– 가명처리 합법적 기준과 방법, 가명정보 활용 범위, 정보통신서비스제공자 특례규정 해석 문제

‘데이터 3법(개인정보보호법, 신용정보법, 정보통신망법)’이 이달 4일 공포돼 오는 8월 시행을 앞두고 있다.

발의된 지 1년 여만에 국회를 통과하자 데이터 활용에 물꼬가 트이게 돼 본격적인 데이터 경제 시대가 열릴 것이란 기대감이 커졌다. 개인정보보호법에 가명정보 개념을 도입, 통계작성·과학적 연구·공익적 기록 보존 등을 위해선 정보주체의 동의 없이 처리할 수 있게 했고, 그 정보 결합도 허용한 것이 데이터 3법의 핵심이다.

행정안전부는 데이터 3법 시행을 위한 하위법령인 시행령과 고시 등 행정규칙 개정안, 가이드라인과 해설서 등을 마련하기 위해 준비하고 있다. 가장 중요한 시행령 개정안은 오는 4월 중순 입법예고될 예정이다.

이같은 후속조치들이 나오지 않은 상황에서 데이터 3법, 특히 개정된 개인정보보호법 해석에 있어 불확실성이 크다는 지적이 나오면서 논란이 계속되는 상황이다. 기업 등 산업계는 개인정보 가명처리 기준과 방법, 가명정보 처리 범위와 정보 결합 방법과 활용 등이 명확하지 않아 혼란과 우려를 나타내고 있다. 시민단체들 역시 데이터 3법 가운데 특히 개인정보보호법 개정을 개악이자 졸속 개정이라며 가명정보 재식별 등으로 인한 개인정보 침해 위험 등을 제기하고 있기도 있다.

법 통과 후 데이터 3법 재개정 활동을 예고했던 참여연대, 진보넷, 민주사회를위한변호사모임 등 11개 시민단체들은 지난 17일 ▲개인정보보호위원회 독립적 위상 강화 ▲가명처리 수준 강화 ▲개인정보 ‘과학적 연구’ 활용범위 구체화 ▲가명정보에 대한 안전조치 강화 ▲가명정보 결합조건 강화 등의 내용을 담은 개인정보보호법 개정 후속 과제 의견서를 정부에 제출하기도 했다.

이같은 상황에서 데이터 3법, 그 중에서도 개정된 개인정보보호법을 시행하는데 앞서 논란이 되고 있는 핵심 쟁점들을 검토하고 개선방안을 모색하기 위한 세미나와 토론회가 열렸다. ‘데이터 3법 개정과 향후 입법과제 모색’을 주제로 개인정보보호법학회와 스타트업얼라이언스, 체감규제포럼이 18일 오후 프레스센터에서 개최했다.

이날 다뤄진 쟁점은 세가지다. ▲가명처리의 합법화를 위한 기준과 방법 ▲동의 없는 가명정보 활용의 구체적 범위 ▲정보통신서비스제공자 특례규정의 법체계 정합적 해석을 놓고 전문가들이 의견을 나눴다.

토론회에는 이인호 중앙대 법학전문대학원 교수, 이상직 법무법인 태평양 변호사, 황창근 홍익대 법학과 교수, 홍대식 서강대 법학전문대학원 교수, 구태언 법무법인 린 변호사, 고환경 법무법인 광장 변호사가 토론자로 참여했다. 개인정보보호법학회 회장인 김민호 성균관대 법학전문대학원 교수가 좌장을 맡았다.

이 자리에는 최장혁 행정안전부 전자정부국장도 나와 “정보 보호와 활용, 이 가치를 조화를 이루려다보니 개인정보보호법에 추상적인 개념이 많은 것은 사실”이라며 “정보 결합기관 지정, 정보 결합 절차, 정보 제공 주체 동의없이 가명정보를 사용할 수 있는 이용 및 제공 범위 등에 대해 유럽연합 일반개인정보보호법(EU GDPR)은 물론 국내 상황을 반영해 시행령을 준비하고 있다”고 밝혔다.

