[아이티데일리] 지난 1월 국회에서 데이터 3법이 통과됨에 따라 데이터 산업이 활성화될 것으로 기대되고 있다. 특히 비식별 조치가 된 개인정보를 산업적 통계 등 연구 목적으로 명시적 동의 없이 활용할 수 있게 되면서 데이터의 활용도가 높아질 것이 확실시된다. 또한 비식별 조치 중 가명정보가 명시됨으로써 활용되는 데이터의 품질도 크게 향상될 것으로 보인다.

데이터 3법에서 주목해야 할 점은 개인의 명시적 동의 없이 연구 목적으로 사용하기 위해서는 비식별 조치가 이뤄져야 한다는 것이다. 이런 이유로 비식별화 시장 역시 급성장할 것으로 기대된다. 오는 8월 데이터 3법이 시행되면, 국내에서도 데이터 활용을 위한 비식별 조치가 활성화될 것이라는 전망이다. 데이터 3법으로 인한 개인정보 비식별화 시장에 대해 전망해본다.
 

8월 데이터 3법 발효…정부 “2월 중 시행령 등 하위법령 마련할 것”

지난 1월 통과된 데이터 3법 개정안은 오는 8월 5일 시행될 예정이다. 행정안전부, 방송통신위원회, 금융위원회, 개인정보보호위원회 등 데이터 3법 관계 부처는 1월 21일 합동 브리핑을 열고 데이터 3법 후속 조치 계획을 발표했다.

먼저 정부는 법률 구체화를 위한 행정 입법을 신속하게 추진할 계획이다. 2월 중 시행령 개정안을 마련하고, 3월까지 고시 등 행정 규칙 개정안을 마련하며, 법 시행 시점에는 분야별 가이드라인과 해설서 개정안을 발간해 가명정보의 활용 범위, 데이터 결합 방법·절차 등을 명확히 한다는 방침이다.

또한 EU GDPR 적정성 결정도 조속히 추진하기 위해 EU와의 협력도 강화한다. 그간 감독기구의 독립성 요건 미충족, 개인정보 보호법 미개정 등을 이유로 두 번에 걸친 적정성 결정 심사가 중단됐으나, 이번 법 개정을 통해 요건이 충족돼 적정성 결정이 가시화된 만큼 적정성 결정의 조속한 추진을 위한 협력을 도모한다는 전략이다.

또한 국무총리 소속 중앙행정기관으로 격상하는 개인정보보호위원회가 개인정보보호 정책 수립과 광범위한 조사·처분권을 보유하는 개인정보보호 정책 및 국민권익 보호기관으로 자리매김할 수 있도록, 예산 및 인력의 이관, 조직 및 위원 구성 등이 차질없이 이뤄지도록 지원한다는 계획이다.

이러한 후속조치 이행은 관계 부처 합동의 ‘법제도 개선 작업반’을 통해 추진되고 있다. 행정안전부 전자정부국장을 반장으로 관계부처 과장급이 참여하며 산업계, 시민사회단체, 각계 전문가들과의 적극적인 소통을 통해 하위법령과 보호정책을 구체화한다는 계획이다.

브리핑 당시 윤종인 행정안전부 차관은 “이번 데이터 3법 개정으로 우리나라도 4차 산업혁명에 대비할 수 있는 제도적 기반이 마련됐지만 여전히 명확한 기준 제시와 해석이 중요하다”면서, “정부는 ‘개인정보의 보호와 데이터 활용의 균형’이라는 대전제 아래, 구체적인 가이드라인을 제시하고 아울러 국제 보호규범 정립에도 적극 참여하겠다”고 말했다.

이번 시행령 준비에 있어 미국의 ‘건강보험 이전과 책임에 관한 법(HIPAA)’, ‘경제적·임상적 보건에 대한 건강 정보기술법(HITECH Act: Health Information Technology for Economic and Clinical Health Act)’, ‘가족의 교육적 권리 및 프라이버시 법(FERPA: Family Educational Rights and Privacy Act)’은 물론, 유럽연합(EU)의 ‘개인정보보호규정(GDPR: General Data Protection Regulation)’, 영국 정보보호 커미셔너(ICO)의 익명화 규약, 일본의 개인정보보호법 등 국내외 동향을 참고할 것으로 보인다. 더불어 2016년 발표된 가이드라인과 2018년 제정된 국제 비식별 기술 표준인 ‘ISO/IEC 20889’가 기반이 될 가능성이 높다.

ISO/IEC 20889는 ▲통계 도구(Statistical tools) ▲암호화 도구(Cryptographic tools) ▲삭제 기술(Suppression techniques) ▲가명화 기술(Pseudonymization techniques) ▲해부화 (Anatomization) ▲일반화 기술(Generalization techniques) ▲무작위화 기술(Randomization techniques) ▲합성 데이터(Synthetic data) 등 8가지 비식별 처리 기법과 21가지 세부기술을 정의하고 있다.

박세경 펜타시스템 CTO는 “이전 2016년 가이드라인을 만들 때도 과제를 통해 다양한 국가의 사례를 취합했다. 데이터 3법 개정안의 시행령 및 가이드라인 역시 이를 기반으로 정리될 가능성이 높다”면서, “가명정보, 익명정보에 대한 해석이 사람마다 다르기 때문에 시행령 및 가이드라인에서 정의가 돼야 기업 및 기관들이 본격적인 움직임을 보일 것으로 예상된다”고 설명했다.

업계에서는 금융, 통신, 의료 등 각 분야별로 가이드라인을 만들어야 한다는 목소리도 커지고 있다. 각 산업군별로 데이터의 특성이 다르기 때문에 활용 기준 또한 달라야 한다는 것이다. 또한 데이터 결합을 위한 전문기관도 각 산업별 특성을 반영할 수 있도록 구성해야 한다는 주장도 있다.

하지만 현재까지 시행령 등 후속조치가 이어지지 않고 있다. 개인정보보호위원회는 민간 전문가로 구성된 ‘개인정보보호 제도 혁신자문단’을 구성해 데이터 3법 시행에 대비하고 있지만, 업계에서 요구하고 있는 후속조치로 보기는 어렵다. ‘개인정보보호 제도 혁신 자문단’은 개인정보보호위원회가 통합기구로 격상되는 과정에서의 업무혁신과 주요 정책 과제에 대한 종합적인 자문을 진행하게 된다. 자문단은 ▲업무·제도혁신 ▲법령개선 ▲정보기술(IT)·신기술대응 ▲비식별처리 ▲국제협력 ▲소통·홍보 등 6개 분야에서 각계 전문가 60여명으로 구성된다.