데이터경제 활성화를 위한 개인정보 보호법제의 개선

디지털경제 활성화를 위한 개인정보보호의 새로운 패러다임 필요

현행 「개인정보 보호법」이 제정되기 전에는 공공기관을 규율하는 「공공기관의 개인정보보호에 관한 법률」과 정보통신 서비스 제공자에게 적용되는 「정보통신망의 이용촉진 및 정보보호 등에 관한 법률」이 각각 있었다. 과거에는 공공기관과 인터넷서비스를 제공하는 사업자에게만 개인정보 보호법이 적용되었으나 현행 「개인정보 보호법」이 제정되면서 공공기관은 물론 모든 민간영역의 개인정보처리자까지도 법 적용의 대상이 되었다. 

이처럼 법 적용의 대상이 거의 전 국민으로 확대됨에 따라 「개인정보 보호법」은 그 어떤 법률보다 강력한 “규제법”이 돼버렸다. 기업은 「개인정보 보호법」 위반에 대한 리스크 관리로 많은 비용과 어려움을 겪고 있고, 새로운 사업이나 서비스를 접어버리는 경우가 빈번한 실정이다. 그런데 더 우려스러운 것은 갈수록 규제의 강도는 강화되고 있다는 것이다. 

인공지능(AI)을 기반으로 하는 지능정보사회에서 데이터 활용이 무엇보다 중요하다는 것을 모르는 사람은 없다. 현 정부 역시 데이터 활용의 중요성을 인식하고 데이터 활용을 위한 다양한 대책들을 내놓기는 했으나, 자신들의 이념적 프레임에 갇혀서 데이터의 이용 활성화보다는 오히려 더 강한 규제들을 만들고, 사실상 데이터 활용을 더 어렵게 했다는 비판을 면할 수 없다.

4차산업혁명과 지능정보사회에서 우리나라가 경쟁력을 갖고 국제 경제질서에 선도적 역할을 하기 위해서는 하루빨리 실질적인 데이터 활용이 가능하도록 불합리한 규제를 혁신해야 한다. 디지털경제 활성화를 위한 개인정보 보호의 새로운 패러다임을 정립하고 이에 부합하는 개인정보 보호법의 개선이 필요하다.

형식적 동의 만능주의 철폐

현행 「개인정보 보호법」은 과거 정보통신기술이 첨단화되기 이전에 개인정보보호의 가치를 인격적 가치로만 이해하던 시대의 법이론을 그대로 답습하고 있다. 이른바 '동의 만능주의’에 함몰되어 있다. 정보 주체에게 '동의’의 기회를 형식적으로 주기만 하면 개인정보자기결정권을 보장하고 국가의 책무를 다한 것으로 믿어버리는 '동의'의 만능주의에 빠져 있다는 것이다. 

조그만 글씨로 빽빽하게 쓰인 동의서를 모두 읽고 동의 여부를 체크하는 사람은 거의 없다. 그저 형식적으로 동의 여부에 체크를 할 뿐이다. 그것만으로 정보주체의 개인정보가 보호될 수 있는 것인가? 결코 그렇지 않다. 오히려 개인정보처리자(기업)에게 면죄부를 줄 뿐이다. 그럼에도 불구하고 이러한 '동의’의 장벽에 가로막혀 사물인터넷과 빅데이터를 응용한 신규 서비스의 상용화가 제약을 받는다면 커다란 문제가 아닐 수 없다. 정보 주체가 동의를 해야만 개인정보를 처리할 수 있는 이른바 옵트인(opt in) 동의 방식을 제한적으로나마 옵트아웃(opt out) 동의 방식으로 전환할 필요가 있다. 

옵트아웃 동의 방식이란 일단 정보 주체의 동의 없이 개인정보를 처리할 수는 있으나 정보 주체가 거부 의사를 밝히면 즉각 개인정보의 처리를 중단해야 하는 것을 말한다. 이러한 동의 방식을 모든 분야에 일괄적으로 허용할 수는 없으나, 정보 주체에게 서비스를 제공하기 위하여 또는 정보 주체와 계약의 체결 및 이행을 위하여 개인정보를 수집·제공하는 경우, 그리고 개인정보 영향평가를 통하여 인증을 받은 개인정보처리자(기업)가 개인정보를 수집·이용하는 경우만이라도 부분적으로 옵트아웃 방식을 허용할 필요가 있다. 

