등록 : 2019.11.19 15:19
수정 : 2019.11.19 15:29
|
지난 12일 오전 서울 여의도 국회 정론관에서 참여연대와 진보네트워크센터·민주노총 등이 '정보인권 침해하는 데이터 3법 개악 중단' 기자회견을 열고 있다. 연합뉴스
|
‘데이터 3법’ 개인정보 보호 GDPR 충족 여부
과기정통부 장관·시민단체 대표 다른 진단 주목
최기영 장관, GDPR 국가 승인 위해 통과 필요
오병일 대표, 개인정보 보호 GDPR 못따라가
|
지난 12일 오전 서울 여의도 국회 정론관에서 참여연대와 진보네트워크센터·민주노총 등이 '정보인권 침해하는 데이터 3법 개악 중단' 기자회견을 열고 있다. 연합뉴스
|
“우리나라가 유럽연합(EU) 개인정보보호 규정(GDPR)의 국가간 승인을 받아 국내 기업들의 유럽시장 진출에 어려움이 없게 하려면 데이터 3법 개정안이 서둘러 국회를 통과해야 한다.”(최기영 과학기술정보통신부 장관, 지난 13일 인터넷기업 대표들과 가진 현장소통 간담회에서)
“데이터 3법 개정안의 개인정보 보호 규제를 지디피아르 수준 정도로라도 맞춰 달라는 거다. 현재 국회에서 심의중인 개정안 가운데 가명정보의 동의없는 연구부문 활용 폭이 지디피아르가 정한 것보다 폭넓고, 다른 보호 장치들도 떨어진다.”(오병일 진보네트워크센터 대표, 18일 <한겨레>와 통화에서)
데이터 3법(개인정보보호법·정보통신망법·신용정보법) 개정안의 국회 처리가 진행되고 있는 가운데, 개정안의 개인정보 보호 수준이 유럽 개인정보보호 규정을 충족해 우리나라가 국가간 적합성 승인 심사를 통과할 수 있는지를 놓고 과기정통부 장관과 진보네트워크센터 대표가 다른 진단을 하고 있어 주목된다. 과기정통부는 기업들의 빅데이터 기법 활용 허용에 앞장서는 부처이고, 진보네트워크는 오랜 기간 정보인권 보호 활동을 펴온 시민단체이다. 최기영 장관은 유럽연합 지디피아르 국가간 승인 심사를 통과하기 위해서라도 데이터 3법 개정안의 국회 처리가 시급하다고 보고 있다. 그러나 오병일 대표는 데이터 3법 개정안대로라면 우리나라의 개인정보 보호 체계가 지디피아르 수준에 크게 못 미쳐 지디피아르 국가간 승인 심사를 통과하기가 쉽지 않을 수 있다는 입장이다.
한국 기업들이 유럽 업체들처럼 자유롭게 세계 시장에서 유럽연합 시민들의 개인정보를 수집·활용하기 위해서는, 한국이 지디피아르의 국가간 승인 심사를 통과해야 한다. 유럽연합은 대상 국가의 개인정보보호 수준이 지디피아르와 동등한 수준인지를 따져 적합성 승인을 한다. 국가간 승인을 받지 못하면 기업이 개인정보를 수집·활용할 때마다 지디피아르 위반 여부 심사를 받아야 하고, 지디피아르 위반 기업에는 연간 매출의 4% 혹은 2천만유로 중 많은 금액이 과징금으로 부과된다. 2017년 1월 한국은 일본과 함께 유럽연합 집행위원회로부터 지디피아르 적정성 평가 우선 대상국으로 선정됐으나, 일본만 올해 1월 최종 승인을 받았다. 한국은 개인정보 보호 감독기구가 독립적이지 못하다는 이유 등으로 탈락했다.
자세히 살펴보면, 최 장관과 오 대표는 서로 다른 진단을 하고 있는 셈이다. 한국이 지난해 지디피아르 국가간 승인을 실패한 것은 개인정보보호 감독기구 독립성 미비 탓이었는데 데이터 3법 개정으로 해결된다는 것이 최 장관의 주장이다. 개인정보보호법 개정안에 개인정보보호위원회를 총리실 산하 독립 중앙행정기관으로 격상시키는 내용을 담고 있어서다. 그동안 국회가 위원들을 추천하고, 방송통신위원회와 행정안전부가 갖고 있던 개인정보 보호 감독 권한은 개인정보보호위로 이관하도록 하고 있다.
반면 오 대표는 데이터 3법 개정안이 한국의 개인정보 보호 수준을 지디피아르에 못미치게 한다고 보고 있다. 오 대표는 “개정안대로라면 가명정보의 동의없는 연구부문 활용 폭이 지디피아르보다 넓어진다. 서비스 설계 단계부터 개인정보 침해 영향 평가를 하고, 개인정보 처리자의 책임성을 강화하는 부분도 없다”며 “유럽연합은 상대 나라의 개인정보 보호 수준이 지디피아르와 실질적으로 동등하냐를 보는데, 데이터 3법 개정안의 개인정보 보호 수준은 지디피아르에 크게 못미친다”고 말했다.
요약하면, 데이터 3법 개정안을 통해 독립적인 개인정보보호 감독기구 설치·운영 문제는 어느 정도 해결된다. 대신 기업들이 가명정보를 동의없이 활용할 수 있는 폭을 넓히며 전체적인 개인정보 보호 수준을 떨어뜨렸고, 그 결과 지디피아르의 국가간 승인 심사 통과를 장담할 수 없게 된다는 것이다. 펼쳐진 보자기의 한 쪽을 당겨 펴니 다른 쪽이 다시 구겨진 꼴이다.
김재섭 선임기자
jskim@hani.co.kr광고
기사공유하기