대한상의 "개인정보보호, 사후평가·자율규제로 활용도 높여야"

22일 SGI 보고서 발표…"사전동의 의무화, 사용자 불편과 책임 부담만 초래"

빅데이터 시범사업 조기추진, 개인정보보호 민관협력 거버넌스 필요성도

서울 중구 대한상공회의소 회관 [사진=연합뉴스]

"사전동의 절차를 엄격히 요구하는 현행 포지티브 규제는 사용자 불편과 책임부담만 초래하고 있다. 개인정보보호제도의 패러다임을 현행 사전절차·처벌중심 방식에서 사후평가·자율규제로 전환해야 한다."

대한상공회의소 SGI(지속가능이니셔티브)가 22일 국내 개인정보보호 제도의 주요 문제점과 정책제언을 담은 '개인정보보호제도 개선방안 연구보고서'를 발표했다.

보고서에서는 국내 개인정보보호 제도의 세 가지 문제가 지적됐다. 우선 개인정보 범위가 불명확하다는 지적이 제기됐다. 현행법은 개인정보를 '다른 정보와 쉽게 결합해 알아볼 수 있는 정보'로 정의하고 있다. '쉽게 결합한다'는 의미가 모호하고, 비식별정보에 대한 정의도 부재해 개인정보의 규제 범위가 과도하게 넓어졌다는 것이다.

또 형식적인 사전동의 시스템도 문제로 꼽혔다. 현행 제도는 개인정보 수집시 사용자에게 활용방안을 고지하고 사전동의를 받도록 요구하고 있다. SGI는 "사전동의 절차를 엄격히 요구하는 현행 포지티브 규제는 실제 사용자 보호효과가 떨어지는데다 사후책임을 사용자에게 전가하는 문제가 있다"고 지적했다.

SGI가 국민 500여명, 기업 200여개사를 대상으로 설문한 결과에서도 국민 85.0%, 기업 72.6%가 "사전동의 방식은 사용자 보호에 실질적 도움이 되지 않는다"고 답했다. SGI는 "미국·일본·EU(유럽연합)의 익명정보는 사전동의에서 사후동의로 전환하고 있지만, 국내 법률은 광범위한 사전동의를 적용해 비식별정보 활용을 크게 제약하고 있다"고 짚었다.

과다·중복규제로 인해 개인정보의 활용도가 낮다는 비판도 나왔다. 한국은 일반법인 개인정보보호법과 산업별 개별법을 통해 이중으로 개인정보 활용을 규제하고 있다. 복잡한 규제 때문에 빅데이터 분석을 수행한 기업은 1.7%에 불과하고, 그 중에서도 66%는 개인정보는 분석에서 제외하고 있는 실정이다.

◆"개인정보 활용과 보호, 균형점 찾아야"…비식별정보 구체적 가이드라인 마련 필요
SGI는 "한국의 개인정보제도는 제약만 많고, 개인정보를 활용한 신사업 창출도 안전한 보호도 이루어지지 못하는 상황"이라며 "개인정보 활용과 보호 간 균형점을 찾는 정책 마련이 필요하다"고 제안했다.

한편 지난 8월 정부가 산업계 의견을 반영해 마련한 '개인정보 규제혁신 방안'에 대해서 SGI는 긍정적 평가를 내렸다. 이어 제도의 실효성 제고를 위해 비식별정보(가명·익명정보)에 대한 보다 구체적인 가이드라인 마련을 촉구했다.

영국과 미국은 구체적 기준을 사용해 익명정보의 재식별 리스크를 낮췄다. 영국은 데이터 전문가나 해커가 아닌 인터넷·도서관에 공개된 정보를 이용할 수 있는 일반인을 기준으로 재식별 리스크를 평가하고 있다. 미국은 비식별화에 관한 지식과 경험을 가진 전문가가 비식별화 수준을 판단하고 있다.

보고서는 "완전무결한 비식별화가 현실적으로 어렵다는 점을 어느 정도 인정하고, 재식별 위험성을 합리적 수준으로 낮추려는 선진국의 제도를 참고해, 비식별 개인정보에 대한 명확한 정의를 내려야한다"고 했다.

◆개인정보보호제도, '사후평가‧자율규제 방식'으로 패러다임 전환해야
SGI는 개인정보보호제도의 패러다임을 현행 사전절차·처벌중심 방식에서 사후평가·자율규제로 전환해야 한다고 주장했다.

실제 대다수 국민과 기업들은 사전규제 방식보다 사후규제 방식을 선호하고 있다. 규제방식 선호도를 묻는 질문에 국민 67.9%, 기업 63.7%가 "절차 규제는 완화하되 사후 처벌을 강화해야 한다"고 답했다. '규제 집행력 제고를 위한 합리적 방향'에 대해서도 국민 63.2%, 기업 68.2%가 "현행 처벌 일변도 방식보다 인센티브 제공을 병행하는 자율규제방식이 효과적일 것"이라고 답했다.

이성호 SGI 신성장연구실장은 "개인정보보호제도를 사후평가 ‧자율규제 방식으로 전환해 개인정보의 실질적인 보호정도를 높이고, 기업의 자발적인 보호역량 강화를 유도해야 한다"고 조언했다.

◆빅데이터 시범사업 조기추진, 개인정보보호 민관협력 거버넌스 구축 등 제안
개인정보 활용의 편익을 체감할 수 있는 '빅데이터 시범사업'을 조기에 추진한 필요성이 있다는 목소리도 나왔다. "개인정보활용의 제도적 장애가 해소되더라도 데이터의 기술적 표준화가 미진하면 활용성이 제약받게 된다"며 "신사업 창출 가능성이 높은 의료, 금융, 전자상거래 분야를 중심으로 시범사업을 조기 추진해 나갈 것"을 제안했다.

이와함께 개인정보 보호와 활용의 균형을 모색하기 위해 기업과 정부, 학계의 데이터 전문가들이 위원으로 참여하는 민관협력 거버넌스 체계 수립 필요성도 제기됐다.

고학수 서울대학교 법학전문대학원 교수는 "현재의 개인정보보호 법제도는 빅데이터·인공지능 시대로의 패러다임 변화를 충분히 반영하지 못하는 한편, 정보주체들이 가지는 불안감을 해소하는 데에도 아쉬움이 있다"며 "데이터의 활용도와 함께 사회적 신뢰도도 제고하기 위해 관련 법제도의 개선 노력이 필요하다"고 말했다.