박용만 대한상공회의소 회장(오른쪽)이 15일 오전 서울 세종로 정부서울청사에서 김동연 경제부총리 겸 기획재정부 장관에게 규제개혁관련 정책건의서 전달하고를 있다. 2018.6.15/뉴스1 © News1 임세영 기자

"사전동의 절차를 엄격히 요구하는 현행 포지티브 규제는 사용자 불편과 책임부담만 초래하고 있다. 개인정보보호제도의 패러다임을 현행 사전절차·처벌중심 방식에서 사후평가·자율규제로 전환해야 한다."대한상공회의소 SGI(지속가능이니셔티브)는 국내 개인정보보호 제도의 주요  문제점과 정책 제언을 담은 '개인정보보호제도 개선방안 연구보고서'를 22일 발표했다. 대한상의는 기업 발전과 창업을 가로막는 규제개혁 과제를 연구, 정부에 개선을 제안하고 있다.

이번 보고서가 지적한 개인정보보호제도의 문제는 과잉규제의 대표사례로 꼽힌다. SGI는 우리나라의 개인정보호 3대 문제점으로 △불명확한 개인정보 범위 △형식적 보호절차 △과다·중복규제를 꼽았다.

현행법은 개인정보를 '다른 정보와 쉽게 결합해 알아볼 수 있는 정보'로 정의한다. '쉽게 결합'한다는 용어의 의미가 모호하고, 비식별정보에 대한 정의도 부재해 개인정보의 규제 범위가 과도하게 넓어졌다는 지적이다.

형식적인 사전동의(opt-in) 시스템도 문제로 꼽힌다. 현행 제도는 개인정보 수집시 사용자에게 활용방안을 고지하고 사전동의를 받도록 요구하고 있다. SGI는 "사전동의 절차를 엄격히 요구하는 현행 포지티브 규제는 실제 사용자 보호효과가 떨어지는데다 사후책임을 사용자에게 전가하는 문제가 있다"고 지적했다. SGI가 국민 500여명, 기업 200여개사를 대상으로 설문한 결과에서도 국민 85.0%, 기업 72.6%가 "사전동의 방식은 사용자 보호에 실질적 도움이 되지 않는다"고 답했다.

SGI는 "미국과 일본, 유럽연합은 익명정보는 사전동의(Opt-in)에서 사후동의(Opt-out)로 전환하고 있지만, 국내 법률은 광범위한 사전동의를 적용해 비식별정보 활용을 크게 제약하고 있다"고 지적했다.

과다·중복규제로 인한 낮은 활용도 역시 문제다. 우리나라는 일반법인 개인정보보호법과 산업별 개별법이 중복적으로 규제하고 있다. 복잡하고 중복적인 규제로 인해 빅데이터 분석을 수행한 기업은 1.7%에 불과하고, 그 중에서도 66%는 개인정보는 분석에서 제외하고 있는 실정이다.

SGI는 "한국의 개인정보제도는 제약만 많고, 개인정보를 활용한 신사업 창출도 안전한 보호도 이루어지지 못하는 상황"이라며 "개인정보 활용과 보호 간 균형점을 찾는 정책 마련이 필요하다"고 제언했다.

대한상의 제공© News1

SGI는 지난 8월 정부가 산업계 의견을 반영해 마련한 '개인정보 규제혁신 방안'에 대한 긍정적 평가를 내리며, 제도의 실효성 제고를 위해 비식별정보(가명·익명정보)에 대한 보다 구체적인 가이드라인 마련을 촉구했다.

영국과 미국은 구체적 기준을 사용해 익명정보의 재식별 리스크를 낮췄다. 영국은 데이터 전문가나 해커가 아닌 인터넷·도서관에 공개된 정보를 이용할 수 있는 일반인을 기준으로 재식별 리스크를 평가하고 있다. 미국은 비식별화에 관한 지식과 경험을 가진 전문가가 비식별화 수준을 판단하고 있다.

SGI는 개인정보보호제도의 패러다임을 현행 사전절차·처벌중심 방식에서 사후평가·자율규제로 전환할 것을 제안했다. 규제방식 선호도를 묻는 질문에 국민 67.9%, 기업 63.7%가 "절차 규제는 완화하되 사후 처벌을 강화해야한다"고 답했다. 이성호 SGI 신성장연구실장은 "개인정보보호제도를 사후평가·자율규제 방식으로 전환해 개인정보의 실질적인 보호정도를 높이고, 기업의 자발적인 보호역량 강화를 유도해야 한다"고 조언했다.


seeit@