[인터뷰]"데이터 3법 통과로 연내 GDPR 적정성 결정 기대"

"추후 가명정보 보호 위한 안전조치 마련돼야"


[아이뉴스24 최은정 기자] "데이터 3법 통과로 유럽연합(EU) 일반 개인정보보호법(GDPR) 적정성 결정도 연내 조속히 완료될 수 있을 것으로 예상됩니다."

22일 염흥열 순천향대 정보보호학과 교수는 정보통신망법, 개인정보보호법, 신용정보보호법 개정안 이른바 '데이터 3법'의 국회 통과에 따른 GDPR 대응 등에 이 같은 기대감을 나타냈다.

법 통과로 기존에 분산돼 있던 개인정보보호 관련 법안이 일원화돼 법적 포괄성이 높아졌다는 판단이다.

염흥열 교수는 국제전기통신연합 전기통신표준화부문 보안(ITU-T SG17) 국제의장으로 한국정보보호학회 회장을 역임한 바 있다. 또 지난 2015년 행정안전부와 협력해 EU 개인정보 적정성 결정 획득을 직접 지원했던 인물이다.

염흥열 교수는 "이번 개정안에서는 지금까지 분산돼 있던 개인정보 거버넌스가 개인정보보호위원회로 강화되면서 규제기관 독립성을 확보하게 됐다"고 평가했다.

염흥열 순천향대 정보보호학과 교수 [사진=아이뉴스24]

최근 데이터 3법 개정안의 국회 통과로 가명정보를 사전동의 없이 통계 작성, 과학적 연구, 공익적 기록 보존 등을 위해 활용할 수 있게 됐다. 가명정보란 가령 이름, 나이, 성별, 직업, 핸드폰 번호 등 특정인의 데이터에서 개인정보를 제거해 특정 정보주체를 알아볼 수 없게 만든 정보다.

이는 이번 개정안에 새로 도입된 개념으로, 기업은 정당한 목적 아래 가명정보를 활용, 데이터 산업 육성에 필요한 의미있는 결과치를 도출할 수 있게 됐다.

즉, 가명정보가 식별도 낮은 일종의 개인정보로 간주된다는 얘기다. 정보주체 동의없이도 이를 활용할 수 있는 길이 열린 셈이다. 기존에는 기관·기업 등 개인정보 처리자는 수집 목적 외 개인정보 활용시 정보주체로부터 추가 동의를 얻었어야만 했다.

염 교수는 "EU GDPR에서도 이번 개정안과 유사하게 가명정보 관련 개념이 포함돼 있다"며 "EU는 가명정보를 개인정보로 보고, 개인정보 처리자에게 기술적, 관리적 조치가 필요하다고 여긴다"고 말했다.

이어 "데이터 3법 통과로 가명정보에 대한 정의를 새롭게 했다"며 "보호를 위한 추가 안전 조치는 시행령을 통해 구체화하면 된다"고 덧붙였다.

무엇보다 그동안 '규제기관의 독립적 이슈'와 '규제법의 범위 협소 이슈' 등 관련 요건을 충족하지 않아 진전이 더뎠던 GDPR 적정성 평가 역시 속도를 낼 것으로 기대했다.

염 교수는 "EU 적정성 평가를 통과하면 앞으로 EU에서 수집되는 유럽시민 데이터를 별도 추가조치 없이 국내로 가져와 처리할 수 있게 된다"며 "해당 데이터를 국내 인터넷데이터센터(IDC)에 저장해 놓고 활용할 수도 있다"고 강조했다.

다만, 가명정보 보호를 위해 추가적인 안전 조치는 필요하다는 점도 지적했다. 가명정보 유출, 도용 등을 막기 위해서다.

염 교수는 "가명정보를 대량으로 처리할 가능성이 높은 가명정보 결합·수행 전문기관의 보안성을 강화하는 게 중요하다"며 "가명정보에 활용되는 추가 정보를 물리적으로 분리해 보관하는 등 이에 대한 법적 조치를 시행령에서 규정해야 한다"고 강조했다.

이어 "가령 전문기관의 개인정보 영향평가, 개인정보보호 관리체계 인증 등에 대한 고려가 필요하다"고 덧붙였다.

아울러 지난 2016년 6월 발표된 '개인정보 비식별조치 가이드라인'에 가명처리 개념을 충실히 반영해 '가명처리 가이드라인'으로 변경해야 할 필요성도 강조했다. 기업 단에서 가명처리 관련 내용을 세부적으로 파악하기 쉽도록 하기 위해서다.

그는 "법에서 정의하는 방식이 상위 수준이어서 기업이 이해하기가 어려울 수 있다"며 "세부 가이드라인 또는 법 해설서를 제공해 기업이 안심하고 활용할 수 있는 기반을 마련해야 한다"고 조언했다.

한편, 정부는 이번 데이터 3법 관련 내달 시행령 개정안, 3월 고시 및 행정규칙을 마련하는 등 데이터 3법 후속 조치를 서두른다는 방침이다.

최은정기자 ejc@inews24.com

관련기사


포토뉴스