박용만 회장이 '만세' 외친 데이터 3법 통과, 내 정보 안전할까?

박용만 대한상공회의소 회장이 법안 통과 소식에 "만세"를 외쳤던 '데이터 3법'이 구체화하고 있다.

행정안전부는 21일 개인정보보호법과 정보통신망법, 신용정보법 등 이른바 '데이터 3법'의 국회 통과에 따른 후속 조치 계획을 발표했다.

가장 눈에 띄는 것은 '가명정보'다. 주민등록번호나 휴대전화 번호 등은 개개인이 드러나는 '개인정보'다. 누구인지 개인을 확인할 수 있는 개인정보와 구분되는 개념이다. 가명정보는 개인정보 일부를 삭제하거나 암호화하는 등 처리를 통해 개인을 알아볼 수 없게 만든 것이다.

행안부는 통계작성과 과학적 연구, 공익적 기록 보전의 목적에 한해 이 가명정보를 처리할 수 있도록 했다. 윤종인 행안부 차관은 "다음달까지 시행령 개정안을 마련하고 3월까지 행정규칙 개정안을 마련해 가명정보의 활용 범위, 데이터 결합 방법과 절차를 명확히 하겠다"고 설명했다.

박용만 대한상공회의소 회장이 26일 서울 중구 상의회관에서 데이터 3법 입법 촉구 긴급 기자간담회를 열고 발언하고 있다. [사진 대한상공회의소]

그동안 온라인 쇼핑몰에서 물건을 사면, 그 과정에서 발생한 개인정보는 '정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)'의 보호를 받았다.

반면 백화점이나 가게에서 똑같은 물건을 사면서 제공한 개인정보는 개인정보 보호법의 보호를 받도록 나뉘어 있었다. 이번 법 개정으로 개인정보는 온라인과 오프라인 모두 개인정보보호법상 보호를 받게 된다.

스마트폰이나 스마트워치를 사용하는 개인이 체중과 운동량을 입력하더라도 기업은 이 정보를 개인의 동의를 받지 않고 특정 질환과 운동량의 상관관계를 알아보는 연구를 할 수 없었다.

하지만 개인정보 보호법 개정안에 의하면 각 개인을 구분할 수 있는 '식별자'를 제외한 가명정보를 받아, 개인의 동의 없이 '성인병과 운동량'의 상관관계를 들여다볼 수 있다.

법 개정으로 기업들은 향후 개인의 건강검진 결과 분석을 바탕으로 한 맞춤형 보험 권유부터 도로교통공사, 자동차 회사, 통신사가 각각 보유한 데이터를 결합해 자율주행차에 활용하는 등의 '데이터 산업'이 커질 수 있는 기반이 마련된 것으로 기대하고 있다.

[사진 픽사베이]

개인의 동의를 받지 않고 '가명 정보' 데이터를 활용할 수 있게 되었지만, 그에 따른 책임도 강화된다.

특정 개인을 알아보기 위해 '가명 정보'를 재가공하는 것은 금지된다. 위반 시 5년 이하 징역 또는 5000만원 이하의 벌금이 부과된다. 기업 매출의 3% 이하까지 과징금을 맞을 수 있다.

이와함께 행안부는 '개인정보보호위원회'를 국무총리 소속의 중앙행정기관으로 격상시켜 각 부처로 나뉘어 있던 감독 창구를 하나로 통일하기로 했다. 유럽연합(EU)의 일반개인정보보호규정(GDPR)과 관련한 '적정성 결정'을 위한 조치다.

적정성 결정은 한국의 개인정보 보호 수준이 EU와 유사하다는 것을 인정하는 것으로 행안부는 이를 빠른 시일 내에 받을 수 있도록 EU와 협력을 강화한다고 설명했다. EU로부터 적정성 결정 평가를 받으면 우리 기업들이 유럽시장에서 활동하며 수집한 정보를 국내로 이전해올 수 있다.

다음은 달라지는 개인정보보호법과 관련된 일문일답.

김현예 기자 hykim@joongang.co.kr