[CCTV뉴스=신동훈 기자] 구글, 애플, 페이스북, 아마존⋯현 시대를 대표하는 IT 공룡 기업이다. 이들은 데이터 혁신 서비스를 기반으로 성장했다. 하지만, 국내에서는 개인정보 침해 우려로 데이터 혁신이 이뤄지지 않고 있다. 이를 타진하고 데이터 활용과 개인정보 보호를 조화시킬 목적으로 ‘개인정보 비식별조치 가이드라인’이 나왔지만, 법적 근거 부족으로 오히려 기업에 혼란을 가중시키기만 했다.
오세정 의원은 이런 혼란을 막기 위해 개보법 개정안을 마련할 필요가 있다고 보고 유럽연합의 GDPR(유럽 일반 개인정보 보호법)의 입법례를 참고해 추가적인 정보 없이는 특정 개인을 알아볼 수 없도록 가공한 가명정보의 활용 및 관리에 관한 사항을 규정했다. 또한, 다른 정보와 결합해도 개인을 알아볼 수 없도록 가공한 익명정보는 이 법의 적용 대상이 아님을 명시했다. 개정안에 명시한 가명정보에 대한 구체적인 내용과 데이터 시대…데이터 활용과 개인정보의 안전한 활용을 위한 법적 근거 마련 등을 오세정 의원에게 들어보았다.
Q. 현행 개인정보보호법과 비식별 개인정보보호 가이드라인의 문제점은 무엇인가?
정보통신 기술과 데이터 분석기법의 발달로 과거에는 익명정보로 여겨져 활용이 가능했던 개인정보가 현행 개인정보보호법에서는 이용이 불가능해진 경우가 매우 늘어났다. 데이터 수집이 활발해지는 미래에는 이런 경우가 더욱 증가할 것으로 예상되어 활용 가능한 익명정보는 거의 남지 않게 되는 현상이 발생 할 전망이다. 이를 보완하기 위해 정부에서 개인정보 비식별조치 가이드라인을 발표하였지만 법적인 효력이 없어, 여전히 개인정보보호법의 규제를 적용 받게 되는 문제가 발생하고 있다. 기업이나 연구기관이 개인정보를 활용할 수 없는 상황은 변함없이 지속되고 있는 것이다.
Q. 앞에서 얘기한 문제점을 타파하고자 발의한 개보법 개정안의 주요 내용은 무엇인가?
빅데이터, 인공지능, 사물인터넷 등 신기술 영역에서 구글, 애플, 아마존, 페이스북으로 대표되는 글로벌 IT기업들은 데이터 기반의 다양한 혁신 서비스를 출시하고 있다. 반면, 한국은 IT 분야 전반의 높은 경쟁력에도 불구하고 활용 가능한 정보 범위의 모호함으로 대표되는 개인정보보호법체계의 문제로 데이터를 활용한 서비스 출시가 매우 제한적인 상황이다. 연구개발 현장에서도 과도하고 모호한 개인정보보호 규제체계로 데이터 활용에 어려움을 토로하고 있다. 이처럼, 데이터 활용이 제약됨으로 인해 산업발전과 연구개발이 제한되는 문제 상황을 합리적으로 해결하기 위해 개정안을 발의했다.
개정안은 △가명처리와 가명정보에 대한 정의 신설 △가명정보를 이용하거나 제3자에게 제공하는 경우, 공개의무 부여 △정보주체의 거부권 보장 △가명정보의 처리·보관과 관련한 의무사항 등을 규정하고 있다.
Q. 데이터 시대를 대비해 가명정보를 명시한 것이 중요한 사항으로 보인다.
사회의 발전 속도는 법과 제도의 발전 속도 보다 빠르다곤 하지만, 정보통신 기술의 발전 속도는 사회의 발전 속도 보다도 훨씬 빠르다. 이러한 현실을 반영해 개정안의 핵심적인 기술적 조치와 관련한 부분에 대해 대통령령으로 위임하여 빠른 기술변화에 대응하고자 한다. 위임 조항은 △가명정보 이용의 공개 방법 △가명정보와 결합가능 정보의 분리 보관 방법 △가명정보의 보안조치 방법 △재식별된 개인정보의 회수·파기·재식별화 방법 등이다.
