[좌담회] 데이터3법 시행, 가명정보 활용 시작…신규사업·시스템 구축 기대
[좌담회]
데이터3법 시행, 가명정보 활용 시작…신규사업·시스템 구축 기대
"날개 단 빅데이터 산업... 개인정보 활용 - 보호 조화 이뤄야"
<데이터3법 시행 관련 좌담회가 지난 20일 서울 영등포구 전자신문 본사에서 열렸다. 참석자들이 의견을 공유하고 있다.>
데이터경제 활성화를 이끌 '데이터3법' 시행이 보름 앞으로 다가왔다. 업계는 데이터3법 가운데 '가명정보' 활용 부분을 기대한다. 가명정보는 개인정보 일부를 삭제하거나 추가 정보 없이 특정 개인을 알아볼 수 없도록 처리한 정보다. 기존에 활용할 수 없었던 가명정보가 추가되면서 활용 가능한 데이터 범위가 넓어졌다. 가명정보 활용은 세계적으로 찾아보기 힘든 사례다. 정부가 데이터 산업 활성화를 위한 데이터 활용에 방점을 찍었다고 볼 수 있다.
가명정보를 담은 개인정보보호법 개정안 시행과 함께 가명정보 활용도 활발해질 전망이다. 정부는 안전한 가명정보 활용을 위해 가명 처리와 가명정보 결합 등 세부 사항을 조율 중이다. 전자신문과 한국데이터산업협회는 개인정보보호위원회, 산업별 업계 주요 관계자와 함께 올바른 가명정보 활용과 데이터 3법 시행을 위해 필요한 과제와 제언을 들어보는 좌담회를 마련했다.
[참석자(가나다순)]
△김정선 SK텔레콤 부장
△심탁길 CJ올리브네트웍스 상무
△이병남 개인정보보호위원회 조사과장
△이진규 네이버 개인정보보호책임자(CPO)
△이희상 티맥스데이터 대표
△조광원 한국데이터산업협회장(비투엔 대표)
△조풍연 한국SW·ICT총연합회장(메타빌드 대표)
△사회 윤대원 전자신문 ICT융합부장
◇윤대원(전자신문 ICT융합부장)=정부가 다음달 데이터3법 시행을 앞두고 개인정보보호법 시행령 개정안 초안을 발표했다. 주요 내용 가운데 업계에 가장 영향을 줄 것으로 예상하는 부분은 무엇인가. 시행령에 제대로 반영되지 못한 부분이 있다면.
<조광원 한국데이터산업협회장(비투엔 대표)>
◇조광원(한국데이터산업협회장)=개인 동의 없이 가명정보 활용이 가능한 근거가 마련됐다는 점에 환영한다. 서로 다른 분야(외부) 가명정보 결합으로 부가가치가 높은 데이터 활용 길이 열린 점도 긍정적이다.
업계가 주목하는 부분은 가명정보 결합과 반출이다. 가명정보 결합전문기관 신청 자격과 공기관 유관 이종 데이터 결합 처리 활용 방안 등 아직 최종안이 공개되지 않았다. 결합 처리 분석부터필요 시 반출 처리·파기 등 사후관리까지 상세한 예시형태의 가이드라인 필요하다. 오는 29일 개정안 시행령이 국무회의에 상정되기 전에 가능한 빨리 공개해 국민과 산업계 의견을 수렴하는 시간이 필요하다.
<이진규 네이버 CPO>
◇이진규(네이버 CPO)=업계에 영향을 미칠 수 있는 부분은 △동의 없는, 제한적 목적의 가명정보 활용(결합 포함) △개인정보 추가적 이용·제공 △정보통신망법 특례규정을 꼽을 숭 있다.
다음달 시행하는 통합 개인정보보호법에는 정보통신망법상 개인정보 관련 규정이 물리적으로 통합(특례규정)됐다. 기존 개인정보보호법과 어떤 경합이 발생할 것인지가 불명확해 기존 정보통신서비스 제공자가 이에 대응하는 데 어려움이 있다. 또 개인정보 수집 등 처리과정에서 '중요한 내용'을 볼드·크게 처리하는 규정이나, 정보주체 이외로부터 수집한 개인정보에 대한 통지 규정 등 기존 망법에 없는 내용에 대해서는 정보통신서비스 제공자에 대해 일정기간 법집행 유예가 필요해 보인다.
