(AI타임스=김혜성 기자) 데이터 규제 3법 개정안 통과를 두고 정부와 시민단체, 산업계 사이에 의견 분쟁이 재점화 됐다.
개인정보보호법 개정안(인재근 의원 대표발의·행안위), 정보통신망법 개정안(노웅래 의원 대표발의·과방위), 신용정보법 개정안(김병욱 의원 대표발의·정무위) 등 세 가지 내용을 담고 있는 데이터 규제 3법은 크게 가명정보 등 새로운 개인정보 관련 개념의 도입, 개인정보 관련 감독 기관의 일원화 등으로 그 핵심 내용으로 한다.
이번에 참여연대 등 시민단체들이 반대하고 있는 쟁점은 가명정보 개념 도입에 관한 것이다.
참여연대 등 시민단체들은 ‘가명정보’라 하더라도 개인에 대한 개별 정보가 무수히 많은 상황에서 이를 활용해 개인을 식별해 낼 수도 있다며 데이터 규제 3법 개정안이 통과되면 개인정보의 누출 등을 우려를 나타내고 있다. 특히 인터넷 포털, 통신, 보험 등 기업들이 이용자의 개인 정보를 제대로 보호하고 있지 않기 때문에 ‘개인정보 보호’를 믿을 수 없다는 입장이다.
현재 국회에서 논의되는 개인정보보호법 개정안은 ‘가명 정보’를 본인의 동의 없이 통계 작성, 학술적인 연구 등과 같은 목적으로 활용할 수 있도록 하는 내용을 담고 있다. 해당 내용들은 앞으로도 법안소위에서 지속적인 쟁점 사항이 될 것으로 보인다.
참여연대 등은 “현재 국회에서 심사 중인 이른바 ‘데이터 3법'은 개인정보보호법 체계의 기본 틀을 바꾸는 중차대한 사안임에도 불구하고 공청회 등 국민 여론을 수렴하는 절차를 거치지 않았다”며 “충분한 사회적 합의 과정 없이 데이터 산업 육성에만 방점을 찍는 법이 통과된다면 이후 감당해야 할 사회적 비용과 혼란 등은 상상하기 어렵다"고 지적했다.
이에 반해 업계와 학계는 데이터 규제 3법 개정을 통해 데이터 경제 혁신의 토대를 만드는 것은 더 이상 거스를 수 없는 시대적 흐름이라는 입장이다.
데이터 규제 3법 개정안은 발의된 지 10개월이 넘었지만 현재까지도 각 상임위원회 법안소위에 머물러 있는 실정으로 이번 정기국회에서는 모든 이해당사자들이 적극적인 의지를 가지고 반드시 입법 논의를 진전시켜야 한다는 의견이다.
정부가 빅데이터 활용을 자유롭게 허용해 주되 사고가 발생하거나 사회적 위험이 가중된 분야에서 조사권을 발동하여 책임구조를 명확히 밝히고 법적 조치를 취함으로써 ‘개인정보 보호’ 등의 문제를 해결하면 된다는 주장이다.
국내 법체계는 기업들이 개인정보를 활용하는 것을 제한하고 있다. 데이터 규제 3법에 막혀 야심차게 준비한 스타트업 들은 등을 돌리고 AI 연구도 벽에 부딪히고 있는 실정이다. 정부와 국회는 이를 해결하기 위해 뒤늦게 데이터 규제 3법 개정안을 마련했다.
◆ 데이터 규제 3법 개정안의 주요 내용
◇ 개인정보보호법 개정안(인재근 의원 대표발의)
2018년 초 ‘대통령 직속 4차 산업혁명위원회’ 주관으로 산업계, 시민단체, 전문가, 관련 정부부처 등이 자유토론 방식의 규제·제도 혁신 해커톤을 진행하였고 이를 통해 합의된 내용을 바탕으로 국회 4차 산업혁명 특별위원회에서는 개인정보의 활용과 보호를 균형 있게 개선하기 위한 특별권고 및 입법 권고를 발표한 바 있다.
이후 행정안전부는 산업계 및 시민단체와 여러 차례의 간담회와 회의를 거쳐 개인정보보호법 개선 방향을 마련하였으며 이는 행정안전위원회 위원장인 인재근 의원의 대표발의로 2018년 11월 15일 국회에 발의된 개인정보보호법 개정안(의안번호 제16621호)에 반영되었다.
본 개정안은 개인정보의 개념을 보다 명확히 하여 법률 수범자의 혼란을 줄이고 분산되어 있는 개인정보보호 관련 법령을 체계적으로 정비하는 것을 목적으로 한다.
