데이터 3법은 2018년 11월 정부와 여당 주도로 발의된 개인정보보호법, 정보통신망법, 신용정보법 개정안을 의미한다. 금융, 통신, 인터넷 서비스 등, 기업들이 개인 정보를 데이터로 활용할 수 있도록 관련 개념과 감독 기구 등을 정하는 내용을 담고 있다. 이를 통해 데이터의 활용 범위를 법적으로 명확히 규정하고 데이터 활용을 가로막는 규제들을 해소하자는 내용이 골자이다.

데이터 3법의 현재 상황은?

지난 11월 29일, 국회 법제사법위원회는 상임위를 힘들게 통과하고 올라온 개인 정보보호법과 신용 정보법 개정안의 두 법안을 계류하였다. 법의 원래 목적인 개인 정보 보호에 반하고 있다는 것이 그 이유다. 결국 29일 예정되었던 국회 본회의에서 데이터 3법은 의결되지 못했다.

이 때문에 데이터 3법의 처리를 기다리던 정부와 산업계는 그야말로 좌불안석이다. 데이터 3법과 맞물렸던 데이터 경제 활성화 정책과 기대했던 우리나라의 유럽 연합의 GDPR(General Data Protection Regulation) 국가 적정성 인증 획득 또한 멀어졌기 때문이다.

업계의 볼멘소리를 들어보자. 지난 4차 산업혁명 대정부 권고안 발표와, 문재인 대통령의 데이터 경제 활성화 규제 혁신 방안에도 불구하고, 내부의 개인 정보 보호 및 활용, 관련 기구에 대한 확고한 기준의 확립이 늦어지면서 안으로는 빅데이터를 활용한 경제 활성화, 밖으로는 유럽으로의 서비스 확대를 염원하는 기업의 발목에 제동이 걸렸다는 의견이다.

또 다른 의견으로는 정작 데이터의 주체인 국민들의 공감이 전무한 상태에서, 개인으로부터 추출한 정보의 활용의 반사 이익은 기업만이 취득한다는 것이다. 즉 국민들의 프라이버시와 데이터 침해 관련 범죄와 부작용이 있을 수 있다는 지적이다. 빅데이터, 인공지능 산업 발전을 명목으로 하고 있지만 국민들은 데이터 3법의 통과 이후 본인에게 어떤 일이 생기는지 공감이 되지 않았다는 의견이다.

데이터 3법에서 가장 논란이 되는 부분은 개인 정보를 각자의 동의 없이 신상품 개발이 필요한 기업에게 이름이나 주민등록번호와 같은 개인 식별이 가능한 정보를 삭제하거나 암호화한 후 제공하는 가명 처리 부분이다. 정부의 입장은 가명 처리된 데이터는 안전하다는 것이고, 이를 반대하는 단체의 입장은 또 다른 정보와 재결합을 하면 결국 개인을 재식별할 수 있는 위험이 있다는 것이다.

데이터 3법과 GDPR의 관계

데이터 3법에 대한 정부와 기업 그리고 민간단체의 팽팽한 줄다리기는 국회 본회의가 거듭 무산되면서 올해를 넘기게 될 수도 있으며, 이는 GDPR을 준비해야 하는 국내 기업에게 큰 장애물로 다가올 수밖에 없다.

GDPR(General Data Protection Regulation: 유럽의 개인 정보보호 규정)의 45조 내용을 살펴보자.

45조. 적정성 결정(adequacy decision)에 따른 이전
제3국 혹은 국제기구로의 개인 정보 이전은, 위원회(Commission)가 결정한 국가, 지역 혹은, 그곳에 속하는 하나 혹은 다수의 기관이 데이터 보호에 대한 적정한 보호 수준(level) 갖추었을 때만 가능하다. 이 경우, 별도의 인가(authorisation)을 필요로 하지 않는다.

즉, 유럽 위원회가 특정 국가 혹은 국제기구를 대상으로 적정성 평가 결정을 내리면, 별도의 인가 없이 개인 정보를 외부로 이전할 수 있다는 내용이다. 기업에게는 유럽에서 서비스를 하면서 획득한 개인 정보를 본국에서 합법적으로 활용할 수 있는 근거가 된다.

2019년 3월 기준, 모두 13개의 국가가 적정성 인증을 받았다. 아시아에서는 일본이 유일하다. 유럽을 대상으로 서비스를 하는 일본 기업의 경우, 국가 차원에서 데이터 이전에 대한 국가 적정성 평가 및 인증을 받았기 때문에 GDPR 관련, 상당한 노력과 비용을 줄일 수 있는 계기가 되었다.

