바야흐로 데이터 시대가 되었고, 데이터가 새로운 혁신과 먹거리의 기반임을 부정할 수 없다. 데이터는 그 성질상 그냥 두면 가치가 없고 결합을 통해 무한한 가치를 만들어 낸다. 그러나 데이터 중에 '개인정보'는 사생활 보호와 밀접한 관련이 있어서 매우 신중히 다루어야 한다. 올 1월9일 국회를 통과한 개인정보 보호법은 '가명정보'를 도입했다. 즉 개인정보 일부를 삭제하거나 대체하는 방법으로 추가정보가 없이는 특정 개인을 알아볼 수 없도록 처리하면 정보 주체의 동의 없이도 활용이 가능해졌다.
또 하나의 큰 변화는 기존 법에서 개인정보의 수집 목적과 다른 이용에 대해서는 정보주체의 동의를 받도록 한 것을 당초 수집 목적과 '합리적으로 관련된 범위' 내에서 동의 없이 개인정보를 사용할 수 있도록 한 것이다(개정법 제15조 3항, 제17조 4항). 예를 들면 A사가 고객관계관리(CRM) 데이터를 자신의 신상품 마케팅을 위하여 이용하는 것은 합리적 범위 내에서 개인정보의 추가적 이용이라고 할 수 있다.
하지만 위 사례에서 CRM 데이터를 다른 회사의 마케팅 지원을 위해 제공할 때는 합리적 범위를 벗어난 것이므로 볼 수 있으며 별도의 동의가 필요하다. 도지사가 재임 기간에 업무상 수집한 개인정보를 재임 이후 자신의 선거 캠페인을 위해 사용할 때는 합리적 관련성을 인정하기 어렵다.
시행령안은 ①추가 처리 목적과 당초 수집 목적과의 상당한 관련성 ②수집한 정황과 처리 관행에 따른 예측 가능성 ③추가 이용이 정보주체나 제3자의 이익을 부당하게 침해하지 않을 것 ④가명처리해도 추가 이용 목적을 달성할 수 있다면 가명처리할 것 등을 모두 충족하도록 했다. 이 기준은 일본의 정보보호법 관련 가이드라인과 유럽연합(EU) GDPR에 비해 까다롭고 엄격한 것으로 평가되며 데이터 활용을 위해 오랜 진통 끝에 마련한 개정법의 취지를 무력화할 수 있다는 비판이 제기되었다.
EU의 경우 당초 이용 목적과 추가적 목적 간에 양립가능성을 적극적 요건으로 규정하지 않고, 당초 목적과 양립하지 않는 방식으로 추가적 이용을 하지 않도록만 규정했다(GDPR 5.1). 소위 네거티브 규제 방식으로 적용의 유연성을 확보했다. 그리고 본래 목적과의 관련성을 판단할 수 있는 5가지 기준을 제시(GDPR 6.4)하고 이를 종합적으로 고려하도록 했다.
최근 행정안전부는 산업계의 의견을 반영, 첫 번째 요건인 추가처리 목적과 수집 목적의 관련성 부문 중 '상당한 관련성'에서 '상당한'을 삭제하고, 또 두 번째 요건에서 '수집한 정황과 처리 관행'을 '수집한 정황 또는 처리 관행'으로 수정할 것을 검토하기로 했다. 이러한 의견수렴 조치는 적절한 것으로 평가됨에도 여전히 부족하게 느껴진다. 데이터의 추가적 처리 유형과 그 사유는 현장에선 다양한 모습이 있을 수 있는데, 위 4가지 요건을 모두 만족하도록 한 것은 '합리적 관련성'의 유연한 적용을 어렵게 하며 애초 개정법 취지를 퇴색하게 할 우려가 있다.
또한 개정법은 개인정보에 대한 안전성 확보 조치와 아울러 가명처리에 관한 네 번째 요건도 두고 있다. 안전성 요건에는 암호화, 가명처리 등 다양한 조치가 있을 수 있는데, 가명처리를 요건으로 둔다면 다른 조치로 안전성을 이미 확보했음에도 추가적으로 가명처리까지 해야 하는 부담을 지우게 된다.
생각건대 '개인정보의 추가적 이용·제공'은 데이터 활용에 있어서 핵심적 사항으로서, EU와 일본 등의 입법례와 같이 합리적 관련성 판단을 당초 이용 목적과 추가적 목적을 실질적으로 비교해 어느 정도의 합리적 관련성을 갖는지를 여러 요소를 종합적으로 고려해 사건별로 적용하는 방식이 타당하다고 본다.
손승우 중앙대 산업보안학과 교수
꼭 봐야할 주요뉴스
"비트코인 500원일 때 5000만원 투자한 남친"…현... 마스크영역<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>