가명정보 처리 및 활용, 보호위원회 중립성 우려 문제 제기돼
 
[전자과학 신윤오 기자] 인공지능 산업을 좌우할 데이터 3법이 오는 8월 시행을 앞두고 있는 가운데, 개인 정보 활용이나 각 정보간 해석의 차이로 논란이 더 증폭될 우려가 있다는 의견이 제기됐다.
 
지난 21일, 한국인공지능법학회(회장 고학수)와 서울대 인공지능정책 이니셔티브 주최로 열린 ‘인공지능과 데이터 3법’ 세미나에 참석한 최경진 교수(가천대 인공지능 빅데이터 정책연구센터장)는 기조 발표를 통해 이같이 밝히고 8월 시행 전까지 6개월 동안 시행령으로 철저히 보완해야 한다고 주장했다. 데이터 3법은 ▲개인정보 보호법 ▲정보통신망 이용촉진 및 정보보호 등에 관한 법률 ▲신용정보의 이용 및 보호에 관한 법률 등을 일컫는 것으로, 지난 1월9일 국회 본회의를 통과해 2월5일에 공포되었고 오는 8월5일에 시행 예정이다.
 


당초 4차 산업혁명 시대의 핵심 자원인 데이터 이용 활성화를 통해 인공지능, 클라우드, 사물인터넷 등 신산업을 육성하기 위해 데이터3법이 입법되었다. 이에 따라 정보주체의 동의 없이 과학적 연구, 통계작성, 공익적 기록보존 등의 목적으로 가명정보를 이용할 수 있는 근거를 마련하되, 개인정보처리자의 책임성 강화 등 개인정보를 안전하게 보호하기 위한 제도적 장치를 규정하기로 했다. 특히 개인정보의 오남용 및 유출 등을 감독할 감독기구로 개인정보 보호위원회를 두어 개인정보 보호 관련 법령을 체계적으로 정비할 계획이다.
 
이번에 개정된 주요 사항의 핵심은 ▲개인정보 개념 정의 합리화 ▲가명정보 활용 근거 마련 ▲개인정보보호 거버넌스 일원화 ▲양립 가능성에 근거한 개인정보 이용 및 제공 허용 ▲정보통신망법 상의 개인정보보보 관련 규정을 개인정보보호법으로 통합, 일원화 등이다.
 
먼저 개인정보보호법 상의 개인정보 개념정의 합리화는 현행 규정에서 정보의 입수가능성과 합리적인 판단이라는 개념이 새로 도입되어 개인정보 범위를 좀 더 세분화했다. 또한 가명정보를 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 없도록 처리하는 것으로 향후, 정보주체의 동의 없이 가명정보를 처리할 수 있는 효과가 있다. 신용정보법 상에서도 공개된 개인정보에 대하여 신용정보 주체의 동의 없이 수집이 가능하도록 했다.

가명정보 활용 근거를 마련하기 위해, 가명정보 처리로부터 정보 주체를 보호하기 위한 방안을 만들고 가명정보 결합 제한, 안전조치의무 및 금지의무도 규정하였다. 양립 가능성을 위한 새로운 처리 근거로 신용정보회사 등은 신용정보법 제32조 제1항~제5항의 적용 없이 개인신용정보 제공이 가능하게 되었다. 또한 개인인 신용정보주체는 신용정보제공 및 이용자 등에 대하여 개인 신용정보를 제한 범위 내에서 전송할 것을 요구할 수 있다.
 
과도한 기대는 ‘과도한 실망’
 
이처럼 데이터3법이 시행되면 데이터의 활용 가능성이 확대되어 동의없는 가명정보를 활용하거나 가명정보의 결합을 통한 활용이 가능하며 양립가능성에 기초한 개인정보의 이용 및 제공, 개인정보(가명정보 포함)-비 개인정보의 합리적 구별이 가능하여 결과적으로 데이터 경제 활성화 및 인공지능 발전에 기여할 것으로 기대된다. 특히 개인정보보호위원회로 거버넌스를 일원화한 점은 업계에서 환영받고 있다. 사각지대 없는 개인정보보호는 물론 개인정보보호에 대한 일관성 있는 법 해석 및 집행이 가능하게 되었기 때문이다.
 
