“산업 활성화를 위한 규제혁신 필요” vs “개인정보 감독기구 일원화 우선”

* 이번 ISSUE&논술은 개인정보 활용을 위한 규제 완화에 관한 주제로, 취업 준비자 여러분들에게 도움이 되고자 찬반 주장을 모두 다루고 있습니다. 고루 읽고 자신의 생각을 정리해보시기 바랍니다.

지난 8월 31일 경기 성남 판교 스타트업캠퍼스에서 ‘데이터를 가장 안전하게 잘 쓰는 나라를 만들겠습니다’라는 슬로건으로 데이터 규제혁신 행사가 열렸다. 이 자리에서 문재인 대통령은 데이터 경제 시대를 맞아 데이터고속도로를 구축하는 등 데이터 산업에 1조원을 투자해 전폭 지원하겠다고 밝혔다.

문 대통령은 우리나라가 인터넷을 가장 잘 다루는 나라에서 데이터를 가장 잘 다루는 나라가 되어야 한다고 강조했다. 정부는 주요국보다 뒤쳐졌다고 평가받는 국내 데이터 경제를 활성화하기 위해 법적으로 활용 가능한 개인정보인 ‘가명정보’를 도입하는 등 규제를 완화하고 내년 빅데이터와 인공지능(AI) 등에 투자를 늘릴 계획이다.

다른 정보를 사용해도 개인을 알아볼 수 없게 처리된 ‘익명정보’도 개인정보 보호 대상에서 배제해 활용도를 높일 예정이다. 또한 개인이 본인 정보를 기업·기관에서 직접 내려받거나 다른 기관 등으로 이동을 요청해 활용하는 ‘마이데이터(myData)’ 시범사업을 올해 금융·통신 분야에서 추진하고 내년 100억원을 들여 확대한다.

정부가 국가전략투자 프로젝트로 데이터 경제를 선정한 만큼 데이터 산업을 제대로 추진하기 위해 개인정보 활용을 확대하겠다는 의미다. 하지만 이같은 정부의 데이터 경제 활성화 산업 육성 움직임에 대해 시민사회단체는 개인정보 보호 침해 우려 속 기업들의 활용 범위만 넓힐 것이라며 반대 목소리를 내고 있다.

데이터 경제 (data economy)
데이터 경제란 데이터의 활용이 다른 산업 발전의 촉매역할과 새로운 가치를 창출하는 시대의 경제를 말한다. 선도 기업들은 데이터 경제의 단계를 이해하고 정보 공유를 통해 정보 고립을 극복하기도 한다. 데이터 경제는 후방산업을 견인하므로 편리한 데이터 접근 환경과 오픈 데이터 정책이 필요하다.

국내 데이터 접근 어려워... 산업 활성화 위한 규제혁신 필요
4차 산업혁명 시대의 산업 동력은 정보다. 우리가 남기는 모든 흔적이 산업을 발전시키고 복리를 증진하는 정보가 된다. 빅데이터 기술의 발전은 더욱 정확한 사회 현상 분석 및 예측을 통해 사람들에게 정확한 맞춤형 정보를 제공하는 데 기여할 수 있다. 우리가 일상에서 생활하며 남긴 행동들의 데이터를 디지털 빵가루(digital bread crumbs)라고 부르는 까닭이다.

디지털 빵가루에 담긴 인간들의 경험과 생각 그리고 행동 패턴을 분석하면 미래사회에 중요하고 의미 있는 데이터로 활용될 수 있다. 여기에는 상당히 높은 수준의 보안을 요구하는 개인정보도 포함된다.

하지만 우리나라 정보통신(IT) 기업들은 이같은 데이터가 부족한 상황이다. 빵가루도 없이 4차 산업혁명 시대에 부풀릴 파이를 빚을 수 없는 노릇이다. 국내 기업의 데이터 확보가 어려운 이유 중 하나로 시대 변화를 따라가지 못하는 규제를 꼽을 수 있다. 개인정보를 적법하게 처리할 수 있는 근거는 적다 보니 기업들이 공공·해외 데이터에 의존하는 경우가 많다.