Q. 법안 발의시 GDPR 입법례를 참고해 가명정보 활용 및 관리 사항을 규정했다. 유럽법을 국내 기준에 맞게 고치기 위해 어떤 과정을 거쳤는가?
이미 국내의 개인정보보호 법제와 정부의 개인정보 비식별 조치 가이드라인을 만드는 단계에서 EU의 개인정보보호법(GDPR) 이전 규제체계인 ‘EU 개인정보보호지침(Directive 95/46/EC)’이 상당부분 참고되어 작성된 것으로 알고 있다.
물론 GDPR과 국내 개인정보보보호법이 구조와 정의에 있어 차이점이 있지만, 국내 개인정보보호법 체계와 형태적으로 유사성이 높기 때문에 이를 참고해 국내 사정에 맞게 성안했고, 국내 학계와 법조계, 산업계, 시민단체의 다양한 의견을 청취하는 단계를 거쳐 법안을 발의했다.
특히 EU GDPR과 개인정보보호법 간 작지만 큰 차이를 가지고 있는 부분은 ‘개인정보’의 개념정의이다. EU GDPR의 경우에는 개인정보를 자연인 또는 정보주체와 관련한 모든 정보로 정의하고 있는 반면, 국내 개인정보보호법은 개인정보를 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보로 좁게 정의하고 있는 것을 볼 수 있다. 그 결과, 비식별조치의 범위와 방식에 대한 차이를 포함해, 법체계 전반의 차이가 발생하고 있다.
Q. 가명정보에 대해 규정하는 한편, 익명정보는 이 법의 적용 대상이 아님을 명시했다. 익명과 가명의 차이는 무엇이고 어떤 의미인가?
익명정보는 다른 정보와 결합해도 개인을 식별할 수 없는 정보로 대부분의 나라에서 개인정보로 보지 않아 규제대상이 아니다. 반면, 가명정보는 다른 정보와 결합할 때 개인을 식별할 수 있는 정보로 정의할 수 있는데, 이는 현행 국내 개인정보 보호법제 상으로는 개인정보에 해당한다.
정보통신 기술 및 데이터 분석·활용기술의 발전으로 과거 익명성을 가지는 것으로 평가되던 정보가 데이터 분석 및 조합 과정을 거치면서 개인 식별가능성을 가지는 정보로 전환될 즉 가명정보로 전환될 가능성이 높다. 하지만, 익명정보와 가명정보의 법적 개념을 구분하지 않는 경우에는 익명정보에 해당하는 정보를 불필요하게 가명처리하는 비용이 발생한다. 익명정보의 범위가 남아있는 한 이에 대한 영역을 가명정보와 분리하는 것은 의미가 있다고 판단된다.
Q. 현재 개보법 관련한 여러 발의안들이 상정된 상태이다. 데이터 시대, 본 발의안을 통해 기대하는 바는 무엇인가?
비식별 개인정보 활용을 위한 개보법 개정안들이 여러 건 발의 된 상태이다. 하지만, 국회에서는 이 법안들의 처리를 위한 논의가 제대로 진행되고 있지 않다. 모든 원내교섭단체에서 개정안을 발의한 만큼, 해당 국회 상임위원회인 행정안전위원회에서 조속한 심사가 이뤄져 데이터기술 시대를 대비해야 할 것이다.
데이터기술 시대를 대비하여 정보주체의 권리가 침해되지 않도록 보다 안전한 법적·제도적 장치를 강구함과 동시에 개인정보의 유용한 활용을 보장할 필요가 있다. 개정안은 가명처리된 개인정보를 법령이 정하는 절차와 방식에 따라 활용할 수 있게 함으로써 개인정보를 데이터로 활용할 수 있게 함과 동시에, 개인정보자기결정권과 프라이버시의 실질적인 보장이 될 수 있도록 했다. 이를 통해 국민 생활에 도움이 되는 정책과 서비스가 마련 될 수 있을 것으로 기대하고 있다.
