데이터 규제 3법 개정 전망과 과제

 

 

1. 들어가며

 

대용량의 데이터를 축적하고 그 안에서 가치 있는 정보를 정제해 내는 능력이 산업 경쟁력으로 직결되는 이른 바 ‘데이터 경제 시대’가 도래하였다. 이미 거의 모든 산업 부문에서 데이터 그 자체가 ‘부’(富)가 되고 축적된 데이터가 다시 새로운 ‘부’를 창출해내는 데이터 경제가 실질적으로 작동하고 있으며 해외 주요국들은 데이터 경제 시대의 주역이 되기 위해 법·제도 혁신에 사활을 걸고 있다.

유럽연합은 2018년 1월부터 PSD2(개정지급결제산업지침; Revised Payment Service Directive)1 를 통해 은행권 데이터 개방을 위한 제도적 기반을 마련하였고, 2018년 5월 개인정보보호법(GDPR; General Data Protection Regulation)2 을 전면 시행하여 글로벌 빅테크(Big Tech) 기업들의 데이터 활용 체계 정비를 이끌었다. 일본은 2015년 개인정보보호법 개정을 통해 일찍이 ‘익명가공정보’ 개념을 도입하고 독립적인 개인정보 관리감독기구를 설치·운영하고 있으며, 해당 법률 개정을 바탕으로 2019년 1월 유럽연합의 개인정보보호법(GDPR) 규정에 따른 적정성 평가를 마무리한 후 자칭 ‘세계 최대의 데이터 안전지대’를 구축한 바 있다.3

대한민국도 이러한 국제 흐름에 뒤처지지 않기 위해 갈 길이 바쁜 상황이다. 정부는 ‘데이터를 가장 안전하게 잘 쓰는 나라’를 슬로건으로 내세워 ‘데이터 고속도로 구축’을 위한 데이터 규제혁신을 적극 추진하고 있지만4 정작 개인정보의 안전한 활용을 지원하기 위한 데이터 규제 3법(개인정보보호법·정보통신망법·신용정보법) 개정안은 국회의 문턱을 넘지 못하고 있다. 해당 개정안들은 현재 국회 행정안전위원회 법안소위에서 심사 중인 상태로, 20대 국회 임기 내에 처리되지 못하면 자동 일괄 폐기된다. 20대 국회는 2020년 국회의원 총선거를 통해 21대 국회가 구성될 때까지 임기가 이어지지만 실질적으로는 선거 정국으로 돌입하는 2019년 말까지가 입법 논의의 기한이라고 봐야 한다.

데이터 경제로의 전환은 전 세계적 추세이며 이러한 변화를 수용할 새로운 법제도의 틀을 마련하는 것은 우리 모두에게 더 이상 미룰 수 없는 숙제이자 책무로 놓여 있다. 그러나 데이터의 활용과 보호에 대한 균형점을 제시하고 데이터의 오·남용이나 과잉 보호로 인한 문제를 최소화할 수 있는 규제를 설계한다는 것은 여전히 말처럼 쉬운 일이 아니다. 더 나아가 제도 혁신안을 마련하고 국회의 입법을 완성하는 것은 개인정보를 보호해야 한다는 정보주체로서의 국민의 뜻5 과 데이터의 적극적 활용을 통해 국민 삶의 질을 향상시켜야 한다는 경제주체로서의 국민의 뜻6 이 절충되는 적절한 지점을 담아내야 하는 입법적, 정치적으로 행하는 어려운 선택을 의미한다.

이 글에서는 현재 논의되고 있는 데이터 규제 3법 개정안의 주요 내용과 의미, 향후 쟁점과 과제를 짧게 살펴보고자 한다.

 

2. 데이터 규제 3법 개정안의 주요 내용

 

1) 개인정보보호법 개정안(인재근 의원 대표발의)

2018년 초 ‘대통령 직속 4차 산업혁명위원회’ 주관으로 산업계, 시민단체, 전문가, 관련 정부부처 등이 자유토론 방식의 규제·제도 혁신 해커톤을 진행하였고 이를 통해 합의된 내용을 바탕으로 국회 4차 산업혁명 특별위원회에서는 개인정보의 활용과 보호를 균형 있게 개선하기 위한 특별권고 및 입법권고를 발표한 바 있다.7 이후 행정안전부는 산업계 및 시민단체와 여러 차례의 간담회와 회의를 거쳐 개인정보보호법 개선 방향을 마련하였으며8 이는 행정안전위원회 위원장인 인재근 의원의 대표발의로 2018년 11월 15일 국회에 발의된 개인정보보호법 개정안(의안번호 제16621호)에 반영되었다.

