[포럼] `데이터 3법` 방치, 度 넘었다

염흥열 순천향대 정보보호학과 교수

  •  
  • 입력: 2019-10-16 18:19
  • 프린트
  • 페이스북
  • 트위터
  • 카카오스토리


[포럼] `데이터 3법` 방치, 度 넘었다
염흥열 순천향대 정보보호학과 교수
제4차 산업혁명 시대에 데이터 경제 실현은 금융, 의료 등 여러 산업 부문에서 수집된 데이터 활용이 필요하다. 예를 들어, 환자의 의료 정보를 분석 및 활용해 정확한 질병 진단과 치료를 가능케 만든다. 기업은 데이터를 수집하고 처리해 새로운 비즈니스 기회를 창출하고자 한다. 문제는 데이터 속에 포함되어 있는 개인정보를 처리하기 위해서 정보주체의 동의를 받거나 법적 근거에 따라 처리하도록 요구한다는 것이다. 이는 기업에 의한 데이터 처리의 커다란 어려움이 되고 있다.

유럽연합은 2018년 5월에 발효된 '일반 데이터 보호규정'(GDPR)에서 '가명화'(pseudonymization) 개념을 도입했다. 일본도 2015년 개인정보 보호법에 익명 정보라는 개념을 도입하고 이를 활용하기 위한 법적 근거를 마련했다. 미국 캐나다 영국 등 주요국 개인정보 규제기관도 비식별화 처리(익명화 처리) 개념을 도입해 민간 자율 가이드라인을 개발해 적용하고 있다.

국제 표준화 기구에서도 이 이슈는 중요하게 다뤄지고 있다. ISO/IEC JTC 1/SC 27에서도 최근 '비식별 기법 용어 정의와 기술 분류 (ISO/IEC 20889)' 국제표준을 2018년 채택했다. 또한 비식별화 기법 추가 요구사항을 반영하기 위한 국제표준 사전 연구를 2018년 4월부터 진행 중이다. 또한 ITU-T SG17에서도 '비식별처리 프레임워크'(X.fdip) 국제표준을 개발 중이며, 2020년 8월 SG17 회의에서 채택될 예정이다. 또한 '비식별 보증 요구사항'(X.rdda) 국제표준을 개발하고 있다.

우리 정부도 데이터 활용 요구에 대처하기 위해 다양한 시도를 추진하고 있다. 비식별화에 대한 법적 근거를 강화하기 위해 2018년 11월에 개인정보보호법, 정보통신 이용 촉진 및 정보보호 등에 관한 법(이후 정보통신망법), 신용정보 보호법 등(이후 데이터 3법) 을 개정하기 위한 개정안이 의원 발의로 국회에 상정되었다. 개인정보 보호법 개정안에서는 개인정보 개념을 좀 더 명확화했다. 이를 위해 개인정보로 판정할 때 개인정보의 입수 가능성과 식별하기 위해 필요한 시간, 비용, 자원을 고려하도록 했다. 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 가명 정보라는 개념을 도입해 개인정보의 가명 처리의 법적 근거를 마련했다. 보안시설을 갖춘 국가 지정 전문기관에서 데이터 결합의 수행을 가능케 하여 여러 소스에서 수집된 데이터의 결합 근거를 마련했다. 가명정보의 안전 조치를 의무화해 비식별 처리기관의 책임성을 강화했다. 정보통신망법, 신용정보보호법, 개인정보보호법으로 분산해 있던 법률 체계를 개인정보 보호법으로 일원화했다. 행정안전부 등 여러 부처로 분산되어 있던 개인정보 보호체계를 개인정보 보호위원회로 일원화했다.

문재인 대통령도 2018년 8월 스타트업 캠퍼스 규제 혁신 현장을 방문해 "데이터 고속도로를 구축하겠다"라고 천명했고, 최근 국무회의에서 조속한 데이터 3법 처리를 국회에 주문한 바 있다.

4차혁명 시대에 발맞춰 국회 역시 데이터 3법 개정안 처리가 시급하다는 데에 공감을 모은 것으로 알려지고 있다. 첨예한 이견 대립이 있는 게 아니기 때문에 개정안 처리가 곧 이뤄질 것이라는 견해도 있다. 그러나 개정안 일부 사항에 대한 개선이 필요하다는 의견도 있다. 구체적으로 가명 정보 활용에 상업적 목적을 포함할 지, 개인정보 활용 측면에서 개인정보 보호위원회의 역할을 보완하고, 데이터 결합 기관을 민간회사까지 확대해야 하는지 등이다.

데이터 3법이 통과되기 위해서는 국회에서 3 번의 심의가 요구된다. 국회 행정안전위원회애선 개인정보 보호법 개정안을 심의해야 하고, 과학기술정보방송통신위원회는 정보통신망법에서 개인정보 보호 관련 조항을 삭제하는 개정안을 심의해야 하며, 정무위원회에서도 신용정보법 개정안을 심의해 통과시켜야 한다. 데이터 3법 개정안 처리 시 다음 사항이 고려되어야 한다.

첫째, 데이터 3법 개정안 통과는 데이터 중심 사회에서 개인정보 보호와 활용을 절충할 수 있는 법적 근거를 제공한다. 이번 국회 회기 임기가 내년 초에 끝나는 점을 고려하면 시간이 많이 남지 않은 상황이다. 이번 국회 회기에서 제기되었던 중요한 입법안이므로 이번 회기 내에 처리하는 것이 바람직하다. 또한 이 개정안이 우리나라에 대한 유럽연합 집행부의 '개인정보 적정성 평가'의 전제조건이 되고 있음을 고려해야 한다.

둘째, 모든 법 제도가 처음부터 완벽할 수 없음을 고려하면, 개인정보 가명화 (비식별화)는 개인정보 활용과 보호 간 절충을 제공하는 것으로 볼 수 있다. 다만, 가명화의 안전성 강화를 위한 노력은 지속되어야 한다. 셋째, 가명 정보 활용 범위에 공익적 목적 및 상업적 목적 이용도 포함하는 것이 바람직하다. 이렇게 해야 국내 기업들의 국제 경쟁력을 확보할 수 있을 것으로 보인다. 데이터 결합 기관은 보안관리가 용이한 한국인터넷진흥원 등 공공 기관에 의해 제공되도록 하는 게 필요하다. 넷째, 개인정보 보호위원회는 과기정통부 등 개인정보 활용 부처와의 정책 협력을 강화해야 한다. . 더불어 개인정보보호위원회 내 활용을 다룰 전담 조직 신설을 고려하거나 개인정보 보호위원회 위원에 개인정보 활용 요구사항을 정책 집행 과정에서 적절히 반영할 수 있는 ICT 전문가 임명의 고려도 필요하다.

얼마 남지 않은 20대 국회 임기를 고려해 데이터 3법 개정안을 조속히 통과해 우리나라 데이터 경제의 실현의 초석을 마련해야 할 것이다.

[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]

추천기사