|
16일 행정안전부는 개인정보보호법 시행령을 입법예고한 후 접수한 의견에 검토 내용을 발표했다. 앞서 개인정보보호법·정보통신망법·신용정보법으로 구성된 데이터 3법이 지난 1월 국회를 통과했다. 특히 핵심 법안으로 꼽히는 개인정보보호법은 개인정보를 정보 주체의 동의 없이 이용하거나 제공할 수 있는 요건을 명시하고, 개인정보를 활용할 때 개인을 특정할 수 없도록 가명정보 처리하도록 규정했다.
문제는 행안부가 지난 3월 31일 개인정보보호법 시행령을 입법예고하면서 불거졌다. 시행령에서 요구한 개인정보를 연구나 산업에 활용할 수 있는 요건이 모호하고 깐깐해 사실상 업계에서는 활용할 수 없다는 불만이 터져 나왔다. 정부는 인공지능(AI)의 원료가 되는 데이터 이용을 활성화하기 위해 법을 개정했지만, 정작 시행령이 법보다 엄격하다는 비판도 제기됐다.
가장 불만이 제기됐던 조항으로는 개인정보보호법 시행령 개정안의 ‘제14조 2항’이 꼽혔다. 기업이 수집한 개인정보를 동의 없이 사용하기 위해 △당초 수집 목적과의 상당한 관련성 △수집한 정황과 처리 관행에 비춘 추가 이용 예측 가능성 △제3자 이익 부당한 침해 방지 △가명처리 의무 등 4가지 조건을 ‘모두’ 충족해야 한다고 규정돼 있기 때문이다. 특히 상당한 관련성과 관행에 비춘이라는 표현은 모호하기도 해 혹시 모를 법적 분쟁으로 경영 위험이 발생할 가능성이 크다는 지적도 있었다.
이에 정부는 업계의 의견을 수렴해 ‘상당한 관련성’에서 ‘상당한’을 삭제하고, ‘수집한 정황과 처리 관행’을 ‘수집한 정황 또는 처리 관행’으로 수정할 방침이다. 하인호 행안부 개인정보보호정책과장은 이날 설명회에서 “관련성과 예측가능성이 충족되면 ‘합리적 관련성’이 있는 것으로 판단한다”며 “또 수집 정황과 처리 관행 측면 모두에서 예측가능성을 충족해야 하는 것은 아니기 때문에 ‘또는’으로 수정했다”고 설명했다.
다만 하 과장은 “정보 주체의 동의 없이 개인정보를 활용하는 조항이기 때문에 이 요건이 명확하지 않으면 정보 주체도 개인정보의 활용 범위에 등에 대해 예측할 수밖에 없는 상황”이라며 “특히 충족 요건이 아니라 고려 요건으로만 규정하면 개인정보 처리자와 이용자 관계부터 추가 수집 목적 정도까지 고려해야 할 사항이 너무 많아져 최소 요건으로 규정을 마련한 것”이라고 전했다.
이어 업계에서는 개인정보를 연구나 통계에 활용할 때 개인을 특정하지 않기 위한 조치인 ‘가명정보’ 활용 절차가 지나치게 복잡하다는 비판도 제기됐다. 가명정보를 활용할 만한 정보로 결합하는 전문기관과는 별도로 개인 특정을 방지하기 위한 결합키 정보를 따로 관리하는 기관까지 있어 의뢰 절차가 까다롭다는 것. 특히 기업들이 가명정보를 활용할 때 지정된 전문기관 내에 마련된 분석공간에서만 할 수 있고 반출할 수 없다는 내용은 지나치다고 목소리를 높였다.
이에 행안부는 시행령에 명시된 ‘분석공간에서는 결합 목적을 달성하기 어렵거나 분석공간의 이용이 어려운 경우’를 삭제하기로 했다. 이에 기업이 반출 승인만 받으며 가명정보 간 결합된 정보를 가지고 나갈 수 있다. 하 과장은 “기업은 일반적으로 반출을 전제로 가명정보를 결합하는 것”이라며 “반출이 전제인데 전문기관 내에서 분석이 어려워야 반출하는 것 지나치다는 업계의 의견을 반영했다”고 설명했다.
다만 하 과장은 “가명정보를 결합하는 전문기관은 일반 민간 기업도 할 수 있는 만큼 보완성 취약할 위험도 있다”며 “개인정보 유출의 많은 부분이 내부자 소행으로 밝혀는 상황에서 전문기관과는 별도로 결합키 관리기관이 시행 초기에는 필요하다는 생각이 반영됐다”고 설명했다.