‘개·망·신 법’에 갇혀 버린 데이터 경제 구호

지난해 8월, 문재인 대통령이 경기도 성남시 판교 스타트업 캠퍼스에서 열린 데이터 규제혁신 행사에서 연설하고 있다. 이 자리에서 ‘데이터산업 육성 방안’이 발표됐으나 그 이후로도 별로 달라진 것이 없다는 것이 기업들의 불만이다. [연합뉴스]

1일 국회 행정안전위원회. 민생법안 처리가 늦어지고 있다는 여론의 질타를 못 이겨서일까. 장관 후보자 청문회의 팽팽한 긴장감을 뒤로 한 채 법안심사소위가 열렸다. 가장 먼저 테이블에 오른 안건은 개인정보보호법 개정안. 여야 의원들이 경쟁적으로 17개 관련 법안을 제출한 상태다. 이중 지난해 11월 민주당 인재근 의원실 발의 형식으로 제출된 정부안을 중심으로 토의가 진행됐다. 이날 안건 중 가장 오래 토의됐지만, 결론은 보류. 법안에 포함된 개인정보와 가명정보의 개념과 정의, 가명정보의 활용 범위 등을 두고 이견을 보였기 때문이다. 법안 취지를 설명한 행안부 관계자는 “여야 의원들이 개정 취지에는 대체로 공감했지만, 쟁점이 많은 만큼 좀 더 시간을 갖고 논의하자는 분위기였다”고 전했다.

빅데이터법? 개망신법?

국회에 계류된 개인정보 관련 법은 세 가지다. 개인정보보호법·정보통신망법·신용정보법. ‘빅데이터 관련 3법’이라고 불리지만, 일각에선 세 법의 명칭에서 한 글자씩을 따 ‘개·망·신 법’이라고 부른다. 요상 망측한 이름에는 냉소의 의미가 다분하다. 낡은 법체계가 4차 산업혁명 시대의 데이터 산업 변화를 따라가지 못하고 있다는 조롱이다.

법에 따라 보호 규정이 다르다 보니 기업들은 혼란을 겪는다. 오프라인 개인정보는 ‘개인정보보호법’, 온라인은 ‘정보통신망법’, 금융 분야는 ‘신용정보법’이 적용된다. 정보통신망법에서는 개인정보가 1건이라도 유출되면 감독당국에 신고해야 하지만, 개인정보보호법에선 1000건 이상이 신고 대상이다. 감독 및 조사 기관도 법에 따라 행안부, 방통위, 금융위로 나뉘어 있다. 기업들은 이중·삼중의 규제를 받는다.

보호에 치중해 활용을 지나치게 가로막는 것도 문제다. 이름·주민등록번호 같은 개인 식별정보는 물론 자동차 번호판처럼 다른 정보와 결합해 개인을 특정할 수 있는 정보를 엄격하게 규제하고 있다. 개인이 동의한 수집 목적 외에 정보 이용도 금지하고 있다.

세 법을 시급히 손봐야 하지만 많은 난관이 기다리고 있다. 개인정보보호법이 행안위 문턱을 넘더라도 나머지 두 법의 소관 상임위인 정무위와 과학기술방송통신위 논의가 남아 있다. 국회 안팎에서는 상반기를 법안 처리의 ‘골든 타임’으로 보고 있다. 그러나 일촉즉발의 여야 대치 상황이 예측을 어렵게 하고 있다. 행안부 관계자는 “정치권이 본격적인 총선 준비에 들어가는 9월 정기국회 전에 처리되지 않으면 새로운 국회에서 원점에서 논의해야 할 가능성이 높다”고 걱정했다.

길 잃은 데이터 경제

[그래픽=박경민 기자 minn@joongang.co.kr]

이런 와중에 데이터를 사업에 활용하려는 기업들은 길을 잃었다. 당장 기업들이 개인정보를 결합하는 것이 불법이다. 데이터 활용을 위해서는 여러 경로로 수집된 개인정보를 결합해 의미 있는 자료로 바꿔야 한다. 현행법은 ‘정보 집합물’에 대한 명시적 규정이 없어 이 길이 막혀 있다.

2016년 정부는 ‘개인정보 비식별조치 가이드라인’이라는 임시방편으로 이 문제를 해결하려 했다. 기업이 보유한 고객 정보를 한국인터넷진흥원 등 전문기관에 넘겨 다른 기업이 보유한 정보와 결합할 수 있도록 했다. 이에 따라 20개 기업이 4개 전문기관에 3억4000만건의 정보를 가공 의뢰했다. 한 예로, SK텔레콤·한화생명·SCI평가정보가 통신요금·보험료 납부 실적과 대출·연체 정보를 결합해 고객 성향을 분석하려 했다.

그러나 시민단체들은 정보 결합을 의뢰한 기업과 정보 결합을 수행한 전문기관을 개인정보보호법 위반으로 고발했다. 박근혜 정부의 또 다른 ‘적폐’로 모는 분위기다. 2년 가까운 조사 끝에 검찰은 지난달 무혐의 결정을 내렸다. 하지만 이미 데이터 결합은 중단된 상태다. 시민단체들은 “정부가 개인정보 무단 이용에 면죄부를 줬다”며 반발하고 있다.

지난해 8월 문재인 대통령은 ‘데이터 경제 육성 방안’을 발표했다. “데이터는 4차 산업혁명 시대의 원유”라는 말도 나왔다. 하지만 규제는 개선되지 않고 있다. 헬스케어 사업 분야가 대표적이다. IT와 빅데이터를 활용해 부가가치를 창출할 가능성이 가장 높은 사업이지만, 개인정보 규제와 의료 규제가 겹친 분야이기도 하다. 네이버·대웅제약·서울대병원은 합작법인 다나아데이터를, 카카오·서울아산병원의 아산카카오메디컬데이터를 설립했다. 그러나 데이터 수집의 벽에 부딪혀 본격 사업은 진척되지 않고 있다. 비식별 조치를 했다 하더라도 의료·건강 정보를 활용할 때는 정보 주체(당사자)의 동의를 일일이 받아야 하기 때문이다.

보호 외치지만 EU 기준은 탈락

“현재 개인정보 현실은 보호도 안 되고 활용도 어렵다.” 문용식 한국정보화진흥원장의 진단이다. 이런 상황을 타개하기 위해 가장 시급한 것은 ‘개인정보 거버넌스’ 확립이다. 쉽게 말하면 독립된 보호·감독 기관을 만들어 부처별로 흩어진 기능을 통일시켜야 한다는 것이다. 정보 활용도를 높이되, 만일 불법이 적발된 기업에는 징벌적 손해배상 등으로 강력하게 처벌하면 된다는 주장이다.

‘컨트롤 타워’ 부재는 EU(유럽연합)와의 개인정보 보호 협의에서도 문제가 됐다. EU는 지난해 5월부터 일반개인정보보호법(GDPR)을 시행하고 있다. 역내 주민들의 개인정보를 동의 없이 역외로 가져가면 2000만 유로(약 260억원) 또는 해당 기업의 전 세계 매출 4%에 해당하는 금액을 과징금으로 부과할 수 있다. 유럽 법인이 현지에서 얻은 고객 정보를 본사와 공유하는 것도 어려워진 것이다. 이 때문에 한국의 일부 게임업체들은 유럽 접속을 차단하거나 사업을 포기했다.

해결책은 정부 차원에서 EU의 ‘GDPR 적정성’ 평가를 통과하는 것이다. 이 평가를 통과한 국가의 기업은 별도 허가 없이 EU 주민들의 개인정보를 가지고 나올 수 있다. 그러나 한국은 두 차례나 적정성 평가에서 탈락했다. 독립성을 갖춘 통일된 감독기구가 없다는 것이 가장 큰 이유였다.  보호 일변도 법체계에도 불구하고 보호를 강조한 EU 기준에는 탈락한 것이 아이러니다. 반면, 일본은 개인정보보호위원회(PPC) 중심으로 조직 체계를 정비해 올 초 적정성 자격을 얻었다. 개정법안에서는 2011년 출범한 개인정보보호위원회를 독립적 감독기구로 격상한다는 내용을 담고 있다. 하지만 ‘거대 조직’ 출현을 경계하는 야당은 반대 분위기다.

‘가명정보’가 길을 열까

개정안에서 정보 활용의 길을 튼 것은 ‘가명정보’라는 개념이다. 가명정보는 ‘추가로 정보를 결합하지 않으면 특정 개인을 알아볼 수 없도록 한 정보’를 말한다.

카드 회원 예를 들어 보자. ‘홍길동, 남성, 1976년생, 서울시 세종로 123-123, 010-1234-1234, 지난해 신용카드 사용액 2145만원’ 등은 개인정보다. 이를 ‘홍XX, 남성, 40대, 서울시 세종로, 010-XXXX-XXXX, 신용카드 사용액 2100만원대’로 바꾼 것이 가명정보다. 개정법안이 통과되면 정보 주체 동의 없이 통계 작성, 과학적 연구, 공익적 기록 보존 등에 가명정보를 이용할 수 있다. 현행법에서 규정하는 ‘통계 작성 및 학술 연구’에서 범위를 넓혔다. 특히 ‘학술 연구’를 ‘과학적 연구’로 바꿈으로써 기업이 개인정보를 활용할 여지를 터놓았다. 하지만, 이 문구가 명확하게 ‘상업적 목적’을 허용하는지를 놓고 치열한 논쟁이 벌어질 가능성이 크다.

이런 가명정보는 다른 정보와 결합하면 개인정보가 다시 노출될 수 있다. 이 때문에 개정법안은 기업 간 데이터 결합은 보안시설을 갖춘 ‘전문기관’에서만 할 수 있도록 했다. 문제는 개인정보 활용과 보호 사이의 딜레마다. 개인정보 보호를 소홀히 할 수는 없는 노릇이지만, 식별 정보를 많이 제거할수록 데이터의 경제적 가치는 떨어지는 것도 사실이다. 결국, 데이터 활용성을 충분히 유지하면서 가명성은 높이는 것이 관건이다.

개인정보보호위원회 김일재 상임위원(차관급)은 “현행법에서 개인정보는 제대로 보호되지 않아 오히려 활용될 수 없는 측면이 있다”며 “데이터 경제가 활성화되려면 관련 법이 빨리 정비돼 기업 혼란을 줄여야 한다”고 말했다.

이현상 논설위원