빅데이터 이용한 개별 소비자 맞춤형 서비스 기대
가명정보 활용 범위⋅2차 활용 승인 전문기관 구체화 필요
"산업 발전도 좋지만 개인정보 국외 유출 대응책도 마련해야"
지난 9일 국회 본회의를 통과한 ‘데이터 3법(개인정보법·신용정보법·정보통신망법 개정안)’ 관련, 기업들은 "국내 빅데이터 산업 발전의 물꼬가 트였다"고 환영하면서도 "이제 시작"이라는 분위기다. 올 7월부터 시행되는 데이터 3법이 제대로 된 실효성을 갖추려면 개인정보의 활용 가능 범위를 보다 명확히 하고, 관계 기관의 업무 절차를 구체화하는 등 아직 법에서 미처 다루지 못한 공백을 채우는 게 중요하다는 지적이다.
데이터 3법은 특정 개인을 못 알아보게 처리한 ‘가명정보’ 개념을 도입해 이를 개인 동의 없이도 쓸 수 있도록 하는 것이 골자다. 처리 목적은 ‘통계 작성, 과학적 연구, 공익적 기록보존 등’에 한하도록 규정하고 있다.
데이터 3법과 관련해 기업이나 시민단체 등에서 가장 우려하는 부분이 가명정보 활용의 구체적인 범위다. 기업의 개인정보 활용 근거가 데이터 3법에서 정한 처리 목적 중 하나인 ‘과학적 연구’인데, 아직 법 자체만으로는 기업들이 가명정보를 어떤 조건에서 어떻게 활용할 수 있는지 모호하다는 것이다. 한국과학기술총연합회도 13일 데이터 3법 통과에 대해 "산업발전과 연구개발이 활성화 될 것으로 기대한다"면서도 "가명(정보) 처리 방식은 구체적으로 규정되지 않는 등 후속조치 필요성이 제기되고 있어 우려의 시각도 공존하고 있다"고 지적했다.
개인정보법 개정안에서는 과학적 연구를 ‘기술의 개발과 실증, 기초연구, 응용연구 및 민간 투자 연구 등’이라고 정의하고 있다. 그러나 이 정의만 봤을 때 기업이 상업적 목적으로 어디까지 써도 되는지가 불명확해 하위 법령인 시행령 제정 과정에서 보다 구체화될 필요가 있다. 또 시민단체를 중심으로 데이터 3법 통과 시 소송을 제기해 저지하겠다고 예고한 바 있어 대법원과 헌법재판소에서 법적 해석을 내리기까지 다소 시간이 걸릴 것으로 보인다.
구체화가 필요한 또 다른 부분은 가명정보의 2차 활용을 담당하는 전문기관의 성격이다. 데이터 3법은 개인정보를 가명정보로 처리해 쓰는 것은 허용하면서도 서로 다른 이용자끼리 이 정보를 빼내서 결합해 활용하는 것은 하지 못하도록 제한하고 있다. 별도로 지정된 전문기관의 검증 작업을 거쳤을 때만 2차적 활용이 가능하도록 예외를 두고 있다. 다만 어떤 전문기관이 이를 맡을지나, 결합·반출의 기준과 절차는 모두 대통령령에 위임하고 있다. 권헌영 고려대 법학전문대학원 교수는 "전문기관에 대한 내용은 사회적 합의가 덜 된 상태이기 때문에 다양한 의견을 수렴해 세밀하게 설계해야 한다"고 말했다.
빅데이터 산업의 컨트롤타워 역할을 하게 될 개인정보보호위원회(개보위)의 성공적인 정착도 중요한 과제다. 유럽연합(EU)은 역외 국가가 자신들의 요구 수준 만큼 개인정보를 보호하고 있는지를 따져 자체 기준인 GDPR(개인정보보호규정)을 충족해야만 역내에서 데이터 활용을 할 수 있도록 하고 있다. 그런데 한국은 개보위의 권한이나 독립성이 부족하다는 이유로 지금까지 EU의 평가를 통과하지 못했다. 개별 기업이 일일히 GDPR의 평가를 받아야 했다.
대통령 직속으로 2011년 설립된 개보위는 이번 데이터 3법 개정과 함께 중앙 행정기관으로 격상되게 됐다. 그동안 행정안전부, 방송통신위원회, 금융위원회 등 3개 부처에 나뉘어 있던 개인정보 관리·감독 업무도 개보위를 중심으로 하나로 통합될 예정이다. 이번 법 개정을 통해 새롭게 변신한 개보위가 위상을 제대로 확립한다면 EU의 GDPR 적정성 평가는 어렵지 않게 통과할 수 있을 것으로 기대된다.
다만 김민호 성균관대 법학전문대학원 교수는 "EU 진출도 중요하지만 우리 국민들의 개인정보가 국외로 이전될 경우에 대한 관리 방안도 고민해봐야 한다"며 "국외 이전 관련 규정은 데이터 3법에 미처 담지 못했기 때문에 그에 대한 제도적 장치가 마련돼야 할 것"이라고 말했다.