지난 9일 개인정보법·신용정보법·정보통신망법 개정안, 이른바 ‘데이터 3법’이 통과됨에 따라 정부가 시행령 개정 등 후속조치를 추진한다고 밝혔다. 행정안전부, 방송통신위원회, 금융위원회 등 데이터 3법 관계부처는 21일 합동 브리핑을 열어 ‘데이터 3법’에 대한 후속 조치 계획을 발표했다.

‘데이터 3법’은 정보 주체가 특정되지 않는 가명정보를 사전 동의 없이 빅데이터 분석 등에 활용할 수 있도록 하는 것을 주요 골자로 한다. 정부는 정보보호를 위한 추진체제를 ‘개인정보보호위원회’로 일원화하고 해당 기구를 국무총리 소속 중앙행정기관으로 격상한다.

정부는 ‘데이터 3법’에 대한 후속조치로 2~3월 중 시행령과 시행규칙 개정안을 마련하고 3~4월에 입법예고하는 등 통산 5개월 가량 소요되는 후속 입법 절차를 신속히 마무리할 예정이다. 이와 함께 가명정보 활용 범위, 데이터 결합 방법과 절차 등을 명확히 하기 위해 법 시행 시점에 맞춰 분야별 가이드라인, 해설서 개정안 등을 발간할 계획이다.

‘가명정보’란 개인정보 일부를 삭제하거나 대체해 추가정보 없이는 특정 개인을 알아볼 수 없도록 처리한 정보로 개인 식별이 가능한 ‘개인정보’와 식별이 불가능한 ‘익명정보’의 중간단계로 볼 수 있다.

관련 행정 입법 절차가 마무리되면 데이터 간 결합을 위한 절차가 구체화될 것으로 보인다. 가명정보가 여러 개 결합할 경우 다시 개인을 특정할 수 있는 가능성이 커진다. 정부는 데이터간 결합을 통한 재식별을 방지하기 위해 데이터 결합은 국가가 지정한 전문기관이 하도록 한다. 이 때 안전성을 확보하기 위해 결합 키 관리 기관과 결합 기관 분리하고 결합 데이터의 외부 반출 시 익명 처리를 우선 원칙으로 하는 방안을 검토할 예정이다.

법 해설서와 가이드라인은 의료정보, 신용정보 등 분야별 특성을 반영해 4월 중 초안을 마련하고 데이터 3법이 시행되는 7월 중에 최종안을 발표한다. 분야별 특성은 구체적 사례를 중심으로 제시돼 가명정보 처리의 목적을 쉽게 이해하고 적용할 수 있도록 한다. 일례로 웨어러블 기기 등으로 수집한 운동 정보를 가명처리해 성인병과 운동량의 상관관계 연구에 활용하는 방안 등이 법 해설서 등에 담긴다.

유럽에 진출한 기업들의 부담을 덜기 위해 EU의 일반개인정보보호법(GDPR)에 대한 적정성 평가도 조속히 마무리하기로 했다. 적정성 결정 국가로 지정되면 EU 국가의 개인정보를 전송할 수 있어 개별 기업별로 GDPR 준수 여부를 평가받아야 하는 불편이 사라지게 된다.

그 동안 한국은 감독기구의 독립성, 개인정보보호법 개정 등이 GDPR 기준에 미달해 EU와의 적정성 결정 협의에서 진전을 보이지 못했다. ‘데이터 3법’ 중 개인정보보호법의 상세 내용을 검토한 EU는 그 동안 관련 법안이 개정될 경우 GDPR 적정성에 대한 결정을 내릴 수 있다는 입장을 지속적으로 표명해왔다. 정부는 ‘데이터 3법’의 통과로 해당 요건이 충족됨에 따라 EU와의 협의를 속개한다는 방침이다.

행정안전부는 이달 말 진영 장관과 주한 EU 대사와의 면담을 통해 GDPR 적정성 결정을 위한 협의를 진행하고 다음 달 EU 집행위원회와 유럽 의회를 방문해 적정성 결정 등과 관련한 공동 성명을 발표할 예정이다.

각 부처에 흩어져 있는 개인정보 보호 정책 기능을 통합해 단일 행정기관인 개인정보보호위원회 출범이 추진된다. 현재 예산과 인력의 이관, 조직과 위원 구성 등이 남아 있는 상태다. 정부는 후속 조치 과정에서 산업계, 시민사회단체, 각계 전문가들과의 적극적 소통을 통해 하위 법령과 보호 정책을 구체화할 계획이다.

‘데잍터 3법’ 통과에 따른 후속 조치는 관계 부처 합동으로 구성된 ‘법 제도 개선 작업반’을 통해 추진된다. 작업반은 행정안전부 전자정부국장을 반장으로 관계부처 과장급이 참여한다. 윤종인 행안부 차관은 “데이터 3법을 통해 빅데이터 활용을 위한 제도적 기반이 마련됐지만 명확한 기준과 해석이 필요하다”며 “개인정보 보호와 데이터 활용의 균형을 맞춘다는 전제 하에 구체적 가이드라인을 제시할 것”이라고 말했다.

김세화 다른기사 보기