데이터3법 시대 개인정보보호법 정비 어떻게?

"체계적 법 검토 아쉬워"

가 +
가 -

데이터 3법이 국회 문턱을 넘었지만,  데이터 활용이냐 보호냐를 두고 지난한 갈등이 반복되면서 후속 입법 과정이 만만치 않을 것이란 얘기도 많다. 이러한 가운데 일본의 개인정보보호법을 참고해 법을 재정비할 필요가 있다는 전문가들의 목소리도 커지는 분위기다. 일본의 개인정보보호법과 비교해 한국의 법령 개정은 정치적 논쟁 속에 전문적인 법 검토가 부족하다는 것이 이들의 주장이다.

지난 1월22일 네이버가 개최한 프라이버시 세미나에서도 이와 관련한 주장들이 쏟아졌다.

손형섭 경성대학교 법정대학 교수는 “한국 개인정보보호법이 일본과 비교했을 때 체계적인 법 정비가 필요하다”라며  “지금 대한민국에서 관련 입법 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해 법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인 검토가 진행되고 있지 않다”라고 지적했다.

| 네이버 프라이버시 세미나. (왼쪽부터) 김도엽 법무법인 태평양 변호사, 김현경 서울과기대 IT정책전문대학원 교수, 최광희 한국인터넷진흥원 미래정책연구실장, 이진규 네이버 정보보호최고책임자, 이희정 고려대 법학전문대학원 교수, 손형섭 경성대 법정대학 교수

개인정보보호법 개정한 일본의 시사점

일본은 지난 2015년 개인정보보호법을 개정해 단계적으로 법 시행을 추진했고, 지난해 유럽연합(EU)으로부터 적정성 평가 인정을 받으며 효과성을 입증한 바 있다. 손 교수는 이 점을 들어 일본 개인정보보호법을 참고해 국내 개인정보보호법 개혁에 필요한 시사점을 도출할 필요성이 있다고 말했다.

국내 개인정인정보법 개정안은 특정 개인을 식별할 수 없게 한 가명정보를 본인 동의 없이 통계 작성, 연구 등 목적으로 활용할 수 있도록 하는 데 초점이 맞춰져 있다.

이와 관련해 손 교수는 가명정보를 활용하기 위해 익명정보와 구별되는 세부적인 규정과 가이드라인이 제정돼야 한다고 말했다. 또 한국에서 비정형정보와 생체정보를 포함한 개인정보 개념 정비가 부족하다고 보았다. 현재 법안만으로는 의료 분야 연구 활용이 어렵다는 지적이다. 일본에서는 개인정보보호법 개정 이후 후속 법령 개정 작업을 통해 2017년 ‘차세대 의료 기반법’을 제정했다. 생체정보에 관한 내용을 개인정보 개념에 수용해 관련 연구의 길을 열어놓았다.

이날 세미나 토론에 참여한 김도엽 변호사도 “개정안이 통과됐지만, 가명정보를 통해 뭘 할 수 있는지 시행령에 많은 부분이 위임돼 있어 앞으로 시행령이 어떻게 나올지가 중요하다”라고 말했다.

EU 적성성 평가 대비 필요

EU 적정성 평가에 대비한 법안 정비도 이날 주요 쟁점이었다. EU는 지난 2018년 정보 주체로서 개인의 정보 보호 권리 강화를 골자로 한 ‘일반 개인정보보호법(GDPR)’을 시행하면서 데이터를 수집하고 분석하는 국내 기업의 글로벌 진출에 큰 영향을 미치고 있다. EU는 회원국 외 국가의 개인정보보호 수준이 EU와 비슷하다고 인정하는 GDPR 적정성 제도를 시행하고 있다. 특히 각국 개인정보보호기구의 독립성과 법적 권한 보장을 주요 평가 기준으로 삼는다.

데이터 3법은 감독 기구를 개인정보보호위원회로 일원화하고 국무총리 소속 중앙행정기관으로 권한을 강화하는 내용을 담고 있다. 이전 적정성 평가 진행 과정에서 EU 측이 문제로 삼은 보호 감독 기구의 독립성에 대한 내용을 반영한 셈이다.

이날 세미나에 참석한 김현경 서울과학기술대학교 IT정책전문대학원 교수는 “개인정보와 관련해 독립성 있는 감독기구를 만들었지만, 금융 분야는 예외”라며, “일본이 형식적으로 개인정보위원회로 기능을 통합한 데 비해 우리나라는 어떤 부분은 금융위원회의 관리 감독을 받게 돼 있는 등 혼란스러운 부분이 있어 EU에서 문제 제기를 할 수 있다”라고 짚었다.

또 “일본 개인정보보호법은 민간 사업자에게만 적용되지만 우리나라 개인정보보호법은 공공과 민간에 다 적용되는 등 법 적용 범위가 달라 일본에서 발생하지 않은 문제가 발생할 수 있어 차이점에 대한 고민이 필요하다”라고 말했다.

데이터의 흐름 자체를 막지 말아야

손 교수는 정치적 논쟁에서 벗어나 EU GDPR과 미국 프라이버시법을 두루 검토해 개인정보의 보호와 활용을 위한 적정한 기준을 체계적으로 마련해야 한다고 강조했다.

| 손형섭 경성대 법정대학 교수는 전문가들이 참여한 체계적인 개인정보보호법 정비를 강조했다.

최광희 한국인터넷진흥원 미래정책연구실장은 개인 의견임을 전제하면서 “데이터를 흘러가지 못하게 할 수 없는 데이터 보편화 시대에 접어들었다”라며, “보호 관점에 맞춰 데이터 수집을 막는 규제를 만들기 보단 이용 자체 목적에서 벗어난 피해가 발생하지 않도록 규제하고 데이터의 흐름은 푸는 게 필요하다”라고 말했다.

정부는 데이터 3법 후속 조치에 서두른다는 입장이다. 2월 중 시행령 개정안을 만들고, 3월에 행정규칙 개정안을 마련하는 등 법 시행 시점에 맞춰 가이드라인과 해설서를 배포해 가명정보 활용 범위, 데이터 결합 방법 및 절차 등을 명확히 한다는 계획이다.