[W포럼] '데이터3법'의 통과와 남겨진 숙제들

입력 2020.03.06 11:32

수정 2020.03.06 12:23

펼치기/접기

01분 50초 소요

2018년 11월 발의된 데이터 3법(개인정보보호법ㆍ신용정보법ㆍ정보통신망법 개정안)이 약 1년 2개월 만인 지난 1월 국회를 통과했다. 이제 추가정보 없이는 특정 개인을 알아 볼 수 없는 가명정보는 통계작성ㆍ과학적 연구ㆍ공익적 기록 보존 등을 위해 정보주체의 동의 없이 이용할 수 있다. 뿐만 아니라 통신ㆍ금융ㆍ유통 등 서로 다른 영역 간 데이터를 결합해 이용하는 것도 가능하다. 이러한 데이터 활용에서 정보주체의 권리가 침해되지 않도록 가명정보 처리나 데이터 결합 시 안전조치 의무를 부과하고 개인을 재식별하는 행위를 금지하며 위반 시 과태료나 형사처벌 외에 전체 매출액의 3%에 해당하는 과징금도 부과할 수 있다. 법 개정으로 인해 다양하고 새로운 혁신적 기술ㆍ제품ㆍ서비스가 창출되고, 그간 뒤쳐진 국가 데이터 경쟁력 증진에도 박차를 가할 것으로 기대된다.

그럼에도 우리는 여기서 멈춰서는 안 된다. 이제 일부능선이며 더 중요한 고지들이 산적해 있다. 우선 법을 준수해야 하는 기업이나 국민 입장에서 적법한 데이터 처리에 혼선이 없도록 정부는 면밀한 법집행방안을 내놓아야 한다. 일례로 가명처리의 정도ㆍ절차ㆍ방법 등에 있어서 어느 정도를 이행해야 적법한지 여전히 국민과 기업은 혼란스럽다. 이미 가명처리를 전문으로 하는 비즈니스, 프로그램 등이 시판되고 있는데 이들 역시 가명처리의 법적 기준에 부합하는지 의문이다. 법적 조력을 위한 마땅한 여력이 없는 중소 스타트업은 물론 대기업조차 이러한 불명확한 가명처리의 기준에 대한 정부의 구체적 가이드라인이 절실하다.

다음으로 '개인정보 국외이전' 규정의 개선이 필요하다. 이번 데이터법의 개정에 상당한 영향을 미쳤다고 볼 수 있는 EU 일반데이터보호규칙(GDPR)의 핵심은 '개인정보 국외이전'의 엄격화다. EU 시민의 개인정보가 EU국경을 넘어서 구글ㆍ페이스북 같은 미국 IT공룡에게 이전하는 것을 엄격히 제한함으로서 데이터 주권을 지키겠다는 것이다. 따라서 유럽은 원칙적으로 개인정보 보호 수준이 유럽과 동등한 것으로 EU가 승인한 국가 또는 해외기업에게만 유럽시민의 개인정보 이전을 허용한다. 다만 해당 국가 또는 기업이 EU에 의해 적정성 결정 및 적절한 안전조치 결정을 받지 못함으로 인해 정보주체에게 발생할 수 있는 위험에 대하여 사전에 명확히 고지하고 그럼에도 불구하고 정보주체가 그러한 위험을 감수하는 경우에만 동의에 의한 이전이 가능하다.

안타깝게도 우리나라는 정보주체의 '동의'만 있으면 얼마든지 개인정보를 해외로 이전할 수 있다. 정보주체의 70%가 동의 내용을 확인하지 않고 무의식적 '클릭'만 연발한다는 2018년 개인정보보호실태조사에 의하지 않더라도, 페이스북이나 구글에게 개인정보를 제공하면서 그 처리에 대한 사항을 꼼꼼히 숙지한 국민은 거의 없을 것이다. 현행법은 자국민 개인정보 국외유출을 오로지 형식화ㆍ형해화된 개인적 '사전 동의'에만 맡겨둔 채 방치하고 있다. 이번에 통과된 개정안도 마찬가지다. 따라서 개인정보가 이전되는 국가의 개인정보 보호 수준을 국가 차원에서 사전에 스크린하고 이를 정보주체에게 명확히 알리는 조치를 부과하는 다음 개정이 필요하다.

한편 이미 정보주체의 권리 보장 방식으로 형해화돼버린 엄격한 사전동의ㆍ구분동의 방식은 재고될 필요가 있다. 앞서 언급하였듯이 '사전동의'는 무의식적ㆍ습관적 '클릭'으로 변질됐고 정보주체의 권리를 보장하기 보다는 개인정보처리자의 면책수단으로 전락해버렸다. 뿐만 아니라 구글 등 해외 기업은 포괄동의 방식이 거의 일상화돼 있으나 국내 기업은 정부의 엄격한 가이드라인으로 인해 필수ㆍ선택 사항을 구분해 동의를 받고 있다. 개인 이용자인 정보주체에게 모든 책임을 전가하면서 국내ㆍ외 기업 간 역차별적 요인으로 작용하는 '동의'방식 규정은 재고돼야 할 것이다.

전 세계적으로 유례없는 과도한 형벌규정, 정보통신망법 이관 부분과의 법 체계성 확보, 전문기관을 통한 결합의 안전성 담보 등 고민에 고민을 거듭해야 하는 사안이 산적해 있다. 어렵게 첫 걸음을 내디뎠으니 숨을 고르고 진중하게 해결해 나가야 할 것이다. 법은 지속적으로 국민의 수요를 반영하고 공익적 가치를 고양해야 하는 살아있는 '생물'이다. 데이터 3법의 완성도를 높이기 위한 다음 개정을 기대해 본다.