개인정보보호법학회(회장 김민호)가 지난 18일, “데이터3법의 개정과 향후 입법과제 모색” 세미나를 개최했다. 이 자리에는 ‘데이터3법(개인정보보호법, 신용정보법, 정보통신망법 개정안)’의 시행을 위한 하위법령 준비를 담당하고 있는 행정안전부 최장혁 전자정부국장도 참석해 개정의 의의 및 향후 계획을 전했다.

 

김민호 회장은 “발의된 지 1년 2개월만에 국회를 통과한 이른바 데이터3법은 데이터 활용의 물꼬를 트는 한편 EU(유럽연합) GDPR(General Data Protection Regulation, 개인정보보호규정) 등 국제적 기준에 부합하는 체계를 갖추고자 했다”며 “다만 급박한 입법 추진으로 체계성과 정합성의 측면에서 미진한 점이 있으므로 하나하나 개정을 준비해 나가야 한다”고 말했다.

 

이날 프로그램은 2부로 나뉘어 진행됐다. 1부 ‘긴급토론’에서는 “개정 개인정보보호법의 집행을 위한 해결 현안들- ①가명처리 합법화를 위한 기준과 방법 ②동의 없는 가명정보 활용의 구체적 범위 ③정보통신서비스제공자 특례규정의 법체계 정합적 해석”에 대하여 6명의 패널이 논의를 펼쳤고, 2부 ‘학술토론’에서는 “개인정보 국외이전 규정의 정비”와 “형사제재 규정의 합리화 방안” 두 주제에 대한 발제가 이뤄졌다.

 

■ “급변한 시대에 맞게 법을 개정해야 정보주체 제대로 보호”

 

긴급토론은 법무법인 태평양 이상직 변호사가 포문을 열었다. 이 변호사는 “이번 데이터3법 개정에 대해 ‘개인정보 활용은 쉬워지고 개인정보 보호는 어려워졌다’고 비판하는 목소리들이 있는데, 이는 성립할 수 없는 명제”라고 일갈했다. 그는 “개인정보보호법의 취지가 권리 주체를 보호하고자 함이라는 것은 개정 전이나 지금이나 변화가 없고, 시대가 급변했는데도 법을 예전 그대로 두는 것이 오히려 정보 주체를 제대로 보호하지 못하는 일이라는 올바른 인식을 가져야 한다”고 말했다.

 

이 변호사는 “개인정보 보호법의 후속입법을 위해서는 EU GDPR의 내용과 해석원리를 이해하는 것이 중요하다”고 하는 한편 “데이터의 안전한 결합을 위해서는 전문기관을 통한 절차적 시스템을 정립하고, 관련 프로세스의 기술적 표준을 정하여 모든 시스템에 호환이 가능하도록 해 가급적 인적 관여를 최소화하는 것이 바람직하다”는 의견을 냈다.

 

나아가 “정보 주체의 동의없는 추가 처리, 즉 합리적 관련성에 의한 동의 원칙의 예외 허용은 편법으로 악용될 가능성을 방지할 수 있도록 시행령 정비가 필요하며, 논란이 되고 있는 ‘합리적 관련성’ 요건에 대해서도 제3자 불이익 등 부작용이 없도록 한정해야 한다”고 주장했다.

 

가명정보 처리에 대하여는 암호화, 총계처리, 데이터 범주화, 데이터 마스킹 등 기존의 비식별조치 방식을 활용하되, 사례와 해석을 담은 정부의 가이드라인이 제시될 필요가 있다는 견해를 제시했다.

 

■ “법 적용의 현실성 고려하여 입법은 일반화하고 단순화해야”

 

홍익대 법학과 황창근 교수는 가명처리의 개념을 규정한 개정 개인정보보호법 제2조 제1의2와 관련, “여기서 규정한 개인정보의 삭제, 대체 방법에 대한 구체적인 내용에 대하여 하위법령에 규정할 필요가 있다”고 했다.

 

동의없는 가명정보의 활용 규정(제28조의2 제1항)에서 정한 ‘통계작성, 과학적 연구’에 ‘상업적 통계 또는 산업적 연구가 포함되는지 여부’에 대하여는 “법문이 신용정보법과 달리 명문의 규정을 두지 않았다고 하여 부정적으로 보는 것은 타당하지 않고, 개정법의 입법취지와 목적론적 해석에 따라 상업적 통계와 산업적 연구도 포함된다고 하는 것이 ‘안전한 활용’에 부합한다”고 주장했다.

 

한편 이번 법 개정에서는 정보통신망법상의 개인정보 보호 관련 규정을 개인정보보호법으로 일원화함에 따라 정보통신서비스 제공자 등의 개인정보 처리에 관한 특례 등을 정하는 ‘제6장 정보통신서비스 제공자 등의 개인정보 처리 등 특례’를 신설했다.

