Ⅰ. 들어가는 글 : 데이터 3법과 4차 산업혁명

많은 사람들의 기대와 열망에도 불구하고 “데이터 3법(개인정보보호법, 정보통신망법, 신용정보법)” 개정안의 연내 국회 통과는 어려울 것 같다. 개정안은 각각 지난 1년 간 격론을 거쳐 어렵사리 국회 소관 상임위원회 전체회의를 통과하였으나 법제사법위원회에 발목이 잡혀 있는 상태이다. 4차 산업혁명의 강력한 추동을 위해 개정안을 신속하게 처리되어야 한다는 정・재계의 주장과 개정안을 “개인정보 도둑법”이라고 비판하며 국회 통과를 저지하려는 일부 시민사회단체의 주장이 충돌하면서 해를 넘길 전망이다.

 

개인정보의 활용 필요성에 대해서는 이전부터 논의가 되어 왔으나 지지부진하다가 2018년 2월과 4월에 개최된 대통령 직속 4차산업혁명위원회의 ‘규제·제도 혁신 해커톤’에서 정부, 시민단체, 산업계, 전문가 등 사이에 개인정보의 활용성 확대에 대한 공감대가 형성되면서 데이터 3법 개정안으로 발전하게 되었다. 「개인정보 보호법」 개정안은 더블어민주당 인재근 의원이, 「정보통신망법」 개정안은 같은 당 노웅래 의원이, 「신용정보법」 개정안은 같은 당 김병욱 의원이 각각 2018년 11월 15일 대표 발의하였다.

개인정보의 활용 촉진을 목적으로 한 「개인정보 보호법」 개정안은 사실 인재근 의원 이외에도 여러 여야 의원들에 의해서 발의되었다. 2018년 3월에 바른미래당 소속의 오세정 의원이 “가명 정보”의 활용 등을 주된 내용으로 하는 「개인정보 보호법」 개정안을 맨 처음 발의했고, 2018년 11월 22일에는 자유 한국당 소속의 민경욱 의원이 「개인정보 보호법」 개정안을 발의했으며, 그 외에도 여러 여야 의원들이 개정안을 발의하였다.

이하에서는 2020년 1월 1일부터 시행될 미국 CCPA의 제정 동향을 간략히 살펴본 다음, 다소 이른 감이 없지 아니하나 데이터 3법 개정안의 국회 통과를 전제로 하여 데이터 3법 개정안의 주요 특징과 개정안 시행 후 남게 될 주요 법정책 과제에 대해서 살펴보는 것으로 한다.

 

Ⅱ. 미국 CCPA의 제정 배경과 주요 내용 및 특징

1. CCPA의 제정 배경

 

유럽연합이 2016년 5월 24일 디지털 싱글마켓 전략(Digital Single Market Strategy)의 일환으로 28개 회원국 시민 모두에게 공통적으로 적용될 일반개인정보보호규정(General Data Protection Regulations, GDPR)을 공표한 이후, 이에 영향을 받은 미국에서도 일반 개인정보보호법의 제정 논의가 활발하게 전개되었다. 이와 같은 환경에서 2018년 6월 캘리포니아주가 미국 역사상 처음으로 민간부문에 보편적으로 적용될 소비자 프라이버시보호법(California Consumer Privacy Act, CCPA)을 제정・공표하였다(2020. 1. 1. 시행).

 

미국은 원래 불문법주의 국가로 개인정보 보호 영역도 예외는 아니다. 때문에 미국은 개인정보보호를 위한 포괄적인 법률 없이 분야별로 최소한의 개별법을 제정해 대응해 왔다. 이렇게 해서 제정된 연방 개인정보보호 관련 법률은 금융현대화법, 의료정보법(HIPAA), 아동온라인프라이버시보호법(COPA) 등을 비롯해 20여개에 이른다.