개정안의 주요 내용은, 우선 개인정보와 관련된 개념 체계를 개인정보‧가명정보‧익명정보로 명확히 하고 가명정보는 통계작성, 연구, 공익적 기록보존의 목적으로 처리할 수 있도록 한다. 서로 다른 기업이 보유하고 있는 정보집합물은 대통령령으로 정하는 보안시설을 갖춘 전문기관을 통해 결합할 수 있고 전문기관의 승인을 거쳐 반출을 허용하도록 한다.
나아가 가명정보를 처리하거나 정보집합물을 결합하는 경우에는 관련 기록을 작성‧보관하는 등 대통령령으로 정하는 안전성 확보조치를 하도록 하고 특정 개인을 알아보는 행위를 금지하는 한편 이를 위반하는 경우 형사벌칙과 과징금 등을 부과하도록 한다.
또한 개정안은 행정안전부, 방송통신위원회, 금융위원회 등으로 분산된 개인정보보호 감독기관의 역할을 개인정보보호위원회로 일원화시키는 내용도 담고 있다.
개인정보보호위원회를 국무총리 소속 중앙행정기관으로 개편하는 한편, 현행법상 행정안전부의 기능을 개인정보보호위원회로 이관하고 개인정보보호위원회에 관계 중앙행정기관의 장에게 공동조사 및 처분 등에 대한 의견제시권을 부여하여 개인정보 보호 컨트롤타워 기능을 강화하도록 하고 있다.
이와 더불어 정보통신망법의 개인정보보호 관련 규정을 삭제하면서 국외 이전 시 보호 조치, 국외 재이전, 국내대리인, 손해배상 보험 등 현행법과 상이하거나 정보통신망법에만 있는 규정을 특례로 규정한다.
◇정보통신망법 개정안(노웅래 의원 대표발의)
국회 과학기술정보통신위원장인 노웅래 의원이 2018년 11월 15일 대표발의한 정보통신망법 개정안(의안번호 제16622호)은 개인정보보호법 개정안과 같은 배경을 가지고 다수의 개인정보 관련 법령의 유사·중복 조항을 정비하고 개인정보보호 거버넌스 개선방안을 마련하기 위해 발의되었다.
개정안의 주요 내용은 개인정보보호법, 정보통신망법 등으로 산재한 법체계와 행정안전부, 방송통신위원회, 개인정보보호위원회 등 다수의 감독기구가 존재함에 따른 수범자의 혼란과 중복규제 부담 등의 문제를 해결하기 위하여 정보통신망법에 규정된 개인정보 보호에 관한 사항을 개인정보보호법으로 이관하고 온라인상의 개인정보 보호와 관련된 규제 및 감독의 주체를 방송통신위원회에서 개인정보보호위원회로 변경하는 것이다.
◇신용정보법 개정안(김병욱 의원 대표발의)
은행, 카드, 보험, 금융투자 등 금융업 분야별로 관리되고 있는 데이터가 대량으로 축적되어 있는 금융 분야는 다양한 개인 특성 정보를 결합하여 맞춤형 금융상품을 개발할 수 있고 다른 산업 분야와의 확장적인 융합도 가능하기에 데이터의 활용 가치가 상당히 높다.
이에 데이터 시대 도래로 인한 기술·경제적 환경 변화를 수용하여 적극적으로 데이터를 활용할 수 있도록 하는 동시에 빅데이터 활용에 따른 부작용을 방지하기 위한 안전장치를 강화하기 위하여 2018년 11월 15일 김병욱 의원의 대표발의로 신용정보법 개정안(의안번호 제16636호)이 발의되었다.
개정안은 유럽연합 개인정보보호법(GDPR, General Data Protection Regulation) 등 해외의 데이터 규제와 관련된 입법례를 국내 실정에 맞추어 도입하고 기존의 개인정보 보호규제 완화 필요성에 관한 사회적인 논의를 반영함으로써 금융 분야의 데이터 분석‧활용의 제도적 기반을 마련하기 위한 취지로서 그 주요 내용은 다음과 같다.
우선 추가정보를 사용하지 아니하고는 특정 개인을 알아볼 수 없도록 처리(가명조치)한 개인신용정보로서 가명정보의 개념을 도입하여 빅데이터 분석·이용의 법적 근거를 명확하게 한다. 가명정보는 통계작성, 연구, 공익적 기록보존 등을 위해서는 신용정보주체의 동의 없이도 이용하거나 제공할 수 있다.
또한 데이터 전문기관을 통한 데이터 결합의 근거를 마련하고 가명정보의 안전한 이용을 위한 보안장치를 의무화하였으며 영리·부정한 목적의 재식별시 징벌적 과징금 부과 등 엄격한 사후 처벌을 신설하는 등의 빅데이터 활성화 조항들을 다수 추가하였다. 더불어 개인정보보호위원회의 위상과 기능을 강화하고 개인정보보호법과 신용정보법 간 유사 중복 조항을 정비하는 내용을 담고 있다.
