- 전문가들 “‘관행에 비추어 볼 때’ 등 개정안 표현 모호” - 법적 안정성 저해…기업에 개인정보 처리 리스크 넘겨 - 가명정보 처리 두고 법 혼선…테크핀 등 발전 제약 우려
[디지털데일리 이대호기자] 오는 29일 행정안전부와 방송통신위원회, 금융위원회 관계부처 합동 데이터 3법(개정 개인정보보호법, 정보통신망법, 신용정보법) 시행령 개정안 온라인 토론회 개최가 결정됐다.
전문가들은 이날 토론회가 데이터 3법의 실효성 여부를 결정하는 중요한 자리가 될 것으로 전망하고 있다.
그러나 관련 업계에선 시행령 개정안을 두고 불만이 제기되고 있다. 시행령 내 모호한 표현 때문에 ‘데이터 활용을 촉진하겠다’는 법안 취지와 달리 ‘희망고문’에 그치지 않을까 하는 우려 때문이다.
◆법 믿고 개인정보 처리했는데 불법된다고?=정보기술(IT)·바이오 업계 등은 개인정보보호법 시행령 개정안에 대해 수정이 필요하다는 입장이다. 관련 조항으론 ‘개인정보보호법 시행령 개정안 제14조의2와 제29조의2'가 거론된다.
개인정보보호법 시행령 개정안 제14조의2는 개인정보의 추가적 이용·제공 기준을 다루고 있다. 조항을 보면 ‘당초 수집 목적과 상당한 관련성을 가질 경우’, ‘개인정보 수집 정황과 처리 관행에 비추어 볼 때 추가적으로 이용할 수 있을 것으로 예측 가능한 경우’ 등에 한해 추가적 이용·제공을 허용한다.
이 가운데 업계는 ‘상당한 관련성’과 ‘관행에 비추어 볼 때’와 같은 모호한 표현이 법적 안정성을 저해한다고 보고 있다. 기업이 법을 믿고 개인정보를 처리했다가 향후 발목을 잡힐 수 있어서다.
한 개인정보보호 전문가는 “법령에 명기된 모호한 표현은 해석자에 따라 다른 결과를 야기할 수 있다”며 사업자가 적법한 개인정보 처리라고 판단해 사업을 진행하더라도 향후 불법적인 개인정보 처리라는 주장이 제기될 가능성이 있다면 이러한 리스크를 감안하고 개인정보를 처리하기 어렵다”고 지적했다.
결국 기업들은 이 같은 부담을 회피하고자 개인정보 활용에 대해 보수적 판단을 내리게 되고 결국 미국과 유럽 수준으로 데이터 활용을 확대하고자 했던 법안 취지가 무색해질 수 있다는 게 관련 업계 우려다.
◆‘테크핀’ 발목 잡히나…시행 후 혼선 우려=신설된 개인정보보호법 시행령 개정안 제29조의2도 도마에 올랐다. 누차 지적받은 부분이다.
해당 조항은 데이터 3법이 논의되던 초창기부터 큰 관심이 쏠린 ‘가명정보’의 결합에 대해 다루고 있다. 가명정보란 개인정보의 일부 내용을 삭제·대체해 개인을 특정할 수 없게 만든 정보다. 이를 전제로 통계 처리 및 과학적 연구 등을 위해 활용이 가능하도록 이번 개정 데이터 3법에 새롭게 도입된 개념이다.
그러나 일각에서는 가명정보 결합 및 분석 방법에 대해 ‘개인정보보호법’과 ‘신용정보법’의 규정이 달라 8월5일 법 시행 이후 혼란이 야기될 수 있다는 목소리가 나온다.
개정안 제29조의2에 따르면 가명정보 결합신청자는 결합전문기관에 설치된 기술적·관리적·물리적 조치가 된 공간(분석공간)에서 결합된 정보를 분석하는 것이 원칙이다. 가명정보 결합신청자는 별도 승인을 받은 후에야 결합 정보를 반출해 분석할 수 있다. 전문기관에서 각 기업이 필요로 하는 모든 데이터 분석 환경을 지원해 주기 쉽지 않다. 대부분은 별도 승인을 받고 데이터 반출 및 분석이 이뤄질 것으로 예상된다. 이미 안전하게 가명처리한 데이터에 대해서도 별도의 승인 절차를 두고 사용을 제한하고 있다.
반면 신용정보법 시행령 개정안 제14조의2에서는 데이터전문기관이 정보집합물을 결합한 후 결합 의뢰 기관에게 바로 전달한 후 삭제하도록 명시하고 있다. 신용정보법에서는 전문기관에서 제공하는 분석공간에서 데이터를 분석해야 하고 데이터 반출을 위해서는 별도 승인을 얻어야 하는 개인정보보호법 상의 제약을 두지 않은 것이다.
특히 일반 기업과 신용정보회사 간 데이터 결합 시 각각 적용 받는 법령이 달라 혼란이 야기될 수 있다는 지적이다. 전문가들은 테크핀(기술금융) 사업이 활발해짐에 따라 일반 기업과 은행, 신용정보회사 등 금융기업의 협업이 잦을 것으로 전망하고 있다. 이 때문에 각 법령에서 가명정보의 결합 및 이용에 대해 다르게 규정할 경우 이종 산업간 협력에 잡음이 발생할 수 있는 것이다.
업계 관계자는 “현재 공개된 개인정보보호법 시행령 개정안에 의하면 국내 기업들은 유럽의 GDPR과 비견해서도 큰 제약을 받게 될 것”이라며 “법 개정의 목적도 달성하기 어려울 것”이라고 우려스런 전망을 내놨다.