데이터3법 개정 주요내용 및 클라우드 서비스의 영향 분석
1. 개요
데이터3법은 현재 정부가 추진하는 데이터 경제 정책을 뒷받침하기 위해서 마련되었습니다. 세계적으로 4차산업혁명의 물결이 일며 데이터를 근간으로 한 산업이 힘을 얻고 있지만 국내에서는 데이터를 활용한 서비스와 고객분석 등이 이뤄질 수 없었습니다. 데이터3법 통과를 기업들이 환영하는 이유는 바로 데이터3법 통과 이전에는 할 수 없었던 다양한 빅데이터와 클라우드 등을 활용한 서비스들이 현실화될 수 있기 때문입니다. 일례로 은행·핀테크 업계는 금융 데이터와 비금융 데이터를 결합해 신용정보를 보다 세분화하고 이를 활용할 수 있게 됩니다. 마이데이터가 대표적인 사례입니다. 마이데이터는 개인 스스로에게 데이터 주권을 돌려주는 것을 의미합니다. 자신의 정보를 스스로 관리하고 금융회사 등 기업 뿐만 아니라 정보주체인 개인이 데이터를 활용해 신용관리 및 재무분석 등에 활용할 수 있습니다. 보험업계는 건강관리와 빅데이터를 연계한 새로운 상품을 개발할 수 있습니다. 여기에 AI, 빅데이터, 클라우드 산업 등과 연계되면 우리가 기존에 생각하지 못했던 새로운 서비스도 등장할 수 있는 기회가 마련됩니다. 이미 클라우드 사업자 대부분이 빅데이터 분석을 위한 서비스를 제공하고 있으며 이러한 추세로 비춰봤을 때 이번 데이터 3법 개정을 통해 데이터 경제로의 전환은 클라우드 제공 사업자에게는 새로운 기회가 될 것입니다. 이에 대하여 본 보고서는 데이터3법 개정 주요내용을 살펴보고, 클라우드 서비스의 영향을 살펴보고자 합니다.
2. 데이터 3법의 개념
데이터 3법이란 데이터 이용을 활성화하는 「개인정보 보호법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률(약칭 : 정보통신망법)」, 「신용정보의 이용 및 보호에 관한 법률(약칭 : 신용정보법)」등 3가지 법률을 통칭합니다. 4차 산업혁명 시대를 맞아 핵심 자원인 데이터의 이용 활성화를 통한 신산업 육성이 국가적 과제로 대두되고 있습니다. 특히, 신산업 육성을 위해서는 인공지능(AI), 인터넷을 기반으로 정보통신 자원을 통합하기 위한 클라우드, 사물인터넷(IoT) 등 신기술을 활용한 데이터 이용이 반드시 필요합니다. 한편 안전한 데이터 이용을 위한 사회적 규범 정립도 시급한 문제입니다. 하지만 현행법은 개인정보의 개념 모호성 등으로 수범자의 혼란이 발생하는 등 일정한 한계가 노출되어 왔고, 개인정보 보호 감독기능은 행정안전부·방송통신위원회·개인정보보호위원회 등으로, 개인정보 보호 관련 법령은 현행법과 [정보통신망 이용촉진 및 정보보호 등에 관한 법률] 등으로 각각 분산되어 있어 감독기구와 개인정보 보호 법령의 체계적 정비 필요성이 각계로부터 꾸준히 제기되어 왔습니다. 이러한 이유로 2018년 11월 15일, 데이터 이용에 관한 규제 혁신과 개인정보 보호 협치(거버넌스) 체계 정비의 두가지 문제를 해결하기 위해 데이터 3법 개정안이 발의됐습니다. 위 3개의 법률 개정이 함께 이뤄지는 이유는 [정보통신망 이용촉진 및 정보보호 등에 관한 법률]과 [신용정보의 이용 및 보호에 관한 법률]에서 규정한 개인정보에 관한 사항과 이를 감독할 감독기구에 관한 사항을 삭제하고, [개인정보보호법]으로 이관하는 내용을 담고 있으므로 이 3개 법률의 개정이 함께 이루어져야 하는 것입니다. 법률 개정안은 대통령 직속 4차산업혁명위원회 주관으로 관계부처·시민단체·산업계·법조계 등 각계 전문가가 참여한 ‘해커톤’ 회의에서 도출된 합의결과와 국회 ‘4차산업혁명 특별위원회’의 특별권고 사항을 반영하였습니다. 해커톤에서는 가명정보의 정의 및 활용에 관한 법적 근거를 마련하였으며, 특별위원회에서는 관련 법률의 중복조항 정비하고 개인정보 보호 거버넌스 체계를 논의하였습니다. 그 밖의 데이터 3법 법률 개정안은 시민단체, 산업계, 법조계, 학계 등의 다양한 의견수렴 절차를 거쳐 마련되었습니다.
