로고

한국 CPO 포럼
회원가입 로그인
  • Let’s Privacy
  • Privacy Column
  • Let’s Privacy

    Privacy Column

    Leader's Opinion

    회원사들의 개인정보보호 관련 컬럼 으로 구성됩니다.


    미리 가본 데이터 3법 개정 후의 모습과 남은 과제들

    페이지 정보

    profile_image
    작성자 박광배
    작성일Date 19-12-31 00:00

    본문

    법무법인 광장 박광배 변호사


    4차산업혁명, 데이터경제를 위해 반드시 개정되어야 할 데이터 3법(개인정보보호법, 정보통신망법 및 신용정보법) 개정안들이 2018.11.15. 발의된 이후, 우여곡절끝에 지난 2019.12.4. 정보통신망법 개정안의 과방위 상임위 통과로서 개정 절차가 거의 마무리단계에 이르렀다. 이제 법사위를 거쳐 본 회의를 통과하면 될 것이다. 워낙 오래전부터 애타게 기다려온 개정이다 보니, 이제는 이번 법개정이 곧 데이터 경제 활성화를 위한 법적, 제도적 기반의 완성이라고 오해할 수도 있을 것 같다. 물론, 이번 데이터3법의 개정이 데이터 경제의 진흥을 위한 가장 중요한 걸음이라는 점은 누구도 부인할 수 없을 것 같다.  하지만, 현실은 그렇게 녹녹하지만은 않은 것 같다. 각 상임위 통과로 이들 개정법안들의 내용이 사실상 확정된 만큼, 이들 법안(이하 “개정법안”)을 기초로 간단히 나마 법개정 후의 모습과 후속 과제에 대해 살펴보고자 한다.  어찌 보면 이들 개정 법안들의 통과는 새로운 여정의 시작일 뿐이다.


    1.   대대적인 하위법령, 가이드라인 등의 개정작업 진행

    개정법안에 의하면, 법 공포 후 6개월후 시행되도록 되어 있다.  하루 빨리 시행되었으면 하는 마음이 간절하지만, 개정법안의 내용만으로는 제대로 시행될 수 없는 부분이 많기 때문이다. 개인정보보호법 개정안의 주요 요지는 가명정보/가명처리의 개념 도입과 그에 따른 규율의 신설, 개인정보보호위원회로의 개인정보 감독기구(행안부, 방통위)의 기능과 권한의 이전/통합이다.  얼핏 보면 큰 변화가 아닌 듯해보지만, 막상 들어가 보면 엄청난 변화가 있다.  


    가장 큰 변화는, 개인정보 개념의 세분화 및 법 적용의 차이이다. 현재의 법체계는 개인정보와 그렇지 않은 정보(익명정보)로만 구분되고, 개인정보인 경우에는 개인 식별의 실제적인 위험성과 무관하게 일률적으로 동일한 룰(rule)이 적용되는 단순한 구조이다. 그러나, 개정법하에서는 그 자체로 개인을 식별할 수 있는 이름, 주민등록번호 등의 ‘개인식별정보’(법문언상 정의된 표현은 아님), 곧바로 식별되지는 않지만 다른 정보와 결합할 경우에는 개인을 식별할 수 ‘개인식별가능정보’(역시 법문언상의 정의된 표현은 아님), 추가 정보의 사용, 결합없이는 특정 개인을 알아볼 수 없는 ‘가명정보’의 3가지 개념으로 나뉘어진다. 그 중 가명정보에 대해서는 그 특성을 감안하여 재식별금지에 대한 엄격한 책임과 의무를 부담시키는 대신, 일정한 의무(주로 정보주체로부터의 동의수집의무)를 면제해서 데이터 산업 발전을 위한 원재료로 사용할 수 있는 가능성을 열어 주려 하고 있다.  


