데이터 3법 통과, 끝이 아닌 새로운 ‘시작점’

[테크월드=이건한 기자] 그동안 엄격히 제한돼 온 개인정보 처리, 활용에 관한 개선안을 담은 ‘데이터 3법’이 1월 9일 국회를 통과했다. 이와 동시에 달라진 개인정보 활용 범위에 대한 고민과 프라이버시 침해 여부를 따지는 논쟁도 뜨겁게 달아오르는 중이다. 물론 아직 어느 한쪽의 편을 들기엔 이르다. 다만 확실한 것은 이례적으로 큰 변화를 내재한 이 법이 향후 사회에 미칠 영향을 논하기에 앞서 허점은 없는지, 추가로 보완해야 할 점들은 무엇인지에 대해 검토해보는 시간이 필요하다는 점이다.

지난 1월 22일 네이버가 주최한 ‘네이버 프라이버시 세미나’에서는 경성대 손형섭 법정대학 교수가 ‘한국 개인정보보호법과 일본 개인정보보호법의 비교분석’이란 주제로 강연에 나섰다.

손 교수는 우리보다 앞서 개인정보보호법을 개정하고 EU의 GDPR 적정성 평가를 통과한 일본의 개인정보법과 개정된 한국의 개인정보법, 그리고 유럽의 사례 등을 비교하며 앞으로 논의가 필요한 사항들에 대한 여러 과제를 제시했다. 그의 말에 따르면 법안 통과로 끝이 아닌, “이제부터가 시작”이다.

가명·익명 정보의 경계, 활용 범위보다 명확해야

손형섭 교수는 우선 개인정보법 개정 과정에서 한일 간 접근 방식의 차이가 있었다고 지적했다. 2015년 개정된 일본의 개인정보보호법과 이번에 개정된 우리나라의 개인정보보호법은 개인정보에 대한 인정 범위폭이 넓다. 직접적인 식별 부호가 아니더라도 다른 정보와 결합해 개인의 신원을 유추할 수 있는 거의 모든 데이터가 개인정보 범주 안에 포함된다.

문제는 현재 가명 정보와 익명 정보의 경계, 그리고 개인정보의 활용 범위가 모호하다는 점이다. 데이터 3법에는 개인정보에 가명 정보(데이터 일부를 변경해 신원 확인을 어렵게 만든 것, 예: 이건한 기자→이*한 기자) 개념을 도입한다는 내용이 포함돼 있다.

가명 정보는 연구나 통계 목적 내에서 제한적으로, 신원 식별 가능성을 제거한 익명 정보는 법의 구애 없이 자유로운 활용이 가능하게 만든 것이 데이터 3법의 골자다. 하지만 가명과 익명을 나누는 경계, 합법적인 활용 범위에 대한 기준이 명확하지 않은 지금은 ‘법이 통과됐지만 어떻게 활용해야 할지 알 수 없는 상황’에 대한 혼란이 예고된 상태다.

일본의 경우 개인정보법 개정 준비 단계부터 학계 차원의 논의를 거쳐, 이를 활용할 수 있는 구체적인 근거와 범위를 정의하는 작업이 일련의 프로젝트 형태로 진행됐다. 따라서 개정법 통과 후 곧바로 이를 의료 분야에 활용하기 위한 ‘익명가공정보’ 법안이 통과될 수 있었지만, 우리는 구체적인 활용 범위가 명시되지 않은 상태로, 현재 행안위와 국회 법사위에서도 그와 관련된 논쟁이 벌어지는 중이다.

따라서 손 교수는 데이터 3법이 본래의 취지대로 개인정보 제공에 따른 긍정적인 이익을 국민에게 돌려주려면 특히 가명 정보 활용에 관한 세부 시행령과 규칙을 면밀하게 재구성해야 한다고 말했다. 또한 법의 테두리 밖인 익명 정보에 대한 정의도 더욱 구체화돼야 한다. 식별 가능성을 내재한 익명 정보의 경우, 관리 감독 밖 영역에서 악용될 소지가 남기 때문이다. 현재 일본의 경우 가명과 익명의 명확한 구분이 쉽지 않다는 이유로 둘 모두를 묶은 ‘익명가공정보’ 개념을 만들어 개인정보보호법 아래 두고 있다.

다행히, 이 부분에 대한 전망은 어둡지 않은 편이다. 손 교수는 “연구 과정에서 아직 적용되지 않은 한국의 ‘비식별화 가이드라인’ 수준이 상당하다는 점을 확인했으며, 이는 우리 전문가들도 이미 관련된 내용을 충분히 숙지하고 있다는 사실을 의미한다”고 말했다. 정부의 신속한 구체화 의지가 요구되는 부분이다.

공동이용 개념 도입에 관한 논의 필요

우리나라 데이터 3법과 유럽 GDPR에는 명시되지 않지만, 편의성 재고를 위해 고려해볼 개념으론 일본의 ‘공동이용’ 조항이 거론됐다. 공동이용은 개인정보를 업무 위탁에 따른 제3자에게 제공할 시 사용자의 동의를 받지 않아도 되도록 하는 조항이다.

예를 들어, 공동이용을 적용하면 여행 중 여행사가 고용한 프리랜서 가이드에게 우리가 일일이 개인정보 활용 동의 과정 등을 거치지 않아도 된다. 이미 여행사에 내 개인정보를 위탁했고, 그것이 가이드를 통해 업무적으로 활용된다는 사실을 묵시적으로 인지할 수 있기 때문이다.

