"유럽선 이메일 개인정보 아냐…과도한 규제 없애야"

국회입법조사처 세미나서 개인정보 규제 지적

인터넷입력 :2019/06/05 17:22    수정: 2019/06/05 17:23

유럽에선 성과 이름이 함께 포함된 형태인 경우를 제외한 대다수 이메일은 개인정보로 취급하지 않는 것과 달리, 우리나라는 어떤 이메일도 개인정보로 분류할 정도로 규제가 강하다. 이로 인해 정보통신(IT) 사업자들이 인공지능(AI) 시대 사업 개진에 어려움을 겪고 있다는 주장이 제기됐다.

네이버 이진규 정보보호최고책임자(이사)는 5일 국회입법조사처에서 주최한 데이터 활용과 프라이버시 세미나에서 “과거 법원이 유심번호도 특정 개인에게 부여되니 개인정보라고 봤다는 판결이 일견 타당해 보인다”며 “하지만 사실 법조항을 따져보면 얼마나 정보를 쉽게 입수할 수 있느냐란 부분이 애매해 법원이 다르게 해석한 것으로 보인다”고 설명했다.

이어 “반면 유럽 개인정보보호 규정(GDPR)에선 무엇이 개인정보에 속하고 속하지 않는지 명확하게 구분해놨는데, 예를 들어 성과 이름이 동시에 들어있는 이메일이 아니면 개인정보로 취급하지 않을 정도다”며 “수집과 이용을 위한 동의도 우리나라는 GDPR 수준보다 매우 까다로운 수준이다”고 덧붙였다.

네이버 이진규 정보보호최고책임자

또한 그는 “이처럼 과도한 개인정보보호 규제로 사업자는 엉뚱한 부분에 힘을 주고 비즈니스도 제한적으로 펼칠 수밖에 없다”고 역설했다.

이 이사에 따르면 개인정보보호법 제15조 제1항의 여섯개 항목 중 하나에 해당한다면 개인정보를 수집·이용할 수 있는데, 이때 사업자들은 ‘정보주체의 동의를 받은 경우’란 첫 번째 항목에 따라 사업을 개진하는 편이었다. 특히 여섯 번째 항목 ‘개인정보처리자의 정당한 이익을 달성하기 위해 필요한 경우 명백하게 정보주체의 권리보다 우선하는 경우’를 근거해 네이버는 단 한 차례도 사업을 펼칠 수 없었다고 이 이사는 설명했다.

아마존웹서비스(AWS)처럼 고성능 머신러닝 기술을 보유한 회사가 있어도 개인정보가 담긴 문서를 손쉽게 위탁 처리할 수도 없는 상황이다. 사업자들이 동의 없이 다른 사업체에 관련 문서를 넘길 경우 개인정보 제3자 제공으로 법에 저촉될 수 있기 때문이다. 아마존 머신러닝을 사용하기 위해 정보를 위탁하게 될 경우 소비자들에게 정보 이용에 대한 추가 동의를 받아야 하는데 현실적으로 쉽지 않다.

이 이사는 “개인정보 위수탁에 관한 법 때문에 수천 건에 대한 계약서에 적힌 개인정보를 일일이 수기로 쳐야 한다”며 “자체적으로 사업체가 머신러닝 기술을 갖춰야 할 텐데 비용이 만만치 않다”고 말했다.

정준화 국회입법조사처 정보통신정책 조사관은 “우리나라 개인정보보호 법체계는 과거에 개인정보 관리 과정에서 직원이 실수로 유출할 때마다 만들어졌고, 공교롭게도 개인정보가 디지털로 전환되는 시점과 맞물렸다”면서 “개인정보 활용보다는 보관 자체의 신중성 때문에 현재와 같은 상황이 된 것 같다”고 밝혔다.

관련기사

이 이사는 “그동안의 개인정보 관련법들은 마치 돈을 넣으면 물건이 툭 떨어져 나오는 자판기처럼 만들어졌다”며 “개인정보 이슈가 있을 때만 비연속적인 논의 과정을 거쳐 만들어진 점이 아쉽다”고 지적했다.

이어 “전세계적으로 우리나라에만 있는 개인정보 법제가 한두 개가 아닌데, 이들 법들은 일몰제 적용해야 할 필요가 있다고 생각한다”면서 “최소 132개국이 개인정보법과 관련해 수준을 유럽 GDPR에 맞춘 상황이고, 미국의 경우에도 연방단위 프라이버시 법제가 없는 반면 소비자보호법에 따라 법집행을 강력하게 하고 있는 점이 우리나라와 다르다”고 덧붙였다.