[데이터산업 활성화 시대]'중복 규제·관리 분산' 개인정보보호 법령 일원화 필수

<상>국회에 발목 잡힌 산업생태계
3개 법에 분산 '데이터경제 3법' 일원화 위해 개정안 발의 불구 각 상임위 계류 국회 통과 불확실
감독 체계도 부처별로 나눠져 ..개인정보 보호에 난맥상 표출

4차산업혁명의 핵심 자본인 '데이터'는 21세기의 '원유'로 비유된다. 뽑아 올린 원유를 정제해서 휘발유, 경유, 항공유 등 다양한 석유제품을 생산하는 것처럼 정제되지 않은 데이터를 가공해 가치 있는 데이터를 뽑아내고 분석·활용하는게 데이터산업의 바로미터다. 이를 통합 관리해 새로운 가치를 창출하는 빅데이터 산업도 활짝 꽃을 피우고 있다.

하지만 이처럼 급변하는 데이터산업을 국내 법체계가 제대로 담아내지 못해 새로운 산업생태계를 저해하고 있다는 지적이 제기된다. 법체계가 소관 부처별로 상이하게 분산돼 있어 불필요한 중복 규제를 초래하고 있기 때문이다. 특히 개인정보보호의 컨트롤타워 역할을 위해 설립한 개인정보보호위원회도 심의 기능만 할 뿐 별다른 역할과 책임이 없어 유명무실화하고 있다.

관련법률은 강력하지만 개인정보에 대한 감독 체계가 부처별로 나눠져 있어 개인정보를 보호하는데 난맥상을 표출하고 있다.

국회는 지난해 11월 데이터산업 활성화를 위한 '데이터경제3법' 개정안을 발의했다. 개인정보보호법, 정보통신망법, 신용정보법 등 3개 법에 분산돼있던 개인정보보호에 관한 법령을 일원화하기 위해서다.

그러나 현재 3개 법의 개정안은 각 상임위원회 법안소위에 머물러 있어 국회 통과 여부가 불확실하다. 국내와 달리 다른 나라들은 자국의 정보보호를 위한 제도적 기반을 다져나가고 있는 흐름과 상반된 모습이다. 자칫하면 후발주자로 뒤쳐질 위기를 맞고 있다.

지난 2월 27일 산업통상자원부는 한국전력의 '전력데이터 공유센터 구축'사업에 대해 규제샌드박스 적용을 승인했다.

한국전력의 이번 사업은 민간에서 한전이 보유한 전력데이터를 요청하면 데이터의 개인정보를 '비식별' 처리한 뒤 제공하는 사업이다. 예컨대 전력데이터와 통신데이터를 결합하면 특정 지역의 전력사용량과 유동인구의 상관관계를 분석 할 수 있다. 이를 바탕으로 음식점 입점의 최적의 장소를 선정하는 등 다양한 활용이 가능해진다.

규제샌드박스는 신규 제품·서비스를 출시 할 때 일정기간 기존 규제를 면제·유예하는 제도다. 한국전력은 왜 규제샌드박스를 신청할 수밖에 없었을까.

■국회에 발목 '비식별화된 개인정보'

데이터 사업을 원하는 곳은 한국전력 뿐만이 아니다. 많은 기관과 기업들이 유통·의료·금융·교육 등 여러 업종 간 데이터를 결합해 새로운 서비스를 만들고 싶어 한다. 하지만 생각만 하고 있을뿐 전혀 움직일 수 없는 상황이다. 현행 개인정보보호법에 특정개인을 식별할 수 있는 정보를 삭제한 '비식별' 개인정보 제공에 대한 명확한 규정이 없기 때문이다.

글로벌 기업들은 이미 유통·의료·금융·교육 등 다양한 분야의 비식별 개인정보를 결합해 새로운 서비스를 내놓으며 데이터산업을 선점하고 있다. 국내기업들은 글로벌 기업들의 질주를 손 놓고 지켜만보고 있는 형국이다.

