"데이터활용 가로막는 개인정보 동의 제도 개선해야"

"한국에서 개인정보를 수집하려면 모두 정보주체의 '동의'를 받아야 한다. 습관처럼 이용자에게 강제한다. 이 같이 앞단에선 통제해 사업자의 허들은 높였지만 정작 내 개인정보를 어떻게 활용하는지 모르는 등 뒷단의 통제권은 거의 없다."
한국의 개인정보 규제는 유럽과 비교해도 높은 편이다. 대규모 정보유출 사태가 반복되면서 일몰되지 않은 개인정보 규제는 켜켜이 쌓였고, 이 중 대다수는 이용자에게 득이 되지 않으면서 사업자의 데이터 활용도를 떨어뜨리는 높은 허들로 작용하고 있다. 국내 기업의 빅데이터 이용률은 7.5%에 불과하고 글로벌 빅데이터 시장 약 117조원에서 한국만 뒤쳐지는 원인으로 지목된다.

이진규 네이버 개인정보보호최고책임자(CPO) 겸 정보보호최고책임자(CISO)는 지난 5일 국회 입법조사처 주최로 열린 '데이터 활용과 프라이버시 세미나'에서 국내 개인정보보호법과 정보통신망법 등에서의 정보 수집 시 형식적인 동의 제도 개선 필요성을 제기했다. 현행법에서는 개인정보 정의가 불명확해 기업이 적극적인 정보 수집을 할 수 없고, 정부 수집에 나서더라도 동의 허들을 넘지 못해 서비스나 상품 출시에 거의 활용할 수 없으니 실효성 있는 방법을 찾자는 것이다.

이 CPO는 강화된 유럽 개인정보보호법(GDPR)에서 사용하는 '계약'을 예로 들었다. 그는 "GDPR은 개인정보 수집 이용 시 이용자와 계약을 하고 서비스로 연결되는 단계에서 이 내용을 읽고 동의하거나 고지(Just-In-Time)하게 돼 있다"면서 "앞단은 포괄적이고 실제는 JIT를 활용할 수 있는 복합적 방식인데 기업의 부담이 늘어나더라도 이 방식이 더 낫다고 생각한다"고 말했다. GDPR은 이용자와의 '계약'을 강조하는 대신 계약 조건을 명확하고 상세하게 설명하는 방식을 취한다는 것이다. 이 CPO는 "GPDR 리사이클 47을 보면 정당한 이익을 근거로 사용자의 개인정보를 사용할 수 있도록 했다"면서 "다이렉트 마케팅도 가능한 것인데, 우리의 경우 다이렉트 마케팅은 안 된다"고 부연했다

<표> 국내 개인정보 수집, 이용 동의 규정

법	내용
개인정보보호법 15조 1항	개인정보처리자는 다음 각 호 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있고 그 수집 목적 범위에서 이용할 수 있다.
1.	정보주체 동의를 받은 경우
2.	법률에 특별한 규정이 있거나 법렬상 의무 준수 위해 불가피한 경우
3.	공공기관이 법령 등에서 정하는 소관 업무 수행을 위해 불가피한 경
4.	정보주체와 계약을 체결 및 이행을 위해 불가피한 경우
5.	정보주체나 법정대리인이 의사표시할 수 없는 상태거나 주소불명 등 사전동의 받을 수 없는 경우
6.	개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로 명백하게 정보주체의 권리보다 우선하는 경우

(자료:개인정보보호법 )

유럽연합(EU)는 지난해 GDPR을 시행하면서 EU 이용자 개인정보를 강화하면서도 가명정보와 익명정보는 개인정보와 분리해 공익영역과 상업적 목적을 포함한 과학적 목적, 통계 목적은 이용자 동의 없이 활용할 수 있도록 열어줬다. 하지만 같은 내용을 담아 국회에 발의된 '데이터 3법'은 아직 계류 상태다.

시민단체는 아직 상업적 목적으로 기업이 안전하게 비식별화된 가명정보를 활용하는 것을 반대하고 있다.

gogosing@fnnews.com 박소현 기자