본 개정안은 개인정보의 개념을 보다 명확히 하여 법률 수범자의 혼란을 줄이고 분산되어 있는 개인정보보호 관련 법령을 체계적으로 정비하는 것을 목적으로 한다. 개정안의 주요 내용은 다음과 같다.

우선 개인정보와 관련된 개념 체계를 개인정보‧가명정보‧익명정보로 명확히 하고 가명정보는 통계작성, 연구, 공익적 기록보존의 목적으로 처리할 수 있도록 한다. 서로 다른 기업이 보유하고 있는 정보집합물은 대통령령으로 정하는 보안시설을 갖춘 전문기관을 통해 결합할 수 있고 전문기관의 승인을 거쳐 반출을 허용하도록 한다. 나아가 가명정보를 처리하거나 정보집합물을 결합하는 경우에는 관련 기록을 작성‧보관하는 등 대통령령으로 정하는 안전성 확보조치를 하도록 하고 특정 개인을 알아보는 행위를 금지하는 한편 이를 위반하는 경우 형사벌칙과 과징금 등을 부과하도록 한다.

또한 개정안은 행정안전부, 방송통신위원회, 금융위원회 등으로 분산된 개인정보보호 감독기관의 역할을 개인정보보호위원회로 일원화시키는 내용도 담고 있다. 개인정보보호위원회를 국무총리 소속 중앙행정기관으로 개편하는 한편, 현행법상 행정안전부의 기능을 개인정보보호위원회로 이관하고 개인정보보호위원회에 관계 중앙행정기관의 장에게 공동조사 및 처분 등에 대한 의견제시권을 부여하여 개인정보 보호 컨트롤타워 기능을 강화하도록 하고 있다. 이와 더불어 정보통신망법의 개인정보보호 관련 규정을 삭제하면서 국외 이전 시 보호 조치, 국외 재이전, 국내대리인, 손해배상 보험 등 현행법과 상이하거나 정보통신망법에만 있는 규정을 특례로 규정한다.

 

2) 정보통신망법 개정안(노웅래 의원 대표발의)

마찬가지로 2018년 11월 15일 국회 과학기술정보통신위원장인 노웅래 의원이 대표발의한 정보통신망법 개정안(의안번호 제16622호)은 위 개인정보보호법 개정안과 같은 배경을 가지고 다수의 개인정보 관련 법령의 유사·중복 조항을 정비하고 개인정보보호 거버넌스 개선방안을 마련하기 위해 발의되었다.

개정안의 주요 내용은 개인정보보호법, 정보통신망법 등으로 산재한 법체계와 행정안전부, 방송통신위원회, 개인정보보호위원회 등 다수의 감독기구가 존재함에 따른 수범자의 혼란과 중복규제 부담 등의 문제를 해결하기 위하여 정보통신망법에 규정된 개인정보 보호에 관한 사항을 개인정보보호법으로 이관하고 온라인상의 개인정보 보호와 관련된 규제 및 감독의 주체를 방송통신위원회에서 개인정보보호위원회로 변경하는 것이다.

 

3) 신용정보법 개정안(김병욱 의원 대표발의)

은행, 카드, 보험, 금융투자 등 금융업 분야별로 관리되고 있는 데이터가 대량으로 축적되어 있는 금융 분야는 다양한 개인 특성 정보를 결합하여 맞춤형 금융상품을 개발할 수 있고 다른 산업 분야와의 확장적인 융합도 가능하기에 데이터의 활용 가치가 상당히 높다. 이에 데이터 시대 도래로 인한 기술·경제적 환경 변화를 수용하여 적극적으로 데이터를 활용할 수 있도록 하는 동시에 빅데이터 활용에 따른 부작용을 방지하기 위한 안전장치를 강화하기 위하여 2018년 11월 15일 김병욱 의원의 대표발의로 신용정보법 개정안(의안번호 제16636호)이 발의되었다.

