데이터3법(개인정보보호법·정보통신망법·신용정보법 개정안) 개정안이 올해 국회를 통과하고 관련 시행령 개정안이 입법예고된 가운데 이를 수정해야 한다는 지적이 나왔다. 가명정보 처리 구체성을 높이고 개인정보보호위원회(개인정보보호위) 권한을 높여야 한다는 주장이다.

신종철 방송통신위원회 개인정보보호윤리과장이 데이터3법 시행령을 설명하고 있다. / 김평화 기자
신종철 방송통신위원회 개인정보보호윤리과장이 데이터3법 시행령을 설명하고 있다. / 김평화 기자
한국개인정보보호최고책임자(CPO)포럼은 8일 오후 강원 춘천시 강촌에서 행사를 열고 ‘데이터3법 개정에 따른 시행령 개정안의 주요내용 및 쟁점’을 주제로 업계 의견을 청취하는 자리를 마련했다. 이 자리에는 30여명의 기업 정보보호 책임자와 교수, 변호사 등 다수 관계자가 참석해 시행령 개정과 관련한 의견을 정부에 전했다.

이 자리에서 업계 전문가들은 개정안에 부족한 부분이 많다고 입을 모았다. 개정안이 완성되기 전에 개선이 필요하다는 지적이다.

우선 개인정보 가명 처리를 어떻게 할지 구체적인 기준이 개정안에 담기지 않았다고 강조했다. 이로 인해 데이터를 보유한 기업이 어떻게 가명 처리를 해야 할지 고민할 수밖에 없다는 것이다.

업계 관계자 A씨는 "현재 개정안을 살펴보면 가명 처리나 관련된 내용이 시행령에서 다루지 않고 있다"며 "특히 개인정보가 유출됐을 때 그 책임을 누가 지는지, 유출 시 통보를 어떻게 해야 하는 지, 추가 정보 보관은 어떻게 해야 할 지 등 구체적인 내용이 모두 누락됐다"고 밝혔다.

신종철 방송통신위원회(방통위) 이용자정책국 개인정보보호윤리과장은 이에 대해 "현재까지는 정부가 2016년 내놓은 비식별조치 가이드라인을 참고해야 한다"며 "가명정보와 익명정보는 적정성 평가가 중요하기에 데이터3법 시행령 개정이 확정되면 시스템에 맞게 가이드라인도 수정해 데이터 처리 활용을 하도록 돕겠다"고 설명했다.

그는 이어 "지적한대로 현재 시행령은 개선될 가능성이 높다"며 "단기적인 혼란은 피할 수 없을 듯 하지만 향후 시스템에 맞게끔 개정이 될 것으로 본다"고 덧붙였다.

가명정보 안전 조치의 적정성이 모호하다는 지적도 나왔다. 업계 관계자 B씨는 "가명정보와 추가정보는 일반 개인정보보다 낮은 안전 조치를 하는 게 맞다고 생각한다"며 "하지만 시행령에서는 모호하게 해석했다"고 토로했다.

정부 역시 이 같은 문제에는 동감했다. 하지만 이를 개선하기 위한 조치는 따로 언급하지 않아 참석자들을 답답하게 했다.

신 과장은 "현재 개인정보보호법은 가명정보도 개인정보로 본다"며 "하지만 가명정보가 일반 개인정보보다는 익명정보에 가깝다 보니 정부가 비판을 받는다"고 인정했다. 그는 이어 "가명정보와 익명정보만으로 개인을 알아볼 수 없음에도 해당 정보까지 파기 의무를 두다 보니 이 점에서도 항의가 들어온다"고 말했다.

상위법 없고 각 부처법 난립…누더기법 우려

데이터3법 주무부처로서 개인정보보호위원회 권한이 강화돼야 한다는 주장도 제시됐다. 상위법이 없는데다가 컨트롤타워 부재로 인해 자칫 각 부처별 법안이 난립해 누더기 개정안이 나올 수 있다는 것이다. 오히려 업계에 더 큰 혼란만 초래할 수 있다는 지적이다.

C모 교수는 "시행령 개정 과정에서 이미 개인정보보호위 구성 조직이 형성돼 결정권을 지녀야 했다"며 "현재는 여러 관계 부처가 서로 자기 입장만 대변하다 보니 개정안 개정 중에 어긋나고 삐딱거린다"고 꼬집었다. 그는 이어 "개인정보보호호위가 강력한 개인정보보호 모법을 만들어 예외 조항을 법 밑에 둬야 하는 것 아니냐"고 제안했다.

신 과장은 이에 "데이터3법과 연관된 국회 정무위원회와 과학기술정보방송통신위원회, 행정안전위원회가 연속회의를 만들어 법령을 함께 조율했어야 하지만 그렇지 못했다"며 "각 위원회 통과를 목표로 하다 보니 상임위마다 색깔과 가치가 달라 법 모양이 달라졌다"고 아쉬움을 표했다.

그는 이어 "21대 국회가 열리면 데이터3법이 또다시 논의의 대상이 될 것이다"며 "개인정보보호위가 총괄로서 책임지는 쪽으로 논의가 이어지지 않을까 생각한다"고 설명했다.

개인정보보호법 시행령 개정안에 포함된 4가지 개인정보 추가적 이용(제공) 요건 / 신종철 방통위 과장
개인정보보호법 시행령 개정안에 포함된 4가지 개인정보 추가적 이용(제공) 요건 / 신종철 방통위 과장
개인정보 추가 이용과 제공 요건을 짚은 시행령 내용에도 지적이 이어졌다. 시행령에서 구체적인 이용(제공) 요건을 4가지로 제시 후 모두 충족을 의무화했지만 결함이 드러난 탓이다.

업계 관계자 D씨는 "유럽연합(EU) 개인정보보호법(GDPR) 관련 전문가에게 의견을 물으니 4가지 조건을 모두 충족하지 않아도 된다는 의견을 냈다"며 "개인정보 추가 이용(제공) 목적이 당초 수집 목적과 상당한 관련성이 있어야 한다는 조항과 개인정보 수집 정황과 처리 관행에 비춰 추가 이용이 예측 가능해야 한다는 두 개 조항 중 하나만 만족해도 되지 않냐는 주장이다"라고 설명했다. 그는 이어 "개인정보 추가 이용에서 가명정보를 의무화한 조항에 대해서도 권장 정도로만 해도 충분하지 않았나 생각한다"고 말했다.

신 과장은 이에 대해 외부에서 공통으로 지적한 내용이라고 인정했다. 그는 "행정안전부가 시행령에서 4가지 요건 모두 충족을 고수하려고 한다"며 "방통위는 시행령 개정 논의 과정에서 이를 뒤집으려고 노력하고 있다"고 설명했다.

한편 정부는 5월 11일까지 업계 의견을 수렴해 최종 시행령을 확정할 예정이다. 데이터3법 시행은 8월이다.

김평화 기자 peaceit@chosunbiz.com

키워드