[글 : 최경진 가천대학교 법과대학 교수]

데이터 경제의 숨통을 터줄 데이터 3법이 가까스로 국회를 통과하여 올 8월 시행을 앞두고 있다. 국회의 입법 논의 과정에서 데이터 3법에 대한 기대와 우려가 극명하게 교차하면서 입법에 대한 찬반양론이 대립했었는데, 이제는 법이 개정되어 기대든 우려든 현실의 문제가 되었다.

데이터 3법을 추진한 본래 취지는 데이터 경제 활성화를 위하여 장애가 되고 있는 개인정보보호 관련 규제를 합리화 하자는 것이었다. 우리 사회는 데이터에 기반을 둔 새로운 지능정보사회로 발전해 가고 있다. 지능 정보 사회가 꽃을 피우려면 데이터를 얼마나 잘 다루고 활용하는가가 가장 중요한 의미를 가진다. 데이터를 통하여 인공지능도 발전할 수 있고, 데이터를 바탕으로 모든 산업이 발전할 수 있고, 우리 사회도 진화해갈 수 있다.

데이터나 인공지능이 미래 사회 성공의 열쇠라는 것을 인식한 선진국들은 앞 다투어 데이터의 안전한 활용을 위한 법제도 정비와 정책적 노력을 아끼지 않고 있는 반면, 우리는 개인정보 보호 규제에 가로막혀 데이터를 활용조차 하지 못하고 있어서 데이터 경제 발전 속도가 선진국들에 비해 너무 늦어지고 있다는 위기의식이 발동했던 때문이다. 20년 전 정보화혁명을 통하여 우리나라가 누렸던 혜택을 앞으로 다가올 미래 지능 정보 사회 혹은 데이터 경제 시대에 다시 한 번 누릴 수 있도록 데이터 경제에 활력을 불어넣어줄 법제의 개편이 필요했던 것이다.

이런 취지로 추진된 데이터 3법의 개정이 드디어 이루어졌다. 어떤 이들은 데이터 경제의 활성화를 염원했던 만큼 드디어 데이터를 마음껏 쓸 수 있을 것 같은 희망에 환호성을 질렀고, 어떤 이들은 ‘개인정보 도둑법’이라며 큰 우려를 나타냈다. 누군가는 개인정보 보호 규제로 데이터를 제대로 활용하지 못한다고, 또 다른 누군가는 데이터 활용으로 개인정보를 제대로 보호하지 못한다고 우려한 것이다.

도대체 우리는 어느 목소리에 귀를 기울여야 하고, 무엇이 우리가 그토록 원했던 데이터 3법 개정의 목표였을까? 이 물음에 대한 해답을 찾아가면서, 우리는 이제 데이터 3법 이후를 준비해야 한다. 데이터 3법의 올바른 방향을 제대로 이해하지 못하고, 나아가 데이터 3법 개정 이후를 제대로 준비하지 못한다면, 데이터 3법에 가졌던 우리의 기대는 우려로 바뀌고, ‘개인정보 도둑법’이라는 우려는 현실이 될 것이다.

개정 데이터 3법은 분명 데이터 경제의 숨통을 터주기 위한 ‘발판’을 마련했다는 중요한 의미를 가진다. 그러나 데이터 경제에 정말 기여할 수 있는 법으로 만들기 위해서는 위의 질문에 대한 해답을 우리 모두가 공유하는 것으로부터 출발해야 한다. 개정 데이터 3법은 무작정 무한으로 개인정보를 자유롭게 쓸 수 있게 해주는 법은 단연코 아니며, 애초에 그런 의도도 없다는 점을 인식해야 한다. 반대로 개인정보는 무조건 일단 활용하지 못하게 금지되어야 할 대상도 아니라는 점도 유의해야 한다.

데이터 3법은 개인정보가 포함된 데이터를 안전하게 잘 활용할 수 있도록 만드는 법적 토대를 쌓았다는 점을 인식해야 하며, 법을 해석하고 적용하는 과정에서도 국민의 개인정보가 오남용되거나 침해되지 않도록 하는 안전망의 역할을 수행하면서 그 안전망 내에서 사회·경제에 유용한 활용을 허용함으로써 개인정보에 의한 편익과 그에 대한 보호가 함께 이루어지도록 하는 것이 궁극적인 법 개정의 함의라는 점을 잊지 말아야 한다. 이런 인식을 토대로 우리가 당장 실천해야 할 과제를 3가지로 요약할 수 있다.

