(AI타임스=김혜성 기자)
"대한민국이 IT 강국의 위상을 유지하고 4차산업을 이끌기 위해서는 해외와 경쟁할 수 있도록 데이터 3법 개정이 반드시 이뤄져야 한다. 데이터 3법 개정은 4차산업 경쟁력 확보를 위한 필수이다"(소비자권익연대 김상천 이사장)
"데이터산업계 여러분들이 간절히 바라는 데이터 3법 개정안이 아직 통과되지 못한 점을 안타깝게 생각한다. 이번 국회에서 반드시 통과될 수 있도록 관계부처, 국회와 노력하겠다."(장석영 과기정통부 정보통신정책실장)
지난 19일 국회 본회의에 오른 '데이터3법(개인정보보호법ㆍ정보통신망법ㆍ신용정보법 개정안)' 개정이 미뤄져 4차산업 성장을 위한 제도 마련에 빨간불이 켜졌다.
혁신성장에 반드시 필요한 데이터3법은 개인정보보호법, 정보통신망법, 신용정보법 개정안을 말하며 특히 가명정보로 데이터 활용이 가능토록 하는것이 핵심이다. 개인정보보호에 관한 법은 소관 부처별로 나뉘어 있어 발생하는 중복 규제를 없애고, 4차 산업혁명 도래에 맞춰 개인과 기업이 정보를 활용할 수 있는 폭을 넓히기 위해 마련되었으며, 2018년 11월 국회에 발의되었다.
하지만 일부 시민단체와 의원 반대로 처리되지 못하고 있다.
당초 여야3당 교섭단체 원내대표는 지난 12일 국회의장 주재 회동에서 이날 본회의에서 빅데이터3법, 국회법 개정안을 처리하기로 합의한 바 있다. 그러나 데이터3법은 결국 상임위원회를 통과하지 못했다.
개인정보보호법은 지난 14일 행정안전위원회를 통과했지만 과학기술정보방송통신위원회에선 정보통신망법 개정안 심의에 착수조차하지 못했다. 그나마 정무위원회에선 한 차례 소위원회를 열고 신용정보법 개정안을 심의했지만 김진태 자유한국당 의원의 반대로 무산됐다.
개정을 위해서는 법안 소위, 정무위 전체 회의, 법제사법위원 회의, 본 회의를 거쳐야 하는데, 데이터 3법 개정안은 현재 각 상임위원회 법안소위에 1년 가까이 계류 중이다. 해당 개정안들은 20대 국회 임기 내에 처리되지 못하면 자동 일괄 폐기된다.
업계는 법 테두리 안에서 관리되는 최소한의 데이터는 공유되어야만 4차산업이 발전 할 수 있다는 입장이다. 예를 들어, 추가 정보의 결합 없이는 특정 개인의 식별이 불가능하도록 가명처리된 개인정보를 활용할 수 있게 되면 금융이력이 부족한 사람도 신용평가를 받을 수 있게 되고, 통신료 등의 요금 납부 내역이나 온라인 쇼핑 내역, SNS정보 등 비금융정보를 활용해 개인 신용을 평가할 수 있다는 것이다.
이밖에 빅데이터는 스마트 공장, 자율주행차, 치매 예측, 인공지능 기반 범죄 분석, 합리적인 신용 대출 등 광범위한 분야에 활용될 수 있기에 각 산업계의 요구도 커지고 있다.
특히, 금융 분야는 은행, 카드, 보험, 금융 투자 등 금융업권 별로 데이터가 대량으로 축적되어 있기에 이러한 금융 데이터를 활용하여 소비, 투자 행태, 위험성향 등 개인의 특성을 반영한 맞춤형 금융상품의 개발이나, 정보통신, 위치정보, 보건ㆍ의료 등 다른 산업분야와의 융합까지도 가능하다는 점에서 현 규제를 완화하여 혼재되어 있는 방대한 데이터의 활용 가치를 높여야 한다는 의견이다.
소비자 단체들은 개인정보보호 문제에 대해 상반된 의견을 내고 있다.
참여연대와 민주노총은 개인정보보호 문제로 데이터3법 개정에 반대하고 있다.
이들 민단체는 가명정보 활용 범위에 대한 구체적 기준의 필요성을 제기하고 있다. 데이터 3법 개정안이 상업적 목적의 통계 작성 및 산업적 연구, 과학적 연구를 목적으로 정보주체의 동의 없이 가명정보를 이용, 제공할 수 있도록 허용하고 있는데, 그 범위와 판단 기준을 법률에서 구체적으로 정하지 않을 경우 데이터 활용 기업들의 자의적 판단을 초래할 수 있으며, 모호한 개념 정의가 지나치게 포괄적으로 해석될 경우 가명정보의 심각한 오ㆍ남용이 발생될 수 있다고 주장한다.
