[데이터경제에 길을 묻다] 활용은 없고, 겹겹이 규제만…시행령부터 엉켰다

아시아경제-한국데이터법정책학회 공동 기획
(3)꼬여가는 데이터 규제

[데이터경제에 길을 묻다] 활용은 없고, 겹겹이 규제만…시행령부터 엉켰다 원본보기 아이콘

[아시아경제 조슬기나 기자, 김흥순 기자] "법의 취지와 달리 시행령에 담긴 내용을 보면 민간 기업이나 이해 당사자들을 너무 불신한다는 느낌이 강하다."

"데이터를 결합하고 실제로 사용하려면 올해 연말이나 돼야 가능하지 않을까. 현장에 적용하고 이를 준비하기까지 필요한 사항이 많은데 진도가 너무 안 나가고 있다."


8월5일 데이터3법(개인정보보호법·정보통신망법·신용정보법)이 시행되기까지 약 한 달 남은 상황에서 학계와 산업계의 우려가 커지고 있다. '데이터가 가치를 창출한다'는 데이터 경제 시대를 지향하며 이를 원활하게 사용하도록 장려하자는 법 개정 취지와 달리 하위 법령에서 오히려 규제를 강화하고 있어서다. 업계 반발이 커지자 정부는 하위 법령의 일부 조항을 삭제하거나 수정할 계획을 밝혔지만 여전히 "데이터의 '활용'보다 '보호'에만 쏠려 있다"는 지적이 뒤따른다. 아시아경제는 2일 전문가들의 의견을 토대로 데이터3법 시행령의 문제점과 개선 방향을 짚어봤다.

4가지 요건 '모두 충족'해야 이용가능
'보호'에 쏠려 법 취지 못 담아
전문가 "실제 업무 적용 어려워" 지적

전문가들이 공통으로 지적한 항목은 개인정보의 추가적 이용ㆍ제공 기준 등을 다룬 개인정보보호법 시행령 개정안 제14조 2항이다. ▲개인정보를 추가적으로 이용하기 위해서는 당초 수집 목적과 상당한 관련성이 있고 ▲개인정보를 수집한 정황과 처리 관행에 비추어 볼 때 추가적으로 이용할 수 있을 것으로 예측 가능해야 하며 ▲개인정보의 추가적 이용이 정보주체 또는 제3자의 이익을 부당하게 침해해서는 안 되고 ▲가명처리를 해도 추가적 이용 목적을 달성할 수 있는 경우 가명처리하도록 의무화해야 한다는 4가지 요건을 명시한 부분이다. 시행령에서는 이 사항을 '모두 충족'해야 개인정보의 추가 이용이 가능하다고 규정했다.


익명을 요구한 법조계 관계자는 "시행령이 개인정보 보호를 강조하고 인권침해 우려를 내세운 시민·사회단체 의견까지 반영하다보니 법에서 규정하지 않은 조항까지 담겨 앞뒤가 맞지 않는다"면서 "각호의 사항을 모두 충족하도록 한 조항은 지나치게 까다롭기 때문에 각호의 사항을 '종합적으로 고려하는'으로 수정하는 것이 바람직해 보인다"고 조언했다. 김재환 한국인터넷기업협회 정책실장도 "4가지 요건을 모두 충족하려면 실제 업무에 적용이 어렵다"며 "다수의 법적분쟁이 우려된다"고 짚었다.


대한상공회의소도 지난달 시행령과 관련한 간담회에서 '상당한 관련성'의 의미가 불명확하고, 수집한 정황과 처리 관행에 비춰 추가 이용을 예측하도록 한 것은 지나치게 엄격하다는 의견을 제시했다. 행정안전부는 이를 고려해 상당한 관련성에서 '상당한'이라는 단어를 삭제하고 '수집한 정황과 처리 관행'을 '수집한 정황 또는 처리 관행'으로 수정하는 방안에 대해 검토하겠다고 밝혔다. 논란이 된 '제3자의 이익 침해 관련' 문구는 추가로 의견을 수렴하기로 했다. 다만 가명 처리를 하지 않아도 되는 부분까지 가명을 의무화하는 내용은 검토 대상에 포함되지 않았다.

정부가 하위법령의 범위를 임의로 손보는 것이 법 체계에 반한다는 지적도 있다. 이성엽 한국데이터법정책학회 회장(고려대 기술경영전문대학원 교수)은 "데이터의 보호나 활용이라는 실질적 문제는 차치하더라도 법의 체계성은 반드시 고려돼야 한다"며 "국회가 제정한 법률의 범위를 벗어나 행정부가 하위법령을 제정해서는 안 된다"고 강조했다. 그러면서 법률에는 정보주체의 이익만을 고려하는데 시행령에서는 제3자의 이익까지 고려하도록 정해 적용 범위가 무한히 확장될 여지가 있다는 점을 문제로 꼽았다.


