유럽 개인정보법 반영여부도 관심
"GDPR 기준 안 맞는 신사업
해외 진출해 봤자 문제 생겨"
개인정보보호법·정보통신망법·신용정보법 개정안을 담은 ‘데이터 3법’이 국회 본회의를 통과한 지 한 달 반이 지났다. 정보기술(IT) 기업들의 발걸음은 여전히 얼어붙어 있다. 뚜렷한 시행 방향이 나오기 전까지는 성급히 관련 새 사업을 추진하거나 조직 개편을 할 수 없다고 한다.
행정안전부 등 관계부처는 다음달까지 데이터 3법의 시행령 개정안을 마련하겠다고 21일 발표했다. 이어 3월까지 고시 등 행정규칙 개정안을 내놓을 방침이다.
IT업계는 3월까지 기다리겠다는 입장이다. 데이터 3법 국회 본회의 통과 이후 최근까지 데이터 신사업 계획을 내놓은 기업은 찾아보기 힘들다. 새 연구소나 연구조직이 출범한 사례도 아직은 없다.
한 기업 관계자는 “대부분 IT 기업이 빅데이터 연구소나 연구조직을 운영하고 있으나 시행령이 개정되기 전까지는 구체화하기 어렵다”고 전했다.
스타트업(신생 벤처기업)들도 마찬가지다. 코리아스타트업포럼 관계자는 “데이터 3법 통과 이후 다양한 스타트업으로부터 문의가 오고 있다”고 말했다. 그러나 “시행령 개정만 바라보며 발을 구르고 있는 상태”라고 덧붙였다.
가명정보를 변환하고 관리하는 정부기관이 어떻게 출범할지에도 관심이 쏠린다. 해당 기관에서 어떤 가이드라인을 갖고, 어떤 가격정책을 시행하는지에 따라 신사업 방향이 갈릴 가능성이 높아서다. 특히 스타트업이 이 문제에 관심이 많다.
코리아스타트업포럼 관계자는 “스타트업들은 비용 부담에 대한 고민이 많다”고 했다. “시행령도 시행령이지만 가명정보 관리기관이 어느 정도의 비용을 받고 가명정보 변환을 대행·운영하는지 등에 주목하는 스타트업이 꽤 된다”고 설명했다.
시행령 개정안이 나오더라도 숙제는 또 있다. 개정안이 유럽 개인정보보호법(GDPR)을 얼마나 반영했는지에 따라 희비가 갈릴 수 있다. GDPR은 국내 사업에 주력하는 기업에는 의미가 없지만 해외 진출을 준비 중인 기업엔 의미가 크다. GDPR에 걸맞지 않은 기준으로 신사업을 내놓았다가는 해외 진출에 지장을 받는다.
GDPR과 국내 개인정보보호법의 두드러진 차이는 10여 가지다. 우선 눈에 띄는 것은 GDPR에서 명시하는 개인정보 이동권, 개인정보 처리 제한권, 프로파일링 거부권이 모두 국내 개인정보보호법에는 없다는 점이다.
개인정보 이동권은 자신의 개인정보를 여러 다른 서비스에 걸쳐 재사용할 수 있게 이동을 요구할 수 있는 권리다. 처리 제한권은 자신의 개인정보에 대한 처리 또는 이용 제한을 요구할 수 있는 권리다. 프로파일링 거부권은 자신에게 중대한 영향을 미치는 사안을 프로파일링 등 자동화된 처리로 결정하는 것에 반대할 권리를 말한다.
책임자 지정 제도도 다르다. GDPR은 개인정보보호법과 실무에 대한 전문적 지식 및 업무 수행 능력을 갖춘 자를 책임자로 인정한다. 국내에서는 사업주·대표자·임원이면 누구나 책임자가 될 수 있다. 개인정보 처리활동 기록·유지 범위와 개인정보 영향평가 대상 범위 등도 다르다.
