MEDI:GATE NEWS 데이터 3법 시행령 개정안 개인정보 보호 시민단체-산업계 엇갈린 해석

기사입력시간 20.04.30 16:16최종 업데이트 20.05.01 09:57

행정안전부와 방송통신위원회, 금융위원회는 29일 오후 2시부터 ‘데이터 3법’ 시행령 개정안 토론회를 열고 전문가와 국민으로부터 의견 수렴을 진행했다(사진=네이버TV캐스트 캡처) [메디게이트뉴스 윤영채 기자] 최근 공개된 ‘데이터 3법’ 시행령 개정안에 여전히 미흡한 점이 많다며 개선이 필요하다는 지적이 나왔다. 행정안전부와 방송통신위원회, 금융위원회는 29일 오후 2시부터 ‘데이터 3법’ 시행령 개정안 토론회를 열고 전문가와 국민으로부터 의견 수렴을 진행했다. ‘데이터 3법’으로 불리는 ‘개인정보 보호법’, ‘신용정보의 이용 및 보호에 관한 법률’, ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 개정안은 올해 1월 9일 국회 본회의를 통과했다. ‘데이터 3법’은 △가명정보 도입을 통한 데이터 이용 활성화 △개인정보 보호체계 일원화 △ 마이데이터 등 금융분야 데이터 신산업 도입 △전문기관을 통한 데이터 결합 지원 등이 골자다. 토론회에 참여한 시민사회단체는 개인정보 보호 중요성을 재차 강조하며 가명정보 결합 의뢰 시 과학적 연구, 통계 목적 등의 검증, 연구자 개인정보 보호훈련 시스템화, 개인정보 보호위원회 독립성 강화 등이 필요하다고 주장했다. 반면, 산업계는 시행령이 엄격하게 규정돼 있어 개인정보 추가 제공 등이 위축될 수 있다고 우려했다. 한편, 정부는 법 시행에 필요한 위임 사항 등을 규정하기 위해 각 법률 시행령 개정안을 마련하고 지난 3월 31일 동시에 40일간 입법예고를 실시했다. 하인호 행정안전부 개인정보보호정책과 과장은 “앞으로 의견 수렴 통로를 통해 개정안에 반영하도록 하겠다. 다만, 입법 의도 등이 본의 아니게 충분히 전달이 되지 않은 측면이 있는 것 같다”며 “(개인정보의 추가적인 이용·제공 관련) 최소 요건 수준이 적정한지 의견을 검토해 반영하겠다”고 말했다. 하 과장은 “데이터 결합에 있어 분석 공간을 두도록 한 것은 결합 정보 자체를 익명, 가명 처리하기 전 분석할 수 있다는 필요성이 존재한다. 이 때문에 반출 전에 가치가 높은 정보를 분석할 수 있는 여건을 제공해야겠다는 측면”이라며 “반출을 막으려는 사전 절차로서 분석공간을 제공하는 것은 아니다”라고 밝혔다. 시민사회단체, 개인정보 보호위원회 독립성 강화 등 필요 시민사회단체를 대표해 토론회에 참석한 패널들은 데이터 3법 시행령 개정안에 여전히 부족한 점이 많다며 개인정보를 보호할 수 있는 조치를 마련해야 한다고 강조했다. 시행령 개정안에 따르면 가명정보를 결합하고자 하는 개인정보처리자는 보호위원장 또는 관계 중앙행정기관의 장이 지정하는 전문기관에 결합신청서를 제출할 수 있다. 오병일 진보네트워크센터 대표는 “여전히 시행령에도 문제 제기를 하고 싶은 내용이 상당히 많다. 현재 시행령에는 업체에서 (가명정보 등) 결합을 의뢰할 때 과학적 연구, 통계 목적인지 검증하는 절차가 없다”며 “해외에는 심사과정이 있다. 이로 인해 무조건 결합을 요청하면 해주게 되는 문제가 있다”고 말했다. 오 대표는 “결합을 요청하는 기업과 결합해주는 기관, 실제 결합된 데이터를 제공하는 기관 3자가 분리돼 개인 식별자와 속성 정보를 같이 접근할 수 없도록 해야 한다”며 “또한, 연구자가 개인정보 보호훈련을 받을 수 있는 시스템도 갖춰야 한다”고 언급했다. 