"데이터3법 가명정보 가이드 명확히 해야…결합 절차도 간소화"

구태언 법무법인 린 변호사가 29일 오후 열린 제15회 해킹보안세미나에서 `데이터3법과 가명정보의 쟁점`을 주제로 발표하고 있다.(사진=이후섭 기자)

[이데일리 이후섭 기자] 오는 8월 데이터 3법(개인정보보호법, 정보통신망법, 신용정보법) 시행을 앞두고 가명처리 방법 및 절차, 가명정보 활용 범위 등에 대한 논란이 거세다. 특히 개인정보보호법 시행령의 모호한 가명정보 정의 및 민감정보 활용 여부를 명확히 규정하고, 가명정보 결합 절차를 간소화할 필요가 있다는 지적이 나온다.

한국해킹보안협회는 29일 오후 서울 여의도 국회에서 제15회 해킹보안세미나를 개최했다. 세미나에서 구태언 법무법인 린 변호사는 “어느 수준까지 가명처리를 해야 법적 문제가 없는 가명정보인지에 대한 명확한 가이드라인이 없다”며 “가명처리 처리 기능 범위, 구체적 처리 방법 및 수준 등에 대해 세분화된 가이드라인을 제시해줄 뿐만 아니라 이와 관련한 실무자 교육도 필요하다”고 촉구했다.

가명처리 가능 범위와 관련해서는 의료정보, 생체정보 등 민감정보도 가명화해 활용 가능한지 여부가 쟁점이 되고 있다.

구 변호사는 “의료정보는 환자정보 뿐만 아니라 진료정보도 가명처리해야 하는지에 대한 문제가 있다”며 “의료 AI 기술에 의료정보를 활용할 수 없다면 개정안을 만든 게 무슨 의미가 있느냐는 지적도 나온다”고 말했다.

그는 또 신용정보법의 가명처리는 좀 더 상세하게 정의돼 있어 개인정보보호법도 동일하게 수정할 필요가 있다고 했다. 신용정보법의 가명처리 결과에는 `어떤 신용정보주체와 다른 신용정보주체가 구별되는 경우`가 명시돼 있다.

가명정보 활용 범위에 대해서도 명확히 상업적·산업적 목적이 적시돼 있지 않아 실질적 활용에 애로를 겪을 것으로 예상된다. 구 변호사는 “해설서와 가이드라인 등에 가명정보의 상업적·산업적 활용범위에 대해 풍부한 사례를 제시할 필요가 있다”고 말했다.

가명정보 결합에 대해서는 상세 과정 및 소요 실비 등을 명확히 하고, 동일정보를 정기적으로 결합하는 경우에는 절차를 간소화할 필요가 있다는 목소리가 높다.

기업 내부 가명정보간 결합시에도 전문기관을 통해야 하는지 등에 대해 불명확하며, 제공받은 결합결과를 내부정보와 결합할 경우에는 내부에서 직접 수행 가능한지 등에 대해서도 상황별 가이드가 필요하다는 의견이다.

가명정보의 제3자 제공 시 관련 법령간 모순된 관계가 있고, 데이터 교류 절차에 대한 구체적인 실무 가이드라인이 마련돼야 한다는 점도 지적했다. 구 변호사는 “개인정보보호법에서는 동의없는 가명정보의 제3자 제공이 가능하나, 생명윤리법에서는 제3자 제공 시 심의위원회를 거쳐야 한다”며 “추가 정보를 주지 않고 가명정보만 제3자에게 주는 것이라 그 자체만으로는 다시 복원하기 어려울텐데 엄격하게 보호할 필요가 있냐는 의견들도 있다”고 말했다.

이어 그는 “현재 신용정보법에만 마이데이터 사업 내용이 포함돼 있는데 금융 외에 의료, 에너지 등 다른 산업에서도 마이데이터 사업이 가능한지 여부에 대해서도 많이들 궁금해 한다”며 “이는 우리가 `포지티브 규제`에 젖어 있다는 점을 방증하는 것으로, 원칙적으로 금지하지 않으므로 금융 이외 다른 산업에서의 마이데이터 사업은 가능할 것으로 보인다”고 판단했다.