그러나 이들 개별법만으로는 정보주체의 권리를 보호하는데 한계가 있기 때문에 미국 연방거래위원회

(FTC)는 1970년대부터 FTC법 제5조를 적극적으로 활용하여 소비자의 개인정보와 사생활을 보호해 왔다. FTC법 제5조는 사업자의 불공정(unfair)하거나 기만적인(deceptive) 행위를 금지하고 있는데, FTC는 2019년 7월 12일에도 개인정보 유출에 대한 책임을 물어 페이스북에게 약 6조원(50억 달러)에 이르는 과징금을 부과하였다.

 

연방의회가 포괄적인 개인정보보호법 제정을 주저하는 사이 미국 최대 주 중 하나인 캘리포니아주가 사물인터넷 및 빅데이터 시대를 맞아 주민들에게 자신의 개인정보에 대한 보다 폭넓고 강화된 통제권을 부여하기 위해 일반법을 제정한 것이다. CCPA는 유럽연합 GDPR과 마찬가지로 ① 개인정보처리의 투명성(Transparency) 강화, ② 정보주체의 개인정보자기 통제권(Control) 강화, ③ 사업자의 책임성(Accountability) 강화를 입법의 3대 목표로 하고 있었다.

 

CCPA 제정으로 급해진 곳은 연방의회와 다른 주의회들이다. CCPA 제정 이후 네바다주, 뉴욕주, 워싱턴 DC 등 여러 다른 주에서도 유사한 입법이 시도됨에 따라 주마다 다른 개인정보보호법이 제정되는 것에 큰 우려를 느낀 연방의회 의원들이 다수의 포괄적인 개인정보보호법안을 발의하고 있다.

 

2. CCPA의 주요 내용 및 특징

 

CCPA는 사물인터넷 환경에 대비하여 보호대상을 소비자뿐만 아니라 가정(a household)으로 까지 확대하고, 개인정보의 개념도 필명·별명, 계정이름, 기기ID, IP주소, 온라인 식별자(쿠키·beacon·pixel tags·모바일 광고ID·그밖에 이와 유사한 추적기술), 인터넷 활동정보(브라우징 내역, 검색 기록, 웹사이트·애플리케이션·광고 이용내역 등), 프로파일 목적의 추론정보 등까지 포함해 매우 광범위하게 정의 하고 있다. 또한 식별성의 정도에 따라 데이터를 개인정보, 가명정보, 비식별정보, 총계정보 등으로 구분하고 규정하고 있다.

 

CCPA는 캘리포니아에서 비즈니스를 수행하고 있는 한 역외의 사업자에게도 적용되고 해당 사업자와 공동 브랜드를 공유하는 모회사 및 자회사에게도 적용된다. 다만, 사업자의 상업행위가 캘리포니아 주 밖에서만 이루어지는 경우 소비자의 개인정보 수집·판매에 대해서는 동 법이 적용되지 않는다.

 

CCPA의 두드러진 특징 중 하나는 투명성 원칙의 강화이다. 소비자로부터 직접 개인정보를 수집할 때에는 수집 시점 또는 그 이전에 소비자가 합리적으로 접근할 수 있는 방식으로 수집할 개인정보의 범주, 이용목적, 삭제요구권 등을 알려야 하고, 소비자 이외로부터 개인정보를 수집할 때에는 수집한 개인정보의 범주, 수집출처의 범주, 사업상 또는 상업적 목적, 공유하는 제3자의 범주, 삭제요구권, 수집한 개인정보의 항목 등을 공개해야 한다. 무엇보다, 사업자가 수집한 개인정보를 판매하거나 공개하고자 할 때에는 개인정보가 제3자에게 팔릴 것이라는 사실, 판매거부권에 관한 설명 등을 소비자가 “합리적으로 접근할 수 있는 방식”으로 고지하고, “판매중단 지시(Do Not Sell My Personal

Information)” 링크를 인터넷 홈페이지를 통해 알기 쉽게 제공해야 한다.

