바야흐로 데이터 활용의 시대다. 지난 1월9일 ‘데이터3법’으로 분류되는 개인정보보호법·신용정보법·정보통신망법 개정안이 국회 통과하면서 데이터 활용의 물꼬가 트였다. 데이터를 활용한 새로운 산업과 서비스가 대거 등장할 것으로 예상된다. 개인정보보호 문제도 이제 새로운 관점에서 바라봐야 할 시점이 됐다. 데이터3법 개정안, 또 이로 인해 생길 변화를 짚어본다. <편집자 주>
[디지털데일리 이종현기자] 한국은 2011년 개인정보보호법 제정을 시작으로 꾸준히 개인정보보호를 강화해왔다. 보호와 활용은 반비례다. 보호를 강화해온 만큼 활용은 엄격히 제한돼 왔다. 2016년 데이터3법(개인정보보호법·신용정보법·정보통신망법)을 개정하며 데이터 활용 억제는 절정에 달했다.
하지만 산업 패러다임의 전환으로 개인정보보호 강화로 달려 나가던 것에 제동이 걸렸다. 2009년만 하더라도 글로벌 시가총액 10위 내에 있던 석유, 금융, 유통, 자원 등 전통 산업이 데이터를 활용하는 정보기술(IT) 산업에 밀려난 것이 큰 영향을 미쳤다.
특히 2016년 구글 딥마인드의 바둑 인공지능(AI) ‘알파고’가 이세돌 9단을 꺾으며 AI과 빅데이터(Big Data)에 대한 관심이 치솟았다. 개인정보보호를 강조하던 기존 분위기에서 개인정보보호만큼이나 데이터 활용도 중요하다는 목소리가 나오기 시작했다.
이에 ‘활용’에 중점을 둔 데이터3법 개정안이 발의됐고 우여곡절을 거쳐 2020년1월9일 국회를 통과했다. 2020년2월4일 공포된 개정법은 6개월의 유예기간을 두고 2020년8월5일부터 시행된다.
◆'가명정보' 개념 도입··· 데이터 활용의 물꼬=개정법 전에는 개인정보 비식별 조치 가이드라인에 의해 비식별화된 ‘익명정보’만 이용할 수 있었다. 그 자체나 다른 정보와 결합해 특정 개인을 알아볼 수 없는 정보만 활용 가능했다.
AI 연구를 위해서는 양질의 데이터가 필요하다. 하지만 개인정보임을 추측할 수 있는 내용을 모두 삭제하거나 마스킹, 범주화 등 비식별 조치를 한 익명정보는 활용할 데 없는 ‘쓸모없는 데이터’가 태반이다. 상황이 이렇다 보니 돈을 주고서라도 연구에 필요한 데이터를 확보하지 못하는 상황이 됐다. 과학기술정보통신부(이하 과기정통부)와 한국데이터산업진흥원이 운영하는 ‘데이터스토어’는 2015년 이후 누적 거래액이 11억원에 불과한 수준이었다.
이런 문제를 개선하기 위해 개정법에서는 ‘가명정보’라는 개념을 도입했다. 가명정보는 개인정보와 익명정보의 중간 선상에 놓인 정보다. 개인정보의 일부를 비식별 조치해 특정 개인을 알아볼 수 없게 하되 익명정보에 비해 활용 가치가 있는, 개인정보보호와 데이터 활용의 타협점이다.
개정법에서는 이처럼 비식별 조치를 한 가명정보는 정보 주체의 동의 없이 이용할 수 있도록 하면서 데이터 활용의 여지를 대폭 늘렸다.
◆법 제도 일원화·감독기구 강화=개정 전 데이터3법은 개인정보 유출 및 침해에 대한 처리에 어려움이 따랐다. 3개 법끼리 유사·중복 조항이 많았기 때문이다. 문제가 생기더라도 어느 법을 적용해야 하는지 ‘폭탄 돌리기’를 하곤 했다.
기존에는 금융권의 개인정보를 취급하는 신용정보법과 일반 상거래회사의 개인정보를 취급하는 개인정보보호법, 정보통신망법으로 이원화해 운용했다. 하지만 신용정보법에서도 금융 분야가 아닌 일반 개인정보와 관련된 조항이 있었다. 특히 정보통신망법은 전반적으로 개인정보보호법과 겹치는 내용이 많았다.
개정된 정보통신망법은 개인정보보호 관련 사항 전반을 개인정보보호법을 이관했다. 온라인 상의 개인정보보호와 관련된 규제와 감독 주체도 방송통신위원회(이하 방통위)에서 개인정보보호위원회로 변경했다. 신용정보법 역시 개인정보보호법과 유사·중복 조항을 정비하고 금융분야 빅데이터 분석·이용의 법적 근거를 명확히 했다.
또 개인정보 관련 사항을 감독할 기구 개인정보보호위원회를 강화했다. 중앙행정기관이 아닌 위원회 성격으로 운영되던 개인정보보호위원회를 국무총리 소속의 합의제 중앙행정기관으로 격상했다. 행정안전부와 방통위의 개인정보보호 관련 기능 모두와 금융위원회의 일반상거래 기업 조사·처분권을 개인정보보호위원회가 넘겨받아 감독기구를 일원화했다.
◆더 강해진 개인정보 오·남용 처벌=데이터3법 개정법은 데이터 활용을 늘려 AI, 클라우드, 사물인터넷(IoT) 등 4차 산업혁명의 신산업을 육성코자 개정했다. 하지만 개인정보보호는 신산업 육성을 위해 외면하기엔 여전히 중요한 가치다. 개정법은 이런 두 가치의 충돌을 ‘활용 범위는 럽히되 처벌은 강하게’ 하는 방식으로 극복코자 했다.
개인정보보호법에는 개인정보처리자의 고의나 중대한 과실로 개인정보가 분실·도난·유출·위조·변조·훼손될 경우 정보주체에게 손해액의 3배 이하를 손해배상하도록 하는 조항이 있다. 또 악의적인 유·노출이 아니라 해킹 등으로 인한 사례에도 형사처벌을 받도록 하는 조항도 있다. 신용정보법
개정법에 새로 도입된 가명정보와 관련한 처벌은 더욱 엄격하다. 가명정보를 재식별할 경우 과징금만 부과하는 유럽연합(EU)의 일반 개인정보보호법(GDPR)과 달리 한국의 개정된 개인정보보호법에는 징벌적 손해배상금에 더해 5년 이하의 징역 또는 5000만원 이하의 벌금에 처하도록 하는 조항이 있다. 경우에 따라 하나의 사고에 대해 형사처벌, 과태료, 과징금 등을 중첩해서 받을 수도 있다.
개인정보보호를 위해 처벌 기능을 강화하는 것이 바람직한 방향이냐에 대한 논란은 여전하다. 되려 지나치게 강한 처벌 조항으로 인해 판결과 괴리가 생겨 처벌로 이어지지 않는 것 아니냐는 지적도 있다. 실질적인 개인정보보호를 위해 개정법 시행 이후에도 꾸준한 논의가 필요할 것으로 보인다.