3. 데이터3법 개정 주요내용
데이터 3법이 개정된 가장 큰 이유는 국내산업이 '데이터 경제'로의 전환을 통해 빅데이터 강국으로 발돋움하기 위한 초석으로써 관련된 법과 제도를 정비하기 위함입니다. 관련된 개인정보보호법, 정보통신망법, 신용정보법으로 구분해서 개정되는 주요내용을 살펴보도록 합니다.
3.1. 개인정보보호법 주요 개정 내용
개인정보의 개념을 명확히 해서 혼선을 줄이고, 안전하게 데이터를 활용하기 위한 방법과 기준 등을 새롭게 정의했습니다. 데이터를 기반으로 한 새로운 기술·제품·서비스의 개발, 산업 목적을 포함하는 과학연구, 시장조사, 상업 목적의 통계작성, 공익 기록보존 등을 위해서 가명정보를 이용할 수 있도록 했습니다. 개인정보처리자의 책임성을 강화하기 위해 각종 의무를 부과하고, 법 위반 시 과징금 도입 등 처벌도 강화해서 개인정보를 안전하게 보호할 수 있도록 제도적 장치를 마련하기도 했죠. 개인정보의 오·남용과 유출 등을 감독할 감독기구는 개인정보보호위원회로, 관련 법률의 유사·중복 규정은 「개인정보보호법」으로 일원화하는 게 개정안의 중요한 골자입니다. 개인정보보호법의 개정 목적은 크게 세 가지로 구분해볼 수 있습니다. 첫째, 개정을 통해 데이터 기반의 신산업 육성과 양질의 일자리 창출에 기여할 수 있습니다. 두번째, 개정을 통해 일원화된 개인정보 보호체계를 통해 기업과 국민의 혼란을 방지하고 체계적인 정책을 추진할 수 있습니다. 세번째, EU GDPR 적정성 평가의 필수 조건인 감독기구의 독립성을 확보할 수 있습니다.
개정 개인정보보호법의 주요 내용은 네 가지로 추려볼 수 있습니다. 첫번째, 개인정보와 관련한 개념 체계를 명확하게 정의하였습니다. 개인정보 관련 개념 체계를 개인정보, 가명정보, 익명정보로 명확히 구분해서 정의하였으며, 개정안은 현행 개인정보 보호법과 동일하게 “개인정보”에 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보 외에 “해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보”도 포함하였으나, “쉽게 알아볼 수 있는지 여부”는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려해야 한다는 점을 명확하게 규정하였습니다. 또한, 시간·비용·기술 등을 합리적으로 고려할 때 다른 정보를 활용하여도 더 이상 개인을 알아볼 수 없는 정보(이른바 “익명정보”)에 대해서는 개인정보 보호법을 적용하지 않는다는 점을 명시적으로 규정하였습니다. 이러한 내용의 배경에는 종래 개인정보보호법 하에서 해석상 인정되어 온 내용을 분명히 하기 위해 이루어진 것으로 보입니다.
