GDPR 시행 이후에 개인정보에 대한 많은 변화가 일어났다. 그동안 한국은 개인정보에 대한 법제가 강력한 법제라는 인식이 강했지만 그것은 사실 규제 일변도로 구성된 국내법상 특징에 따른 특성일뿐이라는 것이 필자의 생각이다. 정말 강력한 규제는 유럽의 GDPR이나 이제 슬슬 법이 제정되기 시작한 CCPA등 유럽과 미국에 대한 법이 더 강력한지도 모르겠다.
데이터3법 개정은 왜 이루어졌는가?
데이터 3법 개정의 핵심은 바로 2가지다.
▶ 개인정보보호 감독기구 설립
이 두가지가 가장 핵심적인 내용이다. 첫째, 개인정보 감독기구 설립은 그동안 GDPR의 우선 협상 대상국에 2차례나 협상이 결렬된 주된 이유이기도 하다. GDPR은 개인정보 관련된 강력한 관리 감독하는 감독기구의 독립성을 강하게 요구하고 있다. 한국은 그런측면에서 개인정보의 독립된 감독기구가 없었다.
어차피 GDPR은 시행이 될 것이고 그동안 2차례에 걸쳐 우선 협상대상국에서 결렬된 주된 원인이 되기도 했기 때문에 각 부처에 흩어져 있던 개인정보에 관련된 업무를 일원화 해 한 곳으로 집중시키는 작업이 시작된 것이다. 일반인들은 한 곳에서 관리하면 되지 않겠냐고 쉽게 생각하겠지만 이는 정부조직법 상 여러가지 법률적인 요소가 작용되는 사항이라 그렇게 간단한 일이 아니다.
■ 개보위의 설움
그동안 심의.의결 기구로만 존재했던 개보위는 아무런 힘이 없었다. 개인정보에 대한 심의.의결에만 관려를 할뿐 실질적인 역량이 미흡했다고 본다. 이에 중앙행정기관으로 격상 시켜 국무총리 산하 조직으로 만들고 장관급 위원장이 배치됨에 따라 책임과 권한 부분에서 서러움에서 탈퇴하게 됐다. 2021년 들어 강력한 드라이브를 거는 것도 이런 존재감을 위한 하나의 개보위의 의지라고 보여진다.
▶ 가명정보 도입
그동안 개인정보에 대한 규제적인 측면만 있다보니 강력한 규제라는 인식이 강했다. 그런 차원에서 최근 4차산업혁명에 따른 인공지능, 빅데이터 기술이 탄력을 받으면서 데이터 중심 경제로의 전환이 이루어지고 정부에서도 이런 데이터 뉴딜정책에 강력한 드라이브를 걸게 됐다. 이는 일본에 손정의가 방한해 대통령과 환담한 끝에 "첫째도 인공지능, 둘째도 인공지능, 셋째도 인공지능"이라고 언급해 화재가 됐다.
데이터 활용 분위기는 조성이 됐는데 법은 그대로 규제 일변도로 가는 명분이 더 이상 힘을 얻기 힘든 가운데 2016년부터 제기 해 오던 '비식별조치 가이드라인'에 대한 익명성에 기반을 둔 비식별 기술에 관심이 쏠리기 시작했다. 그 당시에 비식별조치를 통해 가명처리 하는 방법에 대한 관심이 있었는데, 시민단체의 소송에 따라 잠시 유보되기도 했다. 그렇게 탄력을 받지 못하다가 이번 GDPR과 데이터 활용 최전선에 있는 기업들의 입장을 반영해 명분을 쌓고 '활용'에 한 발짝 진일보하게 한 발을 내 딛게 됐다. 그 첫걸음이 '가명정보'의 개념 도입이고 이는 GDPR에 모두 언급돼 있는 내용으로 활용에 포커스를 맞춘 개념이다.
또한, 동법 시행령 제 14조2항에 따라 '개인정보의 동의 없는 추가적인 이용.제공'이 허용됨에 따라 일일이 동의를 받던 기존 체제에서 다시금 한 발짝 더 나아가게 됐다. 법의 개정 목적이나 의도 자체는 좋은데 이를 사용하는 법 수범자가 오남용을 해서는 안될 것이다.
