'가명정보' 도입에 빅데이터 활성화 기대…개인정보 악용 우려도

개인정보보호법 등 데이터 3법 통과…EU GDPR 적정성 평가 '청신호'
9일 국회 본회의를 통과한 '빅데이터 경제3법'(개인정보법·신용정보법·정보통신망법 개정안)은 데이터 기반 산업 활성화를 위해 개인정보 보호 수준을 일정 부분 완화하고 활용 범위를 넓혔다. 데이터3법의 중심이 되는 개인정보보호법은 이를 위해 개인 식별이 가능한 '개인정보'와 식별이 불가능한 '익명정보' 사이에 '가명정보'라는 개념을 새로 도입했다.

가명정보란 개인정보 일부를 삭제하거나 대체해 추가정보 없이는 특정 개인을 알아볼 수 없도록 '가명처리'한 정보를 뜻한다.

'서울 종로구 수송동 110번지에 사는 45세 남성 홍길동'이라고 하면 개인정보이지만 '서울 종로구 거주 40대 홍○○'는 가명정보가 된다. 이런 가명정보는 개인정보와 달리 정보주체, 즉 홍길동의 동의가 없어도 제삼자에게 제공해 통계작성이나 산업적 목적을 포함하는 과학적 연구, 공익적 기록보존 등에 폭넓게 활용할 수 있다.

가명정보 뿐만 아니라 개인정보도 '수집 목적과 합리적으로 관련된 범위'에 있다면 정보주체의 동의 없이 활용할 수 있도록 길을 열어줬다.

예를 들어 인터넷쇼핑몰이 수집한 고객 개인정보를 물품 배송업체에 제공할 경우 현재는 따로 고객의 동의를 받아야 한다. 하지만 개정안에서는 '주문상품 배송'이 정보수집 목적과 합리적으로 관련돼 있다고 볼 경우 별도 동의 없이 고객정보를 배송업체에 제공하는 것이 가능하다.

개정안은 개인정보의 개념도 일부 다듬었다.

현행법은 단독으로는 개인 식별이 불가능하더라도 쉽게 다른 정보와 결합해 개인을 특정할 수 있다면 역시 개인정보로 규정하고 있다. 이에 비해 개정안은 추가 정보를 얼마나 쉽게 입수해 결합할 수 있는지 판단할 때 시간·비용·기술 등을 고려하도록 구체화했다.

가령 휴대전화 단말기 고유번호의 경우 기존 판례는 추가 정보와 결합할 경우 개인을 특정할 수 있다는 점에서 개인정보로 봤지만, 개정안이 시행되면 판단이 달라질 수 있다.

개정안에는 개인정보보호위원회를 강화하는 내용도 담겼다.

개인정보보호 관련 정책을 심의·의결하는 합의제 행정기관인 위원회를 방송통신위원회 같은 합의제 중앙행정기관(장관급)으로 격상하고, 여러 부처에 분산된 개인정보보호 업무를 위원회로 일원화하는 내용이 골자다.

이에 따라 법령 개선이나 정책 수립·집행, 개인정보 침해에 대한 조사·처분을 할 수 있게 된다.

위원회 구성인원도 현재 7명에서 9명으로 늘어난다.

이런 내용은 공포 후 6개월 이후에 시행된다.

그때까지 관련 시행령 개정을 거쳐 구체적인 내용을 정하게 된다.

행안부는 개인정보보호법 등 데이터 3법으로 통신·금융·유통 등 서로 다른 분야의 데이터를 결합할 수 있게 돼 다양한 시너지를 낼 것으로 기대했다.

특히 4차산업 시대에 데이터 기반 신산업을 육성하는 데 도움이 될 것으로 내다봤다.

유럽연합(EU)의 일반개인정보보호법(GDPR) 적정성평가 절차도 속도를 낼 전망이다.

적정성평가는 EU가 GDPR을 기준으로 상대국의 개인정보보호 수준을 평가하는 제도다.

평가를 통과하면 해당국 기업은 EU에서 수집한 개인정보를 역외로 이전하는 것이 허용되나 그렇지 못한 국가는 기업이 개별적으로 표준계약을 체결하는 등 행정부담을 지게 된다.

우리 정부는 그동안 EU 측과 관련 내용을 협의해왔지만, EU의 요구수준을 충족하기 위해 필요한 국내 개인정보보호법 개정이 이뤄지지 않아 평가가 미뤄져 왔다.

행안부 관계자는 "우리 개인정보보호법이 국회를 통과하면 EU에서 적정성평가 초기결정을 내리게 된다"며 "법이 시행되고 개인정보보호위원회가 새로 출범하는 하반기에는 적정성평가 최종결정이 내려져 발효되도록 준비하고 있다"고 설명했다.

하지만 가명정보가 얼마나 안전한지에 대해서는 여전히 논란이 이어지고 있다.

정부는 가명정보에 다른 정보를 추가해 개인을 재식별할 경우 5년 이하 징역과 5천만원 이하의 벌금형에 처하고, 기업은 연 매출액의 3%까지 과징금을 부과할 수 있게 했다고 설명한다.

시민사회단체에서는 그러나 보호장치가 충분하지 않다고 반발하고 있다.

다른 정보를 결합해도 누구의 정보인지 식별할 수 없는 익명정보와 달리 가명정보로는 개인을 식별하는 게 가능할 수 있으며, 온라인상에서 쉽게 얻을 수 있는 데이터를 가명정보와 결합해 악용하는 사례가 늘 것이라고 우려한다.

또 의료정보나 유전자 정보, 생체인식 정보 등 사실상 가명처리가 어렵거나 쉽게 재식별이 가능한 개인정보를 어떻게 취급할지도 불분명하다. 행안부 관계자는 "의료정보의 경우 의료법상의 제한을 고려하는 방식으로 세부적 기준을 정해나갈 방침"이라며 "다른 모호한 부분도 시행령 개정 단계에서 구체화하게 되며 향후 해설서와 판례가 나오면 더 명확해질 것"이라고 말했다.
/연합뉴스