하지만 개정 데이터3법에 대한 오해 또는 과도한 기대는 ‘과도한 실망’으로 이어질 수 있다고 전문가들은 우려한다. 이에 대해 최경진 교수는 “이를테면, 가명처리하면 아무런 제한 없이 마음대로 데이터를 활용할 수 있는 것은 아니란 점을 알아야 한다. 법규를 자세히 보면 의외로 많은 규제와 지켜야할 조항이 많다”며, “양립가능성과 관련한 해석에 따라 이용 또는 제공 가능한 범위가 유동적일 수 있으며 이는 수범자에게 혼란을 야기할 가능성이 크다. 또한 개인정보, 가명정보, 비(非)개인정보 사이의 구별에 대한 시각이나 해석의 차이로 개인정보의 안전한 활용 범위에 대한 논란이 계속될 가능성이 있다”고 밝혔다.
 

가명처리의 방법, 절차, 기준 등을 어떻게 설정하는가에 따라 실제 가명정보의 범위가 매우 제한적이거나 사실상 비개인정보와 유사해질 우려도 있다. 최 교수는 “특히, 기존의 비식별 가이드라인에 따른 비식별정보와 구별되지 않고 유사하게 되는 경우에는 법 개정의 실효성이 감소된다”고 지적하며 “가명정보를 활용할 수 있는 목적에 대한 해석 범위에 따라 실제 활용 가능한 범위가 매우 제한적일 수 있다.

그 예로 통계작성, 과학적 연구, 공익적 기록보존 등이 그것이며 개인정보보호법과 신용정보법 간의 상이한 규정도 마찬가지”라고 말했다. 가명정보의 결합화 결합전문기관으로부터의 반출 범위에 대한 시각의 차이로 실무상 혼란이 발생할 수 있으며 기술적 중립성 훼손 우려도 제기했다. 이에 덧붙여, 새로 설치된 개인정보보호위원회가 정치적 중립성이 유지되지 않을 경우, 합리적이고 안전한 개인정보 활용 체계를 구축하지 못해 산업 활성화에 장애물이 될 것이라는 점도 지적했다.
 
법 통과로 뭐든 할 수 있다? 큰 오해
 
이어진 토론회에서도 데이터3법에 대한 기대와 우려를 나타내는 목소리가 이어졌다.
공주대 최대선 교수도 “단순히 가명조치를 하면 어떤 것도 해도 된다는 오해를 할 수 있다. 실제로 각계 사람들과 이야기 해보면, 법 통과로 뭐든 할 수 있다는 오해를 하는 사람들이 더러 있다”며, “국내 개정법령의 가명조치의 배경이 되는 유럽의 GDPR은 기업에서 해오던 식별정보를 제거하고 기업 자체의 식별자를 부착하여 데이터를 관리하라는 취지인데 이 부분을 이해하지 못하고 문자 그대로 해석하여, 가명정보를 정의하고 데이터 공유에 적용하려는 움직임에 대해 우려된다”고 지적했다. 최 교수는 이에 더하여, 가명정보는 다른 정보와 결합하면, 개인을 식별할 수 있다며 물론 재식별이 범죄이니 사후 엄한 처벌을 통해 막아야 한다는 생각도 있지만 문을 없애고 무단 침입을 처벌하는 것과 같은 상황이므로 다른 보호조치를 추가해야 한다고 주장했다.
 
김&장 법률사무소 김진환 변호사도 가명정보 개념 관련 핵심 고려사항에 대해, “가명정보의 개념이 협의의 개인정보, 가명정보, 익명정보인지에 따라 다를 수 있다”며, 이에 “가명정보 해석의 과제는 우선 가명조치(비식별화)의 정도가 식별자 삭제 또는 대체인지, 비식별 판단의 기준이 무엇인지, 추가 정보의 범위가 어디까지인지 따져봐야 한다”고 말했다.
 
법무법인 태평양 강태욱 변호사는 신용정보법상 자동화 평가에 대한 이의권 신설에 대해 논하면서, “자동화된 평가(profiling)에 대하여 기존 법제 내에서 어떻게 판단할지에 대한 논의가 많지 않았다”며, “AI에 의한 평가 역시 이 범주 내에 해당하지만 구체적으로 개인신용정보를 이용한 자동화평가 관정에서 개인신용정보가 이용되는 것을 신용정보주체의 권리와 어떻게 조화롭게 해석할 것인지 여부가 논란이 될 것으로 생각된다”고 피력했다. 또한 “AI 기술이든 빅데이터 기술이든 기술 활용을 위해서는 결국 공개된 정보를 수작업으로 수집하는 것이 아닌 자동으로 생성되거나 자동으로 수집되는 정보를 처리하는 경우가 대다수일 것인데, 만약 적용법을 기준으로 동의 없이 수집할 수 있는 범위가 달라진다면 애초의 취지와 달리 상당히 미묘한 해석상의 이슈가 생길 수 있다”고 덧붙였다.
 