데이터 3법 시행령 개정안에서는 ’민감정보’에 생체인식정보와 인종·민족정보를 포함해 더욱 보호될 수 있도록 했다. 이에 대해 오 대표는 “민감정보에 생체인식정보와 인종·민족정보를 포함한 것은 바람직하다. 궁극적으로 법에 규정돼야 한다”며 “민감정보 활용 원칙이 국내에서 훼손될 수 있다. 별도 법률에 의해 규정할 수 있도록 원칙이 정해져야 한다”고 밝혔다. 개인정보 보호위원회의 독립성 강화가 필요하다는 의견도 나왔다. 김보라미 경제정의실천시민연합 변호사 “데이터 3법이 정립되는 과정에서 법의 정합성이 잘 지켜지지 않았다. 법에서 정리되지 않았던 것이 그대로 반영된 상태로 시행령이 나온 것 같다”며 “데이터 3법을 추진하게 된 배경 중 하나가 개인정보 보호위원회의 독립성을 강화하는 것이었다. 하지만 (시행령에서) 독립성이 보장될 수 있을지 의문”이라고 지적했다. 김보라미 변호사는 “프로파일링이나 민감정보에 대한 보호조치를 참조한 선진법에 비해 보호 수준이 약한 편”이라며 “유럽연합(EU) 일반개인정보보호법(GDPR)보다 깊이 있게 시행령에 들어갔어야 한다. 너무 추상적이다”라고 말했다. 산업계, “시행령 기준 경직·엄격...유연한 대응 필요” 산업계 패널들은 데이터 3법 시행령 개정안이 다소 엄격하게 규정돼 있어 향후 현장의 의견을 수렴한 변화가 필요하다고 지적했다. 시행령 개정안의 제14조의2에 따르면 개인정보처리자는 당초 개인정보를 수집했던 목적과의 상당한 관련성, 수집한 정황과 처리 관행에 비춘 예측 가능성, 추가 처리가 정보주체나 제3자의 이익을 부당하게 침해하지 않을 것 등의 요건을 갖춘 경우 수집한 개인정보를 정보주체의 동의없이 추가로 이용·제공할 수 있게 된다. 한국인터넷기업협회 김재환 실장은 “시행령 14조에서 각 호의 사항을 모두 충족한 경우 개인정보 추가 제공이 가능하도록 돼 있다”며 “경직되고 엄격한 기준이 설정돼 추가로 개인정보를 이용하거나 제공하기 어려울 것이다. GDPR을 참고해 ‘다음 각 호의 사항을 고려해야 한다’ 등과 같이 구체적 상황에 맞게 유연하게 대응해야 한다”고 말했다. 김 실장은 “가명정보 결합 관련해서는 개인정보보호법 시행령과 신용정보법 시행령이 서로 다르게 규정하고 있어 실무상 큰 혼란이 예상된다”며 “데이터를 반출하기 전에 분석하는 공간을 따로 지정해놓은 부분도 문제다. 물리적 조치라고 표현된 내용을 근거로 한정할 때 결합 신청 기관이 해당 장소를 이용하기 위해 이동·대기 등의 불편이 발생할 수 있다”고 우려했다. KCB 이욱재 상무는 “(데이터 3법 관련) 사업을 시행하려할 때 가장 어려운 점은 법적 해석이 불확실한 부분”이라며 “가명정보 처리 관련된 법적 처벌이 아주 강화돼 산업계가 위축될 수 있다. 법적 안정성이 보장되지 않으면 함부로 데이터 활용이 어려운 심리적 불안감에 노출될 수 있다”고 언급했다. 이 상무는 “기존 데이터 비식별 가이드라인에서 절차 처리에만 한 달 넘는 시간이 걸렸다”며 “데이터를 반출할 때 심의과정이 아직 정해지지 않았지만 향후에도 이 부분이 지속된다면 데이터 활용에서 가장 걸림돌이 될 듯하다”고 말했다. 이어 “중소, 스타트업은 가명정보를 개인정보에 준해 관리하다보니 안전조치 투자나 인력확충이 필요하다”며 “가명정보에 맞는 적절한 보호대책이 합리적으로 설정돼야 한다”고 강조했다.