또한, CCPA는 개인정보처리에 대한 소비자의 권리를 대폭 강화하고 있다. 정보공개 요구권, 개인정보 열람권(이전권), 삭제 요구권, 판매 거부권(opt-out), 차별취급을 받지 않을 권리 등을 보장하고 있으며, 16세 미만 아동 및 청소년 소비자의 개인정보 처리에 대해서는 옵트인(opt-in) 방식을 적용하고 있다. 그 중 가장 큰 특징은 차별취급을 받지 않을 권리라고 할 수 있다. 사업자는 소비자가 판매 거부권, 삭제 요구권 등의 권리를 행사했다는 이유로 차별적인 취급을 해서는 안 되며 모든 소비자에게 동등한 품질과 가격으로 재화 또는 서비스를 제공해야 한다. 우리나라에서는 서비스 제공 거부만 금지하고 있다.

 

Ⅲ. 데이터 3법 개정안의 주요 내용 및 특징

데이터 3법 개정안의 특징은 가명정보 및 익명정보의 활용 근거 명시, 제한적 범위 내에서 개인정보의 목적외 이용 허용(양립 가능성 원칙), 정보집합물의 결합 허용, 정보전송요구권(MyData) 신설, 법정 고지사항의 고지방법 유연화, 법집행 체계의 일원화, 벌칙규정의 정비 등을 통해서 개인정보의 활용성을 확대했다는데 있다.

 

• 개인정보보호법 개정안의 주요 내용 및 특징

 

가. 가명정보의 활용 근거 명시

개정안은 개인 식별 정도에 따라 데이터의 유형을 ① 식별정보 ② 식별 가능정보 ③ 가명정보 ④ 익명정보로 구분하고 있다. 개정안은 “가명정보”를 원상태로 복원하기 위한 추가 정보의 사용·결합없이는 특정 개인을 알아볼 수 없는 정보로 정의하고, 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 처리하는 경우에는 정보주체의 동의가 필요 없다고 규정하고 있다.

 

나. 정보집합물의 결합 허용

개정안은 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 필요한 경우 개인정보처리자간 정보집합물의 결합을 명시적으로 허용하고 있다. 다만, 정보집합물의 결합은 대통령령으로 정하는 기준에 따라 보안시설을 갖춘 전문기관에서 수행해야 하며, 결합된 정보집합물을 전문기관 밖으로 반출하려면 가명정보나 익명정보로 처리한 뒤 전문기관의 장의 승인을 받도록 하고 있다. 비식결정보간 데이터 결합을 허용하고 있다는 점에서 특징적이라 할 수 있다.

 

다. 목적외 이용·제공의 제한적 허용

개정안은 당초 수집 목적과 합리적으로 관련된 범위 내에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령이 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용하거나 제공할 수 있게 하고 있다. 이른바 유럽연합 GDPR 및 미국 CCPA가 도입하고 있는 양립가능성(compatibility) 원칙을 반영한 것이다.

 

다. 정보통신서비스제공자등에 대한 특례 신설

개정안은 정보통신서비스제공자등에 대한 특례규정을 두고 있다. 특례규정은 새로운 규제를 신설한 것은 아니고 현행 정보통신망법 중 개인정보보호 관련 규정의 일부를 이전한 것이다. 그러나 개인정보 제공 제한, 개인정보처리 위탁, 영업양도등에 따른 개인정보 이전통지, 동의받는 방법, 개인정보보호책임자 지정, 개인정조처리방침 공개, 기술적·관리적 보호조치, 손해배상, 벌칙규정 등 「개인정보 보호법」과 중복되면서 충돌 소비자가 있다고 지적돼 온 일부 조항은 특례에서 배제하고 있다.

 

라. 개인정보보호 관련법의 집행체계 일원화

개정안은 개인정보보호위원회를 국무총리 소속의 중앙행정기관으로 격상하여 현재 행정안전부, 방송통신위원회, 개인정보보호위원회에 분산되어 있는 개인정보 보호 업무를 일원화하고 있다. 또한 개인정보보호위원회의 사무 및 심의·의결의 독립성을 보장하기 위하여 「정보조직법」 제18조에서 규정하고 있는 중앙행정기관의 장에 대한 국무총리의 행정감독권을 적용하지 않도록 규정하고 있다.

