기사 공유하기

2018년 11월 국회가 데이터산업활성화를 위해 발의한 ‘데이터 3법’ 개정안 중 마지막인 [정보통신망 이용촉진 및 정보보호 등에 관한 법률] 개정안이 2019년 12월 4일 소관 상임위인 과학기술정보방송통신위원회를 통과함으로써 20대 국회에서 통과가 가능할 것으로 기대되었으나, 국회 사정으로 20대 국회 마지막 정기국회에서 법제사법위원회 통과와 본회의 상정이 무산되었다.

현재 임시국회가 열리고 있지만, 데이터 3법의 연내 통과가 확실하지 않은 상황이고, 20대 국회의 임기가 2020년 5월 29일 종료됨에 따라 자동 폐기될 가능성도 배제할 수 없게 되었다. 하지만, ‘데이터 3법’에 대해서는 여야가 합의를 한 상태이고 21대 국회에서라도 통과될 가능성이 높기 때문에 ‘데이터 3법’ 개정안의 주요 내용과 클라우드 시장에 미칠 영향에 대해서 검토해 보기로 한다.

데이터 보안 자료 인공지능 컴퓨터

‘데이터 3법’

‘데이터 3법’이란 아래 세 개의 법을 총칭하는 것으로 각각의 소관 상임위는 다음과 같다.

  • 개인정보보호법 → 행정안전위원회
  • 정보통신망 이용촉진 및 정보보호 등에 관한 법률(‘정보통신망법’) → 과학기술정보방송통신위원회
  • 신용정보의 이용 및 보호에 관한 법률 → 행정안전위원회

이와 같이 소관 상임위가 다른 3개 법안을 ‘데이터 3법’이라 통칭하며 함께 개정이 추진되는 이유는 [개인정보보호법 일부 개정법률안(대안)] (2019. 11.)에 아래와 같이 잘 설명되어 있다.[footnote] 2019. 11. 개인정보보호법 일부 개정법률안(대안)이 마련되면서 기존의 관련 의안은 대안반영폐기되었고, 그 의안목록(19건)은 아래와 같다.

  • [2005062] 개인정보 보호법 일부개정법률안(이학영의원 등 14인)
  • [2004238] 개인정보 보호법 일부개정법률안(김병기의원 등 14인)
  • [2006865] 개인정보 보호법 일부개정법률안(소병훈의원 등 10인)
  • [2007083] 개인정보 보호법 일부개정법률안(송희경의원 등 11인)
  • [2010738] 개인정보 보호법 일부개정법률안(변재일의원 등 17인)
  • [2012423] 개인정보 보호법 일부개정법률안(김정우의원 등 10인)
  • [2012289] 개인정보 보호법 일부개정법률안(오세정의원 등 11인)
  • [2012312] 개인정보 보호법 일부개정법률안(진선미의원 등 10인)
  • [2014181] 개인정보 보호법 일부개정법률안(김규환의원 등 10인)
  • [2015647] 개인정보 보호법 일부개정법률안(추경호의원 등 14인)
  • [2016621] 개인정보 보호법 일부개정법률안(인재근의원 등 14인)
  • [2016668] 개인정보 보호법 일부개정법률안(이재정의원 등 10인)
  • [2016720] 개인정보 보호법 일부개정법률안(민경욱의원 등 11인)
  • [2018562] 개인정보 보호법 일부개정법률안(윤상직의원 등 10인)
  • [2018721] 개인정보 보호법 일부개정법률안(정병국의원 등 10인)
  • [2017562] 개인정보 보호법 일부개정법률안(이진복의원 등 10인)
  • [2017934] 개인정보 보호법 일부개정법률안(박인숙의원 등 10인)
  • [2019312] 개인정보 보호법 일부개정법률안(이상민의원 등 10인)
  • [2022398] 개인정보 보호법 일부개정법률안(김석기의원 등 10인)

[/footnote]

4차 산업혁명 시대를 맞아 핵심 자원인 데이터의 이용 활성화를 통한 신사업 육성이 범국가적 과제로 대두되고 있으며, 특히, 신사업 육성을 위해서는 인공지능(AI), 클라우드, 사물인터넷(IoT) 등 신기술을 활용한 데이터 이용이 필요한 바, 안전한 데이터 이용을 위한 사회적 규범 정립이 시급한 상황임.

