# 29일 국회 과학기술정보방송통신위원회가 법안심사소위 및 전체회의를 열지 못함에 따라 ‘데이터3법’ 중 하나인 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법) 개정안의 국회 본회의 상정은 무산되었다. 당초 여야 3당 원내대표는 이날 국회 본회의에서 정보통신망법을 비롯해 개인정보보호법, 신용정보의 이용 및 보호에 관한 법률(이하 신용정보법) 각 개정안 등 이른바 ‘데이터 3법’ 혹은 각 법안 명에서 한 글자씩을 딴 ‘개망신법’을 일괄처리하기로 하였으나, 끝내 불발되고 만 것이다.

이번에 문제가 된 ‘데이터3법’개정안은 ‘빅데이터’의 활용이 4차 산업혁명 시대의 성공을 좌우할 수 있는 중요한 요소로 인식되면서 보호에만 중점을 두고 있던 ‘개인정보’를 ① 정보주체의 권리를 침해하지 않는 범위 내에서 추가 정보의 결합 없이는 개인을 식별할 수 없도록 안전하게 ‘가명 처리’된 ‘가명정보’의 개념을 도입하고 ② 이를 ‘데이터’로서 활용할 수 있는 법적 근거를 마련하기 위한 것이었다. 개인정보란 ‘살아있는 개인에 대한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보, 혹은 해당 정보만으로 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보’를 의미하는데(개인정보보호법 제2조 제1호), ‘개인정보를 어떻게 처리할 것인가’의 문제는 ‘데이터 3법’이 규율하고 있어 이에 대한 개정이 필요했기 때문이다.

사실 현행 ‘데이터3법’은 개인정보를 데이터로 활용하기 위해서는 정보를 수집, 이용, 제3자에게 제공 등을 하는 과정에서 개인정보주체들로부터 ‘동의’를 받아야 하는 등의 엄격한 규제로 인해 이를 ‘데이터’화 하여 활용하는 것은 현실적으로 불가능하다. 가령 개인정보보호법 상 개인정보를 처리할 때는 처리의 목적을 명확하게 하여야 하고, 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 하는 반면, ‘정보주체의 동의’나 ‘법령상의 근거’가 있지 않는 한 그 ‘목적 외의 용도’로 활용하는 것은 원천적으로 허용하지 않고 있기 때문이다(제3조).

결국 상황이 이러하다 보니 ‘빅데이터’를 활용한 4차 산업의 활성화를 위해서는 ① 1차적으로 개인정보 데이터에서 정보주체인 식별자를 가명으로 대체하는 이른바 ‘가명처리’로 ‘비식별화’과정이 요구되고, ② 가명처리’를 통해 생성된 ‘가명정보’는 시장조사 등 상업적 목적의 통계작성, 서비스 개발 등 산업적 목적을 포함하는 과학적 연구, 공익적 기록보존 등의 목적에 따라 ‘정보주체의 동의’ 없이도 원본 개인정보의 ‘목적 외의 용도로 이용’하거나 이를 ‘제3자에게 제공’할 수 있도록 하는 법적 근거가 필요했다. 이에 ‘빅데이터’를 이용한 산업을 준비하고 있던 업계에서는 ‘데이터3법’ 개정의 필요성을 역설했고, 각 개정안은 이 같은 내용을 담게 된 것이다(개인정보보호법 개정안 제2조 제2호의 2 및 제2호의 3, 제19조의 2 및 3, 정보통신망법 개정안 제2조 제1항 제6호의 2 및 3, 제26조의 3 및 4, 신용정보법 개정안 제2조 제15호 및 제16호, 제32조 제6항 제9호의 2 및 4, 제33조 제1항 제4호). 그러나 이번 회기에서 ‘데이터3법’개정안의 국회 본회의 상정이 무산됨에 따라 4차 산업의 원유(原油)라 할 만한 ‘데이터’ 활용의 근거 마련은 또 다시 실패로 돌아갔다.

▲ 최종구 금융위원장이 '데이터경제 활성화 관련 간담회'에 참석해 발언을 이어가고 있다. 금융위원회 제공

이렇듯 국회가 2011년 시행된 개인정보보호법을 8년째 방치하는 사이 세계는 이미 오래 전부터 개인정보를 데이터로 활용할 법적 근거 마련을 준비하고 실제로 개인정보보호 관련 법령에 이러한 내용을 반영해 새로운 산업에 적용시키고 있다. 우선 2017년부터 시행되고 있는 일본의 개정 개인정보보호법의 경우 ‘데이터3법’의 ‘가명정보’와 유사한 ‘익명가공정보’라는 개념을 도입해 ‘특정 개인을 식별할 수 없도록 개인정보를 가공하고, 가공된 정보로부터 해당 개인 정보를 복원할 수 없도록 기술적 조치까지 취했다면, 이 같은 정보는 본인의 동의 없이도 재이용이 가능하도록 허용’하고 있다. 2018년 시행된 EU의 GDPR(General Data Protection Regulation)의 경우도 “추가적 정보의 이용 없이 개인정보가 더 이상 특정 정보주체에게 귀속될 수 없는 방식으로 처리할 정도로 가명 처리 또는 암호처리가 되었음을 전제로 공익을 위한 기록보존 목적, 과학 또는 역사 연구 목적, 통계목적의 개인정보 처리 시 정보주체의 동의가 없어도 ‘목적 외’로 추가적인 처리가 가능”하다고 규정하고 있다. 개인정보보호를 규율하는 일반법을 두고 있지 않은 미국의 경우도 개인정보의 ‘비식별화’와 관련해서는 ‘HIPAA 프라이버시 규칙', 'FCC의 2016년 ISPs의 프라이버시 규칙’ 등을 통해 아무런 무리 없이 ‘빅데이터’ 산업을 육성해 가고 있다.

정치가 4차 산업의 발전을 돕지는 못할망정 최소한 발목을 잡지는 말아야 할 것 아니냐는 업계의 볼멘소리와 함께 ‘데이터3법’을 연내 통과시키지 못한 이번 회기 국회의 ‘개망신’사태는 앞으로도 대한민국 정치의 오명으로 기록될 전망이다. 

키워드

#이코노믹리뷰 #조태진 법조전문기자/변호사