    하지만, 구체적으로 가명정보, 가명처리, 재식별금지를 포함한 제 보호장치의 구체적인 내용은 시행령과 그 하위 규정에 명시될 수 밖에 없는 게 현실이다. 나아가, 이들 개념이 개인정보보호법에 처음 도입되는 만큼 구체적인 내용을 고시, 가이드라인, 해설서 등의 제, 개정 등을 통해 제시해 주지 않으면 적지않은 혼란이 있을 수 있다. 따라서 그 전까지는 가명처리 등 데이터의 활용을 위한 준비업무에 적지않은 어려움이 있을 것으로 보인다. 법시행에 임박해서 하위 법규 등의 내용이 확정, 공개되던 기존 사례들과는 달리, 이번에는 서둘러 그 내용을 공개하여 늦어진 법개정의 후유증을 조금이라도 줄여주었으면 하는 바램이다. 


    2.   개정법안의 문제점을 보완할 추가적인 개정작업

    개정 개인정보보호법에는 개인정보 감독기구의 기능과 권한을 개인정보보호위로 일원화하는 내용이 중요한 한 축으로 되어 있습니다.  이를 위해 2000년 이래 방송통신위 관할 하에 정보통신서비스 제공자(통신회사, 방송회사, 온라인서비스제공자 등)에게 적용되던 개인정보 규제 부분을 개인정보보호법으로 이관하게 넣게 되었다. 하지만, 개인정보처리자/정보주체의 개념을 기초로 한 개인정보보호법과 정보통신서비스 제공자/이용자의 개념을 기초로 한 정보통신망법의 개인정보보호체계의 형식과 내용이 서로 달라, 이 두 법체계의 정합성까지 고려한 개정법안을 준비할 시간과 여력은 없었다.  대신, 궁여지책으로 정보통신서비스제공자 등에게 적용되는 조항 중 개인정보보호법의 내용과 거의 대동소이한 조항을 제외하고는 정보통신서비스제공자 등에게만 적용되는 규정들을 특례규정(제 6장, 정보통신서비스 제공자 등의 개인정보 처리 등 특례) 형태로 거의 그대로 옮겨오는 방안을 택한 것으로 보인다.  하지만, online/off-line 서비스의 융합이 대세가 되어 가고 있는 현실을 생각하면, 단일 법에서, 개인정보를 처리하는 개인정보처리자와 별개의 정보통신서비스 제공자를 규정하고 그들 간에 서로 다른 의무와 책임을 규정함으로 인하여, 법시행단계에서 상당한 혼란이 생길 것으로 보인다. 아마도 이러한 입법적인 고충과 연원을 모른 채 누군가 처음으로 개정 개인정보보호법을 본다면, 도대체 왜 두 사업자를 구별해야 하는지 이해할 수가 없을 것이다.  따라서, 개인정보처리자중 정보통신망법 적용사업자에게만 적용되는 특례조항들의 정합성의 문제는 가장 우선해서 추가 개정되어야 할 과제로 보인다.   


    다음으로, 과태료/형사처벌의 2원화된 제재 구조를 가지고 있는 개인정보보호법(과징금부과조항은 딱 한군데 있다)의 체계에, 과태료/과징금/형사처벌의 3원화된 제재 구조를 가진 정보통신망법의 제재 구조를 그대로 이관함에 따른 혼란도 적지 않을 것으로 보인다. 이 부분도 시급히 개선되어야할 과제로 보인다.


    나아가, 개정 개인정보보호법과는 달리 신용정보법 개정안은 개인신용정보의 전송요구권(right to data portability), 자동화평가(profiling)에 대한 신용정보주체의 설명요구권 등 기존 법체계에서 볼 수 없었던 개념을 도입함으로서, 신용정보법과 개인정보보호법간의 진화(?)의 속도에 발생한 불일치로 인하여 문제가 야기될 수도 있을 것으로 보인다.  추후 개인정보보호법도 정보주체의 권리보호를 위한 이러한 신개념을 도입하는 추세로 갈 것으로 보이지만, 그 때까지 발생할 실무의 혼란은 어쩔 수 없을 것으로 보인다. 어쩌면 개정법안의 시행과정에서 발생하는 실무상의 혼란이나 문제를 차후 개인정보보호법 개정안에 반영할 수 있다면, 그러한 혼란도 어느정도 감내할 수 있지 않을까 하는 생각이 든다.  


