직업 생성배경>
개인정보보호, 데이터 활용의 글로벌 스탠더드에 접근
세계 경제는 ‘데이터 경제’로 패러다임이 전환되고 있다. 디지털 데이터의 약 70% 이상은 개인에 의해 생성되고 있으며, 데이터의 한 종류로서 개인정보의 개념 또한 변화하고 있다. 데이터가 중요한 자원으로 활용되면서 개인정보보호의 원칙은 지키되 안전한 활용 환경을 마련하는 것이 글로벌 이슈로 부각되었다. 우리나라에서는 2020년 8월, 개인정보의 처리와 보호에 관한 사안을 독립적으로 수행하기 위해 행정안전부(공공/민간 분야 총괄), 방송통신위원회(온라인 분야), 금융위원회(상거래기업 개인신용정보 조사·처분)로 분산되어 있던 개인정보보호 감독 기능을 통합해 중앙행정기관인 ‘개인정보보호위원회’로 출범하였다. 또한, 개인정보보호법, 정보통신망법, 신용정보법의 데이터 3법을 개정·시행하여 정보보호 소관 부처를 하나로 모아 중복 규제를 없애고, 4차 산업혁명의 시대에 맞춰 개인과 기업의 정보를 활용할 수 있는 범위를 확장했다. 개정된 데이터 법은 가명 정보 데이터를 활용한 연구와 제품개발의 활성화, 개인정보의 주체가 자신의 정보를 적극적으로 관리하고 주도적으로 활용할 수 있는 마이데이터 서비스의 활용 여건을 조성했다.

수행업무>
국내의 CPO, 유럽연합의 DPO
개인정보보호전문가는 기관과 기업의 개인정보보호와 관련된 내부 정책과 전략을 수립하고, 국내외 관련 법규를 준수하고 있는지 분석하여 평가하고 자문하는 역할을 수행한다. 현재 국내에는 개인정보보호책임자(CPO, Chief Privacy Officer) 제도가 운영되고 있다. CPO는 주로 공공기관과 기업에서 활동하는데, ‘2021 개인정보보호 실태조사보고서’(개인정보보호위원회, 한국인터넷진흥원)에 따르면 공공기관의 99.8%, 민간기업의 61.1%가 CPO를 두고 있다. 하지만 개인정보보호법에 의해 규정된 CPO는 해외에서 도입된 ‘개인정보보호전문관리자(DPO, Data Protection Officer)’와 역할과 업무 범위에서 차이를 보인다. DPO는 독일 연방개인정보보호법과 유럽연합의 ‘개인정보보호법(GDPR, General Data Protection Regulation)’ 등에서 제도화된 직업이자 직책으로, 일부 CPO의 기능을 포함하고 준법 감시 업무에서는 더 확장된 역할도 포함한다. 
현재 국내에는 DPO의 직무를 규정하는 제도가 도입되어 있지 않다. 유럽연합의 GDPR 내 DPO는 개인정보보호와 관련된 모든 문제에 시의적절하고 적시에 관여하도록 보장되어 있으며, 업무 수행 과정에서 컨트롤러나 프로세서에 의해 해임이나 처벌을 받지 않고 최고경영진에게 직접 보고하도록 하고 있다. 더불어 DPO는 전문성이 보장되어야 하는데, 구체적인 직무로는 유럽연합 회원국의 개인정보보호 법규와 정책 모니터링 및 준수의무 고지, 감독기관과의 협력과 자문 등이다.