<이희상 티맥스데이터 대표>
◇이희상(티맥스데이터 대표)=실명정보를 가명정보로 전환하면 동의 없이 3자에게 제공, 활용 가능한 길을 열어준 점이 긍정적이다. 대량 데이터 분석·활용과 이에 따른 응용 산업이 폭발적으로 성장하는 법적 근거를 마련했다.
기존 인프라 위주였고 중간 완성 상태 빅데이터 분석 분야가 이번 법 개정으로 양질 빅데이터 활용과 결합이 가능해져 다양한 산업과 서비스로 발전할 것이라 기대한다.
◇조풍연(메타빌드 대표)=가명정보 도입은 정보주체 동의 없이 통계, 연구, 공익 등 상업적이나 추가 이용·제공, 제3자 제공이 가능해 의료나 교통 등 이종데이터 간 데이터 결합을 가능하게 했다. 새로운 데이터 가치 창출이나 활용 범주가 커졌다.
데이터 처리 절차나 가명정보 처리 등에서 개인정보보호법과 신용정보법, 의료법, 특정금융정보 등이 상충하는 부분이 있다. 개인정보보호 조치가 달라질 수 있고 중복규제 우려도 있어 개인정보보호로 일원화가 필요해 보인다.
◇윤대원=개인정보보호위원회가 가명정보 가이드라인 주요 골자를 최근 공개했다. 가명정보 가이드라인 관련 수정이나 보안이 필요한 부분이 있다면 무엇이고 어떻게 바뀌어야 하는가.
◇이진규=유럽연합의 가명정보는 개인정보에 대한 여러 '보호조치'의 일환이지만 우리나라 가명정보는 개인정보를 활용하기 위한 전제조건이다. 같은 정보지만 활용 목적이 다르다. 때문에 우리나라 가명정보는 '가명정보의 정의에 맞게 생성된 것이 맞는지'에 집중하게 된다. 만약 가명화가 불충분한 경우 법적 문제가 될 여지가 높다. 이러한 점을 고려해 개인정보처리자가 '상당한 주의(due diligence)'를 충분히 수행한 경우에 대한 법집행 유예·완화 등 조치가 필요해 보인다.
<조풍연 메타빌드 대표>
◇조풍연=가명정보 안정성확보조치(29조의5) 조항에서 개인정보처리자는 △개인정보(가명정보, 추가정보)의 추가정보 별도 분리보관 △접근권한 분리의 물리적, 기술적 조치 등 복잡한 책임 규정을 받는다. 과징금이나 과태료 남발 범법자 될 가능성이 높아 개인정보처리 직업 회피 가능성이 있다. 신뢰를 기반으로 개인정보 처리 위반에 대한 각종 과징금이나 과태료 부과 방식을 최소화해야 데이터 산업 활성화를 이끌 수 있다. 투명성, 기술성 기반으로 가명처리나 가명정보 결합, 활용 추적 등을 자동화하는 기술 시장을 발전 육성해야한다.
◇김정선(SK텔레콤 부장)=가명·익명처리에 대한 해석상의 이슈 발생 소지가 있다. 위험관리기준 적정성 평가방안에 대한 구체적인 진행방식 등이 모호해 시장 내 초기 불확실성을 가중시킬 우려도 있다. 또 신용정보법과 다르게 이원화된 가명정보 결합 절차가 통일될 필요성이 있다. 개인정보 보호법과 신용정보법의 조화적 해석과 집행이 필요하다.
<심탁길 CJ올리브네트웍스 상무>
◇심탁길(CJ올리브네트웍스 상무)=가명·익명정보 결합에 소요되는 시간을 단축하도록 프로세스 개선이나 더 구체화된 가이드라인이 필요하다. 가령 현 가이드라인에서는 데이터 결합과 유통에 대한 가명·통계성 정보 생성프로세스가 1회성 작업처럼 보인다. 산업계에서 많이 활용되는 시 계열성 데이터처럼 주기적이고 반복적으로 생성되는 동일 유형의 가명정보는 일회성이 아닌 재활용 가능한 프로세스의 도입이 필요하다.