두번째, 가명정보의 정의 및 처리 근거를 신설하였습니다. 개정 개인정보 보호법은 가명정보를 “개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가정보 없이는 특정 개인을 알아볼 수 없도록 처리(이하 “가명처리”)함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보”로 정의하였습니다. 또한, 개인정보처리자는 통계작성, 과학적 연구(기술의 개발과 실증, 기초연구, 응용연구 및 민간 투자 연구 등 과학적 방법을 적용하는 연구), 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있는 근거 규정을 신설하였습니다. 단, 제3자에게 제공하는 경우에는 개인 식별을 위해 사용될 수 있는 정보를 제공할 수 없습니다. 이로써 종래에는 정보주체로부터 동의를 받지 않으면 이용·제공 등 처리가 불가능하였던 정보도 위와 같은 요건을 충족하는 경우 동의 없이 처리할 수 있게 되었습니다. 한편 서로 다른 개인정보처리자 간 가명정보의 결합은 개인정보보호위원회 또는 관계 중앙행정기관의 장이 지정하는 전문기관이 수행할 수 있으며, 개인정보처리자는 전문기관의 장의 승인을 받아 외부로 결합된 정보를 반출할 수 있습니다. 또한, 개정 개인정보 보호법에서는 누구든지 특정 개인을 알아보기 위한 목적으로 가명정보를 처리해서는 안 된다고 규정하고 있으며, 이를 위반할 경우 매출액의 3% 이하에 해당하는 금액을 과징금으로 부과할 수 있도록 하였습니다. 이로써 기업이 가명정보를 활용할 수 있는 근거가 확대되었으나, 위 규정의 적용범위 중 산업적 목적이 포함되는지 여부는 규제기관의 해석을 기다려볼 필요가 있습니다.
세번째, “합리적인 관련 범위 내”에서의 동의 없는 개인정보 수집·이용 및 제공의 근거가 마련되었습니다. 현행 개인정보보호법상 개인정보처리자는 동의를 받은 범위를 벗어나 개인정보를 수집·이용하거나 제공할 수 없도록 규정되어 있었으나, 개정 개인정보 보호법에서는 “당초 수집 목적과 합리적으로 관련된 범위 내에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여” 대통령령이 정하는 바에 따라 정보주체의 동의 없이 개인정보를 수집·이용 및 제공할 수 있도록 하였습니다. 따라서 대통령령의 내용에 따라 이미 수집하여 보유하고 있는 개인정보의 경우 정보주체의 동의가 없더라도 개인정보의 처리가 허용됩니다.
네번째, 일원화된 감독기구로서 개인정보보호위원회의 위상이 변화됩니다. 개인정보보호위원회를 국무총리 소속 중앙행정기관으로 격상하는 한편, 현행법상 행정안전부 및 방송통신위원회의 개인정보 관련 기능을 개인정보보호위원회로 이관함으로써, 분산되어 있던 개인정보보호 감독기능을 일원화하였습니다. 개인정보보호위원회는 상임위원 2명(위원장 1명, 부위원장 1명)을 포함한 9명의 위원으로 구성되며, 공무원, 법조인, 공공기관 또는 단체 소속 임원/추천을 받은 자, 교수 등으로 임명될 예정입니다. 향후 개인정보보호위원회는 개정 개인정보 보호법에 근거하여 보다 활발히 기업(정보통신서비스 제공자 포함)의 개인정보 보호법 준수 여부에 대하여 조사를 실시하고 위반사실에 대하여 처분권한을 행사할 것으로 예상됩니다.
3.2. 정보통신망법 주요 개정내용
정보통신망법의 개정 목적은 정보통신망법 내 개인정보와 관련한 다른 법령과의 유사·중복되는 항목을 정비하고, 협치(거버넌스) 구조를 개선하기 위함입니다. 개정 정보통신망법의 주요 내용으로는 이번 개정으로 개인정보보호에 관한 정보통신망법의 규정들을 모두 삭제하고 이를 개인정보보호법으로 편입시켰기 때문에 종전에는 개인정보에 관하여 정보통신망법의 적용을 받던 정보통신서비스 제공자에 대해서도 앞으로는 개인정보 보호법이 전면 적용된다는 것입니다. 개정 개인정보보호법은 현행 정보통신망법 하에서 정보통신서비스 제공자에게 적용되던 대부분의 규정들을 “특례”로 동일하게 옮겨왔기 때문에, 정보통신망법에 따른 주요 규제들이 일단 동일하게 적용될 것으로 보입니다. 다만, 현행 정보통신망법에서는 원칙적으로 개인정보의 처리위탁에 대해 동의를 받도록 규정하였으나, 개정 개인정보 보호법은 현행 개인정보 보호법과 같이 처리위탁에 대해서는 동의를 요하지 않는 것으로 규정하고 있습니다. 또한, 현행 정보통신망법에서는 “정보통신서비스의 제공에 관한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우”에 한하여 개인정보의 국외 처리위탁 및 보관에 대한 동의가 면제된다고 규정하였으나, 개정 개인정보 보호법에서는 위와 같은 제한을 삭제하였기 때문에 개인정보 처리위탁 및 보관의 경우에는 국외 이전에 관한 법정사항을 개인정보 처리방침에 공개하거나 전자우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린다면, 이용자의 동의가 면제된다고 볼 수 있습니다. 개정 개인정보 보호법이 위와 같이 개인정보 보호법과 정보통신망법을 형식적으로만 통합한 측면이 있기 때문에 향후 종전의 개인정보 보호법과 정보통신망법의 각 규정들의 차이점을 검토하고 양자 간의 내용과 규제의 정합성을 확보하기 위한 추가적인 법령 개정 논의가 있을 것으로 예상이 됩니다.
