업계, 시행령 입법예고 환영…구체적인 가이드라인 나와야 시장 활성화

[컴퓨터월드] 지난 3월 30일 데이터 3법 시행령 개정안이 입법예고됐다. 그럼에도 불구하고 업계에서는 구체적인 가이드라인 등 후속조치가 조속히 이어져야 한다는 목소리를 내고 있다. 특히 개정 법령 시행일인 8월 5일에 맞춰 사업을 진행하기 위해서는 5월에 관련 기준이 제시돼야 한다는 주장이다.

행정안전부, 방송통신위원회, 금융위원회는 개인정보 보호법, 신용정보의 이용 및 보호에 관한 법률(이하 신용정보법), 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법) 등 데이터 3법 시행령 개정안의 입법예고를 오는 5월 11일까지 진행한다. 이후 관계기관 협의, 규제 및 법제처 심사, 국무회의 등을 거쳐 공포·시행할 예정이다.


개인정보보호법, 가명정보 결합 전문기관 지정 및 결합절차 정의

데이터 3법 시행령 개정안의 주요 내용은 ▲민감정보 범위 확대 ▲개인정보보보위원회 운영 제도 개선 ▲정보통신망법 시행령 관련 규정을 개인정보보호법 시행령으로 이관 ▲마이데이터 산업 도입 ▲금융권 정보보호 상시평가제 도입 등이다.

자세히 살펴보면, 먼저 개인정보보호법 시행령 개정안은 ▲가명정보 결합 ▲가명정보의 안전성 확보조치 ▲민감정보에 생체인식정보 및 인종·민족정보 포함 등이 구체적으로 규정됐다.

가명정보 결합과 관련해 전문기관 지정과 절차를 정의했다. 개인정보 처리자는 가명정보 결합 전문기관에 결합 신청서를 제출하면 된다. 전문기관이 가명정보를 결합해 주면, 전문기관 내에 마련된 안전한 분석 공간에서 해당 정보를 분석할 수 있다. 또한 필요할 경우 전문기관의 안전성 평가 및 승인을 거쳐 결합된 가명정보를 외부로 반출하는 것도 가능하다.

이때 가명정보 결합 전문기관은 개인정보보호위원장 또는 관계 중앙행정기관의 장이 지정한다. 일정한 인력 및 조직, 시설, 장비, 재정능력 등을 고려해 전문성과 신뢰성을 갖춘 기관이 지정되며, 한 번 지정되면 3년 간 효력이 유지된다.

‘가명정보의 안전성 확보조치’는 가명정보를 처리하는 담당자의 물리적·기술적 안전조치를 규정했다. 담당자는 내부관리계획을 수립하는 것은 물론, 개인을 알아볼 수 있는 추가 정보를 분리 보관하고 접근 권한도 분할하는 등 복합적인 안전조치를 실시해야 한다. 또한 가명정보 처리 목적, 보유기간, 파기 등을 기록으로 남겨 안전성을 더욱 강화할 필요가 있다.

개인정보보호위원회 운영과 관련해서는 효율성 및 전문성 제고를 위해 위원 정수를 10명에서 20명으로 확대했다. 또한 개인정보보호 업무의 효과적인 추진을 위해 중앙행정기관이 참여하는 개인정보보호 정책협의회, 지방자치단체가 참여하는 시·도 개인정보보호 협의회를 설치 및 운영하는 근거를 마련했다.

또한 지문·홍채·안면 등 생체인식정보와 인종·민족정보를 민감정보에 포함시킴으로써 처리과정에서 정보주체의 동의를 받고, 보호조치를 취하도록 정의했다.

이 외에 정보통신망법의 개인정보 보호 규정이 개인정보 보호법으로 이관됨에 따라, 그간 정보통신망법 시행령이 규정했던 ▲개인정보 이용내역 통지 ▲손해배상책임 보장 ▲해외사업자의 국내대리인 지정 등 개인정보 보호 관련 조항을 개정안에 통합 반영했다.

이번 신용정보법 시행령에서는 ▲데이터 결합 절차 및 전문기관 지정 ▲개인신용정보 전송요구권 및 마이데이터 산업 도입 ▲신용정보업 규제체계 선진화 ▲금융권 정보보호 상시평가제 ▲금융권 정보활용·제공 동의서 개편 등을 명시했다.

