‘데이터3법(개인정보보호법·정보통신망법·신용정보보호법)’ 가운데 개인정보보호법 개정안의 독소조항으로 꼽혔던 제39조가 수정될 것으로 전망된다. 이는 ‘개인정보를 위탁할 경우 이용자들에게 일일이 사전동의를 받아야 한다’는 내용으로 이 조항이 유지된 채 개인정보보호법이 시행되면 클라우드·빅데이터와 같은 미래산업이 타격을 받을 것이라는 지적이 나왔다. 데이터를 가공하거나 클라우드 서비스 업체로 이관할 때마다 동의를 받는 것이 물리적으로 불가능하기 때문이다. 이에 여당인 더불어민주당을 중심으로 국회에서 해당 조항을 수정해 규제를 완화하는 쪽으로 개정 방향을 선회했다. 25일 국회와 업계에 따르면 국회 행정안전위원회는 27일 오전 법안심사소위원회를 열고 개인정보보호법 개정안을 심의한다.
개인정보보호법은 비식별 개인정보를 활용할 수 있는 내용을 담고 있어 데이터 경제를 활성화하려는 정부와 다양한 서비스를 개발하려는 업계 모두 신속한 통과를 원했던 개정안이다. 다만 정보통신망법의 개인정보 관련 규정(제25조)이 개인정보보호법 제39조로 그대로 이동하는 것에 대한 비판이 제기돼왔다. 개인정보보호법 개정안 39조에 따르면 정보통신 서비스 제공자가 개인정보를 위탁하려면 사전에 모든 이용자에게 개별 동의를 받아야 한다.
결국 국회에서 이 같은 지적을 받아들여 정보통신기술(ICT) 기업(정보통신 서비스 제공자)도 개인정보 처리 위탁 시 고객에게 공개 혹은 고지만 하면 되도록 조항을 수정하는 쪽으로 방향을 틀었다.
행안위 소속인 김병관 더불어민주당 의원은 “개인정보보호법상 개인정보 처리 위탁에 관한 규정을 (동의에서 공개·고지로) 개정하는 것으로 정부, 행안위 전문위원실과 함께 방향을 잡았다”고 밝혔다.
개인정보보호법 개정안의 검토보고서에도 해당 조항에 대한 변경이 필요하다는 내용이 담긴 것으로 알려졌다. 행안위 소속 민주당 관계자는 “(데이터3법 중) 정보통신망법 개정안에는 이미 개인정보 처리 위탁 시 공개 혹은 고지만 하면 되는 것으로 돼 있기 때문에 개인정보보호법도 맞춰서 개정하는 것이 방향성이 맞다”고 말했다.
만약 개인정보보호법 39조가 수정되지 않을 경우 클라우드 서비스나 빅데이터 사업에 상당한 차질이 빚어진다. 예를 들어 수십만명의 회원을 확보한 배달 애플리케이션 운영사가 개인정보를 클라우드로 옮기려면 모든 고객의 동의가 필요하다. 이후에도 빅데이터 분석을 통해 새 서비스를 개발하려고 할 때마다, 또 데이터를 보관하는 데이터센터가 바뀔 때마다 매번 수십만명의 고객 동의를 일일이 받아야 한다. 이동통신사와 포털, 인터넷 기반 스타트업 등 대부분의 ICT 기업이 이 규제를 적용받는다.
ICT 업계에서는 빠르게 변하는 정보기술(IT) 환경에서 서비스를 추가할 때마다 시간과 비용을 들여 이용자 동의를 받는 것은 사실상 불가능하다고 토로한다. 특히 개인정보 처리 위탁 시 고객 동의 없이 공개 혹은 고지만 해도 되는 일반사업자들에 비해 ICT 기업들만 차별을 받는 결과가 나올 수 있다고 우려한다.
ICT 업계의 한 관계자는 “개인정보 위탁 시 동의를 받아야 하는 제도는 과도한 규제”라며 “일반사업자와 동일하게 공개·고지할 수 있도록 개선해야 한다”고 말했다.