<M이코노미 문장원 기자 > 4차 산업혁명 시대에서 데이터는 산업과 사회 혁신의 촉 매제다. 인터넷과 스마트폰 등의 활용이 일상화되면서 만들어진 방대한 ‘빅데이터’(Big Data)의 활용이 중요해졌다. 빅데이터를 기반으로 가치가 창출되는 데이터 경제가 부상하고 있다. 대규모의 데이터가 수집·활용되면서 산업 발전의 촉매 역할을 하고 있다. 아울러 인공지능 기술은 기계학습을 통해 고도화되면서 양질의 대규모 데이터가 필수적이다. 문제는 가치 있는 데이터들의 상당수가 개인정보를 포함하고 있다는 점이다. 개인정보를 상업적으로 활용하고 그 과정에 서 정보유출이 우려된다는 비판이다. 게다가 우리나라 개인정보 보호 법제는 경직되고 엄격해 데이터 활용이 위축되고, 관련 산업발전이 저해된다는 주장도 제기돼 왔다.
개인정보 활용 규제 풀어 빅데이터 활용해야
지난 2017년 스위스 국제경영대학원이 발표한 자료에 따르면 우리나라 국내 기업의 빅데이터 이용률은 7.5%에 불과 하다. 빅데이터 활용과 분석 수준은 전 세계 63개국 중 56위 에 그치는 등 데이터 활용 수준이 낮은 상황이다. 더욱이 전 세계적으로 가장 강한 수준의 정보보호 규제를 도입했지만, 그 규제마저 형식적으로 설계·운영돼 정보 주체를 실질적으로 보호하지도 못하면서 데이터 활용조차 저해하고 있다.
이를 타개하기 위해 현재 20대 국회에는 4차 산업혁명에 맞춰 개인정보 보호와 관련해 불필요한 중복 규제를 없애는 내용을 담은 이른바 ‘빅 데이터법’들이 계류 중이다. 이를 통해 개인과 기업이 개인정보를 활용할 수 있도록 정보의 폭을 넓히는 것이 핵심이다. 해당 법안들은 인재근 더불어민주당 의원이 발의한 ‘개인정보보호법 개정안’과 같은 당 노웅래 의원이 발의한 ‘정보통신망 이용 촉진 및 정보보호 등에 관한 법률’ 개정안과 ‘위치정보 보호 및 이용 등에 관한 법률’ 개정안, 김병욱 민주당 의원이 발의한 ‘신용정보의 이용 및 보호에 관한 법률’ 개정안 등이다.
이들 법안은 대통령 직속 4차산업혁명위원회가 개최한 ‘규제·제도 혁신 해커톤’ 합의사항과 국회 4차산업혁명 특별위원회 보고서를 바탕으로 법안들의 유사· 중복조항을 정비하기 위한 것들이다.
우선 노 의원이 발의한 두 법안의 내용을 살펴보자. 정보통 신법과 위치정보법 개정안은 해당 법에서 규정하고 있는 개인정보 보호에 관한 사항을 ‘개인정보보호법’으로 이관하고, 온라인상의 개인정보 보호와 관련된 규제 및 감독의 주체를 방송통신위원회에서 개인정보 보호위원회로 변경하려는 내용을 담고 있다.
김 의원이 발의한 ‘신용정보보호법’도 일반 법인 ‘개인정보보호법’과의 유사·중복 조항을 정비해 데이터 경제의 활성화를 위한 규제 혁신을 목표로 하고 있다. 특히 금융 분야에서 개인정보 활용을 위해 본인신용정보관리업(MyData), 전문개인신용평가업, 개인사업자신용평가업을 도입하고, 현행 신용조회업의 업무체계 정비 등을 통해 금융 분야 데이터산업으로서 신용정보 관련 산업에 관한 규제체 계를 정비하고자 한다.
우려되는 개인정보의 유출을 막기 위해 정보 활용 동의 제도의 개선, 개인신용정보의 전송요구권(Right to data portability), 자동화평가(Profiling)에 대한 신용정보 주체의 설명요구권 등 새로운 개인정보 자기결정권의 도입 등을 통해 금융 분야 개인정보보호를 강화했다.
