29일 국회 본회의 앞두고 데이터 3법 개선 방향 간담회
"미래 경제를 위해 양보할 것인지, 말 것인지 결단해야"
"세계 최고 안면인식 기술 보유한 中은 철저한 통제 사회"
"개인정보 보호와 활용의 조화라고 하는데 이 둘은 양립할 수 없습니다. 좀 더 솔직할 필요가 있습니다. 이제 시간이 없습니다."
김민호 개인정보보호법학회 회장(성균관대 법학전문대학원 교수)은 28일 국회의원회관에서 열린 ‘데이터 3법 개정과 구체적 개선방향’ 간담회에서 이 같이 말했다. 이날 간담회는 국회 경제재도약포럼과 스타트업얼라이언스 주최로 열렸다.
당초 국회는 이른바 ‘데이터 3법’(개인정보보호법, 정보통신망법, 신용정보법 개정안)을 지난 19일 본회의에서 처리할 예정이었다. 그러나 아직 소관 상임위원회 심사를 마치지 못했다는 이유 등으로 본회의에 상정조차 되지 않았다. 여야는 다음 본회의가 열리는 29일에는 통과시키겠다고 했지만 현재 개인정보보호법 개정안만 소위 전체회의를 통과했다. 나머지 정보통신망법과 신용정보법은 지금도 소위에 머물러 있는 상태다.
이날 간담회에서 ‘개인정보보호법 개정안에서 미처 담지 못한 쟁점들’이란 주제로 발표를 한 김 회장은 데이터 3법과 관련해 "통과 가능성을 굉장히 비관적으로 보고 있다"며 "쉽지 않을 것"이라고 했다. 그는 "국민적 합의와 결단이 필요하다"며 "우리 경제의 미래를 위해 약간의 개인정보 보호에 대한 양보가 있어도 괜찮은 건지, 아니면 (개인정보 침해가 전혀 없는) 자유로운 사회에서 살고 싶은 건지 정해야 한다"고 했다.
김 회장은 한국과 중국의 안면인식기술을 사례로 들었다. 김 회장은 "중국은 13억명의 얼굴을 단 1초만에 식별해내는 기술을 갖고 있다"며 "개인정보보호법이 없어서 13억명의 데이터를 가지고 개발했기 때문"이라고 했다. 그러면서 "반면 우리는 안면인식 업체들이 잘 해봐야 1000명을 갖고 실험을 한다"며 "중국과 게임이 되겠느냐"고 했다. 그는 "반대로 생각하면 중국은 13억명의 데이터를 통해 뛰어난 안면인식 기술을 갖고 있지만 철저히 통제된 삶을 산다"고 했다.
김 회장은 "계속 옳냐 그르냐만 가지고 싸우면 끝이 없다"며 "개인정보 보호와 활용의 개념이 아니라, 얼마만큼 양보를 해서 어느정도의 침해를 용인할 것인지에 대해 합의점을 도출해야 한다"고 했다.
김 회장은 또 앞으로 데이터 3법이 통과될 시 감독기구가 될 개인정보보호위원회의 집행력을 강화해야 한다고 주장했다. 그는 "공공기관의 개인정보 유출에 대해서는 시정권고나 명령 등을 통해 관리하고, 민간에 대해서는 지도점검과 과징금 등을 통해 집행력을 확보해야 한다"며 "무엇보다 기업 입장에서 가장 겁내는 게 돈이기 때문에 엄청난 액수의 과태료나 과징금, 징벌적 손해배상 등을 적용하면 실효성을 확보할 수 있다고 본다"고 했다.
◇데이터 주권 우려도… "유럽 겨냥했다는데 국외 이전 제한 전혀 없어"
이날 김 회장과 함께 간담회 발표자로 나선 김현경 서울과학기술대 IT정책전문대학원 교수는 '데이터 경제 vs. 데이터 주권, 그리고 데이터 이동 규범 합리화 방안'이라는 주제로 강연을 했다. 김 교수는 "데이터 경제 발전에 대한 논의는 많지만, 우리 데이터 주권에 대한 이야기는 부족하다"며 "지금 우리나라 개인정보는 대부분 미국이나 중국 등 해외로 많이 흘러갔을 것"이라고 했다.
김 교수는 "유럽연합(EU)도 데이터 주권에 대한 불안감 때문에 개인정보보호규정(GDPR)을 시행하고 있다"며 "GDPR의 핵심은 국외이전에 대한 규제"라고 말했다. 그는 "그런데 우리나라 데이터 3법이 GDPR을 겨냥하고 만들었다면서 개인정보의 국외 이전에 대한 고민은 개정안에 전혀 담기지 않았다"고 지적했다.
김 교수는 개인정보의 국외이전 규범을 미국식의 ‘자유주의 모델’, EU의 ‘상호적정성 모델’, 중국·러시아식의 ‘국가통제 모델’로 나눠 "한국에는 EU와 같은 상호적정성 모델이 적절하다"고 했다. 그는 "서로 승인을 하면 자유롭게 정보가 왔다갔다 하는 것"이라며 "이미 EU와 일본은 서로 합의를 이룬 상태"라고 전했다.
김 교수는 구체적으로는 국가, 기업, 개인 단계로 나눠서 모델을 만들어야 한다고 주장했다. 그는 "국가끼리 EU처럼 상호 간에 승인이 되면 정보 이동이 가능하도록 하는 것"이라며 "그러나 미국처럼 개인정보보호법이 없어 모든 게 자유로운 나라는 우리 정부가 외국 기업에 대해 개입을 해야 한다"고 했다. 이어 "예컨대 구글이 우리나라 법을 준수할 의지가 있다고 보이면 승인을 해주고, 반대로 ‘우리 국민 정보를 아프가니스탄에 보낸다더라’ 하면 통제하는 것"이라고 했다.
개인 단계와 관련해서는 "당사자에게 개인정보가 유출될 위험이 있다고 고지하고, ‘강한 동의’를 얻은 경우에만 국외이전을 허용해줘야 한다"고 했다.