[리걸타임즈 IT Law 칼럼] "가명정보 활용한 데이터 거래 활성화 기대"
[리걸타임즈 IT Law 칼럼] "가명정보 활용한 데이터 거래 활성화 기대"
  • 기사출고 2020.07.01 06:19
이 기사를 공유합니다

율촌, '데이터와 AI의 법정책 과제' 웨비나 인기

법무법인 율촌이 6월 16일 삼성동 파르나스타워에서 한국데이터법정책학회, 국제사이버법연구회와 공동으로 "데이터와 AI의 법정책 과제"를 주제로 웨비나를 개최했다. 강연과 토론으로 나뉘어 진행된 웨비나의 주요 내용을 정리했다. 편집자

최근 기사들을 보면 데이터 거래 환경이 많이 변하고 있다는 점을 알 수 있다. 금융정보를 사고 팔 수 있는 금융 데이터 거래소가 출범하였고, 과학기술정보통신부, 기획재정부, 금융위원회 등 정부기관들도 데이터 거래 활성화 플랫폼을 활성화하기 위해 정책적, 제도적 지원을 하고 있다.

데이터3법, 8월 5일 시행

◇김선희 변호사
◇김선희 변호사

무엇보다도 데이터3법이 8월 5일부터 시행된다. 개정된 데이터3법의 핵심은 개인정보 개념 중에 "가명정보"를 도입하여 가명정보를 통계 작성, 과학적 연구, 공익적 기록보존의 목적으로 정보주체의 동의 없이 처리할 수 있도록 한다는 것이다. 즉, 정보주체의 동의 없이 개인정보의 수집, 저장, 이용뿐만 아니라 제3자에게 제공하는 것도 가능하게 된다. 앞으로 가명정보를 활용한 데이터 거래가 활성화될 것으로 기대된다.

그동안 우리나라에서 데이터 거래 활성화를 가로막고 있던 요인들이 무엇이었을까? 가격 산정의 어려움과 같은 현실적인 문제도 있었지만, 법적인 불확실성도 큰 부분을 차지하였다. 비식별조치에 대한 명확한 법적 근거가 없었기 때문에 개인정보를 비식별화하여 거래 및 결합하는 행위에 대해 불법적인 제3자 제공인지 여부 등 논란이 있어왔다. 심지어 정부에서 발간한 "개인정보 비식별조치 가이드라인"에 따라 데이터를 결합하고 활용한 기업들에 대해 검찰에 고발하는 사건도 있었다.

데이터 더해질수록 가치 높아져

데이터3법은 가명정보의 결합에 관한 명시적인 근거를 도입하였는데, 가명정보의 경우 정보주체의 동의없이 제공, 결합이 가능하다. 서로 다른 기업들, 특히 산업간 데이터 결합이 이루어질 경우, 새로운 통찰력을 줄 수 있어 데이터의 가치가 높아지게 된다. 예를 들면 상권 분석을 하는데 지역별 소득정보만으로는 알 수 있는 정보가 많지 않다. 주민들의 은행 저축, 대출정보가 결합된다면 이들의 여유자금 파악이 보다 용이하겠다. 여기에 카드 사용내역이나 가맹점별 매출내역까지 결합된다면 보다 정교한 상권 분석이 가능하게 된다. 이처럼 종류가 다른 데이터가 더해질수록 데이터의 가치는 그만큼 높아지게 된다.

그러면 데이터 결합을 위해 무엇을 고려해야 할까? 먼저 절차적인 사항이 있다. 데이터 결합은 지정된 데이터 결합 전문기관에서 수행해야 하므로 전문기관을 선정해야 한다.

그리고 공통된 식별자가 있어야 서로 다른 데이터셋을 결합할 수 있으므로 가명처리 방식, 공통의 식별자에 대한 협의도 필요하다.

