[디지털데일리 이종현기자] 데이터3법(개인정보보호법·정보통신망법·신용정보법) 개정안 통과 이후 데이터 활용에 청신호가 켜졌다. 데이터 활용이 늘수록 반대편에 있는 개인정보보호는 취약해질 수밖에 없다. 데이터 활용에 속도를 내는 한편 개인정보보호를 위한 장치 마련이 필요하다는 목소리가 잇따르고 있다.

데이터3법 개정은 4차 산업혁명 시대의 핵심 자원인 데이터의 이용 활성화를 통한 신산업 육성을 위해 진행됐다. 유통되는 데이터를 토대로 인공지능(AI), 클라우드, 사물인터넷(IoT) 등 분야를 키우겠다는 게 법의 취지다.

이를 위해 개인정보보호법, 정보통신망법 등 분산돼 있던 법률의 유사·중복 규정을 개인정보보호법으로 일원화하고, 개인정보의 오·남용 및 유출을 감독할 ‘개인정보보호위원회’를 설치했다.

데이터3법은 개인정보의 일부를 삭제하거나 일부 또는 전체를 대체하는 등의 방법으로 추가 정보 없이 특정 개인을 식별할 수 없도록 비식별 조치를 한 ‘가명정보’를 ▲통계작성 ▲과학적 연구 ▲공익적 기록보존 등의 용도로 활용할 수 있게 하는 것을 골자로 한다. 비식별 조치, 활용 범위 등의 내용을 준수할 경우 정보주체의 동의 없이 개인정보를 이용할 수 있게 돼 개인정보보호가 지나치게 취약해지는 것 아니냐는 우려가 나온다.

학계 및 업계에서도 데이터 활용과 개인정보보호라는 양 측면에 대한 논쟁이 이어지고 있다. 활용과 보호, 양립할 수 없는 개념인 만큼 어느 한쪽을 다소 포기할 수밖에 없는 상황이기에 더욱 치열하다.

개인정보보호 기능을 강화해야 한다고 주장하는 한 학자는 “데이터 활용이라는 흐름을 거부하는 것은 아니다. 어디까지나 최소한의 장치가 마련돼야 한다는 것”이라며 “우리나라는 기업에 개인정보 유출의 책임을 묻는 장치가 부족하다. 개정안 역시 기업의 악의적 데이터 사용에 대한 처벌 장치만 마련했을 뿐”이라고 꼬집었다.

실제로 국내에서는 크고 작은 개인정보 유출이 잇따르고 있지만 눈에 띄는 처벌 사례는 없다. 2012년 발생했던 KT 영업시스템 해킹 사건에 대해 2018년 대법원은 “피해 가입자에게 배상할 책임이 없다”고 판결했다. 당시 KT 해킹으로 870만명의 이름, 주민번호, 휴대전화번호, 요금제, 기기변경일 등 개인정보가 유출됐었다.

지난해 영국 정보위원회는 유럽연합의 일반개인정보보호법(GDPR)에 근거해 해킹 사고로 개인정보 유출이 발생하더라도 천문학적인 과징금을 책정했다.

해킹으로 인해 50만명의 개인정보가 유출된 영국항공 해킹에 대해 1억8300만파운드(한화로 약 2700억원), 해킹으로 5억명의 이름, 주소, 전화번호, 이메일, 여권번호 등이 유출된 메리어트 인터내셔널에 9920만파운드의 과징금을 부과했다. 미국 연방거래위원회가 페이스북에 50억달러(한화로 약 6조원)의 과징금을 부과하는 사례도 있다.

진보 성향의 한 시민단체에서는 “개인정보 유출에 대한 처벌 강화와 정보주체의 권리 강화 없는 데이터 활용은 악법”이라며 “GDPR 수준의 데이터 활용을 하려면 GDPR 수준의 처벌과 정보보호 기능을 갖춰야 한다”고 주장했다.

<이종현 기자>bell@ddaily.co.kr