정부에서 ‘데이터 경제’ 활성화를 위해 적극 추진하고 있는 개인정보보호법 개정안이 오히려 미래 산업을 주저앉히는 규제로 돌변할 수 있는 것으로 나타났다. 개인정보 위탁 시 이용자들에게 일일이 사전 동의를 받아야 한다는 개인정보보호법 제39조로 인해 클라우드부터 빅데이터, 금융, 소셜네트워크서비스(SNS) 기반 서비스 업체 등 대부분의 미래 산업이 타격을 받을 것이라는 전망이 나온다. 27일 국회와 업계에 따르면 국회 행정안전위원회는 29일 법안심사소위원회를 열고 데이터3법(개인정보보호법·정보통신망법·신용정보보호법) 중 하나인 개인정보보호법 개정안을 심의한다. 개정안은 비식별 개인정보를 활용할 수 있는 길을 터주는 내용을 담고 있다.
문제는 정보통신망법의 개인정보 보호 관련 법령을 개인정보보호법으로 그대로 옮기면서 발생했다. 정보통신망법 제25조에 따르면 정보통신서비스 제공자가 개인정보를 위탁할 경우 모든 이용자에게 사전에 개별 동의를 받아야 한다. 예를 들어 수십만명의 고객을 확보하고 있는 A 기업이 새로운 서비스를 개발하기 위해 이용자 구매정보 등을 클라우드로 옮겨 빅데이터 분석을 시도하려면 이들 이용자의 동의를 일일이 받아야 하는 셈이다. 빠르게 변하는 정보기술(IT) 산업에서 새로운 시도를 할 때마다 수개월의 시간과 비용을 투입해 고객의 동의를 받는 것은 사실상 불가능하다는 지적이 나온다. 이 때문에 지난 2017년부터 해당 조항을 삭제해야 한다는 내용의 개정안이 꾸준히 발의되기도 했다. 하지만 정보통신망법 제25조가 이번에 개인정보보호법 제39조로 그대로 이관되면서 다시 한번 논란에 휩싸였다.
업계의 한 관계자는 “디지털 산업은 모두가 망을 사용할 수밖에 없는데 클라우드로 데이터를 이전해 새 서비스를 추가할 때마다 동의를 받는 것은 과도한 족쇄”라며 “4차 산업혁명이나 국내 산업의 디지털 트랜스포메이션(전환)에 역행하는 결과를 낳을 것”이라고 밝혔다.
IT접목 全산업 사정권…클라우드 치명타
“과도한 족쇄로 디지털 전환 흐름서 역행”
개인정보 위탁 시 이용자들에게 사전에 개별동의를 받도록 규정한 개인정보보호법 39조는 정보기술(IT)을 접목한 거의 대부분의 산업에 영향을 끼칠 것으로 보인다. 특히 빅데이터·인공지능(AI) 등의 활성화를 위해 클라우드를 이용하는 기업들이 늘어나는 상황에서 국내 클라우드 산업에 치명타를 입힐 수 있을 것이라는 우려가 나온다.
경제협력개발기구(OECD)에 따르면 33개의 OECD 회원국 중 한국의 기업 클라우드 사용률은 12.9%로 27위에 그친다. 1위 핀란드(56.9%)는 물론 3위 일본(44.6%)과 비교해도 3배 이상 차이 나는 수준이다. 빅데이터 활용 등을 위한 클라우드의 중요성이 알려지면서 국내 기업들과 공공·금융기관은 이제 막 걸음마를 뗀 상황이다.
관련기사
하지만 기업이 클라우드로 정보를 이전한 뒤 새 서비스를 개발할 때마다, 데이터를 보관하는 데이터센터가 변경될 때마다 개별동의를 받는다면 사실상 클라우드 이용이 막히게 된다. 개별동의 과정 면제 조건인 ‘이용자 편의 증진’의 목적이더라도 이를 증명하기 위해 법무법인에 의뢰해 수개월에 걸쳐 해석을 받아내야 한다. 그마저도 대기업은 시간과 비용을 들일 수 있지만 스타트업·중소기업은 감당하기 어렵다.
이 때문에 개인정보보호법학회에서는 지난 3월 ‘개인정보 보호와 활용의 조화를 위한 개인정보보호법의 합리적 개정에 관한 제언’을 통해 “(개인정보 위탁 규제는) 클라우드컴퓨팅 서비스 활성화 등 신산업 분야의 혁신을 저해하는 조항”이라며 “시장 환경 변화 및 글로벌 트렌드를 반영하지 못하고 있기 때문에 개선할 필요가 있다”고 지적한 바 있다.
유럽과 미국·일본 등 해외에서는 개인정보 처리 위탁에 대해 동의를 의무화하도록 규정한 사례는 없는 것으로 알려졌다. 개인정보에 대한 규제를 강화한 유럽연합(EU)의 개인정보보호규정(GDPR)도 개인정보의 위탁자와 수탁자를 구분해 양자 간 계약에 일임하도록 규정하고 있을 뿐이다.
국내 역시 이미 2017년부터 해당 조항의 문제점이 꾸준히 지적돼왔다. 정부는 2017년 3월 개인정보 위탁 시 이용자 동의를 고지로 한 단계 낮춘 정보통신망법 개정안을 발의했다. 지난해 3월에는 진선미 당시 더불어민주당 의원(현 여성가족부 장관)이 개인정보 위탁 동의 규정을 삭제하는 내용의 같은 법안을 내놓기도 했다. 하지만 두 개정안 모두 별다른 논의 없이 유야무야된 상태다.
업계에서는 데이터 경제 활성화라는 개인정보보호법 개정안의 본래 목적을 달성하기 위해 개인정보 처리 위탁과 관련한 규제를 먼저 해결하고 다음 단계로 넘어가야 한다고 주장한다. 개인정보 처리 위탁 규제가 클라우드 활성화 이전에 도입된 규정인 만큼 시대 변화에 따라 개선이 필요하다는 입장이다.
IT 업계 관계자는 “인터넷뱅킹을 제공하는 금융 업체, 쇼핑몰 운영 업체, 소셜네트워크서비스(SNS) 기반 서비스 제공 업체 등 거의 전 산업에 영향을 미치게 될 것”이라며 “이전부터 개선 필요성이 제기돼온 만큼 개인정보보호법 처리 과정에서 해당 조항을 삭제하는 것이 산업 발전을 위한 길”이라고 강조했다.
/권경원기자 nahere@sedaily.com
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >