정부, 내달 시행령 개정안 마련
가명정보 가격 등에 업계 촉각

유럽 개인정보법 반영여부도 관심
"GDPR 기준 안 맞는 신사업
해외 진출해 봤자 문제 생겨"
개인정보보호법·정보통신망법·신용정보법 개정안을 담은 ‘데이터 3법’이 국회 본회의를 통과한 지 한 달 반이 지났다. 정보기술(IT) 기업들의 발걸음은 여전히 얼어붙어 있다. 뚜렷한 시행 방향이 나오기 전까지는 성급히 관련 새 사업을 추진하거나 조직 개편을 할 수 없다고 한다.
"신사업이요? 시행령 보고 결정"…데이터 3법 통과에도 움츠린 IT社

행정안전부 등 관계부처는 다음달까지 데이터 3법의 시행령 개정안을 마련하겠다고 21일 발표했다. 이어 3월까지 고시 등 행정규칙 개정안을 내놓을 방침이다.

IT업계는 3월까지 기다리겠다는 입장이다. 데이터 3법 국회 본회의 통과 이후 최근까지 데이터 신사업 계획을 내놓은 기업은 찾아보기 힘들다. 새 연구소나 연구조직이 출범한 사례도 아직은 없다.

한 기업 관계자는 “대부분 IT 기업이 빅데이터 연구소나 연구조직을 운영하고 있으나 시행령이 개정되기 전까지는 구체화하기 어렵다”고 전했다.

스타트업(신생 벤처기업)들도 마찬가지다. 코리아스타트업포럼 관계자는 “데이터 3법 통과 이후 다양한 스타트업으로부터 문의가 오고 있다”고 말했다. 그러나 “시행령 개정만 바라보며 발을 구르고 있는 상태”라고 덧붙였다.

가명정보를 변환하고 관리하는 정부기관이 어떻게 출범할지에도 관심이 쏠린다. 해당 기관에서 어떤 가이드라인을 갖고, 어떤 가격정책을 시행하는지에 따라 신사업 방향이 갈릴 가능성이 높아서다. 특히 스타트업이 이 문제에 관심이 많다.

코리아스타트업포럼 관계자는 “스타트업들은 비용 부담에 대한 고민이 많다”고 했다. “시행령도 시행령이지만 가명정보 관리기관이 어느 정도의 비용을 받고 가명정보 변환을 대행·운영하는지 등에 주목하는 스타트업이 꽤 된다”고 설명했다.

시행령 개정안이 나오더라도 숙제는 또 있다. 개정안이 유럽 개인정보보호법(GDPR)을 얼마나 반영했는지에 따라 희비가 갈릴 수 있다. GDPR은 국내 사업에 주력하는 기업에는 의미가 없지만 해외 진출을 준비 중인 기업엔 의미가 크다. GDPR에 걸맞지 않은 기준으로 신사업을 내놓았다가는 해외 진출에 지장을 받는다.

GDPR과 국내 개인정보보호법의 두드러진 차이는 10여 가지다. 우선 눈에 띄는 것은 GDPR에서 명시하는 개인정보 이동권, 개인정보 처리 제한권, 프로파일링 거부권이 모두 국내 개인정보보호법에는 없다는 점이다.

개인정보 이동권은 자신의 개인정보를 여러 다른 서비스에 걸쳐 재사용할 수 있게 이동을 요구할 수 있는 권리다. 처리 제한권은 자신의 개인정보에 대한 처리 또는 이용 제한을 요구할 수 있는 권리다. 프로파일링 거부권은 자신에게 중대한 영향을 미치는 사안을 프로파일링 등 자동화된 처리로 결정하는 것에 반대할 권리를 말한다.

책임자 지정 제도도 다르다. GDPR은 개인정보보호법과 실무에 대한 전문적 지식 및 업무 수행 능력을 갖춘 자를 책임자로 인정한다. 국내에서는 사업주·대표자·임원이면 누구나 책임자가 될 수 있다. 개인정보 처리활동 기록·유지 범위와 개인정보 영향평가 대상 범위 등도 다르다.

윤희은 기자 soul@hankyung.com

ⓒ 한경닷컴, 무단전재 및 재배포 금지