갈 길 멀지만 고비는 넘긴 '데이터 3법'에 업계가 주목하는 이유

[IT동아 강형석 기자] 기술은 꾸준히 진화하고 있다. 이 기술은 우리의 삶을 편하게 해주기도 하지만 부가가치를 창출하기 위한 도구로 쓰이기도 한다. 전 세계에서는 최근 몇 년간 4차산업혁명이 부각되면서 관련 기술에 대한 개발과 활용 논의가 활발히 이뤄지는 중이다. 인공지능(A.I)·빅데이터 등을 시작으로 핀테크(테크핀)·사물인터넷(IoT) 등 기술 기반 서비스가 하나 둘 등장하고 있다. 때문에 향후에는 하나하나 취득한 ‘데이터’가 중요한 자원이 될 것이라는 이야기도 나온다.

이런 데이터는 단순히 0과 1로 이뤄진 것도 있겠지만 개개인의 중요 정보도 포함될 수 있다. 이것을 어떻게 다루는가에 따라 세상이 이로워지거나 혹은 혼란에 빠질 것이다. 그 사이의 균형을 잡고 데이터를 효과적으로 활용할 수 있도록 하는 것이 규제가 해야 할 일이다. 해외에서는 이에 대한 움직임이 빨랐던 것과 달리 우리나라는 조금 뒤쳐진 감이 없지 않았다.

하지만 우리나라도 정보를 효과적으로 다루기 위한 첫 발을 내딛기 시작했다. 지난 11월, 개인정보 보호법과 신용정보 보호법 개정안이 지난 12월 4일에는 정보통신망법 개정안이 국회 상임위원회를 통과해 본회의 의결을 남겨두고 있는 상황이다.

이 세 가지 법안에 대한 개정안은 ‘데이터 삼(3)법’이라 불러왔다. 새로운 서비스와 기술, 제품 개발에 필요한 정보가 여러 부처에 의해 중복 규제되고 있었는데, 이를 일원화 함으로써 개인과 기업이 정보를 활용할 수 있는 폭을 넓힐 수 있기 때문이다. 이면에는 개인정보의 암호화와 가명 처리 등의 안전조치 마련, 독립 감독 기구 운영 등이 핵심인 유럽연합의 일반개인정보보호법(GDPR)에 대응하기 위한 준비 작업이기도 하다. 하지만 데이터 삼법이라는 이야기는 자주 듣지만 세부적인 내용을 확인하기 쉽지 않다. 이에 각 법안의 개정안은 어떤 내용을 담고 있는지 확인해 봤다.

개인정보 보호법 개정의 핵심은?

개인정보 보호법 개정안의 주요 내용을 보면 크게 네 가지로 분류된다. 하나는 개인정보와 관련된 개념을 개인정보·가명정보·익명정보로 명확히 구분하는 것. 두 번째는 가명정보를 처리하거나 정보집합물을 결합하는 경우 관련 기록을 작성·보관하는 등 안정성 확보조치(대통령령 내)를 하고 특정 개인을 알아보는 행위를 금지한다. 세 번째는 행전안전부의 기능을 개인정보보호위원회로 이관하고 개인정보 보호 컨트롤타워 기능을 강화한다는 것(위원회는 국무총리 소속 중앙행정기관으로 격상). 마지막은 개인정보 보호 관련 규정을 삭제하면서, 국외 이전 시 보호 조치, 국외 재이전, 국내대리인, 손해배상 보험 등 현행법과 다르거나 정보통신망법에만 있는 규정을 특례로 규정하도록 했다.

먼저 개인정보와 가명정보, 익명정보에 대한 분류가 무엇인지 확실히 할 필요가 있다. 예로 IT동아, 강형석, 38세, 070-8255-8208, redbk@itdonga.com 등 정보가 그대로 담겨 있는 것을 개인정보라 한다면 이 일부를 확인할 수 없게 바꾼 것을 가명정보라 부른다. IT동아, 강XX, 30대, 070-XXXX-XXXX, XXXXX@itdonga.com 등으로 변경된 형태다.

익명정보는 식별자를 완전히 삭제하는 것을 의미한다. 나이나 성별 혹은 주소 등 준식별자에 해당하는 정보를 범주화해 누구인지 정확하게 특정할 수 없도록 처리한 것이다. 예로 이름은 확인할 수 없지만 나이 정보(30대)만 제공되거나 주소를 간략히 간략하게(서울시 마포구) 범주화 하는 식으로 다룬다.

개인정보 보호법 개정안은 이런 정보를 다를 때의 목적과 과정을 명확히 하는데 있다. 가명정보는 통계작성·연구·공익적 기록 보존의 목적이라면 정보 주체의 동의가 없어도 처리 가능하도록 했다. 또, 서로 다른 기업이 보유하고 있는 정보집합물은 대통령령이 정하는 전문기관(보안시설을 갖춘)을 통해 결합하거나 승인 하에 반출이 가능하도록 허용했다. 이를 위반하면 형사벌·과징금 등의 벌칙을 부과하도록 했다. 만약 특정 개인 파악이 가능한 정보가 생성됐다면 처리를 중지하고 즉시 회수 및 파기해야 된다.