4차 산업혁명의 혁신이 어느 분야보다 활발한 금융 분야에서도 한국은 뒤처지고 있다. 금융투자업계가 블록체인 기반 공동인증 서비스인 ‘체인아이디’를 세계 최초로 출범시킨 지 1주년이 됐지만 개인정보 관련 규제 때문에 활성화하지 못하고 있다. 지문이나 홍채 등 생체 인식을 통한 진일보된 인증 기술을 확대 적용하기 위해서도 적극적인 개인정보 규제 완화책이 우선돼야 한다.

최근 시행한 유럽연합(EU)의 일반개인정보보호법(GDPR, General Data Protection Regulation)에서는 당사자 동의 외에도 개인정보 처리 근거를 다섯 가지(▲정당한 이익 ▲계약 이행 ▲중대한 이익 ▲공익을 위한 처리 ▲법률 의무 준수) 더 제시하고 있다. GDPR 전면 시행으로 전 세계가 새로운 개인정보보호 규제 패러다임을 맞이하고 있다.

GDPR은 개인정보 처리 목적이 양립할 수 있는 경우, 원래 수집한 목적 외 다른 목적으로도 추가 처리가 가능한 구조이며 이용자가 예측가능하고 합리적으로 수용할 수 있는 목적에서 추가 처리가 가능하다. 즉 동의가 없더라도 다른 법률적 근거를 들어 충분히 수집할 수 있는 체계를 만들어 놓은 것이다.

EU는 GDPR 시행으로 빅데이터 시대의 핵심 요소인 개인정보에 대한 통제권을 강화하는 동시에, 자유로운 데이터 이동을 통한 디지털 산업의 주도권 확보를 꾀하고 있다. 하지만 우리나라는 개인정보 보호 이슈로 인해 빅데이터 서비스가 한계에 부딪혀왔다.

국내 개인정보보호법은 GDPR과 비교해도 규제 수준이 훨씬 엄격하다. GDPR은 개인정보 처리에 있어 정보주체를 보호하는 동시에 개인정보의 자유로운 흐름을 보장함으로써 디지털 단일 시장 활성화에 활용할 수 있도록 했지만 국내 정보통신망법은 이용자 동의 없이 사실상 개인정보를 활용할 길이 없다.

실례로 가명처리(pseudonymisation)는 추가적 정보 이용 없이 개인정보가 특정 정보 주체에 귀속될 수 없는 방식으로 처리되기 때문에 비식별화 처리 정도가 낮다. 따라서 가명처리를 했더라도 여전히 개인정보에 귀속된다. 한편, 익명처리(anonymisation)는 비식별화 처리 정도가 매우 높고 앵커링(정보와 정보를 연결해 특정 개인을 유추하는 것)이 어려워 개인정보가 아닌 것으로 간주된다.

우리나라의 경우 빅데이터에 해당하는 조항은 개인정보보호법 제18조 제2항으로 비식별화 정도를 매우 높여 익명처리를 해야만 추가 처리가 가능하다. 처리 항목의 경우도 EU는 전체적 처리를 허용하고 있지만, 우리나라는 오직 제공만 허용하고 있다. GDPR과 비교했을 때 우리나라 법은 아직 빅데이터 조항으로서 제대로 기능을 수행하지 못하므로 개선이 절실하다.

정보 안전 위협 우려... 개인정보 보호·감독기구부터 일원화해야
정부는 규제개혁 차원에서 추진 중인 규제 샌드박스(sandbox : 새로운 기술·서비스 관련 실증사업을 할 수 있도록 일정기간 규제 적용을 면제하는 제도)법은 개인을 식별할 수 있는 요소 전부 또는 일부를 삭제하거나 대체해 다른 정보와 결합해도 특정 개인을 알아볼 수 없도록 한 경우 개인정보를 이용하거나 제3자에게 제공할 수 있게 하고 있다.

현재 우리나라 개인정보보호법은 ‘정보 주체로부터 별도의 동의를 받은 경우’에 한해서만 기업이 수집한 개인정보를 이용하거나 제3자에게 제공할 수 있다. 샌드박스법은 기존 법령에서의 규제를 풀어주는 특례를 인정한 뒤 사후 문제가 생길 때 규제를 도입하는 방식으로 구성되어 있다.

