다. 개인정보 수집·활용 동의없어도 서비스를 이용할 수 있는 '옵트아웃'이 도입된 서비스도 있지만, 딥시크처럼 반드시 동의해야 서비스를 이용하는 경우도 상당 부분 있습니다.



물론 개인정보호위원회가 해외로 이전된 개인정보에 대한 안전성 확보 조치가 미흡할 때 '중지'를 명할 수 있지만, 개인에 피해가 발생하거나 발생할 현저한 위험이 있을 때 한정되는 긴급 조치에 불과해 실질적인 대응에 한계가 있습니다.

개인정보위는 이러한 문제를 원천적으로 해결하기 위해 '표준계약조항'을 마련하는 방안을 추진합니다.

표준계약조항은 개인정보를 이전받는 국외 수신자가 국내법을 준수하도록 하는 안전 조치로 활용됩니다. 개인정보 수집자나 받는 주체에 개인정보 보호 의무를 부과해 실질적인 개인정보 보호 이뤄지도록 한다는 것입니다.

서비스 필수 동의 등으로 인해 국외로 이전된 개인정보에도 우리나라의 개인정보 보호 규정을 적용할 수 있게 됩니다.

법적 확실성이 뚜렷하고 유지 비용이 낮다는 장점이 있어 EU와 영국이 표준계약조항을 채택하는 등 해외에서 두루 활용되고 있습니다.

아울러 현재 규정으로는 제약으로 작용되는 '익명정보 국외이전'도 개선될 수 있습니다.

연구목적 등으로 익명화가 완료된 정보도 국외이전할 때 정보주체 동의가 필요한데, 익명 특성상 동의받기 어렵다는 문제가 줄곧 지적받아 왔습니다. 표준계약조항이 도입되면 이러한 문제가 해소될 것으로 기대됩니다.

개인정보보호위원회는 표준계약조항 관련 검토 등을 마친 뒤 이르면 연내 도입할 계획입니다.