제보 공유

데이터 3법 시행령 개정안 '개인정보 보호' 시민단체-산업계 엇갈린 해석

시민단체 “민감정보 보호 법으로 규정·개인정보 보호위원회 독립성 강화 필요”

산업계 “시행령에 개정안 엄격히 규정...법 해석 불확실, 데이터 활용 위축 우려”

[메디게이트뉴스 윤영채 기자] 최근 공개된 ‘데이터 3법’ 시행령 개정안에 여전히 미흡한 점이 많다며 개선이 필요하다는 지적이 나왔다.

행정안전부와 방송통신위원회, 금융위원회는 29일 오후 2시부터 ‘데이터 3법’ 시행령 개정안 토론회를 열고 전문가와 국민으로부터 의견 수렴을 진행했다.

‘데이터 3법’으로 불리는 ‘개인정보 보호법’, ‘신용정보의 이용 및 보호에 관한 법률’, ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 개정안은 올해 1월 9일 국회 본회의를 통과했다.

‘데이터 3법’은 △가명정보 도입을 통한 데이터 이용 활성화 △개인정보 보호체계 일원화 △ 마이데이터 등 금융분야 데이터 신산업 도입 △전문기관을 통한 데이터 결합 지원 등이 골자다.

토론회에 참여한 시민사회단체는 개인정보 보호 중요성을 재차 강조하며 가명정보 결합 의뢰 시 과학적 연구, 통계 목적 등의 검증, 연구자 개인정보 보호훈련 시스템화, 개인정보 보호위원회 독립성 강화 등이 필요하다고 주장했다. 반면, 산업계는 시행령이 엄격하게 규정돼 있어 개인정보 추가 제공 등이 위축될 수 있다고 우려했다.

한편, 정부는 법 시행에 필요한 위임 사항 등을 규정하기 위해 각 법률 시행령 개정안을 마련하고 지난 3월 31일 동시에 40일간 입법예고를 실시했다.

하인호 행정안전부 개인정보보호정책과 과장은 “앞으로 의견 수렴 통로를 통해 개정안에 반영하도록 하겠다. 다만, 입법 의도 등이 본의 아니게 충분히 전달이 되지 않은 측면이 있는 것 같다”며 “(개인정보의 추가적인 이용·제공 관련) 최소 요건 수준이 적정한지 의견을 검토해 반영하겠다”고 말했다.

하 과장은 “데이터 결합에 있어 분석 공간을 두도록 한 것은 결합 정보 자체를 익명, 가명 처리하기 전 분석할 수 있다는 필요성이 존재한다. 이 때문에 반출 전에 가치가 높은 정보를 분석할 수 있는 여건을 제공해야겠다는 측면”이라며 “반출을 막으려는 사전 절차로서 분석공간을 제공하는 것은 아니다”라고 밝혔다.

시민사회단체, 개인정보 보호위원회 독립성 강화 등 필요

시민사회단체를 대표해 토론회에 참석한 패널들은 데이터 3법 시행령 개정안에 여전히 부족한 점이 많다며 개인정보를 보호할 수 있는 조치를 마련해야 한다고 강조했다.

시행령 개정안에 따르면 가명정보를 결합하고자 하는 개인정보처리자는 보호위원장 또는 관계 중앙행정기관의 장이 지정하는 전문기관에 결합신청서를 제출할 수 있다.

오병일 진보네트워크센터 대표는 “여전히 시행령에도 문제 제기를 하고 싶은 내용이 상당히 많다. 현재 시행령에는 업체에서 (가명정보 등) 결합을 의뢰할 때 과학적 연구, 통계 목적인지 검증하는 절차가 없다”며 “해외에는 심사과정이 있다. 이로 인해 무조건 결합을 요청하면 해주게 되는 문제가 있다”고 말했다.

오 대표는 “결합을 요청하는 기업과 결합해주는 기관, 실제 결합된 데이터를 제공하는 기관 3자가 분리돼 개인 식별자와 속성 정보를 같이 접근할 수 없도록 해야 한다”며 “또한, 연구자가 개인정보 보호훈련을 받을 수 있는 시스템도 갖춰야 한다”고 언급했다.

데이터 3법 시행령 개정안에서는 ’민감정보’에 생체인식정보와 인종·민족정보를 포함해 더욱 보호될 수 있도록 했다.