또한 금융 분야 데이터 산업 육성을 위해서는 신용정보 관련 산업 규제 체계 정비, 금융 분야 마이데이터(MyData) 산업 도입 등과 관련한 조항을 신설하였으며, 금융 분야 정보보호 규제 내실화를 위하여 신용정보 주체인 개인이 빅데이터 시대에 소외되지 않도록 정보 활용 동의서 등급제를 도입하고 ‘프로파일링 대응권’ 등 새로운 개인정보 자기결정권을 도입하도록 하고 있다.
4차 산업 해외 진출을 위한 필수 '데이터 3법 개정안'
세계 상위 5개 기업인 마이크로소프트(MS), 아마존, 애플, 구글, 페이스북 등은 모두 데이터 기업이다. 대량의 데이터를 수집해 활용하는 기업이 4차 산업을 선도 하고 있다.
하지만 국내 하지만 국내 IT 기업들은 방대한 데이터를 수집해놓고도 전혀 활용하지 못하고 있는 실정이다. 국내법은 이를 허용하지 않기 때문이다.
데이터 규제 3법 개정안의 핵심은 수집한 데이터를 수집 목적에 한정해서만 쓸 수 있도록 한 현행법을 그대로 둘 것인가, 아니면 수집 단계에서 포괄적인 동의를 얻어 의료, 학술 연구 등 범용 목적에 사용할 수 있도록 할 것인가 하는 문제이다.
해외 글로벌 기업은 수집 단계에서 포괄적인 동의를 얻어 범용 목적으로 사용할 수 있으며 심지어 먼 미래에 새롭게 발생될 서비스에도 사용할 수 있으나 우리나라는 그러하지 못한다.
데이터 3법 개정이 지연되면서 우리나라 IT 기업들이 유럽에선 설 자리를 잃는다는 목소리가 나오고 있다.
EU는 미국 중심의 4차 산업혁명 주도권 회복과 저성장 돌파구 모색을 위해 경제․산업의 디지털화를 통한 ‘디지털 단일시장 전략 (Digital Single Market Strategy for Europe)’을 추진하고 있다. 즉 IT 기술을 통해 EU내 온․오프라인 시장을 통합하겠다는 취지이다.
이를 해 유럽연합(EU)은 지난해 5월 일반개인정보보호법(GDPR)을 시행했다. EU GDPR은 28개 모든 유럽 회원국에 공통적으로 적용되는 법률이며, 정보주체의 권리와 기업의 책임성 강화, 개인정보의 EU역외이전 요건 명확화 등을 주요 내용으로 한다. 이법을 위반하면 막대한 과징금을 부과한다. 특히 EU 외에 있는 기업도 EU의 법규를 준수해야만 한다.
GDPR(일반개인정보보호법) 주요 원칙
EU의 개정된 일반개인정보보호법 GDPR은 개인정보의 법위를 가명화 정보, 프로파일링 정보를 포함하고 있다. 개인정보의 처리 원칙은 적법성, 공정성, 투명성의 원칙, 목적 제한의 원칙, 개인정보처리의 최소화, 정확성의 원칙, 보관기간 제한의 원칙, 무결성 및 기밀성, 책임성을 기본 원칙으로 하며, 다음 6가지 경우에는 개인정보를 적법하게 처리(수집·이용·제공 등)할 수 있다. ▲정보주체의 동의 ▲정보주체와의 계약 이행이나 계약 체결을 위해 필요한 처리 ▲법적 의무 이행을 위해 필요한 처리 ▲정보주체 또는 다른 사람의 중대한 이익을 위해 필요한 처리 ▲공익을 위한 임무의 수행 또는 기업에게 부여된 공적 권한의 행사를 위해 필요한 처리 ▲ 기업 또는 제3자의 적법한 이익 추구 목적을 위해 필요한 처리.
EU는 제3국의 개인정보 보호 수준이 EU와 동등한지를 평가해 '적정성 결정' 국가 인증을 내준다. '적정성' 등급을 받지 못한 국가에 속한 기업은 개별 승인을 받아야만 한다.
일본, 이스라엘, 뉴질랜드, 캐나다 등 13개국은 적정성 국가로 인정받았지만 우리나라는 두 차례나 EU GDPR 적정성 평가를 통과하지 못했다. 국내의 데이터 3법 때문이다.
유럽에서 서비스 중인 우리나라 게임사들은 개인정보 수집을 포기하거나, 유럽기업에 라이선스를 주고 있는 실정이다. 그 외에도 IT 서비스 기업들은 유럽에서 개인서비스를 포기하고 있다.
학계는 데이터 경제로의 전환은 전 세계적 추세이며 이러한 변화를 수용할 새로운 법제도를 마련하는 것은 더 이상 미룰 수 없는 과제로 보고 있다.
