• Legalinsight
  • Legaledu
  • 법률신문 법률정보

    연구논단

    데이터 경제 3법의 평가와 향후 과제

    이성엽 고려대 교수 (한국데이터법정책학회 회장) 입력 :
    글자크기 : 확대 최소
  • 인쇄
  • 메일보내기
  • 기사스크랩
  • 스크랩 보기
  • 159435.jpg

    I. 들어가며

    마침내 개인정보보호법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법), 신용정보의 이용 및 보호에 관한 법률(이하 신용정보법) 등 데이터 경제 3법 개정안이 1월 9일 국회를 통과하고 2월 4일 공포되어 8월 5일 시행된다. 4차산업혁명 시대 신산업 육성을 위해 인공지능, 클라우드, 사물인터넷 등 신기술을 활용하기 위해서는 데이터의 이용이 필수적인데, 3법은 데이터의 활용을 촉진하는 한편 정보주체의 권리를 강화하고 개인정보보호의 콘트롤 타워로서 개인정보보호위원회의 위상을 제고하는 것이 주요 내용이다. 이하에서는 3법의 내용, 평가와 향후 과제를 살펴보고자 한다.


    II. 데이터 경제 3법의 주요 내용

    우선 개인정보 개념을 3가지로 구분했다. 즉, 종래 개인정보 개념을 2가지로 구분하고 가명정보 개념을 신설했다. 첫째, 개인정보는 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보 외에 “해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보”로 구분했다. 개정법은 “쉽게 알아볼 수 있는지 여부”는 다른 정보의 입수 가능성 등 개인을 알아보는데 소요되는 시간, 비용, 기술 등을 합리적으로 고려해야 한다는 점을 신설하여 개인정보 개념을 명확히 했다. 둘째, 가명정보를 “개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가정보 없이는 특정 개인을 알아볼 수 없도록 처리(이하 “가명처리”)함으로써 원래의 상태로 복원하기 위한 추가정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보”로 정의하고, 통계작성, 과학적 연구, 공익적 기록보존 등을 위해서 정보주체의 동의 없이 처리할 수 있도록 했다. 셋째, 시간·비용·기술 등을 합리적으로 고려할 때 다른 정보를 활용하여도 더 이상 개인을 알아볼 수 없는 정보(이른바 “익명정보”)에 대해서는 법을 적용하지 않는다는 점을 규정했다.

    다음 현행법상 개인정보처리자는 동의를 받은 범위를 벗어나 개인정보를 수집·이용하거나 제공할 수 없도록 규정되어 있었으나, 개정법에서는 “당초 수집목적과 합리적으로 관련된 범위 내에서 정보주체의 동의 없이 개인정보를 수집·이용 및 제공할 수 있도록 하였다. 또한 ‘개인정보보호위원회’를 국무총리 소속 중앙행정기관으로 격상하는 한편, 기존 행정안전부 및 방송통신위원회의 개인정보보호 관련 기능을 동 위원회로 일원화하였다. 또한 개인정보보호에 관한 정보통신망법의 규정들을 삭제했으나, 이를 개인정보보호법상 특례로 규정하였기 때문에 정보통신서비스제공자에 대해서는 종래 규제들이 적용된다. 다만, 동의가 필요했던 처리위탁에 대해서 특례에서는 개인정보보호법과 같이 동의를 요하지 않는 것으로 했다.

    신용정보법의 경우에도 가명정보의 도입 등 데이터 활용을 촉진하는 규정을 신설하였으며, 그 외에도 신용정보주체의 신용정보를 일정한 방식으로 통합하여 본인에게 제공하는 행위를 영업으로 하는 ‘본인신용정보관리업’을 도입하였다. 또한 신용정보주체의 권리 강화를 위해 개인인 신용정보주체가 신용정보제공이용자(금융회사)나 공공기관에 대하여 본인에 관한 개인신용정보를 본인신용정보관리업자나 다른 신용정보제공이용자에 전송할 것을 요구할 수 있는 ‘개인신용정보전송요구권’, 개인인 신용정보주체가 개인신용평가회사나 신용정보제공이용자에 대하여 자동화평가(컴퓨터 등 정보처리장치로만 개인신용정보 및 그 밖의 정보를 처리하여 개인인 신용정보주체를 평가하는 행위)의 실시 여부, 자동화평가 결과 및 주요 기준에 대한 설명요구 등을 할 수 있는 ‘자동화평가대응권’을 도입했다.


    III. 데이터 경제 3법에 대한 평가(데이터 활용, 보호, 거버넌스 관점)

    데이터 경제 3법은 우선 데이터 활용 관점에 방점을 두고 있는 것으로 평가된다. 개인정보의 개념 명확화, 가명처리한 정보의 동의 없는 활용, 수집목적과 합리적으로 관련된 범위 내에서 동의 없는 활용, 가명정보 등의 전문기관을 통합 결합, 신용정보주체가 SNS에 공개한 정보의 동의 없는 이용 등이 그 사례이다. 이런 규정들로 인해 빅데이터 분석, 이용의 법적 근거가 마련되었다는 점에서 중요한 의의가 있다.

