개인정보 보호와 데이터 활용의 균형 위한 새정부 과제는?

[이데일리 김현아 기자] 기계와 인간이 공존하는 4차 산업혁명 시대의 핵심은 데이터다. 여러 곳에서 데이터를 모아 분석하면서 인공지능(AI) 알고리즘을 고도화하고 이를 통해 제조업의 생산성을 높이고 개인별 맞춤형 서비스를 제공할 수 있게 되는 것이다.

하지만 데이터를 모으는데 조심해야 하는 게 있다. 바로 개인정보다. 비단 이름이나 주민번호, 전화번호 같은 것 외에도 나의 사회·문화적 취향 같은 걸 기업이나 국가가 함부로 가져가고 이를 통해 통제하려 한다면 민주주의가 무너질 것이다.

그러나 그렇다고 데이터 활용 자체를 막을 순 없다. 특히 디지털 환경에서 만들어지는 수치, 문자, 영상 등 대규모 데이터(빅데이터)들은 잘 만 조합하면 재난을 막는 똑똑한 기후 예측이나 감염병 예방 같은 좋은 일에 쓰일 수 있다.

개인정보를 보호하면서도 데이터의 활용도 역시 높일 수 있는 방안은 없을까.

지난 21일 개인정보보호법학회는 ‘빅데이터 시대, 바람직한 개인정보보호 체계는?’이라는 주제로 토론회를 열었다.

◇행자부·방통위·금융위로 나뉜 거버넌스, 불안하다

이인호 교수

이인호 중앙대 교수(한국정보법학회 회장)는 “우리나라의 개인정보 거버넌스, 집행체계가 조금 불완전하다”며 “법 집행 기관이 분산돼 있고, 무엇보다 컨트롤타워가 없다”고 말했다.

그는 “행자부가 기본적인 집행기관이지만 타부처도 부분적으로 집행한다. 특히 온라인·오프라인이나 영역별 분산이다 보니 혼란을 초래한다.중복 규제도 있다”며 “개인정보호보 집행·감독 기관의 독립성과 전문성, 콘트롤 타워 문제를 해결해야 한다”고했다.

현재 우리나라 개인정보보호 집행체계는 일반 법인 개인정보보호법과 행자부와 개인정보보호위원회, 정보통신망법 소관 부처인 방송통신위원회, 신용정보법 소관 부처인 금융위원회 등으로 나뉘어 있다.

오프라인 영역은 개인정보보호위원회, 온라인 영역은 방송통신위원회 등으로 나뉘어 있다. 공공 영역은 행자부(국정원 등), 민간 영역은 방통위·금융위 등으로 분리돼 있다.

원스톱 정책기구 필요…규제는 위원회로

이상직 변호사

이상직 변호사(법무법인 태평양)는 “현재 개인정보 관련 법들은 각종 사고가 발생할 때마다 정비되는 형태를 취하다 보니 개인정보가 제대로 보호도 활용도 안 되는 어지간한 수준이 됐다”고 평했다.

그는 “새 정부에서는 개인정보의 보호는 눈에 보일 정도로 확실하게 해야 하고, 이후 (개인임을 알 수 없는) 비식별화 조치를 통해 활용되도록 해야 한다”고 말했다.

거버넌스에 대해서는 “지금까지는 분야별로 정책과 규제를 나눴지만 앞으로는 그렇지 않다”며 “개인정보보호는 원스톱으로 정책이 만들어질 수 있도록 하나의 부처가 권한을 갖도록 하고, 관련해서 독립적이면서 준사법적인 규제위원회를 두는 게 낫다”고 말했다.

규제 예측 높이려면 조직이 단순해야

이성엽 교수

이성엽 서강대 교수는 “규제의 예측가능성을 높이기 위해 단순화된 조직이 필요하다”며 “어떤 제도든지 원래는 기본법을 하다가 전문성이 분야별로 강화되면 분산형으로 가는 건데, 우리는 거꾸로 정보통신망법이라는 법 하나만 존재하다가 위에 기본법이 합쳐지면서 이상해졌다”고 평했다.

그는 “이 과정에서 온라인 금융부문의 개인정보보호는 신용부분으로 단일화해야 한다”고 말했다.



규제 내용이 어렵다

권창범 변호사

권창범 변호사(법무법인 인)는 “얼마 전 정부를 대리해 행정소송에 참여했는데 재판장님 말씀이 침입방지시스템이란 용어나 암호화 기술을 뭘 썼느냐 이런 걸 어렵다고 하시더라”며 “개인정보를 지키고 위반 시 규제하는 데 있어 일반 국민이나 기업이 내용을 알기 어렵다”고 했다.

하지만 그는 “개인정보보호 정책과 규제를 구분하기가 어려우니 독재자가 나오기 전에 (개인정보 관련)흩어진 기능들을 한 곳에 통합하기는 불가능할 수 있다”며 “결론은 (현재 상태를 유지하더라도) 지속가능한 법체계, 그리고 민관이 함께가는 거버넌스를 갖춰야 한다는 점”이라고 부연했다.

개인정보보호법 너무 강하다

최경진 교수

최경진 가천대 교수는 “ICT 규제나 촉진여부를 가르는데 큰 의미가 개인정보 문제”라면서 “법체계를 어떻게 하고, 어떻게 집행체계를 갖출지가 중요하다”고 전제했다.

