[애틀러스리뷰]

정보 편중 현상, 개인정보 유출 위험…제도 정비를 통한 문제대응 방안 마련 필요

데이터 3법의 입법화에 대한 우려도 존재한다. 우선 국가인권위원회는 지난 15일 위원장 성명을 통해 데이터 3법이 국내 데이터 관련 산업의 계기가 될 것이지만, 보호에 대한 충분한 논의가 없이 법률 개정이 진행되었음을 언급한 바 있다.

이에 따르면 빅데이터, 인공지능 등의 신기술 개발과 활용을 촉진하기 위해 가명 정보를 동의 없이 활용하도록 하는 내용에 주민등록번호 제도의 존재가 있음을 언급하고, 이를 가명 개인정보와 결합하는 방식으로 재식별될 가능성을 지적하였다.

또한 참여연대와 경제정의실천시민연합을 비롯한 시민단체는 지난 1월 10일 단체 성명서를 통해 데이터 3법에 대한 우려를 공식적으로 표명하였다. 개인정보를 제대로 된 보호장치 없이 기업에 제공할 수 있게 되었다는 점을 지적하며, 헌법 제10조와 17조에서 도출된 개인정보자기결정권이 부정되었다는 것이다. 시민단체는 법률 제정에 대한 사회적 합의가 부족하다는 점과 동의 확보, 목적명확성, 최소수집의 원칙이 지켜지지 않을 가능성에 대해 우려를 표시하였다.

특히 참여연대는 두 가지 측면에서 데이터 3법의 개정에 반대의견을 표명하였다. 첫번째로 정보의 대기업 편중 현상이 발생할 것이라는 우려이다. 국내 산업구조는 대기업 위주로 편성되어 있다.

따라서 주요 정보가 모이는 곳은 대기업이며, 정보의 활용 역시 대기업에서 시작될 것이라고 예측하였다. 이에 중소기업이 정보를 활용하기 위해서는 대기업이 수집한 정보에 대한 사용료를 지불하는 방식이 될 것으로 보았는데, 이는 결국 비용의 문제로 해당 정보의 접근이 제한될 수 있다는 것이다.

두 번째는 가명 정보가 재식별될 위험성에 대한 지적이다. 가명정보는 개인 정보 중 일부 정보를 가명 처리하여 개인을 식별할 수 없도록 처리된 것인데, 앞서 국가인권위원회의 지적과 마찬가지로 개인정보를 재식별할 수 있는 위험이 발생한다는 것이다. 또한 민감 정보로 분류할 수 있는 의료정보, 금융정보, 신용정보 등이 몇 가지 조건 하에서 결합되면 해당 개인을 식별할 수 있게 된다는 점을 언급하였다.

이는 빅데이터를 처리하는 과정에서 발생할 수 있는 문제이다. 빅데이터 분석은 방법에 따라 다양하지만, 실제 처리 과정에서 개별적인 흐름을 찾는 것에 집중한다. 따라서 개인의 이동경로, 소비습관, 행동패턴 등이 가명 처리되어 조합되면 알 수 없는 개인의 정보로 보이겠지만, 실제로는 한 명의 개인에 대한 정보로 귀결된다는 것이다. 이런 현상에서 주민등록번호 혹은 추가정보를 결합하면 개인을 재식별할 수 있게 되고, 이는 다양한 범죄의 표적이 될 여지로도 이어질 수 있다.

이런 우려는 데이터 활용에 따른 부작용으로 충분히 발생가능한 영역이다. 민간단체에서는 이에 대한 추가적인 우려를 표명하고 있지 않지만 이는 또다른 문제로 이어질 가능성이 존재한다. 가명 정보로 유통된 정보는 해당 권리주체를 특정할 수 없으므로 재식별될 경우 개인이 피해구제를 신청할 수 있는 근거가 부족하게 된다. 즉, 개인이 원하지 않는 상황에서의 개인정보 활용이 무분별하게 발생할 여지가 있음에도 불구하고 피해구제에 대한 방안이 충분하지 않을 수 있다는 점이다. 이러한 우려는 법조계를 포함하여 다양한 시민사회에서 언급되었으나, 데이터 기반 경제로 진입하고 있는 현 시점에서 큰 이슈가 되지 않는 상황이다.

 

개인정보보호 추진체계 일원화에 따른 정책 추진 효율성 확보와 규제정비 가속화 기대

이번 데이터 3법에서 가장 중요한 부분은 개인정보보호위원회로 업무를 이관하고 일원화하는 것이다. 4차 산업혁명이 진행됨에 따라 가장 다루기 어려운 부분은 정책적 판단의 효율성을 확보하고 국가간 협력을 할 수 있는 관리 체계의 일원화이다.

