[특별기고]데이터 경제 시대, 개인정보 보호와 활용

산업 발전 명목 아래 희생 안되지만
보호 조치된 개인정보 이용은 확대
투명성·책임성 확보 법안 개정 통해
데이터 경제 시대 경쟁력 키워가야

김도엽 변호사 법무법인 (유한) 태평양

데이터 경제의 시대다. 데이터는 대부분 개인화되어 있어 개인정보가 요즘 시대의 화두다. 이러한 개인정보 보호에 한발 앞서 대응한 곳은 EU다. EU에서는 4년간의 합의 과정, 3천여 건 이상의 수정안 제출, 2년간의 유예기간 끝에 1년여 전에 GDPR(General Data Protection Regulation·일반 개인정보보호법)이 발효되었다.

GDPR은 상당히 넓은 적용 범위와 막대한 과징금을 규정하고 있어, 발효 당시 전 세계의 주목을 받았다. 실제로 EU와 미국 간의 세이프 하버(Safe Harbor)를 무너뜨린 슈렘스는 GDPR 발효일에 구글, 페이스북, 인스타그램, 왓츠앱 등을 상대로 GDPR 위반 사항에 관한 신고를 접수하기도 하였고, 일본은 올해 1월에 EU와 일본 간의 자유로운 데이터 전송을 위한 유럽 집행위원회의 적정성 평가 결정을 받기도 하였다.

국내에서도 인터넷진흥원을 비롯한 여러 유관 기관에서 우리 기업을 위한 GDPR 가이드북을 발간하고, 세미나 및 강의 등을 마련하는 노력을 해왔고, 민간에서도 GDPR 컴플라이언스 체계를 구축하는 다수의 프로젝트가 진행되었다.

GDPR 시행 1년이 지난 지금, 미국, 브라질, 인도, 태국 등에서는 GDPR을 반영한 개인정보 법제의 제·개정 작업이 진행 중이며, 향후 이러한 추세는 지속적으로 확산될 것으로 보인다. 한편, GDPR의 집행과 관련하여, EU 규제기관의 신고 건수는 약 20여만 건이며, 올해 2월 기준으로 프랑스 규제기관(CNIL)이 구글에 부과한 5천만유로의 과징금을 포함하여, 약 5천600만유로의 과징금이 부과된 것으로 알려져 있다. 최근 EU 회원국인 아일랜드 규제기관의 수장은 향후에도 다양한 GDPR 집행 사례를 예고하기도 하였다.

그러나, 이러한 일련의 과정에서 간과하지 말아야 할 점이 있다. 엄격한 GDPR 규정의 해석에서도 투명성, 책임성 이외에 '비례성'을 강조하고 있다는 점이다. 즉, 데이터 항목, 법 위반 행위의 성질 및 사고 발생 시 대응 조치에 따라 규제기관의 제재 수준이 달라질 수 있다는 점이다. 그렇다면, 각 기업이 처리하는 데이터에 따라 위험 기반의 접근 방식(risk based approach)을 통해 GDPR 컴플라이언스 체계를 구축한다면, '글로벌 매출'의 2~4%에 달하는 GDPR의 과징금에 대한 리스크를 줄일 수 있을 것으로 보인다.

한편, EU에서도 데이터 이용의 중요성을 인식하고 있다. 미국에서는 다수의 기업이 전 세계 10억 명 이상이 사용하는 서비스를 제공하고, 이는 대량의 데이터 확보로 이어져, 데이터 기반의 맞춤형 서비스와 기술 발전이 가능했다. 이에 GDPR에서는 가명화된 데이터의 활용, 개인정보의 추가 처리 등을 일정한 제한하에 허용하고 있다. 또한, EU는 HORIZON 2020에서도 데이터를 통한 연구와 혁신이 EU의 번영과 시민의 웰빙에 직결된다는 것을 명확하게 인식하고 있는 것으로 보인다. 일본의 경제산업성도 데이터∙AI 가이드라인을 통해 데이터 이용을 위한 표준계약 구조를 마련하여, 데이터 활용을 촉진하고 있다.

그렇다면, 우리는 어떻게 해야 할까. 물론, 정보 주체의 권리가 산업 발전이라는 명목하에 희생될 수는 없을 것이다. 그러나, 적절한 수준의 보호 조치가 된 데이터에 대해서는 이용 범위를 확대할 필요가 있다. 현재 국회에는 GDPR의 가명화, 이동권, 프로파일링 등을 반영한 다양한 개인정보 관련 법안들이 발의되어 있다. 이러한 법안들의 개정 논의를 통해 기업이 투명성과 책임성을 확보하고, 데이터를 이용할 수 있는 방안을 마련해야 우리 기업, 나아가 우리나라가 데이터 경제 시대에 경쟁력을 확보할 수 있을 것이다.