데이터 경제를 위한 세계의 움직임과 대한민국의 현주소
유럽연합은 2018년 1월부터 PSD2(개정지급결제산업지침, Revised Payment Service Directive)를 통해 은행권 데이터 개방을 위한 제도적 기반을 마련하였고, 2018년 5월 개인정보보호법(GDPR) 을 전면 시행하여 글로벌 빅테크(Big Tech) 기업들의 데이터 활용 체계 정비를 이끌었다.
일본은 2015년 개인정보보호법 개정을 통해 일찍이 ‘익명가공정보’ 개념을 도입하고 독립적인 개인정보 관리감독기구를 설치·운영하고 있으며, 해당 법률 개정을 바탕으로 2019년 1월 유럽연합의 개인정보보호법(GDPR) 규정에 따른 적정성 평가를 마무리한 후 자칭 ‘세계 최대의 데이터 안전지대’를 구축한 바 있다.
대한민국도 이러한 국제 흐름에 뒤처지지 않기 위해 노력중이다. 정부는 ‘데이터를 가장 안전하게 잘 쓰는 나라’를 슬로건으로 내세워 ‘데이터 고속도로 구축’을 위한 데이터 규제혁신을 적극 추진하고 있지만 정작 개인정보의 안전한 활용을 지원하기 위한 데이터 규제 3법(개인정보보호법·정보통신망법·신용정보법) 개정안은 국회의 문턱을 넘지 못하고 있다.
해당 개정안들은 현재 국회 행정안전위원회 법안소위에서 심사 중인 상태로, 20대 국회 임기 내에 처리되지 못하면 자동 일괄 폐기된다.
20대 국회는 2020년 국회의원 총선거를 통해 21대 국회가 구성될 때까지 임기가 이어지지만 실질적으로는 선거 정국으로 돌입하는 2019년 말까지가 입법 논의의 기한이라고 봐야 한다.
데이터 규제 3법 개정의 필요성
데이터의 활용과 보호에 대한 균형점을 제시하고 데이터의 오·남용이나 과잉보호로 인한 문제를 최소화할 수 있는 규제를 설계한다는 것은 쉬운 일이 아니다.
개인정보를 보호해야 한다는 정보주체로서의 국민의 뜻과 데이터의 적극적 활용을 통해 국민 삶의 질을 향상시켜야 한다는 경제주체로서의 국민의 뜻은 상충되나 절충되는 적절한 지점을 찾아야 할것으로 보인다.
특히 신용정보법 개정안은 가명조치에 따른 정보를 '가명정보'로 개념화하고 그 활용 범위를 규정함으로써 그간 법적 근거 없이 사용되던 ‘비식별 조치 가이드라인'의 법적 근거를 마련해 줄 수 있을 것으로 기대된다. 하지만 여전히 공익의 목적이 아닌 상업적인 목적으로 정보주체의 동의 없이 제공·활용되는 정보에 대한 우려는 존재한다. 이는 법위와 판단 기준을 법률에서 구체적으로 정해 데이터 활용 기업들의 자의적 판단을 막아야 할것으로 보인다.
개인정보에 관한 자기결정권을 인정한 헌법재판소의 결정에 의하면 정보주체인 개인의 권리는 헌법적 기본권에 해당한다.
시만단체의 주장대로 아직 가명처리의 적정 수준 및 가명정보에 대한 안전성이 제대로 검증된 바 없으며 이로 인한 문제가 생겼을 시 책임 구조도 정리되지 않은 상황이기 때문에 개인정보의 가치를 경제적 효율성의 관점으로만 바라볼 것이 아니라 정보 주체의 인격권은 물론 포괄적 기본권의 관점과도 조화를 이룰 수 있도록 보다 세밀한 법률 검토가 필요한것은 사실이다.
하지만 데이터 규제 3법 개정을 통해 데이터 경제 혁신의 토대를 만드는 것은 더 이상 거스를 수 없는 시대적 흐름이라는것이 업계와 학계의 주장이다. 발의된 지 10개월이 넘어가는 현재까지도 3개 법의 개정안은 각 상임위원회 법안소위에 머물러 있다. 거듭된 국회 파행으로 법안 통과가 계속적으로 미뤄져 왔지만 이번 정기국회에서는 모든 이해당사자들이 적극적인 의지를 가지고 반드시 입법 논의를 진전시켜야 한다는 의견이다.
무엇을 허용해 줄 것인가를 찾는 것보다 정부가 해야 할 일과 하지 않아야 할 일을 제대로 구분하는 것이 우선되어야 할것으로 보인다. 데이터 규제 혁신이 이뤄져야 대한민국은 4차 산업의 주도적인 역할을 할 것이며 IT 선진국의 위치를 유지해 나갈 수 있을것으로 보인다.
【에이아이타임스 aitimes 에이아이타임즈】
무단전재 및 재배포 금지
기사제보 및 보도자료 news@aitimes.com