"데이터는 4차 산업혁명 시대의 원유와 같은 것으로 빅데이터, 인공지능 등 신산업 분야의 새로운 사업모델을 개발하는 일은 물론 기업들이 고객 수요와 시장 흐름을 조기에 파악·대응하는데 큰 힘이 될 것으로 기대한다"

데이터3법 개정안이 지난 9일 국회 본회의를 통과하자 대한상공회의소가 내놓은 환영 논평 중 일부다. 

재계는 물론 벤처산업계, 과학계 등 전반적으로 데이터 3법에 대한 기대가 높다. 정보보안, 서비스, 통신, 금융, 유통, 의료 등 각종 산업계에 파급력이 크기 때문이다. 

과학기술정보통신부는 "데이터 3법 개정이 인공지능 시대와 데이터 경제를 선도할 수 있는 제도적 기반이 마련됐다"며 "데이터 3법 개정안의 국회 통과에 따른 후속조치로 4차 산업혁명 시대 핵심 자원인 데이터 개방·유통 확대를 추진하고, 데이터 간 융합과 활용 촉진을 통해 데이터 산업 육성을 본격 지원할 것"이라고 밝혔다. 

데이터 3법은 개인정보보호법·신용정보법·정보통신망법을 의미한다. 

과학기술정보통신부가 밝힌 개정안의 주요 핵심 내용은 ▲개인정보 개념 명확화: 모호했던 개인정보의 판단 기준을 명확히 하고 익명화된 정보는 개인정보보호법에서 제외  ▲가명정보와 개인정보의 이용범위 확대: 데이터 이용 활성화를 위한 가명정보 개념을 도입 ▲정보집합물 결합 근거 마련: 기업 간 데이터 결합은 전문기관에서 수행하고 기관 외부로 반출시 개인을 알아볼 수 없는 형태로 반출 ▲개인정보처리자의 책임성 강화: 가명정보 처리와 결합시 안전조치 의무 및 위반시 형사벌, 과징금 벌칙 부과 ▲개인정보보호 추진체계 효율화: 행정안전부, 방송통신위원회, 금융위원회의 개인정보보호 기능을 개인정보보호위원회로 일원화 등이다. 

그간 개인정보 등 관련 규제가 발목을 잡았으나 대폭 해소됐다. 따라서 인공지능(AI), 사물인터넷(IoT), 모빌리티 등 차세대 먹거리 산업에 데이터를 적극 활용하면서 새로운 '빅블러'(업종 간 경계가 허물어지는 현상) 생태계가 조성될 기반이 마련된 것이다. 

AI IoT 모빌리티 등 차세대 먹거리 산업에 새로운 '빅블러' 생태계 조성

데이터 융합에 따른 혁신 서비스 발굴이 가능해진다. 가명정보와 익명정보를 많은 기업이 사용할 수 있는 근거가 마련돼 신종 금융서비스와 여러 융합 서비스가 가능하다. 

금융마이데이터와 전문개인신용평가업, 중금리대출, 소액신용대출, 소상공인 컨설팅 등 금융서비스가 활성화된다. 이외에도 유통·제조·바이오 등 후방산업 실핏줄이 연결되고 데이터 혈류를 자양분으로 하는 각종 혁신 융합서비스가 등장할 것으로 보인다.

IT와 금융, 위치정보와 제조업 정보, 보험과 바이오 정보, 통신과 자동차주행 등에 산재한 데이터를 정밀하게 결합하고 하나의 산업으로 육성할 수 있다. 자율주행차와 스마트헬스케어, 스마트공장, 핀테크 등 다양한 후방산업 고도화도 예상된다.

영국은 데이터 관련 산업 육성을 통해 올해 19만8000개의 청년 일자리 창출을 전망한다. 중국은 빅데이터 인력을 2022년까지 약 150만명 육성하는 방안을 추진 중이다.

우리나라는 그간 보유한 기술력 대비 기술 활용 측면이 부족하다는 지적을 받아왔다. 미국·일본·유럽 등 선진국의 경우에는 개인 식별이 안 되는 정보를 적극적으로 활용하고 있지만, 우리나라는 규제 탓에 빅데이터 산업의 인프라 구축이 부진했다는 뜻이다.

스위스 국제경영개발대학원(IMD)이 발표한 ‘세계 디지털 경쟁력 순위 2019’에 따르면, 우리나라의 디지털 경쟁력은 조사 대상 64개국 중 10위이면서도 ‘기술개발 및 응용’ 항목은 50위, ‘빅데이터 활용 및 분석’ 항목은 40위에 불과하다.