스마트워치 등 웨어러블 기기와 앱(응용프로그램)을 통해 사용자의 동의를 거쳐 수집한 운동 정보를 가명 처리하면 성인병과 운동량의 상관관계를 분석하는 데 쓸 수 있다. 암호화 등을 거친 가명정보는 따로 동의를 받지 않아도 과학적 연구에 활용할 수 있다. 행정안전부와 방송통신위원회, 금융위원회, 개인정보보호위원회 등 관계 부처는 21일 합동 브리핑을 열어 지난 9일 국회를 통과한 데이터 3법(개인정보보호법, 정보통신망법, 신용정보법)의 시행령 마련 등 후속 조치를 발표했다. 다음달 초 데이터 3법을 공포하고 6개월 후에 시행할 예정이다. 행안부 등은 법 시행 전까지 의료정보, 신용정보 등 분야별 가이드라인을 마련해 가명정보의 활용 범위, 데이터 결합 방법·절차 등을 명확히 할 계획이다. 가명정보와 다른 정보를 결합해 신원을 특정하려는 시도를 막기 위한 안전장치도 시행령에 담는다. ‘고의적인 재식별’을 금지하고, 위반 시 5년 이하 징역 또는 5000만원 이하 벌금, 연 매출액의 3% 이내 과징금을 부과한다. 기업간 가명정보의 결합은 국가가 지정한 전문기관에서만 할 수 있도록 하고, 결합 데이터를 외부로 내보낼 때는 다른 정보와 결합해도 특정인을 알아낼 수 없는 익명 처리를 원칙으로 하는 방안을 검토하고 있다. 유럽연합(EU)의 일반개인정보보호법(GDPR) 적정성 평가 절차도 법 시행에 맞춰 마무리하기로 했다. 진영 행안부 장관은 적정성 결정을 조속히 추진하기 위해 이달 말 주한 EU 대사 면담을 시작으로, 다음달 초 EU집행위와 유럽의회를 방문할 예정이다. 적정성평가는 EU가 GDPR을 기준으로 상대국의 개인정보보호 수준을 평가하는 제도다. 평가를 통과해 적정성결정이 내려지면 한국 기업이 EU에서 수집한 개인정보를 한국에 있는 데이터센터로 이전할 수 있게 된다는 것이 행안부의 설명이다.추가영 기자 gychu@hankyung.com
정부 "세부 가이드라인 마련…법 시행 맞춰 EU 적정성평가 결정 완료 기대"정부가 '빅데이터 경제3법'(개인정보법·신용정보법·정보통신망법 개정안)의 구체적 내용을 담은 하위입법에 속도를 낸다.새로 도입되는 '가명정보'의 활용범위를 보다 명확히 하고 가명정보 결합 시 안전장치 등도 시행령·시행규칙 등에 담는다.아울러 유럽진출 기업들의 부담을 덜도록 유럽연합(EU)의 일반개인정보보호법(GDPR) 적정성평가 절차가 법 시행에 맞춰 마무리될 수 있게 협의한다.행정안전부와 방송통신위원회, 금융위원회, 개인정보보호위원회 등 관계부처는 21일 정부서울청사에서 합동브리핑을 열어 이런 내용의 '데이터3법' 후속조치 계획을 발표했다.정부는 먼저 시행령과 고시 등 행정규칙 개정을 서둘러 가명정보의 활용 범위와 데이터 결합 방법, 절차 등을 구체적으로 마련하기로 했다.가명정보란 개인정보 일부를 삭제하거나 대체해 추가정보 없이는 특정 개인을 알아볼 수 없도록 가명처리한 정보를 뜻한다.개인 식별이 가능한 '개인정보'와 식별이 불가능한 '익명정보'의 중간단계에 해당하는 것으로, 다수의 가명정보가 결합할수록 개인을 다시 특정할 수 있는 가능성이 커진다.이런 '재식별'을 방지하기 위해 결합한 데이터 외부 반출 시 익명처리를 우선하게 하는 방안, 데이터 결합 담당 기관과 데이터 결합 시 정보 매칭에 필요한 '결합키'를 관리하는 기관을 분리하는 방안 등 세부 원칙을 정해 시행령에 담을 계획이다.시행령과 시행규칙 개정안은 2∼3월 중에 마련하고 이후 한 달 안에 입법예고할 예정이다.통상 4∼5개월 걸리는 후속입법 절차를 서둘러 신속하게 세부사항을 마련한다는 방침이다.데이터3법 관련 가이드라인과 법령해설서도 제·개정한다.가명정보를 정보 주인(정보주체) 동의 없이 제삼자에게 제공할 수 있는 범위 등을 의료정보·신용정보 등 분야별로 구체적 사례를 들어 설명하도록 만든다.가이드라인은 4월 중 초안을 내고 데이터 3법이 시행되는 7월 중에 최종안을 마련할 계획이다.EU의 GDPR 적정성평가는 현재 초기결정문을 조율 중인 단계로 법 시행에 맞춰 최종결정이 이뤄질 수 있도록 준비한다는 방침이다.이를 위해 진영 행안부 장관이 2월 초 EU집행위원회외 유럽의회를 방문해 적정성 결정이 조속히 이뤄지도록 협의하고 공동성명도 발표할 계획이다.