개정안은 유럽연합 개인정보보호법(GDPR) 등 해외의 데이터 규제와 관련된 입법례를 국내 실정에 맞추어 도입하고 기존의 개인정보 보호규제 완화 필요성에 관한 사회적인 논의를 반영함으로써 금융 분야의 데이터 분석‧활용의 제도적 기반을 마련하기 위한 취지로서 그 주요 내용은 다음과 같다.

우선 추가정보를 사용하지 아니하고는 특정 개인을 알아볼 수 없도록 처리(가명조치)한 개인신용정보로서 가명정보의 개념을 도입하여 빅데이터 분석·이용의 법적 근거를 명확하게 한다. 가명정보는 통계작성, 연구, 공익적 기록보존 등을 위해서는 신용정보주체의 동의 없이도 이용하거나 제공할 수 있다. 또한 데이터 전문기관을 통한 데이터 결합의 근거를 마련하고 가명정보의 안전한 이용을 위한 보안장치를 의무화하였으며 영리·부정한 목적의 재식별시 징벌적 과징금 부과 등 엄격한 사후 처벌을 신설하는 등의 빅데이터 활성화 조항들을 다수 추가하였다. 더불어 개인정보보호위원회의 위상과 기능을 강화하고 개인정보보호법과 신용정보법 간 유사 중복 조항을 정비하는 내용을 담고 있다.

또한 금융 분야 데이터 산업 육성을 위해서는 신용정보 관련 산업 규제 체계 정비, 금융 분야 마이데이터(MyData) 산업 도입 등과 관련한 조항을 신설하였으며, 금융 분야 정보보호 규제 내실화를 위하여 신용정보 주체인 개인이 빅데이터 시대에 소외되지 않도록 정보 활용 동의서 등급제를 도입하고 ‘프로파일링 대응권’ 등 새로운 개인정보 자기결정권을 도입하도록 하고 있다.

 

3. 데이터 규제 3법 개정 전망과 향후 과제

개인정보보호법 개정안(인재근 의원 대표발의·행안위), 정보통신망법 개정안(노웅래 의원 대표발의·과방위), 신용정보법 개정안(김병욱 의원 대표발의·정무위) 등 세 개의 축으로 이뤄져 있는 데이터 규제 3법은 크게 가명정보 등 새로운 개인정보 관련 개념의 도입, 개인정보 관련 감독 기관의 일원화 등으로 그 핵심 내용을 공유하고 있다. 해당 내용들은 앞으로도 법안소위에서 지속적인 쟁점 사항으로 논의될 것으로 예상된다.

데이터 규제 3법 통과의 길목에 있어 시민단체의 가장 큰 저항을 받고 있는 쟁점은 가명정보 개념 도입에 관한 것이다. 특히 신용정보법 개정안은 가명조치에 따른 정보를 가명정보로 개념화하고 그 활용 범위를 규정함으로써 그간 법적 근거 없이 운용되던 ‘비식별 조치 가이드라인’9 의 법적 근거를 마련해 줄 수 있을 것으로 기대되나 상업적 목적의 통계 작성 및 산업적 연구를 목적으로 정보주체의 동의 없이 제공·활용할 수 있도록 허용하는 것은 그 범위와 판단 기준을 법률에서 구체적으로 정하지 않을 경우 데이터 활용 기업들의 자의적 판단을 초래할 수 있다. 이는 자칫 우리 개인정보보호법 체계의 근간을 흔들 수 있는 문제이므로 매우 신중하게 논의되어야 한다. 개인정보에 관한 자기결정권을 인정한 헌법재판소의 결정례10 에 의하면 정보주체인 개인의 권리는 헌법적 기본권에 해당하는데 자칫 불명확한 개념의 도입이 위헌 논란으로 번질 가능성도 배제할 수 없다.

