'2020 규제혁신법제포럼' 개최...데이터 3법에 따른 법ㆍ제도 변화 전망
개인이 자신의 정보를 실질적 통제ㆍ관리ㆍ활용하는 마이데이터 제도 확대해야
가명정보와 익명정보의 모호성 개선 시급

 

(사진=셔터스톡)

개인정보보호를 위한 법의 중복 규제를 막고 개인ㆍ기업의 정보 활용도를 높이겠다는 취지로, 지난 8월에 시행에 들어간 데이터 3법. 잘되고 있을까. 

데이터 3법은 '개인정보보호법' '정보통신망법' '신용정보법' 3개 법의 개정안을 통칭한 말이다.

개정 개인정보보호법은 심의ㆍ의결 기구였던 개인정보보호위원회를 중앙행정기관으로 출범하고 개인정보 보호와 관련한 법 집행 권한을 보호위원회로 일원화했다. 또 성명과 주민등록번호뿐 아니라 다른 정보와 쉽게 결합해 알아볼 수 있는 정보 등 개인 식별 가능 여부 기준을 명시했다.

'가명정보'와 '익명정보' 개념도 도입했다. 두 개념은 정보의 익명화 정도와 활용 가능 범위에 차이가 있다.

개인정보 외  개념 확대
  (제공=KISTEP, '데이터 3법 개정과 연구개발정보 활용을 위한 제언')

지난 3월 한국과학기술기획평가원(KISTEP)이 발표한 '데이터 3법 개정과 연구개발정보 활용을 위한 제언'에 따르면, 가명정보는 개인정보 중 일부를 삭제하거나 모호하게 표현해 추가정보없이 특정 개인을 알아볼 수 없도록 한 정보다. 개인정보처리자는 통계 작성이나 과학적 연구 등에 한해 정보주체 동의없이 활용할 수 있다.

익명정보는 개인정보 전체를 익명화 한 정보로 추가정보를 활용하더라도 특정 개인을 식별할 수 없게 했다. 이 정보는 개인정보로 볼 수 없기 때문에 제한없이 개인ㆍ기업이 자유롭게 활용할 수 있다.

개정 정보통신망법은 개인정보보호법과 유사ㆍ중복한 규정을 삭제했으며, 개정 신용정보법의 경우 개인정보자기결정권 개념을 도입했다.

데이터 3법은 기존 불필요한 규제를 제거하고 개인ㆍ기업의 정보 활용 폭을 넓혀 신산업 연구개발(R&D)을 비교적 활발히 할 수 있도록 했다는 점에 의의가 있다.

하지만 개선의 필요성을 주장하는 목소리도 있다. 데이터 3법을 제외한 다른 법률의 경우 개인정보 관련 중복 규제 문제가 여전히 남아있고, 가명정보 추적과 개인정보 유출 문제 등 데이터 보호를 위한 대책이 미흡하다는 지적이다.

한국법제연구원(원장 김계홍)은 6일 '2020 규제혁신법제포럼' 두 번째 행사를 온ㆍ오프라인에서 동시 개최하고 향후 데이터 3법에 따른 법ㆍ제도적 문제와 변화를 전망했다.

이번에 열린 '제5차 규제혁신법제포럼 : 데이터 3법 개정 이후 법ㆍ정책적 과제'는 ▲마이데이터 제도의 도입 현황 및 확장 가능성 ▲데이터 결합ㆍ연계 및 가명정보 활용상 법적ㆍ실무적 문제 2개 발제를 중심으로 진행했으며 각 분야 전문가가 토론자로 참석해 해당 의제를 두고 다양한 규제 혁신 방안을 논의했다.

◆ 정보 주체의 정보 통제권 '마이데이터', 핵심은 정보 주체 권리 강화에 있다

이정운 레이니스트 법무 본부장은 금융 분야를 대상으로 한 '마이데이터 제도의 도입 현황 및 확장 가능성' 발표를 진행했다. 이 본부장의 발표는 정보주체의 권리 강화가 핵심이다. 이를 실현할 수 있도록 정보주체의 정보 통제ㆍ행사권인 마이데이터의 중요성을 강조했으며, 향후 데이터 3법에 기초한 데이터 사업 시 개인의 권리 강화를 위해 해소해야 할 법ㆍ제도적 규제, 근본적인 방향성 등을 논의했다.

6일 '제5차 규제혁신포럼 : 데이터 3법 개정 이후 법ㆍ정책적 과제'에 발제자로 참여한 이정운 레이니스트 법무 본부장
6일 '제5차 규제혁신포럼 : 데이터 3법 개정 이후 법ㆍ정책적 과제'에 발제자로 참여한 이정운 레이니스트 법무 본부장(사진=김재호 기자)

마이데이터는 정보주체로서 개인이 자신의 모든 정보를 실질적으로 통제ㆍ관리ㆍ활용할 수 있어야 한다는 개념이다. 이 같은 마이데이터를 구현할 수 있는 법ㆍ사회ㆍ기술적 환경과 제반을 통칭해 '마이데이터 제도'로 볼 수 있다.

