주간동아 1257

2020.09.18

“데이터 3법 발효 1개월, 개인정보 활용 기업은 막대한 벌금 주의해야”

[인터뷰] 임종인 고려대 정보보호대학원 교수

  • 김지영 기자

    kjy@donga.com

    입력2020-09-11 13:51:10

  • 글자크기 설정 닫기
    임종인 교수는 데이터 3법이 허용한 가명 정보 활용을 “미래 먹거리”라고 말했다. [지호영 기자]

    임종인 교수는 데이터 3법이 허용한 가명 정보 활용을 “미래 먹거리”라고 말했다. [지호영 기자]

    SK텔레콤과 신한카드가 9월초 데이터 사업을 함께 추진하기 위한 전략적 제휴 협약을 체결했다. 각사가 보유한 ‘가명 데이터’(개인을 식별할 수 없는 정보)를 상호 활용할 수 있도록 한 것이다. 그 첫 번째 사업으로 양사는 한국문화관광연구원과 문화관광 빅데이터 산업을 추진한다. 이를 통해 여행객의 만족도를 높이고 국내 경기를 활성화할 수 있을 것으로 기대한다. 바이오업계와 의료계에서도 새로운 부가가치 창출과 서비스의 질 향상을 위해 가명 보건의료 데이터를 적극 활용할 방침이다. 

    이 같은 움직임이 활발해진 데는 8월 5일부터 발효된 데이터 3법(개인정보보호법·정보통신망법·신용정보법 개정안)이 결정적 영향을 미쳤다. 데이터 3법은 개인정보보호에 관한 법이 소관 부처별로 나뉘어 있기 때문에 생긴 불필요한 중복 규제를 없애 4차 산업혁명의 도래에 맞춰 개인과 기업이 정보를 활용할 수 있는 폭을 넓히기 위해 마련됐다. 데이터 3법의 핵심은 추가 정보의 결합 없이는 개인을 식별할 수 없도록 안전하게 처리된 ‘가명정보’라는개념을 도입한 데 있다. 기업들은 앞으로 가명 정보를 활용해 새로운 서비스나 기술, 제품 등을 개발할 수 있고 신사업도 전개할 수 있다. 또한 개인정보의 암호화나 가명 처리 등의 안전 조치 마련, 독립적인 감독 기구 운영 등을 요구하는 유럽연합(EU)의 일반개인정보보호법(GDPR)에도 대응할 수 있게 됐다. 이 법은 데이터 3법이 시행되기 전에는 우리 기업의 유럽 진출에 걸림돌로 작용했다. 

    산업계에선 데이터 3법을 두 팔 벌려 환영하는 분위기다. 데이터 3법 시행으로 일자리가 늘어나고 경제 생태계가 활성화할 것으로 기대하기 때문이다. 반면 시민단체 등 일각에서는 데이터 3법을 두고 “개인이 제공한 신상정보를 기업이 돈벌이에 이용하도록 방치하는 법”이라며 “가명정보가 결합되면 개인 식별이 가능해져 악용될 수 있다”고 꼬집는다. 

    이 분야의 권위자인 임종인 고려대 정보보호대학원 교수는 “각 사업자가 가명 처리한 정보들이 결합될 경우 문제가 발생할 수 있지만, 이러한 경우에도 기존의 개인정보 유출에 비해 심각성은 낮을 수 있다”고 분석했다. 이와 함께 “개인정보를 이용하는 기업들은 당장의 이익보다는 막대한 벌금에 주의해야 한다”고 경고했다.

    개인정보 처리의 기본 원칙 준수

    -데이터3법 시행으로 유망해질 분야를 꼽는다면.  

    “빅데이터 산업과 이를 기반으로 한 신용정보 관련 산업이 유망할 것으로 보인다. 빅데이터의 경우 많은 정보가 있을수록 보다 가치 있는 결과가 나올 수 있는데, 기존 개인정보보호 관련 규제에서는 개인정보를 포괄적으로 정의하고 있어 개인정보를 활용할 수 없었다. 데이터3법 시행에 따라 앞으로 가명정보와 익명정보가 빅데이터에 활용돼 빅데이터 산업이 급속히 성장할 것으로 예상된다. 또한 신용정보법 개정에 따라 ‘마이데이터(MyData) 산업’도 허용된다. 마이데이터 산업은 사업자들이 개인의 동의를 받아 금융정보를 통합 관리해주는 신용정보관리업을 말한다. 정보주체의 권리행사에 따라 본인정보 통합조회, 신용·자산관리 등의 서비스를 제공하는 것이다. 마이데이터 산업이 형성될 경우 새로운 유망 분야로 떠올라 경제적, 사회적 효과를 낼 것으로 기대한다.”



    -가명 정보를 결합할수록 개인 식별이 가능해져 악용될 소지가 있다는 지적이 나온다. 

