‘데이터 3법(개인정보보호법·신용정보법·정보통신망법 개정안)’ 시행을 100여일 앞두고 직접적인 법 적용을 받는 IT 기업들의 움직임이 빨라지고 있다. 시행령의 모호한 표현으로 인해 가명정보를 통한 데이터 이용을 활성화한다는 법 취지가 무색해질 수 있다는 지적이 나오며 본격적으로 수정을 요청하고 나선 것이다.
20일 업계에 따르면 한국인터넷기업협회(회장 한성숙)는 최근 행정안전부에 데이터 3법 시행령 일부 조항 수정이 필요하다는 취지의 회원사 의견을 제출했다. 시행령은 지난달 31일 입법예고돼 다음달 11일까지 의견을 받는다. 최초 수집 목적과의 관련성 등을 고려해 일부 상황에서 개인정보를 주체의 동의없이 추가로 사용할 수 있다는 게 골자다.
업계에서 지적하는 부분은 크게 두 가지다. 하나는 ‘상당한 관련성’ ‘관행에 비춘’ 같은 모호한 표현을 수정해야 한다는 것이다. 개인정보보호법 시행령 제14조의2는 동의 없는 개인정보 이용을 위해 당초 개인정보를 수집했던 목적과의 ‘상당한 관련성’, ‘처리 관행에 비춘 예측 가능성’ 등을 충족할 것을 제시한다. 업계에서는 이 같은 표현이 너무 모호해 사실상 사업자들의 적법한 판단이 불가능하다고 보고 있다. 이를 유럽 GDPR(General Data Protection Regulations·개인정보보호법)에 준하게 구체화해야 한다는 주장이다.
이에 더해 IT 서비스 사업자가 가명정보를 직접 분석해 활용할 수 있도록 해야 한다는 의견도 전달됐다. 추가적인 정보 없이는 개인을 특정할 수 없게 가명(假名) 처리된 정보를 뜻하는 가명정보의 결합·분석 권한은 개인정보보호법과 신용정보법 양쪽에서 규정된다. 신용정보법상 가명정보는 제3의 전문기관을 통해 결합한 뒤, 다시 반출받아 서비스 사업자가 직접 분석해 서비스에 활용할 수 있다. 하지만 개인정보법은 결합된 정보를 ‘전문 결합기관 내 마련된 안전한 분석 공간’에서 분석하도록 정한다. 인기협 관계자는 “사용자들에게 보다 고도화된 서비스를 제공하기 위해서는 결합된 정보를 사업자가 자체적인 툴로 분석할 수 있어야 한다”며 “동일한 가명정보에 대해 서로 다른 두 법의 층위를 맞춰야 한다는 취지”라고 설명했다.
현재의 시행령 아래서는 사실상 제대로 된 가명정보 활용이 불가능하다는 게 업계 목소리다. 한 IT 업계 관계자는 “모호한 시행령에 근거해 개인정보를 활용했다가 매출 3% 이하의 과징금, 5년 이하의 형사처벌에 처해질 수 있다”며 “지금으로서는 데이터 활용을 활성화하는 게 아니라 기업들에게 리스크와 입증책임을 떠넘기는 것”이라고 말했다. 이인호 중앙대 법학전문대학원 교수는 “일본, 유럽연합(EU) 어느 나라에서도 이미 가명화라는 안전장치를 거친 가명정보의 활용·분석을 정부(전문기관)에서 하게 한 경우는 없다”며 “기업 입장에서 데이터 활용도가 현저히 떨어질 수밖에 없는 이도저도 아닌 법이 나왔다”고 지적했다.
일각에서는 정부가 업계 의견을 시행령에 반영하지 않고 유권해석집인 ‘법령 해설서’에 명시하는 데 그칠 것이라는 우려도 나온다. 행정안전부는 입법예고 시 시행령에 포함되지 않은 가명정보 결합 절차, 전문기관 지정 요건 등 세부 사항은 신설 고시에 반영하고 적절한 사례를 법령 해설서에 포함할 예정이라고 밝힌 바 있다.
/오지현기자 ohjh@sedaily.com