[바른 김도형의 금융法] (27) 이름 없는 CT 사진 개인정보일까?
개인정보 보호법, 신용정보의 이용 및 보호에 관한 법률(이하 ‘신용정보법’), 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’) 등 소위 '데이터 3법' 개정안이 최근 국회 본회의를 통과해 오는 8월 5일부터 시행을 앞두고 있다.

개정 데이터 3법의 주요 내용

우선 가장 큰 변화는 과거 심의·의결기구에 불과했던 ‘개인정보보호위원회’를 국무총리 산하의 중앙행정기관화함과 동시에, 행정안전부와 방송통신위원회가 수행하던 개인정보보호법 관련 법 집행 권한을 개인정보 보호위원회로 이관해 일원화함으로써 개인정보보호위원회에 개인정보 보호의 컨트롤타워 역할을 부여했다.

이와 같은 개인정보보호위원회의 격상 강화와 업무 총괄은 유럽연합(EU)으로부터 적정성 결정을 받지 못했던 뼈아픈 경험에서 비롯됐다. 유럽연합은 개인정보보호에 관한 법령인 GDPR(General Data Protection Regulation)을 시행하고 있는데, 이에 따라 회원국 국민의 개인정보를 타 국가로 이전하는 역외이전 행위를 금지하고 있다.

다만 국가별 적정성 평가를 통해 개인정보 보호의 수준이 EU와 동일한 판단을 받는 경우 자유로운 이전을 허용하는데, 한국은 아직까지도 EU의 적정성 평가를 통과하지 못했다. 주된 이유 중 하나가 개인정보나 신용정보관리에 관한 권한을 행정안전부, 방송통신위원회, 금융위원회 등 여러 기관이 나눠 가짐에 따라 중복규제가 이루어질 뿐만 아니라 컨트롤타워의 역할을 하는 기관이 없다는 점이었다.

데이터 3법의 주요 개정 내용은 아래와 같이 간략하게 요약할 수 있다. 신용정보법에서는 금융분야 마이데이터 산업에 대한 법적 근거를 마련함과 동시에 신용정보 관련 산업을 세분화한 것이 눈에 띈다. 즉 은행, 보험사, 신용카드사 등에 흩어져 있는 금융정보를 통합해 그 신용정보주체에게 제공할 수 있는 ‘본인신용정보관리업’을 허용하는 한편, 대출 및 연체이력·카드사용실적 등 획일적인 신용등급 산정방식에서 벗어나 통신요금, 전기·가스·수도요금 등의 납부 내역, 온라인 쇼핑내역, SNS 정보 등을 활용해 개인의 신용등급을 산정하는 비금융 CB(신용조회업, Credit Bureau)를 허용함으로서 신용평가 방식의 다변화를 꾀하였고, 위와 같은 개인신용평가업 외에 자영업자(개인사업자) 신용평가업, 기업신용평가업 등으로 전문화된 신용평가업을 허용했다.

또 정보통신망법에서는 개인정보보호법과 유사하거나 중복된다고 판단된 규정, 특히 제4장 ‘개인정보의 보호’와 관련한 대부분의 규정이 삭제됨으로써 개인정보와 관련한 주된 법적규제를 개인정보보호법으로 통합하게 됐다. 정보통신망법상 개인정보 정의, 민감정보·주민등록번호 처리 제한, 개인정보 처리위탁, 안전조치의무, 개인정보보호책임자 지정, 정보주체의 권리, 손해배상, 개인정보보호 인증 등의 규정은 모두 삭제됐다.

마지막으로 개인정보 분야의 핵심이자 일반법인 개인정보보호법에서는 개인정보, 가명정보, 익명정보로 구분하고, 개인정보에 대해서는 기존과 마찬가지로 사전적이고 구체적인 동의를 받은 범위 내에서만 활용 가능하도록 했다. 가명정보에 대해서는 통계작성(상업적 목적 포함), 과학적 연구(산업적 연구 포함), 공익적 기록보존 등의 목적인 경우에는 당사자의 동의 없이 활용 가능하도록 하며, 익명정보의 경우 더 이상 개인정보라고 볼 수 없어 제한 없이 자유롭게 활용이 가능하도록 했다.

하지만 이를 실제 사례에 적용해보면 사전 동의를 요하는 개인정보와 동의를 요하지 않는 가명정보를 구별하기는 쉽지 않다. 개정 개인정보보호법에서는 ‘개인정보’에 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보를 포함하고 있기 때문이다. 환자의 이름 및 식별번호 등이 쓰여 있지 않은 엑스레이 사진, CT 혹은 MRI 사진 등은 개인정보에 해당할까? 당해 사진을 촬영한 병원의 관점에서는 보관된 의료기록과 결합하여 환자를 알아볼 수 있으므로 당연히 개인정보에 해당한다. 하지만 질병진단 인공지능을 개발하는 연구기관에 환자의 이름 등이 없는 사진이 인공지능 학습 자료로 제공되었다면 다르게 판단될 여지도 있다. 결국 누구의 관점에서 결합 가능성을 따지느냐에 따라 개인정보와 가명정보가 달라질 수 있다는 점이다.

앞으로의 전망

지난 3월 30일 데이터 3법 시행령이 입법예고된 뒤 의견수렴 절차를 거치고 있으며, 이후 시행령이 통과되고 나면 시행규칙도 만들어질 예정이다.

시행령 개정안이 나온 지 얼마 되지 않은 지난 4월 29일에는 각계 전문가들이 참석한 데이터3법 시행령 개정안에 대한 토론회가 개최됐다, 이 토론회에서는 시행령 개정안에 여전히 개인정보와 가명정보의 구분에 대한 명확한 기준이 마련되지 않았고, 가명정보에 대해 동의 없이 활용 가능한 목적인 통계작성(상업적 목적 포함), 과학적 연구(산업적 연구 포함) 등에 관한 내용들도 명확하지 않아 산업계가 안심하고 정보를 활용할 수 있는 기반이 조성되지 않았다는 비판이 제기됐다.

이번 데이터 3법 개정은 가명정보의 자유로운 활용을 허용하고 마이데이터 산업에 관한 법적 근거를 마련하는 등 개인정보에 대한 기본적인 인식변화를 도모했다는 데 큰 의미를 둬야 할 것이다. 다른 법률들과 마찬가지로 법령으로 모든 내용을 사전에 미리 예상하고 규율할 수는 없으며, 법이 제정됐다고 해 바로 그 분야 산업이 급성장하는 것도 아니다. 특정산업을 육성하는 법이 제정되고 이에 따라 새로운 분야에 도전하는 핀테크 기업들이 많아지고, 새로운 서비스들이 생겨나는 것을 우선시해야 한다. 그리고 이후 이들 서비스들에 대한 재점검을 통해 법령을 다시 정비하는 작업들을 반복해 나가면서 우리의 금융데이터 산업을 발전시켜 나가야 할 것이다. 다른 나라와 비교해 늦지 않은 시기에 이와 같은 패러다임의 변화를 모색한 결정은 환영할 만하다. 이번 데이터3법 개정이 많은 변화를 몰고 올 것으로 기대한다.

김도형 < 법무법인(유한) 바른 변호사 >