우여곡절 끝 국회 통과 데이터 3법, 어떤 내용 담겼나

개인정보보호법 개정으로 개인정보보호위원회 위상 높아져...관련부처 구조조정 예고

[보안뉴스 원병철 기자] 데이터 3법이 9일 국회 본회의를 통과했다. 자유한국당이 빠진 채 열린 국회 본회의는 데이터 3법이라 불리는 △개인정보보호법 개정안 △정보통신망법 개정안 △신용정보법 개정안을 포함한 198건의 법안을 처리했다. 데이터 3법이 국회에 발의된 지 무려 1년 2개월만의 일이다.

[이미지=국회]

데이터 규제 혁신과 개인정보보호 거버넌스 체계 정비 등을 주요 내용으로 하는 3개 법률 개정안은 ‘개인정보보호법’ 개정안(인재근 의원 대표발의), ‘정보통신망 이용 촉진 및 정보보호 등에 관한 법률’ 개정안(노웅래 의원 대표발의), ‘신용정보의 이용 및 보호에 관한 법률’ 개정안(김병욱 의원 대표발의)이다.

그동안 데이터는 4차 산업혁명의 근간이라 불리며 그 중요성이 널리 알려졌지만, 데이터의 활용은 국내외 모두 쉽지 않았다. 특히, 우리나라는 개인정보와 관련된 데이터 3법이 적극적인 활용에 제동을 걸고 있어 산업계와 학계, 연구계 등에서는 이에 대한 완화를 요구해왔다. 이러한 상황은 문재인 대통령이 직접 나서면서 급변하게 됐다. 문재인 대통령이 4차 산업혁명의 원유라 불리는 데이터 활용을 강화함으로써 데이터 강국으로 나아가겠다는 선언을 한 것이다.

이후 대통령 직속 4차산업혁명위원회 주관으로 관계 부처·시민단체·산업계·법조계 등 각계 전문가가 참여한 ‘해커톤’ 회의(2019년 2월, 4월) 합의 결과와 2019년 5월에 있었던 국회 ‘4차 산업혁명 특별위원회’의 특별권고 사항, 그리고 여러 시민단체·산업계·법조계·학계 등의 다양한 의견 수렴 절차와 정부·여당의 협의를 거쳐 개정안이 마련됐다. 이번 개정안의 가장 큰 특징은 4가지로 꼽을 수 있다.

첫 번째는 데이터 이용 활성화를 위한 가명정보 개념 도입이다. 추가 정보 없이는 특정 개인을 알아볼 수 없는 ‘가명정보’ 개념을 도입하고, 새로운 기술·제품·서비스의 개발 등 산업적 목적을 포함하는 과학적 연구 등의 목적으로 적절한 안전 조치 하에서 이용할 수 있도록 할 방침이며, 개인을 식별할 수 없도록 보안시설을 갖춘 전문기관을 통해 데이터 결합이 허용된다. 이미 해외 선진국(EU, 미국, 일본 등)의 경우에도 개인정보가 포함된 데이터를 가공해 특정 개인을 알아볼 수 없도록 한 후 각종 연구·개발 등에 활용할 수 있도록 하는 법체계를 운영하고 있다.

두 번째는 관련 법률의 유사·중복 규정을 정비하고 추진 체계를 일원화하는 등 개인정보보호 거버넌스 체계 효율화다. 그간 개인정보보호 관련 법령은 ‘개인정보보호법’ ‘정보통신망 이용 촉진 및 정보보호 등에 관한 법률’ ‘신용정보의 이용 및 보호에 관한 법률’ 등으로, 감독기구는 행정안전부·방송통신위원회·금융위원회·개인정보보호위원회 등으로 각각 분산돼 있어 체계적 정비 필요성이 각계로부터 제기돼 왔다. 이에 개인정보의 오·남용 및 유출 등을 감독할 감독기구는 개인정보보호위원회로 일원화되며, 유사·중복 규정 등은 ‘개인정보보호법’에 맞춰 정비할 계획이다. 정보통신망법은 유사·중복 규정을 개인정보보호법으로 이관하며, 신용정보법은 금번 개인정보보호법 개정 내용에 맞춰 정비된다.

세 번째는 데이터 활용에 따른 개인정보처리자 책임 강화다. 개정안에서는 향후 데이터 활용 과정에서 가명정보가 외부에 유출되거나 다른 정보와의 결합 등을 통해 특정 개인을 식별할 가능성이 증가될 우려가 있어 데이터 활용 시 준수해야 할 필수 안전조치 사항을 명확히 했다. 이를 위반할 경우 관련 조항 위반에 따른 과태료·형사벌 외에 전체 매출액의 3%에 해당하는 과징금도 부과될 수 있다. 데이터 활용 시 준수해야 할 필수 안전조치 사항은 특정 개인을 알아보기 위한 목적으로 가명정보 처리 금지, 가명정보를 복원하기 위한 추가 정보는 별도로 분리 보관 및 제3자 제공 금지, 데이터 활용 과정에서 개인 식별 가능한 정보가 생성된 경우 지체 없이 처리 중단 및 회수·파기 등이다.

네 번째는 다소 모호했던 개인정보의 판단 기준을 명확화 했다는 점이다. 현행법상 ‘개인정보’는 살아있는 개인에 관한 정보로써 개인을 알아볼 수 있는 정보로 정의하면서 ‘다른 정보와 쉽게 결합해 알아볼 수 있는 것을 포함한다’고 다소 모호하게 규정돼 있어 법 적용시 혼란이 있었다. 이에 ‘개인정보’ 범위를 보다 명확히 하고 어떠한 정보가 개인정보인지 여부는 다른 정보의 입수 가능성, 식별에 소요되는 시간·비용·기술 등을 합리적으로 고려하도록 함으로써 이러한 요건에 해당하지 않는 익명화된 정보는 ‘개인정보보호법’을 적용하지 않음을 명확히 했다.

이번 데이터 3법의 국회 본회의 통과로 본격적인 가명정보 데이터를 활용한 연구와 제품개발이 활성화될 전망이다. 또한, EU의 개인정보보호법이라 불리는 GDPR 시행 이후 우리나라 개인정보보호법에 없는 ‘가명화’나 ‘익명화’ 등의 개념이 등장함으로써 생겼던 괴리감이 어느 정도 개선되면서 관련 기업들의 어려움도 해소될 것으로 보인다.

특히 주목할 것은, 데이터3법에 흩어져 있던 개인정보관련 중복조항을 조정하고 개인정보보호위원회로 일원화하는 내용이 담겨 있다는 점이다. 이번 데이터3법의 국회통과로 개인정보보호위원회와 행정안전부, 방송통신위원회의 업무 구조조정을 피할 수 없게 됐다.

아울러 신용정보법 개정안에 담긴 ‘본인신용정보관리 산업 도입’에 따라 개인정보의 주체, 즉 ‘본인’의 정보를 ‘본인’이 활용할 수 있는 마이데이터 산업의 활성화도 기대된다.

한편, 국회를 통과한 데이터3법은 절차에 따라 정부로 이송되며, 국무회의에 상정된 후 공포 및 시행된다.
[원병철 기자(boanone@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)