데이터3법 시행령이 나오면서 보안업계에 기대감이 커진다. 데이터 활용을 위한 기준을 구체화하고 유럽연합(EU) 일반개인정보보호법(GDPR) 적정성 결정을 앞당겼다는 평가다.
GDPR 적정성 결정은 EU가 상대국 개인정보보호법제 보호 수준 적정성을 결정하는 제도다. 국가 차원에서 적정성 결정을 받으면 개별 기업이 져야 하는 규제 부담을 줄일 수 있다.
국내에선 한국인터넷진흥원(KISA)과 관계부처가 EU 집행위원회와 상당 부분 검토를 마친 상태다. 개인정보보호법 개정에 힘입어 조만간 초기 결정을 받을 것으로 기대된다. 과거 EU 집행위는 국내 개인정보보호위원회가 인사, 예산 측면에서 독립성을 갖추지 않았다고 판단해 결정을 유보했다. 개보법 개정 후 논의가 가속화했다.
이르면 상반기에 최종 결정이 날 것으로 예상됐지만 코로나19 확산으로 다소 불투명해졌다. 지난해 1월 적정성 결정을 받은 일본의 경우 초기 결정부터 최종 결정까지 약 6개월이 소요됐다. 국내는 초기 결정을 받으면 일본보다 빠른 시일 내에 최종 결정을 받을 수 있을 것으로 본다.
오용석 KISA 개인정보정책단장은 “KISA는 적정성 결정뿐만 아니라 국내 기업이 GDPR을 준수할 수 있도록 다양한 지원사업을 추진하고 있다”면서 “하반기에는 EU 당국과 원활한 소통을 위해 EU 현지 연락사무소를 개설할 예정”이라고 말했다.
개보법 시행령이 가명정보 처리 기술에 제한을 두지 않았다는 점, 가명정보 결합과 처벌 기준을 마련했다는 점도 긍정적으로 평가된다.
개인정보 비식별화 솔루션을 개발하는 윤덕상 파수닷컴 전무는 “시행령을 통해 결합 신청, 분석 공간, 반출 승인, 결합 전문기관 지정·취소, 관리·감독 등이 정리됐다”면서 “KISA가 개보위를 대신해 결합에 관한 기술지원 기관으로 지정됐다는 점, 결합 전문기관이 일반 법인과 단체가 될 수 있도록 허용됐다는 점이 이목을 끈다”고 말했다.
데이터 제공에 관한 세부 기준과 결합 전문기관 지정 절차 등은 추후 고시와 가이드라인에서 마련돼야 할 부분이다. 윤 전무는 “데이터를 생성·제공하는 기업이 기다려 온 내용은 아직 명확하게 나오지 않았다”면서 “데이터 제공 시 어떤 방식으로 제공하면 안전하고 법적 문제가 없는 것인지 고시와 가이드라인에서 명확히 반영되길 기대한다”고 말했다. 이 같은 세부 기준을 담은 고시와 가이드라인은 오는 5월 발표될 예정이다.
결합 전문기관에 관한 제안도 덧붙였다. 해외는 가명정보도 개인정보로 취급하기 때문에 가명처리 시 가명정보와 추가정보(가명화 알고리즘 키 등)를 의무 보관하도록 규정한다. 가명정보가 유출되면 가명정보를 역변환해서 개인을 다시 식별한 후 정보주체에게 통보한다. 이런 이유에서 해외에선 가명정보를 역변환 할 수 있는 기관도 전문기관으로 정하고 있다.
오다인기자 ohdain@etnews.com