첫 토론자로 나선 이상직 변호사는 “개인정보보호법 등 데이터 3법 통과 이후 개인정보의 활용은 쉬워지고 개인정보 주체를 위한 보호는 어려워지는 것 아니냐는 지적이 있다. 이는 패러다임과 관점을 달리한다면 성립할 수 없는 명제”라고 화두를 던졌다. 그러면서 이 교수는 “4차산업혁명, 인공지능 등이 발전하면서 세상은 변화하고 있다. 개인정보보호법 후속조치는 시장의 흐름 자체를 막는 방향으로 가서는 안된다. 세계적인 흐름과 변화하는 시장은 어떠한 법도 막을 수는 없다. 시장의 변화는 긍정적으로 보고 변화하는 시장에서 과거 프레임에서 이뤄지던 정보주체의 권리를 앞으로의 프레임에서 효과적으로 보호할 수 있는가를 고려해야 한다”고 강조했다.

핵심 쟁점 1. 가명처리의 합법화를 위한 기준과 방법

결론 :: 가명처리는 식별자와 식별성이 높은 속성자를 삭제하거나 대체해 특정 개인을 알아보지 못하게 하는 것이다. 후속조치를 추진하는 정부의 역할이 중요하다. 산업별 상세한 가이드와 사례를 제시해야 한다.

법 해석 논란은 가명정보와 가명처리 기준과 방법을 어떻게 적용할지 아직은 모호하다는 것이다.

개정된 개인정보보호법에서는 개인정보를 가명처리함으로써 원래의 상태로 복원하기 위한 추가정보 사용·결합 없이 특정 개인을 알아볼 수 없는 정보를 가명정보로 규정했다. 가명처리는 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말한다.

토론자로 나선 전문가들은 일단 법상 가명정보와 가명처리 개념 자체는 법에 명시돼 있다고 봤다. 하지만 일부 보완 필요성도 제기했다.

황창근 교수는 “가명정보 기준과 가명처리 방법은 법에 규정돼 있다. 가명처리 방법에 일부 또는 전부를 대체하는 등의 방법이라고 명시돼 있어 하위법령에서 개인정보의 삭제와 대체 방법에 대한 구체적인 내용을 규정할 필요가 있다”고 말했다.

다만 “기술이 점점 발전하면서 새로운 가명처리 방법이 나타날 가능성이 커 향후 익명처리가 가명처리로 바뀌게 될 가능성이 있다는 점에서 법에서 규정하기 어려운 부분이 있다”고 덧붙였다.

이인호 교수는 “가명정보와 가명처리 개념 규정에서 식별자가 빠져 있다”고 지적했다. 식별자는 개인을 식별하게 하는 정보단위를 말한다.

이 교수는 “식별자를 삭제하거나 대체한다는 개념요소가 들어있지 않고 ‘개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 방법으로’라고 표현하고 있다. 그러나 신용정보법에는 이 개념이 들어가 있다. (개인정보보호법) 시행입법을 추진할 때 이 부분을 명확히 해야 한다”고 지적했다.

구체적인 가명처리 방법과 정부가 가이드라인을 제시하는데 있어 감안해야 할 사항이 제시되기도 했다.

구태언 변호사는 “가명처리에 있어 추가정보란 특정개인을 식별하게 하는 정보로서 식별자와 속성자 모두가 될 수 있고, 그 정보를 분리하면 나머지 정보가 의미하는 사람의 개수가 2 이상인 것을 말한다. 특정 개인을 알아보는 것은 한 사람이므로 두 사람 이상이면 가명정보가 될 수 있다”고 제시했다.

구 변호사는 “예를 들어 ‘대한민국 19대 대통령’이라고 하면 한 명이나 속성자인 ‘19대’를 빼면 전현직 대통령 12명이 된다. 한사람을 의미하는 정보를 두 사람, 즉 그 수를 2 이상으로 만드는 것을 가명처리라고 한다면 시행령을 만들기 어렵지 않을 것이다. 여기서 ‘19대’는 속성자이다. 식별자뿐 아니라 속성자도 ‘대통령’이라는 단어 앞에 있으면 식별성을 갖게 된다. 식별자와 속성자 구분은 맥락에서 파악된다. 속성자가 매우 많으면 사람 식별이 가능하다. 이를 감안에 산업별로 2 이상이 되는 가명처리를 예시로 제공하는 것이 필요하다”고 주장했다.