또한 개인정보보호법 개정안에는 정보 주체의 동의가 필요하지 않은 가명정보의 활용 목적에 ‘과학적 연구’를 새롭게 포함하는데 이러한 모호한 개념 정의가 지나치게 포괄적으로 해석될 경우 가명정보의 심각한 오·남용이 발생될 수 있다. 가명정보, 익명정보에 대한 기준을 정립하는 것은 개인정보 규제를 상당 수준으로 완화해준다고 볼 수 있는데 아직 가명처리의 적정 수준 및 가명정보에 대한 안전성이 제대로 검증된 바 없으며 이로 인한 문제가 생겼을 시 책임 구조도 정리되지 않은 상황이기 때문에 개인정보의 가치를 경제적 효율성의 관점으로만 바라볼 것이 아니라 정보 주체의 인격권은 물론 포괄적 기본권의 관점과도 조화를 이룰 수 있도록 보다 세밀한 법률 검토가 필요하다.

한편, 국제 기준 등에 비추어 볼 때 독립성과 실행 권한이 부족하다고 평가받던 개인정보보호위원회의 기능과 권한을 재정립하고자 하는 개정안의 내용은 유럽연합 개인정보보호법(GDPR) 적정성 평가11 의 핵심 요소가 될 것으로 예측된다. 한국은 그간 유럽연합 집행위원회와 해당 내용에 대해 협상해 왔지만 개인정보 보호 관련 정책 집행, 감독권, 피해 구제 등의 권한을 지닌 개인정보보호위원회의 독립성이 충분하지 않다는 이유 등으로 적정성 평가를 통과하지 못하였다.12 개인정보보호위원회의 독립성을 확보해주고 과학기술정보통신부, 금융위원회, 행정안전부 등으로 분산되어 있는 개인정보 관련 규제 컨트롤타워를 일원화하여 규제·감독 권한을 통합하도록 하는 이번 법률 개정안은 유럽연합 개인정보보호법의 적정성 평가를 충분히 충족시킬 수 있을 것으로 예상되나 개정안 작업에 있어 유럽연합 집행위원회 등과 실무적으로도 긴밀한 의견 조율이 병행되어야 실패를 반복하지 않고 법률 개정의 실익을 찾을 수 있을 것이다.

개인정보보호위원회의 기능 및 권한을 통합하는 것만으로는 현재 산적한 개인정보 보호 규제의 근본적인 문제점을 해결하기에는 그 한계가 여전하다. 이번 개정안은 1차적 개인정보 관련 규제 기능은 개별 행정기관이 담당하고 개인정보보호위원회는 개별 행정기관에 대한 감독권과 제도 개선 등 총괄 주무기관으로서의 권한을 갖고 2차적 조치권을 통해 문제를 해결하는 등의 개인정보 규제 체계의 전환 기반을 마련하는 데 의미를 두어야 한다. 향후 관련 논의를 지속하여 궁극적으로는 개인정보 보호와 관련된 법률은 기본법과 특별법 두 개의 체제를 조화롭게 운영하고 각 분야별 개별법을 중심으로 개인정보 보호 제도를 운영하는 체계로 전환해 나가는 것이 바람직할 것으로 생각된다.

 

4. 나가며

데이터 규제 3법 개정을 통해 데이터 경제 혁신의 토대를 만드는 것은 더 이상 거스를 수 없는 시대적 흐름이다. 그러나 발의된 지 10개월이 넘어가는 현재까지도 3개 법의 개정안은 각 상임위원회 법안소위에 머물러 있다. 거듭된 국회 파행으로 법안 통과가 계속적으로 미뤄져 왔지만 이번 정기국회에서는 모든 이해당사자들이 적극적인 의지를 가지고 반드시 입법 논의를 진전시켜야 한다.

하지만 개인정보 활용과 보호를 동시에 높이는 규제 혁신은 과연 가능할 것인가? 데이터 규제 혁신에 관하여는 개인정보의 개념 정의의 구체화를 통한 이용 활성화 방안부터 개인정보 규제기관의 기능·권한 재정립 문제까지 다양한 논의가 동시다발적으로 진행되고 있으나 가까운 시일 내에 모두가 만족할 수 있는 합의점을 찾기는 쉽지 않아 보인다.

이럴 때일수록 본질로 돌아와 해법을 찾아야 한다. 데이터 규제 혁신의 주된 대상은 데이터 활용의 시작점부터 발목을 잡는 수많은 의무조항과 처벌조항들이 되어야 한다. 정부는 빅데이터 활용을 자유롭게 허용해 주되 사고가 발생하거나 사회적 위험이 가중된 분야에서 조사권을 발동하여 책임구조를 명확히 밝히고 그 후속 조치를 취하는 것에 집중해야한다.