우선 개정 데이터 3법을 통해서 허용되는 가명정보의 처리나 양립가능성에 근거한 개인정보의 이용·제공, 합리적인 개인정보 범위 설정 등이 본래의 개정 취지를 살릴 수 있도록 충분한 가이드와 사례를 제공할 필요가 있다.

개인정보보호 규제는 개별 사안에서의 ‘맥락’과 합리적·규범적 판단이 무엇보다 중요하다. 획일적이고 경직된 기준을 비합리적으로 엄격하게 설정하는 순간 데이터 3법 개정의 취지는 사라지고 만다. 따라서 법을 지키면서 데이터를 잘 활용할 수 있도록 다양한 사례를 유형화하고 합리적 가이드를 제공함으로써 수범자가 책임성을 가지고 데이터를 활용할 수 있는 환경을 만들어주어야 한다.

사례의 축적을 통하여 법의 해석·적용에서의 일관성이 생기고, 안전한 개인정보 활용에 대한 국민들의 신뢰를 얻을 수 있을 것이다. 또한 수범자들에게는 법적 안정성과 일관성을 주어 안전한 활용을 위한 튼튼한 안전망을 제공할 수 있다. 아울러 안전한 데이터 처리의 결과도 중요하지만, 비침해적인 안전한 데이터의 활용을 위한 ‘절차’와 ‘과정’의 중요성도 잊지 말고, 안전한 활용 절차·과정을 설계할 수 있도록 적절한 기준을 제시할 수 있어야 한다.

적절한 기준과 가이드가 제시된다고 하더라도, 일원화된 데이터 규제 거버넌스를 담당하는 개인정보보호위원회가 균형 잡힌 해석과 법집행을 하지 않는다면 아무 소용이 없게 된다. 개인정보보호위원회가 정치적 중립성을 유지하고, 전문성에 기반하여 운영될 수 있도록 하여야 데이터 경제의 발전과 국민의 개인정보 보호라는 두 가지 가치를 동시에 충족할 수 있다.

따라서 개인정보보호위원회의 위원은 전문성을 갖춘 다양한 전문가가 충분히 포함되어야 하며, 실무를 담당하는 직원들도 전문성을 갖추고 충분히 독립적인 업무수행을 할 수 있도록 조직과 예산을 확충해주어야 한다. 아울러 중앙행정기관으로 규제 권한은 강화되었지만 개인정보 보호 업무를 수행하는 과정에서 다른 부처와의 충돌도 예상된다. 따라서 다양한 영역에서 사각지대 없이 개인정보가 잘 보호될 수 있도록 타 부처와의 협력과 조정 역할을 잘 수행할 수 있는 리더십을 갖춘 위원장이 필요하다.

마지막으로 이번 개정이 개인정보보호 2.0 시대라고 명명한다면, 그 다음 3.0 시대의 개인정보보호법의 방향을 제시하여야 한다. 미래로 가는 길을 보여줌으로써 이번 법 개정의 당위성을 뒷받침하고 향후 안정적인 개인정보 규제를 실현하는데 기여할 수 있다.

개인정보보호법과 정보통신망법의 화학적 통합을 통한 완전한 규제 일원화, 글로벌 수준의 활용 및 보호 규제 담보, 민감정보나 개인영상정보에 대한 특별한 규제를 통한 보호수준 제고, 인공지능 시대에 적합한 데이터 규제 체계 정립 등 데이터 규제의 안정적인 진화를 위한 로드맵을 제시할 필요가 있다. 이를 통하여 국민들에게는 신뢰를, 수범자에게는 법적 안정성을 부여함으로써 개인정보의 보호와 안전한 활용이라는 두 마리 토끼를 함께 잡을 수 있을 것이다.

더 많은 과제가 존재하겠지만, 우선 위의 3가지 과제만이라도 제대로 실행해나간다면 개정 데이터 3법의 취지를 충분히 살리면서 우리 경제·사회의 발전에 기여할 수 있을 것이다. 이제는 추상적인 신념이나 추구하는 가치만을 내세운 논쟁의 단계는 지났다.

개인정보 보호 규제의 출발점인 기본적 가치나 이념은 중요하지만, 이제는 구체적인 사례, 절차, 개별 사안의 맥락, 결과에 대한 구체적이고 다각적인 분석과 판단 등 디테일에 집중해야 할 때다. 데이터에 대한 디테일한 접근을 통하여 개정 데이터 3법이 ‘희망고문’에 그치지 않도록 우리 모두가 노력해야 한다.