지난달 9일 4차 산업혁명의 물꼬를 트는 '데이터 3법'이 1년 2개월 만에 국회 본회의를 통과했다. 이번 개정안은 개인정보보호법, 정보통신망법, 신용정보보호법을 포함하며 ‘가명정보’ 개념을 도입해 이를 개인 동의 없이도 쓸 수 있도록 하는 것이 주요 골자다.
제약업계를 비롯한 데이터와 인공지능(AI)을 다루는 업계에서는 구 정보보호법이 무조건적인 정보 보호 측면만 강조해 4차 산업혁명에 있어 데이터 활용이 세계에서 뒤처지고 있다는 점을 강조해왔다.
'데이터 3법'은 명확해진 개인정보 판단 기준에서 시작한다. 이에 따라 가명정보 개념을 새로이 도입하고 데이터 간 결합 근거를 마련했다. 가명정보는 통계작성·과학적 연구·공익적 기록 보존·시장조사 등을 위해 정보주체의 동의 없이도 이용할 수 있다. 데이터의 가명처리를 통해 다양해질 활용 방안과 새로운 기술·제품·서비스 개발, 시장조사 등 분야 확대가 기대를 받고 있다.
데이터·인공지능(AI)을 다루는 업계와 시민단체의 시각은 극명히 다르다. 그 논란의 핵심에는 '가명정보'가 있다. 가명정보는 실명의 개인정보를 수집한 뒤 가명을 씌운 형태로 다른 정보와 결합되면 다시 식별이 가능하다는 우려가 있다.
◇ 그림자 : 4차 산업혁명의 시작인가 개인정보 침해인가
시민단체를 비롯해 일각에서는 데이터 3법에 대한 부정적인 시각이 공존한다. '가명정보'로 인한 개인정보 침해 우려가 제기 됐기 때문이다.
익명정보는 처음부터 익명으로 정보를 수집해 통계를 낸 것으로 사실상 개인정보로서 의미가 없다. 따라서 빅데이터로 활용하기에 가치가 떨어진다. 반면 가명정보는 실명으로 정보를 수집해 가명 처리한 것으로 빅데이터로서 활용 가치가 높지만 추후에 개인정보를 유추할 가능성이 열려있다는 것이 특징이다. 실제로 지난해 7월 국제 학술지 '네이처 커뮤니케이션'에 비식별화된 데이터(가명정보)에서 특정 개인을 정확히 찾아냈다는 몽조이 교수의 논문이 게재되어 표본으로부터 개인을 특정할 수 있다는 것이 공식적으로 밝혀졌다.
데이터 3법을 적극적으로 환영했던 한국과학기술단체총연합회 역시 "데이터 3법의 가명 처리 방식이 구체적으로 규정되지 않고 후속조치 필요성이 제기되고 있다"며 개인정보 보호에 대해 여러 의견이 공존하고 있음을 인정했다.
이런 피해를 막기 위해 개인정보보호법 개정안은 지정된 전문기관에서만 정보를 결합할 수 있도록 했다. 또 고의적으로 개인을 재식별할 경우 5년 이하의 징역과 5000만원 이하의 벌금형에 처할 수 있도록 했고, 기업에는 매출의 3%까지 과징금을 부과하도록 했다.
그러나 엎질러진 물처럼 한 번 퍼져나간 정보를 회수하기는 사실상 불가능하기 때문에 현 규제가 충분하지 않다는 것이 전문가들의 견해다.
고려대학교 정연돈 교수는 "개정된 개인정보보호법을 통해 보호 측면에선 과거보다 약화된 것은 사실"이라며 "빅데이터를 적극 활용해야 하지만 아직까지 법적 해석이 모호"하다며 "앞으로 사회적 합의를 통해 명확한 기준을 세워야 한다”고 말했다.
험한 길을 가려면 서서히 걸어야 한다고 셰익스피어가 그랬던가. '데이터 3법' 통과 이후 많은 과제가 산적해 있다. 2월이나 3월 예정이었던 시행령이 아직까지 발표되지 않았기 때문이다.