그러면서 “상당수 학자들은 개인정보보호위원회로 모든 걸 통합해야 한다고 하지만 꼭 하나의 법과 규제체계로 통합하는 게 맞는가 고민이 필요하다”며 “(그보다는)개인정보의 보호와 데이터 활용의 균형의 관점에서 봤을 때 현행 개인정보보호법이 너무 강력하고, 특수법이 아닐까 할 정도로 강한 게 문제다. 정말 법과 규제체계를 일원화하려면 (기본법은) 좀 더 원칙적인 것으로 완화해야 한다. 그래야 활용과의 조화가 이뤄지지 않을까 한다”고 말했다.

이날 토론회에서는 빅데이터 시대를 맞아 개인정보의 보호와 데이터 활용의 균형을 맞추기 위해 거버넌스 조정보다는 현재 조직의 기능과 역할을 명확히 하는 게 낫다는 의견도 나왔다.

◇조직 유지하되 기능 명확히 하자

이창범 교수

이창범 동국대 교수는 “우리나라는 규제 수준은 높지만 실명 기반 사회이다 보니 개인정보의 보호 수준은 높지 않다”며 “조직의 통합도 바람직하나 그보다는 여러 역할과 기능을 명확하게 했으면 한다”고 말했다.

그는 “너무 처벌 규정이 강해서 일반법이 아니라 특수 분야 법으로 오해도 봤지만 개인정보보호법은 분명히 일반법”이라며 “특수분야에는 특수 규정이 바람직하다는 의견도 있지만 다른 나라는 개인정보보호법에서 소화한다. EU는 정보통신분야 외에 개별법은 없다.대부분은 가이드라인이나 지침으로 보완하지, 별도 지침으로 만들진 않는다”고 말했다.

개인정보 분쟁조정 중첩될 수밖에 없어

김현경 교수

김현경 서울과학기술대학교 교수는 “개인정보 관련 1세대 이슈가 공공 집중에 의한 프라이버시 침해였다면 2세대 이슈는 인터넷 발전에 따른 폭발적 이용증가, 3세대 이슈는 인공지능, IoT 전면화에 따른 정보주체의 개인정보 자기결정권 보장”이라고 전제했다.

그는 “따라서 통일적인 원칙을 위한 툴은 필요할 수 있지만, 개인정보에 대한 관리감독 집행과 관련해 한 부처가 책임지기는 어렵다”고 부연했다.

또 “그런 의미에서 개인정보분쟁조정위는 큰 의미를 갖는다”며 “개인정보 분쟁조정은 충첩될 수 밖에 없고, 더 중요한 의미는 유관기관과의 연결 거버넌스 구축”이라고 부연했다.

개인정보 거버넌스 개편, 국회 논의 불충분

김유향 국회 입법조사처 방송통신팀장

김유향 국회 입법조사처 방송통신팀장은 “개인정보를 규제하는 기구라는 게 독립적으로 만들고 권한을 강화시켜야 한다는 점은 합의된 사항이나, 정책과 규제를 나눠야 하는 가 등의 부분은 충분히 논의되지 않았다”고 말했다.

그는 “민간은 미래부, 방통위, 공공은 국정원 등인데 지금 같은 시대에 나누지 말고 통합하자는 이야기도 나오지만 감시 우려 때문에 반대가 많다”고 부연했다.

김 팀장은 “정책과 규제 부서를 나누기 어렵다”면서 “정책 부서의 중첩은 나쁘지 않다. 특히 공공 서비스는 중첩돼도 문제가 아닐 수 있다. 다만, 규제부서의 중첩은 좀 문제가 있다”고 말했다.

개인정보보호위 행자부서 독립성 높아져야

지성우 성대 교수

지성우 성대 교수는 “규제와 정책 분리 이슈는 좀 시기가 지나간 것 아닌가”라면서 “다만, 개인정보보호위원회와 행자부의 관계에서 적어도 조직과 자금에 대해선 지금보다 독립적이어야 할 듯 하다”고 말했다.

그는 “현실적으로 개인정보보호위원회의 거버넌스 체계를 크게 바꾸기는 어려울 것”이라며 “이론도 중요하나, 현실적으로 전체적인 행정조직 체계도 바뀌기 어렵다고 본다”고 부연했다.

개인정보보호학회 토론회가 막바지로 치닫으면서 새정부 출범과 함께 좀 더 혁신적인 변화를 꾀하자는 쪽과 현행 제도 기반으로 개선하자는 쪽이 부딛혔다.

이상직 변호사는 “새로운 정부가 들어선다면 개인정보 패러다임을 원칙을 새롭게 세우는 기회가 될 것”이라며 “지금까지는 보호와 활용을 극한 대립으로 보고 활용을 보호를 침해하는 행동으로 이해했지만 앞으로는 거버넌스를 포함해 많이 달라져야 한다”고 말했다.

한국인터넷진흥원 관계자는 “개인정보 비식별조치와 관련해 가이드라인 형태로 돼 있는데 이에 대한 법적인 정의가 필요해 개정안을 준비하고 있다”며 “개인정보보호위원회의 독립성 강화든, 독임제를 통한 정책 기능 강화든 적극적인 토론이 필요하다고 말했다.

이인호 교수는 “우리의 현체계(행자부 관련 개인정보보호위원회)가 독립적인가?”라면서 “독립성 없이 갈 수는 있겠지만 이는 글로벌 스탠더드에는 맞지 않는다”고 말했다.

이성엽 교수는 “어떤 기관에서 개인정보보호 관련 피해구제를 일임해주는 건 좋은데 집단 분쟁에 대해 법령으로 강제하는 건 문제”라고 지적했다.

이창범 교수는 “이성엽 교수와 비슷한 생각”이라며 “다른 어느나라도 개인정보보호기구에서 피해구제를 해주는 기구는 거의 없다. 대부분 옴부즈만 기능만 해주고 있다”고 말했다.