데이터 3법 후속조치 서두르는 정부
하위입법 조속히 마련
EU 적정성평가 완료 기대
시민사회 "보호장치 먼저"
정부가 개인정보보호법 등 '빅데이터 경제 3법' 개정에 따른 후속작업에 속도를 낸다. 어렵게 마련한 법안인 만큼 하위입법을 서둘러 데이터 활용도를 높이겠다는 것이다. 하지만 일각에서는 절대적으로 보호해야 할 개인정보를 구분하고 데이터 활용으로 인한 피해 구제장치를 먼저 마련해야 한다는 지적이 나온다.
행정안전부와 방송통신위원회 금융위원회 개인정보보호위원회 등 관계부처는 21일 정부서울청사에서 합동브리핑을 열어 데이터 3법 후속조치 계획을 발표했다.
정부는 먼저 시행령과 고시 등 행정규칙 개정을 서둘러 가명정보의 활용 범위와 데이터 결합 방법, 절차 등을 구체적으로 마련하기로 했다. 가명정보란 개인정보 일부를 삭제하거나 대체해 추가정보 없이는 특정 개인을 알아볼 수 없도록 가명처리한 정보를 뜻한다. 개인 식별이 가능한 '개인정보'와 식별이 불가능한 '익명정보'의 중간단계에 해당하는 것으로, 다수의 가명정보가 결합할수록 개인을 특정할 수 있는 가능성이 커진다.
이런 '재식별'을 방지하기 위해 결합한 데이터를 외부로 반출할 경우 익명처리를 우선하게 하는 방안, 데이터 결합 담당 기관과 데이터를 결합하는 경우 정보 매칭에 필요한 '결합키'를 관리하는 기관을 분리하는 방안 등 세부 원칙을 정해 시행령에 담을 계획이다.
시행령과 시행규칙 개정안은 2∼3월 중에 마련하고 이후 한 달 안에 입법예고할 예정이다. 통상 4∼5개월 걸리는 후속입법 절차를 서둘러 신속하게 세부사항을 마련한다는 방침이다.
데이터 3법 관련 가이드라인과 법령해설서도 제·개정한다. 가명정보를 정보 주인(정보주체) 동의 없이 제3자에게 제공할 수 있는 범위 등을 의료정보·신용정보 등 분야별로 구체적 사례를 들어 설명하도록 만든다. 가이드라인은 4월 중 초안을 내고 데이터 3법이 시행되는 7월 중에 최종안을 마련할 계획이다.
유럽연합(EU)의 개인정보보호규정(GDPR) 적정성평가는 현재 초기결정문을 조율 중인 단계로 법 시행에 맞춰 최종 결정이 이뤄질 수 있도록 준비한다는 방침이다. 이를 위해 진 영 행안부 장관이 2월 초 EU 집행위원회와 유럽의회를 방문해 적정성 결정이 조속히 이뤄지도록 협의하고 공동성명도 발표할 계획이다. 적정성평가는 EU가 GDPR을 기준으로 상대국의 개인정보보호 수준을 평가하는 제도다. 평가를 통과해 적정성결정이 내려지면 해당국 기업은 EU에서 수집한 개인정보를 역외로 이전하는 것이 허용되나 그렇지 못한 국가는 기업이 개별적으로 표준계약을 체결하는 등 행정부담을 지게 된다.
우리나라는 EU 요구수준을 충족하기 위해 필요한 국내 개인정보보호법 개정이 이뤄지지 않아 앞서 두 차례 시도가 불발됐다. 이번 데이터 3법 국회 통과로 적정성결정이 가시화됐다.
윤종인 행안부 차관은 "일본의 경우 EU GDPR 적정성평가 초기결정 5개월 뒤에 최종결정이 이뤄졌다"며 "EU에서 가장 문제 삼는 개인정보보호위원회의 독립성 문제도 해소된 만큼 좋은 결과가 있을 것"이라고 말했다.
우려의 목소리도 적지 않다. 신체·건강정보 등 절대적으로 보호해야 할 내용을 규정하고, 피해자 구제수단도 시급히 마련돼야 한다는 것이다. 안전장치부터 먼저 마련하라는 의미다. 서채완 민주사회를위한변호사모임 디지털정보통신위원회 변호사는 "식별가능성이 있는 가명정보는 개인정보에 준하는 보호를 받는 것이 원칙"이라며 무분별한 활용을 경계했다. 서 변호사는 또 "데이터 활용으로 인해 발생하는 피해에 대해 정보주체가 구제를 받을 수 있는 수단이 보장돼야 한다"고 주장했다.