(사진=스마트이미지 제공)
지난 1월 데이터 3법(개인정보보호법·정보통신망법·신용정보법)이 어렵게 국회 문턱을 넘은 뒤 오는 8월 시행을 앞두고 있지만 데이터 활용을 준비하는 기업은 찾아보기 힘들다.
법 개정으로 '데이터 산업'의 문을 열었다는 평가는 나오지만, 하위법인 시행령이 너무 엄격하거나 모호해서 기업이 데이터를 활용에 나서기 위해 필요한 불확실성 해소를 하지 못하고 있다는 평가 나온다.
기업들은 데이터 3법 통과로 겨우 물꼬를 튼 데이터 경제가 시행령이라는 산에 가로막혀 다시 좌초되는 것은 아닌지 우려하며 문제 조항들을 수정해야 한다고 촉구하고 있다.
◇ 데이터 활용하려면 4가지 조건 모두 충족해야…쓸 수 있는 데이터 있나
기업들은 개인정보보호법 시행령 중 △개인정보의 추가적인 이용제공 기준(14조 2항) △데이터 결합기관 한정(29조 2항) △가명정보 폐기 규정(29조 5항) 등이 기업들의 데이터 활용을 주저하게 하고 있다고 주장하고 있다. 엄격하거나 모호한 규정 때문에 개인정보를 활용했다가 자칫하면 형사 처벌받을 위험이 있다는 것.
업계는 특히 시행령 14조2항을 대표적인 '독소조항'으로 꼽는다. 시행령에 따르면 정보 주체의 동의 없이 가명 처리된 개인정보를 활용하려면 △수집목적과 상당한 관련성이 있을 것 △정보 주체뿐만 아니라 제3자 이익도 침해하지 않을 것 △처리 관행에 비춰 데이터 추가 이용을 예측할 수 있을 것 △가명 처리해도 목적을 달성할 수 있는 경우 등 4가지 조건을 모두 충족해야 하는데 이런 조건을 모두 충족하면서 쓸 수 있는 데이터가 있냐는 것이다.
한 업계 관계자는 "개인정보 추가 이용에 대한 유럽 개인정보보호규정(GDPR)의 규정을 준용한 것이지만 시행령의 조항들을 어떻게 해석할지 모호하다"며 "이런 내용을 명확히 하고 구체적인 이용사례를 주지 않으면 기업들이 데이터 활용에 나설 수 있을지 의문"이라고 지적했다.
최근 서울대 공익산업법센터가 주최한 세미나에서도 "유럽 GDPR보다 우리 시행령이 더 엄격하다"며 "이 정보를 활용해도 될지 말지는 개별 사안에 따라 다르고 '그레이존(불분명한 중간지대)'이 많은 영역인 만큼 시장에서 제대로 작동하려면 해설서에 구체적인 내용이 담겨야 할 것"(법무법인 세종 장준영 변호사)이라는 지적이 나왔다.
(일러스트=연합뉴스)
◇ 언택트 시대에 데이터 활용은 반드시 오프라인에서만 하라니…데이터 결합기관을 정부가 정한 공공기관, 특히 '오프라인'으로 한정한 것도 현실을 외면한 조치라는 지적이 나온다. 개인 식별정보를 지운 '가명정보'로 부가가치를 창출할 데이터로 만들기 위해서는 데이터 결합이 필수적인데 시행령은 이런 작업을 정부가 정한 공공기관(KISA)에서만 할 수 있도록 했다. 데이터 결합과정에서 개인 식별 정보가 포함될 수 있기 때문에 기업이 개인정보를 활용하지 못 하도록 안전장치를 둔다는 취지다.
문제는 이런 데이터 결합을 '물리적 공간'에서 가능하도록 했다는 점이다. 시행령은 결합 신청자가 개인정보보호위원회가 고시하는 바에 따라 결합 전문기관에 설치된 안전성 확보에 필요한 '기술적·관리적·물리적 조치가 된 공간'에서 데이터를 분석할 수 있도록 하고 있다.
벤처업계 관계자는 "가명정보 결합전문기관이 지정될 예정이지만 현재는 특정 공공기관으로 제한돼 여러 데이터를 결합하는데 제약이 될 수 있다"며 "특히 원격 재택근무·비대면 운영을 하고 있는 상황에서 결합정보를 지정된 특정의 물리적 공간에 직접 가서 분석하도록 제약하는 조항은 데이터의 활발한 이용을 저해할 것"이라고 우려했다.
◇ 상위법엔 가명정보 파기 의무 없는데 하위 법엔 사용 후 지체 없이 파기 의무활용한 가명정보의 처리 규정도 도마 위에 올랐다. 상위법인 개인정보보호법에는 개인 식별 정보가 포함된 데이터는 사용이 끝났거나 보유기간이 끝나면 파기해야 하지만 비식별 데이터인 가명정보는 이런 파기 의무가 적용되지 않는다고 정하고 있다. 하지만 하위법인 시행령에는 가명정보도 처리목적이 달성되거나 보유기간이 지나면 지체 없이 파기해야 한다고 규정한다.
인터넷 업계 관계자는 "법에 없는 가명정보 파기 의무가 시행령에 있어 상위법과 하위법이 상충 된다"며 "법 취지에 맞게 시행령이 수정돼야 한다"고 꼬집었다.
가명정보의 처리조건 등도 문제로 꼽힌다. 기업들은 △개인정보 △익명정보 △가명정보의 정의가 무엇이고 각각을 활용할 수 있는 권한과 책임, 이를 어겼을 때 받을 패널티가 여전히 모호해 혼란스럽다고 호소한다.
익명을 원한 업계 관계자는 "기업이 데이터를 이용할 수 있는 최소한의 기반은 만들어졌지만 정부가 공개한 시행령을 보고 기업들이 데이터 활용에 섣불리 나서기는 어려운 구조"라며 "개인정보가 유출돼 형사 처벌받은 사례들이 있는 상황에서 가이드라인이나 구체적인 사례 없이 이렇게 모호한 시행령만 나와서는 앞장서서 데이터 활용에 나설 기업이 없을 것"이라고 전망했다.
지난 11일까지 업계 의견을 수렴한 정부는 이르면 이번 달 안으로 관련 가이드라인을 배포하고 오는 8월 5일 시행 전 시행령을 확정할 예정이다.