 

이에 대해 황 교수는 “개인정보처리자가 아닌 정보통신서비스 제공자에게만 적용되는 개인정보보호 관련 규정(특례)이 많게 되면 법률의 일반적 적용이라는 원칙이 훼손될 수 있다”면서 “법 적용의 현실성을 고려하여 가능한 한 일반화하고 단순화하는 입법이 타당하다”는 의견을 제기했다. 아울러 “개인정보보호법 등의 개정으로 기존의 ‘클라우딩컴퓨팅 발전 및 이용자 보호에 관한 법률’ 제4조의 개정도 필요하게 되었는데, 이번 개정에 포함되지 않았으므로 향후 검토가 필요하다”고 덧붙였다.

 

■ “가명정보 도입된 개인정보보호법에 대한 기업 컴플라이언스 수준 제고 반드시 필요”

 

법무법인 광장의 고환경 변호사는 대통령직속 4차 산업혁명위원회가 주최한 ‘해커톤(hackathon, 해킹과 마라톤의 합성어; 디자이너·개발자·기획자 등이 한 팀이 되어 마라톤을 하듯 긴 시간 동안 아이디어 창출과 기획, 프로그래밍 등의 과정을 통해 결과물을 만드는 행사)’에 참여한 경험을 기반으로 견해들을 개진했다.

 

고 변호사는 “데이터3법 개정에 따라 새롭게 도입된 가명정보와 그 활용범위에 대하여 시민사회와 수범자 등 이해관계자들이 올바른 이해를 갖도록 하는 것이 매우 중요하다”면서 “EU GDPR 시행 이후 EU 회원국 내에서 관련 기준 등이 마련되고 있다는 점에서 (이를) 지켜볼 필요가 있다”고 말했다.

 

과학적 연구와 관련한 가명정보 활용에 대해서는 다른 패널들과 마찬가지로 산업적 활용이 가능하다고 해석하는 한편 “EU, 미국 등에서 과학적 연구와 관련한 가명정보 활용에는 윤리적 통제가 필요하다고 지적한 점을 경청할 필요가 있다”는 의견을 보였다. 나아가 “기업책임성의 측면에서는 가명정보 개념이 도입된 개인정보보호법에 대한 컴플라이언스 수준 제고가 반드시 고민되어야 한다”고 했다.

 

고 변호사는 “이번 데이터3법 개정 중 가장 아쉬운 부분이 정보통신서비스 제공자 특례조항”이라면서 “엄격한 사전 동의 규제와 유효기간 규정 등을 삭제하거나 합리적으로 완화하고, 법률 간 정합성을 제고하며, 개인정보 국외이전 관련 조항을 추가적으로 정비해야 한다”고 주장했다.

 

■ “과도한 규제로 가명정보의 활용가능성 제약하고 있다”

 

중앙대 법학전문대학원의 이인호 교수는 “개정 개인정보보호법의 법문상 식별의 주체와 ‘식별자(identifier)’의 인식이 명확하지 않은 것으로 보인다”고 지적하는 한편, “개정법이 개인정보보호위원회의 독립성을 강조하면서도 시행입법을 위원회 규칙이 아닌 대통령령에 전부 위임하는 것은 문제”라고 했다.

 

동의 없는 가명처리 규정이 ‘통계 작성, 과학적 연구, 공익적 기록보전 등’을 위해서만 가명정보를 동의 없이 처리할 수 있게 한 점에 대하여는 “유효한 가명정보는 정보주체의 권리나 자유가 침해될 위험이 거의 없는 정보이기 때문에 그만큼 보호의 필요성은 낮다”면서 “GDPR 및 일본의 활용범위와 비교해 보아도 매우 제한적으로 규정되어 있다”고 말했다.

 

이 교수는 또한 “미국 연방거래위원회(FTC)나 일본의 개인정보보호법과 비교해 보았을 때 한국은 형사처벌을 포함하는 과도한 공법적 규제로 가명정보의 활용가능성을 제약하고 있어 시정이 필요하다”고도 주장했다.

 

특히 EU GDPR과 관련해서는 “개인정보처리자가 가명처리 후 재식별을 가능케 하는 추가 정보를 삭제한다면, 그리하여 자신이 정보주체를 식별할 수 있는 상황에 있지 않다는 점을 입증할 수 있다면, 정보주체가 열람권, 정정권, 삭제권, 처리정지권, 통지의무, 데이터이동권을 행사할 때 정보처리자가 그 의무를 거부할 수 있게 한 점을 주목할 필요가 있다”고 말했다.