 

2. 정보통신망법 개정안의 주요 내용 및 특징

 

가. 개인정보 관련 규정의 이관

정보통신망법 제4장, 제8장, 제9장, 제10장 등에 규정된 개인정보보호 관련 조항을 삭제하고 이를 개인정보보호법으로 이관하고 있다. 이에 따라 개정안이 통과되면 정보통신망을 통한 정보통신서비스 제공자등의 이용자 개인정보 처리에 대한 관리·감독 권한도 방송통신위원회에서 개인정보보호위원회로 이전하게 된다.

 

나. 사생활 보호규정은 그대로

「정보통신망법」 중 개인정보 보호와 직접 관련이 없는 사생활 보호 조항은 여전히 정보통신망법에 그대로 남겨져 있다. 즉 앱 접근권한 제한, 본인확인기관 지정제도, 개인정보보호 관리체계인증 등에 관한 규정은 「개인정보 보호법」으로 이전하지 않고 「정보통신망법」에 그대로 남겨 두었으며, 광고성 정보(스팸) 전송에 관한 규정도 「정보통신망법」에 그대로 남겨져 있다.

 

3. 신용정보법 개정안의 주요 내용 및 특징

 

가. 가명조치 및 익명조치의 정의 신설

개정안은 추가정보를 사용하지 아니하고는 특정 개인을 알아볼 수 없도록 개인신용정보를 처리하는 것을 가명조치로 정의하고, 가명조치한 개인신용정보는 신용정보주체의 동의 없이도 통계작성(시장조사 등 상업적 목적의 통계작성을 포함), 연구(산업적 연구를 포함), 공익적 기록보존 등을 위해 이용. 및 제공 할 수 있도록 하고 있다. 또한 신용정보제공ㆍ이용자는 상거래관계가 종료된 날부터 최장 5년 이내에 해당 개인신용정보를 관리대상에서 삭제하여야 하나, 가명정보를 이용하는 경우에는 가명정보의 이용

목적 및 가명조치의 기술적 특성, 정보의 속성 등을 고려하여 대통령령으로 정하는 기간 동안 보존할 수 있다. 또한 더 이상 특정 개인을 알아볼 수 없도록 개인신용정보를 처리하는 것을 “익명조치”로 정의하고, 금융위원회가 위탁한 데이터전문기관의 적정성 심사를 통해 적정하게 익명조치가 이루어졌다고 인정한 경우 더 이상 해당 개인인 신용정보주체를 알아볼 수 없는 정보로 추정한다.

 

나. 이종 산업간 정보집합물 결합 허용

개정안은 이종 산업간 개인정보결합을 허용하고 있다. 다만, 신용정보회사 등이 자신이 보유한 정보집합물을 제3자가 보유하는 다른 정보집합물과 결합할 경우에는 데이터전문기관을 통해서 결합해야 한다. 다만, 데이터전문기관이 결합된 정보집합물을 해당 신용정보회사등 또는 제3자에게 전달하는 경우에는 가명조치 또는 익명조치가 된 상태로 전달해야 한다. 이에 따라 정보집합물의 결합을 위한 개인신용정보의 이용 또는 제공의 경우에는 정보주체의 동의가 필요 없고, 가명화 또는 익명화도 요구되지 않으며, 결합의 목적에도 제한이 없다.

 

다. 동의없는 개인정보 수집, 이용 및 제공

신용정보회사등이 개인신용정보를 수집하는 때에는 원칙적으로 해당 신용정보주체의 동의를 받아야 하나, 공개정보 즉 법령에 따라 공시(公示)되거나 공개된 정보, 출판물이나 방송매체 또는 「공공기관의 정보공개에 관한 법률」 제2조제3호에 따른 공공기관의 인터넷 홈페이지 등의 매체를 통하여 공시 또는 공개된 정보, 신용정보주체가 스스로 사회관계망서비스 등에 직접 또는 제3자를 통하여 공개한 정보, 그 밖에 이와 유사한 정보로서 대통령령으로 정하는 정보는 개인신용정보주체의 동의를 받지 않고 수집이 가능하도록 하고 있다.