업계에서는 네이버 이진규 이사가 참석하여 의견을 밝혔다. 정보주체의 권리를 규정한 개정안에 대해 이 이사는 “개인정보 처리에 대한 적법 근거의 하나에 해당하는 ‘동의’를 법이 정하는 정보주체의 권리로 인정하는 것은 현재의 ‘동의 만능주의’의 다양한 문제점을 해결하는데 도움이 되지 않는다”며, “AI 알고리즘이 거의 모든 S/W에 장착되고 있는 현실에서 다이내믹한 목적의 변화를 포용하지 못하는 제도라는 점에서 재고가 필요하다”고 주장했다.
 
시행 전 세부적인 가이드라인 중요해져
 
특히 개인정보보호위원회와 관련하여, “위원회 구성과 관련하여 산업계는 ICT 산업계의 전문가가 반드시 포함되어야 한다는 요청을 지속적으로 제기해 왔는데 실제 위원회 구성을 보면 실제 전문지식을 보유할 것으로 기대하는 것이 매우 어려운 구조여서 새로운 개인정보 처리 환경에 대응이 어렵지 않을까하는 우려가 있다. EU처럼 전문가 단체를 법제화하지 않은 점도 아쉬운 대목”이라고 지적했다. 특히 “최근 코로나감염증 사안에서도 확인했듯, 법 58조 제1항 제3호에 의하면, 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리되는 개인정보는 법 제3장 내지는 제7장의 적용이 제외되기 때문에 고유식별 정보나 민감정보의 치리에 대한 추가적이 보호가 없는 것이나 다름없다 할 것”이라고 밝혔다.

개인정보보호법 개정 후속 과제에 대한 시민사회 의견서를 낸 진보네트워크센터 오병일 대표는 개인정보 3법이 졸속 통과된 것에 대해 심각한 유감을 표명했다, 오 대표는 보호위원회가 기본권의 수호자로서 독립적으로 운영되어야 함을 천명하며 하위법령에서 특히, 가명정보에 대한 우려를 나타냈다. “가명처리와 관련한 가장 큰 우려는 여전히 재식별의 위험성이 큼에도 불구하고 일부 직접 식별자만을 제거하는 정도의 개인정보 처리를 가명처리로 인정하는 것이다. 가명 처리된 개인정보처리자가 아닌 제3자의 입장에서는 익명정보에 가깝도록 처리되어야 한다.” 시민사회단체들은 여전히 개인 정보보호법 등이 가명처리만 하면 개인정보를 목적 외로 폭넓게 활용할 수 있는 반면, 정보주체의 권리를 전면 배제하고 있기 때문에 개인정보 보호의 관점에서 여전히 문제가 있다는 입장이며 안전조치로서 가명처리가 의미가 있기 위해서 관련 시행령에서 이를 규정하는 것과 별개로 개정 개인정보보법 등 개정 법률이 가진 근본적 하자를 치우하기 위해서는 법률이 재개정되어야 한다고 주장했다.
 
한국인공지능법학회 고학수 회장은 “국내에서 데이터3법 논의가 시작되었던 것은 2018년 해커톤이 계기가 되었는데, 만 2년 동안의 논의 끝에 법이 통과되었다”며, “법이 통과되면 다 끝난 것 같았는데 그게 아니라는 반응이 곧바로 나오기 시작했고 후속조치를 어떻게 해야될 것인가 라는 고민이 여러 곳에서 이뤄지고 있다. 8월에 법이 시행되기 전에 정부는 물론 기업 , 학계 등등에서 각자 고민을 많이 해야 하는 상황이다”고 말했다.

토론에 참석한 강 변호사도 “개정법에 바탕 한 정보주체의 권리를 잘 보장하면서 데이터 이용을 활성화하려는 것은 세부적인 가이드라인을 얼마나 잘 마련하는가에 있다”고 강조했다.