개인정보법 개정안에서는 가명처리한 개인정보 상업적 활용을 열어두면서 과학적 연구를 ‘기술의 개발과 실증, 기초연구, 응용연구 및 민간 투자 연구 등’이라고 정의한다. 그러나 아직까지 기업이 상업적 목적으로 어디까지 사용할 수 있는지 불명확해 하위 법령인 시행령에서 보다 구체화될 필요가 있다.
◇ 유럽과 미국도 '데이터 보호' 강화하는 추세
빅데이터 활용으로 인한 개인정보 침해를 막기 위해 미국과 유럽에서는 관련 규제를 오히려 강화하는 추세다. 유럽 연합이 2018년부터 시행한 GDPR과 미국 캘리포니아주가 2020년 시행한 '캘리포니아 소비자 프라이버시 보호법(CCPA)'이 대표적인 예다.
오늘날 우리가 먹고, 물건을 구매하고, 병원에 가는 모든 동선이 빅데이터화 되기 때문에 데이터 활용은 관련 산업의 성장과 소비자의 맞춤형 서비스 구축과 함께 사생활을 비롯한 개인정보 유출과 침해 위험이 공존하는 양날의 검이다.
이 문제에 대해 법무법인 세종의 장준영 변호사는 "미국이나 유럽은 개인정보 활용을 넓게 인정하되 유출이나 개인정보 침해시 당사자에게 엄격한 책임을 부과한다"며 "우리나라도 데이터 중요성에 대한 인식을 기반으로 개인정보 활용도를 넓히면서 정보 주체를 안전하게 보호할 수 있는 접점을 모색해야 한다"고 답했다.
◇ 빛 : 데이터 3법은 4차 산업혁명의 주춧돌
현 상황에서 정보인권에 대한 우려를 빚는 데이터 3법이 이상적으로 시행된다면 개인별 맞춤형 서비스 등 혁신 데이터 서비스 창출이 활성화될 전망이다.
통신·금융·유통 등 서로 다른 분야 데이터를 안전하게 결합·이용할 수 있어 그 가치가 제고될 뿐만 아니라 데이터를 활용해 서비스와 고객분석 등이 섬세하게 이뤄질 수 있기 때문이다.
일례로 국내 제약업계는 170억건 이상의 환자 데이터를 활용해 각 환자별 유형에 맞는 치료제를 개발할 수 있게 된다.
영국과 미국 등은 한국과 달리 환자 정보가 표준화 되어 있지 않아 활용에 한계가 있지만 국내 병원은 표준화된 양식으로 환자의료정보를 저장, 정보간 호환 및 비교가 가능해 상업적으로 활용하기가 용이해 '데이터 3법'의 통과에 따른 변화가 기대된다.
또 은행·핀테크 업계는 금융 데이터와 비금융데이터를 결합해 신용정보를 세분화하고 활용할 수 있게 된다. 대표적인 예로 마이데이터가 있다. 마이데이터는 개인 스스로에게 데이터 주권을 돌려주는 것을 말한다. 자신의 정보를 스스로 관리하고 금융회사 등 기업뿐 아니라 정보주체인 개인이 데이터를 활용해 편익(신용관리·재무분석) 등에 활용할 수 있게 된다.
이 외에도 은행, 보험, 카드 업계에서 고객 맞춤형 서비스를 제공할 수 있게 된다. 이에 소비자는 본인에게 맞는 서비스를 보다 용이하게 선택할 수 있다.
다만 업계는 시행령이 나오기까지 지켜봐야한다며 신중을 가하고 있다. 소비자 사이에서 개인정보 유출에 대한 우려가 제기되고 있을 뿐만 아니라 개정된 내용만으로는 가명 정보의 정의, 정보 공유의 범위 등이 정해지지 않았기 때문에 구체적인 시행령을 기다리고 있다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지