또 만약 A라는 회사가 B라는 해외 자회사와 데이터를 공유할 때도 공동이용 개념을 적용하면 정보의 이동 과정이 한층 간결해지기 때문에 업무 처리의 효율이 증대된다. 즉, 개인정보 제공과 활용에 있어 불필요한 과정을 최소화하자는 것이 공동이용의 목표다.

이에 따른 개인정보 관리 문제는 없을까? 일본은 공동이용을 인정하는 대신 특정 개인정보가 어디서부터 생성돼 왔는지 계속 추적할 수 있도록 단서를 남기는 보완 제도를 운영하며 제3자 제공에 따른 부작용을 최소화하고 있다. 손형섭 교수는 해당 규정은 EU가 적정성 평가에서도 수용 가능한 수준이라고 판단한 만큼, 우리 실정에 맞춰 도입을 고려해볼 필요가 있다고 말했다.

‘개인’을 위한 데이터 권리장전 마련 필요

데이터 3법은 기업만을 위한 법이 돼선 안 된다. 그러나 현재 법안 통과 후 많은 시민단체에서 거센 비판이 쏟아지는 이유는 개인정보를 개방하는 만큼, 그것을 보전할 수 있는 소비자 권리 대책이 충분하지 않은 까닭이다. 이점은 우리에게 없고, EU의 GDPR에는 포함된 다음의 데이터 권리 규정을 보면 더욱 명확해진다.

GDPR 17조는 데이터 주체의 ‘잊혀질 권리’와 ‘삭제권’을 명시하고 있다. 두 권리는 인터넷에 기록되거나 노출돼 있는 자신의 정보에 대해 서비스 주체가 완전한 삭제를 요구할 수 있는 권리로, 유럽에서는 이미 수년 전부터 논의 후 구체화된 주제다.

20조에는 데이터 이동성에 대한 권리가 명시돼 있다. 이 조항은 국내의 예를 들어, 싸이월드 등 폐쇄를 앞둔 서비스에서 사라질 데이터에 대한 제공을 서비스 주체에게 요구할 권리가 사용자에게 주어진다는 내용을 담고 있다.

이어 22조에는 인공지능(AI)이 자동으로 만들어낸 판단에 따르지 않을 권리(개별 의사결정)가 명시돼 있는데, 이는 현재 AI 시대에 AI를 컨트롤 할 수 있는 유일한 규정이다. 또한 34조에는 개인정보 침해 발생과 관련된 명확한 내용의 공지를 받을 권리가 명시돼 있다. 이처럼 데이터 3법이 기업만을 위한 법이란 오명을 벗으려면 GDPR의 사례를 참고해 개인의 데이터 주권을 보호할 수 있는 법안이 지금보다 더욱 강화돼야 한다.

해외에서도 인정받는 개인정보보호법이 되려면

손형섭 교수는 이 밖에도 개인정보법 15조인 ‘대통령령이 정하는 바에 의해 정보 주체의 동의 없이 개인정보를 활용할 수 있다’ 같이 해석이 불명확한 조항 역시 문제의 소지를 안고 있다고 봤으며, 우리의 법이 해외에서도 인정받는 법이 되려면 지속적인 개선을 통해 관련법 전체의 신뢰성을 높여야 한다고 말했다. 더불어 “우리는 관심과 의심의 눈으로 사안을 바라보고, 법과 기관이 국민을 위한 역할을 하고 있는지 심각하게 고민하며 앞으로의 과정을 주시해야 한다”고 덧붙였다.

데이터 흐름은 막지 말고, 컨트롤 타워는 강화해야

한편, 이날 발표 후 이어진 토론회에서 최광희 한국인터넷진흥원 개인정보보호 본부 단장은 “국가 간 법을 단순 비교하기엔 환경·문화적 차이가 있기 때문에 쉽지 않다. 현재 GDPR 수준의 법안이 반영되지 못한 건 사실이지만 우리나라 개인정보법도 충분히 강력하다”며, “지금은 타이밍을 보고 있는 것”이라고 말했다. 이어 “이제는 데이터 보편화 시대에 접어들었다.

휴대폰에만 해도 수백 수천 명의 정보가 있는 만큼, 특정 조직이나 기관에서만 데이터를 대량 취급하지 않는다. 따라서 데이터 수집이나 이용 자체에 대한 룰을 만들기보단, 데이터의 자연스러운 흐름이 나쁜 피해를 만들지 않도록 관련 규제를 정비할 필요가 있는 것 같다”고 말했다.

김현경 서울과학기술대 IT정책전문대학원 교수는 “나라별로 독자적인 법 스타일이 만들어질 수 있다. GDPR과 일치하지 않는 부분에 대해서도 타협의 여지가 있다고 본다. 그보단 일본과 달리 우리는 개인정보법을 민간과 공공 모두에 적용하는 만큼, 공공이 지닌 데이터를 어떤 기준으로 민간에 제공할 것인지에 대한 기준이 보다 명확해져야 한다. 또한 금융과 금융 외로 이원화된 지금의 개인정보 감독 기관을 하나로 통합하고 더욱 강력한 개인정보 컨트롤 타워로 재정비하는 과정이 필요할 것”이라고 말했다.