우리가 신용카드를 만들거나 온라인 사이트 회원 가입을 할 때 반드시 거치는 단계가 있어. ‘개인 정보 수집이용 동의’ 필수 체크. 여기에 동의해야만 다음 단계를 진행할 수 있기 때문에 일단 동의를 체크하곤 했지. 그런데 얼마 전 이 ‘개인 정보 수집이용’과 관련한 법이 국회에서 통과됐어. 이날 기업들은 ‘4차 산업 혁명의 날’이라며 만세를 외쳤지.
‘모든 산업은 데이터로 통한다’는 말처럼 이제 미래를 이끌 원유는 ‘데이터’라는 말을 많이 해. 데이터를 기반으로 새로운 부가가치를 창출해내는 데이터 경제 시대에 ‘데이터3법’은 미래 먹거리 산업의 기틀인 셈이지. 그렇다면 ‘데이터3법’ 통과로 과연 우리의 삶은 어떻게 바뀌는걸까.
△데이터 3법이 뭐야?
데이터 3법은 한 마디로 개인 정보를 ‘어떻게’ 다뤄야 하는지 정해놓은 3가지 종류의 법이야. 이 법은 4차 산업혁명 시대에 빅데이터를 잘 활용해서 신산업을 육성해보자는 국가적 목표로 2018년 11월 국회에 각각 발의됐어. 그런데 왜 법이 3개나 되냐고? 사실 개인정보 보호와 관련된 법은 행정안전부·방송통신위원회·금융위원회 등 정부 부처별로 애매하게 나눠져 있어. 중복되는 부분도 많고 불필요한 절차로 인한 불편함이 많았지. 그래서 개인 정보 보호 기능을 관할 하는 부처끼리 모여 교통정리를 한 것이 이번에 통과된 세 가지 개정안이야.
개정안에는 개인정보 보호는 강화하면서 데이터 활용 활성화를 통한 관련 산업 발전을 조화롭게 모색할 수 있도록 현행 제도를 보완하는 방향의 내용이 담겨있지.
우선 개인이나 기업이 통계작성·과학적 목적 등을 이유로 개인 정보를 수집해 활용할 수 있도록 활로를 열어줬어. 물론 여기서 공개되는 개인 정보는 누구인지 특정할 수 없도록 ‘가명 처리’한 정보야. 가명 정보라 불리는 이 데이터는 기업 혹은 단체들끼리 자유롭게 공유할 수 있지. 표본 확보가 절실한 빅데이터 업계에선 숨통이 트이게 된 거야. 또 앞서 말했듯이 그동안 정부 부처마다 개인정보를 관리 감독하는 곳이 뒤엉켜있었는데 ‘개인정보보호위원회’(국무총리 소속 중앙행정기관)을 신설해 그 기능을 일원화했어. 이번 법안 통과로 직접 데이터를 활용하게 될 기업과 개인들은 여러 정부 부처의 ‘핑퐁게임’에서 벗어날 수 있게 됐어. 일명 ‘데이터 고속도로’가 뚫렸다고 말하는 건 이런 이유에서야.
△ 데이터3법 이후 달라질 우리 미래 모습
그런데 우리나라 기업들이 이미 빅데이터를 활용하고 있지 않냐고? 물론 기업마다 자신들이 수집한 고객 정보를 기술 개발 등에 활용하고 있어. 다만 이번 법안의 통과로 자사 고객 정보뿐만 아니라 기업들끼리 개인정보를 공유할 수 있게 된 거야. 한 번 예를 들어볼까?
이번 법안 통과로 가장 큰 변화가 예상되는 곳은 금융회사들이야. 은행과 보험회사, 카드회사 등에 흩어져 있는 개인 신용 정보를 모아 금융서비스를 제공하는 ‘마이데이터(MyDataㆍ본인신용정보관리업)’ 사업이 시작되거든. 실제로 마이데이터 산업은 미국·영국·일본 등 해외에선 이미 빠르게 성장하고 있어. 현재 우리는 은행을 방문하면 은행이 제시하는 금융상품에서 하나를 골라야 하잖아? 그러나 마이데이터라는 일종의 ‘데이터 거래소’가 생기면 개인이 은행ㆍ보험사ㆍ카드사 등에서 얻은 금융 기록이 모두 한 곳에 집결돼. 본인의 모든 금융거래를 한 눈에 파악하는 것은 물론, 거래은행으로부터 나에게 딱 맞는 금융상품을 추천받을 수도 있지. ‘금융판 넷플릭스’라는 말이 나올 만 하지? 특히 금융 이력 데이터가 상대적으로 적은 학생, 사회초년생, 주부는 신용 등급이 올라갈 확률이 높아. 왜냐면 데이터3법으로 여러 기업에서 내 정보를 공유할 수 있게 되니까 금융정보 뿐만 아니라 공공요금 납부, 온라인 쇼핑 같은 데이터를 종합적으로 평가하거든.
헬스케어 분야에서도 활용도가 높을 것으로 보여. 우리나라의 경우 세계 최고의 전자의무기록(EMR) 도입률(92%) 덕분에 건강보험 데이터가 6조 건이나 쌓여있지만 활용할 방법이 없었어. 그러나 이제 환자의 인적 사항, 발병 데이터, 처방 데이터 등을 활용해 신약 개발에 박차를 가할 수 있는 거지. 또 자신의 병원 진료 데이터, 검진 결과 등을 스마트폰으로 내려 받아 건강관리 업체에 맡겨 전문적으로 관리받는 것도 가능해져. 내 건강 데이터와 금융 데이터를 연계해 나에게 맞는 보험 상품을 추천받거나 보험 할인 등도 받을 수 있겠지. 여기다가 인공지능(AI), 사물인터넷(IoT), 자율주행 산업 등과 연계되면 우리가 기존에 생각하지 못했던 무궁무진한 헬스케어 서비스도 등장할 수 있어.
