[디지털투데이 황치규 기자] 일명 '데이터3법'으로 불리는 개인정보보호법 개정안, 정보통신망법 개정안 , 신용정보법 개정안이 오는 8월 5일부터 본격 시행된다. 데이터3법은 언제부터인가 데이터 기반 비즈니스 혁신을 상징하는 키워드로 통했고 세상을 크게 바꿀 것 같은 뉘앙스를 풍기고 힜다.

하지만 데이터3법으로 달라지는 것은 무엇인지, 지금까지는 안됐는데 앞으로 가능해지는 건 또 무엇인지에 대해 구체적으로 아는 이들이 의외로(?) 많지 않다. 정부도 데이터3법, 기업도 데이터3법을 외치는데 정작 데이터3법에 담긴 메시지를 입체적으로 이해하는 이들은 상대적으로 적어 보인다. 데이터 3법으로 사람들의 개인정보를 가명정보화해서 쓸 수 있게 됐다는 얘기가 많이 회자되는 정도다.

정해져야할 디테일들이 아직 많지만 데이터3법은 가명정보화가 가능해졌다 이상의 메시지를 담고 있다. 국내를 넘어 유럽연합(EU) 개인정보보호법(GDPR)과도 연결된 이슈로 바라볼 필요도 있다.

개인정보보호 거버넌스 일원화

데이터3법은 세가지 법안이 따로 따로 시행되는 듯 보이지만, 방향은 하나다. 개인정보보호법, 정보통신망법, 신용정보호법에 흩어져 있던 개인정보보호 관련 부문을 떼어내 개인정보보호법 아래 통합하는 것이 골자다. 이를 통해 분산돼 있던 개인정보보호 거버넌스 체계를 일원화하겠다는 취지다.

개인정보 보호 관리체계가 일원화되면서 국무총리실 산하에 개인정보보호 위원회라는 조직이 생기고, 장관급 인사가 수장으로 배치된다. 신설될 개인정보보호위원회는 지금있는 대통령 산하 합의제 조직인 개인정보보호위원회와 이름은 같지만 위상은 다르다. 신설 개인정보보호위원회는 중앙부처로서 개인정보보호와 관련해 실상 콘트롤타워 역할을 하게 된다. 행정안전부, 방송통신위원회, 금융위원회에 흩어져 있던 개인정보 보호 업무 및 관련 조직이 개인정보보호위원회로 통합된다.

거버넌스 관점에서 보면 데이터3법은 대충 이렇게 요약된다.

거버넌스가 통합되면서 개인정보 수집 및 활용과 관련해 달라지는 것들도 꽤 있다. 지금까지는 기업들이 수집한 개인정보를 활용하려면 사용자 동의를 받아야 했다. 수집 목적 외에 활용하는 것은 법으로 금지됐다. 하지만 데이터3법이 시행되면서 기업들은 수집 목적 외 용도로도 개인 정보를 활용할 수 있는 길이 열렸다.

이렇게 하기 위해서는 3가지 조건 중 하나를 만족시켜야 한다.

첫 번째는 사용자 동의를 받는 것이다. 두 번째는 원래 수집 목적과 관련이 있거나 정보 소유 주체 권리를 침해하지 않는 경우, 그리고 구매자 주소를 배달 회사에 제공하는 것 등 어느 정도 예측 가능한 상황에선 동의 없이도 활용이 가능하다.

세 번째는 가명처리해서 쓰는 것이다. 가명처리는 통계, 과학적인 연구, 공익적인 기록 보존용으로만 가능하다. 얼핏보면 상업적으로 쓰면 안될 것 같지만 상당 부분 허용된다. 통계는 상업적인 통계도 포함하고, 과학적인 연구는 신제품 개발이나 고객 분석 등 산업과 관련된 활동도 포함하고 있다. 이에 따라 기업들은 가명정보를 활용할 수 있는 공간을 꽤 확보할 수 있게 됐다.