3.3. 신용정보법의 주요 개정내용
신용정보법의 개정 목적은 네 가지로 추려볼 수 있습니다. 첫째, 개정을 통해 빅데이터 분석·이용의 법적 근거를 명확히하고, 빅데이터 활용의 안전장치를 강화할 수 있습니다. 두번째, 「개인정보 보호법」과의 유사ㆍ중복 조항을 정비하는 등 데이터 경제의 활성화를 위하여 규제를 혁신할 수 있습니다. 세번째, 금융분야 데이터 산업으로서 신용정보 관련 산업에 관한 규제체계를 선진화할 수 있습니다. 네번째, 정보활용 동의 제도의 개선, 개인신용정보의 전송요구권(Right to data portability), 자동화평가(Profiling)에 대한 신용정보주체의 설명 요구권 등 새로운 개인정보 자기결정권을 도입하기 위함입니다.
개정 신용정보법의 주요 내용으로는 다섯 가지를 꼽아볼 수 있습니다. 첫번째, 일반 상거래 기업에 대해 신용정보법이 적용됩니다. 기존에는 주로 금융회사에 대해서만 적용되고 집행되었던 신용정보법이 일반 상거래 기업 및 법인에 대해서도 적용되도록 명확히 정의하였습니다. 단, 모든 정보가 아니라 상거래 상대방과의 상거래에서 발생한 정보(즉, 신용정보)에 관하여 적용됩니다. 또한 일반 상거래 기업 및 법인에 대해서는 신용정보법의 주무부처인 금융위원회와 금융감독원이 아닌 개인정보보호위원회에게 자료제출요구권, 검사권, 출입권, 시정명령, 과징금 및 과태료 부과 등의 권한을 부여하였습니다.
두번째, 개인정보 활용 측면에서 개인정보 보호법과의 주요 차이점이 있습니다. 개인정보 보호법과 달리 개정 신용정보법에서는 시장조사를 포함한 상업적 목적의 통계 작성과 산업적 연구를 위하여 가명처리된 개인신용정보를 동의 없이 활용할 수 있다고 명확하게 규정하고 있습니다. 한편, 개인신용정보의 수집 및 이용 동의의 예외사유로서 개인정보 보호법의 예외사유를 그대로 준용하면서도 신용정보주체가 스스로 사회관계망서비스에 공개한 정보는 대통령령으로 정하는 바에 따라 신용정보주체의 동의가 있었다고 객관적으로 인정되는 범위 내에서 수집이 가능하다고 명시하고 있습니다.
세번째, 신용정보주체의 새로운 권리가 도입되었습니다. 개인인 신용정보주체가 대통령령이 정하는 신용정보제공·이용자나 공공기관에 대하여 본인에 관한 개인신용정보를 본인신용정보 관리업자나 대통령령으로 정하는 신용정보제공·이용자에 전송할 것을 요구할 수 있는 개인신용정보 전송요구권이 새로이 도입되었습니다. 전송요구를 받은 신용정보제공·이용자는 컴퓨터 등 정보처리장치로 처리가 가능한 형태로 개인신용정보를 전송할 의무를 가지게 됩니다. 또한 신용정보주체는 대통령령이 정하는 신용정보제공·이용자에 대하여 자동화 평가(컴퓨터 등 정보처리 장치로만 개인신용정보 등을 처리하여 개인인 신용정보주체를 평가하는 행위) 실시 여부, 자동화 평가 결과 및 주요 기준에 대한 설명 요구, 자동화 평가의 기초자료에 대한 정정 요구를 할 수 있는 자동화 평가 대응권을 갖게 됩니다.
