칼럼
K인사이트개인정보보호의 근간 훼손 없이 데이터 활용 촉진할 방안은?
개인정보 수집·이용·제공을 어렵게 하는 규제는 사업 포기에 따른 기회비용,
개인정보 제공자 불편에 따른 사회비용도 동반한다.
개인정보의 수집·이용·제공을 더 너그럽게 용인하되 취득한 개인정보는 안전하게 관리하도록
한다면 유출 건수를 같은 수준으로 유지하거나 낮추면서도 데이터를 더 많이 활용할 수 있게 된다.
디지털 전환(DX)을 넘어 AI 전환(AX)으로 경제 패러다임이 진화하고 있다. 데이터의 중요성은 이전에도 강조됐지만, 데이터를 빼고는 AI 발전을 상상할 수 없을 정도로 그 중요성이 커졌다. 얼마나 많은 데이터를, 얼마나 희소한 데이터를 활용할 수 있느냐가 AI의 성능을 좌우하고 관련 산업 발전을 촉발할 수 있다. 우리나라는 일찍부터 데이터 축적이 이뤄져 왔고 체계적으로 관리되고 있다는 점에서 데이터의 양과 질 모두 우수하다. 예컨대 전 국민 건강보험 데이터는 세계 어느 나라에서도 찾아볼 수 없는 자원이다.
문제는 이러한 양질의 데이터를 활용하기가 어렵다는 점이다. 핵심 쟁점은 개인정보 유출에 대한 우려와 이에 기반한 개인정보보호 체계다. 우리나라는 지난 이십여 년간 매우 많은 개인정보 유출 사고를 겪었고 피싱·스미싱 등 피해가 날이 갈수록 증가하고 있다. 최근에도 통신사와 카드사의 개인정보 유출 사고가 상당한 사회 문제로 대두된 바 있다. 이에 대한 대응으로 현재와 같은 개인정보보호 법제와 체계가 정립됐는데, 보호에 방점을 두다 보니 데이터의 활용에 상당한 제약을 주고 있다. 개인정보보호의 근간을 훼손하지 않으면서도 데이터 활용을 촉진하는 방안은 없을까?
개인정보보호에 방점 둔 법체계로
양질의 데이터 활용과 신사업에 제약
「개인정보 보호법」은 제15조부터 제27조에 이르기까지 개인정보의 수집·이용·제공 방법 및 제한사항을 열거하고 있다. 한편 해당 법 제28조와 제29조부터 제34조의2까지는 개인정보의 안전한 취급 및 보호를 위한 관리·감독 의무를 규정하고 있다. 전자와 후자 모두 개인정보 유출을 방지하기 위한 규정들이다. 전자는 개인정보를 덜 보관하도록 함으로써 개인정보가 유출될 여지를 줄이는 데 목적이 있다. 후자는 개인정보가 유출될 확률을 낮춘다는 취지다. 목적만 생각하면 어느 것 하나 쉽게 완화할 수 없을 것 같지만 그 경제적·사회적 영향까지 고려하면 개선할 방법이 보인다.
개인정보의 수집·이용·제공을 어렵게 하는 규제는 데이터 활용을 현저히 억제한다. 아무리 반짝이는 아이디어를 생각해 낸다고 해도 그것을 구현하기 위해 기존 데이터를 활용하려고 하면 규제의 벽이 높다. 현 법령 아래에서는 데이터를 다시 수집하거나, 기존 데이터의 이용·제공을 위해 다시 동의를 받아야 한다. 그뿐만 아니라 개인정보의 수집·이용·제공을 어렵게 하면 개인정보를 제공하는 일반 국민도 더 번거로운 절차를 거쳐야 한다. 보이지 않는 비용이 발생한다. 더 정확하게 말하면, 기업이 법령을 준수하기 위해 지불해야 하는 비용만 규제 비용이 아니고 포기해야 하는 사업 기회도 기회비용이며, 기업 외의 경제주체가 감내하는 불편도 사회적 비용이다.
반면에 개인정보를 안전하게 취급하고 보호하도록 하는 규제는 데이터 활용 자체를 억제하지는 않는다. 안전하게 취급하고 보호하는 한 데이터를 자유롭게 활용할 수 있다. 일반 국민을 번거롭게 만들지도 않는다. 즉 이러한 유형의 규제는 기업에 직접 부과하는 부담 외에 보이지 않는 비용이 없다. 그렇다면 위 두 가지 유형의 규제가 기업에 동일한 비용을 부담시키는 경우 후자의 규제가 사회적으로 더 낮은 비용을 유발한다고 볼 수 있다. 더 정치하게 표현하면 두 가지 유형의 규제가 기업에 부담시키는 비용 대비 개인정보보호 효과가 동일할 경우, 후자의 규제가 사회적 비용 대비 개인정보보호 효과 측면에서 월등하다.