유럽은 이미 일반데이터보호규칙(GDPR, General Data Protection Regulation, 국내에서는 유럽 개인정보 보호법으로 통용)을 제정하여 유럽연합의 소속 국가에 대한 개인 사생활 보호와 개인정보에 대한 규제 및 사용에 대한 제도를 완비하고 있다.

이전의 정보보호이행지침(95/46/EC)를 대체하는 규제로 유럽 연합 내의 국가와 기업은 물론, 유럽을 대상으로 거래하는 기업에도 적용 중인 제도이다. 미국 역시 이와 유사한 제도를 준비 중이다. 캘리포니아州는 소비자 개인정보 보호법(이하 CCPA, California’s Consumer Privacy Act)이 2020년 1월 시행되며, 뉴욕주 역시 쉴드법(SHIELD Act)이 언급되며 개인정보 보호법이 전 미국으로 확대될 조짐이다. CCPA와 쉴드법은 세부 적용에 대한 일부 차이점을 제외하면 실제로 EU의 GDPR과 유사하다.

국내의 경우 개인정보 보호법이 제정되어 EU 및 미국 등의 제도와 유사한 부분이 있었지만, 실제 적용에서의 차이점이 존재하였다. 우선 개인정보 보호법은 민감 정보를 대상으로 하고 있기 때문에 의료정보, 신용거래 정보 등을 포괄하는 개념이지만, 실제 주무부처가 다르고, 적용되는 유사 법안이 있기 때문에 해당 부분에 이슈가 생기면 다양한 해석의 여지가 존재하였다. 이에 국내 관련 전문가들은 문제를 인식하고 있었으며, 이를 해결하기 위한 규제기관의 일원화와 관련 법안의 통합이 실제로 구현된 것이다.

개인정보보호위원회의 격상 조치 역시 이러한 문제의식과 궤를 같이한다. 개인정보보호위원회가 국무총리 위원회 소속의 합의체 중앙행정기관으로 격상됨에 따라 관계부처인 행정안전부, 방송통신위원회, 금융위원회, 개인정보보호위원회가 하나로 통합되어 업무를 이관하는 당위성을 확보하게 되었다. 또한 개인정보보호위원회가 이전에 다양한 부처로 분산되어 있던 개인정보보호 관련 업무를 하나로 통합함에 따라 개인정보에 대한 정의와 범위, 사용방안, 피해자 구제 등에 대한 업무를 일원화할 수 있게 되었다.

또한 EU의 GDPR 적정성 결정을 위한 추진 주체가 될 것으로 보인다. EU의 GPDR 적정성 결정은 유럽지역에서 사업을 전개하는 기업에게 중요한 요소이다. EU는 역외 지역에 대한 역내 개인정보의 반출에 대한 보완조치를 요구한다. 이를 해결하는 방안이 해당 국가의 제도 정비를 통한 적정성 결정이다. 한국이 일본과 더불어 적정성 결정의 우선 협상국이 되어 있었지만, 개인정보보호위원회의 독립성 부족과 법체계의 부족을 이유로 적정성 결정이 연기중이었다.

이번 데이터3법의 통과는 GDPR 적정성 결정을 위한 대부분의 요소를 충족시킬 것으로 보인다. 우선 정보통신망법에서 온라인 사업자 위주의 개인정보 적용이 제한적인 부분을 개인정보 보호법 개정으로 해결이 가능하며, 개인정보보호위원회가 격상됨에 따라 하나의 부처가 아닌 국무총리 산하에서 독립성을 확보할 수 있을 것으로 보인다.

 

유럽에 진출 중인 국내의 기업은 대략 700여개 업체 수준으로, KOTRA가 발간한 보고서에 의하면 국내 기업의 61% 수준이 GDPR 발효시점에도 준비에 애로사항이 있는 것으로 나타났다. 또한, 한국의 유럽 내 수입 시장 점유율은 2.6% 수준으로 내수시장 규모 대비 낮은 수준의 점유율을 보이고 있다. 특히 중소기업의 비중이 낮은데, 제조기업 기준 대유럽 중소기업의 수출기업은 18,972개로 전체의 3.2% 수준에 머무르는 중이다.

삼성과 LG와 같은 대기업은 GDPR 준용을 위해서 표준계약서 등을 활용하는 방식을 사용하고 있지만, 자금력을 갖추지 못한 중소기업의 경우 한국의 GDPR 적정성 결정 획득이 대(對)유럽 수출에 대한 촉매제로 작용할 수 있다는 점에서 중요한 부분이다. 또한 미국이 GDPR과 유사한 개인정보보호 조치를 제도화하고 있다는 것을 감안할 때에 대미 수출의 지속성을 확보할 방안이 될 것으로 예상된다.