다음, 계약상 권리의무에 대한 협의가 필요하다. 예를 들면 데이터 활용 범위, 보유기간, 재판매 또는 제3자와 공유가 가능할지 등이 이슈가 될 수 있겠다. 또한 품질에 대한 보증도 고려를 해야한다. 즉, 데이터 내용에 오류가 있을 경우 데이터를 제공한 쪽에서 책임을 질 것인지, 그렇다면 책임을 지는 조건과 한도를 정해야 한다.

가격은 어떻게 정할까? 금융보안원에서 올 5월에 발간한 "금융권 데이터 유통 가이드"에서는 "비용 접근법"(데이터를 생산한 비용을 기준으로 데이터 가치를 평가하는 방식), "시장 접근법"(유사한 데이터 자산이 시장에서 거래되는 가격을 기준으로 가치를 평가하는 방식), "수익접근법"(데이터 활용을 통해 발생하는 이익을 기준으로 데이터 가치를 평가하는 방식) 등 다양한 방법을 소개하고 있다. 여기에 더하여 법률적인 고려사항도 있을 수 있다. 특히 계열사 간 데이터 거래의 경우 향후 세법 및 공정거래법상 문제가 되지 않도록 가격 산정 근거자료를 잘 준비할 필요가 있다.

'추가적인 정보' 엄격히 통제해야

마지막으로 데이터 보호 등 사후 관리에 대한 내용도 정해야 한다. 가명처리된 데이터 거래시 유의할 사항은 개인정보를 가명처리한 상태라도 법에 따라 기술적, 관리적, 물리적 안전성 확보조치를 하여야 한다. 특히 개인을 식별 가능하게 만드는 '추가적인 정보'는 별도로 분리하여 보관하고 접근을 엄격히 통제해야 한다. 또한 시행령(안)의 내용을 보면, 가명정보의 경우에도 일정한 보유기간이 정해지고, 보유기간이 경과하면 지체 없이 파기해야 한다.

◇법무법인 율촌이 6월 16일 '데이터와 AI의 법정책 과제'를 주제로 웨비나를 개최했다. 동시 접속자가 300명에 이르는 등 기업체 관계자들의 호응이 상당했다고 한다
◇법무법인 율촌이 6월 16일 '데이터와 AI의 법정책 과제'를 주제로 웨비나를 개최했다. 동시 접속자가 300명에 이르는 등 기업체 관계자들의 호응이 상당했다고 한다

가명정보는 통계 작성, 과학적 연구 등 법에서 정하는 목적으로만 활용이 가능하다. 이를 상대방이 위반하게 될 경우, 데이터 제공자도 함께 책임을 지게 될 가능성이 있다. 따라서 이와 같은 사항들을 모두 계약에 정해둠으로써 책임소재를 분명히 해둘 필요가 있다.

개인정보 보호법은 "누구든지 특정 개인을 알아보기 위한 목적으로 가명정보를 처리해서는 안된다"고 규정하고 있고, 이를 위반할 경우 전체 매출액의 3% 이하의 과징금, 형사처벌 규정도 두고 있다. 즉, 가명정보를 처리하는 과정에서 특정 개인을 알아보게 될 가능성이 있을 경우, 지체 없이 처리를 중단하고 파기해야 한다.

내부 컴플라이언스 탄탄해야

기업 내에 명확한 프로토콜이 정해져 있고, 이에 대해 임직원들에 대한 철저한 교육이 없다면 현실적으로 신속하게 이와 같은 조치를 취하는 것이 쉽지 않을 것이다. 위반에 대한 과징금, 형사처벌, 그리고 민사상 손해배상 리스크 등을 고려한다면 이와 같은 컴플라이언스 의무를 결코 가벼이 여길 수 없을 것이다. 개인정보를 가명처리해서 데이터 판매를 하는 기업은 물론 데이터를 구매하는 기업도 기본적으로 개인정보(가명정보 포함) 활용 및 보호를 위한 컴플라이언스 체계가 탄탄해야 하겠다.

김선희 변호사(법무법인 율촌, kimsh@yulchon.com)