 

■ “집행체계에 문제 야기하는 특례규정, 조속히 정비되어야”

 

서강대 법학전문대학원의 홍대식 교수는 “(이번 법 개정으로) 가명정보 개념이 도입되면서 개인정보 유형이 ‘개인식별정보’, ‘개인식별가능정보’, ‘가명정보’로 구분되게 됐다”면서 “가명정보는 개인식별가능정보와 익명정보 사이의 중간 개념으로, 개인식별가능정보보다는 식별가능성이 낮으나 추가 정보의 사용·결합을 통해 여전히 식별가능성이 있다는 점에서 익명정보와 구별된다”고 설명했다.

 

‘가명처리의 방법과 기준’에 대하여는 “가명정보의 처리 단계에서 행해지는 안전조치의 예시로써 원래의 상태로 복원하기 위한 추가 정보를 별도로 분리해 보관·관리하는 방법이 제시되고 있는 것을 볼 때, 식별자(개인 또는 개인과 관련한 사물에 고유하게 부여된 값 또는 이름) 또는 속성자(개인과 관련된 정보로서 다른 정보와 쉽게 결합하는 경우 특정 개인을 알아볼 수도 있는 정보)가 될 수 있는 추가 정보를 별도로 분리하는 방법이 주된 방법이 될 것”이라고 예상했다.

 

홍 교수는 논란이 많은 ‘과학적 연구’에 대하여 “입법 배경을 고려할 때 기업이 연구 주체가 되어 상업적 활용을 주된 목적으로 한다면 논란이 될 수 있으나, 연구기관이 연구 주체가 되는 과학적 연구로 인정되는 한 그 연구의 성과가 산업적 목적으로 활용된다 하더라도 허용되어야 한다”고 말했다.

 

한편 정보통신서비스 제공자 특례규정에 대하여는 “동일한 위반행위 대해 정보통신서비스 제공자에 대하여 과징금 부과 등의 특례가 규정된 부분은 단순 통합으로 인한 부득이한 상황이긴 하지만, 집행체계에 문제를 야기하므로 조속히 정비될 필요가 있다”고 지적했다.

 

■ “인공지능 필요성 높은 의료데이터 등 활용 기준 마련해야”

 

법무법인 린의 구태언 변호사는 “가명처리 합법화를 위한 기준과 방법을 일률적으로 규정하기는 매우 어렵다”면서 “정부가 산업별로 가이드라인을 만들어 제시하는 것이 바람직하다”고 말했다. 구 변호사는 특히 “민감정보에 포함되는 건강정보도 가명화해서 처리할 수 있는지 명확히 해결해 주지 않았다”면서 “건강정보도 가명처리의 대상에 포함된다”는 의견을 냈다.

 

구 변호사는 “의료데이터는 그 종류와 특성(영상, 텍스트, 음성, 유전체 등)에 따라 가명처리될 구체적 정보가 상이하므로 의료데이터별로 기준이 마련되어야 한다”면서 “인공지능의 필요성이 높을수록 민감한 정보라도 식별정보만 가명처리하면 되는 것으로 할 필요가 있는데, 의료인공지능 등 과학적 연구를 위해서는 의료데이터 활용이 필수적이라는 점을 생각해야 한다”고 강조했다.

 

정보통신서비스 제공자 특례기준에 대하여는 “모든 사업자가 오프라인 서비스와 온라인 서비스를 함께 제공하며 개인정보를 처리하고, 정보통신 기술이 모든 제품과 서비스에 활용되는 시대에 특례규정이 특별히 필요할 것 같지는 않다”고 했다.

 

그는 “손해배상 보장이나 과징금 등 기존 법령에 포섭하는 것이 바람직한 조항은 폐지하고, 제39조의 11에서 정하는 국내대리인 규정 정도만 남겨두는 것이 바람직하다”고 주장했다.

 

■ “개인정보 국외이전 규범, ‘상호적정성 모델’이 합리적”

 

제2부 ‘학술토론’의 첫 발제를 한 서울과학기술대학교 IT정책전문대학원 김현경 교수는 “‘데이터 주권’과 ‘개인정보 국외이전’ 규범 합리화 방안 연구”를 발표했다. 김 교수는 “4차 산업혁명이라 불리는 경제에서 데이터의 양적·질적 확보는 필수라는 점에서 각 국가의 데이터 주권에 관한 논의가 많아지고 있다”면서 “하지만 데이터와 국력의 관계를 정비례관계라고 한다면, 우리 국력은 하향선을 그리고 있다”고 진단했다.