정책 추진에서 가장 중요한 부분은 규제정비를 위한 관리체계 일원화이다. 정책입안자는 모든 이슈에 대응할 수 없기 때문에 포괄적 이슈에 대한 관리체계를 하나로 두고 관리하고자 하지만, 산업의 융복합이 지속적으로 발생하고, 산업 내의 혁신이 지속적으로 발생한다. 현대사회에서 제도를 정비하는 것이 어려운 이유도 여기에 있다.

하지만 그럼에도 불구하고 반드시 규제환경 개선과 정비를 위한 노력이 필요하다. 민간에서 주도하는 산업의 발전은 기업 논리에 의해 개인과 가정에 피해를 줄 수 있기 때문이다. 그렇기 때문에 민주주의의 3요소인 개인(가정)과 기업은 정부를 통해 균형을 확보하는 것이다.

 

데이터 산업으로의 진입은 이미 진행 중…산업 활성화와 개인정보보호에 균형이 필요

지능화 세계로 지칭할 수 있는 4차산업 혁명은 현재 진행형이다. 핵심 요소는 빅데이터 분석과 인공지능, 로봇공학, 사물인터넷, 자율주행과 무인주행, 나노기술 등이며, 이 핵심 요소를 작동하게 하는 근간은 데이터의 수집과 활용에 있다.

데이터 3법의 통과 여부와는 무관하게 데이터 산업은 생태계에 큰 영향을 미치고 있으며, 국내외 산업은 데이터의 수집과 유통에 영향을 받고 있다. 시가총액 기준 글로벌 기업 순위를 살펴보면 애플과 마이크로소프트가 천억 달러 이상을 기록하며 상위에 올라있고, 그 뒤를 이어 아마존, 구글, 페이스북 순으로 나타나고 있다. 그리고 중국 기업인 알리바바와 텐센트는 약 400억 달러를 상회하는 수준으로 글로벌 톱 10에 올라있는 것을 확인할 수 있다.

이 기업들의 특징은 모두 데이터를 기반으로 움직이는 기업이라는 것이다. 애플이 스마트폰을 비롯하여 전자제품을 생산하고 있지만, 사실 폐쇄형 생태계 구축을 통해 자체 수집된 정보를 기준으로 사업을 진행하고 있는 것은 주지의 사실이며, 아마존이나 페이스북도 유사한 형태의 사업을 확장 중이다.

구글이 오픈 소스를 기반으로 정보 공개를 하는 이유는 실제로 구글에 수집되는 정보의 양을 늘리고, 더 좋은 아이디어를 수집하기 위한 것이며, 마이크로소프트가 데이터를 취급하는 클라우드 서비스인 애저(Azure)를 기반으로 사업이 다시 확장세에 들어선 것은 데이터 기반으로 시장이 편성되고 있음을 보여주는 사례이다.

국내에서는 삼성과 네이버, 카카오가 데이터 산업을 선도하고 있으며, 쿠팡, 야놀자, 우아한형제들, 비바리퍼블리카, 무신사 등의 유니콘 기업이 데이터 기반의 생태계를 주도하고 있다. 특히 최근 유니콘 기업으로 올라선 무신사의 경우 의류 쇼핑몰로 시작되었지만, 소비자의 정보를 분석하고 추천기능과 커뮤니티 기능을 강화함에 따라 사세 확장으로 이어져 유니콘 기업으로까지 발전할 수 있었다는 점을 감안할 때에, 소비자 정보의 활용이 기업 성공의 열쇠가 될 수 있음을 보여주고 있다.

이 같은 측면에서 데이터 3법으로 인한 변화는 규제 당국의 일원화로 개인정보와 관련된 제반 사항을 총괄하는 주무부처의 생성과 대(對)EU 수출경쟁력 확보 및 대외 무역에 대한 제도적 지원 방안을 마련하였다는 점으로 이어질 전망이다.

다만, 개인정보보호를 위한 명확한 기준과 침해 시 구제 대응 방안 등에 대한 행정입법이 아직은 미흡한 상태로, 향후 이에 대한 정부의 행보에 주목할 필요가 있다. 또한 신용정보법 개정으로 인한 다양한 신용정보기관이 나올 것이며, 변화에 적응하기까지 혼란 상황이 발생할 수 있다는 점과 개인정보 피해 구제에 대한 개인정보보호위원회의 역할이 중차대하다고 볼 수 있다.

데이터 산업은 이미 글로벌 트렌드이다. 이 흐름에 어떤 방식으로 편승할 것인지를 정할 시기가 온 것이다. 향후 행정입법을 비롯하여 개인정보보호위원회의 다양한 업무일원화와 HQ로서의 위상 정립 등이 남아있지만, 데이터 산업으로 진행할 수 있는 여건을 마련한 것은 자명한 사실이다. 산업 내부에 미칠 다양한 영향을 분석하여 향후 전개될 방향에 대한 지속적인 관심과 참여가 필요하다.