출처 : SONOW
2025년 개정 개인정보보호법, 정보주체 권리 강화와 기업 책임 확대가 핵심
2025년 시행을 앞둔 개인정보보호법 개정안은 정보주체의 권리를 대폭 강화하고 기업의 책임을 확대하는 방향으로 재편된다. 개정안의 가장 큰 특징은 '개인정보 이동권'의 도입으로, 이용자가 한 서비스에서 다른 서비스로 자신의 개인정보를 이전할 수 있는 권리를 보장한다. 이는 EU의 GDPR(일반 개인정보보호법)을 벤치마킹한 조항으로, 플랫폼 간 데이터 이동성을 높여 이용자의 선택권을 확대하는 효과가 있다.
또한 개정안은 '프로파일링 거부권'을 신설해 이용자가 자동화된 의사결정에 따른 프로파일링을 거부할 수 있도록 했다. 이와 함께 개인정보 처리자의 책임성도 강화되어, 연간 매출 1,000억 원 이상 또는 이용자 100만 명 이상의 대규모 개인정보처리자에게는 개인정보 영향평가 의무화와 정기적인 컴플라이언스 점검이 요구된다. 위반 시 과징금은 기존 매출액의 3%에서 5%로 상향되어 기업의 부담이 커질 전망이다.
전기통신사업법 개정으로 플랫폼 사업자 의무와 이용자 보호 체계 재정립
전기통신사업법 개정안은 디지털 플랫폼 사업자를 '특수유형부가통신사업자'로 분류하고 추가적인 의무를 부과한다. 이용자 수 1,000만 명 이상 또는 매출 1조 원 이상의 대형 플랫폼은 서비스 중단 시 사전 고지 의무, 이용자 피해 방지 계획 수립, 정기적인 시스템 안정성 점검 등의 의무를 갖게 된다.
특히 주목할 부분은 '알고리즘 투명성' 조항으로, 플랫폼 사업자는 콘텐츠 추천이나 검색 결과 노출에 사용되는 주요 알고리즘의 작동 원리를 이용자가 이해할 수 있는 수준으로 공개해야 한다. 또한 '다크패턴' 금지 조항이 신설되어, 이용자를 기만하거나 선택을 왜곡하는 인터페이스 설계가 제한된다. 이러한 변화는 디지털 생태계에서 이용자의 자율성과 투명성을 높이는 방향으로 규제 체계를 재정립하는 의미가 있다.
기업의 선제적 대응 필요성과 데이터 활용-규제 간 균형점 모색
법 개정에 따라 기업들은 개인정보 관리 체계의 전면적인 재검토가 필요하다. 특히 대규모 플랫폼 기업은 개인정보 이동권 보장을 위한 API 개발, 프로파일링 거부 메커니즘 구축, 알고리즘 설명 자료 준비 등 기술적·관리적 조치를 선제적으로 마련해야 한다. 이를 위해 개인정보보호 전담 조직 강화와 임직원 교육이 중요해질 것으로 예상된다.
한편, 산업계에서는 과도한 규제가 데이터 경제 발전을 저해할 수 있다는 우려도 제기된다. 특히 알고리즘 공개 의무는 기업의 핵심 경쟁력과 관련된 부분으로, 영업비밀 보호와 투명성 확보 사이의 균형점을 찾는 것이 과제로 남아있다. 정부는 이러한 우려를 반영해 시행령과 가이드라인을 통해 구체적인 이행 방안을 제시할 계획이며, 기업들은 입법 과정에 적극적으로 의견을 개진하며 준비하는 자세가 필요하다.