[ET시론]데이터 규제혁신의 과제

이성엽 고려대 교수

데이터는 디지털 경제 시대의 원유로서 사회·경제 전반을 디지털로 전환하는 핵심동력으로 작용하고, 타 산업의 혁신과 성장을 견인한다. 그동안 정부는 데이터 유통·활용을 촉진하기 위해 데이터 3법 개정, 데이터 산업법과 산업디지털법 제정 등 법·제도적 기반을 마련했으나 아직 데이터 활용과 데이터 기반 신산업 경쟁력은 갖추지 못했다.

정부도 이를 인식하고 제1차 국가데이터정책위원회에서 몇 가지 중요한 데이터 규제혁신안을 제시했다. 크게 보면 마이데이터 관련 사항, 데이터 결합 관련 사항 등 둘로 구분할 수 있다. 마이데이터와 관련해 보면 첫째 공공·행정기관이 보유한 개인 행정정보를 받아서 마이데이터 서비스를 할 수 있는 기관이 행정기관·은행 등으로 한정돼 있는데 이를 개인정보의 활용 수요가 높은 통신의료 등 분야의 단체 등으로 확대하고, 둘째 현재 금융 분야와 공공 분야에만 한정된 개인정보의 전송 요구를 전 분야로 확대한다.

다음 데이터 결합과 관련한 제도 개선 사항은 다음과 같다. 첫째 공공 결합전문기관만 자기가 보유한 가명정보와 타 기관 가명정보를 자체 결합해서 제3자에게 제공하는 것이 허용되는데 민간 결합전문기관에도 이를 허용한다. 둘째 금융 분야의 경우 개인정보 보호 측면을 강조해 가명정보 결합 시 이용기관으로 신청하지 않은 기관에는 결합된 가명정보를 제공하는 것이 불가한 데 이를 가능하도록 개선한다. 셋째 개인정보법, 신용정보법 상 가명정보 결합 요건·절차가 일부 상이함에 따른 결합 수요자의 불편 해소를 위해 결합신청 서류를 표준화하고 전문기관도 결합정보를 가명으로 처리할 수 있도록 명확히 허용한다.

업계와 전문가 의견이 반영된 진일보한 혁신안으로 평가되지만 아직 추가적으로 개선할 부분이 있다. 사실 데이터 3법 개정안에서 핵심 내용은 기존 데이터를 활용해서 빅데이터 분석이 가능하도록 하기 위해 도입해서 기업이 이미 보유하고 있는 가명 처리, 데이터 결합, 목적합치 원칙이다. 그 외 신용정보법에 도입된 공개된 개인정보의 동의 없는 이용도 중요한 변화다. 문제는 이런 개정에도 아직 실무적으로 큰 변화를 찾아보기 어렵다는 점이다.

다음 몇 가지 추가 개선이 필요하다. 먼저 데이터 결합이다. 한국은 모든 데이터 결합에 대해 가명 처리 후 전문기관을 경유하도록 강제하는 독특한 제도를 운용하고 있다. 데이터 결합을 규제하는 취지가 데이터 결합으로 말미암은 개인정보 침해 위험성 때문이라면 모든 데이터 결합을 일률적으로 제한하는 것보다 데이터 결합에 따르는 위험에 상응하는 안전장치나 위험 감소장치를 유도하는 것이 바람직하다.

예컨대 제3 전문기관을 필수로 경유하도록 하는 요구는 정보 주체에 미치는 프라이버시 위험이 상당한 고위험군에 속하는 데이터 결합 행위에 한정할 필요가 있다. 또 반출을 위한 가명 처리, 익명 처리 적정성 평가의 한 항목인 안전성 확보 조치 등 개인정보처리 적정성 여부 판단은 상당한 시간과 노력이 소요되는데 사실 이 평가는 기업 자체에 대한 평가로 이어진다. 이 점에서는 ISMS-P 등 인증을 보유하고 있는 개인정보처리자에 대해서는 안전성 확보 조치의 적정성 여부 평가를 면제하는 방안을 고려할 수 있을 것이다.