현재는 가명정보와 익명정보 결합이 별도 프로세스로 두 번에 걸쳐 진행된다. 점진적으로 프로세스를 간소화하는 방법을 모색해 결합에 소요되는 시간을 최소화해야 한다.
◇윤대원=데이터3법 시행에 거는 기대가 크다. 2주 후면 데이터 3법이 시행된다. 데이터3법 시행 후 시장에 어떤 변화가 먼저 일어날 것으로 예상하는가.
◇조광원=가명정보는 우리나라가 선도적으로 도입하는 개념이다. 가명정보 덕분에 세계적으로 사례가 드물었던 이종 산업간 데이터 결합과 활용, 부가가치 창출 가능성이 높아졌다.
법 시행과 함께 데이터 결합 전문기관 지정도 이어질 전망이다. 데이터 결합 전문기관을 통한 융합 데이터 활용 효과도 기대하는 부분이다. 개인정보 재식별 위험성은 양날의 검과 같다. 데이터를 안전하게 잘 활용하는 사례를 발굴하고 동시에 법 시행 효과성을 극대화하는 노력이 필요하다.
◇이희상=일차적으로 기존 개인정보를 보유한 기업의 정보시스템이 해당 정보를 가명처리 가능한 체계로 변화하는 과정이 진행될 것이다. 2015년에 개인정보보호를 위한 정보통신망법 개정이 있었다. 당시 이용 기간이 만료된 개인정보에 대한 파기 또는 분리보관이 의무화되면서, 대량의 데이터 이관과 저장을 위한 별도 시스템 구축이 이어졌다. 이번에는 데이터 재생산과 활용 측면에서 고도화 또는 신규 사업이 진행될 것이다.
가명처리 또는 비식별화된 정보의 분리보관, 접근 권한 관리를 위한 물리적, 기술적 안전조치를 취하는 시도가 금융, 통신 등 업계 중심으로 신규 사업으로 전개될 것이다. 비식별화 적정성 평가를 위한 컨설팅 비즈니스도 증가할 것으로 보인다.
◇심탁길=데이터에 접근 장벽이 낮아짐에 따라 데이터를 수집·활용할 수 있는 범위가 넓어져 다양한 연구와 서비스 개발이 가능해질 것으로 기대된다. 가령 신용정보법 개정은 금융사나 관련 기업으로 하여금 마이데이터 등 선제적인 시범 사업들을 추진하게 했다. 이러한 테스트베드 성격의 사업은 데이터3법이 시장에 미칠 파급력을조기 가늠하는 사례가 될 것이다.
<김정선 SK텔레콤 부장>
◇김정선=삭제하거나 파기 대상인 데이터의 가명처리 후 보관을 통해 내부 데이터 활용 시 새로운 시계열 분석과 로열티 프로그램 기획이 가능해질 것이다. 개별 서비스 단위 동의기반 데이터 활용에서 가명화·익명화를 통한 선분석과 모델링 후 필요에 따른 동의가 가능하다. 서비스를 운영하지 않는 제3자라도 가명·익명 데이터 구매(제휴)를 통한 밸류 체인에 기여할 수 있다. 궁극적으로 데이터 유통이라는 경제체계가 만들어지며 클라우드 기반 다양한 데이터 서비스 생태계가 조성 가능하다.
◇윤대원=마지막으로 데이터3법이 제대로 효과를 달성하기 위해 중장기적으로 필요한 지원 혹은 정책이 있다면 무엇인지 제언 바란다.
◇조광원=개인정보를 다루는 부분에서 산업계에서 어려워하는 점은 개인정보보호법, 신용정보법, 특정금융정보법, 의료법 등 개인정보 관련 법이 상충하는 부분이다. 이 부분은 법 시행 후 시간이 지날수록 해결하기 어려운 숙제가 될 수 있다. 정부도 이 부분을 인지하고 있다. 데이터3법 시행 후 관련 법이 상충하는 부분과 실제 사례 등을 파악해 개선이 필요한 부분은 빠르게 바꿔줘야 원활한 법 집행과 산업 생태계 형성이 가능하다.
