데이터 3법 개정…논란이 되고 있는 쟁점과 개선 방안은?
스타트업얼라이언스는 개인정보보호법학회·체감규제포럼과 함께 2월 18일 오후 2시 프레스센터에서 ‘데이터 3법 개정과 향후 입법과제 모색’ 세미나를 공동 개최했다. 개정된 데이터 3법(개인정보보호법, 신용정보법, 정보통신망법)이 향후 시행됨에 있어서 논란이 되고 있는 쟁점을 검토하고 개선방안을 모색하는 자리였다.
1부 긴급토론에서는 개인정보보호법학회 회장인 김민호 교수(성균관대 법전원)가 좌장을 맡아 최근 법 시행을 둘러싸고 가장 첨예한 이슈인 “가명처리의 합법화를 위한 기준과 방법, 동의 없는 가명정보 활용의 구체적 범위, 정보통신서비스제공자 특례규정의 법체계 정합적 해석”에 대하여 전문가들이 모여 좌담을 가졌다.
먼저 가명처리의 합법화를 위한 기준과 방법에 대해 구태언 변호사(법무법인 린)는 개정법에서는 가명정보는 ‘상태’만을 규정한 것이 아니라 ‘재료’도 규정하고 있다고 설명하면서, 가명처리에 있어서 추가정보란 특정 개인을 식별할 수 있는 정보라면 식별자와 속성자 모두가 될 수 있고, 그 정보를 분리한 후 나머지 정보가 의미하는 수가 2이상이 되면 가능하다고 이야기 했다. 예를 들어 ‘대한민국 19대 대통령’이라고 하면 1명이나 속성자인 ‘19대’를 빼면 전-현직 대통령으로 12명이 되므로, ‘식별자’의 유무에 따라 가명정보인지를 판단할 것이 아니라 맥락에 따라 판단해야 함을 주장했다. 고환경 변호사(법무법인 광장)는 가명처리의 방법과 수준은 자칫 가명처리에 대한 규제로 작용할 수 있으므로 하위법령 마련에 있어서 각 분야 전문가들로부터의 광범위한 의견수렴을 거치는 것이 필요하다고 지적하였다.
다음으로 동의 없는 가명정보 활용의 구체적 범위에 대해서 홍대식 교수(서강대 법전원)는 첨예하게 논란이 되는 동의없이 처리되는 ‘과학적 연구’의 범위에 대하여 기업이 연구 주체가 되어 상업적 활용을 주된 목적으로 하는 경우는 논란이 있을 수 있으나, 연구기관이 연구 주체가 되는 과학적 연구로 인정되는 한 그 내용이 기초이든 응용이든 혹은 그 재원이 공공이든 민간이든 관계없고 연구의 성과가 산업적 목적으로 활용된다고 하더라도 허용되어야 할 것이라고 해석하였다.
황창근 교수(홍익대 법학과) 역시 신용정보법에서는 산업적 연구, 상업적 통계를 명문으로 규정하였지만 개인정보보호법에서는 명문으로 규정하지 않은 점에 대해 언급하면서, 개정법이 규정한 과학적 연구의 정의와 가명정보의 개념을 신설한 개정법의 입법취지를 종합하면 산업적 활용을 위한 산업적 연구 및 상업적 통계 작성이 포함되는 것으로 적극적으로 해석하는 것이 타당하다고 하였다.
그리고 이상직 변호사(법무법인 태평양)는 “세계적인 흐름과 변화하는 시장을 막을 수는 없다, 과거의 프레임에서가 아니라 앞으로의 프레임에서 정보 주체의 권리를 효과적으로 보호할 수 있을지를 생각해야 한다”고 운을 떼었다. 동의를 받지 않아도 되는 예외 허용 조건 중 ‘당초 수집 목적과 합리적 연관성’을 당초 동의받은 목적에 양립할 뿐 아니라 당초 목적에 따른 정보주체의 편익을 강화하고, 제3자의 불이익 등 부작용이 없는 경우 등으로 한정하여 악용을 방지해야 한다고 주장하였다.
이인호 교수(중앙대 법전원)는 유효한 가명정보의 경우 그 자체로는 개인을 식별할 수 없는 정보이고, 정보주체의 권리나 자유가 침해될 위험이 거의 없기 때문에 처리 목적을 굳이 제한할 필요가 있는지 의문을 제기했다. 우리나라의 가명정보를 동의 없이 처리하기 위한 합법성 요건과 가명정보의 결합이 GDPR 및 일본에 비해 매우 제한적이며 특히 일본은 익명 가공정보의 처리 목적을 제한하고 있지 않음을 지적했다.
정보통신서비스제공자 특례규정의 법체계 정합적 해석에 대해서 고환경 변호사는 기존 정보통신망법의 문제로 지적되어 왔던 개인정보 수집/제공에 관한 엄격한 사전 동의 규제, 개인정보 유효기간 규정 등을 삭제 혹은 합리적 완화가 필요하다고 진단하였다. 구태언 변호사 역시 제39조의 11(국내 대리인)와 같은 예외적인 경우만 남겨두고 기존 법령에 포섭하고 나머지는 폐지하는 방향이 바람직하다고 말했다.
2부 학술토론에서는 김현경 교수(서울과기대 IT정책전문대학원)가 “개인정보 국외이전 규정의 정비”에 대해, 손형섭 교수(경상대 법학과)는 “형사제재 규정의 합리화 방안”을 주제로 발표하고 토론을 진행했다.
김현경 교수는 개인정보 국외이전 규범은 데이터 주권 확보 및 데이터 경제활성화에 있어서 핵심적 사안임에도 불구하고 우리나라 현행 법령은 오로지 정보주체의 ‘동의’에 의존하여 개인정보의 해외이전을 규정하고 있음을 지적하였다. 상호적정성 모델에 의한 개인정보 국외이전 규정의 정비를 주장하면서 적정성승인에 의한 해외 기업에 대한 동의의 면제가 국내기업에 대한 역차별이 되지 않도록 ‘동의’제도 전반에 대한 재검토가 필요하다고 언급하였다.
마지막으로 손형섭 교수는 EU, 미국, 일본과의 비교를 통해 현행 과도한 형사처벌 규정의 문제점을 대안을 제시하였다. 민간 영역의 개인 정보 침해 문제는 손해 배상과, 과징금 규정에 의해 해결하고, 개보위 등은 이 법에 따른 행정권한의 확보를 위해 과태료를 인정하고, 형사벌은 비난가능성이 높거나 행정명령에 의도적으로 반하는 행위에 초점을 맞추어 처벌하도록 해야 한다고 대안을 제시하였다.