대한상의 싱그탱크 “개인정보 보호, 사후평가 자율규제로 바꿔야”

대한상의 싱크탱크 SGI 첫 보고서

"현행 보호제도, 불명확ㆍ형식적ㆍ과다중복… 사후평가ㆍ자율규제로 패러다임 바꿔야”

현행 개인정보보호 제도는 개인정보의 범위 자체가 모호할 뿐 아니라, 형식적인 사전동의로 보호 효율은 떨어지면서 처벌 위주로 운영돼 오히려 사용자의 불편과 책임부담만 높이고 있다는 지적이 나왔다. 4차 산업혁명 시대 빅데이터 관련 산업을 활성화하려면 사후평가ㆍ자율규제로 패러다임을 전환해야 한다는 대안도 제시했다.

“기업계를 대표할 싱크탱크를 만들어 보겠다”는 박용만 회장의 의지로 지난 6월 출범한 대한상공회의소 산하 지속가능이니셔티브(SGI)가 22일 이 같은 내용을 담은 첫 보고서(개인정보보호 제도 개선방안 연구보고서)를 발간했다.

보고서는 우선 우리나라 개인정보보호 제도의 3대 문제점으로 △불명확한 개인정보 범위 △형식적 보호 절차 △과다ㆍ중복 규제를 꼽았다.

현행법이 개인정보를 ‘다른 정보와 쉽게 결합해 알아볼 수 있는 정보’로 정의하고 있는데, ‘쉽게 결합’한다는 용어의 의미가 모호하고, 특히 선진국엔 규정돼 있는 ‘비식별정보(가명ㆍ익명 정보)’에 대한 정의조차 없어 규제 범위가 과도하게 넓어졌다는 것이다.

개인정보 수집 시 사용자에게 형식적인 사전동의를 요구하는 것도 “실제 사용자 보호 효과가 떨어지고 사후 책임을 사용자에게 전가하는 문제가 있다”고 보고서는 비판했다. 또 일반법인 개인정보보호법과 산업별 개별법이 중복 규제를 하고 있어 기업들의 빅데이터 활용을 더 어렵게 하고 있다고 진단했다.

보고서는 “미국, 일본, 유럽연합(EU) 등에서는 익명 정보를 ‘사전동의’에서 ‘사후동의’로 전환하는 추세”라며 “개인정보 활용과 보호 사이의 균형점을 찾는 정책이 마련돼야 한다”고 제안했다.

이성호 SGI 신성장연구실장은 "개인정보보호 제도를 지금의 사전절차ㆍ처벌 중심에서 사후평가ㆍ자율규제 방식으로 전환해야 한다”며 “일반인이 개인정보 활용의 편익을 체감할 수 있도록 의료, 금융, 전자상거래 분야의 ‘빅데이터 시범사업’을 조기에 추진할 필요도 있다”고 말했다.

그는 또 “완전무결한 개인정보 비식별화는 현실적으로 어렵다는 점을 인정하고, 재식별 위험성을 합리적 수준으로 낮추려는 선진국의 제도를 참고해 비식별 개인정보에 대한 명확한 정의부터 내려야 한다”고 재차 강조했다.

김용식 기자 jawohl@hankookilbo.com