[인터뷰] 박지환 변호사 "4차 산업혁명식 무역규제 대비해야"

“한국의 수준 미달 개인정보보호 조치가 유럽연합(EU)에서 무역장벽으로 작용할 수 있다.”

박지환 오픈넷 자문변호사는 17일 인터뷰에서 이 같은 문제를 제기했다. 4차 산업혁명 물결 속에서 지금과는 차원이 다른 무역장벽이 생겨날 수도 있다는 얘기다. 그는 “유럽 시장을 아예 버릴 생각이 아니라면 지금부터 개인정보보호를 심각하게 고민해야 한다”고 강조했다.

뜬구름 잡는 얘기라 웃어넘길지 모른다. 한국이 4차 산업혁명 순위 25위에 불과한 점을 고려하면 인식이 부족할 수 있지만 4차산업혁명식 무역규제는 이미 현실이다. 

독일에서 배상 송사에 휘말린 페이스북 사례만 보더라도 그렇다. 그 뿐만 아니라 환경, 인권 등 가치는 자유무역주의(WTO) 체제 이후 비관세장벽으로 작동하면서 세계적 기준에 못 미치는 국가들은 수출에 제약을 받고 있다. 수출절벽에 서있는 한국이 개인정보보호 의무에 귀 기울여야 하는 이유다.

박지환 변호사가 자문하는 오픈넷은 젊다. 신산업을 밀되 세계적 기준은 맞춰야 경쟁력을 갖출 수 있다고 한다. 박지환 변호사는 고려대 법학전문대학원을 졸업하고 오픈넷에서 자문변호사로 활동하고 있다. 

다음은 박지환 변호사와의 일문일답.
 

오픈넷은 인터넷 공간에서의 자유, 개방, 공유를 지향한다. 그러려면 개인정보 자기결정권이 보장돼야 한다. 내 정보가 누구에 의해 어떤 방식으로, 어디에 활용되는지 알지 못하면 불안감과 불쾌함을 느낄 수밖에 없다. 사적주체나 국가에 의해 정보가 수집되고 남용된다면 개인의 사생활은 통제받게 된다. 빅브라더라고 할 수 있다.

‘정보가 털린다’는 표현을 쓸만큼 한국에선 개인정보를 보호하지 못한 채 인터넷이 활성화됐다. 오픈넷은 개인정보나 프라이버시를 보호하지 못하는 정책을 개선하는 노력을 많이 해왔다. 공인인증서 사용강제 해제, 통신자료 제공 관련 업무 등 활동을 하다가 최근엔 빅데이터 산업 활성화 차원에서 이용자 권리 보호에 대한 일에 관심을 갖게 됐다.

-정부에서 지난해 비식별조치 가이드라인을 발표했다. 비식별화(개인정보의 전부 또는 일부를 삭제하거나 대체해 특정 개인을 알아볼 수 없도록 하는 조치)만 거치면 개인정보 주인의 동의없이도 자유롭게 활용할 수 있도록 하는 내용으로 기존 개인정보보호법을 완화하려는 취지다. 오픈넷은 이에 대해 어떤 입장인지

:비식별화만 거치면 제한없이 동의의무를 면제하려는 시도는 위험하다. 비식별화가 결코 모든 문제를 해결해주지 못한다. 몇 가지 정보가 결합되면 언제든지 개인이 재식별될 수 있기 때문이다.

한국은 식별성이 가장 높은 주민등록번호가 여전히 이동통신사 등 사적 주체에 의해 행정 목적 외에도 널리 활용되고 있다. 또한 법령상 각종 본인확인 의무도 재식별 위험성을 높이고 있다.

설상가상 국회에서 지난해 12월 강길부 의원이 정부 가이드라인과 유사한 내용의 법안을 대표발의했다. 강길부 의원안은 사실상 정부 가이드라인을 그대로 옮겨놓은 것이나 다름없다. 정보주체 동의없이 정보를 활용할 수 있도록 하는 내용이 골자다.

-빅데이터 산업은 4차 산업의 기반이 될 것이란 전망이 나온다. 개인정보보호와 빅데이터 산업육성이란 목표가 상충되는 것은 아닌가

그렇지 않다. 개인정보보호를 지금부터 꼼꼼히 준비하지 않으면 오히려 4차 산업 전반에서 수출이 가로막힐 수 있다. 한쪽에선 당장 개인정보보호를 완화하면 산업이 발전될 것처럼 얘기하는 사람들이 있는데 이는 반만 맞고 반은 틀리다. 전세계적 입법 흐름을 살펴볼 필요가 있다.

