"GDPR 대응 혼선 막는 개인정보 법제 개정 시급"

유럽연합(EU)의 일반개인정보보호법(GDPR) 시행 1주년을 맞는 현 시점에서, 기업들의 혼선을 줄이기 위해 개인정보보호 법제 개선이 시급하다는 주장이 나왔다.

이에 대한 대책 마련 차원에서 국회에 개정안이 계류돼 있다. GDPR에서 명시된 내용들을 상당 부분 반영하고 있지만, 추가적인 개정 노력이 더해져야 한다는 의견이다.

구체적으로는 개인을 특정할 수 없게 비식별조치한 '가명정보'의 처리 방법, 수집된 정보의 추가적 처리를 허용하는 구체적인 기준, 개인정보에 대한 이동권 등이 법안에 포함돼야 한다는 내용들이 제시됐다.

고환경 법무법인 광장 변호사는 지난 21일 전국경제인연합회 컨퍼런스센터에서 열린 'EU GDPR 적용 1년의 의의와 평가 세미나'에서 이같이 주장했다.

■"낡고 엄격한 개인정보 보호 규제, 빅데이터 활성화 저해"

지난 2014년 KB국민카드, NH농협카드, 롯데카드 등 금융권의 개인정보 유출 사고가 빈번히 발생하면서 개인정보 보호 규제가 강화됐다.

당시 영국 시장조사 컨설팅 업체 애널리시스메이슨은 한국이 OECD 국가 중 가장 높은 수준의 개인정보 보호 규제를 적용하고 있다고 평가한 바 있다.

개인정보에 대한 법원의 해석도 엄격한 편이다. 휴대폰 번호 뒷자리 네 자리나 기기식별번호 등에 대해서도 개인정보로 간주한 판례가 존재한다. 개인정보 수집, 이용 시 사전 동의를 받지 않으면 형사책임을 부여하고 있다.

고환경 변호사는 "개인정보의 정의를 넓게 해석하는 것은 글로벌 추세라 불가피한 현상"이라면서도 "낡고, 기업을 잠재적 범죄자로 취급하는 개인정보 규제 체계가 빅데이터 활성화를 저해하는 원인"이라고 지적했다.

고 변호사는 엄격한 개인정보 규제 환경이 결과적으로 데이터 산업의 경쟁력을 떨어뜨렸다고 봤다. 빅데이터와 클라우드 활용률이 떨어지고, 미국 등 선진국과의 인공지능(AI) 기술 격차가 발생하는 현실을 비판한 것이다.

GDPR과 관련되는 부분이 이 지점이다. 국내 기업이 유럽권에서 수집한 데이터를 활용하기 어려운 상황이 이어지고 있다.

GDPR은 EU 거주자의 개인정보를 다루는 모든 기업이나 단체가 개인정보 보호 관련 광범위한 규정을 준수하도록 하고 있다. 특히 EU 역내에서 수집된 개인 정보의 역외 이전을 원칙적으로 금지하고 있다. 유럽 관련 사업을 영위하는 국내 기업이 유럽에서 수집된 데이터를 한국에서 처리할 경우 GDPR의 제재 대상이 될 수 있다.

EU 내에서 수집된 개인정보의 역외 이전이 가능하려면 국가 차원에서 EU 적정성 평가를 통과해야 한다. 그렇지 않을 경우 개별 기업마다 직접 EU가 인정하는 표준 계약 체결, 구속력 있는 기업 규칙, 공인 행동 강령 등 보호 조치를 취해야 한다.

한국은 GDPR 시행 이전인 2017년 일본과 함께 적정성 우선협상국으로 지정됐다. 그러나 심사에 두 차례 탈락해 현재는 개별 기업 차원의 대응만이 가능하다. 일본은 지난 1월 적정성 대상국으로 지정됐다.

정부 발표에 따르면 한국의 데이터 구축과 유통, 활용을 아우르는 데이터 가치사슬 내 시장 규모는 미국 대비 400 분의 1 수준이다. AI 기술 수준은 미국을 100으로 상정할 때 78에 그친다. 국내 기업의 빅데이터 이용률은 7.5% 가량으로 집계되고 있다.

