데이터는 새로운 경제의 쌀 또는 원유라고 한다. 캐나다의 한 스타트업은 동식물 질병정보와 항공 데이터를 활용해 신종 코로나바이러스(코로나19)의 확산을 일찌감치 예측했다고 한다. 양질의 데이터를 확보하고 활용하는 것이 국가 경쟁력의 핵심이 되고 있다. 최근 데이터의 안전한 활용 기반을 마련하기 위해 「개인정보 보호법」이 개정됐다. 개정법은 지난 2월 4일 공포됐고 올 8월 5일 시행된다.
누구인지 알아볼 목적으로 가명정보 처리하면 징역 또는 벌금과 과징금 부과
주요 개정 내용을 보면, 먼저 가명정보를 도입했다. 추가 정보 없이는 특정 개인을 알아볼 수 없도록 안전하게 처리된 가명정보를 통계작성, 과학적 연구, 공익적 기록보존 등에 활용하도록 했다. 또한 안전한 데이터 결합을 위해 가명정보의 결합은 보안시설을 갖춘 전문기관에서만 할 수 있도록 했다. 둘째로 개인정보 보호 감독기구를 기존의 행정안전부, 방송통신위원회 등에서 개인정보보호위원회로 일원화했다. 이를 통해 이중 규제에 따른 불편을 해소하고 효과적인 보호가 이뤄질 수 있도록 했다. 「정보통신망법」상의 개인정보 보호 규정을 현행 「개인정보 보호법」으로 모두 이관해 법 체계도 일원화했다.
가명정보는 추가정보 없이는 특정 개인을 알아볼 수 없도록 안전하게 처리된 정보다. 원래의 개인정보의 일부를 제거하거나 일부 또는 전부를 대체하는 방법으로 특정 개인을 알아볼 수 없도록 처리한 것이다. 예를 들면 홍길동, 41세, 행정안전부 공무원, 예금잔액 등의 정보가 있다고 할 때, 이름은 삭제하고 40대, 공무원, 예금잔액 등으로 표시하는 정보가 가명정보라고 할 수 있다. 실제 가명처리는 식별 데이터를 범주화하거나 암호화하는 등의 방법으로 이뤄진다. 가명정보도 개인정보이기 때문에 안전한 관리를 위한 계획을 수립·이행해야 하며, 접근권한 관리 등 안전성 확보 조치를 해야 한다. 그리고 개인을 알아볼 수 있는 추가정보는 반드시 분리해 보관하고, 가명정보를 처리할 때는 그 목적과 처리내용 등을 기록·보관해야 한다. 누구인지 알아볼 목적으로 가명정보를 처리한 경우에는 5년 이하 징역 또는 5천만원 이하의 벌금과 함께 연매출액의 3%까지 과징금을 부과한다.
현재의 개인정보보호위원회는 인사, 예산의 독립성이 부족한 행정위원회다. 개정법에 따라 이 위원회가 국무총리 소속의 장관급 중앙행정기관이 된다. 그리고 행정안전부와 방송통신위원회의 개인정보 보호업무가 격상된 개인정보보호위원회로 일원화된다. 이로써 중복 규제의 해소 효과가 있을 것으로 기대된다. 예를 들면 개인정보 보호와 관련해 오프라인 영업은 행정안전부가, 온라인 영업은 방송통신위원회가 담당하는데, 대부분의 기업은 양쪽 사업을 모두 병행하고 있어서 양 기관의 감독을 동시에 받고 있다. 향후에는 일원화된 개인정보보호위원회가 담당하게 돼 수범자의 불편과 혼란이 해소될 것이다. 또 하나 중요한 점은, 중앙부처가 되는 개인정보보호위원회의 업무 중 국민의 권익 구제와 분쟁 조정 등과 관련된 사항은 국무총리의 지휘·감독에서 배제된다. 그만큼 독립성이 보장된다. 행정안전부는 새로 출범하는 개인정보보호위원회가 명실상부하게 개인정보 정책과 국민 권익 보호기관으로 자리매김할 수 있도록 예산, 인력의 이관과 조직 구성 등을 적극 지원할 것이다.