EU의 개인정보보호 기준인 GDPR은 세계에서 가장 엄격하다. 사물인터넷(IoT) 환경에서 제조업 상품에 개인정보 수집, 이용기능이 있는 경우 EU 거주자들의 개인정보를 역외이전하려면 「EU 개인정보 보호수준 적정성 평가」를 통과해야 하는데, 이게 무역장벽으로 기능할 가능성이 있다. 

문제는 한국 정부의 개인정보 비식별조치 가이드라인과 강길부 의원의 개인정보보호법 개정안이 GDPR에 한참 못 미친다는 점이다. GDPR에 따르면 강길부 의원안이 비식별화 방법으로 제시한 가명화는 개인정보보호를 위해 권장되는 행위일 뿐 가명화 정보 역시 개인정보로 취급된다.

미국의 경우, 페이스북도 타겟마케팅에 사용하기 위해 고객정보를 무차별적으로 수집했다가 EU 기준을 어겨 송사에 휘말린 적이 많다. 미국에서 개인정보보호가 느슨해서 페이스북이나 구글같은 IT업체가 발전했다는 시각이 존재하는 건 맞다. 하지만 세계적으로 개인정보보호를 강화하는 추세 속에서 미국도 개인정보보호 법제를 강화하고 있다는 점을 주목해야 한다.

-개인정보보호와 빅데이터 이외의 4차 산업은 어떻게 연결되나

한국 산업구조와 관련이 있다. 한국에서 4차 산업혁명은 전통적 제조업과 정보통신기술(ICT)을 융합하는 방식으로 일어나고 있다. 제조업에 ICT가 융합되면 개인정보보호가 문제된다. 빅데이터 기술은 사물인터넷, 3D프린터 등 다른 4차 산업의 기반이 된다. 즉 개인정보보호가 제대로 이뤄지지 않아 무역규제를 받게될 경우 빅데이터 기술을 활용하는 다른 산업에도 영향이 갈 수 있다는 얘기다. 이처럼 개인정보보호 기준은 무역장벽중 제일 큰 건 중 하나다.

-빅데이터 환경에서 개인정보보호법을 체계적으로 개정하려면 어떻게 해야 할까

​일본의 개인정보보호법이 굉장히 꼼꼼하다. 거버넌스 구조가 특히 눈여겨볼 만 하다. 이해관계자들이 모두 참여해 느리지만 꼼꼼하게 개인정보보호법을 만들었다. 모든 의사결정과정은 투명하게 공개됐다.

반면 한국의 경우, 법률도 아닌 가이드라인으로 개인정보보호법을 완화했다. 가이드라인 작성 당시 초안은 비공개였고 시민단체 의견을 수렴하는 과정도 한차례밖에 없었다. 이것 역시 비공개였다. 

법이 한번 제정되면 문제가 생기기 전까지는 개정되기 어려울 것이다. 성급하게 논의를 끝내기보단 국회에서 논의를 본격적으로 시작하되 EU수준으로 개인정보보호위원회 위상을 강화시키고 행정안전부의 많은 인력을 지원해야 할 것이다. 또한 한국은 형사처벌만으로 개인정보 위반 사례를 모두 해결하려 하고 있다. 효과적인 개인정보보호를 위해선 정책적 컨트롤타워 지정, 개인정보보호위원회 구성 등 다방면으로 시도해야 할 때다.​

-규제와 산업육성이란 측면에서 말씀을 종합해보자면

: 산업의 혁신적인 발전을 강화하면서도 이용자를 보호할 수 있게 해야 한다. ​그러려면 규제의 합리화가 중요하다. 이용자의 정당한 권리를 제약하는 규제는 걷어 내되 이용자를 보호하는 규제는 강화해야 한다. 산업계는 지금도 규제가 강하다고 한다. 하지만 이용자들은 개인정보보호 수준이 취약하다고 느낀다. 기본적 보호조차 하지 않으면서도 규제가 강하다는 건 맞지 않다고 본다. 세계적인 흐름이 개인정보 보호를 강화하는 방향으로 가고 있음을 고려해야 한다.​