가명정보도 프라이버시 위협 가능..."법적 의무 강화해야"

개인정보보호법에 '가명정보' 개념을 도입하려면 감독을 강화하고 개인정보 영향평가 대상을 확대해야 한다는 전문가 의견이 나왔다.

가명정보는 데이터 경제 활성화를 위해 산업계가 도입을 요구하는 법제 상 개념이다. 정보 주체가 식별되는 것을 막는 가명화 과정을 거친 개인정보로, 기업들이 프라이버시 침해 우려 없이 빅데이터 분석에 개인정보를 활용할 수 있게 하자는 것이다.

규제 도입 이유로는 가명정보 개념을 도입하되, 타 정보와 결합 과정에서 정보 주체가 식별되는 것을 방지해야 한다는 점이 언급됐다.

국회 입법조사처가 지난 3일 공개한 '데이터 경제 시대의 개인정보 보호 법제 관련 쟁점 및 개선과제'에서는 가명정보 관련 내용을 포함, 현행 개인정보 보호법과 국회 계류 중인 개정안에 대한 개선과제 6가지를 제안했다.

■"가명정보, 타 정보와 결합되면 개인 특정될 수도"

현재 계류 중인 개인정보 보호법 개정안에서는 특정 개인을 알아볼 수 없도록 가명처리를 한 개인정보를 '가명정보'로 정의하고 있다. 프라이버시 침해 없이 정보 활용 가능성을 높이기 위한 조치다.

다만 가명정보도 타 정보와 결합되는 과정에서 개인이 특정될 우려가 높아진다. 개정안에서 가명정보와 타 정보집합물과의 결합 시 전문기관을 통해 수행하도록 규정한 것도 이 때문이다.

이런 문제를 방지하기 위해 신 조사관은 정보의 가명처리, 정보집합물 결합 과정에 대해 감독기구의 사후 감사 또는 모니터링을 강화할 필요가 있다고 봤다.

현행법 상 공공기관에만 의무화돼있는 개인정보 영향평가도 가명정보 또는 결합된 정보집합물을 처리하는 기관, 기업으로 의무화 대상을 확대하는 것을 제안했다. 해당 평가는 정보 시스템 변경에 따른 프라이버시 관련 영향에 대해 미리 조사, 분석, 평가하는 체계다.

유출 시 큰 피해가 발생할 수 있는 생체인식정보의 경우 엄격한 관리 방안을 검토해야 한다고 언급했다. 유럽연합(EU) 일반 개인정보보호법(GDPR)의 경우 생체인식정보를 국내법 상 '민감정보'에 상응하는 '특정 범주의 개인정보'로 분류하고 엄격히 관리하고 있다.

■정보 활용 기준 명확히 해야

개정안에서는 데이터 경제 활성화를 위해 정보 주체 동의 없이 정보 활용이 가능한 경우에 대해 명시하고 있다. 다만 이에 대해 불확실성이 존재한다는 지적이 나왔다.

가명정보에 대해 통계 작성, 과학적 연구, 공익적 기록 보존 등을 위해 정보 주체 동의 없이 처리할 수 있다고 규정한 부분에 대해, 신 조사관은 "가명정보의 활용 범위에 ‘상업적 연구’가 포함되는지 EU GDPR 등 해외 사례를 참고로 명확히 해 수범자의 불확실성을 줄일 필요가 있다"고 지적했다.

개인정보의 당초 수집 목적과 합리적으로 관련된 범위 내에서 정보 주체의 동의 없이도 이용 및 제3자 제공이 가능하도록 규정한 것에 대해서는 "개인정보의 수집 목적과 ‘합리적으로 관련된 범위’에 대한 원칙, 기준이 하위 법령 또는 지침에서 명확히 제시될 필요가 있다"고 첨언했다.

■개인정보 법규 이관 시 법률 간 정합성 고려 필요

현행법 상 개인정보 보호 관련 규정은 여러 법에 분산돼 있다.

개인정보 보호법 개정안에서는 유사, 중복 규정을 개인정보 보호법으로 이관하고, 위치정보보호법 상 위치정보 중 개인 위치정보 관련 사항을 개인정보보호위원회가 소관하도록 하고 있다. 법 적용의 혼란을 줄이고, 법제 간의 관계를 정립하기 위함이다.

이관되는 규정 중 개정 필요성이 제기되는 항목들이 있다. 일례로 정보통신망법 제25조 제1항은 개인정보 처리 위탁 시 정보 주체의 동의를 받도록 하고 있다. 클라우드 컴퓨팅 서비스 이용 등을 위해 이를 사전 동의가 아닌, 고지 후 공개 방식으로 개정해야 한다는 의견이 있다고 설명했다.

이에 대해서는 조항별 검토가 필요하다고 봤다. 추가로 신용정보법, 자율주행자동차 상용화 촉진 및 지원에 관한 법률의 익명정보 활용 조항에 대해서도 법률 간 정합성 검토가 이뤄져야 한다고 덧붙였다.

■가혹한 형사처벌 대신 행정 규제 강화로...실질적 손해보전 대책도 언급

국내 개인정보 보호법은 단순 과실로 위법 행위를 저지른 경우에도 형사처벌을 할 수 있도록 규정하고 있다. 이에 대해 해외 법제 대비 대상 범위가 광범위하고, 타 형벌규정보다 법정형이 과도하다는 지적이 제기돼 왔다.

신 조사관은 이런 문제를 개선하기 위해 부정한 목적 등 가벌성이 높은 경우로 형사처벌을 한정하는 방안, 타 법률 대비 법정형이 과도한 경우 이를 낮추는 방안 등을 검토해야 한다고 주장했다.

형사규제를 완화하는 대신 과징금 등 행정적 규제를 강화해 규제 실효성을 높이는 방안도 함께 고려할 필요가 있다고 언급했다.

아울러 피해자들의 민사적 손해를 실질적으로 보전할 수 있도록 하는 개선책으로 단체소송 판결의 효력 범위 확대, 증거개시제도 도입을 예로 들었다.

■'데이터 이동권·자동화된 의사결정 거부권' 필요할까

정보 주체의 통제권 강화를 위한 개선책도 소개했다. 개인정보 활용이 늘어나는 만큼 침해 가능성도 높아질 수 있기 때문이다.

국내 현행법, 개정안에서는 데이터 이동권, 자동화된 의사결정에 대한 거부권을 규정하고 있지 않다. EU GDPR에 명시된 권리들이다. 이에 대한 도입 검토를 제안했다.

■"정보 주체도 경제적 이익 보는 생태계 구축 필요"

관련기사

데이터 경제에 대한 부정적 전망으로, 일부 플랫폼 기업이 데이터를 통해 창출한 수익을 독과점할 수 있다는 우려가 존재한다. 신 조사관은 이런 우려를 해소하기 위해 정보 주체에게 이익이 환원될 수 있도록 정책 논의가 이뤄져야 한다고 언급했다.

관련해 '마이데이터' 정책이 시범적으로 추진되고 있다는 점, 데이터의 민사 상 권리 또는 지적재산권법 상의 보호 관련 논의가 진행 중인 점을 언급하면서 이에 대한 실증 및 법제화 검토가 필요하다고 봤다.