한국과학기술단체총연합회(과총)는 13일 “기존의 데이터 규제는 4차 산업혁명의 핵심기술인 인공지능, 사물인터넷, 플랫폼 기술 등의 새로운 분야의 성장을 가로막는 장애 요인이었다”며 “데이터 규제 합리화를 통해 신성장 동력을 창출하고 국민 삶의 질 향상에 기여할 수 있도록 법 개정이 시급히 이뤄져야 한다고 지적했지만 계속 지연되고 있었다”고 밝혔다.

과학계는 데이터 기반의 산업발전은 물론, 비식별 정보를 활용한 연구개발이 활성화될 것으로 기대하고 있다.

대한상의는 "우리가 미·중 등 경쟁국보다 늦게 출발하는 만큼 정부는 데이터 활용과 보호에 대한 시행령 개정 등 후속작업에 속도를 더해 주길 바란다"고 강조했다.

"정보주체가 자기 정보에 대해 직접 파기·열람할 권리가 개정안에 보장돼야 한다"

하지만 데이터 3법에 대한 우려도 만만치 않다. 

올해 7월부터 시행되는 데이터 3법이 제대로 된 실효성을 갖추려면 개인정보의 활용 가능 범위를 보다 명확히 하고, 관계 기관의 업무 절차를 구체화하는 등 아직 법에서 다루지 못한 공백을 채우는 게 중요하다.

과총이 "데이터 3법 통과의 이면에 있는 개인정보 보호에 대한 우려 등을 고려해, 산업계 시민사회 등의 의견을 종합하고 실질적인 성과로 이어질 수 있도록 지원하겠다"고 밝힌 이유다. 

데이터 3법은 특정 개인을 못 알아보게 처리한 ‘가명정보’ 개념을 도입해 이를 개인 동의 없이도 쓸 수 있도록 하는 것이 골자다. 처리 목적은 ‘통계 작성, 과학적 연구, 공익적 기록보존 등’에 한하도록 규정하고 있다.

시민단체 등에서 가장 우려하는 부분이 가명정보 활용의 구체적인 범위다. 기업의 개인정보 활용 근거가 데이터 3법에서 정한 처리 목적 중 하나인 ‘과학적 연구’인데, 아직 법 자체만으로는 기업들이 가명정보를 어떤 조건에서 어떻게 활용할 수 있는지 모호하다는 것이다. 

채이배 의원은 “가명처리 정보도 개인정보 보호 대상인데 실명정보를 갖고 있는 정보 처리자가 보통 가명정보를 같이 갖고 있다. 그 경우 최초 정보 처리자는 가명정보를 실명 정보로 다시 전환할 수 있다”고 우려하고 "정보주체가 자기 정보에 대해 직접 파기·열람할 권리가 개정안에 보장돼야 한다"고 요구했다. 

채 의원은 “법에 명시적 규정 없기 때문에 해석이 중구난방"이라며 "의료정보 같은 인권에 대한 민감정보를 기업들이 가명정보로 만들어서 유통해 활용한 다음에 문제가 생기면, 그때 정부가 어떻게 할 것이냐”고 비판했다.

개인정보법 개정안에서는 과학적 연구를 ‘기술의 개발과 실증, 기초연구, 응용연구 및 민간 투자 연구 등’이라고 정의하고 있다. 그러나 이 정의만 봤을 때 기업이 상업적 목적으로 어디까지 써도 되는지가 불명확해 하위 법령인 시행령 제정 과정에서 보다 구체화될 필요가 있다. 

또 참여연대 등 시민단체를 중심으로 데이터 3법 통과 시 소송을 제기해 저지하겠다고 예고한 바 있다. 따라서 대법원과 헌법재판소에서 법적 해석을 내리기까지 다소 시간이 걸릴 수 있다는 얘기다.

가명정보의 2차 활용을 담당하는 전문기관의 성격도 구체화해야 한다. 데이터 3법은 개인정보를 가명정보로 처리해 쓰는 것은 허용하면서도 서로 다른 이용자끼리 이 정보를 빼내서 결합해 활용하는 것은 제한하고 있다. 

별도로 지정된 전문기관의 검증 작업을 거쳤을 때만 2차적 활용이 가능하도록 예외를 두고 있다. 다만 어떤 전문기관이 이를 맡을지나, 결합·반출의 기준과 절차는 모두 대통령령에 위임하고 있다. 