김 의원은 제안 이유에서 “금융 분야는 그 산업의 발전 과정에서 여신심사 등에 다양한 데이터를 활용함으로써 많은 개인·기업들을 제도권 금융으로 포용해 온 결과, 은행·카드·보험·금융투자 등 금융업권별로 체계적으로 관리되는 정형화 된 데이터가 대량으로 축적되어 있다”며 “이러한 금융 분야 데이터의 특성으로 인해 소비·투자 행태, 위험 성향 등 개인 의 특성을 반영한 맞춤형 금융상품의 개발이나, 정보통신·위치정보·보건의료 등 다른 산업 분야와의 융합까지도 가능하게 되는 등 혁신성장의 혜택이 국민의 삶과 직결되어 있어 데이터의 활용 가치가 매우 높다”고 강조했다.
‘가명정보’ 개념 도입 등 개인정보보호법 국회통과가 먼저
하지만 앞서 설명한 법안들은 인재근 의원이 발의한 개인정 보보호법 통과를 전제로 한 법들이다. 인 의원이 발의한 개인정보보호법 개정안의 핵심은 ‘가명정보’ 개념을 도입하는 것이다. 이는 4차산업혁명위 주최 ‘해커톤’에서 개인정보 보호와 관련된 기존 법과 각종 고시·지침을 개인정보, 가명정보, 익명정보 등 3가지 용어로 정비하기로 한데 따른 것이다. 개인정보는 우리가 흔히 사용하는 이름·주민등록번호·생체 정보 등으로 이를 통해 누구의 정보인지 식별이 가능한 정보다.
가명정보는 말 그대로 가명을 사용한 것으로, 이름을 다른 이름으로 바꿔 활용하는 것이다. 익명정보는 통계에서 활용하는 형태의 정보가. 서울시에 사는 사람의 비중이나, 30대의 비중 등이 여기에 해당한다. 사실상 실질적인 개인정보 로서의 의미가 없다. 법안은 이들의 정의를 명확히하고, 가 명정보는 통계작성, 연구, 공익적 기록보존의 목적으로 처리 할 수 있도록 제한했다.
또 서로 다른 기업이 보유하고 있는 정보집합물은 대통령령으로 정하는 보안시설을 갖춘 전문기관을 통해 결합해 전문기관의 승인을 거쳐 반출할 수 있도록 규정했다. 또 개인정보보호위원회를 국무총리 소속 중앙행정기관으로 격상시키고, 현행 행정안전부의 기능의 개인정보 보호위원회 이관과 개인정보보호위원회에 관계 중앙행정기관의 장에게 공동조사 및 처분 등에 대한 의견제시권을 부여 해 개인정보 보호에 대한 컨트롤타워 기능을 강화했다.
가명정보·생체인식정보·형사처벌 완화 등 쟁점 존재
개인정보보호법 개정안은 새로운 환경에 맞춰 용어에 새롭게 법적인 의미를 부여하고 있어서 그 정확성을 둘러싼 논란 가능성은 남아있다. 개정안은 특정 개인을 알아볼 수 없도 록 가명처리를 한 개인정보를 ‘가명정보’라고 정의하고 통계 작성, 과학적 연구, 공익적 기록보존 등을 위해 정보 주체의 동의 없이 처리할 수 있도록 규정해 개인정보의 활용 가능성을 높였다. 다만 가명정보의 활용범위에 ‘상업적 연구’가 포 함되는지 여부가 논란이 되고 있다.
또 가명처리를 한 경우라도 각기 다른 개인정보처리자가 보유하는 정보집합물을 결합하고자 할 때 전문기관을 통해 수행하도록 규정하는 점도 정보집합물 결합 규정의 필요성에 대해서도 논란이 있다. 여기에선 데이터 활용 제고를 위해 전문기관의 개입 없이 기업들이 자유롭게 데이터 결합을 할 수 있도록 허용해야 한다는 견해와 반대로 개인정보 유출 방지를 위해 기업 간 데이터 결 합을 허용하면 안 된다는 견해가 대립하고 있다.
개정안은 또 가명처리 및 결합의 방식으로 정보 주체의 동의 없이 이용 또는 제3자 제공이 가능하도록 규정하고 있는데, 정보집합물 결합 시 개인이 특정될 수 있고 가명정보가 다른 정보와 결합될 경우 개인이 식별될 우려가 높다. 따라서 가명 처리 및 정보집합물 결합 과정에 대해 감독기구의 사후 감사 또는 모니터링을 강화할 필요가 있다는 지적이 나온다. 현행 법에서 공공기관에 대해서만 의무화하고 있는 개인정보 영향평가를 가명정보 또는 결합된 정보집합물을 처리하는 기관 및 기업에 대해서도 영향평가를 의무화하는 방안도 검토 해볼 수 있다.
