‘데이터 3법(개인정보보호법·신용정보법·정보통신망법 개정안)’이 9일 국회를 통과했다. 지난 2018년 11월 법안이 발의되고 약 1년 2개월 만이다. 이 법은 IT업계 숙원해왔지만, 일부 시민단체들이 개인정보 유출 및 남용을 우려해 반대해왔었다.

데이터 3법이 담고 있는 내용을 살펴본다

가명정보의 활용

이번 데이터3법을 개정하면서 가장 핵심적은 내용은 가명정보를 활용할 수 있도록 한 것이다. 가명정보란 개인정보에서 특정인을 식별할 수 없도록 처리한 것을 말한다. 추가 정보가 결합되지 않은 정보일 경우 누구인지 특정할 수 없지만, 개인에 대한 상당한 정보가 담겨 있는 상태의 정보다.

심재석, 바이라인네트워크, 010-1234-5678, 서울특별시 영등포구 여의도동 국제금융로6길 33 맨하탄 빌딩 1010호, Shimsky@byline.network

이와 같은 개인정보가 있을 때 개인을 식별할 수 있는 정보인 이름, 이메일, 전화번호 등을 심XX, XXX@byline.netowrk, 010-XXXX-XXXX 등으로 바꾼 것이 가명정보다.

산업계에서는 이용자 개개인에게 데이터 기반의 맞춤형 제품이나 서비스를 제공하기 위해서는 가명정보 활용이 필요하다고 주장해왔다. 예를 들어 금융업계에서 개인의 신용평가를 할 때 개인정보까지는 아니더라도 가명정보 수준의 정교한 데이터가 필요하다고 주장해왔다.

그러나 시민단체는 가명정보는 추가적인 정보와 결합하면 개인을 식별할 수 있기 때문에 기업들이 마음대로 사용하면 위험하다고 반발한다.

마이데이터 사업

새로운 신용정보법에는 본인신용정보관리업이라는 새로운 형태의 사업이 규정돼 있다. 본인신용정보관리업은 금융소비자로부터 받은 각종 금융정보를 분석해 정보 제공자에게 필요한 서비스를 제공하는 사업이다. 이는 소위 말하는 마이데이터 사업의 일환이다.

마이데이터란 정보 사용의 주체를 기업에서 개인으로 바꾸는 관점의 변화를 담고 있다. 기존에 개인의 정보가 타기업으로 이동될 때 기업의 필요에 따른 것이었다. 예를 들어 A기업과 B기업이 제휴를 맺으면 이용자의 동의를 얻어 A기업은 B기업에 자사 고객 정보를 넘겼다. 개인정보가 A기업과 B기업의 필요에 따라 이동한 것이다.

하지만 마이데이터는 정보의 주체가 개인이 된다. 개인은 A 기업에게 “나의 정보를 B 기업에 주시오”라고 할 수 있다. A 기업은 제휴사가 아니어도 B 기업에 개인정보를 넘겨야 한다.

마이데이터 사업을 하는 기관은 고객의 동의를 받아 은행, 카드사, 병원 등의 데이터를 종합적으로 수집할 수 있을 것으로 보인다. 이용자는 각종 기관에 흩어져 있는 개인의 신용정보를 통합해 일괄관리 할 수 있다. 금융회사 및 신용평가사 중심으로 활용되던 신용정보에 대한 통제권을 정보주체인 개인에게 되돌려주는 의미가 있다.

개인사업자 신용평가사 도입

현재 개인사업자는 신용대출받는 것이 매우 어렵다. 금융회사는 정확한 위험관리가 어렵기 때문에 개인사업자에게 신용대출하는 것을 꺼려한다. 주로 보증이나 담보 등에 의존하여 대출하는 관행이 있다. 부동산 등 담보가 없는 개인사업자의 경우 금융 서비스 이용이 제한됐다.

이에 신용정보법 개정안은 소상공인, 영세자영업자 등 개인사업자 대출의 특수성을 반영한 신용평가체계를 운영하는 개인사업자 신용평가사라는 개념을 도입했다.

개인사업자 신용평가사는 자영업자의 실시간 카드매출정보 등을 분석해 신용평가를 한다. 은행은 이를 기준으로 신용대출을 할 수 있다.

비금융정보 전문 신용평가사 도입

현재 개인신용평가는 대출·카드 등 금융정보 위주로 이루어져 금융이력이 부족한 경우 신용평가가 어렵다. 이 때문에 주부나 사회초년생 등은 정당한 신용평가를 받지 못한다.

이에 신용정보법 개정안은 비금융정보의 체계적 활용을 위한 비금융정보 전문 신용평가사를 도입했다. 이 회사는 통신·전기·가스 등 공공요금납부, 온라인 쇼핑 내역, SNS 정보 등을 활용해 신용을 평가하는 역할을 한다.

미국의 FICO는 통신료·공공요금 납부정보 등을 활용한 신용위험 측정모형을 개발해 약 1500만명의 금융이력부족자에 대한 신용점수를 새롭게 산출한 바 있다. 미국의 Lenddo라는 회사도 SNS 친구, 포스팅 등 260억개의 데이터를 머신러닝으로 분석해 개인신용평가를 실시했다.

금융이력이 적더라도, 통신료·유틸리티 사용료 등을 성실히 납부한 경우, 신용평점이 개선되어 금융거래조건이 개선될 수 있다.

개인정보보호 위원회 일원화

현재 개인정보 보호와 관련된 감독 규정은 개인정보보호법, 정보통신망법, 신용정보보호법 등에 나뉘어져 있다. 이처럼 관련 법이 흩어져 있으면 개인정보 유출 사고가 났을 때 혼란을 가중시킬 수 있다.

이에 따라 새로운 개인정보보호법에는 개인정보 보호위원회를 국무총리 소속으로 중앙행정기관화해 개인정보 보호업무를 일원화하고, 조사·처분권 부여 등을 통해 개인정보 감독기구의 독립성을 확보했다. . 이 같은 조치는 EU GDPR의 적정성 평가를 위해 반드시 필요한 것이었다. EU에서는 우리나라 개인정보 보호 관련 컨트롤타워가 없다는 점을 들어 적정성 평가를 미뤄왔다

시민단체는 반대

그러나 일부 시민단체는 개인정보가 남용될 수 있다며 신용정보법 개정에 반대했다.

참여연대와 경제정의실천시민연합 등 시민사회단체들은 데이터 3법의 국회 통과 직후 ‘국민의 정보인권 포기한 국회를 규탄한다’란 성명을 냈다.

이들은 “기업이 이윤추구를 위해 제대로 된 통제장치 없이 개인의 가장 은밀한 신용정보·질병정보 등에 전례없이 광범위하게 접근하고 관리할 길이 열렸다”면서 “데이터 3법 개정은 20대 국회 최악의 입법 중 하나로 기록되고, 2020년 1월9일은 정보인권 사망의 날로 기억될 것”이라고 밝혔다.

. 바이라인네트워크
<심재석 기자>shimsky@byline.network