[디지털데일리 이종현기자] 데이터3법(개인정보보호법·신용정보법·정보통신망법) 시행령 개정안이 입법예고된 가운데 행정안전부와 방송통신위원회, 금융위원회 등 관계부처 합동으로 ‘데이터3법 시행령 토론회’를 29일 개최했다.

토론회는 정부 관계부처 관계자가 입법예고된 시행령을 설명하고 이에 대해 시민단체, 산업계, 법조계, 법학계 등 각계 전문가들이 토론하는 형태로 진행됐다.

토론회에서 논의된 핵심 안건은 ▲개인정보보호법 시행령 개정안에 신설된 개인정보의 추가적인 이용·제공 기준 ▲가명정보의 결합·분석과 반출’등에 대한 내용이다.

개인정보보호법 시행령 개정안은 제14조 2항을 통해 ▲개인정보를 추가적으로 이용하려는 목적이 당초 수집 목적과 상당한 관련성이 있을 것 ▲개인정보를 수집한 정황과 처리 관행에 비추어 볼 때 추가적으로 이용할 수 있을 것으로 예측 가능할 것 ▲개인정보의 추가적 이용이 정보주체 또는 제3자의 이익을 부당하게 침해하지 아니할 것 ▲가명처리를 하여도 추가적 이용 목적을 달성할 수 있는 경우에는 가명처리하여 이용할 것 등을 모두 충족할 것을 요구한다.

다수 전문가들은 이와 같은 기준이 지나치게 엄격하다는 것과 불명확하다는 것, 신용정보법과 일관성이 없다는 것 등이 문제시된다고 피력했다.

김진환 김앤장 변호사는 “개인정보보호법 시행령 개정안 제14조 2항은 유럽 일반개인정보보호법(GDPR)의 양립가능성에 해당하는 내용”이라며 “GDPR은 고려요소에 불과한 데다 GDPR을 다양한 예외 조항을 뒀음에도 불구하고 목적 외 양립가능성으로 데이터 활용 여지를 넓혔다. 하지만 우리 시행령은 GDPR보다 강한 규제 성향을 띄고 있음에도 엄격한 기준을 마련해 완화가 필요하다고 생각한다”고 말했다.

시행령 개정안에 사용된 모호한 표현에 대한 문제 제기도 이어졌다.

개인정보보호법 법령에서는 개인정보의 수집·이용 범위를 ‘합리적으로 관련된 범위’로 정하고 있다. 다소 모호한 표현인 만큼 시행령 등 후속 입법을 통해 불명확성이 해소될 것으로 기대됐다. 하지만 시행령에서조차 ‘상당한 관련성이 있을 것’, ‘처리 관행에 비추어 볼 때’ 등의 표현이 사용되면서 불확실성이 해소되기는커녕 커졌다는 지적이다.

김현경 과학기술대학교 교수는 “개인정보의 추가 이용 기준뿐만 아니라 개인정보보호위원회의 겸직 금지 관련 내용 등 시행령에서 모호한 표현이 다수 사용됐다”며 “어떤 측면에서는 법령보다도 더 추상화된 측면이 있는데, 실효성을 위해 구체화될 필요가 있다”고 주장했다.

강현정 법무법인 세종 변호사는 개인정보보호법 시행령과 신용정보법 시행령 간의 차이점으로 인한 일관성 부재를 꼬집었다.

그는 “개인정보보호법 시행령은 GDPR의 양립가능성보다도 엄격한 규정을 제시한 반면 신용정보법 시행령에서는 다소 완화된 활용 가능성을 제시했다”며 “유사한 두 법의 형평성이 맞지 않다”고 전했다.

산업게에서는 가명정보 결합 절차가 복잡하고 결합정보 분석 공간의 물리적 제약이 존재한다며 불만을 나타냈다.

개인정보보호법 시행령은 가명정보의 결합을 위해 연계정보 생성기관과 결합전문기관을 거쳐야 하는 등 절차가 복잡하다. 의뢰기관이 직접 연계정보를 생성할 수 있도록 한 신용정보법 시행령과도 차이가 있다.

특히 코로나19 이후 기업체와 관공서, 학교들이 클라우드나 웹을 이용하는 언택트(비대면) 문화가 확산되는 가운데 결합정보를 특정 물리적 공간에서 직접 분석하도록 하는 조항이 시대 흐름에 맞지 않다고 토로했다.

김재환 인터넷기업협회 실장은 “데이터3법의 입법 취지는 신산업 육성과 데이터 경제 활성화”라며 “지금 나온 시행령은 입법 취지를 무색케 하는, 규제 성향이 강한 시행령이라 아쉽다”고 밝혔다.

이욱재 KCB 상무도 “가명정보에 대한 가명처리, 데이터 반출에 관한 부분 등 시행령만 봐서는 산업계에서 데이터를 어떻게 활용할 수 있는지 알 수 없는 부분이 많다”며 “데이터3법이 개정되면서 개인정보보호를 위해 법적 처벌이 굉장히 강화됐다. 지금처럼 불확실성이 많은 상황에서는 산업계가 데이터를 활용할래야 할 수 없는 상황”이라며 모호성 해소와 규제 완화의 필요성을 강조했다.

토론회 사회를 맡은 개인정보법학회 회장인 김민호 성균관대학교 교수는 “오늘 논의의 핵심은 개인정보보호법 시행령 개정안 제14조의 2라고 본다”며 “제14조의 2는 요건 충족형 내용인데, 대부분의 법 체계는 ‘종합 고려형’이다. 여러 요건을 열거해 이를 종합적으로 판단할 수 있는 재량적 여지를 남겨두는데, 이처럼 모든 요건 충족형으로 법을 만들 경우 집행 가능한지에 대한 우려가 있다”고 말했다.

이어서 그는 “모든 요건이 법률의 내용을 중언부언하는 내용이 많다. 일반적으로 판례에 ‘관련성’은 ‘상당한 관련성’을 의미한다. ‘상당하지 않은 관련성’이라는 것은 존재하지 않는데 ‘상당한 관련성’이라는 표현이 사용됐다”며 “데이터 결합의 반출도 정해진 장소에서 분석하도록 돼 있는데 ‘분석’에 대한 정의가 불명확하다”며 법률의 구체적이지 않은 부분을 지적했다.

정부 관계자는 제14조 2가 지나치게 엄격한 것 아니냐는 의견에 대해 “GDPR의 경우 종합적으로 고려하라고 돼 있지만 수범자(법의 적용을 받는 사람)에게 종합적으로 고려하라고 한다면 와닿지 않을 것 같아 4개 항목을 최소 요건으로 정했다”며 “이 최소 여건이 적정한가에 대해서는 오늘 나온 논의를 반영하도록 하겠다”고 답했다.

<이종현 기자>bell@ddaily.co.kr