    다만, 개인정보보호법과 비교하면 신용정보법이 보다 데이터 활용에 강조점을 두고 있다는 해석이 가능하다. 가명정보의 활용 목적과 관련 개인정보보호법은 통계작성, 과학적 연구, 공익적 기록보존을 명시하고 있음에 반해 신용정보법은 통계작성(시장조사 등 상업적 목적의 통계작성을 포함), 연구(산업적 연구를 포함), 공익적 기록보존이라고 명시하여 문언상으로는 후자가 넓게 규정되어 있다. 다만, 개인정보보호법의 제안이유에는 ‘산업적 목적을 포함하는 과학적 연구’로 설명되어 있어 실질적으로 양자는 같은 것으로 볼 수 있다. 최초 수집목적과의 관련성 여부에 대해서도 개인정보보호법은 “당초 수집목적과 합리적으로 관련된 범위”라고 되어 있으나, 신용정보법은 “당초 수집한 목적과 상충되지 아니하는 목적으로 이용하는 경우”를 규정하고 있어 후자가 보다 넓은 것으로 되어 있다. 다만, 양 조항 모두 구체적인 사항은 대통령령으로 위임하고 있기 때문에 향후 추이를 지켜볼 필요가 있다. 정보결합에 대해서도 개인정보보호법은 가명정보에 대해서만 전문기관을 통한 결합을 허용하고 있으나 신용정보법은 정보집합물의 전문기관을 통한 결합을 허용하고 있어 후자가 보다 넓은 의미로 해석된다.

    데이터 보호 관점에서도 진일보한 내용이 포함되었다. 특정 개인을 알아보기 위한 목적으로 정보를 처리한 경우 전체 매출액의 3% 이하의 과징금이 신설된 것 외에도 가명정보의 복원에 필요한 추가정보의 분실·유출 등을 방지하기 위한 안전성 확보조치 의무, 가명정보 처리 관련 기록 작성·보관 의무, 가명정보 처리시 생성된 특정 개인식별 가능정보 처리 중지·회수·파기 의무 등을 규정하고, 이를 위반할 경우 형사처벌, 과태료, 과징금 등의 제재를 부과하고 있다. 기술한 개인신용정보전송요구권과 자동화평가대응권은 각각 EU GDPR의 데이터이동권(right to data portability), 프로파일링(profiling)거부권과 유사한 것으로 전자는 정보주체의 의사를 기반으로 한 데이터 활용 촉진, 후자는 인공지능의 편향적인 결정에 대한 정보주체의 대응권으로서 의의가 있다. 또한 신용정보법 위반의 징벌적 손해배상책임 한도를 3배에서 5배로 증액하였고 과징금도 위반행위 관련 매출의 3% 이내에서 전체 매출의 3%로 확대하였다. 전체적으로 정보주체의 자기결정권을 강화하는 한편 위반행위 행위에 대한 경제적 제재를 강화해 위반행위로 나아갈 유인을 감소시킨 것으로 평가된다.

    데이터 거버넌스 관점에서 개인정보보호위원회가 개인정보보호법을 관장하는 독립적 감독기관이 되었으나 신용정보에 대해서는 금융위원회가 신용정보법 소관 부서로의 역할을 수행하고 있어 사실상 이원화된 거버넌스라고 할 수 있다. 일례로 기존에 주로 금융회사에 대해서만 적용되었던 신용정보법이 신용정보에 관해서는 일반 상거래 기업 및 법인에 대해서도 적용되고, 이들에 대해서는 개인정보보호위원회가 자료제출요구, 검사권 등, 과징금 및 과태료 부과 등의 권한을 가진다. 결국 일반 상거래 기업의 경우 신용정보에 대해서는 신용정보법을, 개인정보에 대해서는 개인정보보호법을 적용받게 됨으로써 실무상 혼란이 예상된다. 또한 개인정보보호위원회는 물론 중앙행정기관도 데이터 결합을 수행하는 전문기관을 지정할 수 있게 됨으로써 사실상 전 부처가 데이터 활용과 보호 업무를 수행하게 되었다. 각 기관의 자율성을 인정하면서도 법 집행과 해석의 통일성을 기할 필요성도 높아졌다고 할 수 있다.


    IV. 데이터 경제 3법의 향후 과제

    우선 약 6개월간 하위 법령 작업을 통해 법 시행에 만전을 기할 필요가 있다. 특히, 당초 수집목적과 합리적 관련된 범위에 대한 구체적인 내용, 개인신용정보전송권과 자동화평가대응권의 구체적 내용, 전문기관을 통한 가명정보 내지 정보집합물의 결합, 제공 방법 등을 대통령령으로 정하도록 되어 있는바 이에 대한 명확한 규정이 필요하다. 다만, 아쉽게도 가명처리, 익명처리와 같은 비식별화 조치의 구체적 방안에 대해서는 하위 법령에 위임하는 규정이 없다. 비식별화 조치가 데이터 활용의 중핵적 요소라는 점에서 가이드라인 형식의 규율이 필요하다. 또한 그동안 지지부진했던 EU의 적정성 평가도 개인정보보호위원회의 독립성이 확보된 이상 조속히 추진되어야 할 것이다.

    한편 개정법의 경우에도 개인정보보호법과 신용정보법상 상이한 규정들, 인공지능 시대를 대비한 동의제도의 개선 이슈, 데이터 거래 활성화를 위한 법제도 미비 등 한계를 지니고 있다는 점에서, 추가적인 법 개정 작업도 진행되어야 할 것이다. 특히, 개정 내용의 주요 부분이 EU GDPR 등 해외 입법례를 참고하였다는 점에서 한국의 입법 환경을 고려한 독자적인 법제 연구 역시 검토되어야 할 것이다.


    이성엽 고려대 교수(한국데이터법정책학회 회장)

    최근 많이 본 기사