스타트업, 데이터 3법 통과에도 왜 눈치만 볼까

데이터 3법이 오는 8월 시행을 앞두고 있음에도 스타트업 업계는 관련 사업 추진을 주저하고 있다. 개정 개인정보보호법상 새로 도입된 ‘가명정보’에 대한 해석과 적용 범위가 불분명한 탓이다. 업계와 법조계에선 데이터 기반 산업 경쟁력을 높이기 위해 정부가 시행령 개정안 등 후속 조치 마련을 촉구하고 있다.

국회는 지난달 9일 데이터 3법을 통과시켰다. 데이터 3법이 발의된 지 1년 2개월 만의 성과였다. 데이터 3법은 개인정보보호법, 정보통신망법, 신용정보법으로 나뉜다. 개인정보보호에 관한 법이 소관 부처별로 나뉘어 있어 발생한 불필요한 중복 규제를 없애 4차 산업혁명 도래에 맞춰 개인과 기업의 정보 활용 폭을 넓히기 위해 마련됐다.

스타트업 업계는 데이터 3법 통과로 국내 데이터 산업 경쟁력을 증진시킬 수 있을 것으로 기대했다. 특히 데이터 3법 중 개인정보보호법 개정안이 가장 주목을 받았다.

개인정보보호법 개정안은 데이터 활용도를 높이기 위해 가명정보 개념을 도입하고 정보주체의 동의 없이 상업적 목적을 포함한 통계작성이나 과학적 연구, 공익적 기록보존 등에 활용할 수 있도록 법적 근거를 마련했다. 개정안에 따르면 가명정보는 개인정보 일부를 삭제하거나, 일부 또는 전부를 대체하는 방법으로 추가 정보 없이는 특정 개인을 알아볼 수 없는 정보로 규정된다.

이번 개정으로 가명정보를 상업적으로 활용할 수 있게 되면서 새로운 데이터금융 산업 출현이 가능해졌다. ‘마이데이터’ 산업이 대표적이다. 개인이 데이터 활용을 허락하면 핀테크 업체, 카드사 등 마이데이터 사업자가 개인맞춤형 재무관리 서비스를 제공할 수 있다.

하지만 업계에선 데이터 3법을 환영하면서도 막상 신사업 추진에 선뜻 나서길 주저하는 분위기다. 가명정보 판단 기준과 활용 범위가 명확하지 않아 스타트업의 ‘불확실성’을 해소해 주지 못하기 때문이다.

이기대 스타트업얼라이언스 이사는 “대다수 스타트업 대표들은 데이터 3법 통과로 마이데이터 활용해 맞춤형 보험을 제공한다든지 여러 서비스에 접목할 수 있을 것으로 기대하고 있다”며 “하지만 스타트업은 사업 아이디어 구체화부터 서비스 구현, 투자 유치까지 항상 불확실성과 마주한다. 데이터를 적용할 수 있는 범위와 법적 해석을 명확히 해야 사업 불확실성을 해소할 수 있어 (법안 시행) 의미가 있을 것”이라고 덧붙였다.

◇ 스타트업‧법조계 “가명정보 기준과 활용 범위의 명확한 규정 필요”

스타트업 업계와 법조계에선 가명정보의 기준과 활용 범위를 명확히 하는 정부의 시행령 등 후속 조치 마련을 촉구하고 있다.

먼저 가명정보 판단 기준에 관해선 산업별로 다양하게 제시돼야 한다는 주장이 제기됐다.

고환경 법무법인 광장 변호사는 “안전한 가명처리의 방법과 수준은 산업별로 다양하게 제시돼야 한다. 일률적·획일적 방법이 제시되면 자칫 가명처리에 대한 규제로 작용할 수 있으므로 각 분야 전문가 의견수렴을 거쳐 신중하게 안내해야 한다”라며 “동의 없는 추가 처리 허용을 전제로 하기 때문에 리스크를 고려해 기존과는 반대의 패러다임인 네거티브 방식을 적용하는 것이 적절하다”고 말했다.

가명정보 활용 범위에 대한 법조계 전문가들 의견은 대체로 일치했다. 개정 개인정보보호법의 세부 규정 중 ‘과학적 연구에 활용할 수 있다’는 표현은 상업적 이용을 포함한다고 해석했다.

구태언 법무법인 린 변호사는 “‘과학적 연구’가 온실 속을 뜻한다면 아무 의미 없다”면서 “법에서 말하는 ‘과학적 연구’는 상업·공익 등 모든 것을 포함하는 우주적 활용을 전제로 한다”고 밝혔다.

황창근 홍익대학교 법학과 교수 또한 “과학적 연구의 정의와 가명정보 개념을 신설한 개정법의 입법 취지를 종합하면 상업적 활용을 위한 연구 및 통계 작성이 포함되는 것으로 보는 것이 타당하다”고 강조했다.

가명정보의 활용 범위에 대한 스타트업 업계의 입장도 이와 다르지 않았다.

김지태 마이리얼플랜 부사장은 “데이터 3법을 통과시킨 목적이 데이터의 상업적 활용에 있는데 현재 금융당국은 여전히 보수적인 입장을 가지고 있는 것 같다”며 “입법 취지에 맞는 현실적인 정의 및 활용범위가 나와야 한다”고 말했다.

이어 김 부사장은 “마이데이터 사업자 요건에도 핀테크 업체의 자유로운 진입이 가능하도록 요건을 완화할 필요가 있다고 생각한다”며 “시행령에서도 완화된 요건을 갖춘다는 전제하에 ‘허가제’가 아닌 ‘등록제’가 도입됐으면 좋겠다”며 정부 시행령 개정을 촉구했다.

◇ 가명정보 고의 조작은 형사처벌…“과한 처사vs신뢰도 확보 차원에서 형사처벌 강화해야”

한편 개인정보보호법 개정안은 고의로 가명정보를 조작해 기업을 재식별할 경우 전체 매출의 3% 해당하는 과징금, 개인은 5년 이하의 징역 또는 5000만원 이하의 벌금에 처한다고 명시해 재식별을 금지했다.

이를 두고 가명정보 처리에 대한 해석이 명확하지 않은 상황에서의 현행 형사처벌 규정은 데이터 활용을 위축할 우려가 있다는 지적도 제기됐다.

손형섭 경상대학교 법학과 교수는 "유럽연합(EU), 미국, 일본 등과 비교했을 때 현행 개인정보보호법 형사처벌 규정은 과도하다"고 주장했다.

이인호 중앙대학교 법학전문대학원 교수도 “가명처리에 대한 기준이 불분명한 상태에서의 형사처벌 조항은 데이터 활용 가능성 현저히 떨어뜨릴 수 있다”며 개정안의 취지가 반감될 것을 우려했다.

산업 신뢰도 차원에서 형사처벌을 강화해야 한다는 의견도 나온다. 익명을 요청한 업계 관계자는 “이미 데이터 활용을 사전 동의받고 있지만 소비자 입장에선 사실상 강제적으로 해야 한다”며 “그 부분은 합리적으로 개선하되 신뢰성 확보 차원에서 징벌적 손해배상 등 처벌조항은 더 강화할 필요가 있다”고 말했다.

마이리얼플랜 관계자는 “현행 처벌 규정이 과도하다고 생각하지만 처벌 수준을 낮출 수도 없는 문제라고 생각한다”면서도 “입법 취지에 맞게 법을 시행하려면 대승적으로 ‘일단 풀어주고 문제 발생 시 징벌적 손해배상책임을 부과’하는 것이 필요하다”고 설명했다.