IT업계 숙원 과제였던 데이터3법이 국회를 통과했지만 업계 혼란이 이어진다. 데이터 3법 핵심인 가명정보 활용 정의와 활용 범위를 두고 의견이 분분해서다. 법에 명시하지 않은 내용이 적지 않다. 구체적인 시행령 마련 전까지 시민사회와 IT업계를 둘러싸고 혼란이 이어질 전망이다.
20일 오전 서울 고려대 CJ법학관에서 인공지능 윤리와 데이터 거버넌스를 주제로 토론회가 열렸다. 사단법인 오픈넷과 고려대 미국법센터, 인터넷사회연구센터 국제네트워크, 하버드대 버크맨클레인 센터, 디지털아시아허브 등이 공동 주최했다.
토론회는 최근 한국에서 데이터3법(개인정보보호법, 정보통신망법, 신용정보법 개정안)이 통과되면서 AI와 데이터 활용원칙을 두고 업계 관심이 쏠리는 가운데 윤리와 프라이버시 기준을 어떻게 정할 지 국제 사회 전문가와 함께 논의했다. 현재 데이터3법은 국회 통과 후 시행령 제정 작업을 앞두고 있다.
데이터3법 후속논의 중 가장 큰 쟁점은 가명정보다. 데이터3법은 가명처리를 거친 가명정보에 한해 통계작성과 과학적 연구 등에 정보주체 동의없이 활용할 수 있도록 한다. 문제는 법에서 규정하는 가명정보가 무엇인지 모호하다는 점이다.
흔히 말하는 익명정보와 가명정보는 엄밀히 다르다. 익명정보는 외부 데이터를 결합해도 정보주체가 누군지 알 수 없다. 반면 가명정보는 다른 정보를 결합하면 일정 수준 개인을 특정할 수 있는 정보를 이른다. 개인 취향이나 소비패턴 등을 담은 정보가 여기에 속한다.
이전까지 기업은 정보주체 동의를 거쳐 가명정보를 활용했다. 데이터3법은 과학적 연구와 통계작성 등 목적이라면 동의없이도 이용할 수 있다. 하지만 법안에서 정의하는 가명정보와 익명정보의 경계는 모호하다.
김가연 오픈넷 변호사는 "어디까지 가공하면 가명정보인지 구분할 기준이 없다"고 지적했다.
정보를 여러 번 조합하다보면 사실상 개인을 특정할 수 있는 실명정보가 될 수 있다는 우려도 나왔다. 특히 우리나라에선 주민등록번호를 운용하고 있어 개인정보가 노출되기 더욱 쉬운 구조라는 분석이다.
이대희 고려대 법학전문대학원 교수 역시 "개인이 가진 웬만한 정보는 다른 정보와 결합해 개인을 특정할 수 있다"며 "개인정보는 상대적 개념이다"라고 말했다.
쟁점2: 이용자 동의없이 활용가능한 ‘과학적 연구'는 무엇
시민단체는 기업이 사적으로 이용자 데이터를 남용할 수 있다는 점을 우려한다.
데이터3법은 가명정보를 이용자 동의없이 활용할 수 있는 분야 중 하나로 ‘과학적 연구'를 언급하고 있다. 법안에 따르면 과학적 연구는 과학적 방법론을 활용한 연구를 이른다.
오병일 진보네트워크센터 대표는 "과학적 방법을 도입하지 않은 연구는 사실상 없다"며 "기업 내부에서 이익을 위해 진행하는 연구도 과학적 방법을 도입했다고 주장하면 과학적 연구 아닌가"라고 비판했다.
반론도 나온다. 과학적 연구와 통계 목적에 활용되는 것 자체가 기업이 무제한으로 활용할 수 있다는 뜻으로 해석하긴 어렵다는 주장이다.
김가연 변호사는 "과학적 연구는 공익 목적을 포함한 좁은 개념으로 봐야 한다"며 "전적으로 기업 데이터 활용을 열어놓았다고 보긴 어렵다"고 말했다.
데이터3법은 기업이 반길만한 법도, 그렇다고 개인정보를 제대로 보호할 수 있는 법도 아니라는 지적도 나왔다. 활용은 제한적이지만, 그렇다고 개인정보 보호체계를 강화한 법도 아니라는 분석이다.
김 변호사는 "유럽 개인정보보호법(GDPR) 조항 다수를 가져왔지만 정작 개인정보 보호 장치는 가져오지 않았다"며 "그렇다고 IT업계가 쌍수를 들고 환영할만한 법도 아니다"라고 덧붙였다.