가명정보, 익명정보에 대한 기준을 정립하는 것은 개인정보 규제를 상당 수준으로 완화해준다고 볼 수 있는데 아직 가명 처리의 적정 수준 및 가명정보에 대한 안전성이 제대로 검증된 바 없으며, 이로 인한 문제가 생겼을 시 책임 구조도 정리되지 않은 상황이기 때문에 개인정보의 가치를 경제적 효율성의 관점으로만 바라볼 것이 아니라 정보 주체의 인격권은 물론 포괄적 기본권의 관점과도 조화를 이룰 수 있도록 보다 세밀한 법률 검토가 필요하다는 것이다.
이들은 "현재 심사 중인 개인정보보호법안대로라면 특히 환자의 질병정보, 유전자정보 등 건강정보는 '연구'라는 명분만 있으면 영리병원을 비롯해 기업의 이익창출을 위해 무방비로 활용, 판매될 것"이라고 경고했다.
반면 소비자권익연대(이사장 김상천), 컨슈머워치(공동대표 이병태, 양준모) 등은 데이터3법 개정을 촉구하고 있다.
이들은 "개인정보보호법의 개인정보보호 감독기구의 일원화와 위상 확립과 권한 강화는 소비자의 개인정보보호 권리를 보다 넓게 보장하는 방향"이라며 "세계는 데이터의 활용과 보호의 조화를 어떻게 이룰 것인지를 고민하고 있다. 그러나 우리나라 개인정보보호법은 그 동안 ‘보호’에만 치중되고 세계적 수준에서도 매우 엄격하다. 마이데이터나 핀테크 등 데이터 산업이 시범사업으로 시행되더라도, 국회에 계류된 빅데이터 3법이 통과되지 않는 한 데이터 활용의 출구는 막힌 거나 다름없다"라고 밝혔다.
한편 개인정보보호 관련 법령은 개인정보보호법, 정보통신망법 등으로, 개인정보보호 감독 기능은 행정안전부, 방송통신위원회, 개인정보보호위원회 등으로 각각 분산되어 있어 감독 기구와 개인정보보호 법령을 체계적으로 정비해야 할 필요성이 각계로부터 제기되어 왔다.
일본을 포함한 13개국이 GDPR ‘적정성 결정’ 국가로 인정받은 것에 반해, 우리나라는 적정성 평가 심사에서 두 차례나 탈락했는데, 이는 독립성을 갖춘 통일된 감독 기구가 없다는 것과 정보통신망법이 개인정보 보호를 모두 포괄하지 못한다는 것이 주요 이유였다. 또한 한국은 개인정보보호법 수준이 너무 엄격해 개방성이 EU의 수준에 미치지 못하고 있어 GDPR의 ‘적정성 결정’에 적합하지 못하다는 평가를 받고 있다.
GDPR은 개인정보의 역외 이전 금지를 원칙으로 하되, 상대국의 개인정보 보호 수준이 EU와 동등한 수준이라고 판단되면 해당 국가로의 이전을 허용한다.
적정성 결정을 통과하지 못할 경우, 한국 기업이 취할 수 있는 방법은 표준 계약, 구속력 있는 기업 규칙 등에 의한 적절한 안전 조치가 이루어졌음을 인정 받거나, 각 정보 주체의 동의를 받는 방법이 있지만, 이와 관련한 법률적용 및 검토 비용이 개별 기업이 대응하기에는 매우 부담스러운 수준이기에 적정성 결정 국가로 인정받아 국가적 차원에서 EU 진출을 희망하는 기업들을 지원하는것이 해법이다.
소비자단체들간 이견이 발생하고 있는 개인정보보호 문제는 이른바 '가명정보' 활용이다.
개인정보 개념 체계를 개인정보, 익명정보, 가명정보로 명확히 구분함으로써 ‘가명정보’의 개념을 도입하였는데, ‘가명정보’란 가명 처리한 개인정보를 말하며 원상태로 복원하기 위한 추가 정보의 사용ㆍ결합이 없으면 특정 개인을 알아볼 수 없는 정보이다. 데이터3법 개정안은 이들 가명저정보에 대해서 학술연구 등 제한적 용도에만 사용 하겠다는 방침이다.
즉 통계 작성, 과학적 연구, 공익적 기록 보존 등을 위하여 정보주체의 동의 없이 가명정보를 이용, 제공할 수 있도록 하며, 나아가 신용정보법 개정안에서는 정보주체의 동의 없이 가명정보를 활용할 수 있는 범위를 시장조사 등 상업적 목적의 통계 작성 및 산업적 연구로까지 확장하겠다는 것이다. 이는 빅데이터 분석 및 이용을 공익을 위해 활성화하기 위한 목적이다.