그러나 현행법은 개인정보의 개념 모호성 등으로 수범자의 혼란이 발생하는 등 일정한 한계가 노출되어 왔고, 개인정보 보호 감독기능은 행정안전부·방송통신위원회·개인정보 보호위원회 등으로, 개인정보 보호 관련 법령은 현행법과 [정보통신망 이용촉진 및 정보보호 등에 관한 법률] 등으로 각각 분산되어 있어 감독기구와 개인정보 보호 법령의 체계적 정비 필요성이 각계로부터 제기되어 왔음.

… 중략 …

개인정보의 오·남용 및 유출 등을 감독할 감독기구는 개인정보 보호위원회로, 관련 법률의 유사·중복 규정은 [개인정보 보호법]으로 일원화하여, 개인정보의 보호를 강화하면서도 관련 산업의 경쟁력 발전을 조화롭게 모색할 수 있도록 현행법을 보완하려는 것임.

-[개인정보보호법 일부 개정법률안(대안)] (2019. 11.) 중 ‘대안의 제안이유’ 중에서

즉, [정보통신망 이용촉진 및 정보보호 등에 관한 법률]과 [신용정보의 이용 및 보호에 관한 법률]에서 규정한 개인정보에 관한 사항과 이를 감독할 감독기구에 관한 사항을 삭제하고 [개인정보보호법]으로 이관하는 내용을 담고 있으므로 이 3개 법률의 개정이 함께 이루어져야 하는 것이다.

우리나라에서 개인정보를 관장하는 국가기관은 행안부, 금융위, 방통위다.
우리나라에서 개인정보를 관장하는 국가기관은 행안부, 금융위, 방통위다.

 

개인정보, 가명정보, 익명정보

현 개정안의 주요 내용 중 하나는 개인정보와 관련된 개념 체계를 개인정보·가명정보·익명정보로 분류하고[footnote]가명정보는 식별자를 다른 표현으로 바꾸거나 가린 것을 의미하고, 익명정보는 개인을 특정할 수 있는 식별자를 완전히 삭제한 것을 의미함.(필자) [/footnote], 가명정보를 통계작성, 과학적 연구, 공익적 기록보존의 목적으로 처리할 수 있도록 한 것이다.

[개인정보보호법]에서는 개인정보를 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통해서 개인을 알아 볼 수 있는 정보와 해당 정보만으로는 특정 개인을 알아볼 수 없더라고 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보로 규정하고 있다. 여기에 “원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보”가명정보 개념을 추가하였다.

특히, 신설된 [개인정보보호법 일부 개정안] 제28조의 2 ~ 제28조의 7 (가명정보의 처리에 관한 특례)를 신설하여 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있도록 하고 있다. 익명정보와 달리 가명정보는 서로 다른 가명정보의 결합으로 특정 개인을 알아볼 수 있는 개인정보가 복원될 가능성이 있으므로, 가명정보의 통합은 대통령령으로 정하는 요건에 따라 지정된 전문기관에서만 수행할 수 있도록 하고 있다. 이를 위반하고 특정 개인을 알아보기 위한 목적으로 정보를 처리한 경우에는 전체 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있는 조항도 신설되었다.(관련 글).[footnote]현재 개인정보보호법 개정안의 쟁점은 가명정보의 개념과 범위에 관한 해석 차이인 점을 유의할 필요가 있다. (편집자) [/footnote]

행정 편의를 위해 정보 주체의 동의를 생략하겠다고요? 이것이 임시허가를 필요로 할 만큼 혁신적인 서비스인가요? 
개인정보보호법 개정안의 핵심은 ‘가명정보’ 처리에 관한 특례를 신설해 정보주체의 동의 없이 가명정보를 처리할 수 있도록 한 것이다. 이것은 현 개정안의 최대 쟁점 중 하나다.

