문재인 정부가 '혁신 성장'을 위해 규제 혁파 움직임을 보이고 있습니다. 하지만 규제에 대해 이해관계가 달라 논란이 되는 경우도 많습니다. 지디넷코리아는 이에따라 혁신성장의 도구이자 핵심인 정보통신기술(ICT) 발전의 발목을 잡고 있는 규제 12개를 골라 '나쁜 규제, 이것만은 꼭 풀자'는 기획시리즈를 마련했습니다. [편집자주]
②"비식별 가명정보 쓰게해야 데이터 활성화"...개인정보 규제
디지털 기술 발전으로 개인정보가 상품화하면서 개인정보 보호와 활용 사이에 큰 충돌이 일어나고 있다. 새로운 사회규범이 요구되는 것이다. 현행 제도만으로는 디지털 경제를 활성화하고 4차산업혁명 시대에 맞는 데이터 활용을 할 수 없기 때문이다.
따라서 더 안전한 개인정보 보호와 함께 폭 넓은 활용을 보장하는 변화가 요구된다.
무엇보다 이미 한계를 드러낸 것으로 평가받고 있는 비식별조치 가이드라인을 대신할 개인정보 활용 정책 및 제도와 생태계가 논의되고 있다. 전문가들은 "데이터 규제를 확 풀어야 4차산업혁명 선도국가가 가능하다"고 지적한다.
■ 개인 정보 활용, 해외는 걷고 뛰는데...
한국 개인정보보호법은 사업자가 정보주체 동의, 법령상 의무 준수, 계약 체결과 이행 등 일정 요건에서만 개인정보를 수집하고 이용할 수 있게 하고 있다. 이 외의 목적으로는 수집과 이용을 금지한다. 큰 틀은 지난 2011년 제정된 이래 유지되고 있다.
법은 성명, 주민등록번호, 영상 등 살아있는 개인을 직접 또는 다른정보와 결합해 알아볼 수 있는 정보를 '개인정보'로 정의하고, 사업자를 포함한 개인정보처리자에게 보호원칙 의무를, 정보주체에게 그 개인정보를 보호받을 권리를, 국가에 관련 책무를 부과하고 있다.
일반법인 개인정보보호법과 함께, 정보통신망법이나 신용정보보호법 등이 함께 개인정보 수집과 이용을 규율하고 있다. 정보주체 동의를 중시하며, 정부의 개인정보 비식별 조치 가이드라인에 따라 비식별 조치된 '익명정보' 수준의 정보를 활용 가능하다.
다만 법에 가명정보나 가명화 개념이 명시돼있지 않아, 그런 정보는 개인정보의 틀 안에서 처리돼야 한다. 즉 사업자가 정보주체에 개인정보 이용목적 등을 밝혀 사전적, 명시적, 개별적, 구체적 동의를 받아야 처리할 수 있다.
디지털 기술 관점에서 여러 국가별 개인정보 활용 제도에는 다소 차이가 있다. 한국과 미국, 유럽간 두드러진 차이는 '가명화' 정보를 활용할 수 있는지 여부다. 가명화는 개인정보에 추가 정보가 있어야 개인을 알아볼 수 있도록 식별 가능성을 떨어뜨리는 과정을 뜻한다.
미국은 빅데이터 이용 및 분석 과정에 개인정보처리를 제한하는 일반법이 없어 개인정보를 폭넓게 활용 가능하다. 보호가 필요한 분야마다 개별법으로 규율하고 있다.
유럽연합(EU)은 일반개인정보보호법(GDPR)과 회원국 위임입법으로 개인정보 보호와 활용을 법제화했다. GDPR에 '가명화' 개념을 정의해 공적 기록, 과학 역사 연구, 통계 목적으로 개인정보를 가명화하면 그걸 자유롭게 이용할 수 있게 했다.
일본은 일반법으로 개인정보보호법을 두고 있다. 기업 보호의무 규정, 제한없이 활용 가능한 '익명가공정보' 개념, 이를 취급하는 사업자에 별도의무 부과 규정을 담고 있다. 최근 개정을 통해 공공 데이터를 민간기업에 제공할 수 있는 '비식별가공정보' 개념도 추가됐다. 이처럼 개인정보를 활용하는 부분에서 해외는 걷고 뛰는데 우리는 이에 못미치고 있다.
■ "비식별조치 가이드라인, 개인정보 결합 활용에 미흡"
개인정보보호법을 둘러싸고 개인정보를 활용하기가 어렵다는 산업계 관점과 개인정보를 제대로 보호하지 못하고 있다는 시민사회 관점이 상충하고 있다.