이는 기업에 대한 규제를 탄력적으로 적용해 활동의 제약을 덜어준다는 취지다. 하지만 개인정보나 건강·안전에 관한 사항까지 규제를 마구 풀면 과거 개인정보 유출사태가 잇따르고 가습기 살균제 재앙이 발생했던 것처럼 국민의 안전을 크게 위협하게 된다.

샌드박스법은 규정을 적용받지 않아도 되는 특례를 허용할 수 있기 때문에 기본적인 개인정보 보호원칙이 무력화될 소지가 생길 수 있다. 특히 가명정보 등은 정보의 수집·이용·제공 목적 외 이용·제공이 제한 없이 가능해진다.

데이터를 개인정보와 가명정보·익명정보로 분류한 뒤 개인을 알아볼 수 없게 처리된 가명정보와 익명정보만 데이터 산업에 활용한다고 하지만 개인정보가 확실하게 보호된다는 보장이 없다.

개인에게 사전 동의를 받지 않고도 정보를 활용할 수 있게 하거나 완전한 익명화가 아닌 가명을 사용해 비식별화 조치를 취함으로써 기업이 개인정보를 자유롭게 활용할 수 있게 된다면 개인정보 보호권과 충돌할 것이다.

불합리한 규제를 개선하는 것은 옳은 방향이지만 신산업 분야는 늘 기술 발전 속도가 더욱 빠른 만큼 관계 법령 역시 이에 맞게 개선해야 한다. 빅데이터 산업의 산업적 잠재력을 활성화하기 위해 개인정보를 활용할 수는 있으나 그 전에 생길 수 있는 사고를 예방할 수 있는 충분한 안전장치를 만들어 놓고 진행해야 한다.

이름을 가렸다고 해도 특정 정보 몇 가지로 특정인을 유추하는 것은 지금도 그리 어렵지 않다. 이름, 주민등록번호와 같은 개인 식별정보를 암호화하는 등의 방법으로 개인을 식별할 수 없을 것이라는 생각은 지금의 기술 수준을 전혀 고려하지 않은 것이다.

개인정보 활용 규제를 풀기 전에 신용정보와 주민등록번호 등 중요 개인정보를 보호할 수 있는 보안기술이 뒷받침돼야 한다. 관련 규제를 완화해 산업의 성장을 촉진하기 전에 정보주체인 고객의 개인정보보호권에 대한 검토가 먼저 진행돼야 할 것이다.

이미 지난 9월 20일 국회에서 정보통신기술(ICT) 분야에 한정한 규제 샌드박스 3법(▲산업융합법 ▲정보통신융합법 ▲지역특구법)이 통과되면서 해당 분야의 신기술과 서비스는 최대 4년 동안 규제가 면제된다. ICT 분야 신기술과 서비스 산업에 숨통이 트였다. 여기에 개인정보 보호규제까지 배제하는 특례 도입은 지나치다.

3법에는 ‘우선 허용·사후 규제’ 원칙이 명문화돼 있다. 사업자가 정부에 규제 샌드박스 적용을 신청하면, 정부는 심사를 거쳐 임시허가·실증특례 2년(1회 연장 가능) 동안 관련 규제를 유예해주고, 문제가 생길 경우에만 규제를 적용하는 식이다. 그러나 체계적인 개인정보 보호 법제의 정비 없이 특례법으로 개인정보를 안전하게 보호하겠다는 것은 어불성설이다.

무엇보다 행정안전부, 금융위원회, 방송통신위원회 등으로 나뉜 개인정보 보호 감독기관을 일원화하는 것이 우선이다. 현재 대통령 직속 개인정보보호위원회가 존재하지만 공공기관의 개인정보영역 외에는 관할 권한이 없는 상태이다.

지금처럼 정보보호에 대해 권한은 없고 책임만 떠넘기는 기관이 난립한다면 앞으로 빅데이터 산업을 꽃 피우기는커녕 개인정보 유출 사고에 대한 책임을 묻기도 어려울 것이다.