일본의 대표적인 전자상거래 기업 라쿠텐은 회원정보와 건강 빅데이터를 결합한 의료서비스를 준비 중이다. IBM은 의학 빅데이터를 이용해 암 진단의 정확성을 높이고 있다.

미국은 빅데이터 이용·분석 과정에서 사전 동의를 받지 않아도 개인정보를 수집·분석·활용할 수 있고 유럽연합(EU)·일본 등은 비식별 개인정보에 대해 안전성이 담보될 경우 활용이 가능하도록 길을 열어주고 있다.

대통령직속 4차산업혁명위원회는 이 같은 문제점을 해결하기 위해 학계·산업계·시민단체들 등과 수차례 규제혁신 해커톤을 개최하고 개인정보보호법 개정 방향을 논의했다. 이를 바탕으로 지난해 11월 인재근 의원의 대표 발의로 개인정보보호법 개정안이 상정됐다.

개정안의 핵심은 '가명정보'다. 다른 데이터와 결합하지 않는 한 개인이 식별되지 않는 정보를 말한다. 다른 데이터와 결합하면 개인정보가 식별되기 때문에 기업 내부 데이터는 자체 결합을 허용하되 기업 간의 데이터 결합은 대통령령으로 정하는 전문기관이 진행토록 했다. 통계작성, 과학적 연구, 공익적 기록 보존 목적으로 가명정보를 활용·결합할 경우 정보주체(국민)의 동의를 받지 않아도 된다.

하지만 개정안은 잇따른 국회파행과 여야 줄다리기로 현재 행정안전위원회 법안소위에 계류된 상태로 기업들이 옴짝달싹 못하는 상황이다.

이성엽 고려대 기술경영전문대학원 교수는 "글로벌 IT기업들이 규제 없이 개인정보를 활용해서 성장하고 있다"면서 "한국 기업들은 개인정보보호법 때문에 빅데이터 산업 성장에 제한 요소가 있어 시급한 법통과가 필요하다"고 강조했다.

■구체적 하위법령 마련돼야

산업계에서는 개정안이 통과된 이후에도 풀어야할 숙제가 많다는 의견이 지배적이다. 개정안 통과 이후 마련될 하위법령의 구체적인 내용에 따라 개정 취지가 유명무실화 될 수도 있다는 지적이다.

정부가 마련한 가이드라인에 따라 비식별화된 정보의 결합을 시도했다가 고발을 당한 전례가 있기 때문이다. 박근혜 정부는 비식별화 정보 활용을 요구하는 산업계 요청을 받아들여 2016년 6월 '개인정보 비식별 조치 가이드라인'을 발표했다. 2017년 11월 진보네트워크센터, 참여연대 등 시민단체들이 가이드라인에 따라 빅데이터를 서비스한 기업 20개와 정부가 지정한 비식별전문기관 4개를 검찰에 고발했다. 법적 근거가 없다는 이유였다.

산업계는 이번 개정안 통과 이후 가명정보와 정보결합에 대한 구체적인 하위법령이 마련되지 않을 경우 또다시 고발당할 수 있다는 우려를 하고 있다. 익명을 요구한 금융권 관계자는 "정부가이드를 믿고 진행했다가 고발당한 사건이 트라우마로 남아있다"며 "정확한 규정이 제시돼야 기업이 안심하고 데이터를 활용할 수 있다"고 털어놨다.

최인선 한국정보화진흥원 수석연구원도 "가명정보를 합당한 목적 내에서 처리할 수 있는 근거는 있지만 결국 가명처리 기준과 수준, 합당한 목적의 범위를 어디로 볼 것인지가 핵심"이라며 "법통과 이후 합리적인 내용을 마련해 데이터를 사용코자 하는 사람들의 숨통을 틔여줄 필요가 있다"고 설명했다.