박용만 회장이 '만세' 외친 데이터 3법 통과, 내 정보 안전할까?

중앙일보

입력 2020.01.21 18:17

박용만 대한상공회의소 회장이 법안 통과 소식에 "만세"를 외쳤던 '데이터 3법'이 구체화하고 있다.

법 위반시 기업 매출의 3%까지 과징금
흩어져 있던 감독창구의 단일화 진행
EU GDPR 적정성 평가에도 속도낼 계획

행정안전부는 21일 개인정보보호법과 정보통신망법, 신용정보법 등 이른바 '데이터 3법'의 국회 통과에 따른 후속 조치 계획을 발표했다.

가장 눈에 띄는 것은 '가명정보'다. 주민등록번호나 휴대전화 번호 등은 개개인이 드러나는 '개인정보'다. 누구인지 개인을 확인할 수 있는 개인정보와 구분되는 개념이다. 가명정보는 개인정보 일부를 삭제하거나 암호화하는 등 처리를 통해 개인을 알아볼 수 없게 만든 것이다.

행안부는 통계작성과 과학적 연구, 공익적 기록 보전의 목적에 한해 이 가명정보를 처리할 수 있도록 했다. 윤종인 행안부 차관은 "다음달까지 시행령 개정안을 마련하고 3월까지 행정규칙 개정안을 마련해 가명정보의 활용 범위, 데이터 결합 방법과 절차를 명확히 하겠다"고 설명했다.

박용만 대한상공회의소 회장이 26일 서울 중구 상의회관에서 데이터 3법 입법 촉구 긴급 기자간담회를 열고 발언하고 있다. [사진 대한상공회의소]

박용만 대한상공회의소 회장이 26일 서울 중구 상의회관에서 데이터 3법 입법 촉구 긴급 기자간담회를 열고 발언하고 있다. [사진 대한상공회의소]

개인정보 보호법, 어떻게 달라지나

그동안 온라인 쇼핑몰에서 물건을 사면, 그 과정에서 발생한 개인정보는 '정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)'의 보호를 받았다.

반면 백화점이나 가게에서 똑같은 물건을 사면서 제공한 개인정보는 개인정보 보호법의 보호를 받도록 나뉘어 있었다. 이번 법 개정으로 개인정보는 온라인과 오프라인 모두 개인정보보호법상 보호를 받게 된다.

스마트폰이나 스마트워치를 사용하는 개인이 체중과 운동량을 입력하더라도 기업은 이 정보를 개인의 동의를 받지 않고 특정 질환과 운동량의 상관관계를 알아보는 연구를 할 수 없었다.

하지만 개인정보 보호법 개정안에 의하면 각 개인을 구분할 수 있는 '식별자'를 제외한 가명정보를 받아, 개인의 동의 없이 '성인병과 운동량'의 상관관계를 들여다볼 수 있다.

법 개정으로 기업들은 향후 개인의 건강검진 결과 분석을 바탕으로 한 맞춤형 보험 권유부터 도로교통공사, 자동차 회사, 통신사가 각각 보유한 데이터를 결합해 자율주행차에 활용하는 등의 '데이터 산업'이 커질 수 있는 기반이 마련된 것으로 기대하고 있다.

 [사진 픽사베이]

[사진 픽사베이]

개인을 '알아보기' 위한 데이터 처리… 매출액 3% 이하 과징금

개인의 동의를 받지 않고 '가명 정보' 데이터를 활용할 수 있게 되었지만, 그에 따른 책임도 강화된다.

특정 개인을 알아보기 위해 '가명 정보'를 재가공하는 것은 금지된다. 위반 시 5년 이하 징역 또는 5000만원 이하의 벌금이 부과된다. 기업 매출의 3% 이하까지 과징금을 맞을 수 있다.

이와함께 행안부는 '개인정보보호위원회'를 국무총리 소속의 중앙행정기관으로 격상시켜 각 부처로 나뉘어 있던 감독 창구를 하나로 통일하기로 했다. 유럽연합(EU)의 일반개인정보보호규정(GDPR)과 관련한 '적정성 결정'을 위한 조치다.

적정성 결정은 한국의 개인정보 보호 수준이 EU와 유사하다는 것을 인정하는 것으로 행안부는 이를 빠른 시일 내에 받을 수 있도록 EU와 협력을 강화한다고 설명했다. EU로부터 적정성 결정 평가를 받으면 우리 기업들이 유럽시장에서 활동하며 수집한 정보를 국내로 이전해올 수 있다.

다음은 달라지는 개인정보보호법과 관련된 일문일답.

'가명 정보' 안전한가?
가명정보는 추가 정보 없이는 개인을 알아볼 수 없도록 처리한 것이다. 가명 정보 역시 개인정보다. 따라서 가명정보에 대해 (개인을 구분할 수 있는) 재식별을 금지한다. 이를 위반할 경우에는 처벌과 함께 과징금을 부과해 엄중 처벌할 예정이다.
기업이 한 가명정보를 다른 정보와 결합하면 개인을 식별할 수 있는 가능성이 더 커지는 것은 아닌가?
기업 간 가명정보 결합은 국가가 지정한 전문기관에서 할 수 있다. 결합한 정보는 전문기관 내에서만 분석이 가능하다. 또한 가명정보를 반출할 경우에는 엄격한 심사와 승인을 얻어야 한다.
내 '가명 정보' 어떻게 처리되나?
공공기관이 서비스 제공을 목적으로 수집한 이름, 주소, 연락처, 가족 구성, 소득 수준 등에 관한 개인정보를 가명처리해 데이터 브로커에게 파는 것은 제한된다. 회사가 회원을 상대로 동의를 받아 이름과 성별, 연령, 체중, 맥박 정보 등을 개인의 동의 없이 가명 처리해서 성인병과 운동량의 상관관계를 연구하는 것은 허용된다.

김현예 기자 hykim@joongang.co.kr

ADVERTISEMENT
ADVERTISEMENT

Innovation Lab

ADVERTISEMENT