기업 부담 해소 위해 국가 차원에서 EU GDPR 적정성 결정에 대응
유럽연합(EU)의 「개인정보 보호법」인 GDPR(General Data Protection Regulation)은 원칙적으로 EU 주민의 개인정보를 EU 밖으로 이전하지 못하도록 하면서 별도의 예외사항을 두고 있다. EU와 같은 수준으로 개인정보를 보호한다는 것을 보여주면 되는 것인데, 기업 차원에서 별도의 규칙을 제정하거나, 국가 차원에서 EU와 동등한 보호 수준을 가지고 있다는 적정성 결정을 받는 것이다. 우리는 기업 부담 해소를 위해 국가 차원에서 적정성 결정을 받으려고 한다. EU 적정성 결정에서 핵심 요건이 개인정보 감독기구의 독립적인 구성과 독립적인 조사·처분권의 보유다. 행정안전부는 그간 「개인정보 보호법」 개정을 전제로 적정성 결정 협의를 추진해왔으며, 이번 법 개정으로 적정성 결정이 한층 가시화됐다. EU는 우리의 「개인정보 보호법」을 개정한다면 우리나라가 EU와 동등한 수준의 개인정보 보호가 보장된다고 인식하고 있다. 이에 따라 법 개정 이후 적정성 초기결정을 할 수 있다는 의견을 꾸준히 한국 측에 제시해왔다. EU의 적정성 결정은 EU 집행위원회의 초기결정을 거쳐 유럽의회 및 각국 대표의 결의를 거친 후 최종결정되는데 초기결정은 실무적으로 마무리 단계이며, 법 시행 직후 최종결정이 기대된다.
한편 안전한 데이터의 활용을 위해 보다 구체적인 기준이나 가이드라인 제시가 필요하다. 무엇보다도 시행령 등 후속법령에 구체적인 사항들을 위임해놓았기 때문에 이를 시급히 입안해 불확실성을 제거할 필요가 있다. 법에서 위임된 내용을 중심으로 시행령과 고시 등 행정규칙을 3~4월 중 입안해 입법예고할 계획이다. 예를 들어 데이터의 안전한 결합을 위한 결합 절차는 시행령을 통해 구체화할 예정인데, 결합을 수행하는 전문기관도 처음부터 전체 데이터를 알 수 없도록 보안이 강화된 결합 방법을 연구하고 있다. 아울러 법 시행 시점에 맞춰 분야별 개인정보 처리 가이드라인과 법 해설서도 마련한다. 의료정보, 신용정보 등에 관해 각각 보건복지부, 금융위원회 등과 협력해 가이드라인을 만들고, 법 해설서를 통해 새로 도입된 개념이나 내용을 쉽게 이해할 수 있도록 구체적인 사례를 제시할 것이다.
개정법이 6개월 후 시행되는 만큼 후속 입법과 위원회 출범에 차질이 없도록 준비해나갈 것이다. 그리고 법률 일원화를 위해 「개인정보 보호법」으로 단순 통합한 규정에 대해 정합성을 제고하는 2차 개정을 추진할 필요가 있다. 아울러 개인정보 보호 역량을 강화하는 것이 중요하다. 개인정보처리자의 자율적인 개인정보 보호 활동을 지원하고 개정 사항 중심으로 교육 및 컨설팅을 지속 추진할 것이다. 개인정보 보호 수준 진단도 보다 내실 있게 추진해 개인정보처리자가 스스로 진단하고 개선점을 발견할 수 있도록 도울 것이다. 향후 정보주체의 새로운 권리도 검토할 필요가 있겠다. 프로파일링 거부권, 개인정보 이동권 등 정보주체의 권리 강화를 위한 제도를 새로 출범하는 개인정보보호위원회에서 적극 검토할 것으로 기대한다.