금융위원회와 신용정보원이 빅데이터 활용에 본격 시동을 건다고 한다. 이에 앞서 금융위는 신용정보법 개정안을 마련해 발표하기도 했다. 문제는 빅데이터 정보활용의 근거가 되는 법 개정안 자체가 개인정보보호에 큰 맹점을 지니고 있다는 점이다.
개정안은 ①신용정보법, 개인정보법, 정보통신망법 간 유사·중복규제를 해소하여 금융회사는 신용정보법만 준수하면 되는 것으로 하고, ②금융거래정보도 신용정보로 포섭하고, ③빅데이터 근거 조문을 만들었다.
개인정보보호법의 내용을 대거 신용정보법에 포함시킴으로써 중복규제 문제를 해결했는데, 입법기술적으로는 중복하여 기술하는 것보다 간단하게 ‘준용’하면 될 것인데 조문의 낭비로 보인다. 그리고 신용 판단과 무관한 정보도 ‘금융거래’와 관련만 있으면 신용정보로 보는데, 단순한 금융거래정보를 신용정보로 보는 것도 이해하기 어렵고 나아가 ‘금융거래’의 모호성·광범위성 때문에 신용정보 범위가 무제한 넓어질 수 있는 문제점이 있다.
본론으로 들어가서, 신용벙보법 개정안은 다음과 같은 빅데이터 조문을 신설했다. “제32조의2②제1항에도 불구하고 신용정보회사 등은 다음 각 호의 어느 하나에 해당하는 경우에는 신용정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인신용정보를 목적 외 용도로 이용하거나 이를 제3자에게 제공할 수 있다. 4. 특정 개인을 알아볼 수 없는 형태로 처리하는 경우”다.
요약하면, 비식별화로 목적외 이용·제공이 가능하고(제32조의 2 제2항 제4호), 다만 재식별화는 금지된다는 것인데(제7항) 여기서는 몇 가지 문제점이 발견된다.
첫째, 제32조의 2 제2항 제4호는 개인정보보호법 제18조 제2항 제4호(통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우)에 근거한 것인데, 개인정보보호법 위 조항과 달리 ‘통계작성 및 학술연구 등의 목적’의 제한이 삭제되어 있다.
개인정보보호법 위 조항에 대하여 많은 전문가들은 목적 범위를 좁게 해석한 것과 달리 금융위원회는 위 조문을 넓게 해석하고 있었는데 그 결과의 반영으로 보인다. 개인정보보호법 조항과 달리 ‘통계작성 및 학술연구 등의 목적’의 제한없이 이용할 수 있게끔 규정한 것은 금융회사에 대한 특혜로 보이며, 일반법인 개인정보보호법에 나와 있는 목적 제한 범위를 삭제하는 것이 법체계상 타당한지의 의문도 생긴다.
둘째, EU 등은 빅데이터 조문을 신설했는데, 그 주류는 ‘pseudonymous data’의 개념정의와 도입이었다. 한 사람에게 대입할 수 있지만 그 사람이 누구인지 알아볼 수 없는 상태의 ‘pseudonymous data’를 도입함으로써 빅데이터 조항을 신설하는 것이 세계적 흐름이다.
하지만 금융위원회는 비개인정보는 법 적용이 없다는 너무나 당연한 논리의 접근을 하고 있는바, 일단 국제적 흐름에 전혀 부합하지 않는 문제점이 있고, 당연한 말을 굳이 법조문에 만들 필요성이 있는지 의문이며, 이 조문으로는 개인정보보호법 제18조 제2항 제4호의 예와 같이 실제 빅데이터 산업에 큰 기여를 하지 못할 것으로 보인다.
빅데이터의 핵심은 ‘pseudonymous data’의 도입에 있다. 비개인정보는 법 적용이 없다는 논리로 해결될 것은 아니며, EU, 일본 등도 빅데이터 문제를 이렇게 해결하지는 않았다. 빅데이터에서 정작 멀어지고 있는 신용정보법 개정안의 빅데이터 조항을 바로 잡아야 할 것이다.
* 법무법인 민후 김경환 대표변호사 작성, 디지털타임스(2016. 5. 29.), 전자신문(2016. 5. 30.), 리걸인사이트(2016. 5. 30.) 기고.