특히 빅데이터 산업의 컨트롤타워 역할은 개인정보보호위원회가 맡는다. 개인정보위원회가 유럽연합(EU)의 사례처럼 제 역할을 해야 하는 셈이다.

유럽연합(EU)은 역외 국가가 자신들의 요구 수준 만큼 개인정보를 보호하고 있는지를 따져 자체 기준인 GDPR(개인정보보호규정)을 충족해야만 역내에서 데이터 활용을 할 수 있도록 하고 있다. 

그런데 한국은 개인정보보호위원화의 권한이나 독립성이 부족하다는 이유로 지금까지 EU의 평가를 통과하지 못했다. 개별 기업이 일일히 GDPR의 평가를 받아야 했다. 한국도 EU의 GDPR 적정성 평가가 우선 필요하다.

대통령 직속으로 2011년 설립된 개인정보보호위원회는 이번 데이터 3법 개정과 함께 중앙 행정기관으로 격상되게 됐다. 그동안 행정안전부, 방송통신위원회, 금융위원회 등 3개 부처에 나뉘어 있던 개인정보 관리·감독 업무도 개인정보보호위원회 중심으로 하나로 통합될 예정이다. 

참여연대 등 시민단체는 특히 개인의료정보 상업화에 대해 극렬하게 반대했다. 

이들은 "한국은 개인의료정보 보호 측면에서 각별한 주의가 필요한 나라다. 국민 모두에게 주민등록번호라는 고유식별정보가 존재하고, 일 년에 수차례 대량의 개인 정보 유출이 발생하는 나라다"며 "게다가 한국은 모든 국민이 건강보험에 가입되어 있기에 개인의 진료정보, 약물사용 자료, 건강검진 자료 등이 국민건강보험공단에 대규모로 집적되어 있다"고 지적했다. 

또 "국민건강보험공단에는 건강보험 적용 및 이용을 위한 행정적 목적으로 이러한 의료 정보 외에도 개인의 소득, 주소, 직장 등 방대한 양의 개인정보가 집적되어 있다"며 "이러한 조건에서는 아무리 가명화된 개인의료정보라도 다른 개인정보를 활용해 얼마든지 개인이 식별될 위험성이 높다"고 우려했다.

가명정보라는 개념을 도입해 국민의 가장 사적이고 민감한 의료정보, 질병정보에서부터 소비특성, 투자행태, 소득규모 등을 파악할 수 있는 신용정보, SNS등에 쓴 다양한 정보까지 거의 모든 정보를 기업이 활용할 수 있도록 길을 열어 주었다는 것이다. 

반면 정보주체인 개인은 동의권은 물론이고 정보열람권, 삭제요구권, 정보이전 및 개인정보유출에 대한 통지받을 권리 등을 인정받지도 못한다는 것이 우려의 핵심이다. 

정치적 견해, 건강, 의료 정보 등 가명정보 "본인 동의없이 수집 이용 80.3% 반대"

여론조사전문기관인 서든포스트가 지난해 11월, 19세 이상 성인남녀 1,000명을 대상으로 ARS 여론 조사를 실시한 결과, 국민 81.9%가 개인정보보호법 개정 추진 사실 자체를 몰랐다. 또한 66.3%가 가명정보를 동의없이 기업 간 제공하는 것에 반대했다. 

특히 정치적 견해, 건강, 의료 정보 등 민감정보라도 가명처리 후 본인 동의없이 수집, 이용하는 것에 대해 80.3%가 반대했다.    

시민단체는 "이번에 통과된 데이터 3법은 정보인권침해 3법, 개인정보도둑 3법이라 불릴 것"이라며 "법개악에 반대해 헌법소원과 국민캠페인 등 가능한 모든 수단을 동원해 잘못 개정된 정보인권침해 3법의 재개정에 매진할 것"이라고 경고했다.

정부는 데이터 3법 개정에 따른 다양한 민간의 의견을 수렴하고 정책에 최대한 반영해 기업, 기관 등이 데이터를 안전하게 활용하고 데이터 경제로의 이행이 본격화되도록 지속 지원한다는 계획이다. 정부는 관련 모든 부처가 참여하는 데이터 경제 활성화 태스크 포스를 출범하고 2월 중으로 종합 지원 방안을 발표할 예정이다.