    아울러, GDPR 제45조에 의한 EU의 적정성평가 이후에라도 이루어져야 할 국외이전 제도의 개선, AI, IoT 등 빅데이터를 기반으로 한 데이터 경제에 어울리지 않는 사전동의 만능 제도의 개선, 정보주체의 실질적인 프라이버시와 기본권에 대한 침해 위험을 감안한 보호체계(risk-based approach)로의 개선, 문자(text) 위주의 현행 개인정보보호체계를 영상정보, 음성정보 등 비(非) 문자성 정보까지 적절히 규율하고 활용할 수 있는 체계로의 개선 작업 등 산적한 숙제들이 한 두가지가 아니다.


    3.   EU의 적정성 결정(Adequacy decision)작업의 조속한 완료

    2015년부터 본격적으로 준비되어 추진되어 온 EU GDPR 제45조에 따른 적정성 평가(Adequacy assessment)절차를 조속히 완료하고 우리 기업들의 GDPR 준수부담의 조속히 완화해줄 필요가 있다. 적정성 평가작업은 EU의 집행위원회에서 해당국가가 EU와 비슷하게 개인정보가 적정한 수준으로 보호되는 국가인지의 여부를 결정하기 위해 진행되는 평가작업인데, 일본과 비슷한 시기에 시작되었음에도 일본에 대해서만 2019.1. 적정성 결정이 내려진 데에는 안타까움이 있다. 준비작업이 시작된 지 만 4년반의 기간이 지났음에도 현재의 개인정보보호법, 정보통신망법 개정작업이 선행되지 않고서는 이루어질 수 없는 구조여서 안타깝게 시간만 지연되고 있었다. 그 사이 2019.1. 프랑스 개인정보감독관청(CNIL)의 Google에 대한 5천만 Euro 과징금부과를 시작으로, EU는 적지않은 외국 기업들에 대해 GDPR위반을 이유로 한 제재를 본격적으로 확대하는 분위기이다. EU의 적정한 적정성 결정이 있게 되면, EU주민의 개인정보를 취급하는 우리 기업들, 특히 중소기업들의 GDPR준수부담을 적지않게 줄일 수도 있다. 물론, 우리의 개인정보, 프라이버시의 보호수준을 EU도 인정하였다는 점에서 국제적인 인지도도 향상시킬 수 있을 것으로 보인다.  


    나아가, 점점 더 많은 나라의 개인정보보호법제가 자국 수준의 개인정보의 보호가 이루어지는 국가/기업(white list)과 그렇치 않은 국가/기업로 구분하고, 개인정보 국외이전에서의 법적 취급을 달리하려는 추세이다. EU의 적정성 결정이 있게 되면, 장기적으로는 이들 나라의 white list에 우리나라가 등재되는 데에도 유리한 고지를 점하게 될 것으로 보인다. (우리도 그러한 법제를 도입할 필요가 있는지 여부는 별론으로 하고), EU의 적정성 결정이 있을 경우 EU외 지역으로 진출하는 우리 기업들 조차 현지에서의 서비스 제공을 위해 현지 주민들의 개인정보를 한국으로 보다 쉽게 이전할 수 있는 기반이 조성될 수 있다는 점에서 우리 기업의 국외 진출 부담을 줄여줄 수도 있을 것으로 보인다.


    4.   개별 법령에 숨어있는 규제의 발굴 및 개선의 필요

    지금껏 4차산업혁명, 데이터경제의 발목을 잡는 주범(?)으로 데이터3법을 지목하는 경우가 많았다.  이번 개정법안이 시행되면, 그 동안 데이터3법에 의한 규제 그늘 아래에 숨겨져 있던 데이터 경제의 발복을 잡는 개별 영역에서의 규제들이 그 모습을 드러낼 계기가 될 것으로 보인다.  따라서, 이후 개별 법령에서의 규제가 적절한지, 어떻게 개선해 나가야 이번 데이터 3법개정의 의미를 살릴 수 있는 지를 고민해 볼 수밖에 없을 것으로 보인다.  


    아무쪼록 이들 데이터3법 개정안이 조속히 국회에서 통과되고, 2020년은 그 후속작업이 활발히 이루어지는 한해가 되었으면 하는 바램이다. 끝.