무엇을 허용해 줄 것인가를 찾는 것보다 우선되어야 할 것은 정부가 해야 할 일과 하지 않아야 할 일을 제대로 구분하는 것이며, 해당 작업이 끝난 뒤에야 비로소 기업이 체감하는 데이터 규제 혁신, 국민들이 체감할 수 있는 실질적인 이용자 보호 정책 설계가 가능할 것이다.

 

 

[참고문헌]

  • 관계부처 합동, 「개인정보 비식별 조치 가이드라인」, 2016.06.30.
  • 국회 4차 산업혁명 특별위원회 활동결과보고서, 「개인정보 보호와 활용을 위한 특별 권고안」, 2018.05.
  • 방동희, “데이터 경제 활성화를 위한 데이터 법제의 필요성과 그 정립방향에 관한 소고”, 법학연구, 제59권 제1호, 2018.
  • 이제희, “4차 산업혁명 시대, 개인정보자기결정권 보장을 위한 법적 논의”, 한국토지공법학회, 제80권, 2017.
  • 행정안전부 공공데이터전략위원회, “「개인정보보호법」 개정방향”, 제3기 공공데이터전략위원회 4차 회의 보고사항, 2018.10.12.
  • Directive (EU) 2015/2366 of 25 November 2015.
  • EUROPEAN COMMISSION, “European Commission adopts adequacy decision on Japan, creating the world’s largest area of safe data flows”, EUROPEAN COMMISSION Press Release Database, 2019.01.23.
  • Regulation (EU) 2016/679 of the European Parliament and of the Council on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), OJ 2016/L 119/1, 27 April 2016

 

 

  1. Directive (EU) 2015/2366 of 25 November 2015. [본문으로]
  2. Regulation (EU) 2016/679 of the European Parliament and of the Council on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), OJ 2016/L 119/1, 27 April 2016. [본문으로]

  3. EUROPEAN COMMISSION, “European Commission adopts adequacy decision on Japan, creating the world’s largest area of safe data flows”, EUROPEAN COMMISSION Press Release Database, 2019.01.23. [본문으로]

  4. 오동현, “정부, 데이터 규제혁신…‘가장 안전하게 잘 쓰는 나라 만들 것’”, NEWSIS, 2018.08.31.

    <http://www.newsis.com/view/?id=NISX20180831_0000406089> [본문으로]

  5. 이제희, “4차 산업혁명 시대, 개인정보자기결정권 보장을 위한 법적 논의”, 한국토지공법학회, 제80권, 2017, 143-165면. [본문으로]

  6. 방동희, “데이터 경제 활성화를 위한 데이터 법제의 필요성과 그 정립방향에 관한 소고”, 법학연구, 제59권 제1호, 2018, 77-104면. [본문으로]

  7. 국회 4차 산업혁명 특별위원회 활동결과보고서, 「개인정보 보호와 활용을 위한 특별 권고안」, 2018.05., 33-36면. [본문으로]

  8. 행정안전부 공공데이터전략위원회, “「개인정보보호법」 개정방향”, 제3기 공공데이터전략위원회 4차 회의 보고사항, 2018.10.12. [본문으로]

  9. 관계부처 합동, 「개인정보 비식별 조치 가이드라인」, 2016.06.30. [본문으로]

  10. 헌재 2005. 5. 26, 99헌마513; 헌재 2005. 7. 21, 2003헌마282 [본문으로]

  11. 역외국가가 유럽연합 개인정보보호법의 요구 수준으로 개인정보를 보호하고 있는지를 평가하는 제도. ‘유럽연합 개인정보보호법 적정성 평가’ 가입 국가의 기업들은 유럽 연합 기업들과 같이 유럽연합 시민의 개인정보를 국외로 이전하여 활용할 수 있다. 자세한 내용은 아래 사이트 참조.

    <https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en> [본문으로]

  12. 강성욱, “일본은 GDPR 적정성 평가 완료…한국은 ‘올해도 어렵다’”, 보안닷컴, 2019.01.29. [본문으로]

저자 : 권헌영

고려대학교 정보보호대학원 교수/KISO 저널 편집위원/(전)광운대학교 과학기술법학과 교수