종합해 보면, 전자와 같은 규제를 완화하는 대신 후자와 같은 규제를 강화함으로써 동일한 사회적 비용으로 더 나은 개인정보보호 효과를 내거나, 혹은 더 적은 사회적 비용으로 동일한 개인정보보호 효과를 얻을 수 있다. 다시 말해 개인정보의 수집·이용·제공은 더 너그럽게 용인하되 취득한 개인정보는 안전하게 관리하도록 하는 편이 더 효율적이다. 유출 건수를 같은 수준으로 유지하거나 혹은 낮추면서도 데이터를 더 많이 활용할 수 있게 된다는 의미다. 예컨대 서비스 제공에 필수적인 개인정보는 동의 없이 수집할 수 있게 하되, 동의 아래 수집된 데이터는 안전하게 관리하는 범위 내에서 자유롭게 활용하고 제공하도록 하는 방법을 생각해 볼 수 있다. 이는 개인정보보호 법제의 변혁을 요한다.
전문기관 외에도 가명정보 결합 허용 등
가명데이터 이용 활성화 방안 고민해야
「개인정보 보호법」 제28조의2부터 제28조의7까지는 데이터를 가명화해 이용·제공할 수 있도록 하고 있다. 이 조항들은 2020년 데이터 이용 활성화를 위해 신설됐고 실제로 활성화에 어느 정도 도움이 됐다. 그러나 충분히 도움이 되고 있다고 말하기에는 부족하다. 가명정보 간 결합에 다소 지나친 규제를 적용하고 있기 때문이다.
예를 들어 가명정보 간 결합은 전문기관을 통해야 한다. 그런데 자신이 취득한 개인정보를 다른 기관이 취득한 개인정보와 결합할 때 전문기관에 의뢰하는 것은 오히려 개인정보 유출 가능성을 높일 여지가 있고 불필요한 비용 지출을 수반한다. 또 다른 예로 현재 법령에서는 가명데이터가 특정 개인에 대한 정보를 담고 있으면 안 된다. 그러나 특정 개인에 대한 정보를 담지 않는 수준까지 가명화를 진행하면 양질의 부가가치를 창출할 수 없을 가능성이 높다. 가명화의 정도와 부가가치 창출 가능성은 어느 정도 상충관계에 있기 때문이다.
위에서 열거한 예를 중심으로 가명데이터 이용을 활성화하기 위한 방안을 찾아보자. 전문기관이 아니더라도 자신의 데이터를 다른 기관이 취득한 개인정보와 결합하는 일은 허용할 필요가 있다. 직접 데이터를 결합한 후 가명화해 보관하고 결합키는 따로 보관하는 등 유출될 경우에 대비해 안전하게 관리하도록 하는 것이 바람직하다. 결합된 데이터를 분석할 때도 가명화된 데이터 이용을 원칙으로 하고, 불가피한 경우에는 보안 수준이 높은 환경에서 원본 데이터를 이용하도록 하는 식으로 규제를 설계할 수 있다.
가명데이터에 특정 개인에 대한 정보가 담긴 경우 반드시 파기하도록 하기보다는 분석 목적에 따라 다르게 처리하도록 할 필요가 있다. 일반적으로는 특정 개인에 대한 정보를 삭제하고 나머지 데이터만 취급하면 문제가 없다. 특정 개인에 대한 정보를 빼고는 분석이 불가능한 예외적 상황에서는 가명데이터 취급자가 보안 및 배상책임 서약을 하고 분석하도록 허용할 수 있다. 완벽한 가명화를 요구하기보다는 불완전한 가명데이터의 위험요인을 통제하면서 부가가치를 창출하는 선택이 더 바람직하다.
개인정보 제공자 불편에 따른 사회비용도 동반한다.
개인정보의 수집·이용·제공을 더 너그럽게 용인하되 취득한 개인정보는 안전하게 관리하도록
한다면 유출 건수를 같은 수준으로 유지하거나 낮추면서도 데이터를 더 많이 활용할 수 있게 된다.