 

그도 그럴 것이 한국의 빅데이터 이용률은 7.5%에 불과하여 빅데이터 활용과 분석 수준이 63개국 중 56위로 나타난 바 있다. 데이터 거래는 미국의 400분의 1수준이며, 최근 경제협력개발기구(OECD)가 기업환경 내 ICT기술·확산의 정도를 분석한 결과에서 우리나라는 20개국 중 빅데이터 분야 최하위(20위)라는 불명예를 안았다.

김 교수는 “경쟁력 있는 데이터 경제가 뒷받침되어야 데이터 주권의 확보가 가능한데, 이번 데이터3법 개정에서 데이터 경제의 핵심이라 할 수 있는 개인정보의 국외이전에 대한 규정은 변화가 없었다”며 “데이터 경제에 있어서 국가 간 경쟁관계의 우위 및 주도권 확보를 위해서도 개인정보 국외이전 규범은 중요하다”고 했다.

 

김 교수에 따르면 현행 개인정보 국외이전 규범이 오로지 정보주체의 ‘동의’에 의존하는 것은 문제다. 정보주체의 진정한 의사가 동의절차에 담기지 못함에도 불구하고 이러한 동의로써 오직 정보주체 개인적 차원에서의 책임만 남고 사업자는 모든 처리행위로부터 면책되는 결과가 된다는 것이다.

 

아울러 “개인정보 국외이전을 엄격히 제한하는 것이 경제적으로 부정적이다 혹은 긍정적이다라고 단언할 수는 없다”면서 “정책적으로 적절한 국지화와 적절한 개방화가 함께 이뤄지도록 설계할 필요가 있다”고 했다.

 

결론적으로 김 교수는 현행 개인정보 국외이전 규범을 ‘상호적정성 모델’에 의해 규율해야 한다는 입장이다. EU GDPR과 일본 등이 취하고 있는 ‘상호적정성 모델’이란 이전 자체는 허용하되 국가가 정한 기준에 부합하는 경우에만 허용하는 방식으로, 사적자치 원칙을 우선시하는 ‘자유주의 모델’과 지극히 예외적인 경우에만 허용하는 ‘국가통제 모델’ 등과 구분된다.

다만 이 같은 규율을 위해서는 개인정보 보호에 대한 역외적용 규정의 신설, 개인정보 국외이전 허용 요건의 개선 등의 입법과제가 먼저 해결되어야 한다는 것이 김 교수의 주장이다.

 

■ “형사처벌규정 비범죄화 작업 시급하다”

 

경성대학교 법학과 손형섭 교수는 “개정 개인정보보호법에서 형사제재 규정의 합리화 방안 연구”를 발표했다.

 

손 교수는 “우리 개인정보보호법이 많은 형사처벌 규정과 과태료 규정을 가지고 있어 ‘강한’ 보호법제라고 이야기되지만, 오히려 이러한 점 때문에 법원에서는 더욱 그 적용에 소극적이게 된 측면이 있다”고 했다. “이는 단순히 형사처벌 규정으로 규범적 효력을 담보하려 한 데서 야기된 부작용이며, 그 결과 개인정보보호법은 집행에서도 확실성을 보여주지 못했다”는 것이 그의 평가다.

 

개인정보보호법이 이처럼 규율된 배경에는 2000년대 이후부터 불거진 일련의 개인정보 유출 사례와 연관이 있다. 대표적인 사례가 고객 600만명의 개인정보가 협력업체에 무단으로 유출된 ‘SK 브로드밴드 사건(2008년)’, 추산 3500만명의 회원 정보가 해킹 당한 ‘네이트, 싸이월드 사건(2011년)’이다. 손 교수는 이러한 사건들의 특징으로 ‘피해의 대규모, 피해 사실 인식의 어려움, 피해의 확산, 피해의 국제화’ 등을 언급했다.

 

하지만 이렇게 규율된 법제에는 바람직한 규제 모델에 대한 고민이 빠져 있다는 것이 손 교수의 지적이다. “자율규제, 공동규제, 정부규제 모델 등의 검토나 네거티브 규제의 지향, 원포인트 규제 혹은 메스 규제 등의 고민은 전혀 없이 오로지 1대1 형벌과 과태료 및 과징금의 중첩적 규제만 체계적합성 없이 두고 있다”는 것이다.

 

그는 “개인정보보호법이 ‘쓸데없는 법, 불편한 법’이라는 오명을 벗기 위해서는 과감하게 전체 디자인을 다시 해야 한다”면서 “이처럼 많은 형사처벌 규정을 포함한 개인정보보호법으로는 빅데이터 시대에서 전체 복리에 맞는 데이터 활용은 요원할 것이기에 처벌규정의 비범죄화 작업이 시급하다”고 말했다.