인공지능과 데이터 관련 기업들이 꼭 알아야할
데이터 3법 핵심 정리

인공지능과 데이터 관련 기업들이 꼭 알아야 할 데이터 3법


산업계에서는 1년 넘게 국회를 계류하다 지난 1월 가까스로 통과된 속칭 ‘데이터 3법’이 여전히 화두다. 

IT 업계를 포함한 산업계 전반적인 분위기는 데이터 3법의 통과를 열렬히 환영하는 분위기지만, 시민단체와 일부 언론의 반응은 이와 대비되는 모습을 보이고 있다. 개인정보보호를 위한 충분한 보호장치가 없는 상황에서 유럽 개인정보보호법의 도입인 것처럼 포장되어 통과된 것이 아니냐는 우려의 반응을 보이기도 한다.

특히 산업계가 상업적인 목적으로 개인정보를 마음껏 활용할 수 있도록 개인정보를 침해할 수 있게 만들어준 결정이라는 해석도 들린다. 그러나 기업의 입장에서 데이터 3법은 아직 기업과 정부 차원에서 함께 고민해보아야 할 부분이 많은 상황이다.  데이터와 관련된 기업들이라면, 새로운 가능성의 모색과 리스크 관리를 위해 특히 살펴보아야 할 내용이 분명 있다. 이를 알아보기 전에, 데이터 3법 개정안에 관련해 핵심적인 내용을 파악하면 이해가 한결 쉬울 것이다.

기업 입장에서 데이터 3법은 아직 기업과 정부 차원에서 함께 고민해보아야 할 부분이 많은 상황이다.

데이터 3법은 개인정보 보호법과 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 그리고 신용정보의 이용 및 보호에 관한 법(신용정보법) 위 3개 법률의 개정안을 일컫는다. 개정안이 담고 있는 목표는 데이터 이용에 관한 규제를 혁신하여 신산업 육성을 도모함과 동시에 개인정보보호를 위한 체계를 정비하여 안전한 데이터 이용을 위한 규범을 수립하는 것이다.

종래의 법률과 크게 달라진 점을 보자면, 데이터 이용 활성화를 위한 ‘가명정보’ 라는 개념을 도입함과 동시에 종래에는 해석상으로만 인정되어 오던 ‘익명정보’를 분명하게 서술했다는 것이다. 이와 더불어 가명정보의 결합을 위해서는 개인정보보호위원회 또는 대통령령에서 정한 기준에 부합하는 전문기관을 통해 수행하도록 하였다.

특히 개인정보보호위원회의 경우 그 지위를 국무총리 소속 중앙행정기관으로 격상하고 행정안전부와 방송통신위원회가 가지고 있던 개인정보에 관한 기능을 모두 이관함으로써 감독기구의 독립성을 확보하려 한 것으로 보인다. 정보통신망법에서 정보통신서비스 제공자 대상 개인정보 관련 조항들을 모두 삭제하고 이를 개인정보 보호법으로 이관한 것도 이러한 움직임과 일맥상통한다고 볼 수 있다.

큰 패러다임이 바뀐 것처럼 이야기하고 있지만 실상 1월에 통과된 개정안 만으로는 많은 기업들이 직접적인 법률 변화의 영향을 느끼기는 힘들다. 많은 부분을 시행령과 고시 등 행정규칙에 따르도록 하고 있기 때문에, 이후에 개정될 시행령 및 고시 등 행정규칙이 더욱 중요한 상황이다.

가명처리의 방식과 가명정보의 활용 범위, 데이터의 결합 방법과 절차 등 산업계에 직접적으로 영향을 미칠 주요 사항들은 사실 이후에 발표될 시행령에 달려있다고 해도 과언이 아니다. 현재로서는 정부차원에서 산업의 발전과 개인정보보호 규범 두 마리의 토끼를 잡기위한 적극적인 의지를 드러냈다는 점에 많은 기대감을 표하고 있는 것이다.

가명처리의 방식과 가명정보의 활용 범위, 데이터의 결합 방법과 절차 등 산업계에 직접적으로 영향을 미칠 주요 사항들은 사실 이후에 발표될 시행령에 달려있다.