[신용정보의 이용 및 보호에 관한 법률 일부 개정안]에서는 더 이상 특정 개인을 알아볼 수 없도록 개인신용정보를 처리하는 익명조치에 대해서는 금융위원회가 지정하는 데이터전문기관의 적정성 평가를 거친 경우에는 더 이상 특정 개인을 알아볼 수 없도록 처리된 정보로 취급하여 (제2조 제17호, 제26조의 4, 제40조의 2항부터 제5항까지 신설) 익명정보의 빅데이터 활용에 따른 법적 불확실성을 해소하고자 하였다.

신용조회업무의 세분화

[신용정보의 이용 및 보호에 관한 법률 일부 개정안]에 포함된 또 하나의 주요한 내용은 본인신용정보관리업에 관한 규정을 신설하고, 현행법에 정의되어 있는 신용조회업무를 개인신용평가업, 개인사업자신용평가업, 기업신용조회업으로 구분하고 그 중에서 기업신용조회업를 다시 기업정보조회업무, 기업신용등급제공업무, 기술신용평가업무로 세분화한 것이다.

또한, 신용조회업의 허가를 받기 위해서는 50억 원 이상의 자본금 또는 기본재산을 갖추어야 하는 조건은 대부분 완화했다.

  • 개인신용평가업과 개인사업자신용평가업: 50억 원 조건 유지.
  • 전기통신사업법에 따른 전기통신사업자, 한국전력공사법에 따른 한국전력공사, 한국수자원공사업에 따른 한국수자원공사 등에서 수집하거나 상품 또는 서비스 제공의 대가로 생성한 거래내역에 관한 개인신용정보를 처리하는 개인신용평가사업을 처리하고자 하는 경우: 20억 원으로 하향 조정.
  • 이외의 정보를 처리하는 개인신용평가업: 5억 원. 
  • 신설 세분화된 기업정보조회업무: 5억 원.
  • 기업신용등급제공업무와 기술신용평가업무: 20억 원으로 하향 조정.

등급 분류

‘데이터 3법’ 개정이 클라우드 산업에 미칠 영향

아직 입법 단계에 있어 법제사업위원회 심의와 본회의 의결 과정에서 일부 변경될 가능성이 남아 있고, 20대 국회 임기 내에 본회의 의결을 하지 못하면 자동폐기 후 21대 국회에서 다시 입법과정을 거치면서 어떠한 변화가 있을지는 확실하지 않지만, 소관 상임위를 통과한 ‘데이터 3법’ 개정안의 내용을 중심으로 클라우드 산업에 미칠 영향을 몇 가지로 분석해 본다.

1. 잠재적 고객 증가 효과 기대

‘데이터 3법’ 개정이 완료되면, 데이터 경제(Data Economy)로의 전환이 가속화 될 것이다. 그동안 개인정보보호의 중요성이 중시되면서, 빅데이터를 이용한 정보 분석에 많은 제약이 있었던 것은 사실이다. 익명 처리된 정보는 상업적으로 사용이 가능했지만, 익명화 과정에서 손실된 정보가 많아서 한계가 있었고, 익명정보의 경우에도 상업적 이용을 전제로 하는 제3자 제공에 대한 법적 근거가 명확하지 않아서 어려움이 있었다.

하지만 이번 개정안에는 데이터전문기관의 익명조치의 적정성 평가를 완료한 경우 더 이상 특정 개인을 알아볼 수 없도록 처리된 정보, 즉 개인정보가 아닌 것으로 추정하여 개인정보보호 규정과 관련된 법적 의무를 경감하였다.

