EU, 20년 논의해 2중,3중 보호막 갖춰…한국은 비식별조치 위험에 무방비
페북의 광범위한 정보수집, 활용행태가 유럽지역, 특히 독일에서 실정법 위반으로 문제가 된 지 오래다. 전세계적으로 개인정보보호 규정이 강화되는 추세에서 한국은 한참 뒤떨어졌다. 전문가들은 시스템의 부재가 무역장벽으로 작용할 수도 있다면서 구체적인 해결방안을 제시하고 있다.
◇EU, 20년 논의해 법 제정 vs. 한, 밀실회의 가이드라인 내놔
유럽연합(EU)은 비식별정보에 대해선 정보주체의 동의를 받지 않고도 정보를 활용할 수 있게 빅데이터 산업의 장벽을 낮춰줬다. 비식별조치란 개인정보를 가공해 특정인임을 나타내는 식별정보를 제거하는 작업을 말한다. 즉 재화와 서비스가 국경을 넘나들 듯 정보도 더 자유롭게 역외로 반출할 수 있도록 했다.
그 대신 개인정보가 무방비상태가 되지 않도록 2중, 3중의 보호막을 덧씌웠다. 2016년 4월 14일 유럽의 개인정보보호규정(GDPR, General Data Protection Regulation)이 유럽의회를 통과했다. 이제 유럽지역에서 개인정보를 역외이전하려면 EU 개인정보보호수준 적정성 평가를 통과해야 한다. 간단히 비유하자면 빅데이터 산업이라는 밀려오는 파도를 넘기 위해 구명조끼와 보트를 준비해온 셈이다.
여기서 규정(Regulation)은 법적 구속력이 있는 법규의 일종이다. 규정이 통과되기 전에는 정보주체 동의 없이 정보를 활용할 수 없었다. 규정을 완성하기까지 20년이 걸렸다. 유럽에선 95년부터 관련 논의가 이어지다가 지난해 4월 법제화됐다. 시민단체, 정부, 기업 등 빅데이터 산업 이해관계자들이 적극적으로 의견을 개진했다. 싸움도 많았다.
반면 한국은 파도 앞에서 속수무책이다. 미래창조과학부는 지난해 비식별조치 가이드라인을 통해 비식별정보는 당사자의 동의를 받지 않고도 자유롭게 활용할 수 있도록 했다. 비식별조치의 재식별 위험에 대한 논의도 분분한데, 법률도 아닌 가이드라인으로 개인정보보호법을 완화해버렸다. 가이드라인 작성 당시 초안은 비공개였고 시민단체 의견을 수렴하는 과정도 한차례밖에 없었다.
전문가들은 꼼꼼한 법규마련이 시급하다고 말한다. 현재 국회에 발의된 강길부 의원안에 대해선 거칠다는 평가가 나온다. 박지환 오픈넷 자문 변호사는 이를 두고 “가이드라인을 거의 그대로 옮겨놨다”고 평가했다.
강길부 의원안은 비식별조치의 적정성을 평가하는 기관을 대통령령에서 정하는 적정성 평가단으로 규정했다. 그러나 일본의 경우 개인정보보호의 사령탑 역할을 하는 개인정보보호위원회에서 적정성 평가를 담당한다.
이에 박지환 변호사는 “평가단이 누구인지 정체를 알 수 없다”면서 “기업 입장에서도 개인정보인지 비식별정보인지 예측이 불가능하다”고 말했다. 그러면서 “감독 역할을 누군가 해야 된다면 지금 있는 개인정보보호위원회 조직이 적격이다. 물론 지금형태론 안되고, 독립적 기구로 만들면서 다양한 이해관계자들이 참여할 수 있도록 해야 한다”고 밝혔다.