현행법상 보호해야 할 대상과 아닌 대상의 경계가 불명확한 개념과 개인정보 보호 관련 규정을 포함하고 있는 다른 법 및 그 법을 관할하는 부처와 중복된 규제에서 비롯된 문제다.
2016년 한국정보화진흥원 ‘빅데이터 통합과 이슈 보고서’에 따르면 한국은 데이터 규제 강도가 미국, 유럽, 일본보다 높다. 개인정보보호법상 법에 명시되지 않은 활용을 정보주체 동의에 기반하고 있다. 개인정보 활용 범위를 최소화해 유연하지 못하다는 게 보고서 진단이다.
지난 정부는 국내 규제 체계가 활용보다는 보호 쪽에 방점을 두고 있다는 관점에서 '개인정보 보호와 활용의 균형'이라는 구호아래 관련 정책을 추진해 왔다. 최근 결과물은 개인정보 수집과 이용관련 법제에 관여하는 여러 부처 합동으로 2016년 6월 나온 '개인정보 비식별 조치 가이드라인'이었다.
가이드라인은 개인정보 규제 관련 부처의 유권해석을 통해 산업계의 개인정보 활용 여지를 넓히려는 시도였다. 하지만 산업계의 실질적인 개인정보 활용 기회와 한층 책임있는 프라이버시 보호를 요구하는 시민사회 양쪽을 만족시키지 못했다.
시민단체는 비식별 조치 가이드라인에 따라 개인정보를 비식별화하고 데이터 결합을 시도했던 기업 20여곳을 현행 개인정보보호법 위반 사유로 지난해 11월 검찰에 고발했다. 현행법상 데이터 결합은 불법이란 관점이었다. 산업계도 그간 비식별화 정보 처리에 법적 구속력이 없어 안심하고 이용하기가 부담스럽고, 그 기준이 과도해 분석활용시의 유용성도 떨어진다고 불만스러워 했다.
특히 산업계와 시민사회 혼란을 부추긴 부분은 가명화 개념이다. 비식별 조치 가이드라인은 개인정보를 비식별 조치한 결과물을 데이터 결합으로 활용하라고 한다. 그 결과물이 개인정보의 일종으로 해석될 수 있는 가명정보인지 개인정보 범주를 벗어나는 익명정보인지는 명확하지 않다. 현행 개인정보보호법은 개인정보를 가명화한다는 개념을 정의하지 않고 있다는 게 핵심 문제로 꼽혔다.
한국인터넷진흥원(KISA) 개인정보 비식별조치 기술위원을 맡고 있는 한라대학교 김순석 교수는 이달초 스마트의료 정보보호 세미나에서 "현행 비식별 조치 가이드라인은 의료기관 등 특수 분야에 적용하기 어렵고, 비식별화한 정보를 재식별(복원)하는 상황을 고려한 내용이 없어 추가정보가 필요할 땐 갖고 있는 데이터를 폐기하고 새로 요청하게 만든다"며 "향후 제도를 정비할 때 이런 점을 반영하고, 특정한 비식별처리 기법 알고리즘을 적정성평가 기준으로 강제하지 말고 전문가 결정 방법으로 판단할 수 있게 해야 한다"고 지적했다.
여전히 개인정보 보호와 활용의 균형점을 찾기 위한 산업계와 시민사회간의 합의가 시급한 상황이다. 문재인 정부는 지난 정부와 마찬가지로 데이터가 국가와 기업 경쟁력의 원천이라는 인식을 갖고 있다. 주요 선진국이 4차산업혁명 선도를 위해 데이터 기반 주력산업 재도약과 혁신성장을 도모하는 데이터 경제 활성화에 역점을 두고 있다며, 오히려 개인정보의 활용 필요성이 한층 무거워졌다고 판단하고 있다.
현 정부는 여러 이해관계자들의 참여하에 이를 반영한 제도를 갖추고 산업발전을 도모할 수 있는 규제혁신 논의를 벌이고 있다.
■ '마이 데이터' 등 정부 발표 데이터 활성화 전략에 시선
정부는 6월말 대통령 직속 4차산업혁명위원회 데이터전략을 발표했다. '데이터를 가장 안전하게 잘 쓰는 나라'라는 기치를 내걸고 현행법의 틀 안에서 개인정보 활용 촉진 과제를 제시했다.
정부는 먼저 의료, 금융, 통신 등 분야별로 정보주체가 자기 정보를 직접 내려받아 활용하는 '마이데이터' 시범사업을 추진한다. 이후 사회적 합의를 거쳐 개인정보 범위를 명확화하고 비식별조치에 관련된 가명정보와 익명정보 개념을 정립한 개인정보보호법 등 관련법 개정을 추진한다.