네번째, 신용정보 관련 산업의 규제체계 선진화의 일환으로 신용조회업(CB:Credit Bureau)업을 개인CB, 개인사업자CB, 기업CB 등으로 구분하고, 진입규제 요건을 합리적으로 완화하였습니다. 신용조회업자의 영리목적 겸업 금지 규제 폐지에 따라 데이터 분석·가공, 컨설팅 등 다양한 업무가 가능해졌으며, 산업의 건전성 제고를 위해 영업행위 규제 신설, 개인CB·개인사업자CB에는 최대주주 적격성 심사제도를 도입하였습니다.
다섯번째, 금융분야에 마이데이터 산업을 도입하였습니다. 정보주체의 권리행사에 따라 본인정보 통합조회, 신용·자산관리 등 서비스를 제공하는 마이 데이터(MyData) 산업을 도입하고, 서비스의 안전한 정보보호·보안체계를 마련하였습니다.
이러한 신용정보법 개정을 통해 데이터가 전(全)산업의 가치창출을 좌우하는 ‘데이터 경제 시대’ 전환에 맞춰 금융산업 새로운 성장동력을 확보하고, EU GDPR등 국제적 데이터 법제와의 정합성 제고로 전세계 데이터 경쟁에 참여할 수 있는 기반이 마련될 것으로 보입니다.
4. 클라우드 서비스의 영향
클라우드 컴퓨팅은 데이터를 관리하는 기반 기술로 빠르게 성장하고 있습니다. 세계 클라우드 시장 규모는 2018년 1천967억달러에서 2022년 3천546억달러로 연평균 약 16% 증가할 것으로 전망되고 있습니다. 해외 기업들은 이미 클라우드 기술을 규제 대응, 위험관리·분석, 서비스 개발 및 개선 등 다양한 방면에 적용하고 있다. 국내에서도 정부가 ‘제2차 클라우드 컴퓨팅 발전 계획(2019~2021년)’ 등 정책 지원방안을 내놓고 있습니다. 국내 기업들은 클라우드 기술을 활용해 빅데이터 수집·분석, 접속자수 폭증 대처 등을 처리할 수 있으며, 중소기업도 초기 자본투자 비용 절감 등의 효과를 기대할 수 있습니다.
4.1. 클라우드를 활용한 빅데이터 분석 증가
‘데이터 3법’ 개정이 완료되면, 데이터 경제(Data Economy)로의 전환이 보다 더 가속화 될 전망입니다. 그동안 개인정보보호의 중요성이 중시되면서 빅데이터를 이용한 정보 분석에 많은 제약이 있었으며, 익명 처리된 정보는 상업적으로 사용이 가능한 반면 익명화 과정에서 손실된 정보가 많아서 빅데이터 분석에 한계로 작용했습니다. 익명정보의 경우에도 상업적 이용을 전제로 하는 제3자 제공에 대한 법적 근거가 명확하지 않아서 어려움이 있었습니다. 하지만 이번 개정안에는 데이터전문기관의 익명조치의 적정성 평가를 완료한 경우 더 이상 특정 개인을 알아볼 수 없도록 처리된 정보는 개인정보가 아닌 것으로 추정하여 개인정보보호 규정과 관련된 법적 의무를 경감하였습니다. 또한, 가명정보의 개념을 도입하고, 가명정보의 합법적인 사용 범위를 통계작성, 연구, 공익적 기록보존 등으로 명시함으로서 익명정보를 이용하는 경우에 비하여 더 자세한 데이터 분석이 가능하게 됐습니다. 한편 빅데이터를 저장하고, 빠르게 분석하기 위해서는 클라우드 서비스를 사용하는 것이 효과적이라는 것은 이미 입증된 사례이며 기존에도 클라우드 사업자 대부분이 이미 빅데이터 분석을 위한 플랫폼과 서비스를 제공하고 있습니다. 이와 같은 추세에 비추어 볼 때 데이터 경제로의 전환은 분명 클라우드 서비스 사업자에는 새로운 기회를 제공할 것으로 보고 있습니다.
