데이터 3법(개인정보보호법, 정보통신망법, 신용정보보호법) 통과 여부를 두고 논란이 커진다. 조속한 국회 통과를 원하는 이들과 개인정보 도둑법이라며 우려를 표하는 측 대립한다.

2012년 보수정권에서부터 시작된 빅데이터 조항 입법화 작업이 8년이나 지난 2019년 12월 진보정권에서 결실을 맺을 수 있을지 지켜볼 일이다. 이에 앞서 데이터 3법에는 어떤 빅데이터 관련 조항이 있는지 제대로 살펴볼 필요가 있다. 막연한 걱정이나 기대가 아닌 이성적이고 냉철한 판단이 필요한 때다.

가명정보 도입과 결합의 허용

데이터3법 핵심은 ‘가명정보’ 도입이다. 가명정보란 개인정보 식별성을 스펙트럼으로 이해해야 한다. 식별성이 전혀 없는 익명정보와 식별성이 강한 개인정보 사이에 위치하는 회색 지대를 가리킨다. 다시 말하면 식별성이 약한 개인정보가 바로 가명정보라 할 수 있다. 가명정보 개념은 EU GDPR, 미국, 일본 등에 이미 도입됐다.

가명정보 법적 정의는 ‘추가 정보의 사용·결합이 없이는 특정 개인을 식별할 수 없는 정보’다. 쉽게 설명하면 개인정보에서 식별성 있는 부분을 식별성 없는 일련번호로 변경 또는 암호화하는 등의 처리를 하면 가명정보가 될 수 있다. 당해 정보가 미지의 한 개인에게 귀속되는데, 그 개인이 누군지 알 수 없는 상태라 할 수 있다.

가명정보 법적 취급은 개인정보로 보는 입법과 개인정보가 아닌 것으로 보는 입법이 있다. 데이터3법은 개인정보로 취급한다. 다만 법적으로 개인정보임에도 동의 등 엄격한 법적 규제가 완화돼 있다고 볼 수 있다.

개인정보를 가명처리하면 가명정보가 된다. 이 가명정보를 원래 개인정보로 복원할 수 있도록 허용하는지가 입법례가 갈린다. 데이터 3법은 원래 개인정보로 복원할 수 있는 가명정보를 도입하고 있다.

개인정보를 가명처리한 가명정보는 정보 주체 동의가 없이도 처리할 수 있다. 다만 처리 목적은 통계작성(시장조사 등 상업적 목적의 통계작성을 포함), 과학적 연구(기술의 개발과 실증, 기초연구, 응용연구 및 민간 투자 연구 등), 공익적 기록보존 등으로 제한한다.

따라서 이 목적 범위를 벗어날 때는 가명정보라도 정보 주체 동의를 얻어야 한다. 가명정보는 상업·산업·영리적 목적까지도 동의 없이 처리할 수 있기 때문에 오히려 동의를 받아야 하는 목적 범위가 예외적이라 할 수 있다.

가명정보 결합도 가능하다. 이른바 화이트브로커 즉, 전문기관 또는 데이터전문기관을 통해서만 가명정보 결합을 할 수 있도록 했다. 정부가 전문기관 또는 데이터전문기관을 통제함으로써 가명정보 오·남용 문제를 억제하겠다는 의미다.

가명정보 제도 도입으로 빅데이터 산업은 발전 기반을 확실히 마련할 수 있다. 다만 가명정보 도입에 따른 정보주체 통제권(예컨대 프로파일링 반대권 등) 입법이 미비한 점은 향후 반드시 보완해야 한다.

마이데이터 제도 도입

마이데이터 제도(본인신용정보관리업)는 내 개인 정보를 활용할 수 있도록 제도화하는 것을 의미한다. 정보주체(개인)가 은행, 증권회사, 신용카드사, 통신사 등으로부터 자신과 관련된 개인정보를 제공받을 권리를 마이데이터 사업자에게 부여하면 마이데이터 사업자는 정보주체를 대신해 위 은행 등으로부터 정보주체와 관련된 개인정보를 제공받아 이를 통합, 관리하면서 새로운 금융서비스를 제공한다. 이 제도 역시 EU나 일본, 미국 등에서 유사한 제도가 있다.

쉽게 설명하면, 정보주체가 마이데이터 사업자에게 은행 등에 보관된 자신의 개인정보를 위탁관리하게 하는 것이다. 정보주체 동의를 전제로 개인정보가 통합되는 셈이다. 단순히 개인정보를 통합·관리하는 데 그치지 않고 정보주체에게 새로운 금융서비스 등을 제공할 수 있다.

마이데이터 사업 과정에서 은행 등으로부터 정보주체 개인정보를 어떤 근거로, 어떤 형태로 전송받을 수 있는지에 논란이 있었다. 데이터3법은 마이데이터 사업자가 은행 등으로부터 개인정보를 전송받기 한 정보주체 권리로서 ‘전송요구권’도 도입했다. 정보주체 전송요구권은 EU GDPR 개인정보 이동권을 데이터3법에 도입한 것이다. 마이데이터 사업에서 매우 유용한 수단이라 할 수 있다.

추가처리의 허용

데이터3법에는 정보주체의 동의 없이 처리할 수 있는 이른바 추가처리의 허용 조문도 새롭게 도입됐다. A라는 목적으로 수집한 개인정보를 A′ 목적으로 동의 없이 처리(이용, 제공)할 수 있도록 하는 제도다.

항상 추가처리가 허용되는 것은 아니다. ‘원래 수집목적과 합리적으로 관련된 범위’여야 한다. 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등도 고려해 결정한다.

잘못 이해하면 합리적으로 관련된 범위를 사업자 입장 또는 서비스 제공자 입장에서 생각해 그 범위를 자의적으로 확장할 수 있다. 하지만 추가처리란 현실적으로 정보주체가 동의하지는 않았지만 동의했을 것이라고 충분히 예상되는 범위 처리라고 보는 게 적절한 해석이다. 경직되게 운영되어 온 동의 제도를 어느 정도 유연화시킬 수 있는 역할을 할 것으로 보인다.

과거 빅데이터 법제 도입을 위해 법률이 아닌 방법으로 처리하려는 시도가 몇 차례 있었다. 아이러니하게도 그런 이유로 오히려 빅데이터 조항 법제화는 지연됐다. 빅데이터 조항은 법률에 근거를 둬야 한다. 빅데이터 조항이 새로운 법제도라서 기존 법률 조항으로 달성할 수 없다면 정보주체 통제권 역시 기존 정보주체 권리로는 그 목적을 달성하기 어렵다. 빅데이터 조항에 대응되는 정보주체의 통제권에 대한 입법도 서둘러야 한다.

※ 외부필자의 원고는 IT조선의 편집방향과 일치하지 않을 수 있습니다.

김경환 법무법인 민후 대표변호사는 서울대 전자공학과에서 학·석사를 했고, 조지워싱턴대 국제거래법연수를 마쳤습니다. 사법연수원 제36기를 수료하고, 국회사무처 사무관(법제직)과 남앤드남 국제특허법률사무소(특허출원, 특허소송, 민사소송 변호사), 서울지방변호사회 법제위원회 위원을 거쳤습니다. 현재는 방위산업기술보호위원회 위원, 연세대 법학전문대학원 개인정보보호 최고전문가과정 강의, 지식재산위원회 해외진출 중소기업 IP전략지원 특별전문위원회 전문위원, 한국인터넷진흥원 민원처리심사위원회 위원 등 다양한 분야에 조정 자문을 맡고 있습니다.

관련기사