◇이진규=개인정보보호법에 대한 2차 개정이 시급하다. 특히 기존 정보통신망법에 있던 내용 가운데 일부 '갈라파고스 규제(이용내역 통지, 개인정보 유효기간제 등)'는 일몰을 적극 검토해야 한다. 글로벌 시대에 맞지 않는 법규(폰트 크기까지 규제하거나, 정보주체 이외로부터 수집한 정보를 다시 또 통지하도록 하는 등)는 개정돼야한다.
◇이희상=데이터3법 시행으로 막대한 정보 활용과 데이터 산업 신규 부가가치 창출이 가능해진 것은 고무적이다. 개인정보 유출과 악용을 통한 개인정보 침해 사례가 발생하면 생태계 신뢰가 한순간에 무너질 수 있다는 점도 간과해선 안 된다.
가명화에 대한 명확한 지침과 이를 실현하는 정보기술(IT) 기술요건이 좀 더 명확히 정의될 필요가 있다. 가명화 등급을 세분화하고 그에 따른 데이터 공유·활용 범위를 한정 지어야 한다. 데이터 서비스 산업 성장과 개인정보 안전한 보호라는 두 가지 중요한 가치가 접점을 이루는 가이드를 기대한다.
◇조풍연=개정된 개인정보보호법이 시행되면 산업계에서는 법체계 이해나 데이터,정보에 대한 기술 전문성이 부족해 기업 내부 개인정보 관리나 처리 조차 실행하기 어려울 수 있다. 개인정보보호법 개정안 관련 홍보나 사례 공유가 필요하다. 개인정보보호법이 미치는 영향을 산업이나 업무 사례별로 상세하게 제시하고 체계적으로 계도해야 법 기반 시장이 활성화될 것이다.
◇김정선=개인정보보호와 활용의 조화를 위한 제도적 정비와 규제기관의 노력이 필요하다. 디지털 뉴딜 같은 정부의 마중물 정책이 단기적 노력이 아닌 데이터 경제 활성화 등 중장기적 성과로 이어지긴 노력도 병행해야 한다.
<이병남 개인정보보호위원회 과장>
◇이병남(개인정보보호위원회 과장)=다음달 초 통합 개인정보보호위원회가 출범하기 전까지 최대한 완성도 높인 가이드와 해설서를 만들 예정이다. 위원회 출범 후 데이터 가명 처리 사례를 지켜보겠다. 지금은 상황을 예측하고 가이드라인과 해설서를 만드는 것이라 부족한 부분이 있을 수 있다. 법 시행 후 실제 가명처리된 사례가 많이 쌓이면 예측하지 못했던 문제점을 발견하고, 개선사항 있을 시 바로 수정 작업에 들어갈 계획이다.
가명처리된 가명정보가 결합된 가명정보에 대한 추적도 중요하다. 결합된 가명정보가 어떻게 이전되고 활용하는지 추적이 필요하다. 결합된 가명정보가 민간에 이전될 때 제대로 안전하게 이전되는 지 계속 모니터링 하겠다.
데이터3법 시행 후 개정된 시행령과 가이드라인 등을 알리는 작업이 중요하다고 본다. 법 시행 후 가명정보와 데이터 결합 부분은 별도 교육프로그램을 만들어 제공할 계획이다. 과학기술정보통신부, 한국인터넷진흥원(KISA) 등과 함께 헬프데스크도 만들어 지원하겠다.
<데이터3법 시행 관련 좌담회가 지난 20일 서울 영등포구 전자신문 본사에서 열렸다. 왼쪽부터 전자신문 윤대원 ICT융합부장, 조광원 한국데이터산업협회장, 조풍연 메타빌드 대표, 김정선 SK텔레콤 부장, 이병남 개인정보보호위원회 과장, 이희상 티맥스데이터 대표, 이진규 네이버CPO, 심탁길 CJ올리브네트웍스 상무.>