"개인정보보호법 개정안 일부, 신정법·GDPR 보다도 과해"

입법예고 된 개인정보보호법 시행령 개정안 중 개인정보 추가 이용 요건에 관한 조항이 너무 강하게 규정돼 다른 데이터3법 간 형평성마저 떨어진다는 지적이 제기됐다.

행정안전부, 방송통신위원회, 금융위원회는 29일 오후 2시부터 합동으로 데이터 3법 시행령 개정안 온라인 토론회를 진행했다.

이 토론회에서 법무법인 세종 강현정 변호사는 “신용정보법 시행령 개정안 상 세부 요건은 GDPR의 양립가능성 규정에서 나왔고, 개인정보보호법 시행령 개정안도 비슷할 거란 기대가 많았다”며 “그런데 이번 개인정보보호법 시행령 개정안을 보면 GDPR 양립가능성보다도 강한 규정이 아닌가 싶다”고 말했다.

29일 행정안전부 등 관계부처 합동 데이터3법 시행령 개정안 온라인 토론회에서 법무법인 세종 강현정 변호사가 개인정보보호법 시행령 개정안의 문제점에 대해 지적하고 있다.

모법 제15조 및 제17조에서 ‘대통령령으로 정하는 바에 따라’ 개인정보의 추가적인 이용·제공을 가능하다는 조항을 구체화 하기 위해, 시행령 개정안에 구체적인 조문을 추가했으나 너무 과도한 규제라는 지적이다.

시행령 개정안 제14조의 2에 따르면 ‘개인정보를 추가적으로 이용하려는 목적이 당초 수집 목적과 상당한 관련성이 있고’, ‘개인정보를 수집한 정황과 처리 관행에 비춰 볼 때 추가적으로 이용할 수 있을 것으로 예측 가능’ 등 4가지 조항을 모두 충족시킬 때 개인정보의 추가 이용을 가능토록 했다.

강 변호사는 “이는 위임 입법의 한계를 벗어났다고 보며, 신용정보법과의 형평성과도 맞지 않다”고 덧붙였다.

산업계에서는 이같은 강한 규제로 인해 데이터를 이용한 신산업 육성이란 입법 취지에 부합하지 않다고 비판했다.

인터넷기업협회 김재환 실장은 “시행령 각호를 충족하는 경우에만 개인정보를 이용할 수 있다면 경직된 조항들로 인해 추가로 개인정보를 이용하긴 어렵다”면서 “GDPR에서도 어떤 관계가 존재하기만 하면 된다고 규정할 뿐 '상당한 수준'이라고 (모호하게) 규정하진 않았다”고 밝혔다.

이어 “또한 개정안 중 민감정보의 의미가 너무 불분명하므로 차등적 규제를 둬야 한다”고 제안했다.

데이터 가명 처리 및 데이터 결합을 통한 비즈니스 종류가 방대하기 때문에 정보처리자의 보안 수준을 함께 고려해야 한다는 주장도 제기됐다.

KCB 이국재 상무는 “산업계에서는 이종산업 간 데이터를 결합해 새로운 가치를 창출하고자 하는 요구가 많은데, 데이터를 사용하기 어려울 것이란 심리적 불안감도 아주 높다”고 설명했다.

이어 “다양한 비즈니스 케이스들이 목적에 따라 나오는데, 그 상황에 맞게 기준을 설정하지 않으면 데이터를 활용하기 상당히 어렵다”며 “정보처리자의 보안 수준 등을 종합적으로 고려해야 하는 게 맞고, 기업이 책임을 가지고 할 수 있도록 길을 열어주는 게 맞다”고 역설했다.

■법에 '상당한'·'관행' 등 모호한 어휘 많아 시정돼야

데이터 3법 시행령 개정안 중 모호한 어휘를 수정해야 한다는 지적도 다수 나왔다.

개인정보법 시행령 개정안 제14조 2에서 ‘상당한 관련성’과 '관행'이란 어휘가 등장한다.

최경진 가천대 법학과 교수는 “EU가 비례성의 원칙, 자기책임성의 원칙 등을 종합적으로 판단하는 것에 비해 우리 법은 상당히 경직적이다”며 “실제 개정안을 만드는 사람들이 이런 고민을 한 것 같은데, 그러면서 시행령에 상당한이란 표현이 들어가 법적 명확성이 떨어지게 된 것 같다”고 설명했다.

이어 “이같은 측면에서는 명확한 기준을 제시하는 게 필요하다”며 “특히 아주 높은 수준을 뜻하는 데서 상당한이라고 했다면 시정이 필요하다”고 덧붙였다.