실제로 정부는 이번 개정안이 효과적으로 적용될 수 있도록 후속 조치에 잰걸음을 하고 있다. 이달 내로 시행령의 개정안을 마련하고, 고시 등 행정규칙 개정안은 3월까지 발표한다고 한다. 또 개정법 공포 후 6개월이 경과하는 법 시행 시점에 산업 분야별 가이드라인과 해설서 개정안도 함께 발간할 것이라 고지했다.

사실 데이터 3법의 법령 통과 이후 산업계에서는 업계별로 간담회 및 세미나를 열고 법령의 통과를 환영함과 동시에 각자 업계의 데이터 활용기준을 수립하기 위해 바쁘게 움직이고 있다. 문제는 이러한 목소리들이 개별 산업분야의 이해만을 위한 것이 아니라 국내 산업 전체를 아우르고 법의 근본적인 목표에 맞게 정보보호의 규범을 제대로 세울 수 있도록 통합될 필요가 있다는 것이다. 

산업계에서는 특히 금융과 의료 영역에서의 변화를 기대하고 있다. 신용정보법 개정안에서는 ‘상업적 목적의 통계작성’과 ‘산업적 연구’에 가명처리 된 개인신용정보를 동의 없이 활용 가능하다는 내용을 명시하였기 때문에, 산업적 사용이 가능한 지 아닌 지에 대해 아직 명확하지 않은 개인정보 보호법과 달리 법령의 해설을 놓고 문제가 발생할 소지는 적어 보인다.

또 신용정보주체인 개인의 신용정보 전송요구권을 보장함으로써 금융산업 영역의 마이데이터(Mydata)사업을 활발하게 할 수 있는 제반장치가 마련되었다. 이러한 금융산업의 데이터 활용 확대는 금융을 넘어 의료 등 타 산업의 데이터 활용 확대로 이어질 수 있을 것이란 기대를 품게 한다. 아직 산업별 가이드라인이 나오지 않았기 때문에 각 기업들은 이후에 발표될 시행령과 고시 등 행정규칙의 내용을 잘 살펴보고, 필요하다면 자신이 속한 업계 차원 또는 전체 산업계 차원에서 실질적인 데이터 활용을 위해 필요한 부분에 목소리를 내야할 필요가 있어 보인다. 

금융산업의 데이터 활용 확대는 금융을 넘어 의료 등 타 산업의 데이터 활용 확대로 이어질 수 있을 것이란 기대를 품게 한다

기업들이 챙겨야 할 이번 데이터 3법 개정안의 가장 큰 내용 중 하나는 ‘가명정보’ 및 ‘가명처리’에 관한 내용이다. 종래의 개인정보 보호법에서는 ‘해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 개인을 알아볼 수 있으면 이는 개인정보’라고 규정하였다.

그러나 개정안에서는 가명정보의 개념을 도입하며, ‘다른 정보의 입수 가능성 등 개인을 알아보는데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여’ 개인정보와 가명정보를 구분해야 한다고 서술했다. 문제는 시간, 비용, 기술의 합리적 고려라는 것이 무척 모호할 수 있다는 부분이다. 이는 정보를 가지고 있는 주체의 능력과 규모에 따라 쉽게 달라질 수 있는 고려 요소이다.

가령 개인 전화번호 뒷자리 4자리는 통신사업을 하고 있는 대기업 사업자에게는 ‘이름’ 정도의 정보만 결합되어도 식별가능성이 높은 개인정보가 될 수도 있지만, 그렇지 않은 기업들 특히 스타트업에게는 가명정보, 나아가 익명정보가 될 수도 있다. 이러한 이유로 기업 입장에서는 향후 공표될 ‘가명처리’ 방식에 대해 면밀히 검토할 필요가 있어보인다.

개인정보 보호법 상 데이터를 활용한 연구개발을 위해 ‘가명처리’는 필수적이다. 데이터 활용 이전 단계로 가명처리를 보다 쉽고 간편하게 만들어 줄 수 있는 솔루션들도 다양하게 나타날 것으로 보인다. 향후 발표될 관계 법령의 내용을 바탕으로 기업에서는 적절한 솔루션을 개발 또는 도입하고, 이를 적극적으로 활용할 전략을 수립하는 것이 데이터 활용을 통해 이번 데이터 3법 개정안의 수혜를 위한 움직임으로 보여진다. 

글: 크라우드웍스 마케팅팀 김준영