고환경 변호사는 “안전한 가명처리의 방법과 수준은 산업별로 다양하게 제시돼야 한다. 일률적 획일적 방법이 제시되면 실무단에서 가이드라인을 자칫 가명처리에 대한 규제적 규범으로 받아들일 수 있으므로 신중하게 안내해야 한다. 동의없는 추가 처리 허용을 전제로 하기 때문에 리스크를 고려해 기존과는 반대의 패러다임인 네거티브 방식을 적용하는 것이 적절하다”고 제시했다.

이상직 변호사는 “가명처리 기준이 불명료하지 않다고 보지 않는다. 가명처리가 제대로 됐다면 다른 데이터와 결합해 개인정보가 누구인지 추정이 불가능해야 한다. 가명처리 용도에 따른 시나리오가 무엇이고 해당 업계에서 논의되는 품질 이상의 가명처리 요건은 무엇인지 하위법령에서 정해줄 지 여부에 대한 문제”라며 “가명처리 자체가 불명료해 산업에서 연구하는데 어렵다는 것에는 동의하기 어렵다”는 의견을 밝혔다.

쟁점 2. 가명정보 활용의 구체적 범위 – 과학적 연구의 범위

결론 :: 과학적 연구에는 산업적·상업적 연구도 당연히 해당된다고 봐야 한다.

고환경 변호사는 “입법 심의 과정에서 과학적 연구에 산업적 연구가 포함되는지에 대한 많은 논란이 있었다. 신용정보법에 이미 산업적 연구가 포함된다고 명시돼 있어 다른 해석을 하거나 다른 의견이 나오기 어렵다. 개인정보보보법에도 이처럼 명시될 필요가 있다”고 말했다.

황창근 교수 역시 “신용정보법에서는 산업적 연구, 상업적 통계를 명문으로 규정했지만 개인정보보호법에서는 명문으로 규정하지 않았다”고 언급하면서, “개정법이 규정한 과학적 연구의 정의와 가명정보의 개념을 신설한 개정법의 입법취지를 종합하면 산업적 활용을 위한 산업적 연구 및 상업적 통계 작성이 포함되는 것으로 적극적으로 해석하는 것이 타당하다”고 제시했다.

홍대식 교수는 “논란이 되는 동의없이 처리되는 ‘과학적 연구’의 범위에 대해 기업이 연구 주체가 되어 상업적 활용을 주된 목적으로 하는 경우는 논란이 있을 수는 있다. 그러나 연구기관이 연구 주체가 되는 과학적 연구로 인정되는 한 그 내용이 기초이든 응용이든 혹은 그 재원이 공공이든 민간이든 관계없고 연구의 성과가 산업적 목적으로 활용된다고 하더라도 허용돼야 한다”고 해석했다.

이상직 변호사는 “산업적 연구는 법에서 활용 목적에 당연히 포함된다고 해석된다. 다만 특정 기업에만 사적 사용될 경우 달리봐야 할 경우는 있을 것이다. 가명처리된 정보가 기존에 없던 새로운 것 창작 결과 만들어내고 전문기관에 의한 결합을 통해 산업과 시장까지도 발전을 도모하는 것이라면 당연히 과학적 요소에 포함돼야 한다”고 했다.

쟁점 3. 정보통신서비스제공자 특례규정의 법체계

결론 :: 문제가 많다. 빠르게 개정돼야 한다.

정보통신서비스 제공자에 대한 특례조항은 대체로 정합성 면에서 크게 부족하고 그 자체가 불필요하다는 의견이 나왔다. 이 특례조항은 정보통신망법의 개인정보보호 규정을 개인정보보호법으로 일원화하는 과정에서 신설됐다. 기존 정보통신망법에는 있었지만 개인정보보호법에는 없던 개인정보보호 규정을 그대로 반영하고 두 법 중복규정은 삭제했다.

좌장인 김민호 교수는 “정보통신망법의 개인정보보호 규정이 삭제되면서 입법과정에서 시간이 없다보니 중복되는 것은 없애고 정보통신망법에만 있는 것을 특례로 올렸다. 그런데 수범자를 개인정보처리자라고 하지 않고 정보통신서비스제공자로 그대로 했다. 이를 어떻게 해석할 것인가 논란이 있다”고 지적했다.

