“데이터3법 통과는 끝이 아닌 시작이다. 특히 가장 이슈가 되는 가명정보 활용은 개인정보 침해를 우려하는 측과 데이터 활용에 갈증을 느끼는 측으로 입장이 크게 갈리는 사안이었다. 그럼에도 이번 개정안은 여전히 개념 정비가 부족하다.”
22일 서울 강남구 네이버D2스타트업팩토리에서 네이버 프라이버시 세미나가 열렸다. 자리를 빌어 손형섭 교수는 국내법상 개인정보 개념 정비를 촉구하고 나섰다. 그는 일본이 2018년 EU GDPR 적정성 평가 인정을 받았다는 점에서 2015년 개인정보보호법 개정안을 벤치마킹할 여지가 있다는 시각이다.
손 교수에 따르면 일본법은 국내법과 달리 ‘개인식별부호’란 표현을 사용해 개인정보 개념에 DNA, 홍채를 비롯한 생체정보까지 포함시켰다. 이로써 생체정보에 관한 법적인 논의를 가능케 하고 개인정보 범위에 관한 논란을 잠재웠다는 얘기다. “생체정보를 개인정보로 인정하는 한편 의료분야 연구개발을 위한 익명가공의료정보에 관한 법률을 통과시킨 점에서도 모범 사례로 꼽을 수 있다. 체계적인 입법과 시행이 돋보이는 대목이다.”
이번 개정안이 가명정보만 다룬다는 점도 지적했다. 가명정보를 활용하기 위해서는 익명정보와 구별할 수 있는 세부적인 규정과 가이드라인까지 필요한데 익명정보와 가명정보는 기술적으로도 구분이 어렵다는 것. 여기에는 일본 개인정보보호법이 익명정보와 가명정보를 아우르는 ‘익명가공정보’란 개념을 사용, 익명정보와 가명정보간 기술적 구분이 어려운 점을 보완했다는 점을 들었다.
EU GDPR 적정성 평가에 대한 충분한 대비도 강조했다. 이번 개정안이 개인정보보호위원회가 독립적 기구로 위상을 제고한 점은 진전이지만 개인정보 이전에 대한 동의 절차와 적절한 해외 이전 근거 정비가 남은 과제라는 것. 일본 기업 사례를 들며 적정성 평가 인정 이후 각 기업은 표준계약조항을 직접 준수하는 데 드는 비용을 절감했다는 점, 유럽 소재 자회사-본국 소재 모회사간 데이터 이전이 자유로워졌다는 점을 긍정적 효과로 꼽기도 했다.
“우리나라는 일본보다도 수출 의존도가 높기 때문에 미국, 유럽과 같은 큰 해외시장의 변화를 빠르게 포착할 필요성이 크다. 이번 개인정보보호법 개정안은 GDPR 적정성 평가를 신경쓴 흔적이 보이지만 정보 주체 권리규정이 미흡하다는 과거 EU의 지적이 여전히 반영되지 않았다. 삭제권, 데이터이전권, 프로파일링에 의해 자동화된 판단을 따르지 않을 권리를 비롯해 데이터 주체의 권리를 보장하고 안전하게 데이터를 활용하기 위한 노력도 필요하다.”
다만 이어진 토론에서는 익명가공정보보다 가명정보 개념이 기업 입장에서는 더 낫다는 의견이 나왔다. 최광희 한국인터넷진흥원 개인정보정책단장은 “익명처리도 여전히 식별 위험이 높아 기업으로서는 오히려 더 큰 어려움일 수 있다. 합리적 수준으로 가명처리를 제도화하고 리스크를 어느 정도 안고 가는 것이 어떠냐”고 제안했다.
“지금은 데이터 보편화 시대다. 개인정보를 보호 관점에서 수집, 이용 자체에 규제나 룰을 만들기보다는 누구나 데이터를 수집, 이용하는 상황이라는 점을 인정하고 데이터 이용으로 인한 피해를 줄이는 데 주목해야 한다. 개인적으로는 데이터 흐름 자체를 규제하기에는 멀리왔다고 생각한다.”
그는 오히려 양립가능성 조항에 대해 주목할 필요가 있다는 입장이다. “해당 조항을 통해 기업은 최초 수집 목적과 양립하는 목적이라면 이용자 추가 동의 없이 정보를 사용할 수 있게 된다. 이는 가명정보 관련 조항보다도 더 효과가 크다. 다양한 서비스와 기술 개발에 데이터를 활용할 수 있는 구조가 열린 것”이라며 다만 “이번 개정안이 데이터 활용이나 데이터의 자유로운 이전까지 아울렀다면 좋았을 것”이란 아쉬움도 전했다.
그런가 하면 김현경 서울과학기술대학교 IT정책전문대학원 교수는 EU GDPR 적정성 평가 인정을 위한 방안을 추가 제안했다. “어느나라든 개인정보에 관한 법률은 같을 수 없다. 일본법도 EU GDPR과 완전 일치하진 않는다. 다만 일본이 GDPR 적정성 평가 인정을 받은 데는 EU 시민 개인정보를 일본 기업이 처리할 때는 부속서에 근거한다는 점도 한몫 했을 거라 본다. 국내도 그런 타협 방안을 고려할 만하다.”
개인정보보호위원회와 금융위원회 사이 통합적 연계점 마련도 제안했다. “GDPR 규정상 독립적으로 개인정보보호 관련 사안을 처리할 감독기구가 있어야 한다고 하지만 국내는 금융 분야에 한해 금융위원회가 개인정보 보호 감독업무를 맡고 있다. 이것은 적정성 평가 인정에 또다른 걸림돌이 될 수도 있는 사안”이라 김현경 교수는 말했다.