강은성의 보안 아키텍트ㅣ개인정보 보호책임자(CPO)의 역할 정의-개인정보 보호인가, 활용인

ISO/IEC 나 RFC 같은 국제적인 표준 문서에는 용어 정의를 중요하게 다룬다. 같은 용어를 사용한다 하더라도 의미를 달리 이해한다면, 국제적인 표준이 성립할 수 없다. 정의는 법률에서도 매우 중요하다. 약간의 의미 차이로도 판결이 달라질 수 있는 법률에서는 사용하는 용어를 법률의 앞쪽이나 (불친절하게도) 그것을 사용하는 본문에서 정의한다.

우리나라가 적지 않은 분야에서 세계적 수준에 올라서면서 우리도 이러한 ‘정의’가 중요함을 깨닫고 있다. 그래서 앞으로 두세 번에 걸쳐 현장에서 실무적으로 많이 쓰는 정의 중 보완하면 좋겠다고 생각해 온 사항에 관해 써 보려고 한다.

사실상 모든 기업과 공공기관(개인정보처리자)에서 의무적으로 지정하여야 해서 현장에 영향이 큰 개인정보 보호책임자(CPO)의 역할에 관한 정의를 먼저 살펴본다.

유럽연합 개인정보보호법인 GDPR(General Data Protection Regulation)에서는 일정 요건에 해당하는 개인정보처리자(컨트롤러와 프로세서)에 DPO(Data Protection Officer) 지정을 의무화한다(GDPR 제37조(DPO의 지정)).

GDPR에서는 DPO의 역할을 별도로 정의하고 있지는 않으나, GDPR 제39조(DPO의 업무)에서 규정한 DPO의 업무를 종합하면, 조직이 ‘GDPR 등 개인정보보호 법규를 준수하는 것에 관해 고지·모니터링·조언하고, 규제 기관과 협력’하는 것으로 요약할 수 있다.

싱가포르의 개인정보보호법인 PDPA(the Personal Data Protection Act 2012)에서도 DPO 지정을 의무화했는데, 이 법에서는 DPO의 역할을 다음과 같이 한 문장으로 정의했다.

미국과 캐나다, 일본의 개인정보 보호 관련 법에서는 DPO(또는 CPO)를 규정하고 있지 않다.

국내법에서는, 이전의 ‘전산망 보급 확장과 이용 촉진에 관한 법률’(약칭: 정보통신망법)을 1999년 전부 개정하여 만들어진 ‘정보통신망 이용 촉진 등에 관한 법률’에서 ‘정보통신망법’ 계열에서 처음으로 ‘제4장 개인정보의 보호’가 등장한다.

겨우 세 조로 이뤄진 제4장의 제17조(개인정보의 이용 및 제공의 제한) 제4항에서 개인정보관리책임자를 처음 규정한 것이다.

기억을 되살려보면, 대다수 기업에서 개인정보 보호에 관한 규제를 분석하기 위해 정보통신망법을 열심히 읽던 시절, CPO의 이름은 ‘개인정보 관리책임자’였다. 사실 ‘보호’라는 용어보다 ‘관리’라는 용어가 훨씬 넓은 범위를 가리킴에도 ‘관리책임자’의 역할을 ‘개인정보 보호’로 규정하였다는 점이 눈에 띈다.

현 ‘정보통신망 이용 촉진 및 정보보호 등에 관한 법률’은 2001년 ‘정보통신망 이용 촉진 등에 관한 법률’을 전부개정하여 만들어졌다.

이 법에서 다른 조에 ‘더부살이’를 벗어나 처음 CPO에 관한 별도 조항이 신설되면서, 개인정보 관리책임자의 기존 역할인 ‘이용자의 개인정보 보호’에 ‘이용자의 고충 처리’가 더해졌다. 개인정보 보호법의 영향으로 정보통신망법의 같은 직책 이름이 ‘개인정보 보호책임자’로 바뀐 뒤, 2020년 8월 개인정보 관련 규정이 ‘개인정보보호법’으로 이전하기까지 이 정의는 유지된다.

