[시론] 정보주체의 권익이 우선돼야 한다 / 양기진

양기진
전북대 법학전문대학원 교수

정보통신기술에 기반한 4차 산업혁명이 촉발됨에 따라 잘 가공된 정보는 강력한 영업 무기가 되었다. 정보활용기술의 발전으로 데이터가 가치 있는 재화라는 인식이 높아졌음에도 아직 국내 기업의 빅데이터 활용 수준은 낮은 편이다.

현 20대 국회에서는 개인정보 관련 법에 관한 다수의 개정안이 제안되었다. 특히 지난해 11월 중순에 제안된 개인정보보호법·정보통신망법·신용정보법(속칭 ‘개망신법’)에 관한 개정안이 주목받고 있다. 이들 법안은 현행법의 주요 근간을 바꾸는 내용을 담고 있음에도 여러 논란을 잠재우지 못하면서 국회의 문턱을 넘지 못하고 있다. 이 중 신용정보법 개정안은 본인신용정보관리업(마이데이터산업), 개인신용정보의 전송요구권(데이터이동요구권) 등 새로운 개인정보 자기결정권의 도입을 추구하고 있어 각광을 받고 있다. 그러나 법안의 세부 내용을 살펴보면 우려가 되는 면이 많다.

예컨대 정보집합물(데이터베이스)을 가공하는 것을 지원하기 위하여 개정안이 이름 등 식별표지를 분리보관하는 가명정보 개념을 신설하려는 시도는 좋다. 그런데 개정안은 일정한 조치를 취할 경우 가명조치를 한 것으로 ‘간주’하면서 가명정보에 관하여는 개인의 정보 제공·이용에 관한 동의 철회권을 인정하지 않는 등 개인정보에 부착되는 보호 장치를 광범위하게 떼어냄으로써 개인이 자기 정보를 지키려는 시도를 차단한다.

또한 개정안의 대표적 문제점 중 하나로 소셜네트워크서비스(SNS)에 공개된 개인정보 또는 이에 준하는 정보를 신용정보회사 등이 개인의 동의 없이 수집할 수 있도록 한다는 점을 들 수 있다. 아울러 ‘상업적’ 목적의 통계작성 및 ‘산업적’ 연구 목적과 같은 영리 용도를 위하여 개인의 동의 없이 정보를 제3자에게 제공할 수 있도록 허용하는 등 개인의 자기정보결정권을 대폭 약화시키고 있다.

관련 법률에 관한 위 개정안이 그대로 국회를 통과할 경우 현행 개인정보 보호체계에 돌이킬 수 없을 정도로 큰 변화를 가져올 것으로 예상된다. 개정안은 정보주체에 대한 권익의 실질적 보호보다는 전반적으로 정보처리 기업의 빅데이터 활용에 편의를 도모하기 위한 관점에 치우쳐 있다고 보이며, 유럽연합(EU)의 정보보호일반규정(GDPR)에 의한 보호 수준과도 판이한 차이가 있다. 정보보호일반규정은 유럽연합 거주민의 보호를 위하여 정보처리자의 소재를 불문하고 위반행위에 대하여 강력한 제재를 가하므로, 혹시라도 유럽연합 거주민의 정보를 처리할 소지가 있는 기업이나 개인은 정보보호일반규정을 무시할 수 없다.

나아가 유럽연합은 정보보호일반규정의 시각에서 적정성 평가를 통과한 제3국이 있는 경우 해당 국가 내로 유럽연합 거주민의 개인정보 이전·활용을 허용한다. 지난해 유럽연합은 한국에 대하여 적정성 평가를 실시하였으나 한국은 평가에서 탈락하고 말았다. 만일 위에서 언급한 관련법 개정안이 그대로 입법될 경우 규범적 관점에서 정보보호일반규정의 보호 수준에 상당 부분 미달하게 될 것이므로, 재추진 예정인 적정성 평가에 도움이 되지 않을 것이다.

혁신을 위하여 일단 저지르고 본다는 생각은 위험한 발상이다. 정보의 이전은 물리적으로 매우 쉬운 반면 일단 유출된 정보는 되돌리기가 거의 불가능하다. 따라서 정보 관련 법을 제·개정할 경우 더욱 신중하여야 한다. 다른 나라들의 정보보호 수준을 면밀히 살피고 각계에서 제기된 의견을 신중히 검토하되 빅데이터의 활용과 개인정보의 실질적 보호 간의 균형이 깨지지 않도록 고심이 필요하다.

지난 8월 중순, 5개월간의 공전 끝에 열린 국회 정무위원회에서는 신용정보법 개정안을 심의하였으나 합의가 이뤄지지 않았다. 핀테크업계 등이 미래 먹거리를 두고 절실히 관련 법안의 통과를 촉구하고 있는 반면, 다른 측면에서 법안에 관한 우려의 목소리도 상당하기 때문이다. 정부와 국회는 각계에서 반발하는 관련 법 개정안의 통과를 밀어붙일 것이 아니다. 급할수록 돌아가라는 속담이 있다. 한발 물러서서 법안의 파급효과를 차분히 분석하고 지적되는 부작용에 관하여 충분히 의견을 들어 적정한 대안을 제시하여야 할 것이다.