금융사가 데이터를 결합하고자 하는 경우 금융위원회가 지정한 전문기관에 신청해야 하며, 전문기관은 해당 데이터를 결합한 뒤 가명·익명처리 및 적정성 평가 등 충분한 안전조치를 거쳐 결합의뢰기관에 데이터를 제공하도록 정의했다.

또한 금융사, 상거래기업, 공공기관 등은 금융거래정보, 국세·지방세 등 공공정보, 보험료 납부정보, 기타 주요 거래내역 정보 등을 정보주체 본인과 금융사, 개인신용평가회사 및 마이데이터 사업자에게 제공할 수 있도록 하는 개인신용정보 전송요구권 도입이 명시됐다. 이를 기반으로 전자금융업, 대출 중개·주선 업무, 로보어드바이저(Robo-advisor)를 이용한 투자자문·일임업을 허가받아 겸업할 수 있도록 규정해 마이데이터 산업의 근간을 마련했다.

▲ 데이터 3법 시행령 개정안 주요 내용(출처: 금융위원회)


개인정보 활용 기준 등 명확한 상세내용 마련돼야

관련 업계에서는 ‘데이터 경제 활성화를 위해 한 발짝 더 나아갔다’며 데이터 3법 시행령 입법예고를 환영하는 한편, 시행령만으로는 부족하다고 토로한다. 시행령에 개인정보를 활용할 수 있는 상세한 내용이 포함되지 않았기 때문에, 5월로 예정된 행정예고나 명확한 가이드라인이 발표돼야 구체적인 사업을 추진할 수 있다는 것이다.

파수 관계자는 “데이터 3법 및 시행령 개정으로 개인정보를 가명처리해 더욱 자유롭게 활용할 수 있을 것이라는 희망과 기대치는 높아져 있다. 하지만 실제 데이터를 생산하는 기업들이 책임져야할 가명처리에 대해서는 불명확한 부분이 남아 있다”면서, “데이터 3법과 시행령이 개정됐다 하더라고 아직 기준이나 책임범위를 알 수 없는 상태이기에, 기업들이 먼저 나서서 데이터를 생산하는 것을 꺼리고 있다”고 설명했다.

업계 관계자에 따르면, 시행령 개정안은 가명정보의 사용목적으로 통계 작성, 과학적 연구, 공익적 기록 보존 등을 명시하고 있지만 해당 사용 목적에 부합 여부를 판단할 수 있는 기준 및 방법이 모호하다. 더 나아가 가명처리 항목과 처리 수준 그리고 적정성 평가 기준, 방법, 절차 등도 불명확한 부분들로 남아 있으며, 가명처리 후 추가정보를 별도보관하거나 삭제하는 경우에 대한 정확한 정의도 필요하다. 이 외에도 ▲과학적 연구의 범위와 기업의 활용 범위가 명확하지 않다는 점 ▲데이터 결합을 위한 담당 전문기관의 성격 ▲국내 데이터 국외 이전 시 관리 방안 ▲의료 및 교육 등 기존 법령과의 충돌 등 논의해야 할 문제가 산적해 있다.

이런 사항들은 개인정보를 처리할 때 핵심이 되는 기준이기 때문에, 기업이나 기관들이 개인정보 데이터 활용 전략을 수립하거나 빅데이터 사업 방향을 정하는데 매우 중요한 판단 기준이 된다. 기준이 명확하게 마련되지 않는다면 기업들이 사업 방향을 정하기 어렵다는 이야기다.

또한 비식별화 솔루션 공급 기업들 입장에서도 새로운 기준이나 절차들이 확정돼야 제품에 반영할 수 있을 것으로 보고 있다. 특히 법 시행일인 8월 5일에 맞춰 개정 법령을 준수하는 솔루션을 공급하기 위해서 5월 초까지 관련 기준이 제시돼야 한다고 강조한다.

업계 관계자들은 “정부에서 데이터 3법 이후 시행령 개정안 입법예고 등 후속조치를 이어가는 것은 환영할 일이다. 하지만 시행일인 8월 5일에 맞춰 변화된 법령을 적용한 솔루션을 선보이기 위해서는 개발기간 등을 고려했을 때 5월 초에는 관련 가이드라인이 나와야 한다”면서, “따라서 현재 계획된 고시나 지침, 가이드 발표 일정보다 더 빠르게 후속 법령이 정비돼 발표되기를 바란다”고 말했다.

저작권자 © 컴퓨터월드 무단전재 및 재배포 금지