2011년 9월 처음 시행된 ‘개인정보보호법’에서 CPO 직책의 이름은 ‘개인정보 보호책임자’였다.

여기에서 개인정보 보호책임자의 역할이 “개인정보의 처리에 관한 업무를 총괄해서 책임”지는 것으로 규정된다.

개인정보보호법에는 개인정보 ‘처리’에 관한 정의가 있다.

‘처리’에는 수집, 이용, 가공, 제공, 파기 등 개인정보에 관한 광범위한 업무가 포함되지만, ‘보호’는 포함되지 않는다. 여기까지만 보면, CPO의 역할은 ‘보호’가 아닌 ‘활용’으로 읽힐 수 있다.

정보통신망법과 개인정보보호법의 CPO 역할 규정을 비교해 보면, 직책 이름이 ‘개인정보 관리책임자’인 정보통신망법에서 CPO의 역할로 개인정보 ‘보호’를 명시한 데 비해 직책 이름이 ‘개인정보 보호책임자’로 바뀐 개인정보보호법에서 오히려 CPO의 역할에 개인정보 ‘처리’에 방점을 찍었다는 점이 눈에 띈다.

하지만, 법에서 규정한 CPO의 업무는 개인정보 보호에 집중되어 있다.

더욱이 제31조(개인정보 보호책임자의 지정 등)와 하위 시행령에 포함되지 않았다 하더라도 개인정보보호법의 다수 조항에서 규정한 개인정보처리자의 의무와 책임에서 CPO의 업무가 도출된다고도 볼 수 있다. 결과적으로 법에서 규정한 CPO의 역할과 업무에 거리가 있는 셈이다.

이러한 CPO의 역할 규정은 기업(개인정보처리자)의 현실과도 차이가 있다. 기업에서 개인정보 ‘처리’를 담당하는 조직은 서비스(제품) 기획, 마케팅, 개발, IT 운영, 영업, 인사, 주주관리, 대관 부서 등 매우 다양하다.

CPO의 ‘개인정보 처리 총괄 책임’을 기업에 대입하다 보면, 기업의 다른 조직과 불필요한 갈등이 발생하거나 CPO에 과도한 책임을 묻는 상황이 발생할 가능성도 있다. 법에서 규정한 CPO의 업무 중 ‘개인정보파일의 보호 및 관리·감독’(제31조 제3항 제6호)이 기업 현장에서는 대부분 CISO나 CIO의 업무여서, CPO가 집행 권한은 없으면서 법적 책임을 떠안는 구조가 된 상황이 재현될 우려도 있을 수 있다.

사실 기업의 CPO 업무는 개인정보의 ‘보호’에 한정되지 않는다. 기업이 개인정보를 수집하는 목적은 그것을 활용하기 위해서이므로, 기업의 임원인 CPO가 ‘보호’만을 고집할 수는 없다. 일상적으로는 개인정보 보호에 집중하지만, 활용 부서의 요청이 오면, 위험 평가를 통해 적절한 타협점을 찾거나 ‘안전하게’ 활용할 수 있는 방법을 고민하게 된다. 개인정보보호부서보다 더 보수적인 법무부서와 차이를 보이는 지점이기도 하다.

예를 들어, 최근 개인정보(의 안전한) 활용 사례로 쓰임새가 확장되는 ‘가명(정보) 처리’는 마케팅이나 서비스 기획 부서에서 필요로 하는 경우가 많은데, 이때 CPO 조직은 주로 가명정보의 ‘위험 평가’를 맡는다. 활용의 ‘안전성’을 검토하는 셈이다.

따라서, 이를 종합적으로 검토하면, CPO의 역할은 다음과 같이 규정하는 것이 적절하지 않을까 싶다.

dl-ciokorea@foundryco.com