본문 바로가기

정부·기업 반기는 데이터3법, 내 개인정보 가져간다는데···

중앙일보 2020.01.09 21:42
‘내 허락 없이 사용되는 가명 정보’. 9일 저녁 마침내 국회 문턱을 넘은 데이터3법의 핵심이다. 이날 국회 본회의에서 가결된 개인정보보호법ㆍ정보통신망법ㆍ신용정보법 개정안은 국내외 산업과 개인의 삶에 어떤 영향을 미칠까?  
 

개인정보 > 가명정보 > 익명정보

데이터3법 개정안의 키워드는 가명정보다. 개인에 관련된 3단계의 정보 중 '가명정보'를 기업이 당사자의 동의 없이 이용할 수 있도록 했다. 여기서 가명정보란 개인을 식별할 수 없는 수준의 정보다. 실명이나 주민등록번호 같이 신원이 다 드러나는 개인정보를 암호화 처리로 가린 것이다. 
 
그러나 가명정보는 ‘30대 미혼 남성’ 같은 익명정보보다는 구체적이다. 가명정보는 소득·나이·결제금액 같은 개인 신상 정보를 포함할 수 있고, 건강ㆍ금융ㆍ유통 같은 다른 영역의 정보와 같이 모아서 볼 수도 있다. 개인을 식별할 순 없지만 정보를 통합적으로 활용할 수 있어 빅데이터로서 가치가 높다. 공익적 기록 보존의 목적은 물론이고, 시장조사 같은 상업적 목적과 과학적 연구에도 사용할 수 있다.
주요국과 비교한 한국의 빅데이터 기술수준. 그래픽=박경민 기자 minn@joongang.co.kr

주요국과 비교한 한국의 빅데이터 기술수준. 그래픽=박경민 기자 minn@joongang.co.kr

 
정부와 기업은 데이터3법의 국회 통과를 오래 기다려 왔다. 전세계가 데이터를 기반으로 부가가치를 만드는 디지털 경제를 향해 달려가는 마당에 한국만 뒤쳐져 있다는 우려가 컸다. 그러나 ‘개인정보 도둑법’(참여연대 기자회견)이라며 반대하는 시민사회의 목소리도 있다.
 

① 산업에 영향은

그간 국내 IT 기업들은 "데이터3법 개정이 늦어져 한국 기업이 역차별을 받고 있다"고 주장해 왔다. 고객 정보를 이용해 타겟 마케팅을 하는 구글ㆍ페이스북 같은 외국 기업에 비해 국내 기업이 법 테두리 안에서 할 수 있는 개인정보 활용이 적다는 것이다. 법안 개정으로 국내 IT업계의 숙원이 해결된 셈이다.
금융ㆍ핀테크 업체들은 데이터를 활용해 맞춤형 금융상품도 만들 수 있게 됐다. 최성진 코리아스타트업포럼 대표는 “핀테크 스타트업들이 데이터3법 통과의 탄력을 가장 먼저 받을 것으로 본다”고 했다. 
 

② 해외 진출에는

지난 2018년 5월 유럽연합(EU)은 ‘개인정보 보호 일반규칙(GDPR)’을 시행했다. EU소속 시민권자의 개인정보를 다루는 기업에게 정보 보호 의무를 강화하고, 이를 어길 시 최소 1000만 유로(약129억원)의 과징금을 내게 했다.
 
GDPR 이후 국내 기업을 포함한 모든 외국 기업은 EU에 지사가 있건 없건, 개별적으로 EU의 심사를 거쳐야 EU 내 거주자의 개인정보를 EU 밖으로 가져갈 수 있다. 표준계약 여부, 기업규칙, 공인 행동강령 등을 까다롭게 심사한다. 
 
이를 피하려면 국가 차원에서 EU의 적정성 심사를 받아야 한다. 개인정보 보호 수준이 EU와 동등한 나라들과 EU가 맺는, 일종의 '개인정보 FTA(자유무역협정)'인 셈이다. 한국은 아직 심사를 통과하지 못했다.
 
하지만 이날 개정안 통과로 개인정보보호위원회가 총리실 산하의 독립 행정기관으로 격상돼 EU의 기준도 맞출 수 있게 됐다. 신종철 방송통신위원회 개인정보보호윤리 과장은 “EU가 적정성 심사 때 우리에게 요구했던 ‘독립된 개인정보 규제기관 설립’ 요건이 충족됐다”고 말했다.
 

③ 개인 살림에 좋은 점은

주부ㆍ학생ㆍ사회초년생 같이 금융 이력 정보가 적은 이들의 신용 등급이 올라갈 수 있다. 고객의 동의를 받은 제3자가 여러 곳에 흩어진 고객의 금융정보나 공공요금 납부, 온라인 쇼핑 같은 정보를 종합 평가할 수 있어서다. 
자신의 신용평가 결과에 대해 ‘왜 이렇게 나왔느냐’고 설명을 요구하거나 이의를 제기할 ‘프로파일링 대응권’, 내 금융 정보를 다른 회사로 넘겨달라고 요구할 수 있는 '개인신용정보 이동권' 같은 새로운 개념도 이번 법 개정을 통해 생긴다. 
 

④ 사생활에 영향은

관건은 '개인 재식별화'다. 법안은 가명정보의 암호화를 되돌려 개인 신원을 식별하는 것을 금지하고 있다. 이를 어기는 기업은 전체 매출의 3% 이하에 해당하는 과징금, 개인은 5년 이하의 징역 또는 5000만원 이하의 벌금에 처한다.

 
암호화 처리를 되돌리지 않더라도, 추가 정보들을 결합하면 가명정보가 더 이상 '가명'이 아닐 수 있다는 우려도 제기된다. 동의 없이 가져간 가명 정보로 내가 누군인지 노출될 수 있다는 우려다.  
 
이에 대해 김민호 성균관대 법학전문대학원 교수는 “작정하고 누군가가 엄청난 시간과 노력을 들이면 특정인을 재식별하는 게 가능할 수도 있지만, 그 가능성 때문에 제도화 자체를 막는 것은 지나치다”고 말했다. 그러면서 “EU의 GDPR에도 '합리적 수준의 시간과 노력으로 재식별할 수 없어야 한다'고만 돼 있다”고 덧붙였다.
9일 서울 종로구 청와대 분수대 앞에서 참여연대 등 시민단체 관계자들이 '개인정보 도둑법 강행하는 정부 규탄' 기자회견을 하고 있다. [연합뉴스]

9일 서울 종로구 청와대 분수대 앞에서 참여연대 등 시민단체 관계자들이 '개인정보 도둑법 강행하는 정부 규탄' 기자회견을 하고 있다. [연합뉴스]

 
기업은 비용 부담 없이 개인정보로 장사해서 좋겠으나, 정작 정보의 주인인 개인에게는 별다른 이득이 없다는 지적도 있다. 
 
이날 참여연대와 건강과대안, 민주노총 등 7개 단체는 청와대 앞에서 기자회견을 열고 “기업의 이윤을 위해 충분한 안전장치도 없이 정보주체의 권리를 희생한다”며 데이터3법 국회 통과를 반대했다. 
 
이지은 참여연대 정보인권사업단 간사는 “가명 정보라지만 엄연히 실존하는 개인의 정보”라며 “사전 동의 절차가 사라져, 내 정보를 누가 어떤 목적으로 쓰고 있는지 알 수 없게 됐다”고 지적했다. 
 
심서현ㆍ김정민 기자 shshim@joongang.co.kr
공유하기
광고 닫기