개인정보의 오·남용과 유출 등을 감독하는 기구는 개인정보보호위원회가 담당하는데 이를 국무총리 소속 중앙행정기관으로 격상해 권한이 강화된다. 또한 관련 법률의 유사·중복 규정은 개인정보 보호법으로 일원화하면서 부처간 혼란을 어느 정도 막았다.

정보통신망법 개정의 핵심은?

정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률)의 개정안은 의외로 깔끔하다. 주요 규정이 삭제되면서 개인정보보호법 개정안으로 이관되는 형태다.

하나씩 살펴보면 이렇다. 개인정보의 개념, 정보통신서비스 제공자 및 이용자의 책무, 정보통신이용촉진 및 정보보호등에 관한 시책의 마련, 개인정보의 수집·이용 동의, 개인정보의 수집 제한, 개인정보 제공, 개인정보 처리위탁, 영업의 양수 등에 따른 개인정보의 이전, 동의를 받는 방법, 개인정보처리방침의 공개, 개인정보 유출 등의 통지·신고, 개인정보의 보호조치, 개인정보의 누설금지, 개인정보의 파기, 이용자의 권리, 법정대리인의 권리, 손해배상, 법정손해배상의 청구, 노출된 개인정보의 삭제, 국외 이전 시 보호조치, 국외 재이전, 국내대리인, 손해배상 보험, 상호주의 등을 포함한 다수의 규정이 포함된다.

이렇게 보면 상당히 많은데, 개인정보 보호법이 개정되면서 해당 내용들이 상당부분 비슷하거나 동일하게 변경되었기 때문에 이관되었다 볼 수 있다.

신용정보보호법 개정의 핵심은?

신용정보법 개정안은 다섯 가지로 나뉜다. 첫 번째는 개인신용정보 정의 규정 등의 개정. 두 번째는 개인신용정보의 수집·이용 관련 정비. 세 번째는 가명정보 처리를 통한 개인신용정보 활용 가능성 확대. 네 번째는 개인정보보호위원회 업무 권한 범위의 확대. 마지막은 신용정보 관련 산업의 규제체계 개정이다.

개정안은 특정 신용정보주체를 식별할 수 있는 정보와 신용정보주체의 거래 내용과 신용도 등을 판단할 수 있는 정보로 나누고, 여기에 특정 신용정보주체를 식별할 수 있는 정보를 개인정보보호법 개정 법률안과 동일한 형태로 정의하는 것에 초점을 맞추고 있다. 추가적으로 자동화 평가와 전송요구권이 도입됐으며, 자동화 평가에 대한 의의제기권을 신설했다.

개인신용정보 처리가 개인정보보호법과 유사한 체계로 정비되었다. 때문에 개인신용정보의 위탁 처리에 대한 동의가 필요 없어졌다. 가명정보에 한해 통계작성·연구·공익적 기록 보존의 목적이라면 정보 주체의 동의가 없어도 처리 가능한 것도 같다. 당연히 그에 대한 책임도 동일하다. 금융위원회가 담당하던 집행권한도 개인정보보호위원회에게 일부 이관되는 것도 마찬가지다.

신용조회업의 업무 범위를 개인신용평가업, 개인사업자신용평가업, 기업신용조회업으로 구분했고, 전문개인신용평가업이 추가 도입됐다. 개인신용평가업은 금융거래에 대한 개인신용정보 외 개인신용정보만을 활용하여 개인인 신용정보주체의 신용상태를 평가하게 되고, 요구 자본금 기준도 낮췄다. 신용정보 관련 산업에 대한 재정비가 이뤄진 셈이다.

이 외에 본인신용정보관리업이 도입됐는데, 개인의 신용관리를 지원하기 위해 본인의 신용정보를 일정한 방식으로 통합, 당사자에게 제공하는 서비스 사업자다. 하지만 중요한 개인 정보를 다루게 되므로 스크린 스크레이핑(웹사이트 혹은 문서 파일로 데이터 추출)이 아닌 API(응용프로그램을 위한 제어 방법)와 같은 안전한 형태로 정보를 제공 받도록 했다.

데이터 3법 통과로 인한 효과는?

아직 본회의라는 엄청난 장벽이 남아 있는 데이터 삼법. 만약 법안 통과가 이뤄진다면 4차산업혁명 시대의 핵심 자원이라 꼽히는 데이터를 기업이 이용할 수 있는 토대가 마련된다. 중요성은 인지됐지만 데이터 활용에 대한 제약으로 발전이 어려웠던 인공지능·빅데이터·사물인터넷 등을 활용하는 여러 산업군에서 서비스를 개발하는데 도움이 될 것으로 기대된다. 가명 정보와 데이터 결합 등을 활용하면서 새 기술·제품·서비스를 선보일 수 있어서다.

물론, 기업의 책임도 부여된다. 가명 정보와 데이터 결합 과정에서 발생할 수 있는 개인정보 유출을 방지하기 위한 규정이 추가되어 있다. 이 부분은 100% 완벽하지 않으므로 추후 끊임 없는 논의를 통해 착실히 보완해 나가야 할 것이다.

글 / IT동아 강형석 (redbk@itdonga.com)