[기고] 데이터 경제의 숨통을 터주자

[최경진 가천대학교 법과대학 교수]20대 국회에서는 데이터 경제와 관련한 다양한 이슈가 논의되었지만, 그중에서도 가장 뜨겁게 논의된 이슈는 단연 개인정보보호 관련 규제를 개선하자는 ‘데이터 3법’이었다. 물론 개인정보보호를 강화하려는 법안도 다수 계류 중이다.

최경진 가천대 법대 교수

모든 법안의 내용을 놓고 보면, 모두 다 그 필요성에 공감하지 않을 수 없다. 데이터가 대량으로 집적·처리되고, 광범위하게 유통될수록 데이터에 담긴 개인정보의 보호는 더더욱 중요해질 수밖에 없다. 누구도 개인정보 보호의 필요성을 부인할 수는 없다. 그런데 개인정보보호의 필요성이 곧 개인정보의 처리에 대한 금지나 과도한 제한으로 이어지는 것도 바람직하지 않다.

개인정보처리의 위험성에 대한 막연한 두려움으로 인해 개인정보 보호규제를 지나치게 강화하는 것도 바람직하지 않다. 그럼 개인정보는 어떻게 규율해야 할까?

출발점은 개인정보에 대한 인식의 전환이다. 개인정보는 사람에 관한 정보여서 개인과의 관련성은 불가피하지만, 현대의 일상생활 속에서 처리되지 않고는 경제나 사회활동, 국가의 작용이 이루어질 수 없다. 무조건 개인정보의 처리를 막거나 제한한다면, 데이터 경제 시대에는 데이터에 기반을 둔 활동이나 편익도 줄어들 수밖에 없다. 우리가 걱정해야 하는 것은 합리적 범위를 넘어선 과도한 개인정보의 처리, 집적, 유통, 남용 등이고, 그에 합당한 범위의 규제를 가하면 된다.

그럼 지금의 법제는 어떨까? 현행 ‘개인정보 보호법’만을 보면, 수집·이용, 제3자 제공, 목적 외 이용·제공으로 구분하여 각각의 경우에 적법한 처리 근거를 두고 있다. 그러나 실제에 있어서는 특별한 경우의 예외적 처리 사유들을 제외하면, 결국 공통적으로 남는 것은 정보주체의 동의만이 사실상 유일한 적법 처리 사유이다.

게다가 현행법에 대한 경직된 기술적·문리적 해석을 강조하는 입장에 의하면, 사실상 개인정보에 대한 규제 범위는 매우 넓게 되고, 적법하게 처리할 수 있는 개별적·구체적인 규정을 두지 않는 한 개인정보의 처리는 쉽지 않다. 게다가 폭넓은 형사처벌 규정 때문에 개인정보의 처리에 대한 구체적 타당성을 꾀하는 것은 더더욱 어렵다.

그럼 해외는 어떨까? 글로벌 데이터 경제를 이끌고 있는 미국의 경우에는 CCPA 발효를 앞두고 있지만, 개인정보에 대한 규제가 우리처럼 까다롭거나 적법 처리 근거를 매우 엄격하게 법에 정해놓고 있지는 않다는 점은 이미 널리 알려져 있다.

미국과 대비하여 더 엄격한 개인정보보호 법제 수준을 갖추고 있는 EU의 경우에는 GDPR을 제정함으로써 EU 회원국 모두에 공통된 강화된 개인정보보호 수준을 꾀하고 있다. GDPR과 우리 법제를 하나하나 비교하여 어느 법제가 더 까다롭고 개인정보보호수준이 높은가를 판단하는 것은 쉽지 않지만, 주요 규정만을 비교해보더라도 EU GDPR은 적어도 개별적·구체적 사건에 있어서 합리적 타당성을 꾀할 수 있는 장치로서 합리적 범위에서의 개인정보의 처리 근거를 법으로 보장하고 있는 점도 우리는 주목해야 한다.

단적인 예로 우리 ‘개인정보 보호법’은 민감정보의 경우에 정보주체의 별도의 동의를 받거나 법령에서 민감정보의 처리를 요구하거나 허용하는 경우에만 예외적으로 처리 가능하다. 반면 GDPR은 제9조(2)에서 10가지 예외적 처리 근거를 마련하고 있다. 그 중에는 정보주체가 명시적으로 공개한 개인정보의 처리라든가, 목적 제한적 처리·권리보장을 위한 안전조치 등의 제한을 받긴 하지만 공익적 기록 보존, 과학적·역사적 연구 또는 통계 목적의 처리에 필요한 처리의 경우에는 민감정보라고 하더라도 처리할 수 있는 근거를 규정한다.

뿐만아니라, 우리가 그토록 엄격하게 해석하는 개인정보의 개념에 대하여도 외국의 경우에는 기술적 식별 가능성에만 집착하지 않고 규범적 판단을 통하여 맥락(context)을 바탕으로 합리적 판단을 통한 보호의 노력이 이루어지는 것을 어렵지 않게 찾아볼 수 있다. 개인정보 처리의 합법성 판단에 있어서도 ‘양립가능성’ 판단을 통하여 개인정보의 보호 범위를 합리적으로 설정한다.

GDPR이나 미국의 예를 들지 않더라도, 우리 법제는 개인정보를 합법적으로 처리할 수 있는 여지를 너무 좁게 규정한다. 개인정보를 남용하거나 불법적으로 처리하거나 개인의 자유·인권을 침해하는 형태로 처리하는 경우에 그에 맞는 법적 책임을 져야한다는 점은 누구도 부인할 수 없다.

그러나 개인정보를 처리할 필요성은 셀 수 없이 많고, 그것들에 대한 사회적 평가를 통하여 필요한 범위의 개인정보 처리를 합법적 영역으로 가지고 올 수 있는 법적 근거는 마련되어야 한다. 개인정보의 개념 정의를 명확히 하는 것으로부터 시작하여, 개인정보의 안전한 활용을 위한 적법한 처리 근거를 만들 필요가 있다.

이제는 우리의 현행 법제가 개인정보의 합법적 처리를 위한 ‘숨통’을 열어두고 있는지 깊이 있게 되새겨 보아야 할 때이다. 데이터 경제는 생각보다 훨씬 빨리 변화하고 발전하고 있다. 데이터 경제 시대의 글로벌 경쟁에서 우리가 살아남을 수 있으려면 한시라도 빨리 안전한 활용을 통한 개인정보의 보호에 적합한 방향으로 법제도적 정비가 이루어져야 할 것이다. ‘데이터 3법’ 제정을 통하여 개인정보보호를 위한 완결점이 아니라 안전한 활용을 위한 출발점이 되어야 할 것이다.