[ET단상]데이터 3법 통과 이후 실행 과제

[ET단상]데이터 3법 통과 이후 실행 과제

개인정보보호법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 신용정보의 이용 및 보호에 관한 법률 등 데이터 3법이 지난 9일 국회를 통과했다. 개정법 부칙에 따라 공포일로부터 6개월 경과 기간이 지나면 효력을 발휘한다.

우리는 과거 정보통신부의 초고속 정보통신망 정책과 산업계의 지속 투자로 정보통신·인터넷 강국이 됐고, 그 결과 다양하고 많은 데이터가 축적됐다. 국내 데이터 분석 능력이 급속도로 발전했음에도 개인정보 침해 위험을 이유로 데이터 수집 및 이용에 제약이 따랐고, 데이터를 기반으로 구동되는 다양한 산업 발전이 미흡했다.

보안기술 발전으로 개인을 알아볼 수 없도록 가명이나 익명으로 처리하여 개인정보를 보호하고 안전하게 관리할 수 있게 됐다. 개인정보보호법 등을 개정해 데이터를 4차 산업혁명 핵심 재료로 만드는 게 개정 데이터 3법의 핵심이다.

개정 데이터 3법의 주요 내용은 첫째 기존에 여러 법률에서 따로 규정돼 있어 중복되고 모순됨으로써 혼란스럽던 개인정보 관련 조항을 개인정보보호법으로 통합했다. 둘째 가명 처리된 경우에는 개인정보라 해도 신뢰할 수 있는 안전 조치를 전제로 통계 작성, 민간의 산업 목적을 포함한 과학 연구, 공익 기록 보존 목적 등으로 처리할 수 있도록 허용했다. 서로 다른 기업이 보유하고 있는 가명정보를 전문 기관이 결합할 수 있으며, 그 결합물을 전문 기관이 외부로 반출하기 위해서는 다시 가명 또는 익명 처리를 요구해 보호하고 있다. 이제 가명정보를 활용해 고객의 숨은 요구에 맞는 신약 개발, 여행 상품, 콘텐츠 등 다양한 맞춤형 제품이나 서비스 기획 및 생산이 가능해졌다.

셋째 신용정보 주체의 신용 관리를 지원하기 위해 본인신용정보관리업(마이데이터사업)을 도입했다. 스마트폰 애플리케이션(앱)으로 자신의 계좌·결제·투자 등 모든 금융정보를 관리할 수 있고, 사업자는 고객에게 최적의 금융상품을 추천하는 등 자산관리 및 신용관리가 가능해진다.

넷째 개인정보보호위원회를 총리 소속 중앙행정기관으로 격상시키고 자료 제출 요구, 표준 지침 작성, 자율 규제 촉진, 개인정보 파일 등록 및 공개, 개인정보 보호 인증, 개인정보 영향평가 등을 포함한 행정안전부 기능과 방송통신위원회의 개인정보 보호 기능을 개인정보보호위로 이관해 일원화했다.

한편 데이터 3법의 국회 통과로 시민단체가 우려한 개인정보 침해 등 불안감이 완전히 해소되는 것은 아니다. 데이터 산업 발전을 위해서도 산적한 과제가 있고, 돌파해야 한다.

첫째 업무 공백이 생기지 않도록 개인정보 유관 기관이 협업체를 만들어서 신속·정확하게 업무를 개인정보보호위에 이관하고, 개인정보보호위가 성과 중심으로 일할 수 있도록 인력 및 물리 체계를 구성해야 한다.

둘째 데이터 강국이 되기 위해 개인정보 활용성을 높인 만큼 개인정보 보호시스템도 개인정보 주체의 통제권을 강화하는 등 업그레이드해야 한다. 지속 가능하고 안전한 데이터 흐름을 보장하는 법제도 및 기술 생태계 속에서 효율 높게 기능하는 데이터 관리시스템과 보호 체계가 요구된다.

셋째 데이터 3법 통과에도 산업과 시장에서 쓸 수 있는 데이터가 늘지 않는다면 그것은 더욱 심각한 문제다. 가명정보 활용만으로 부족하다는 산업계의 우려가 있다. 공공 데이터가 마중물 역할을 할 수 있도록 공개를 더욱 확대해야 한다. 민간 데이터도 가명 처리 방식과 절차를 명확히 해 산업과 시장에서 혼동 없이 데이터를 쓸 수 있도록 세부 체계를 갖춰야 한다. 가명정보 활용이 안전하다는 정보 주체의 신뢰가 축적되면 자연스럽게 데이터 제공과 수집, 활용이 증가할 것이다.

넷째 데이터 증가는 그것만으로 효과가 있는 것이 아니다. 가명정보 가치를 높이기 위해서는 데이터를 모으고 분석해서 상품과 서비스, 중간재로 만들 수 있는 AI 기술도 활성화돼야 한다.

지난해 12월 과학기술정보통신부가 AI 국가전략을 발표했다. 데이터 산업이 빠르게 자리 잡을 수 있도록 AI 등 관련 기술과 연구 체계가 뒷받침돼야 한다.

다섯째 우리 데이터 기업이 해외에서도 성장할 수 있도록 유럽연합(EU)의 GDPR 적정성평가(유럽 시민의 개인정보가 유럽 외로 이전될 때 필요한 규제) 결정을 이른 시일 안에 받아 내야 할 것이다.

여섯째 증가하는 데이터에 허위 조작 데이터가 들어간다면 AI 분석 결과가 부정확할 수 있다. 이를 억제하거나 분리해 낼 수 있는 기술 및 법제도 시스템 강화도 필요하다.

마지막으로 우리가 글로벌 데이터 강국으로 앞서가기 위해서는 데이터 수집 및 이용, 분석, 상용화 기술에서 국제 표준을 선도하는 등 국가 차원의 국제 리더십 확보를 위한 노력을 게을리 해서는 안된다.

데이터 산업은 이제 겨우 첫 단추를 뀄다. 데이터 3법이 많은 시행착오와 갈등, 토론을 거친 끝에 국민 공감대를 얻어 국회를 통과한 만큼 제대로 작동하게 하는 것은 우리 모두의 권리이자 의무다.

이상직 법무법인 태평양 변호사 sangjik.lee@bkl.co.kr