보호위는 " 보호 없이는 활용도 없다"는 슬로건을 내 걸고 2021년 많은 개인정보 관련 사업을 추진하고 온라인 공청회를 통해 발표를 했다. 가명정보 활용센터 도입에서 부터 다양한 사업을 펼칠 예정이다.
◈ 데이터 3법 개정 이후 2차 개정 후 입법예고와 공청회 시행
데이터 3법에 이후 빠르게 법 개정이 다시 이루어지는 것은 정보통신망법과 개인정보보호법이 통합되는 가운데 시간이 없는 가운데 정보통신망법이 특례조항으로 형식적인 통합에만 그쳤다는 비판을 받게 됐다. 즉, 대상은 하나인데 법 적용에 따라 개보법인지 특례법 적용인지 현장에서 혼란이 가중되는 일이 발생했다.
공청회에 참석한 한 패널에 따르면
" 개인정보보호법과 정보통신망법은 물리적 결합이 우선 됐는데 이번 2차 개정은 화학적 결합"에 의의를 두고 있다고 표현하기도 했다. 비유야 어찌 됐던 물리적인 법 통합에 있어 빠른 시일내에 정보주체에 대한 관련 법 개정이 이루어져야 하는 시급함이 있었다고 보고있다.
■ 데이터 이동권, 프로파일링 대응권, 개인정보처리방침 심사제도, 분쟁조정모든 개인정보처리자 필수참여자 확대 등..
▶ 데이터 이동권
귤이 바다를 건너 오다가 탱자가 되는 일이 없어야 한다. 지금 신용정보법에서 먼저 시행하고 있는 일명 '마이데이터 사업'을 살펴보면 정보주체에게 개인정보에 대한 주권과 통제권이 부여가 됐다고는 하지만 GDPR에서 의미하는 데이터 이동권 원래 취지와는 조금 다른 양상을 보인다는 느낌이 든다.
신용정보법에 따라 '마이데이터' 시범 사업을 추진하는 앱을 한번 사용해 보면 그 이유를 알 수 있다. 앱 설치 이후에 그 앱으로 인해 자신의 정보를 금융회사에서 가져 와 자신에게 맞는 상품을 추천해 준다는 컨셉으로 '개인정보 이동권'을 활용하고 있다. 자세히 들여다 보면 이것은 핀테크 업체가 자신이 보유하고 있는 가입자가 금융정보를 보관하고 있지 않으니 그냥 3자 제공에 동의 하는 형식으로 인해 금융회사에 있는 개인신용정보를 제공 받아 상품 추천해 주는 것에 지나지 않는다.
다른측면에서 접근해 본다면
만약 금융회사가 자신의 앱으로 자신이 보유하고 있는 개인에 대한 개인신용정보를 통해 상품을 추천하는 것과 다름이 없다. 단지 금융회사 혼자가 아닌 핀테크 회사가 그 앞단에 서서 각각 다른 금융회사에 개인 신용정보를 취합하고 통합하는 것에 지나지 않는다.
여기서 고민해 봐야할 지점은 각 주체별 이득이 무엇인가에 대한 고민이다. 정보주체, 핀테크(빅테크), 금융회사...
▣ 핀테크
핀테크(빅테크)는 그동안 개인신용정보에 대한 정보를 제공 받아 서비스를 제공 가능하게 됐다. 이것으로 인해 통합된 앱을 통해 가입자를 많이 확보해 사용자를 통한 새로운 비지니스를 창출하게 됐다. 다시 말하면 핀테크나 빅테크 등이 제공하는 서비스를 통해 금융회사 상품에 가입 했을때 수수료를 받지 않을까 하는 판단이 든다. 요즘 공짜가 어디에 있는가? 1건 가입할때 수수료에 따라 정산이 된다면 핀테크 입장에서도 나쁘지 않다고 본다.