정보 주체에게 심각한 침해가 발생할 수 있는 생체인식정보 유출에 대해서도 개인정보호법상 ‘민감정보’에 포함시켜 보다 엄격하게 관리해야 한다. EU GDPR 제9조에선 생체인식 정보를 우리나라 개인정보 보호법상 ‘민감정보’에 상응하는 ‘특정범주의 개인정보’에 포함해 엄격히 관리하고 있다.
가명정보의 활용범위에 ‘상업적 연구’가 포함시킬지에 대한 기준도 명확히 해야 한다. 아울러 개인정보의 당초 수집 목적과 ‘합리적으로 관련된 범위’에 대한 원칙이나 기준이 하위 법령 또는 지침에서 명확히 제시될 필요가 있다.
형사처벌 수위도 완화할 필요가 있다. 우리나라 개인정보 보호 법제는 단순 과실로 법률상 의무사항을 위반한 경우에도 형사처벌을 할 수 있도록 규정하고 있어 다른 국가에 비해 대상 범위가 광범위하고, 다른 형벌규정과 비교해도 법정형이 과도하다는 지적이 제기돼 왔다. 이에 따라 형사처벌을 부정한 목적 등 가벌성이 높은 경우로 한정하는 방안과 다른 법률의 형사처벌 규정과 비교해 과도한 경우 법정형을 낮추는 방안 등을 검토할 필요가 있다. 다만 형사규제를 완화하면서 과징금 부과 대상을 확대하거나 금액을 높이는 등 행정적 규제를 강화해 규제의 실효성을 높일 필요가 있다.
개인정보 활용과 동시에 정보 주체 권리 강화돼야
개인정보를 상업적으로 활용하게 된다면 그만큼 정보 주체의 권리가 강화돼야 한다. 국회입법조사처의 ‘데이터 경제 시대의 개인정보 보호 법제 관련 쟁점 및 개선과제’ 보고서는 “개인정보의 활용 가능성을 높이는 만큼 정보 주체의 권리 침해 가능성도 높아질 수 있어 개인정보에 대한 정보 주체의 통제권을 강화하는 방안을 검토할 필요가 있다”고 제언한다.
보고서는 EU GDPR이 정보 주체의 권리 강화를 위해 삭제 권(잊힐 권리), 처리 제한권, 데이터 이동권, 자동화된 의사결정에 대한 개인정보처리자의 설명 의무 및 정보 주체의 거부권 등을 도입한 점을 강조하며 “우리나라 현행법이나 개정안 은 데이터 이동권과 자동화된 의사결정에 대한 거부권을 규정하고 있지 않은데, 기술적 구현 용이성, 정보 주체에게 실질적인 통제권이 보장되는지 여부, 시장경쟁에 있어서의 영향 등을 고려해 도입 여부를 검토해야 한다”고 강조했다. 더욱이 개인정보를 상업적으로 활용해 여기서 발생하는 수익을 일부 플랫폼 기업이 독과점한다는 문제 제기에 대해 보고서는 “정보 주체에게 이익을 환원하는 것이 현실적으로 쉽지 않다”면서도 “정보 주체가 적극적으로 개인정보를 제공할 동 기부여가 될 수 있어 데이터 경제 활성화를 위해 연구를 진행할 필요가 있다”고 밝혔다.
이와 관련해 국내외에서 시범적으로 추진 중인 정보 주체의 개인정보를 서비스 형태로 그 혜택을 환원하는 ‘마이데이터’ 정책이 대표적이다. 자신이 직접 금융기관과 통신사, 병원 등 에 있는 자신의 개인정보를 제3의 업체에 전달해 새로운 서비스를 받도록 하는 것이다. 더 나아가 데이터를 민사상 권리나 지적재산권법으로 보호가 가능한지 여부에 대한 논의도 여전히 진행 중이다. 이때 개인정보가 인격권 성격을 갖는지 아니면 재산권적 성격을 갖는지가 논란이다. 다만 데이터의 가치 산정이 어렵고 그 크기가 작아 현실적으로 가치 환원이 어렵다는 지적도 있다.
MeCONOMY magazine August 2019