대한상의 "개인정보보호制, 사후평가·자율규제로 전환 필요"

(자료제공=대한상의)

사전동의 절차를 요구하는 현행 개인정보보호제도가 사용자의 불편과 책임 부담만 초래한다는 주장이 제기됐다. 현행 사전절차·처벌중심 방식인 개인정보보호제도를 사후평가·자율규제로 전환해야 한다는 지적이다.

대한상공회의소 SGI(지속가능이니셔티브)는 국내 개인정보보호 제도의 주요 문제점과 정책제언을 담은 ‘개인정보보호제도 개선방안 연구보고서’를 22일 발표했다.

SGI는 보고서를 통해 국내 개인정보보호 제도의 3가지 문제점으로 △불명확한 개인정보 범위 △형식적 보호절차 △과다·중복규제를 지적했다.

개인정보는 모호한 현행법의 정의에 따라 정보의 규제 범위 또한 넓어진 상태다. 개인정보는 현행법에서 '다른 정보와 쉽게 결합해 알아볼 수 있는 정보'로 정의된다. ‘쉽게 결합’한다는 용어의 의미가 모호하고, 비식별정보에 대한 정의도 부재해 개인정보의 규제 범위가 과도하게 넓어졌다.

개인정보 수집시 형식적인 사전동의(opt-in) 시스템 역시 문제가 되고 있다. 현행 제도는 개인정보 수집시 사용자에게 활용방안을 고지하고 사전동의를 받도록 요구하고 있다. 하지만 이러한 사전동의 절차를 엄격히 요구하는 현행 포지티브 규제가 실제 사용자 보호효과가 떨어지는 데다 사후책임을 사용자에게 전가하는 문제가 나타나고 있다. SGI가 국민 500여명, 기업 200여개사를 대상으로 설문한 결과에서도 국민 85.0%, 기업 72.6%가 “사전동의 방식은 사용자 보호에 실질적 도움이 되지 않는다”고 답했다.

SGI는 “미국·일본·EU는 익명정보는 사전동의(Opt-in)에서 사후동의(Opt-out)로 전환하고 있지만, 국내 법률은 광범위한 사전동의를 적용해 비식별정보 활용을 크게 제약하고 있다”고 지적했다.

과다·중복규제로 인한 낮은 활용도도 문제다. 우리나라는 일반법인 개인정보보호법과 산업별 개별법이 중복적으로 규제하고 있다. 복잡하고 중복적인 규제로 인해 빅데이터 분석을 수행한 기업은 1.7%에 불과하고, 그 중에서도 66%는 개인정보는 분석에서 제외하고 있는 실정이다.

이 같은 문제에 SGI는 개인정보 활용과 보호의 균형점을 찾아야 한다고 지적했다. SGI는 “한국의 개인정보제도는 제약만 많고, 개인정보를 활용한 신사업 창출도 안전한 보호도 이뤄지지 못하는 상황”이라며 “개인정보 활용과 보호 간 균형점을 찾는 정책 마련이 필요하다”고 제언했다.

SGI는 지난 8월 정부가 산업계 의견을 반영해 마련한 ‘개인정보 규제혁신 방안’에 대한 긍정적 평가를 내리며, 제도의 실효성 제고를 위해 비식별정보(가명·익명정보)에 대한 보다 구체적인 가이드라인 마련을 촉구했다.

영국과 미국은 구체적 기준을 사용해 익명정보의 재식별 리스크를 낮췄다. 영국은 데이터 전문가나 해커가 아닌 인터넷·도서관에 공개된 정보를 이용할 수 있는 일반인을 기준으로 재식별 리스크를 평가하고 있다. 미국은 비식별화에 관한 지식과 경험을 가진 전문가가 비식별화 수준을 판단하고 있다.

SGI는 “완전무결한 비식별화가 현실적으로 어렵다는 점을 어느 정도 인정하고, 재식별 위험성을 합리적 수준으로 낮추려는 선진국의 제도를 참고해, 비식별 개인정보에 대한 명확한 정의를 내려야한다”고 지적했다.

이에 따라 SGI는 개인정보보호제도의 패러다임을 현행 사전절차·처벌중심 방식에서 사후평가·자율규제로 전환할 것을 제안했다.

실제 대다수 국민과 기업들은 사전규제 방식보다 사후규제 방식을 선호하고 있다. 규제방식 선호도를 묻는 질문에 국민 67.9%, 기업 63.7%가 “절차 규제는 완화하되 사후 처벌을 강화해야한다”고 답했다. ‘규제 집행력 제고를 위한 합리적 방향’에 대해서도 국민 63.2%, 기업 68.2%가 “현행 처벌 일변도 방식보다 인센티브 제공을 병행하는 자율규제방식이 효과적일 것”이라고 답했다.

이성호 SGI 신성장연구실장은 “개인정보보호제도를 사후평가 ‧자율규제 방식으로 전환해 개인정보의 실질적인 보호정도를 높이고, 기업의 자발적인 보호역량 강화를 유도해야 한다”고 조언했다.

아울러 SGI는 개인정보 활용의 편익을 체감할 수 있는 ‘빅데이터 시범사업’의 조기 추진을 주문했다. SGI는 “개인정보활용의 제도적 장애가 해소되더라도 데이터의 기술적 표준화가 미진하면 활용성이 제약받게 된다”며 “신사업 창출 가능성이 높은 의료, 금융, 전자상거래 분야를 중심으로 시범사업을 조기 추진해 나갈 것”을 주장했다.

또한 개인정보 보호와 활용의 균형을 모색하기 위해 기업과 정부, 학계의 데이터 전문가들이 위원으로 참여하는 ‘민관협력 거버넌스 체계 수립’도 제안했다.

고학수 서울대학교 법학전문대학원 교수는 “현재의 개인정보보호 법제도는 빅데이터·인공지능 시대로의 패러다임 변화를 충분히 반영하지 못하는 한편, 정보주체들이 가지는 불안감을 해소하는 데에도 아쉬움이 있다”며 “데이터의 활용도와 함께 사회적 신뢰도도 제고하기 위해 관련 법제도의 개선 노력이 필요하다”고 말했다.