△개인 정보와 익명 정보 사이의 회색 지대 ‘가명 정보’, 과연 안전할까
여러 곳에 흩어진 내 정보를 모아 새로운 기술을 개발하고 경제를 발전시키는 데 활용한다니 뭔가 뿌듯하고 유익한 제도인 것 같은데 뭔가 찝찝한 느낌이 가시지 않는 이유는 뭘까. 아무래도 내 사생활이 ‘어디서 어디까지’ 공개될지, ‘언제 어디서’ 내 정보가 새어 나갈지 모른다는 불안함 때문일 거야.
물론 이런 우려 때문에 데이터3법에선 개인 정보를 ‘어떻게’ 잘 보안할 지에 대한 규정도 같이 박아뒀어.
우선 ‘개인정보’는 ‘가명 정보’만 활용 가능해. 가명정보란 개인정보에서 이름, 전화번호, 이메일 등을 가려서 개인이 누군지까지는 알 수 없게 가린 정보야.
여기서 잠깐, 사실 비식별정보라고 하면 ‘가명’이라는 말보단 ‘익명’이라는 말이 더 익숙한데 왜 굳이 ‘가명 정보’라고 부르냐고? 얼핏 보면 비슷해 보이지만 엄밀히 따져보면 좀 다른 부분이 있어. 익명 정보는 애초부터 익명으로 수집한 자료이기 때문에 외부 데이터를 결합해도 내가 누구인지 알 수 없어. 그래서 익명정보는 법적 통제를 받지 않고 기업들이 마음대로 거래할 수 있고 쓸 수 있지. 반면 가명 정보는 내 개인정보를 다 수집한 후 가려놓은 상태이기 때문에 다른 데이터를 결합하면 충분히 내가 누군지 알 수 있어. 이 때문에 가명 정보는 엄연히 개인정보로써 통계나 개발 목적일 때만 ‘가명화 조치’를 해서 활용할 수 있고, 기업들이 마음대로 쓰고 다룰 순 없어. 반드시 ‘국가에서 지정한 데이터 거래 전문 기관’을 통해 다른 단체 정보와 결합할 수 있게 조항을 마련해놨지. 데이터를 활용한 결과도 다시 각 단체로 가져갈 땐 이 기관의 허가를 받아야 한다고 박아뒀어.
만에 하나 개인정보를 다루는 단체들 뿐만 아니라 데이터를 활용하는 처리자에게 데이터를 조합해 개인이 누군지 알아내려고 할 경우 법적으로 책임을 묻겠다는 조항도 함께 명시했어. 이를 어기는 기업은 전체 매출의 3% 이하에 해당하는 과징금을, 개인은 5년 이하의 징역 또는 5,000만원 이하의 벌금을 물어내야 해.
△데이터 3법, 앞으로 풀어야 할 숙제들
앞서 데이터3법이 바꿀 개인과 기업의 미래 모습을 잠깐 상상해봤지만 사실 이제 막 첫 발을 내딛었고 제도 시행 전이기 때문에 아직 두루뭉술하고 애매한 부분이 있어. 올 7월부터 시행되는 데이터 3법이 제대로 된 실효성을 갖추려면 무엇보다 개인이 가장 우려하는 부분인 기업의 ‘가명정보 활용’의 구체적인 범위가 좀 더 명확해 질 필요가 있겠지. 데이터3법에서 정한 기업의 개인정보 활용 근거가 ‘과학적 연구’인데 아직 법 자체만으로는 기업들이 가명 정보를 어떤 조건에서 어떻게 활용할 수 있는지, 상업적 목적으로 어디까지 써도 되는지가 모호하거든. 또 가명 정보를 2차 활용하는 기관도 구체적으로 정해야 해. 데이터 3법은 개인정보를 가명정보로 처리해 쓰는 것은 허용하면서도 서로 다른 이용자끼리 정보를 결합할 땐 별도로 지정된 전문기관의 검증 작업을 거쳐야만 허용하고 있어. 그런데 어떤 전문기관이 이 기능을 맡을지, 결합·반출의 기준과 절차는 어떻게 할지 구체적으로 정해지지 않았거든. 이러한 점을 보완하기 위해 정부는 데이터 경제 활성화 TF를 만든다고 했어. 데이터3법을 안착시킬 구체적인 가이드라인들이 하나씩 마련될거야.
데이터에서 미래 먹거리를 발굴하는 디지털 경제 시대. 데이터3법이 시행되면 개인정보를 기반으로 다양한 맞춤형 서비스가 증가하고, 우리가 상상하지 못했던 새로운 산업들이 등장할거야. 법과 각종 규제에 묶여 괴로워하던 기업들 입장에선 꿈만 꾸던 융합 산업에 뛰어들 수 있는 절호의 기회를 맞은 셈이지. 하지만 빠르게 변화하는 기술을 따라잡는 것 만큼 중요한 사실이 하나 있어. 개인 정보를 소중히 다뤄야 한다는 것. 기업들이 개인정보 유출에 대한 경각심을 가지고 스스로 보안을 강화할 때, 막 싹트기 시작한 4차 산업혁명도 깊이 뿌리를 내릴 수 있지 않을까?