공공데이터 활용의 활성화

디지털경제의 활성화를 위해서는 정부가 가지고 있는 14만여 개의 공공데이터를 전면 개방해 누구든지 데이터를 활용할 수 있도록 하는 것이 매우 중요하다. 디지털경제는 데이터 이용 활성화 여부에 따라 성패가 달라질 수밖에 없다. 데이터 이용 활성화는 궁극적으로 개인 데이터 활용과 보호 간에 균형을 어떻게 담보하느냐에 달려 있다.

정부는 공공데이터를 적극적으로 개방하고, 국회는 데이터 3법을 개정해 가명처리를 통한 개인정보 활용의 길을 터주었다. 하지만 이것이 현장에서 제대로 작동되지 못하고 있다. 국민건강보험공단, 건강보험심사평가원, 국립암센터 등 보건·의료 공공기관은 세계적으로 인정받는 6조건에 달하는 공공데이터를 보유하고 있지만 그 활용에 있어서는 매우 소극적이다. 공공데이터법에서 공공데이터 개방을 적극 권장하고 있음에도 불구하고 보건·의료 공공기관은 가명 또는 익명처리된 정보를 연구 목적으로만 제한적으로 개방하고 있는 실정이다.

디지털 헬스케어 기업들에 보건·의료 공공데이터를 개방한다면 새로운 기술 개발과 서비스 제공을 통해 국민건강을 증진시킬 수 있고, 헬스케어 산업 발전에 따른 신규 고용도 창출할 수 있다. 보험회사는 보건·의료 공공데이터를 활용해 유병자와 고령자를 위한 유용한 새로운 상품을 개발하고, 보장 범위를 확대해 소비자 편익을 증진시킬 수 있다. 정확한 데이터를 기반으로 위험을 평가해 보험료를 인하할 수 있다면 보험회사와 소비자 모두에게 이익이 되는 것이다.

하지만 정부가 이들 공공기관에 데이터를 적극 개방하라고 아무리 압박해도 공공기관 입장에서는 데이터 개방으로 개인정보가 침해될 경우 모든 책임을 부담해야 하므로 데이터 개방에 소극적일 수밖에 없다. 공공기관이 적극적으로 데이터를 개방하고, 산업계는 안전하게 데이터를 활용할 수 있는 여건이 하루빨리 조성되어야 한다. 여건 조성을 위해 가장 필요한 것은 다음과 같다.

첫째, 데이터 개방 요청이 있는 경우 공공기관은 법령에서 명백하게 비공개하라는 규정이 없다면 일단 개방하고 그에 따른 공공기관 책임은 면책될 수 있도록 법적 장치를 마련해야 한다. 

둘째, 산업계가 공공데이터, 특히 가명처리된 데이터를 활용할 수 있는 범위를 명확히 설정해주어야 한다. 

불합리한 과징금제도의 개선 

현행 「개인정보 보호법」은 3가지 형태의 과징금을 규정하고 있다. 

첫째, 가명정보 처리에 대한 과징금 부과 규정(법 제28조의6 제1항)으로 과징금 상한 기준은 전체 매출액의 3% 이하이다.

둘째, 주민등록번호 분실 등 행위에 대한 과징금 부과 규정(법 제34조의2 제1항)으로 그 과징금 상한 기준은 5억 원 이하이다.

셋째, 정보통신서비스 제공 등의 위반행위에 대한 과징금 부과 규정(법 제39조의15 제1항)으로 그 과징금 상한 기준은 위반행위와 관련된 매출액의 3% 이하이다.

그런데 정부는 이러한 과징금 규정을 일원화하여 전체 매출액 기준, 정액 기준, 관련 매출액 기준 등 3가지 다른 기준 가운데 가장 상한이 높은 “전체 매출액” 기준으로 과징금을 통합했다.

원래 의미의 과징금은 행정제재의 일종으로서 죄형법정주의 확장 이념에 따라 반드시 '행정법상의 의무위반 행위’와 이를 통하여 얻은 '제적 이익’의 인과성이 반드시 연계되어야 한다. 하지만 법위반 행위와 그로 인한 경제적 이익을 평가하는 것이 현실적으로 곤란하기 때문에 통상적으로 법위반 행위와 관련하여 발생시킨 매출액의 일정액(%)을 과징금으로 부과하는 방식을 취하고 있다. 따라서 과징금을 부과할 때 가장 중요한 것은 '법위반 행위’와 직접관련성이 있는 경제적 이익, 다시 말해서 법위반 행위를 직접 이용(활용)하여 추가적으로 획득한 경제적 이익을 산출하는 것이다.