해외현황>
유럽연합의 강력한 DPO 규정
유럽연합은 모든 회원국이 의무적으로 준수해야 하는 GDPR에 DPO 규정을 도입해 시행하고 있다. 즉, 유럽연합 회원국의 사업자, 즉 정보 주체에 대한 대규모 정기적이고 체계적인 모니터링, 또는 민감정보나 범죄 경력과 범죄행위의 대규모 처리가 핵심 활동인 사업자는 개인정보보호법령과 실무에 대한 전문 지식과 책무를 수행할 수 있는 DPO를 지정해야 한다(제37조). 한 사업장에 반드시 한 명의 DPO를 지정해야 하는 것은 아니며, 각 사업장에서 쉽게 접근 가능할 경우, 사업체 그룹은 한 명의 DPO를 지정할 수 있다. 또한, 컨트롤러 또는 프로세서가 공공기관이거나 기구인 경우 조직의 구조나 규모를 고려해 한 명의 DPO를 지정할 수 있다. DPO는 컨트롤러 또는 프로세서의 직원이 될 수도 있고, 서비스 계약에 근거해 외부인이 DPO의 업무를 처리할 수도 있다. 선임된 DPO의 상세 연락처는 감독기관에 통보해야 한다.
EU GDPR가 본격적으로 시행됨에 따라 이미 DPO 관련 규정이 있던 독일은 이에 맞춰 독일 데이터 보호법(GDPAA, German Data Protection Amendment Act)을 2017년 6월 개정했고, 스페인 개인정보 감독기구(AEPD, Agencia Española de Protección de Datos)는 DPO의 전문성을 검증하기 위한 자격 인증제도(DPO-AEPD SCHEME)를 2017년 10월 마련해 4곳의 인증기관을 인가·운영 중(2018년 3월 기준)에 있다

국내현황>
전문성과 독립성 갖춘 DPO 양성 시급
국내의 개인정보보호 전문인력 운용 시스템은 현재 정보통신망법과 개인정보보호법상 개인 정보보호책임자(CPO) 지정 관련 규정만 존재한다. 정보통신망법에 따르면 정보통신서비스 제공자 등은 이용자의 개인정보를 보호하고 개인정보와 관련한 이용자의 고충을 처리하기 위하여 개인정보보호책임자를 지정하도록 하고 있다. 따라서 CPO는 개인정보보호와 관련하여 법령의 위반 사실을 알게 된 경우에는 즉시 개선 조치를 하고, 필요하면 소속 정보통신서비스 제공자 등의 사업주 또는 대표자에게 개선 조치를 보고하는 역할을 맡고 있다(제27조).
국내의 CPO 규정은 유럽연합의 DPO와 유사해 보일 수 있으나, DPO와 CPO의 가장 큰 차이점은 전문성과 독립성 부분이다. CPO는 법령상 자격요건으로 ‘임원 또는 개인정보와 관련하여 이용자의 고충 처리 담당하는 부서의 장’이라는 조직 내 지위만 규정될 뿐 개인정보보호와 관련한 전문성과 업무상 독립성이 명시되어 있지 않아 GDPR 상 DPO를 대체하기에는 곤란한 상황이다.
실제로 2021년 우리나라는 유럽연합의 ‘개인정보보호 적정성 결정’에 채택되면서 개인정보 국외이전에 있어 유럽연합 회원국에 준하는 지위를 부여받게 되었다. 적정성 결정을 받은 국가의 기업들은 표준계약체결 등과 같은 별도 절차를 거치지 않고 유럽연합 시민의 개인정보를 해당 국가로 이전·처리할 수 있다. 국내 기업들의 유럽연합 진출이 늘고 한-유럽연합 기업 간 데이터 교류와 협력이 강화되면서 국내 DPO 양성이 시급한 실정이다.

준비방법>
정보보호 전문인력 양성프로그램
개인정보보호와 관련한 교육훈련으로는 한국인터넷진흥원에서 운영하는 재직자 정보보호 전문인력 양성과 융합보안대학원 지정이 있다. 사이버보안에 대한 재직자의 역량 강화와 산업과 ICT 간 융합에 따른 고급인력 양성을 목표로 교육 중이다. 또한 정보보호 유관 학과와 전공의 국내 4년제 대학을 대상으로 정보보호 특성화대학(충북대학교, 고려대학교 세종캠퍼스, 세종대학교, 성신여자대학교 등)을 지정해 산학협력 기반의 교육과정 개발을 통한 직무 중심의 정보보호 전문인력을 양성하고 있다. 이외 개정된 개인정보보호법에 따라 업무를 목적으로 개인정보파일을 운용하는 사업자, 단체 및 개인은 개인정보의 적정한 취급을 보장하기 위한 개인정보보호 교육을 받도록 하고 있다.