또한 신용정보회사등이 개인신용정보를 이용하거나 제공하려는 경우에는 원칙적으로 신용정보주체로부터 개인신용정보를 이용・제공에 대하여 동의를 받아야 하지만, 당초 수집한 목적과 상충되지 아니하는 범위에서 신용정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 개인신용정보를 이용.제공하는 경우, 개인이 직접 제공한 개인신용정보를 제공받은 목적으로 이용하는 경우에는 개인신용정보주체의 동의를 받을 필요가 없도록 하고 있다.

 

라. 본인신용정보관리업 및 정보전송요구권의 도입

개정안은 개인신용정보주체의 신용관리를 지원하기 위하여 해당 신용정보주체의 신용정보를 통합하여 그 신용정보주체에게 제공하는 행위를 주된 영업으로 하는 “본인신용정보관리업” 이른바 마이데이터사업을 도입하고 있다. 마이데이터사업자는 개인신용정보주체를 대신하여 개인정보 자기결정권을 대리 행사할 수 있고 금융회사 등으로부터 전송받은 개인신용정보를 이용하여 신용정보주체에게 데이터 분석 및 컨설팅, 개인신용정보를 관리ㆍ사용할 수 있는 계좌 제공, 투자일임․투자자문 등의 서비스를 제공할 수 있게

된다. 또한, 마이데이터사업이 가능하도록 개인신용정보주체는 자신에 관한 개인신용정보를 보유하고 있는 신용정보제공ㆍ이용자 및 정부·공공기관에 대하여 자신에 관한 개인신용정보를 자신이나 본인신용정보관리회사, 다른 신용정보제공ㆍ이용자, 개인신용평가회사, 그 밖에 대통령령으로 정하는 자에게 전송하여 줄 것을 요구할 수 있는 개인신용정보 전송요구권을 인정받게 된다.

 

마. 법정 고지사항의 고지방법 유연화

신용정보회사등이 개인신용정보 활용에 대한 동의를 받을 때에는 「개인정보 보호법」 제15조제2항, 제17조제2항 및 제18조제3항에 따라 신용정보주체에게 해당 각 조항에서 규정한 “고지사항”을 알리고 동의를 받아야 하지만, 대통령령으로 정하는 신용정보제공ㆍ이용자는 고지사항 중 그 일부를 생략하거나 중요한 사항만을 발췌하여 그 신용정보주체에게 알리고 정보활용 동의를 받을 수 있도록 하고 있다. 다만, 개인신용정보주체가 고지사항 전부를 알려줄 것을 요청한 경우에는 그러하지 아니한다.

 

바. 신용정보주체의 권리 강화

개정안은 신용정보 활동 동의 등급제, 신용정보 관리체계의 강화, 자동화평가에 대한 권리 신설, 개인신용정보 전송요구권 등을 통해 신용정보주체의 권리를 강화하기 위한 일부 조치도 도입하고 있다. 개인정보 활용과 균형을 맞추기 위한 것으로 보인다.

사. 개인정보보호위원회의 집행 권한

금융회사 등을 제외한 신용정보제공․이용자인 “상거래 기업 및 법인”에 대해서는 금융위원회를 대신하여 개인정보 보호위원회가 자료제출요구ㆍ검사권ㆍ출입권ㆍ질문권 및 시정명령, 과징금 및 과태료 부과 등의 권한을 해상할 수 있게 함으로써 상거래기업 및 법인의 개인정보보호에 대한 관리감독체계를 개인정보보호위원회로 일원화하고 있다.

 

Ⅳ. 개정 후, 데이터 3법의 남은 과제

데이터 3법 개정안이 국회 본회의를 통과하여 시행되더라도 여전히 해결되지 않고 남아 있는 문제점이 적지 않다. 그 중 몇 가지는 시급히 해결해야 할 과제가 될 수 있다.

