개인정보 보호에 막혀 빅데이터 침몰할 판

[규제의 민낯⑨] 개인정보보호법·정보통신망법·위치정보법 등 규제에 둘러싸인 빅데이터

빅데이터(이미지=게티이미지뱅크)

[아시아경제 김철현 기자, 이민우 기자] 애플리케이션 사용자들의 정보를 토대로 개인의 취향을 분석해 맞춤형 여행ㆍ맛집 서비스를 제공하는 사업 모델로 창업을 준비하던 김준호(가명ㆍ40)씨는 최근 관련 법을 살펴보다 크게 좌절했다. 개인정보를 활용하기 위해선 반드시 사전 동의를 얻도록 개인정보보호법, 정보통신망법 등에 규정돼 있는데 이 과정과 비용이 만만치 않아서다. 사용자의 위치에 따라 최적화된 실시간 정보를 제공하는 기능은 위치정보법으로 이미 접은 터라 실망은 더 컸다. 김씨는 "개인정보와 관련 없는 사업 모델로 바꿔야 하는 것 아닌지 고민 중"이라고 토로했다.빅데이터를 활용한 사업 모델로 창업을 할 스타트업이 들여다봐야 할 법은 한 두 개가 아니다. 개인정보보호법, 정보통신망법, 위치정보법 등 개인정보 보호를 명시한 법들을 우선 신경을 써야 하고, 다루는 정보의 종류에 따라 신용정보보호법, 의료법 등을 위반할 수도 있다. 각 법들이 규정하고 있는 개인정보의 범위도 모호해 선뜻 이를 활용한 서비스 도전에 나서기 쉽지 않다는 게 스타트업들의 고민이다. 초고속 인터넷과 스마트폰 보급 등으로 빅데이터 축적과 활용을 위한 인프라가 매우 우수하지만 정작 개인정보 보호라는 규제에 막혀 이를 기반으로 한 혁신에서는 한참 뒤처져 있는 것이 우리의 실상이다. 빅데이터 경영의 석학으로 평가 받는 미국 밥슨칼리지의 톰 데이븐포트 교수가 "한국은 빅데이터의 금광을 가지고 있는데도 그걸 캐내지 못하고 있다"고 꼬집은 것도 그 때문이다.

◆어디까지가 개인정보?=우리의 개인정보 보호법제인 개인정보보호법, 정보통신망법, 위치정보법은 모두 개인을 식별할 수 있는 정보뿐만 아니라 직접 식별이 안되더라도 다른 정보와 쉽게 결합해 알아볼 수 있는 경우도 개인정보로 보고 있다. '식별 가능성'이 개인정보의 핵심인 셈이다. 하지만 데이터 분석 기법과 네트워크 기술의 발전으로 그 범위는 모호해졌다. 식별 가능성이 없는 정보였다가 다른 데이터와 조합ㆍ분석되면서 개인을 식별할 수 있게 되는 경우도 생긴 것이다. 처음엔 쓸 수 있는 정보라고 여기고 서비스를 만들었는데 사업을 벌이고 보니 위법이 되는 경우가 발생할 수 있다는 얘기다. 최경진 가천대 법대 교수는 "넓은 범위의 개인정보 개념을 이용하면서도 다양한 형사적, 행정적 제재를 인정하고 있다"며 "개인정보의 성질, 관련규정 위반 시 위법성 혹은 권리 침해의 정도 등을 묻지 않고 너무 과도한 제재를 하는 것은 아닌지 반성이 필요하다"고 했다.

각 법의 규정이 상충돼 혼란이 야기된다는 지적도 있다. 김기창 고려대 법학전문대학원 교수는 "정보통신망법의 일부 분야에서는 개인정보 사용에 대한 동의를 구해야 한다는 내용이 없는데 개인정보보호법에는 동의를 구해야 한다고 돼 있는 등 혼란을 겪을 여지가 있다"고 지적했다.

◆개정안 핵심은 '비식별조치'=이처럼 개인정보보호 법제에 가로막혀 빅데이터 산업이 좀처럼 활성화되지 않자 정부와 국회가 내놓은 해법은 '비식별조치'에 맞춰져 있다. 해외 사례를 봐도 미국, 유럽연합(EU), 일본 등에선 이미 비식별 조치가 된 정보를 활용할 수 있는 법적 근거가 마련됐다. 2016년 6월 정부부처 합동으로 발표한 '개인정보 비식별 조치 가이드라인'은 비식별화가 이뤄진 정보는 개인정보가 아닌 것으로 보고 관련 법이 규정한 강력한 사전 동의 규제를 적용하지 않는 것을 골자로 한다.

국회의원들이 여야 가리지 않고 쏟아낸 개정안의 핵심도 마찬가지다. 20대 국회 들어 배광덕 의원은 '빅데이터 이용 및 산업진흥에 등에 관한 법률안'을 대표 발의했는데 비식별화된 개인정보는 동의 없이 이용할 수 있다는 내용을 담았다. 최근 발의된 송희경 의원의 개인정보보호법 일부 개정 법률안도 비식별화된 개인정보를 좀 더 폭넓게 활용할 수 있도록 하자는 내용이었고, 변재일 의원의 개정안은 가명처리 정보를 개인정보로 취급하지 않고 활용할 수 있도록 하고 안전한 관리를 하자는 것이었다. 진선미 의원의 개정안 역시 비식별 조치를 거친 가명정보를 사용할 수 있도록 한 것이 주 내용이었다. 하지만 아직 입법으로 이어지지는 않았다.

◆개인정보 체계 일원화 가능할까=시민단체 등에서는 개인정보 활용에 앞서 보호체계에 대해서 충분한 논의가 필요하다는 입장이다. 지난 3일 대통령 직속 4차산업혁명위원회가 개최한 3차 해커톤에 참여한 경제정의실천시민연합, 녹색소비자연대 등 시민단체들은 "개인정보보호법, 정보통신망법, 신용정보보호법 등 개인정보 보호를 다루고 있는 여러 법을 개인정보보호법으로 일원화하고 개인정보 감독기구로서 개인정보보호위원회의 독립성과 권한을 강화해야 한다"고 주장했다.

김기창 교수는 "여러가지 법을 종합적으로 검토하고 자문을 구하는 등의 비효율적인 절차를 줄이기 위해서라도 정보통신망법, 의료법, 신용정보보호법 등 다양한 법에 퍼져있는 개인정보 관련 내용을 개인정보보호법의 세부 조항으로 편입시키는 게 나을 것"이라며 "관련법이 여러 가지인 만큼 소관 부처도 여러 곳으로 나뉘어 있어 시어머니만 많은 상태인데, 규제 경쟁을 해소하기 위해서도 일원화된 법과 전담 기구가 필요하다"고 지적했다. 반면 김형중 고려대 정보보호대학원 교수는 "여러 이해관계의 충돌, 부처 간 이기주의 등으로 개인정보보호 업무를 일원화하기는 힘들 것"이라며 "무조건적으로 일원화하기보다는 가능성이 높은 부분부터 균형점을 찾아 나서는 게 중요하다"고 말했다.

김철현 기자 kch@asiae.co.kr
이민우 기자 letzwin@asiae.co.kr