"진화하는 데이터산업, 입법 미비 당연…개인정보보호委 역할 중요"

법무법인 대륙아주 김성율 변호사. 사진=대륙아주.

[법무법인 대륙아주 김성율 변호사] 데이터 3법이 드디어 시행됐다. 현행 데이터 3법의 핵심 중 하나는 가명정보를 통한 데이터 활용이다. 아직은 데이터 3법의 순기능·역기능이 명확히 드러나 보이지는 않고 법 시행 전 찬반 논란이 이어지고 있는 상황이다. 산업계는 데이터 3법을 환영하면서도 여전히 기준이 모호해 충분한 활용에 어려움이 있다고 호소한다. 반대에서는 데이터 3법은 정보인권의 침해이며 정보유출로부터 개인을 보호해주지 못한다고 비난한다.

정보보호 VS 데이터 활용, 최적점 찾기 위한 노력 필요

개인정보 보호는 헌법상 기본권에서 유래하는 가치다. 정보보호에 무게가 실려 있었던 구법 하에서도 매년 여러 건의 굵직한 개인정보 유출사고가 있었다. 개인정보를 산업적 활용의 기초자료로 쉽사리 던져줄 수 없는 이유다. 반면 데이터 활용을 무조건 억제하면서 글로벌 산업흐름에서 도태돼서도 안 된다. 데이터 활용은 행정안전, 보건의료 등 공적 영역에서도 중요한 역할을 할 것이라 공익적 목적과 기본권 보호 간 조화가 중요하다. 어느 한 편 입장에서만 데이터 3법을 바라본다면 첨예한 견해 대립은 피할 수 없다.

보건의료 분야의 한 토론회에서 데이터의 가치와 정보보호는 트레이드오프(trade-off)의 관계라는 지적이 있었다. 정보 보호와 데이터 활용 중 어느 하나라도 놓칠 수 없기 때문에 결국 남은 과제는 최적의 지점을 찾기 위한 노력이다. 데이터 3법 그 자체도 그러한 노력의 결과물이겠지만, 여기에서 멈춰서는 안 된다. 법령 자체로 예상되는 문제점, 그리고 법 적용 과정에서 예상치 못한 문제점이 드러날 수밖에 없다.

특히 경계해야 할 것은, 현행 데이터 3법이 개인정보의 유출에 충분히 대비하고 있는지 여부에 관한 문제이다. 개인정보는 일단 유출되면 회복이 불가능하기 때문이다. 개인정보 유출은 개인의 인격과 헌법상 기본권에 대한 침해가 된다. 나의 개인정보가 유출돼 내가 알 수 없는 어딘가에서 떠돌고 있다면, 유출된 정보에 기초해 이후로도 계속 형성될 나에 대한 새로운 정보가 계속 유출될 수 있다. 정보 유출로 인한 손해를 가늠할 수 없을 뿐만 아니라, 정보 유출에 대해 배상을 받는다고 해서 정보 주체가 입은 손해를 다 전보할 수도 없다.

데이터 3법은 익명정보와 가명정보를 구분하고, 가명정보의 활용 가능성을 제고했다. 그런데 가명정보는 활용 가치만큼 정보 유출로 인한 위험성도 높을 수밖에 없다. 가명정보는 다른 정보와 결합할 경우 특정 개인을 식별할 수 있는 정보이기 때문이다. 따라서 개념적으로 가명정보의 유출은 대체로 가명정보 간 결합과 관련돼 발생할 수 있다. 개인정보보호위원회의 ‘가명정보의 결합 및 반출 등에 관한 고시’에서는 민간기업도 결합전문기관이 될 수 있도록 허용하고 있다. 특히, 해석에 따라서는 결합전문기관이 보유한 정보를 해당 기관이 결합하는 이른바 ‘셀프 결합’이 여전히 금지되지 않는다고 볼 여지가 있다. 법률 및 시행령 뿐 아니라 고시에서도 직접적인 금지 규정을 두지 않고, 다만 개인정보보호위원회가 셀프 결합은 금지하는 것을 취지로 법률을 해석하겠다고 발표했을 뿐이다.

가명정보 결합전문기관 엄격한 감독 필요…모호한 문언 개선 시급

기존 개인정보 유출 사례를 보면 관리자 부주의, 시스템 오류, 내부직원 유출 등 내부적 요인에 의한 사고가 20% 정도로 적지 않다. 해킹 등 유출 사고의 주된 원인을 전면 차단하더라도, 내부적 이유만으로도 5건 중 1건의 유출 사고는 여전히 발생할 수 있다는 것이다. 가명정보의 결합, 특히 결합전문기관에 대한 엄격한 감독이 필요하다. 관련 고시가 제정된 지 한 달 가량에 불과하므로, 우선은 개인정보보호위원회가 집행 과정에서 엄격하고 철저한 태도를 취할 것을 기대해 본다.

일반적인 개인정보에 관해서도 몇 가지 문제점이 거론되고 있지만, 공통적으로 지적되는 것은 일부 모호한 문언에 관한 것이다. 특히, 개인정보보호법 시행령 제14조의2 제1항 각 호의 ‘관련성’, ‘정황 또는 처리 관행’ 등이 대표적이다. 위 시행령 조항은 정보주체의 동의 없이 개인정보를 추가적으로 이용·제공할 수 있는 기준에 관한 것인데, 위와 같은 모호한 조항으로 인해 사업자로부터는 리스크를 감수하고 해당 조항을 이용할 수 없다는 비판을, 반대 측에서는 정보 주체의 동의 없는 정보 이용의 가능성을 만연하게 열어 줬다는 비판을 동시에 받고 있다. 법원의 판단 없이는 그 누구도 함부로 법령을 준수했다고 확신할 수 없다면, 누가 그 법조항을 적용할 수 있을지 의문이다.

옹호하자면, 데이터 산업으로의 진화 또는 전환 과정에서 도입된 입법은 부족함이 있을 수 밖에 없다. 접해 보지 못한 시대에 대한 예측을 일일이 법령에 반영하는 것은 사람의 능력 밖일 수 있다. 중요한 것은, 어디에 중심을 두고 어떻게 법을 적용해 나갈 것인지의 문제이다. 개인정보는 한 번 유출되면 돌이킬 수 없다. 데이터 활용의 미래를 놓치지 않으면서, 헌법상 기본권이라는 보루를 무너뜨려서도 안 되는 어려운 과제가 남아 있는 것이다.

규범과 기술 사이의 융합적 관점에서 민첩한 기술적 이해와 신중한 규범적 고려가 필요하다. 트레이드오프 관계의 그래프에서, 항상 움직이지만 가장 합리적인 어느 한 점을 찾아낼 수 있어야 한다.