 

1. 산업별・업종별 차별 적용 문제

 

가. 정보통신서비스 제공자등에 대한 차별 적용

 

「개인정보 보호법」 개정안이 정보통신서비스 제공자등에 대한 특례 규정을 남겨 둠으로써 정보통신서비스 제공자등은 법 개정 이후에도 계속해서 차별적인 취급을 받아야 한다. 정보통신서비스 제공자등은 여전히 일반 개인정보처리자들은 부담하지 않은 개인정보 수집·이용에 대한 동의 원칙(동의 예외사유의

차별 적용), 이용내역 통지의무, 개인정보 유효기간제(휴면계정 삭제·분리 보관 의무), 배상책임보험 가입의무, 국내대리인 지정의무, 국외 이전 제한 및 보호조치 의무, 유출사고 신고·통지 지연사유 소명 의무 등의 규제를 받아야 한다. 국내대리인 지정제도와 같이 나름대로 차별화의 합리적인 이유가 있는 것도 있지만 합리적인 근거를 찾기 어려운 것이 많아 관련 업계 또는 업종의 저항이 예상된다.

 

또한, 개정법 하에서도 정보통신서비스 제공자등은 여전히 동일한 법위반 행위에 대하여 차별적인 벌칙을 적용받아야 하는 경우가 많다. 예컨대, 개정안에 따르면 일반 개인정보처리자가 제15조 제1항을 위반하여 개인정보를 수집하거나 제22조 제6항을 위반하여 법정대리인의 동의를 받지 않고 아동의 개인정보를 수집한 경우 5천만원 이하의 과태료 처분을 받게 되지만, 정보통신서비스 제공자등이 동일한 법위반을 하게 되면 5년 이하의 징역 또는 5천만원 이하의 벌금에 처하게 된다. 또한, 개인정보처리자가 제21조제1항을 위반하여 개인정보를 파기하지 아니한 경우에는 3천만원 이하의 과태료 처분을 받게 되지만, 정보통신서비스 제공자등이 동일한 법위반을 하게 되면 2년 이하의 징역 또는 2천만원 이하의 벌금에 처하게 된다. 과태료 부과기준에 있어서도 차이가 있다. 개인정보처리자가 제22조 제1항부터 제4항까지의 규정을 위반하여 구분해서 동의를 받지 아니한 경우에는 1천만원 이하의 과태료 처분을 받지만, 정보통신서비스 제공자등이 동일한 법위반을 한 경우에는 2천만원 이하의 과태료 처분을 받게 된다. 또한, 개인정보처리자는 개인정보 유출사고 신고 및 통지 의무 지연에 대한 소명 의무가 없지만, 정보통신서비스 제공자등은 소명의무 위반시 3천만원 이하의 과태료 처분을 받게 된다.

 

나. 의료·사회보장 기관·단체 등에 대한 차별 적용

 

「개인정보 보호법」 개정안은 일반 개인정보에 대해서는 가명처리 등의 예외를 인정하면서 민감정보에 대해서는 가명처리 등의 예외를 명시적으로 인정하고 있지 아니함으로써 의료계, 사회보장기관 등으로부터 차별화 논란이 예상된다. 개정안은 개인정보처리자가 개인정보를 가명 처리한 경우 정보주체의 동의 없이 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 처리할 수 있도록 허용하고 있고(제28조의2), 또한 당초 수집한 목적과 합리적으로 관련된 범위 내에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 정보주체의 동의 없이 개인정보를 이용하거나 제공할 수 있게 하고 있다(제15조 제3항 및 제17조 제4항).

 

그러나 「개인정보 보호법」 제23조에 따른 민감정보(사상ㆍ신념, 노동조합ㆍ정당의 가입ㆍ탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 대통령령으로 정하는 정보)가 가명처리의 대상이 될 수 있는지 여부 및 가명처리된 민감정보를 정보주체의 동의 없이 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 처리할 수 있는지 여부가 불분명하다. 또한, 당초 수집한 목적과 합리적으로 관련된 범위 내라면 정보주체의 동의 없이 개인정보를 이용하거나 제공할 수 있는지 여부도 불분명하다.

