[걸음마 뗀 데이터3법] 후속과제 산적···처리 기준 등 여전히 모호

법안 시행되는 8월 전 시행령·형사처벌 기준 마련 필수

올해 1월 데이터3법이 국회를 통과됐다. 법안만 통과됐다고 당장 데이터 활용의 길이 열린 것은 아니다. 법안이 시행되는 오는 8월까지 5개월여가 남은 현재 데이터3법에 관련해 산적한 후속과제를 해결해야한다.

가장 큰 문제는 데이터 활용의 기준이 되는 가명정보 처리 기준이 없다는 점이다. 가명정보 처리 기준이 모호한 상황에서 자칫 잘못할 경우 징역형 등의 형사처벌을 받을 수 있는 것도 업계 관련자를 긴장시키는 요소다.

◆가명정보 처리 기준 모호···시행령·가이드라인 시급

"실제 정보를 어디까지 활용할 수 있는 건가요?"

데이터3법에 관심을 가진 금융사와 핀테크 업체에서 가장 많이 들을 수 있는 의문이다. 데이터3법 개정안의 골자는 '가명정보' 개념의 도입이다. 이전까지는 개인정보 비식별 조치를 거친 '익명정보'만 활용할 수 있었으나, 앞으로는 이보다 더욱 활용도가 높은 가명정보를 이용할 수 있도록 해주겠다는 것이다.

문제는 가명처리의 기준이다. 데이터3법은 가명정보를 '추가 정보 없이는 특정인을 알아볼 수 없는 정보'로 정의한다. 그러나 이에 대한 기준을 구체적으로 명시하지 않았다. 다양한 비식별 조치 방법 중 어느 것을 얼마나 적용할지 명확치 않다는 것이다.

이는 데이터3법의 시행령, 가이드라인 등의 후속조치에서 다룰 것으로 보인다. 다만 가명처리의 기준이 모호해 상당수 관계자를 만족시킬만한 방안이 나올지 확실치 않다.
 

[사진=한국인터넷진흥원]

◆형사처벌 강화···"실수하면 징역, 전문가 다 도망간다"

관련 업계는 법안 통과 이후에도 여전히 데이터를 활용하기 조심스럽다는 목소리다. 데이터 활용 가능성이 높아졌으나 잘못하면 법적 처벌을 받게 될 가능성과 처벌의 수위도 동시에 높아졌다는 시각에서다.

실제 우리나라의 개인정보보호법은 처벌 조항이 엄격한 편이다. 우리보다 관련 법제화가 빨랐던 유럽연합(EU) 등에서는 찾아보기 어려운 형사처벌 조항이 포함된 탓이다. 우리나라 개인정보보호법에는 '안정성 확보에 필요한 조치를 하지 않아 문제가 발생할 경우 2년 이하의 징역 또는 1000만원 이하의 벌금형에 처한다'는 조항이 명시돼 있다.

이번에 통과된 개정법은 이보다 더 엄격한 처벌을 명시했다. 개인정보 처리 과정에서 특정 개인을 알아볼 수 있는 정보가 발생한다면 5년 이하의 징역 또는 5000만원 이하의 벌금이나 전체 매출액의 3%에 해당하는 과징금 조치를 받을 수 있다.

형사처벌 조항은 개인정보보호를 위해 도입된 장치임은 분명하다. 그러나 자칫 가명처리 과정에서 실수가 발생할 경우 징역 5년의 형사처벌 대상이 될 수 있다는 점은 업무 관련자에게 너무나 큰 위험부담이다.

한 핀테크 업체 관계자는 "혹시 실수하면 감옥에 갈 수 있는데 편하게 일할 수 있겠나"라며 "그렇지 않아도 부족한 정보보호 전문가가 다 도망가게 생겼다"고 말했다.
 

[사진=국회 등]