[기고]법의 체계성, 정합성에서 벗어난 데이터법 하위 규정

데이터 경제 시대를 활짝 열어줄 것으로 큰 기대를 받는 데이터법이 8월 5일부터 시행되면서 정부는 필요한 시행령, 고시 등의 제정 작업을 진행 중이다.

이성엽 (사)한국데이터법정책학회장

그런데 입법예고 된 시행령을 비롯한 하위 법령은 법률에서 정한 데이터 활용에 관한 사항이 구체화 되지 못해 기업들은 여전히 혼란스럽다.

법령이라는 형식인 이상 법의 체계성과 정합성은 반드시 고려돼야 한다. 법이란 준수가 강제되는 규범으로 수범자가 합법과 불법 여부를 쉽게 판단할 수 있도록 명확하게 만들어져야 하며, 법령 간 모순이나 충돌이 있어서는 안 된다.

또한 국회가 제정한 법률의 범위를 벗어나 행정부가 하위 법령을 제정해선 안 된다. 이런 관점에서 데이터법 하위 규정은 몇 가지 문제가 있다.

첫째가 빅데이터 활용을 위한 핵심조항인 ‘합리적 관련성’ 조항이다. 법률에는 ‘당초 수집 목적과 합리적으로 관련된 범위 내에서 정보 주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여’ 대통령령이 정하는 바에 따라 정보주체의 동의 없이 개인정보를 수집·이용 및 제공할 수 있다고 돼 있다.

이에 따른 시행령안에서는 1)개인정보를 추가적으로 이용하려는 목적이 당초 수집 목적과 상당한 관련성이 있을 것, 2)개인정보를 수집한 정황과 처리 관행에 비추어 볼 때 추가적으로 이용할 수 있을 것으로 예측 가능할 것, 3)개인정보의 추가적 이용이 정보주체 또는 제3자의 이익을 부당하게 침해하지 아니할 것, 4)가명 처리를 하여도 추가적 이용 목적을 달성할 수 있는 경우에는 가명 처리하여 이용할 것이라는 4가지 요건을 충족하도록 하고 있다.

법체계적으로 법률상 ‘합리적 관련성’을 구체화하는데 ‘상당한 관련성’이라는 더 불분명한 기준이 만들어진 점, 법률에는 정보주체의 이익만을 고려하는데 시행령에서는 제 3자의 이익까지 고려하도록 하여 위임범위를 벗어난 점, 암호화 등의 안전성 확보조치에 관한 구체적 내용 없이 가명처리만을 규정하여 다른 안전성 확보조치에 대한 기준이 없는 점이 문제이다.

더 큰 문제는 법률에서는 여러 기준을 ‘고려’하도록 했는데 시행령에서는 ‘충족’하도록 하여 데이터 활용을 위한 입법자의 의사를 행정부가 임의로 제한하고 있는 것이다. 개정법의 모범이 된 유럽의 GDPR은 합리적 관련성을 연계성(linkability)으로 구체화하고 있고 요건들을 ‘고려’하도록 하고 있다.

둘째, 가명정보의 결합과 관련 법률에 도입된 ‘결합전문기관’ 외에 시행령 등에 법률에서 예정하지 않은 ‘연계정보 생성기관’을 추가로 도입할 예정이어서 위임입법의 한계 관련 이슈는 물론 신용정보법과는 다른 이중 시스템 도입에 따른 법체계 간 부정합성이 나타나고 있다.

셋째, 가명정보는 비식별화된 정보이기 때문에 법률상 개인정보의 파기의무 등 여러 의무의 적용을 면제하고 있는데, 시행령에서 가명정보의 처리 목적이 달성되거나 가명정보 보유 기간이 경과한 때에는 가명정보를 지체 없이 파기하도록 함으로써 위임범위를 벗어나 있다.

사실 개정 데이터법은 2년 이상의 긴 과정을 거쳐 어렵게 만들어진 법으로서 첫술에 배부를 수 없듯이 이 단계에서 모든 문제를 해결할 수는 없다. 향후 법을 시행하면서 보다 개선된 개정안을 마련하면 될 것이다. 다만, 하위 법령에 데이터 보호에 관한 우려를 담는 경우에도 당초 법 개정의 취지를 고려하고 최소한의 법체계성과 정합성을 지켜야 할 것이다.