「개인정보 보호법」 제23조는 민감정보의 처리를 원칙적으로 금지하면서, 예외적으로 ① 다른 개인정보의 처리에 대한 동의와 별도로 정보주체의 동의를 받은 경우와 ② 법령에서 민감정보의 처리를 요구하거나 허용하는 경우에만 민감정보를 처리할 수 있도록 제한하고 있어, 민감정보는 가명처리의 대상에 해당하지 않고 당초 수집한 목적과 합리적으로 관련된 범위 내라도 정보주체의 동의 없이는 민감정보를 이용하거나 제공할 수 없다고 해석될 여지가 크다. 이 경우 의료정보, 장애정보 등 건강정보(민감정보)의 처리가 불가피한 의료계, 제약업계, 사회보장기관 등으로부터 차별화 논란이 예상된다.

 

2. 「개인정보 보호법」과 신용정보법의 충돌 문제

 

「신용정보법」의 적용 대상은 신용정보회사등(신용정보회사, 본인신용정보관리회사, 채권추심회사, 신용정보집중기관, 신용정보·이용자)이지만, 그 중 핵심 적용대상은 신용정보제공·이용자이다. 「신용정보보법」 개정안은 “신용정보”를 금융거래 등 상거래에서 거래 상대방의 신용을 판단할 때 필요한 정보라고 넓게 정의하고 있고(제2조제1호), “신용정보제공ㆍ이용자”를 고객과의 금융거래 등 상거래를 위하여 본인의 영업과 관련하여 얻거나 만들어 낸 신용정보를 타인에게 제공하거나 타인으로부터 신용정보를 제공받아 본인의 영업에 이용하는 자와 그 밖에 이에 준하는 자로서 대통령령으로 정하는 자를 말한다고 규정하고 있다(제2조제7호).

 

개정안은 “신용정보”의 유형을 시행령에서 법률로 상향 입법한 것 이외에 “신용정보제공ㆍ이용자”의 정의나 범위에 대해서는 특별히 확대하거나 그밖의 수정을 가한 것이 없으므로 원칙적으로 현행 「신용정보법」의 적용 범위와 달라질 것이 없다. 그럼에도 불구하고 개정안 제45조 제1항과 제45조의3 제1항은 금융위원회의 감독을 받지 아니하는 신용정보제공·이용자의 하나로 “상거래기업 및 법인”을 상정하고 있고 이종 산업간 정보집합물의 결합을 허용하고 있다. 이는 곧 「신용정보법」 제2조제7호에서 규정하고 있는 신용정보제공ㆍ이용자의 개념을 보다 적극적으로 확대해서 해석하겠다는 의미로 이해될 수 있다.

 

이 경우 ‘상거래를 위하여 본인의 영업과 관련하여 얻거나 만들어 낸 신용정보를 타인에게 제공하거나 타인으로부터 신용정보를 제공받아 본인의 영업에 이용하는 자’는 모두 「신용정보법」의 적용대상이 되며, 개정안에 의해서 새로 추가된 규정들까지 금융회사 등이 아닌 일반 “상거래기업 및 법인”들에게까지 확대 적용됨으로써 그동안에도 해석상 논란이 되어 온 「개인정보 보호법」과 의 중복 적용 문제가 심화될 것으로 예상된다. 이는 데이터 3법 개정의 취지와 달리 「개인정보 보호법」의 적용 범위를 대부분 침식하게 되어 법 해석 및 적용상 적지 않은 충돌 문제가 발생할 것으로 예상된다.