▣ 금융회사
금융회사도 마이데이터 사업에 대해 부정적인 시각을 가지고 있지만 (그동안 독점적으로 보유하고 있던 신용정보를 제공해야 하는 입장) 결국은 각 개인은 앱 등을 사용해 자신의 금융회사 금융상품을 선택해 조금 더 선택의 폭이 넓어지고 경쟁체제로 이루어지기 때문에 상품 개발이나 상품 가입시에 아무런 조건없이 그대로 상품을 제공한다고 보지는 않는다. 수수료를 지급해 더 많은 상품 노출로 인해 자신의 금융회사 상품에 가입하도록 유치 가능한 기회가 마련된다고 본다.
▣ 정보주체
정보주체는 앱 사용 등으로 자신의 신용정보가 흩어져 있던 것을 한 곳에서 볼 수 있다. 각 상품들에 대한 비교를 통해 내가 가입하고자 하는 상품에 가입하는 선택의 폭이 넓어졌다고 본다. 그러나 각 금융회사의 금융상품을 단순 비교해 나에게 맞는 상품을 추천해 준다는 것이 어느정도 신뢰성과 나에게 맞춤형 상품을 추천해 주는지에 대한 것은 사용해 본 사용자라면 약간의 의구심이 든다.
GDPR에서 시행하고 있는 데이터 이동권은 다운로드권과 전송권이다. 다운로드권은 나의 개인정보를 다운로드 받게 해 내 정보를 다른 개인정보처리자에게 이동가능 하도록 하는 것이다. 개인정보 또는 신용정보의 통제권이 오롯이 정보주체에게 있음을 보여준다. 또한, 이렇게 다운로드 받은 개인정보를 기술적인 사항에 따라 다른 개인정보처리자에게 이동 가능하도록 기술적으로 해결하는 방식이다.
단순히 로그인하고 나서 '제3자 제공에 동의하고 버튼 클릭'하는 것이 개인정보 이동권에 해당하지는 않는다. 이유는 그 통제권은 정보주체에게 있는 것이 아니라 개인정보처리자에게 있기 때문이다. 동의를 하는 행위가 통제권이 개인에게 있다고 보지 않는다. 동의를 하지 않아도 서비스를 사용 가능하도록 해야 함에도 불구하고 지금 국내에서 서비스 되고 있는 서비스는 동의 하지 않으면 다음 단계로 넘어가지 않는다.
■ 귤이 바다를 건너 탱자가 되는 일은 없어야 한다.
선진국 제도에 대해 좋은점이 있으면 국내 실정에 맞게 잘 도입하면 된다. 하지만 초기 그 목적에 부합하지 않고 다르게 접근하게 돼 원래 취지에 맞지 않는 기형적인 형태가 된다면 차라리 시행하지 않는 것이 더 나을지 모른다. 기형적으로 법률이 흘러가게 되면 실제 실무자나 담당자는 그 많은 고통을 감내해야 한다. 법률 한줄 만들어 문구하나 만들거나 변경하는 것이 무엇 그리 그 대수인가? 라고 생각하겠지만 법을 오랫동안 들여다보면 추후 침해사고가 발생하거나 유출로 이어졌을때에 문구하나 자구 하나가 엄청한 법리 해석을 가져오고 그 몫은 오롯히 담당자가 짐여져야 할 몫이기도 하다. 그런측면에서 다양한 의견과 충분한 검토를 통해 각 주체가 균형 있는 균형추가 맞게 법 개정이 이루어지길 바랄뿐이다.
'Privacy Security' 카테고리의 다른 글
개인정보 보호법 2차 개정 보도자료 (21.9.28) (0) | 2021.09.28 |
---|---|
대법 '개인정보 유출' KT 과징금 7,000만원 취소 판결문 직접 살펴보니.. (0) | 2021.09.15 |
대출비교서비스 금리비교 시 개인정보 제휴사로 무더기로 넘어가…‘마케팅 활용 우려’ (0) | 2021.01.10 |
비식별 평가 기준값 결정에서 재식별 영향과 재식별 시도 가능성 질문 (0) | 2020.12.26 |
개인정보 국가 기본 계획 수립 4차년도 분석 (2021-2023) (0) | 2020.11.30 |