4.2. 클라우드를 활용한 신용정보산업 진출 확대
신용정보법 개정안에서는 신용정보업의 분야를 세분화하고 본인신용정보관리업을 신설하여 관련 허가를 받기 위한 자본금과 기초자산의 조건을 낮춤으로써 신생 업체들이 신용정보산업에 진출할 수 있는 기회를 창출하였습니다. 기존 신용정보업 허가를 받은 사업자보다 적은 자본금과 기초자산으로 설립되는 신생사업자들은 직접 구축하는 형태의 서비스 인프라보다는 신속하고 탄력적으로 서비스를 이용할 수 있는 검증된 클라우드 플랫폼 서비스를 활용할 가능성이 높습니다.
4.3. 국내외 클라우드 서비스 사업자의 경쟁 심화
글로벌 클라우드 서비스 사업자에 비해 후발주자인 국내 클라우드 서비스 사업자들은 국내 클라우드 서비스 보안 인증 또는 개인정보 및 정보보호 관리체계 인증 등을 바탕으로 공공기관과 금융기관에 상대적인 우세를 보여왔습니다. 하지만 데이터 3법 개정에 따라 이러한 시장의 판도는 변화할 것으로 예측됩니다. 먼저 신설되는 데이터 전문기관은 특히 공공기관과 금융기관에서 수집·생성된 개인정보를 처리하기 위해서 해당 보안 인증을 획득한 국내 클라우드 서비스 사업자를 선택할 가능성이 높기 때문에 국내 클라우드 서비스 사업자들이 여전히 강세를 보일 것으로 예측됩니다. 단, 익명조치가 검증된 데이터에 대해서는 개인을 알아볼 수 없는 정보로 정의함에 따라 해당 보안 인증 취득이 클라우드 시장의 진입장벽으로서 역할을 하지 못할 것이라고 볼 수 있습니다. 이러한 추정은 글로벌 클라우드 서비스 사업자에게는 또다른 기회가 될 것으로 보입니다.
4.4. 중요 데이터의 클라우드 이전 가속화
데이터 3법 개정으로 인해 클라우드 및 인공지능(AI) 등의 데이터 활용 기술 도입이 늘어남에 따라 데이터 위탁 처리 업무 부담이 줄어들면서 개인정보 등 주요 데이터 클라우드 이전 움직임이 속도를 낼 전망입니다. 2018년 데이터3법이 발의된 이후, 2019년 데이터3법 중 정보통신망법 25조를 보면 정보통신서비스 제공자가 개인정보를 위탁할 경우 모든 이용자에게 사전 개별 동의를 받아야 한다고 나와있습니다. 이 경우 만약 A사업자가 보유한 10만명 고객 데이터를 B사업자 클라우드 서비스로 이전할 경우 10만명 고객 모두에게 일일이 개별 동의를 받아야만 이전이 가능했던 것입니다. 하지만 국회를 통과한 데이터 3법에서는 데이터 활용과 클라우드, AI 등 신기술 도입을 위축시킬 수 있는 이러한 우려를 해소하기 위해 업계의 의견을 수렴해서 반영하였습니다. 기존 정보통신망법 내용을 개인정보보호법으로 이관하면서 '이용자에게 모든 사안을 알리고 동의를 받아야한다'는 내용을 삭제했습니다. 대신 '정보주체가 언제든지 쉽게 확인하도록 대통령령으로 정하는 방법에 따라 공개해야 한다'고 문구를 수정했습니다. 당초 '모든 이용자 동의 확보'까지 요구했던 단계보다 완화된 수준으로 정해질 가능성이 높습니다.
