‘데이터 3법’ 시행이 100여일 앞으로 다가왔다. 그런데 AI(인공지능) 기술의 서비스 적용을 위해 데이터 활용이 반드시 필요한 IT 기업들은 떨떠름한 분위기다. 한때 법안 통과에 ‘만세’를 외쳤던 IT 업계가 왜 데이터 3법이 막상 현장에서 무용할 수 있다고 걱정하는 것일까.
◇데이터 3법·가명정보가 뭔데?=데이터 3법은 개인정보보호법·신용정보법·정보통신망법 개정안을 뜻한다. 무엇보다 최초 수집 목적과의 관련성 등을 고려해 일부 상황에서 개인정보를 주체의 동의없이 추가로 사용할 수 있다는 게 골자다. 우리나라는 개인정보 처리에 있어 그간 정보주체가 일일이 동의해야 정보를 제공 가능한 ‘옵트인(Opt-in)’ 방식을 채택해 구글 등 해외 IT 기업들과의 형평성 문제가 제기돼왔다. 미국과 유럽, 일본 등에서는 ‘옵트아웃(Opt-out)’ 방식을 기본으로 데이터 활용에 대한 포괄적 동의를 전제한다.
지난 1월9일 통과된 데이터 3법은 데이터 이용을 활성화하기 위해 ‘가명정보’ 개념을 처음으로 도입했다, 추가적인 정보 없이는 개인을 특정할 수 없게 가명(假名) 처리된 정보를 뜻한다. 개인정보나 신용정보를 가명정보화해 개개인 정보주체에게 피해가 발생할 수 있는 상황에 대한 강력한 안전장치를 건다는 개념이다. 일본 역시 가명화된 정보의 경우 분석·사용을 폭넓게 허가하는 방식으로 데이터 활용을 풀어주고 있다.
데이터 3법이 무용지물이 될 수 있다는 우려는 시행령에서 출발한다. 시행령의 모호한 표현으로 인해 가명정보를 통한 데이터 이용을 활성화한다는 법 취지가 무색해질 수 있다는 지적이다. 한국인터넷기업협회(회장 한성숙)는 최근 행정안전부에 데이터 3법 시행령 일부 조항 수정이 필요하다는 취지의 회원사 의견을 제출하기도 했다.
◇그래서 뭐가 문제야?=업계에서 지적하는 부분은 크게 두 가지다. 하나는 ‘상당한 관련성’ ‘관행에 비춘’ 같은 모호한 표현을 수정해야 한다는 것이다. 개인정보보호법 시행령 제14조의2는 동의 없는 개인정보 이용을 위해 당초 개인정보를 수집했던 목적과의 ‘상당한 관련성’, ‘처리 관행에 비춘 예측 가능성’ 등을 충족할 것을 제시한다. 업계에서는 이 같은 표현이 너무 모호해 사실상 사업자들의 적법한 판단이 불가능하다고 보고 있다. 이를 유럽 GDPR(General Data Protection Regulations·개인정보보호법)에 준하게 구체화해야 한다는 주장이다.
이에 더해 IT 서비스 사업자가 가명정보를 직접 분석해 활용할 수 있도록 해야 한다는 의견도 전달됐다. 가명정보의 결합·분석 권한은 개인정보보호법과 신용정보법 양쪽에서 규정된다. 신용정보법상 가명정보는 제3의 전문기관을 통해 결합한 뒤, 다시 반출받아 서비스 사업자가 직접 분석해 서비스에 활용할 수 있다. 하지만 개인정보법은 결합된 정보를 ‘전문 결합기관 내 마련된 안전한 분석 공간’에서 분석하도록 정한다. 전문 결합기관은 준정부 영역의 성격을 띨 확률이 높은 만큼, 사기업의 데이터 분석 방식이나 도구가 사실상 정부에 귀속돼 데이터 사용을 활성화한다는 취지를 살리지 못할 수 있다는 우려다. 인기협 관계자는 “사용자들에게 보다 고도화된 서비스를 제공하기 위해서는 결합된 정보를 사업자가 자체적인 툴로 분석할 수 있어야 한다”며 “동일한 가명정보에 대해 서로 다른 두 법의 층위를 맞춰야 한다는 취지”라고 설명했다.
이처럼 현재 상황에서는 사실상 제대로 된 가명정보 활용이 불가능하다는 게 업계 목소리다. 한 IT 업계 관계자는 “모호한 시행령에 근거해 개인정보를 활용했다가 매출 3% 이하의 과징금, 5년 이하의 형사처벌에 처해질 수 있다”며 “지금으로서는 데이터 활용을 활성화하는 게 아니라 기업들에게 리스크와 입증책임을 떠넘기는 것”이라고 말했다. 이인호 중앙대 법학전문대학원 교수는 “일본, 유럽연합(EU) 어느 나라에서도 이미 가명화라는 안전장치를 거친 가명정보의 활용·분석을 정부(전문기관)에서 하게 한 경우는 없다”며 “기업 입장에서 데이터 활용도가 현저히 떨어질 수밖에 없는 이도저도 아닌 법이 나왔다”고 말했다.
/오지현기자 ohjh@sedaily.com