■"개인정보 관련 개정안, 구체적인 GDPR 준수 방법론 담아야"

GDPR 관련 기업의 과도한 규제 준수 비용 부담을 막기 위해서는 국가 차원의 적정성 결정을 받는 것이 유리하다. 이 때문에 GDPR에서 요구하는 내용에 부합할 수 있게 법제 개선을 추진하고자 하는 움직임이 나타났다.

고 변호사는 현재 국회에 발의된 개인정보 보호 법제 관련 주요 개정안으로 ▲인재근 더불어민주당 의원이 대표 발의한 개인정보보호법 개정안 ▲노웅래 더불어민주당 의원의 정보통신망법 개정안 ▲김병욱 더불어민주당 의원의 신용정보법 개정안 ▲노웅래 의원의 위치정보법 개정안을 꼽았다.

이는 대통령 직속 4차산업혁명위원회 주간 해커톤에서 합의된 사항과 국회 4차산업혁명특별위원회의 권고사항, 정부 차원의 데이터산업 지원책들을 반영한 개정안들이다.

해당 법안들은 개인정보, 가명정보, 익명정보 등의 개념을 명확히 하고, 개인정보의 안전한 보호를 위해 개인정보 처리 관련 의무 부과와 처벌 등을 명시하고 있다. 개인정보보호위원회에서 개인정보 보호 컨트롤 타워 역할을 맡는다는 내용도 포함돼 있다.

고 변호사는 이 개정안들이 기존 법제의 한계였던 규제의 불명확성을 상당 부분 해소했다고 평가했다.

단 '가명처리'에 대한 언급은 다소 해석의 여지가 남아 있다고 봤다. 가명처리 방법의 적절한 보호조치가 무엇인지, 이를 위한 기준이 무엇인지에 대해 구체적인 내용이 언급돼 있지 않다는 것이다.

고 변호사가 제시한 대안은 국제표준화기구(ISO)의 표준 내용을 참고하는 것이다. 이를 통해 법규의 국제적 상호운용성도 확보할 수 있다. ISO 정보보호기술연구반은 표준서를 제작, 공개하고 있다. 여기에는 개인정보 비식별 관련 용어의 정의와 기술 분류, 적용 원칙 등의 내용이 포함돼 있다.

특정 기술 또는 서비스의 사용을 강제하지 않는 기술중립성 원칙도 고려할 것을 제안했다. 그렇지 않을 경우 경직된 규범이 될 가능성이 높아 변화에 대응하기 어려워진다는 이유에서다.

고 변호사는 "가명처리 방법에 대한 기준 설정이 데이터의 효용성을 결정할 것"이라고 전망했다.

GDPR에서는 개인정보 수집 목적과 '양립하는 목적' 하의 정보의 추가적 처리를 허용하고 있다. 이를 판단하기 위해 ▲원 수집 목적과 예정된 향후 처리 목적 간의 관련성 ▲개인정보가 수집된 상황 ▲개인정보의 성격 ▲향후 처리가 정보 주체에 미칠 수 있는 영향 ▲암호화나 가명 처리 등 보호 조치가 취해지는지 여부 등이 고려된다.

인재근 의원안과 김병욱 의원안은 이와 관련된 내용을 포함하고 있다. 당초 수집 목적과 '합리적으로 관련된 범위' 또는 '당초 수집한 목적과 상충되지 아니하는 범위'내 에서 개인정보의 추가적 처리를 허용하고 있다.

이에 대해 고 변호사는 합리적으로 관련된 범위 관련 개별적, 구체적 판단에 필요한 원칙이 추가로 제시돼야 한다고 의견을 냈다.

GDPR에서 규정하는 '정보이동권'에 대한 언급은 신용정보법 개정안엔 존재하지만, 개인정보보호법 개정안에는 명시돼 있지 않다는 점도 향후 고려할 측면으로 언급했다. 정보이동권은 정보 주체가 정보를 수집한 주체로 하여금 자신의 개인정보를 제3자 또는 자신에게 이전할 것을 요구할 수 있는 권리다.

이에 대해 고 변호사는 신용정보법 개정안이 통과된 이후 정보이동권 제도의 시행착오 여부를 확인하고 이를 정리, 검토해 개인정보보호법 개정에 반영하는 것이 적절하다고 봤다.

정보이동권이 경쟁법적인 고려가 있는 권리라는 목소리를 고려하면 일률적인 적용은 신중할 필요가 있다는 이유에서다.