우리나라의 경우, 지난 2014년 몇 개의 금융사에서 개인 정보 유출 사고가 발생하면서, 국내에서는 엄격하게 개인 정보보호 규제를 보유한 것과 대조적으로 아직까지 GDPR 국가 적정성 인증을 받지 못했다. 그 이유는 한국의 개인 정보보호법과 개인 정보보호 위원회 등의 관련 규정이 글로벌 표준과 거리가 있다고 유럽 연합이 판단했기 때문이다.

따라서 유럽 서비스를 이미 하고 있거나, 계획 중인 GDPR의 영향을 받는 우리 기업들은 다음 두 개의 방법 중 하나를 선택해야 한다.

첫 번째 방법은 유럽에서 수집한 개인 정보를 유럽 내 데이터 센터나 클라우드 서비스를 통해 유럽에서만 수집, 처리, 재사용, 폐기하는 프로세스를 갖추고 데이터를 역외로 이전하지 않아야 적법하다.

두 번째 방법은 수집한 개인 정보 데이터를 국내로 들어오거나, 유럽 권역이 아닌 제3자에게 제공하는 등, 실제 데이터의 역외 이동을 해야 하는 경우인데, 이 경우엔 데이터 국외 이전에 대한 동의를 사용자(end user) 개개인에게 받아야 한다.

GDPR - 국가 적정성 인증의 중요성

기업이 GDPR에 대한 복잡한 인증 준비를 모두 했다고 해도, 서비스 별로 이런 동의를 모든 사용자에게 받아야 하는 것은 매우 큰 부담이다. 특히 별도의 GDPR 전담팀이나 법무팀이 있는 대기업을 제외한 기업의 경우, 상당한 비용과 수고가 예상되며, 추후 관련 준비가 미비하여 위원회로부터 최대, 벌금( 매출액 4% 혹은 약 260억 원 )을 부과 받는 경우가 발생할 수도 있다. 모든 것을 잘 지키고 수반하여 서비스를 하더라도 데이터 역외 이전을 하고 있는 기업은 유럽 위원회의 1차적인 GDPR 모니터링 대상 기업이 될 수 있다.

그렇기 때문에 우리나라가 GDPR 적정성 대상 국가 인증을 받는 것이 매우 중요해졌다. 우리나라는 GDPR 시행 이전인 2017년도에 일본과 함께 적정성 우선 협상국으로 지정되었지만, 그동안 두 차례 심사에서 탈락한 경험이 있다.

탈락의 주원인인 "개인 정보보호 감독기관"의 독립성 강화 및 국내 개인정보보호법 - 개인을 특정할 수 없게 비식별 조치한 "가명 정보의 처리 방법", 수집된 정보의 추가 처리를 허용하는 구체적 기준, 개인 정보에 대한 이동권 등이 여전히 국회에 계류되어 통과하지 못한 상황이다.

현행 데이터 3법 개정안은 20대 국회 문턱을 넘지 못하면 자동적으로 폐기된다. 독립적이고 총괄적인 감독 기구 설립을 통해 지적되었던 내용들의 개정안을 준비해왔고, 데이터 3법 중, 특히 개인정보보호법의 통과 이후, GDPR 국가 적정성 인증까지 기대했던 정부와 관련 업계는 다시 한번 언제가 될지 모르는 다음 기회를 준비해야 하는 상황이 올 수 있다.

강상진 sangjinn@gmail.com 필자는 삼성SDS, 마이크로소프트, 아카마이 테크놀로지스 등에서 소프트웨어 개발과 프로그램 매니저, 아키텍트 경험을 쌓았고, 페이스북에서 "Tech유람" 페이지를 운영하고 있다. 다양한 IT 관련 지식을 글과 컨퍼런스, 교육을 통해 많은 이들에게 전달하고 공유하며, 상호 작용하는 삶을 즐기고 있다.

( ※ 이 글이 게시되고 열흘 이후, 데이터 3법은 한 해를 넘긴 2020년 1월 9일 국회에서 통과됐다. 관련 데이터 산업과 GDPR 적정성 인증에 마중물이 된 것이다. 그렇지만 인권위에서 여러 번 지적했던 대로, 개인 정보 권리는 여전히 존중받아야 하며, 가명 정보 활용 범위 등에 대한 구체적인 가이드라인이 추가될 것으로 기대한다.)

(이 칼럼은 Nextdaily 편집 방향과 다를 수 있습니다.)