법 개정을 전제한 사회적 합의는 단기간 달성하기 어려운 부분이다. 올해 상반기 4차산업혁명위원회 규제·제도혁신 해커톤에서 정부 관계자, 이해관계자 및 전문가들이 참여한 토론으로 법 개정을 위한 사회적 합의 과정이 시작되긴 했다.
토론 참여자들은 개인정보보호법의 기존 틀과 보호규정 관련 패러다임의 변화를 반영한 개정안이 필요하고 또 개인정보보호와 활용을 위한 거버넌스가 개선돼야 한다는 점에 동의했다. 특히 부문별 고유 규정을 제외하고 개인정보 보호와 관련 중복, 유사 조항을 담고 있는 정보통신망법, 위치정보법, 신용정보법 등과의 통일적 규율이 필요하다고 봤다.
토론 참여자들은 개인정보 관련 법적 개념체계를 개인정보, 가명정보, 익명정보로 나눴다. 가명정보를 기술·관리적 안전조치 하에 수집목적 외에 공익, 산업범주를 포함한 학술연구, 상업범주를 포함한 통계 목적으로 이용하거나 제3자에게 제공할 수 있게 하자는 데 합의했다.
익명정보는 개인정보보호법 적용대상이 아니라 보고 법에 명시하지 않기로 했다. 익명정보를 만드는 '익명처리' 적정성 평가 절차와 기준을 기술적 중립성에 입각해 만들 수 있게 하자고 합의했다. 그 장치로 '신뢰할 수 있는 제3의 기관(TTP)'이나 전문가 결정 방법 등이 제안됐다.
아직 기술적, 제도적 세부 사안에는 추가 논의가 필요하다. 특히 개인정보의 연계와 결합 행위를 뜻하는 '데이터 결합'을 바라보는 시각은 아직 엇갈린다.
시민단체와 산업계 모두 데이터 결합이 사회적 후생을 늘릴 역할을 할 수 있지만 그 과정에 개인정보 침해 위험성도 간과돼선 안 된다는 인식 자체는 함께 하고 있다. 하지만 산업계는 TTP를 통해 또는 엄격한 안전조치 하에 기업의 데이터 결합을 허용하자는 입장이고 시민단체는 그런 타국의 전례가 드물고 현행 개인정보 보호체계 안에선 개인정보 결합이 허용될 수 없다는 입장이다.
개인정보보호 의제리더를 맡은 충남대학교 법학전문대학원 이상용 교수는 제3차 해커톤 결과 발표 당시 "시민단체 의견은 개인정보처리자가 정보주체 동의를 얻거나 익명정보간 결합은 가능하나 가명정보 처리의 경우 민간기업이 보유한 개인정보의 연계와 결합이 허용될 수 없다고 보는 것이고, 산업계는 앞으로 만들어진 개인정보 처리 제도아래 가명처리 기반 데이터결합도 허용될 수 있다고 보는 것"이라며 "개인정보보호 법제가 개선되는 경우 시민단체 의견이 달라질 수 있고, 의견차를 좁히려면 입법적 해결이 필요하다고 본다"고 설명했다.
관련기사
- "데이터 강국 되려면 R&D부터 바꿔야"2018.07.23
- 데이터 강국 기반...국가데이터맵 만든다2018.07.23
- 과기정통부, DNA 발전 막는 규제부터 고친다2018.07.23
- AI, 개발자까지 삼키나…확 달라진 SW시장의 미래는2024.04.23
법무법인 테크앤로의 구태언 대표변호사는 "해커톤 합의사항이 법 개정에 반영돼도 그걸 준수하는 국내 통신사나 인터넷 서비스 회사가 경쟁력있는 인공지능(AI)과 빅데이터 서비스를 제공하기 위한 영리 목적의 데이터 결합까지 허용된다고 기대할 수 없다"며 "산업범주를 포함한 학술연구, 상업범주를 포함한 통계 목적의 가명정보 활용만으로 민간에서 4차산업혁명시대 변화에 대응하긴 부족하다"고 지적했다.
구 변호사는 지난 6월말 '2018 프라이버시 글로벌 엣지'에서 개인정보 보호와 활용의 조화 방안을 발표, 시선을 모았다. 사업자가 비식별정보를 동의 적용 없이 그 자체로 이용케 하되, 개인식별행위를 처벌규정으로 금지하자고 제안했다. 정보주체에 개별 사전동의, 포괄 동의 및 사후동의 배제 가운데 선택권을 주자는 것이다. 정부에는 법 위반 사업자에 형사처벌보다 시정명령을, 엄격한 동의 강제보다 합목적성 기반 불법성 판단을 제안했다.
