규제 일변도 개인정보보호법을 시대 변화에 맞게 손봐야 한다는 지적이 나온다. 디지털경제 원료로 불리는 데이터 수집·활용 여건이 유럽보다도 열악하기 때문이다. 지금 이대로는 4차 산업혁명 핵심 산업인 빅데이터와 인공지능(AI) 산업에서 뒤처질 수 있다는 우려다.
6일 인터넷 업계에 따르면 현행 개인정보보호법은 개인정보를 적법하게 수집·활용할 수 있는 근거가 부족하다. 이용자 동의 절차를 거치지 않는 한 사실상 다른 경로가 없다. 반면에 유럽은 이용자 동의 외에도 개인정보 처리 근거를 다섯 가지 더 제시한다. EU의 개인정보보호법(GDPR)에 따르면 정보 주체의 동의가 없어도 △정당한 이익 △계약 이행 △중대한 이익 △공익을 위한 처리 △법률 의무 준수 근거에 해당하면 개인정보를 모으고 쓸 수 있다.
개인정보 판단 기준도 까다롭지 않다. 성과 이름 등 개별 정보는 개인정보가 아닌 것으로 본다. 이메일 주소 역시 사용자 이름을 그대로 쓰지 않는 한 개인정보가 아니다. 개인을 식별할 수 없다면 개인정보로 보지 않는다는 GDPR 원칙 때문이다. 휴대전화 번호 뒤 네 자리 숫자마저 개인정보로 취급하는 우리나라와는 구분된다.
국내 개인정보보호법에 따르면 개인정보는 살아있는 개인을 식별할 수 있는 정보다. 다른 정보와 '쉽게 결합해' 특정 개인을 알아볼 수 있는 정보도 포함된다. 이 문장에서 '쉽게 결합해'라는 단어가 지나치게 모호하다는 지적이다. 주관적 확대 해석이 가능하기 때문이다. 개인정보 위반 여부 판단을 어렵게 하기 때문에 빅데이터 산업 활성화에도 걸림돌이다.
개인정보를 다양한 사업에 적용하는 것도 유럽이 수월하다. 정보수집 목적이 바뀔 때마다 정보 주체 동의를 구해야 하는 국내와 달리 목적이 유사하면 재동의 절차를 거치지 않아도 된다. 목적의 유사성은 사업자가 직접 판단할 수 있다. GDPR에 별도 기준을 세워뒀다.
유럽연합의 경우 개인정보보호 처리 문턱은 낮지만 원칙 위반 시 처벌 수위는 높다. 위반 사항이 적발되면 매출액 4% 또는 2000만유로(약 260억원) 상당 과징금을 물린다. 처벌 조항 자체가 없는 국내와 대조적이다.
이진규 네이버 이사는 “개인을 식별할 가능성보다 문언적 해석에 치우쳐 '쉽게 결합해'라는 문구를 비현실적으로 확대 해석하는 경향이 짙다”며 “모든 정보가 보호조치 대상으로 여겨져 정보 수집에 소극적일 수밖에 없다”고 우려했다.
짧은 개인정보 유효기간도 문제다. 정보통신사업자 등은 이용자가 1년 동안 서비스를 이용하지 않으면 개인정보를 파기하거나 접근할 수 없도록 별도 보관해야 한다. 데이터 부족 현상을 만드는 원인으로 지목된다. 학습용 데이터 수급이 어려워지면 인공지능(AI) 산업 성장도 가로막힌다.
데이터 위·수탁 규정도 현실과 동떨어져 있다. 클라우드 서비스는 타인을 대신해 데이터를 보관, 관리, 가공, 분석한다. 사용자와는 법률상 위탁·수탁 관계로 간주된다. 이 같은 관계로 엮이면서 한층 더 강화된 개인정보보호법 규제를 받고 있다.
이 이사는 “개인정보 활용을 어렵게 하는 갈라파고스 규제가 넘쳐난다”며 “이 같은 법에 대한 일몰을 검토해야 한다“고 강조했다.
최종희기자 choijh@etnews.com