과징금 부과의 기본원칙은 “행정법상의 의무위반 행위”와 경제적 이익(매출액) 사이에 “직접 관련성”이 반드시 존재해야 한다. 따라서 전체 매출액 상한 기준을 전면적으로 적용하는 것은 어떤 이유로도 정당화되기 어렵다. 가장 바람직한 것은 과징금 상한이 부과기준과 내적 연관성을 갖고 위반행위의 위법성의 정도를 나타내는 지표를 개발하는 것이지만, 현실적으로 이러한 지표의 개발이 불가능하므로 대부분의 국가와 법률들이 “관련 매출액”을 기준으로 하고 있다. 과징금 부과 기분을 “전체 매출액”에서 '관련 매출액’으로 조속히 개정해야 한다. 

글로벌 기준에 부합하는 「개인정보 보호법」의 정비 필요 

오늘날 세계 경제는 상호 유기적으로 연계되어 있으므로 우리나라의 법령이라 하더라도 글로벌 기준에 부합해야 한다. 특히 물리적 국경이 불분명한 인터넷서비스는 여러 나라의 국민들에게 동일한 서비스를 동시에 제공하고 있기 때문에 국가마다 규제의 정도가 다를 경우 기업이나 소비자 모두 혼란스러울 수밖에 없다. 그래서 오늘날 선진국들은 비록 자국의 법제지만 글로벌 기준에 부합하도록 법제를 정비하고 있다. 다른 나라와 달리 그 나라만의 독특하고 강한 규제체계를 고집할 경우 그 나라는 갈라파고스 군도의 고립된 생태계가 될 수 밖에 없기 때문이다.

현행 「개인정보 보호법」에도 글로벌 기준에 맞지 않는 우리나라만의 독특하고 강한 규제가 존재한다. 이를 시급히 개선하지 않을 경우 우리나라는 국제경제의 선도적 역할을 하기는커녕 갈라파고스의 생태계처럼 고립과 후퇴를 면하기 어려울 것이다. 시급히 개선해야 할 과제는 다음과 같다. 

첫째, 현행 개인정보 보호법제는 「개인정보 보호법」이외에 「신용정보법」 등 분야별로 개인정보보호 관련 법령이 분산돼 있다. 법령이 분산되었다는 것 자체가 문제가 아니라 이들 법령 간에 규제의 높이가 모두 다르다는 것이 문제다. 이른바 법령 간의 체계 정합성이 이루어지지 못한 실정이다. 그러다 보니 규제의 정도가 낮은 법령도 규제의 정도가 높은 법령을 따라가는 현상으로 인해 규제의 정도가 갈수록 강해지고 있는 실정이다. 분산된 법령 을 통합하거나, 규제의 정도를 동일하게 조정하는 법제 개선이 필요하다.  

둘째, 현행 「개인정보 보호법」은 법 위반에 대한 제재를 지나치게 형사벌에 의존하고 있다. 이는 「개인정보 보호법」뿐만 아니라 우리나라 법의 근본적 문제점이기도 하다. 형법이 아닌 행정법령의 위반에 대한 제재는 가능한 행정제재(과태료 등)를 하는 것이 적절하다. 그런데 우리나라는 징역이나 벌금 등 형사벌로 행정법 위반행위를 처벌하는 것이 일상화되어 있다. 「개인정보 보호법」위반자에 대한 제재는 가능한 과태료 등 행정제재로 전환하고 형사벌로 처벌하는 규정을 과감히 삭제, 축소해야 한다.

셋째, 현행 「개인정보 보호법」에는 전세계에서 우리나라에만 있는 독특하고 강한 규제가 존재한다. 수집한 개인정보를 상당 기간 이용하지 않은 경우 이를 파기해야 하는 것(미이용 개인정보 파기의무)과 주민등록번호 등 고유식별변호 또는 민간정보 등을 다른 개인정보와 분리하여 보관해야 하는 것(분리보관의무) 등이다. 이러한 “미이용 개인정보 파기의무”와 “분리보관의무”는 글로벌 기준에 맞지 않는 우리나라만의 독특한 제도다. 글로벌 기준에 부합하도록 이들 규정을 삭제해야 한다.

김민호 / 성균관대학교 법학전문대학원 교수