둘째 목적합치 원칙은 수집 시 제시한 목적 외에도 애초의 수집 목적과 합리적으로 관련된 범위에서 정보 주체의 동의 없이 개인정보를 이용해서 제공할 수 있도록 한 것이다. 실제 활용도는 높지 않은 실정이다. 이 원칙을 어떻게 해석·운용하느냐에 따라 빅데이터 활용에 상당한 실질적 변화를 초래할 수 있기 때문에 이에 대한 구체적 판단 기준을 마련할 필요가 있을 것이다.

셋째 개인정보 이용에서 공정 이용 조항 도입이다. 개인정보를 합법적으로 수집해서 이용하기 위한 두 가지 근거는 정보 주체 동의와 법률 규정이다. 다만 동의를 받기 어려운 상황이나 법률 규정도 없는 상황에도 개인정보를 처리할 필요가 있는 경우가 있다. 이에 대비해 현행 개인정보보호법은 개인정보처리자의 정당한 이익 달성을 위하여 필요한 경우 명백하게 정보 주체의 권리보다 우선하는 경우라는 이익형량 조항을 두고 있다.

다만 이는 지나치게 엄격해서 이익형량이 필요한 다양한 경우를 포괄하지 못한다. 따라서 저작권법상 공정 이용과 유사한 조항을 개인정보보호법에 도입할 필요가 있다는 것이다. 저작권법상 공정 이용은 저작물의 통상적인 이용 방법과 충돌하지 않고 저작자의 정당한 이익을 부당하게 해치지 않는 경우로, 형식적으로는 저작물 복제 등 저작권 침해 행위에 해당하더라도 저작권법의 궁극적인 목적인 문화 향상 발전이라는 목표에 비추어 허용되는 행위를 의미한다.

넷째 인공지능(AI) 시대를 맞아 발생하는 변화를 데이터법이 수용할 필요가 있다. 프라이버시 보호를 위한 개인정보 규제 대부분은 빅데이터와 AI 기반 혁신을 저해할 가능성이 있다. 최소 수집의 원칙, 삭제권, 설명권 등 정보 주체 권리 대부분도 AI 기술적 특성 때문에 현실적으로 이행하기 어렵다. AI와 빅데이터를 위한 별도의 예외 규정이나 해석을 준비하는 것이 필요하다. 나아가 AI 기술 개발이나 서비스에 필요한 데이터 사용 지침으로써 AI 데이터 윤리의 정립이 필요하다.

다섯째 이외에도 공공데이터 개방과 관련해 공공기관이 보유한 개인정보의 경우 가명 처리 후 제공이 가능한지가 불명확한 측면이 있기 때문에 이를 명확히 하고, AI를 이용한 정보 분석 시 개인정보 사용에 대한 면책을 허용하는 제도 도입도 필요하다.

AI, 데이터, 플랫폼이 우리 생활을 지배하는 디지털 대전환이 급속도로 진행되고 있다. 미국, 중국 등 주요국이 비규제와 정부 지원으로 나날이 이 분야의 경쟁력을 기르고 있는 지금 우리는 아직도 갈라파고스적 규제를 고집하면서 데이터의 본격적인 활용에 나서지 못하고 있다. 민·관이 지혜를 모아 속히 데이터 시대를 준비하고 개척해 나가야 할 것이다.

이성엽 고려대 기술경영전문대학원 교수/기술법정책센터장 dysylee@korea.ac.kr

데이터 정책 주요 개선 방향

◎이성엽 교수는...
고려대 법학과, 서울대 행정대학원, 미국 미네소타대 로스쿨을 거쳐 서울대에서 법학박사 학위를 받았다. 1991년 제35회 행정고시 출신으로, 정보통신부와 김앤장 법률사무소를 거쳐 2017년 고려대 기술경영전문대학원 교수로 부임했다. 2020년부터 한국데이터법정책학회장을 맡고 있으며, 고려대 기술법정책센터장을 겸임하고 있다. 최근 국내 최초로 고려대 로스쿨에 개설된 데이터, AI법 전문과정의 주임교수직을 맡고 있다. 총리 소속 데이터정책 컨트롤타워인 국가데이터정책위원회의 위원으로도 활동하고 있다. 행정 현장 경험과 법, 정보통신기술(ICT), 데이터 분야 지식을 두루 갖춘 전문가로 꼽힌다.