적정성평가는 EU가 GDPR을 기준으로 상대국의 개인정보보호 수준을 평가하는 제도다.평가를 통과해 적정성결정이 내려지면 해당국 기업은 EU에서 수집한 개인정보를 역외로 이전하는 것이 허용되나 그렇지 못한 국가는 기업이 개별적으로 표준계약을 체결하는 등 행정부담을 지게 된다.우리나라는 EU 요구수준을 충족하기 위해 필요한 국내 개인정보보호법 개정이 이뤄지지 않아 앞서 두차례 시도가 불발됐다가 이번 데이터3법 국회 통과로 적정성결정이 가시화됐다.윤종인 차관은 "일본의 경우 EU GDPR 적정성평가 초기결정 5개월 뒤에 최종결정이 이뤄졌다"며 "EU 측에서 우리 개인정보보호법 개정안 내용을 충분히 알고 있으므로 조만간 초기결정이 이뤄지면 개인정보보호위 출범 이전에 최종결정이 내려질 수 있을 것"이라고 말했다.정부는 또한 개인정보보호위원회(개보위) 개편·출범이 차질없이 이뤄질 수 있도록 지원하기로 했다.개인정보보호 관련 정책을 심의·의결하는 합의제 행정기관인 개보위는 이번 법 개정으로 방송통신위원회 같은 합의제 중앙행정기관(장관급)으로 격상된다.또 개인정보보호 업무를 위원회로 일원화되면서 행안부와 방통위에 있던 관련 기능과 조직이 개보위로 이관된다.이 같은 후속조치들은 데이터경제활성화 TF 안에 설치되는 관계부처 합동 '법제도 개선 작업반'을 통해 추진된다.윤종인 행안부 차관은 "데이터3법 국회 통과가 늦어진 만큼 행정적인 부분이 데이터 활용 기회에 장애가 되지 않도록 관련 후속입법을 신속하게 하려는 것"이라며 "개인정보 보호와 데이터 활용 간의 균형을 맞춘다는 대전제 아래 구체적 명확한 기준과 해석을 제시하겠다"고 말했다./연합뉴스
정부, 내달중 데이터 경제 활성화 계획안 마련김용범 기재부 1차관, TF 2차 회의 주재김용범 기획재정부 1차관은 "데이터 3법을 개정한 지금이 우리나라가 글로벌 데이터 플랫폼 국가로 거듭날 수 있는 골든타임"이라고 21일 강조했다.김 차관은 이날 정부세종청사에서 연 범부처 데이터 경제 활성화 태스크포스(TF) 2차 회의 모두 발언에서 이같이 밝혔다.데이터 3법은 개인정보법·신용정보법·정보통신망법이다.기업 등이 수집·활용할 수 있는 개인정보 범위를 확대해 빅데이터 산업을 활성화하는 내용 등이 담긴 데이터 3법 개정안이 지난 9일 국회를 통과했다.김 차관은 "마이크로소프트, 애플, 아마존, 구글 등 데이터 활용기업을 보면 데이터가 모든 산업과 시장을 지배하는 데이터 경제 시대가 도래했다고 볼 수 있다"며 "하지만 과도한 개인정보 보호 규제 등으로 국내 역량이 뒤처질 수 있다는 우려가 큰 상황"이라고 지적했다.그는 "따라서 데이터 3법 개정의 목적을 충실히 담아 시행령과 시행규칙 등을 개정해 현장의 법적 불확실성을 해소하는 환경을 만들어야 한다"며 "데이터 3법의 영향을 받는 관계 법령 정비도 신속히 추진해야 한다"고 지적했다.이어 "공공과 민간의 데이터가 활발히 개방되고 연결될 수 있도록 규제개선, 데이터 표준화, 데이터 거래 인프라 구축 등 정책적 노력을 해나가야 한다"며 "개인정보 보호와 데이터 활용에 대한 균형 잡힌 정책도 마련해 지속가능한 데이터 경제 생태계를 만들어야 한다"고 했다.또 "데이터는 인공지능(AI)을 발전시키기 위한 주요 자원이며 이를 담고 분석할 수 있는 클라우드는 필수 인프라"라며 "정책을 개별적으로 시행하기 보다는 시너지 효과를 낼 수 있어야 한다"고 말했다.김 차관이 단장을 맡은 데이터 경제 활성화 TF는 디지털 정부혁신 TF, 디지털 미디어산업 TF 등과 함께 정부가 디지털기술 혁신에 박차를 가하기 위해 올해 꾸린 3대 범정부 TF다.이날 회의에서는 산업·시장, 기술개발·인재양성 등 5대 분야별 작업반을 통해 진행하는 정책과제 발굴 사항을 공유했다.정부는 작업반별로 도출한 정책과제 중 중점 추진 정책 과제를 선정하고 구체화해 내달 중에 데이터 경제 활성화 계획안을 마련하기로 했다./연합뉴스
![[오늘의 arte] 예술인 QUIZ : 그의 그림 속 인물은 설명되지 않는다](https://timg.hankyung.com/t/560x0/photo/202405/AA.36699526.3.jpg)