이 본부장은  기존 마이데이터 제도가 비교적 소극적이었다고 분석했다. 이전부터 정보주체는 정보처리자를 상대로 정보 처리 동의권 ㆍ열람 권ㆍ중단권ㆍ삭제권과 같은 통제 권리를 갖고 있었으나, 실제 정보 처리 과정에서 정보주체의 권리 행사는 다소 방어적ㆍ소극적이었다는 설명이다. 

이정운 본부장은 앞선 문제를 지적하며 정보주체의 권리, 즉 마이데이터 강화 방안으로 '정보이동권'을 강조했다.

정보이동권은 기존 개인정보를 보유한 기관에서 자신이 원하는 다른 기관으로 자신의 정보를 이동할 수 있는 권리를 말한다.

정보이동권 확보 시 기존 정보 보유 기관의 이해관계에서 자신의 데이터를 분리ㆍ보호할 수 있고, 자신의 목적에 부합한 데이터 활용이 가능하다. 또 정보주체의 이동권을 위해 정보를 분석ㆍ가공하는 사업ㆍ서비스 발전을 기대할 수 있다.  

6일 유튜브로 생중계한 '제5차 규제혁신포럼 : 데이터 3법 개정 이후 법ㆍ정책적 과제' (사진=한국법제연구원 유튜브 채널 캡쳐)

그는 "마이데이터와 정보이동권이 정착한다면 자신의 정보를 바탕으로 한 개인의 합리적 의사결정이 가능하다"며 "자신의 데이터를 스스로 통제해 나갈 수 있고, 개인 수준에서 분석이 어려운 대규모 데이터 분석 서비스를 비롯한 신산업 발전 가능성이 있다"고 말했다.

또 "정보 주체의 적극적 권리 행사에 따라 정보 이동이 가능할 경우 기존보다 원활한 정보 유통을 기대할 수 있으며 특정 기관의 데이터 독점 문제도 해결할 수 있을 것이다"라고 전망했다.

이어 "정보이동권이 마이데이터를 가능하게 하는 본질적 기능ㆍ권리로써 작용할 수 있을 것"이라고 기대했다.

이정운 본부장은 정보이동권 구현에 있어 현행 규제의 불확실성을 우려했다.

개인정보처리 과정에서, 정보주체가 다양한 정보처리기관을 대상으로 어떤 정보를 확인ㆍ요구할 수 있는지 구체적 정보 범위가 불명확해 정보주체의 혼란을 야기한다는 설명이다.

개인정보 수집 기관간 정보 유통에도 혼란을 줄 수 있다. 현재 일부 기관은 API(Application Programming Interface) 형식으로 개인정보를 주고 받고 있다. 이를 위해 API 연동ㆍ구축 시스템이 필요하지만, 유통 가능한 정보 범위가 명확하지 않아 시스템 연동ㆍ구축이 어렵다.

또 스크래핑 금지의 범위가 모호하다는 점을 지적했다.

스크래핑은 고객이 자신의 인증정보를 한 번만 제공해도 금융ㆍ공공 기관 데이터 시스템에 접속해 여러 곳에 흩어져 있는 고객 정보를 모아 가공ㆍ제공하는 기술이다. 이 기술은 주로 금융기관에서 이용하고 있으며, 여러 금융사에 흩어져 있는 고객 정보를 확보해 개인ㆍ기업 자산을 관리하는 데 활용한다.

하지만 최근 금융위원회는 2021년 8월까지 마이데이터 사업에서 스크래핑 방식을 금지하고 API 연계 방식으로 변경하도록 했다.

이 본부장은 현재 일부 기관의 API 연동ㆍ구축 시스템이 미흡한 상태에서 스크래핑 방식까지 금지할 경우 정보관리회사간 데이터 공유를 위한 대안이 없다고 우려했다. 나아가, 금융 분야와 비금융 분야 간 데이터 공유 시 문제점도 지적했다.

이 본부장은 "비금융 분야 중 API 전송 의무가 없는 사업체에게 개인정보를 유통할 때 연동 문제로 어려움을 겪을 수 있다"며 "이 같은 현행 규제의 불확실성을 해소해 마이데이터 사업의 근본적 취지를 살려야 한다"고 제언했다.

이정운 본부장은 마이데이터 사업이 공공 분야 및 비금융 산업 분야까지 확장해야 한다고 생각했다. 공공ㆍ민간 분야의 많은 데이터가 기존 금융 데이터와 결합하면 정보주체가 받을 수 있는 혜택의 폭이 다양해질 것이라는 견해다.

그는 "데이터의 개념을 '더하기'가 아닌 '곱하기'로 봐야 한다"며 "다양한 분야의 개인 데이터를 서로 결합시키고 함께 활용할 때 개인에게 제공할 수 있는 편익의 정도는 상상을 초월할 정도로 많아질 것"이라고 설명했다.