디지털 전환(DX)을 넘어 AI 전환(AX)으로 경제 패러다임이 진화하고 있다. 데이터의 중요성은 이전에도 강조됐지만, 데이터를 빼고는 AI 발전을 상상할 수 없을 정도로 그 중요성이 커졌다. 얼마나 많은 데이터를, 얼마나 희소한 데이터를 활용할 수 있느냐가 AI의 성능을 좌우하고 관련 산업 발전을 촉발할 수 있다. 우리나라는 일찍부터 데이터 축적이 이뤄져 왔고 체계적으로 관리되고 있다는 점에서 데이터의 양과 질 모두 우수하다. 예컨대 전 국민 건강보험 데이터는 세계 어느 나라에서도 찾아볼 수 없는 자원이다.
문제는 이러한 양질의 데이터를 활용하기가 어렵다는 점이다. 핵심 쟁점은 개인정보 유출에 대한 우려와 이에 기반한 개인정보보호 체계다. 우리나라는 지난 이십여 년간 매우 많은 개인정보 유출 사고를 겪었고 피싱·스미싱 등 피해가 날이 갈수록 증가하고 있다. 최근에도 통신사와 카드사의 개인정보 유출 사고가 상당한 사회 문제로 대두된 바 있다. 이에 대한 대응으로 현재와 같은 개인정보보호 법제와 체계가 정립됐는데, 보호에 방점을 두다 보니 데이터의 활용에 상당한 제약을 주고 있다. 개인정보보호의 근간을 훼손하지 않으면서도 데이터 활용을 촉진하는 방안은 없을까?
개인정보보호에 방점 둔 법체계로
양질의 데이터 활용과 신사업에 제약
「개인정보 보호법」은 제15조부터 제27조에 이르기까지 개인정보의 수집·이용·제공 방법 및 제한사항을 열거하고 있다. 한편 해당 법 제28조와 제29조부터 제34조의2까지는 개인정보의 안전한 취급 및 보호를 위한 관리·감독 의무를 규정하고 있다. 전자와 후자 모두 개인정보 유출을 방지하기 위한 규정들이다. 전자는 개인정보를 덜 보관하도록 함으로써 개인정보가 유출될 여지를 줄이는 데 목적이 있다. 후자는 개인정보가 유출될 확률을 낮춘다는 취지다. 목적만 생각하면 어느 것 하나 쉽게 완화할 수 없을 것 같지만 그 경제적·사회적 영향까지 고려하면 개선할 방법이 보인다.
개인정보의 수집·이용·제공을 어렵게 하는 규제는 데이터 활용을 현저히 억제한다. 아무리 반짝이는 아이디어를 생각해 낸다고 해도 그것을 구현하기 위해 기존 데이터를 활용하려고 하면 규제의 벽이 높다. 현 법령 아래에서는 데이터를 다시 수집하거나, 기존 데이터의 이용·제공을 위해 다시 동의를 받아야 한다. 그뿐만 아니라 개인정보의 수집·이용·제공을 어렵게 하면 개인정보를 제공하는 일반 국민도 더 번거로운 절차를 거쳐야 한다. 보이지 않는 비용이 발생한다. 더 정확하게 말하면, 기업이 법령을 준수하기 위해 지불해야 하는 비용만 규제 비용이 아니고 포기해야 하는 사업 기회도 기회비용이며, 기업 외의 경제주체가 감내하는 불편도 사회적 비용이다.
반면에 개인정보를 안전하게 취급하고 보호하도록 하는 규제는 데이터 활용 자체를 억제하지는 않는다. 안전하게 취급하고 보호하는 한 데이터를 자유롭게 활용할 수 있다. 일반 국민을 번거롭게 만들지도 않는다. 즉 이러한 유형의 규제는 기업에 직접 부과하는 부담 외에 보이지 않는 비용이 없다. 그렇다면 위 두 가지 유형의 규제가 기업에 동일한 비용을 부담시키는 경우 후자의 규제가 사회적으로 더 낮은 비용을 유발한다고 볼 수 있다. 더 정치하게 표현하면 두 가지 유형의 규제가 기업에 부담시키는 비용 대비 개인정보보호 효과가 동일할 경우, 후자의 규제가 사회적 비용 대비 개인정보보호 효과 측면에서 월등하다.
종합해 보면, 전자와 같은 규제를 완화하는 대신 후자와 같은 규제를 강화함으로써 동일한 사회적 비용으로 더 나은 개인정보보호 효과를 내거나, 혹은 더 적은 사회적 비용으로 동일한 개인정보보호 효과를 얻을 수 있다. 다시 말해 개인정보의 수집·이용·제공은 더 너그럽게 용인하되 취득한 개인정보는 안전하게 관리하도록 하는 편이 더 효율적이다. 유출 건수를 같은 수준으로 유지하거나 혹은 낮추면서도 데이터를 더 많이 활용할 수 있게 된다는 의미다. 예컨대 서비스 제공에 필수적인 개인정보는 동의 없이 수집할 수 있게 하되, 동의 아래 수집된 데이터는 안전하게 관리하는 범위 내에서 자유롭게 활용하고 제공하도록 하는 방법을 생각해 볼 수 있다. 이는 개인정보보호 법제의 변혁을 요한다.
