한국의 개인정보보호 법제도는 유럽과 일본에 비해 강력한 것으로 평가된다. 이인호 중앙대 법학전문대학원 교수는 “한국의 개인정보보호 법제도는 2016년 개정된 유럽연합(EU) '일반개인정보보호(GDPR)' 보다 더 강력한 동의기반 사전규제”라고 평가했다.
이 교수는 “현행 법률은 개인정보처리자(개인, 기업, 단체)가 자신 혹은 제3자의 정당한 업무수행을 위해 정보주체 동의 없이 개인정보를 제 3자와 주고받을 수 있는 가능성을 거의 봉쇄했다”고 지적했다. 현행 우리나라 법 체계에서는 개인 데이터를 주고받을 수 있는 생태계 성립 자체가 불가능하다는 것이다.
한국과 달리 유럽 GDPR는 수집과 이용뿐 아니라 제3자 제공에 있어 정보주체 동의 없이 합법적으로 데이터를 주고받을 수 있다.
GDPR는 '개인정보처리자나 개인정보를 제공받는 제3자가 추구하는 정당한 이익을 달성하기 위해 정보처리가 필요할 경우'를 합법이라고 규정한다. 이 교수는 “이런 규범적 상태에서 개인정보 비식별 조치에 관한 규율이 의미를 갖는다”고 설명했다.
일본도 크게 다르지 않다. 개인정보처리자가 업무수행을 위해 광고나 마케팅 목적으로 수집 처리한 개인정보를 정보주체 동의 없이 제3자에게 제공하도록 허용한다. 다만 정보주체에 사전고지와 사후 거부권을 줘 통제할 수 있도록 했다.
유럽과 일본은 개인정보수집 사전 동의 항목도 엄격하게 설정하지 않았다. EU는 민감정보, 쿠키, 위치데이터를 제외한 일반 데이터를 수집·이용·제한할 때 반드시 정보주체 동의를 요구하지 않는다.
일본은 이용목적만 명확히 하면 정보주체 동의 없이 일반 개인데이터를 수집할 수 있다. 3자 제공은 사후 거부 방식을 채택했다.
현재 국회에 계류 중인 데이터 3법이 처리되더라도 '포괄동의'가 가능하려면 별도 법 개정이 필요하다. 국회 행정안전위원회 법안소위는 27일 일명 '데이터 3법(개인정보보호법·정보통신망법·신용정보법)' 개정안을 처리한다. 법이 통과되면 기업은 비식별 개인정보 활용도를 높이고 수집 범위도 확대할 수 있다.
인터넷기업협회 관계자는 “데이터 3법이 통과돼도 개인정보제공 동의 부분은 따로 개선해야 한다”고 말했다. 정부와 국회의 지속·적극적 의지가 없으면 데이터 활용에서 글로벌 기업과 국내기업 역차별이 해소되기 어렵다는 것이다.
<표> 한국, 유럽, 일본 개인정보 동의제도 현황. 출처:중앙대 법학전문대학원
김시소 기자 siso@etnews.com