5. 결론
데이터3법 개정은 이제 법안이 통과되어 빅데이터 강국으로 가기 위한 기본장치는 갖추었지만 후속 논의를 생각하면 아직 갈 길이 많이 남아있습니다. 기업 입장에서는 빅데이터의 핵심 재료인 가명정보가 어떻게 구체화될지에 대한 관심이 높지만 데이터 3법은 가명정보가 법적 개념으로 추가됐을 뿐 가명 처리 방식에 대해서는 구체적으로 규정하지 않은 것도 후속 논의 과제의 하나로 남아있습니다.
한편 프라이버시 보호를 중시하는 시민단체들도 가명정보의 정의와 활용에 대해 주목하고 있으며, 시민단체들은 데이터를 결합하는 과정에서 비식별처리 된 정보 주체가 다시 특정될 수 있다며 재식별에 대한 우려를 제기하고 있습니다. 프라이버시 침해 우려를 뒷받침하는 사례도 존재하는데 넷플릭스는 영화 평점 알고리즘 개선 대회를 열고 가명 처리한 이용자 50만명의 영화 평가정보 1억개를 활용하게 했지만 영화 평점 사이트 IMDb는 이용자 50명의 평점 정보를 활용해 특정 정보의 주체 즉, 개인을 식별해냈습니다. 또한 빅데이터 활용을 위한 절차만 제안됐을 뿐, 데이터 경제 활성화를 위한 실질적인 지원책은 부재하다는 회의적인 시각도 있습니다. 이와 같은 문제를 해소하기 위해선 정보를 제공한 주체에 대해 보상이 따르는 체계를 마련해야 한다는 지적입니다.
수집한 데이터를 폐쇄적으로 관리하는 공공 분야에 대해서는 특별한 사유가 없을 시 데이터 공유를 의무화하는 법제 개선이 필요하다는 주장도 나오고 있으며, 데이터 3법에서는 가명정보에 대해 특정 개인을 알아볼 수 있게 할 경우 형사처벌과 과징금을 부과한다고 규정하고 있지만 이처럼 정보 주체가 식별되는 경우를 어떻게 피해갈 수 있는지에 대한 구체적인 방법론은 제시되지 못한 상황입니다. 이와 관련해서 기업들이 참고할 만한 정부 지침으로는 지난 2016년 한국인터넷진흥원(KISA)이 발간한 개인정보 비식별 조치 가이드라인이 있지만 해당 가이드라인에서도 정보 주체 식별 가능성이 있는 데이터에 대한 비식별 조치 여부와 방법은 데이터 이용 목적 등을 고려해서 합리적으로 결정해야 한다고 추상적으로 안내하는 데 그치고 있어 보완이 필요하다는 지적도 있습니다. 또한 실질적인 빅데이터 분석이 이뤄지기 위해서는 각 기업의 데이터 개방이 필수적으로 요구되는데 이러한 데이터 개방이 미진해 축적된 데이터의 활용이 원활히 이뤄지지 않을 수 있다는 우려도 제기되고 있습니다. 이를 해소하기 위해서는 체계적으로 데이터를 유통하고 축적할 수 있는 정보 포털이 필요하며 더불어 데이터를 보유한 기업, 기관들에 대해 데이터를 공유할 동기를 부여해야 한다고 지적하고 있습니다.
앞으로 시행령과 고시 등 하위법령 개정에 대한 내용을 관심있게 지켜봐야 하며, 후속적으로 법 개정을 논의해야 할 수도 있습니다. 개인정보의 보호는 모든 국민이 보편적으로 누려야 할 당연한 권리이기에 이러한 정보를 활용하기로 의사결정을 한 현 시점에서 개인정보 유출 시 처벌을 강화하고 이용자의 우려를 불식시킬 수 있는 제도적인 변화관리 대책도 논의되어야 할 것입니다.
References
1. 데이터3법의 주요내용과 클라우드 시장 영향 전망, 2019. https://slownews.kr/74827
2. [정책위키] 데이터3법이란, 2019, http://www.korea.kr
3. 금융분야 데이터 종합방안, 2018, https://www.gov.kr/
4. 데이터 3법 시행령 개정안 입법예고, 2020, http://www.korea.kr/
5. 데이터3법 개정 및 국회 통과, 2020, https://www.kimchang.com/