전문기관 외에도 가명정보 결합 허용 등
가명데이터 이용 활성화 방안 고민해야
「개인정보 보호법」 제28조의2부터 제28조의7까지는 데이터를 가명화해 이용·제공할 수 있도록 하고 있다. 이 조항들은 2020년 데이터 이용 활성화를 위해 신설됐고 실제로 활성화에 어느 정도 도움이 됐다. 그러나 충분히 도움이 되고 있다고 말하기에는 부족하다. 가명정보 간 결합에 다소 지나친 규제를 적용하고 있기 때문이다.
예를 들어 가명정보 간 결합은 전문기관을 통해야 한다. 그런데 자신이 취득한 개인정보를 다른 기관이 취득한 개인정보와 결합할 때 전문기관에 의뢰하는 것은 오히려 개인정보 유출 가능성을 높일 여지가 있고 불필요한 비용 지출을 수반한다. 또 다른 예로 현재 법령에서는 가명데이터가 특정 개인에 대한 정보를 담고 있으면 안 된다. 그러나 특정 개인에 대한 정보를 담지 않는 수준까지 가명화를 진행하면 양질의 부가가치를 창출할 수 없을 가능성이 높다. 가명화의 정도와 부가가치 창출 가능성은 어느 정도 상충관계에 있기 때문이다.
위에서 열거한 예를 중심으로 가명데이터 이용을 활성화하기 위한 방안을 찾아보자. 전문기관이 아니더라도 자신의 데이터를 다른 기관이 취득한 개인정보와 결합하는 일은 허용할 필요가 있다. 직접 데이터를 결합한 후 가명화해 보관하고 결합키는 따로 보관하는 등 유출될 경우에 대비해 안전하게 관리하도록 하는 것이 바람직하다. 결합된 데이터를 분석할 때도 가명화된 데이터 이용을 원칙으로 하고, 불가피한 경우에는 보안 수준이 높은 환경에서 원본 데이터를 이용하도록 하는 식으로 규제를 설계할 수 있다.
가명데이터에 특정 개인에 대한 정보가 담긴 경우 반드시 파기하도록 하기보다는 분석 목적에 따라 다르게 처리하도록 할 필요가 있다. 일반적으로는 특정 개인에 대한 정보를 삭제하고 나머지 데이터만 취급하면 문제가 없다. 특정 개인에 대한 정보를 빼고는 분석이 불가능한 예외적 상황에서는 가명데이터 취급자가 보안 및 배상책임 서약을 하고 분석하도록 허용할 수 있다. 완벽한 가명화를 요구하기보다는 불완전한 가명데이터의 위험요인을 통제하면서 부가가치를 창출하는 선택이 더 바람직하다.
구독관리
나라경제 인기 콘텐츠
-
칼럼 - K인사이트
주택시장에 영향 큰 전세대출, 서민 주거안정을 위한 균형점은?
문윤상 KDI 거시·금융정책연구부 연구위원 -
칼럼 - 밥 한 그릇의 위로
김밥 한 줄에 말아낸 간편식의 역사
박찬일 음식 칼럼니스트 -
칼럼 - 시평
이재명 정부의 노동개혁 톺아보기
이병훈 중앙대 사회학과 명예교수 -
특집
완만한 둔화 예상되는 2026년 세계경제, 세 가지 리스크 유의해야
이치훈 국제금융센터 세계경제분석실장 -
특집
AI 대전환과 과학기술 혁신으로 ‘진짜 성장‘ 이끈다
조경옥 과학기술정보통신부 기획재정담당관 -
이슈
불 꺼진 공장, 다크팩토리… 사람 없이도 24시간 자동으로 돌아간다
박종민 동아일보 산업1부 기자 -
특집
산업 대전환의 시대 도태의 위기를 도약의 기회로 바꿀 것
김귀범 기획재정부 종합정책과장
![[2025.07] 대출규제](/userdata/main/incContent/sideLink/23/aaaqQGcnBTcOc8zW9uLNz20251015165742zqfnw.png)
![[사람이 되고 싶어요2] 환율의 변화](/userdata/main/incContent/sideLink/22/aaaqQGcnBTcOc8zW9uLNz20251015165408vtzoa.jpg)
