“사전동의 절차를 엄격히 요구하는 현행 포지티브 규제는 사용자 불편과 책임부담만 초래하고 있다. 개인정보보호제도의 패러다임을 현행 사전절차·처벌중심 방식에서 사후평가·자율규제로 전환해야 한다.”
대한상공회의소 SGI(지속가능이니셔티브)는 국내 개인정보보호 제도의 주요 문제점과 정책제언을 담은 ‘개인정보보호제도 개선방안 연구보고서’를 22일 발표했다.
개인정보호 3대 문제점 ➀불명확한 개인정보 범위 ➁형식적 보호절차 ➂과다·중복규제
SGI는 보고서를 통해 국내 개인정보보호 제도의 세 가지 문제를 지적했다.
첫째, 불명확한 개인정보 범위다. 현행법은 개인정보를 ‘다른 정보와 쉽게 결합해 알아볼 수 있는 정보’로 정의한다. ‘쉽게 결합’한다는 용어의 의미가 모호하고, 비식별정보에 대한 정의도 부재해 개인정보의 규제 범위가 과도하게 넓어졌다.
둘째, 형식적인 사전동의(opt-in) 시스템이다. 현행 제도는 개인정보 수집시 사용자에게 활용방안을 고지하고 사전동의를 받도록 요구하고 있다.
SGI는 “사전동의 절차를 엄격히 요구하는 현행 포지티브 규제는 실제 사용자 보호효과가 떨어지는데다 사후책임을 사용자에게 전가하는 문제가 있다”고 지적했다. 실제 SGI가 국민 500여명, 기업 200여개사를 대상으로 설문한 결과에서도 국민 85.0%, 기업 72.6%가 “사전동의 방식은 사용자 보호에 실질적 도움이 되지 않는다”고 답했다.
SGI는 “미국·일본·EU는 익명정보는 사전동의(Opt-in)에서 사후동의(Opt-out)로 전환하고 있지만, 국내 법률은 광범위한 사전동의를 적용해 비식별정보 활용을 크게 제약하고 있다”고 지적했다.
셋째, 과다·중복규제로 인한 낮은 활용도이다. 우리나라는 일반법인 개인정보보호법과 산업별 개별법이 중복적으로 규제하고 있다. 복잡하고 중복적인 규제로 인해 빅데이터 분석을 수행한 기업은 1.7%에 불과하고, 그 중에서도 66%는 개인정보는 분석에서 제외하고 있는 실정이다.
SGI “개인정보 활용과 보호, 균형점 찾아야”...비식별정보 구체적 가이드라인 마련 필요
SGI는 “한국의 개인정보제도는 제약만 많고, 개인정보를 활용한 신사업 창출도 안전한 보호도 이루어지지 못하는 상황”이라며 “개인정보 활용과 보호 간 균형점을 찾는 정책 마련이 필요하다”고 제언했다.
개인정보보호 제도 개선방안으로 √ 비식별정보에 대한 구체적 가이드라인 마련 √ 사전동의 획득을 요구하는 사전절차·처벌 중심 규제 → 사후동의·자율규제 방식으로 전환 √ 데이터 표준화 시범사업 조기 추진 √ 민관협력 거버넌스 구축 및 전문성 강화 등을 제시했다.
SGI는 지난 8월 정부가 산업계 의견을 반영해 마련한 ‘개인정보 규제혁신 방안’에 대한 긍정적 평가를 내리며, 제도의 실효성 제고를 위해 비식별정보(가명·익명정보)에 대한 보다 구체적인 가이드라인 마련을 촉구했다.
영국과 미국은 구체적 기준을 사용해 익명정보의 재식별 리스크를 낮췄다. 영국은 데이터 전문가나 해커가 아닌 인터넷·도서관에 공개된 정보를 이용할 수 있는 일반인을 기준으로 재식별 리스크를 평가하고 있다. 미국은 비식별화에 관한 지식과 경험을 가진 전문가가 비식별화 수준을 판단하고 있다.
SGI는 “완전무결한 비식별화가 현실적으로 어렵다는 점을 어느 정도 인정하고, 재식별 위험성을 합리적 수준으로 낮추려는 선진국의 제도를 참고해, 비식별 개인정보에 대한 명확한 정의를 내려야한다”고 했다.
개인정보보호제도, 현행 ‘사전 절차 중심’서 ‘사후평가‧자율규제 방식’으로 패러다임 전환해야
SGI는 개인정보보호제도의 패러다임을 현행 사전절차·처벌중심 방식에서 사후평가·자율규제로 전환할 것을 제안했다.
실제 대다수 국민과 기업들은 사전규제 방식보다 사후규제 방식을 선호하고 있다. 규제방식 선호도를 묻는 질문에 국민 67.9%, 기업 63.7%가 “절차 규제는 완화하되 사후 처벌을 강화해야한다”고 답했다. ‘규제 집행력 제고를 위한 합리적 방향’에 대해서도 국민 63.2%, 기업 68.2%가 “현행 처벌 일변도 방식보다 인센티브 제공을 병행하는 자율규제방식이 효과적일 것”이라고 답했다.
이성호 SGI 신성장연구실장은 “개인정보보호제도를 사후평가 ‧자율규제 방식으로 전환해 개인정보의 실질적인 보호정도를 높이고, 기업의 자발적인 보호역량 강화를 유도해야 한다”고 조언했다.
빅데이터 시범사업 조기추진, 개인정보보호 민관협력 거버넌스 구축 등 제안
SGI는 개인정보 활용의 편익을 체감할 수 있는 ‘빅데이터 시범사업’의 조기 추진을 주문했다. “개인정보활용의 제도적 장애가 해소되더라도 데이터의 기술적 표준화가 미진하면 활용성이 제약받게 된다”며 “신사업 창출 가능성이 높은 의료, 금융, 전자상거래 분야를 중심으로 시범사업을 조기 추진해 나갈 것”을 제안했다.
이와함께 개인정보 보호와 활용의 균형을 모색하기 위해 기업과 정부, 학계의 데이터 전문가들이 위원으로 참여하는 ‘민관협력 거버넌스 체계 수립’을 제안했다.
고학수 서울대학교 법학전문대학원 교수는 “현재의 개인정보보호 법제도는 빅데이터·인공지능 시대로의 패러다임 변화를 충분히 반영하지 못하는 한편, 정보주체들이 가지는 불안감을 해소하는 데에도 아쉬움이 있다”며 “데이터의 활용도와 함께 사회적 신뢰도도 제고하기 위해 관련 법제도의 개선 노력이 필요하다”고 말했다.
박근우 기자 lycaon@greened.kr