이어 이상직 변호사는 “개인정보보호법과 정보통신망법 통합 과정에서 법안을 빨리 만들기 위해 발생한 문제로 보인다. 단기적으로 처리해야 한다. 정보통신서비스제공자가 앞으로 별도로 존재할지도 의문”이라고 말을 보탰다.

황창근 교수 역시 “복잡하다. 고쳐야 한다. 특례가 많으면 잘못된 법”이라고 일갈하고 “기업 입장에서는 처리자와 제공자 둘 다 되는지 안되는지 따져야 한다. 이전에 정보통신망법에 있던 규정이 개인정보보호법에 반영되면서 개인정보처리자에도 적용될만한 사항이 해당되지 않는 것도 있어 적절치 않다. 단서, 예외조항을 넣어서 흡수해야 한다”고 했다. 황 교수는 “급하게 처리한 것이 드러난다. 법 해석을 다르게 할 수 있는 여지를 줘 아주 수준이 낮은 법이 됐다”고 혹독하게 평가했다.

고환경 변호사는 “데이터 3법 개정과 관련해 특례조항은 굉장히 아쉬운 부분”이라며 “2017년 방송통신위원회 스스로 정부입법으로 정보통신망법 개정연구반까지 만들어 발의한 안도 있었는데 그 내용도 거의 담지 못했다. 국회가 어려운 상황에서 불가피하게 처한 조치로, 반드시 추가 개정작업이 필요하다는 데 한 목소리가 나온다”고 전했다.

고 변호사는 이어 “기존 정보통신망법에서 엄격한 형사처벌 규정이나 과징금 부과 등이 여전히 영향을 줘 같이 문제가 될 수 있다”고 말하면서도 “특례로 인해 신용정보법과의 관계는 일반법과 특별법으로 잘 정리될 것같다. 금융기관, 핀테크사업자 등이 전자금융서비스를 제공하면서 IT와 개인정보를 이용하는 것은 신용정보법 적용만 받는 것으로 해석된다”고 긍정적인 면을 짚기도 했다.

구태언 변호사는 “제도적 취지상 국내 사업자와 해외사업자 역차별 문제로 인해 필요한 제39조의 11 국내 대리인 제도만 남겨두고 기존 법령에 포섭하고 나머지는 전부 폐지해야 한다”며 “원점에서 심도깊게 논의를 진행해야 한다”고 제안했다.

한편, 이날 이어서 진행된 개인정보보호법 향후 개선 과제와 관련된 ‘학술토론’에서는 김현경 서울과학기술대학교 IT정책전문대학원 교수가 개인정보 국외이전 규정의 정비에 대해, 손형섭 경상대 법학과 교수가 형사제재 규정의 합리화 방안을 주제로 발표하고 토론을 진행했다.

김현경 교수는 개인정보 국외이전 규범은 데이터 주권 확보 및 데이터 경제활성화에 있어서 핵심적 사안임에도 불구하고 우리나라 현행 법령은 오로지 정보주체의 ‘동의’에 의존하여 개인정보의 해외이전을 규정하고 있다고 지적했다. 상호적정성 모델에 의한 개인정보 국외이전 규정의 정비를 주장하면서 적정성승인에 의한 해외 기업에 대한 동의의 면제가 국내기업에 대한 역차별이 되지 않도록 ‘동의’제도 전반에 대한 재검토가 필요하다고 언급했다.

손형섭 교수는 EU, 미국, 일본과의 비교를 통해 현행 과도한 형사처벌 규정의 문제점을 대안을 제시했다. 민간 영역의 개인 정보 침해 문제는 손해 배상과, 과징금 규정에 의해 해결하고, 개보위 등은 이 법에 따른 행정권한의 확보를 위해 과태료를 인정하고, 형사벌은 비난가능성이 높거나 행정명령에 의도적으로 반하는 행위에 초점을 맞춰 처벌해야 한다는 의견을 내놨다.

<관련기사> 가명정보 활용 위한 개인정보 가명처리, 정보결합 어떻게 할까

<관련기사> 정부, ‘데이터 3법’ 후속조치 잰걸음…내달 시행령 개정안 마련

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network