◆ "데이터 자본은 부가가치의 원천"…데이터 범위ㆍ기준 모호성 해결이 중요

"데이터 자본은 21세기의 원유라고 표현할 수 있습니다. 세계 경제 속 부가가치의 원천으로 인정 받고 있으며, 인공지능(AI) 영역에 있어 알고리즘 학습을 위한 데이터셋의 중요성이 커지고 있습니다. 데이터 경제를 향한 관심이 필요한 시점입니다."

6일 '제5차 규제혁신포럼 : 데이터 3법 개정 이후 법ㆍ정책적 과제'에 발제자로 참여한 김정선 SKT AIX센터 부장(사진=김재호 기자)

김정선 SKT AIX센터 부장은 '데이터 결합ㆍ연계 및 가명정보 활용상 법적ㆍ실무적 문제' 주제 발표를 시작하며 데이터 자본ㆍ경제의 중요성을 강조했다.

그는 실제 산업체에서 빅데이터 활용이 점차 증가하고 있다고 설명했다. 가입자 정보, 개인신상정보, 구매관리정보, SNS 등을 이용한 고객경험제고, 직원 채용 분석, 구매 관리 효율화 사례가 대표적이며 최적의 의사결정체계 확보에 빅데이터가 기여했다고 봤다.

김 부장은 다양한 분야의 데이터를 통합ㆍ융합했을 때 상당한 가치를 만들어 낼 것이라고 분석했다. 서비스 기업의 경우 심층적인 고객 정보를 수집ㆍ이용할 수 있으며, 이를 활용해 확보할 수 있는 부가가치와 고객 만족도도 증가할 것이란 설명이다. 

6일 유튜브로 생중계한 '제5차 규제혁신포럼 : 데이터 3법 개정 이후 법ㆍ정책적 과제' (사진=한국법제연구원 유튜브 채널 캡쳐) 

이 같은 분석에서, 김정선 부장은 데이터 3법 개정이 ▲활용 가능 데이터 범위 확장 ▲이종 데이터 결 합ㆍ활용 ▲금융 분야 신산업 활성화 ▲클라우드 산업 활성화 측면에서 의의가 있다고 평가했다.

모호했던 '개인정보'의 의미가 기존보다 명확해졌고, 정보주체 동의없이 가명ㆍ익명정보를 활용할 수 있어 데이터 관련 시장 활성화를 기대했다.

하지만 해결해야 할 문제도 많다고 지적했다. 그는 데이터 3법 해설 부분에 가명정보가 과학ㆍ산업적 연구 목적 아래 활용 가능하다고 명시했으나 실제 법 조항에는 과학적 연구 목적이라고만 표현해 둬 산업적 연구 목적, 범위, 수행 주체의 모호성이 남아있다고 말했다.

가명정보와 익명정보의 근본적 개념ㆍ기준도 분명하지 않다. 개정 개인정보보호법은 가명정보만 규정하고 있으나 개정 신용정보법은 익명정보만을 기술하고 있어 각 정보의 기준과 익명화 수준 차이를 파악하기 어렵다. 

또 가명정보 안전조치 방안이 없다. 가명정보는 추적을 거쳐 특정인을 파악할 수 있다는 한계가 있다. 하지만 데이터 3법은 가명정보를 제3자에게 제공할 때 발생할 정보 유출ㆍ침해 대응 방안을 마련하지 못했다.

이외 김 부장은 정보 결합 관련 수범 기관 혼재, 가명정보 위험관리를 위한 기준 부재, 개인정보 유출ㆍ재식별 문제에 따른 과도한 법적 책임, 이종 데이터 결합과 내부 가명정보 활용 경험 부재 등을 꼽으며 향후 데이터 3법의 모호성 개선이 절실하다고 피력했다.  

 김정선 SKT AIX센터 부장(사진=김재호 기자)

김정선 부장은 "긴 시간을 거치며 데이터 3법이 발효됐지만 시행령과 가이드라인이 나오기까지 수개월이 요구될 것이고, 기업의 경우 가명정보 활용을 위한 안전관리체계를 구축하기까지 많은 준비가 필요하다"며 "가명ㆍ익명 정보의 경계, 데이터 처리 기법 적용 등 데이터 활용 체계를 정비하고 시장 내 전문가ㆍ인력 양성을 위한 교육을 활성화해야 한다"고 강 조했다.

    

[관련 기사] "원격의료, 에듀테크 정착하려면 규제부터 개선해야"

[관련 기사] 한국법제연, 디지털 뉴딜 시대 규제 개혁 방안 찾는다

키워드 관련기사
  • 세계 최초 AI 의료기기 인허가 규정 만든 한국, 국제 사회에 소개
  • 개발자들 뿔났다, 네이버ㆍ카카오 대표의 "뽑을 개발자가 없다" 발언에 발끈