    “데이터 3법 시행으로 개인정보의 활용 가능성이 증가한 것은 사실이지만, 서로 다른 기업이 보유한 가명 정보는 제3의 전문기관에서만 결합할 수 있다. 예를 들어 롯데백화점과 국민은행의 서로 다른 가명정보를 결합하고 싶다고 임의로 결합할 수 있는 게 아니다. 가명정보의 결합은 정부가 지정한 결합전문기관의 승인을 받아야 한다. 아직 전문기관이 지정되지는 않았지만 인터넷진흥원, 금융보안원 같이 기술력과 공신력을 갖춘 곳에서만 결합을 해주니까 크게 걱정하지 않아도 된다. 원격진료만 해도 이미 15년 전에 기술이 개발됐는데 네트워크를 타고 민감한 의료정보가 유출되면 어떻게 하느냐고 반대해서 우리나라에서는 계속 못하고 있는데 다른 나라에서는 다 하고 있다. 문재인 정부도 야당 시절에는 데이터 3법 시행을 ‘개인정보 유출’이라고 반대했다. 그런데 가명정보 활용을 막으면 미래 먹거리인 인공지능(AI)산업을 일으킬 수 없으니까 데이터 3법을 통과시킨 거다. 현재 야당도 여당 시절 데이터 3법 시행을 주장했기에 반대할 명분이 없다. 데이터 3법을 시행하면서 문제가 있으면 시정하고 보완해나가면 된다. 개인정보보호위원회를 장관급 기관으로 올린 것도 금융위원회나 인권위원회처럼 힘을 가지고 무슨 문제가 생기면 거기에 제소해 조치를 취하도록 하기 위해서다. 구글이 지난해 프랑스 개인정보보호위원회(CNIL)로부터 5000만 유로(한화 630억 원)의 벌금을 맞은 것도 EU의 GDPR을 위반해서다. 안드로이드 사용자의 개인 정보 처리 방침을 명확히 하지 않은 혐의다. 물어야하는 벌금이 취하는 이득보다 크면 문제를 일으키지 않도록 조심할 수밖에 없다. 우리나라도 그런 추세로 갈 것으로 보인다. 개인정보보호위원회는 가명 정보의 안전한 활용 여건을 마련하고자 가명정보의 범위를 정보 주체가 누군지 알 수 없도록 가명 처리된 개인정보로 규정했다. 누군지 알 수 있다면 그것은 가명정보가 아니므로 정보주체의 동의 없이 활용하거나 유출하는 것 자체가 위법이다.”

    -가명처리 과정은 안전한가. 

    “개인정보 처리자가 참고할 수 있는 기준을 제시한 ‘가명정보 처리 가이드라인’에 따르면 개인정보처리자는 개인정보 처리의 기본 원칙을 준수하는 범위 내에서 가명처리의 전 과정을 진행해야 한다. 데이터의 주인을 식별할 가능성이 높은 정보는 삭제하거나 원래의 정보로 복원할 수 없도록 처리해야 하는 것이다. 개인정보처리자는 가명 처리할 때 안전성 확보조치 기준’을 준수하고, 재식별 방지를 위한 추가 조치를 해야 한다.”

    -데이터 주인이 자신의 가명 정보 활용을 거부할 수도 있나.

    “개정된 개인정보보호법에는 정보 주체에게 가명 정보 활용을 거부할 수 있는 권리가 부여돼 있지 않다. 기존 개인정보에 대해서는 열람권이나 처리거부권 등 통제권이 작동하지만, 가명 처리된 경우에는 이러한 통제권이 없어진다.”

    -데이터 3법 발효로 무엇이 달라졌나. 

    “개인정보보호법 개정안은 데이터의 주인이 누군지 알 수 없도록 처리한 가명정보를 데이터 주인의 동의 없이 통계나 과학 연구, 공익적 목적의 기록 보존에 활용할 수 있도록 허용했다. 정보통신망법 개정안은 그동안 여러 부처에서 나눠 맡던 개인정보 관련 규제 및 감독 주체를 ‘개인정보보호위원회’로 일원화했다. 또 다수의 법에 중복돼 있던 개인정보 관련 법령을 개인정보보호법으로 이관했다. 개인정보보호위원회는 국무총리 소속의 중앙행정기관으로 지위가 격상됐다. 신용정보법 개정안은 금융 분야에서 데이터를 활용할 수 있는 법적 근거를 마련했다. 금융 부문의 가명정보도 데이터 주인의 동의 없이 통계와 산업적 목적의 연구, 공익 목적의 기록 보존 등에 활용할 수 있게 한 것이다.”

    데이터 3법 시행으로 개인의 동의 없이도 가명 정보 활용이 가능해졌다. [GETTYIMAGES]

    데이터 3법 시행으로 개인의 동의 없이도 가명 정보 활용이 가능해졌다. [GETTYIMAGES]

    -가명정보의 활용 범위가 정해졌나. 

    “가명정보는 정보주체를 식별할 수 없도록 안전하게 처리된 데이터로 통계 작성, 과학적 연구, 기록보존 목적에 활용할 수 있다. 정보주체의 동의 없이 처리하고 활용할 수 있는 개인정보의 범위는 ’경기도, 30대, 여성‘처럼 개인을 식별할 수 없을 정도의 데이터로 제한한다.

    -외국에서도 가명 정보 활용을 허용하고 있나.  

    “EU의 GDPR, 일본의 2015년 개인정보보호법 개정, 미국 캘리포니아 주의 소비자프라이버시보호법(CCPA) 등 해외 주요국의 개인정보보호 관련 규제에서 가명정보를 활용할 수 있도록 하고 있다. 가명정보 활용은 세계적인 추세라고 볼 수 있다.”



    댓글 0
    닫기