정부가 늦어도 오는 3월 이내 의료·신용정보 등 온라인 개인정보 처리에 관한 분야별 세부기준을 마련할 계획이다. 또 오는 7월 이전 유럽연합(EU)의 개인정보규정(GDPR) 적정성 평가 절차를 마무리해 유럽 진출 기업들의 부담을 덜도록 할 방침이다.
행정안전부와 방송통신위원회, 금융위원회 등 관계부처는 21일 정부서울청사에서 합동브리핑을 열고 ‘데이터 3법’(개인정보보호법, 정보통신망법, 신용정보법) 개정안 후속조치 계획을 발표했다. 지난 9일 국회 본회의를 통과한 데이터 3법은 다음 달 초 공포를 거쳐 오는 7∼8월 시행될 예정이다.
데이터3법 개정 취지는 ‘개인정보’(개인식별 가능)와 ‘익명정보’(개인식별 불가)의 중간단계인 가명정보(개인정보 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 개인을 알아볼 수 없도록 처리된 정보)를 통해 공공·산업적 활용도를 높이자는 것이다.
법안에서는 가명정보를 통계작성과 과학적 연구, 공익적 기록보존용으로 한정했으나 전문 공공기관이 결합 또는 생산한 가명정보를 민간에 이전할 수 있는 길을 열었다.
예컨대 체중관리 회사는 회원의 동의를 받아 수집한 이름, 성별, 연령, 체중 정보와 맥박, 운동량 등에 관한 정보를 가명처리해 성인병과 운동량의 상관관계를 연구할 수 있다. 또 서울 강남구와 강북구에 거주하는 40대 여성들의 소비 장소와 소비액, 주요 구매 물품 등에 관한 가명정보를 통해 수익모델화할 수도 있다.
문제는 이런 가명정보가 여러 개 결합하면 개인을 다시 특정할 가능성이 커진다는 점이다. 정부는 이런 ‘재식별’을 방지하기 위해 데이터 결합은 국가가 지정한 전문기관에서 하도록 하고 결합한 데이터를 외부로 반출할 때 익명처리를 우선하는 등의 원칙을 정해 시행령에 담을 계획이다. 시행령과 시행규칙 개정안은 2, 3월 중 마련하고 3, 4월쯤 입법예고할 예정이다.
가명 정보를 정보 주인(정보주체) 동의 없이 제3자에게 제공할 수 있는 범위 등은 분야별 가이드라인과 법 해설서를 통해 세분화할 계획이다. 보건복지부나 금융위원회 등 관계부처와 협의해 온라인 의료정보와 신용정보 등 30여개 분야 가이드라인을 제·개정하고 해설서를 통해 새롭게 도입된 가명 정보 개념이나 내용에 관한 예시나 사례를 제시하겠다는 설명이다.
정부는 EU의 GDPR 적정성 평가도 상반기 중 마무리하겠다는 계획이다. GDPR 적정성 결정은 상대국의 개인정보보호 수준이 EU와 비슷하다는 것을 인정하는 제도다. EU로부터 개인정보 관련 적정성을 인정받은 국가의 기업은 표준계약 체결 등 개별적인 행정절차를 밟지 않고 EU 주민들의 개인정보를 자국으로 이전해 활용할 수 있다.
행안부는 이달 중 주한 EU 대사를 면담하고 다음 달 초 유럽연합집행위원회(EC)와 유럽의회를 잇따라 방문해 조속한 GDPR 적정성 평가를 촉구하겠다는 복안이다. 행안부 관계자는 “EU가 다음 달 중 한국의 GDPR 적정성 관련 초기결정을 내리면 통상 5개월 뒤인 오는 7월쯤 최종 승인이 이뤄질 것으로 예상된다”고 말했다.
정부는 또 EU의 적정성 평가 요소 중 하나인 개인정보 전담 부처 신설에도 속도를 낼 방침이다. 현재 대통령 직속 자문기구인 개인정보보호위원회는 법 시행일에 맞춰 국무총리 소속 합의제 중앙행정기관으로 격상·확대될 예정이다. 오는 7, 8월 데이터3법 시행에 맞춰 장관급 부처가 되는 개인정보보호위원회는 행안부와 방통위, 금융위 등에 흩어져 있는 개인정보보호 관련 정책을 수립하고 광범위한 조사·처분권을 갖는다.
윤종인 행안부 차관은 “데이터3법을 통해 4차 산업혁명에 대비할 수 있는 제도적 기반이 마련됐지만 명확한 기준 제시와 해석이 중요하다”며 “개인정보보호와 데이터 활용 간의 균형을 맞춘다는 대전제 아래 구체적 가이드라인을 제시하겠다”고 말했다.
송민섭 기자 stsong@segye.com