또한, 가명정보의 개념을 도입하고, 가명정보의 합법적인 사용 범위를 통계작성, 연구, 공익적 기록보존 등으로 명시함으로서 익명정보를 이용하는 경우에 비하여 더 자세한 데이터 분석이 가능하게 된다. 가명정보에 대해서는 데이터전문 기관을 통해서 이종의 가명정보를 결합할 수 있도록 한 것도 데이터경제로의 전환을 가속화 할 것이다.

개인정보는 점점 더 그저 산업의 '도구'으로, 좀 더 솔직하게 말하면 돈벌이 수단으로 전락하고 있다. 그리고 그걸 '4차 산업혁명'이니 '데이터산업'이니 하면서 꾸민다.
데이터 3법이 통과되면 개인정보보호 규정과 관련한 법적 의무는 가벼워지고, 개인정보를 바탕으로 한 수익화의 가능성은 커질 것으로 전망된다.

빅데이터를 저장하고, 빠르게 분석하기 위해서는 클라우드 서비스를 사용하는 것이 효과적이라는 것은 주지의 사실이고, 이미 클라우드 사업자 대부분이 빅데이터 분석을 위한 서비스를 제공하고 있다. 이와 같은 추세에 비추어 볼 때 데이터 경제로의 전환은 분명 클라우드 서비스 사업자에는 새로운 기회를 제공할 것이다.

이와는 별도로, [신용정보의 이용 및 보호에 관한 법률] 개정안에서 신용정보업의 분야를 세분화하고, 본인신용정보관리업을 신설하면서, 관련 허가를 받기 위한 자본금과 기초자산의 조건을 낮춤으로써 신생 업체들이 진출할 수 있는 기회를 확대하고 있다. 기존 신용정보업 허가를 받은 사업자보다 적은 자본금과 기초자산으로 설립되는 신생사업자들은 자체적으로 서비스 제공을 위한 인프라를 갖추기 보다는 이미 보편화된 클라우드 서비스를 활용할 가능성이 높다.

2. 국내 클라우드 서비스 사업자의 득실

글로벌 클라우드서비스 사업자에 비해 후발주자인 국내 클라우드서비스 사업자들은 클라우드 보안 인증제나 금융 분야 클라우드 도입 가이드라인에 따른 개인정보 취급에 대한 보안 인증을 바탕으로 공공기관과 금융기관의 클라우드 시장에 대해서는 상대적 강점을 확보하고 있었다는 점은 부인할 수 없다. 이번에 ‘데이터 3법’ 개정이 완료되면 이 부분에 대해서는 일부 변화가 예상된다.

먼저, 신설되는 데이터전문기관은, 특히 공공기관과 금융기관에서 수집·생성된 개인정보를 처리하기 위해서는, 해당 보안인증을 획득한 국내 클라우드서비스 사업자를 사용해야 할 가능성이 높아 국내 클라우드 서비스 사업자들에게는 호재로 작용할 것이다.

다만, 익명조치가 검증된 데이터에 대해서는 더는 개인 신용정보 주체를 알아볼 수 없는 정보로 추정함에 따라 해당 보안 인증에 따르는 장점을 상실할 것이다. 가명조치가 완료된 데이터에 대해서는 명확한 규정을 찾지 못하였으나, 역시 해당 보안 인증을 요구하지 않을 가능성이 높아서 글로벌 클라우드 서비스 사업자와의 경쟁이 불가피할 것으로 보인다.

2 way 둘 경쟁 두 가지 시합

[divide style=”2″]

[box type=”note”]

본 글은 한국정보화진흥원의 지원을 받아 작성되었으며, 클라우드스토어 씨앗 이슈리포트에 동시 게재합니다.

[/box]

[divide style=”2″]

[box type=”note”]

참고하면 좋은 글:

아래 글들은 ‘데이터 3법’과 이와 관련한 정부의 데이터 산업 정책을 비판적으로 고찰한 글입니다. 이 글과 함께 읽으면 데이터 3법을 둘러싼 여러 가지 입장과 견해를 입체적으로 고려할 수 있을 것으로 판단해 올립니다. (편집자)

[/box]

관련 글