[데이터경제에 길을 묻다] 활용은 없고, 겹겹이 규제만…시행령부터 엉켰다 원본보기 아이콘

일부 표현 삭제에도 논란 여지 많아
가명정보 활용, 발목 잡는 겹규제
활용 가이드라인 시급

데이터3법에서 주목받는 부분은 '가명정보' 개념의 도입이다. 가명정보는 개인정보 일부를 삭제하거나 대체해 추가정보 없이는 특정 개인을 알아볼 수 없도록 익명처리한 정보를 뜻한다. 이를 활용하면 정보 주체의 동의 없이 개인정보를 추가적으로 이용하거나 제공할 수 있어 다양한 서비스나 기술 개발에 도움이 될 것으로 기대를 모았다. 대신 조건이 엄격하다. 가명정보 결합과 관련한 개인정보보호법 시행령 개정안 제29조 2·3·4항에 따르면 가명정보를 결합하고자 하는 수요기관은 이중 절차를 따라야 한다.


가령 A기업과 B기업이 개인정보보호위원회 위원장이나 관계 중앙행정기관의 장이 지정하는 전문기관에 결합신청서를 제출한 뒤 승인을 받아 전문기관 내에 마련된 안전한 분석 공간에서 결합된 정보를 분석하는 식이다. 이에 앞서 한국인터넷진흥원 등 연계정보 생성(결합키 관리) 기관을 통해 식별자를 암호화하는 과정을 거친다. 결합된 정보를 외부로 반출하려면 전문기관의 안전성 평가와 승인도 받아야 한다.


법학자들은 이 절차가 신용정보법에 비해 과도한 규제라고 지적했다. 신용정보법 시행령 개정안 제22조 4항 등에 따르면 금융회사가 데이터를 결합하고자 할 경우 금융위원회가 지정한 전문기관에 결합을 신청하고 가명·익명처리, 적정성 평가 등 충분한 안전조치를 거쳐 결합의뢰기관에 데이터를 제공할 수 있다. 개인정보보호법과 비교해 가명정보를 분석하는 장소 제한이 없고 외부 반출에 대한 조건도 간소하다.


법조계 관계자는 "결과적으로 데이터를 활용할 민간기업을 못 믿는다는 신호로 해석할 수밖에 없다. 경찰이 있다고 도둑이 사라지지 않는데, 정보의 보호라는 측면이 부각돼 개정안이 지나치게 소극적"이라며 "신용정보법 수준으로 통일해야 한다"고 주장했다. 행안부는 "결합전문기관만 거치는 신용정보법과 달리 결합키 관리 기관과 결합전문기관 두 기관을 거치도록 한 것은 외부로부터의 해킹 공격에 대비하기 위한 것"이라고 설명했다.


이 밖에 전문가들은 처리 목적이 달성되거나 보유 기간이 경과할 경우 가명정보를 파기하도록 명시한 개인정보보호법 시행령 개정안 제29조 5항에 대해서도 수정이 필요하다고 덧붙였다. 특정 개인을 알아내기 위한 목적으로 가명정보를 처리할 경우 5년 이하 징역이나 5000만원 이하 벌금 등 처벌조항이 있는데도 공들여 분석한 정보를 없애라고 별도로 규정한 것은 과도하다는 판단에서다. 이 회장은 "법에서는 비식별화된 가명정보의 파기의무를 면제했는데 시행령에 이 조항을 반영한 것도 체계에 어긋난다"며 삭제 필요성을 시사했다.


관련 학계와 산업계에서는 시행령 내 불확실성을 해소하기 위해 가명정보 등에 대한 명확한 가이드라인이 시급하다고 목소리를 내고 있지만 이마저도 일부 담당자들 사이에서만 논의가 진행될 뿐 현장과의 공유가 더딘 것으로 알려졌다. 빅데이터 기업을 운영하는 조광원 한국데이터산업협회장은 "깜깜이 형태로 (가이드라인을)만들기보다는 초안을 공개한 뒤 최종 확정되기 전까지 이해관계자의 추가 의견을 수렴해야 한다"고 강조했다.




조슬기나 기자 seul@asiae.co.kr
김흥순 기자 sport@asiae.co.kr

<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>