이에 대해 오 대표는 “민감정보에 생체인식정보와 인종·민족정보를 포함한 것은 바람직하다. 궁극적으로 법에 규정돼야 한다”며 “민감정보 활용 원칙이 국내에서 훼손될 수 있다. 별도 법률에 의해 규정할 수 있도록 원칙이 정해져야 한다”고 밝혔다.

개인정보 보호위원회의 독립성 강화가 필요하다는 의견도 나왔다.

김보라미 경제정의실천시민연합 변호사 “데이터 3법이 정립되는 과정에서 법의 정합성이 잘 지켜지지 않았다. 법에서 정리되지 않았던 것이 그대로 반영된 상태로 시행령이 나온 것 같다”며 “데이터 3법을 추진하게 된 배경 중 하나가 개인정보 보호위원회의 독립성을 강화하는 것이었다. 하지만 (시행령에서) 독립성이 보장될 수 있을지 의문”이라고 지적했다.

김보라미 변호사는 “프로파일링이나 민감정보에 대한 보호조치를 참조한 선진법에 비해 보호 수준이 약한 편”이라며 “유럽연합(EU) 일반개인정보보호법(GDPR)보다 깊이 있게 시행령에 들어갔어야 한다. 너무 추상적이다”라고 말했다.

산업계, “시행령 기준 경직·엄격...유연한 대응 필요”

산업계 패널들은 데이터 3법 시행령 개정안이 다소 엄격하게 규정돼 있어 향후 현장의 의견을 수렴한 변화가 필요하다고 지적했다.

시행령 개정안의 제14조의2에 따르면 개인정보처리자는 당초 개인정보를 수집했던 목적과의 상당한 관련성, 수집한 정황과 처리 관행에 비춘 예측 가능성, 추가 처리가 정보주체나 제3자의 이익을 부당하게 침해하지 않을 것 등의 요건을 갖춘 경우 수집한 개인정보를 정보주체의 동의없이 추가로 이용·제공할 수 있게 된다.

한국인터넷기업협회 김재환 실장은 “시행령 14조에서 각 호의 사항을 모두 충족한 경우 개인정보 추가 제공이 가능하도록 돼 있다”며 “경직되고 엄격한 기준이 설정돼 추가로 개인정보를 이용하거나 제공하기 어려울 것이다. GDPR을 참고해 ‘다음 각 호의 사항을 고려해야 한다’ 등과 같이 구체적 상황에 맞게 유연하게 대응해야 한다”고 말했다.

김 실장은 “가명정보 결합 관련해서는 개인정보보호법 시행령과 신용정보법 시행령이 서로 다르게 규정하고 있어 실무상 큰 혼란이 예상된다”며 “데이터를 반출하기 전에 분석하는 공간을 따로 지정해놓은 부분도 문제다. 물리적 조치라고 표현된 내용을 근거로 한정할 때 결합 신청 기관이 해당 장소를 이용하기 위해 이동·대기 등의 불편이 발생할 수 있다”고 우려했다.

KCB 이욱재 상무는 “(데이터 3법 관련) 사업을 시행하려할 때 가장 어려운 점은 법적 해석이 불확실한 부분”이라며 “가명정보 처리 관련된 법적 처벌이 아주 강화돼 산업계가 위축될 수 있다. 법적 안정성이 보장되지 않으면 함부로 데이터 활용이 어려운 심리적 불안감에 노출될 수 있다”고 언급했다.

이 상무는 “기존 데이터 비식별 가이드라인에서 절차 처리에만 한 달 넘는 시간이 걸렸다”며 “데이터를 반출할 때 심의과정이 아직 정해지지 않았지만 향후에도 이 부분이 지속된다면 데이터 활용에서 가장 걸림돌이 될 듯하다”고 말했다.

이어 “중소, 스타트업은 가명정보를 개인정보에 준해 관리하다보니 안전조치 투자나 인력확충이 필요하다”며 “가명정보에 맞는 적절한 보호대책이 합리적으로 설정돼야 한다”고 강조했다.

오탈자 신고 스크랩 인쇄 제보 공유

윤영채 기자 (ycyoon@medigatenews.com)

이 기자의 다른 기사 보기

댓글보기(0)