빅데이터 3법 개정안에 따르면 현재 금융회사 등은 금융거래 등 상거래 관계가 종료된 날부터 최장 5년 이내에 해당 개,인신용정보를 관리 대상에서 삭제하여야 하나, 앞으로는 가명정보를 이용하는 경우로서 이용 목적 및 가명 조치의 기술적 특성, 정보의 속성 등을 고려하여 필요한 경우에는 그 가명정보의 보존 기간을 보다 더 길게 정할 수 있도록 하는 등 기술의 발전 및 금융환경 변화 등에 맞추어 정보보호 규제를 합리적으로 조정해 나갈 수 있도록 하고 있다.
또한 서로 다른 기업이 보유하고 있는 데이터를 결합하여 활용할 수 있도록 하되, 법률에 따라 지정된 데이터 전문기관을 통해서만 가능하다. 데이터 전문기관은 결합된 정보 집합물을 가명 조치 또는 익명 조치가 된 상태로 전달하도록 하는 등 이종(異種) 산업분야 간의 데이터 결합을 촉진함과 동시에 안전하게 데이터 결합이 이루어질 수 있는 제도적 기반을 마련하고 있다.
빅데이터 3법 개정안은 가명정보에 대한 안전조치의무를 규정하고 있다.
빅데이터 활용으로 발생할 수 있는 부작용을 방지하기 위하여 가명정보 처리 시 기술적, 관리적, 물리적 보호대책을 수립하고 적용하도록 하고 있으며 보호대책의 주요 내용은 ▲가명정보 처리, 데이터 결합, 결합한 데이터를 처리한 기록을 작성하여 일정 기간 이상 보관 ▲ 가명정보를 원상태로 복원하기 위한 추가 정보를 별도로 분리하여 보관 ▲ 특정 개인을 알아보기 위한 목적으로 가명정보 처리 및 결합 데이터 활용 금지 ▲ 가명정보 또는 결합 데이터 처리 과정에서 특정 개인을 알아볼 수 있게 된 경우에는 해당 정보의 처리를 즉시 중지하고 파기 등이다.
위반 행위에 대해서는 행위의 경중에 따라 매출액의 100분의 3이하에 해당하는 금액의 과징금, 최대 5천만원의 과태료가 부과될 수 있으며 특히, 특정 개인을 알아보기 위한 목적으로 처리하거나, 법률에 따라 데이터를 결합, 활용하지 않은 경우에는 5년 이하의 징역 또는 5천만원 이하의 벌금형을 부과 받도록 하고 있다.
또한, 금융회사 등의 정보 활용 동의서는 금융위원회로부터 ‘정보 활용 동의 등급’을 부여 받아야 하고, 부여 받은 동의 등급을 신용정보주체에게 고지하고 동의를 받도록 하여 신용정보주체가 자신의 정보 활용 동의에 따른 효과를 손쉽게 알 수 있도록 하고 있다.
이에따라 ‘정보 활용 동의 등급’을 부여할 때에는 사생활의 비밀과 자유를 침해할 위험, 정보 활용에 따라 신용정보주체가 받게 되는 이익이나 혜택, 신용정보주체가 이해가 쉽도록 정보 활용 동의서를 구현했는지 등을 고려하도록 하고 있다.
한편 유럽연합(EU)은 지난해 PSD2(개정지급결제산업지침; Revised Payment Service Directive)를 통해 은행권 데이터 개방을 위한 제도적 기반을 마련하고, GDPR을 시행하며 EU 시민의 개인정보보호를 강화하는 동시에 개인정보를 '가명정보'와 '익명정보'로 분리해 상업적 목적을 포함한 과학적 연구에는 가명정보를 활용할 수 있도록 하였다.
또한, 일본은 2015년 개인정보보호법 개정을 통해 일찍이 ‘익명가공정보’ 개념을 도입하고, 독립적인 개인정보 관리감독기구를 설치ㆍ운영하고 있으며, 해당 법률 개정을 바탕으로 올해 1월 EU의 GDPR 규정에 따른 ‘적정성 결정’ 국가로 인정받았다.
세계의 경제는 이미 유기적으로 연계되어 있고 IT 강국 대한민국은 미래 성장을 위해 4차산업을 발전 시켜야만 한다. 중국과 EU를 비롯한 세계 경쟁자들은 데이터 기반의 혁신 성장을 앞다투어 추진하고 있다.
데이터 산업 경쟁력 발전이라는 시대적 흐름을 거스르지는 않되 변화하는 흐름에 맞게 개인정보보호 법제가 정비되고, 데이터 활용에 대한 규제가 완화되는 만큼 개인정보처리자의 책임성이 강화되어야 하겠지만 데이터 3법 개정은 시대의 흐름이며 무조건적인 금지 보다는 제도적 보완을 통한 안정장치 하에 데이터 활용을 허용해야만 한다는 의견이다.
【에이아이타임스 aitimes 에이아이타임즈】
무단전재 및 재배포 금지
기사제보 및 보도자료 news@aitimes.com