 

3. 정보통신망법과 위치정보법의 정비 문제

 

「정보통신망법」 중 개인정보 보호와 관련된 조항이 모두 「개인정보 보호법」으로 이전한다고 하더라도 개인정보 보호와 직접 관련이 없는 앱 접근권한 제한, 본인확인기관 지정제도, 개인정보보호 관리체계

인증, 광고성 정보(스팸) 전송 제한 등에 관한 규정은 「정보통신망법」에 그대로 남게 된다. 또한 「위치정보의 보호 및 이용 등에 관한 법률」도 여전히 방송통신위원회의 소관으로 남게 된다. 그러나 앱 접근권한 제한 등이 모두 개인정보의 처리를 매개로 하고 있어 「개인정보 보호법」과 분리하기 어렵고, 위치정보는 사물인터넷(IoT) 환경에서 가장 주도적인 역할을 담당하고 있는 바 위치정보를 제외한 「개인정보 보호법」은 상상하기 어렵다. 이에 따라 사업과 관련된 부분은 개별법에 남겨 두더라도 개인정보 또는 위치정보의 보호에 대해서는 「개인정보 보호법」 체계 내에서 통일적으로 관리・감독되도록 관련 법률을 정비해야 한다는 주장이 제기될 것으로 보인다.

 

4. 정보주체의 권리 보호 및 실질화 문제

 

데이터 3법 개정안은 개인정보의 활용에 초점이 맞추어져 있어 정보주체의 권리 보호에 대해서는 선진국 수준에 미치지 못하고 있다. 우리나라 개인정보보호법은 어느 선진국 못지 않게 정보주체에게 강력한 권리를 부여하고 있고 다른 나라들과 달리 법 위반행위에 대해서 다수의 형사처벌 규정까지 두고 있지만, 정보주체가 실제 권리를 행사하는데 어려움이 많고 법위반에 대해서도 제대로 처벌이 이루어지고 있지 않아 종이호랑이에 불과하다는 비판을 받고 있다. 개인정보의 활용이 쉬워진 만큼 정보주체의 권리 행사도 쉽게 행사할 수 있도록 개선하여야 하고, 법위반 행위에 대한 벌칙도 사업자들의 법위반 행위를 실질적으로 억제할 수 있는 방향으로 현실화해야 할 과제가 남아 있다.

 

Ⅴ. 맺음말

데이터 3법 개정안이 데이터 경제 또는 4차 산업혁명과 관련된 모든 문제를 해결해 주는 것은 아니다. 데이터 3법 개정안은 데이터 경제의 서막을 여는 시작에 불과하다. 제대로 된 데이터 활용 환경을 만들고 데이터 경제의 성공을 이루기 위해서는 가명·익명 처리, 정보집합물 결합, 마이 데이터, 양립성 원칙 등에 대한 합리적이고 글로벌 스탠다드에 맞는 기준 설정이 필요하며, 산업간 또는 업종간 불합리한 차별화 정책도 재고되어야 한다. 또한, 무엇보다 시급한 것은 정보주체의 권리를 실질화 할 수 있는 조치가 뒤 따라야 할 것이다. 이를 위해서는 유럽연합 GDPR은 물론 미국의 CCPA가 많은 참고가 될 것이다.

 

GDPR은 민감정보도 사회보장 관련법에 따라 민감정보의 처리가 필요한 경우, 사회복지 시스템을 위하여 민감정보의 처리가 필요한 경우, 공익을 위한 기록보존 목적/과학적·역사적 연구 목적/통계적 목적으로 민감정보의 처리가 필요한 경우에는 정보주체의 동의 없이 처리할 수 있음을 명시하고 있다. CCPA는 비지니스 목적(business purpose)과 커머셜 목적(commercial purpose)을 구분해 개인정보의 보호 수준을 달리하고 있으며, 고유식별정보, 의료정보, 건강정보 등이 포함된 민감정보의 무단 접근・침입・도난・공개에 대해서는 법정손해배상을 인정하지만, 일반 개인정보의 유출 등에 대해서는 법정손해배상청구를 허용하지 않음으로써 개인정보보호에 유연하게 대응하고 있다. 그 대신 개인정보의 범위는 개인 추적이 가능한 모든 정보로 확대하고 정보주체가 언제 어디서나 권리를 쉽게 행사할 수 있도록 정보주체의 권리를 대폭 강화하고 있다.