이들 목적 외에 데이터를 활용해려면 기업들은 익명처리를 해서 써야 한다. 가명정보에 대해 많은 이들이 그동안 많이 들어서 익숙해져 있던 익명정보나 비식별 정보와 같은 의미로 생각하지만 실제로는 그렇지 않다. 익명화 수준에서 봤을 때 가명 정보는 익명정보의 밑에 있다.

익명 정보는 외부 데이터를 결합해도 익명성이 유지되지만, 가명정보는 다른 키를 결합하면 개인을 식별하는 것이 가능할 수 있다. 그런만큼, 익명정보는 기업들이 마음대로 쓸 수  있지만, 가명정보는 개인정보처럼 보호 대상이다.

법 시행으로 개인정보 활용폭 커져

그동안 개인정보 활용과 관련해 기업들에게는 다양한 의무가 부과됐다. 하지만 가명처리를 하게 되면 개인정보 보호와 관련해 지켜야할 의사 사항들중 일부가 면제된다. EU GDPR의 경우도 가명처리를 하면 법적인 의무에서 일부 벗어날 수 있다. 

개인정보를 가명처리하면 제3자에 제공하는 것이 가능하다. 지금은 동의를 받아야 하지만 가명처리하면 동의 없이 제3자에 제공할 수 있다. 판매도 가능하다. 데이터3법과 함께 데이터 거래소라는 말이 심심치 않게 들리는 것도 이 때문이다.

이때 중요한 것이 가명처리를 할 수 있는 3가지 조건에 부합해야 한다는 것이다. 여기에서 목적은 수집하는 쪽과는 무관하다. 활용하는 쪽 목적이 3가지 조건에 맞아야 한다.

데이터는 독립적으로 존재할 수 있지만 부가가치를 가지려면 여러 데이터를 결합하는 것이 중요하다. 데이터3법은 데이터 결합과 관련한 내용도 포함하고 있다. 법에 따르면 결합은 가명처리 후 해야 한다.

가명처리는 기업들이 자체 수행하고, 적정성 평가도 자율적으로 할 수 있지만 결합은 다르다. 전문기관을 거쳐야 한다. 데이터 결합기관으로는 공공기관과 비영리기관이 우선 지정되지만 민간 업체들에도 문호가 개방될 것이란 게 정부 입장이다.

데이터 결합기관에서 결합한 데이터를 반출하려면 결합기관 내 적정성 평가위원회를 통과해야 한다. 결합을 할수록 정보는 많아지고, 개인을 식별할 가능성도 높아진다. 결합이 끝난 후 반출을 하려면 적정성 평가를 통해 필요할 경우 추가적인 가명화나 익명화 조치를 취해 식별 수준을 낮춘 뒤 반출하도록 하자는 취지다.

데이터3법 시행은 GDPR과도 관련이 있다. 한국 기업이 유럽 사용자 개인정보를 취급하는 경우 지금까지는 GDPR를 따라야 한다. 국가별로 현지 법을 적용해도 되는데, 이러려면 EU가 인정한 거버넌스 체계를 갖춰야 한다. EU가 다른 나라들의 법체계를 인정하는 것과 관련해  일본은 리스트에 포함됐고 한국은 신청을 했는데 떨어졌다. 데이터3법은 국내 법 체계로 GDPR 관련 부분을 관리할 수 있도록 하자는 측면도 있다.

IT업체들 입장에서 보면 데이터3법은 관련 솔루션을 판매할 수 있는 새로운 시장으로 부상했다. 기업 스스로 가명정보화를 하는 것 자체는 어렵지 않다. 하지만 기업들이 감사 기록을 남기고, 컴플라이언스(규제 준수)를 따를 수 있도록 기술적으로 지원해주는 솔루션을 직접 갖추기는 쉽지 않다. 처리시 위험도를 평가하고 목적에 따른 처리가 가능하도록 해주는 솔루션을 갖출 필요도 있다. 현재 데이터 3법으로 주목받고 있는 솔루션 시장도 바로 이 부분이다. 파수 등 여러 업체들이 이 시장에 뛰어들었고, 앞으로 더 많이 뛰어들 것 같다.