블록체인, 자율주행차 관련 개인정보 이슈 - 규제자유특구 개인정보 전문가 포럼 내용 요약

 

 

규제자유특구, 그리고 해결해야할 개인정보 활용 이슈

---

 

7월 8일 월요일, 판교 스타트업 캠퍼스에서 중소벤처기업부 주관으로 '규제자유특구 개인정보 전문가 포럼'이 개최되었습니다.

이번 전문가 포럼은 올해 4월 17일 시행된 규제자유특구 제도에 의해 선정된 특구에서 사업을 추진할 때 예상되는 개인정보 이슈, 특히 블록체인과 자율주행차 기술 관련 개인정보법 등 현 법 제도 문제를 다루고 있어서

지금까지 주로 논의되었던 개인정보보호법 이슈와는 약간 다른 관점에서 새로운 내용을 얻을 수 있어서  흥미있었습니다.

 

 

먼저 '규제자유특구'에 대해 소개드리면, 

'규제자유특구 및 지역특화발전특구에 관한 규제특례법'(약칭 지역특구법)에 의해 지역의 자립적이고 지속적인 성장기반을 구축하여 국가균형발전 및 혁신성장을 목적으로 일정 지역을 지역의 컨셉에 맞게 규제특례를 적용할 수 있도록 하는 '규제 샌드박스' 제도입니다. 

 

이 '규제자유특구'는 지역균형발전 목적에 따라 수도권을 제외한 지역 시‧도지사가 '지역혁신성장사업', 또는 '지역전략산업'으로 계획을 수립하여 지정을 신청할 수 있으며, 국무총리를 위원장으로 하는 민‧관 합동 규제자유특구위원회에서 심의를 통해 특구로 지정받아 201개 규제 중 특례를 받고자 하는 사항을 선택하여(메뉴판식 규제특례) 혜택을 적용받을 수 있게 됩니다.

 

현재 14개 시‧도에서 47개 사업을 준비하고 있고 올해 7월 중 특구가 선정될 예정이며, 추가 지정도 고려하고 있음이 뉴스를 통해 알려진 바 있습니다.

 

 

이번 포럼은 박영선 중소벤처기업부 장관의 인사말을 시작으로 박주봉 중소기업 옴부즈만, 

고환경 변호사의 '기술혁신과 개인정보 규제 개선방안' 주제발표 이후 패널토론으로 약 2시간 가량 진행되었습니다.

 

 

 

현장 스케치

---

 

 

이번 포럼은 판교 테크노밸리에 위치한 스타트업 캠퍼스 1층 컨퍼런스룸에서 개최되었으며,

오전 10시인 이른 시간임에도 많은 사람들이 관심을 갖고 찾아온 것을 볼 수 있었습니다.

 

개인정보 법‧제도 관련해서는 기존에 많은 세미나가 있었지만 보통 개념이나 법 조항, 또는 기술적인 방법 위주로 다루어 관련 분야 담당자 및 기술자가 아닌 경우 쉽게 관심을 갖기 힘들었던 데 비해,

이번 포럼은 다양한 기업에 해당될 수 있는 규제 특례라는 테두리 안에서 개인정보 이슈를 다루고 있어 좀 더 많은 사람들에게 어필하지 않았나 생각됩니다. 

 

 

 

박영선 중소벤처기업부 장관의 인사말로 포럼 행사가 시작되었습니다.

 

자동차가 상용화되기 시작한 1900년대 초, 영국에서 있었던 '붉은 깃발법', 즉 자동차가 마차 속도보다 빠르게 달릴 수 없다는 낡은 규제의 사례처럼 우리나라도 현재 낡은 제도로 혁신이 이루어지지 못하고 있으며,

이를 해결하기 위해서 제도적 정비와 함께 사회적 인식의 개선도 필요하다고 이야기하였습니다.

 

또한 이러한 규제 및 사회적 인식 개선을 위해서 우리나라가 신뢰사회로 가야할 것이고,

신뢰를 바탕으로 규제혁신을 이룰 수 있도록 많은 지혜를 모아달라고 당부하였습니다.

 

 

 

 

주제발표 - 개인정보 규제 혁신 방안

---

 

 

법무법인 광장의 변호사이자, 4차산업혁명위원회 위원으로 재직 중인 고환경 변호사의 주제 발표가 이어졌습니다.

 

이번 발표에서는 머지 않아 국회 통과되어 시행될 것으로 예상되는 개인정보보호법 등 3종 법제에 대한 개정안에 대한 주요 변경사항과 그에 대한 개선점과 한계점을 들어볼 수 있었습니다.

 

기존 개인정보보호법, 정보통신망법, 신용정보법 등에 의해 유죄로 판결났던 사항들이 이번 개정안을 통해 달라질 수 있음을 사례별로 소개하고, 

또한 이번 법 제도 개선으로 좋아지는 점 뿐만 아니라, 여전히 해결해야할 점도 함께 언급하고 있어 제가 이번 개인정보보호법 개정안에 대해 가지고 있는 의문점이 관련 전문가도 함께 공유하고 있는 사실이였음을 알 수 있었습니다.

 

이번 발표에서 다룬 개인정보보호법 개정안의 주요 변경 및 이슈사항은 아래와 같습니다.

 

<개인정보보호법 등 3종 개정안의 주요 변경‧이슈사항>

             

① 개인정보 정의의 명확화

    ▶ "쉽게 결합"할 수 있는 지 여부 판단에 대한 세부 기준 도입

 
② 개인정보 추가 처리의 허용   

    ▶ "당초 수집 목적과 합리적으로 관련된 범위 내" 개인정보의 추가 처리를 허용

③ 가명정보의 활용   

    ▶ 통계작성, 과학적 연구, 공익적 기록보존 등을 위해 정보주체 동의없이 가명정보 형태로 처리 허용
    ▶ 신용정보법 개정안에 "상업적 목적, 산업적 연구"에 가명정보 제공이 가능함을 명시
        ※ 신용정보법 적용 대상이 아닌 개인정보보호법 상에는 '상업적, 산업적' 이 명시되어 있지 않아,
           향후 이견이 존재할 가능성 있음

④ 정보통신서비스제공자에 대한 특례

    ▶ 개인정보 위탁업무 시 일반적인 개인정보처리자는 위탁내용을 '공개'하는 것으로 충분하나, 정보통신서비스
        제공자는 위탁 '동의'를 받아야 하며, 개정안에서도 내용은 그대로인 채 정보통신망법에서 개인정보보호법
        으로 내용만 이관됨
    ▶ 정보통신서비스제공자에 대한 부당한 규제가 그대로 유지되고 있음
    ▶ 특히 클라우드를 이용한 빅데이터 처리에 저해요소가 될 것으로 판단됨

⑤ 개인정보 이동권
    ▶ GDPR에서 최초로 개념을 제시한 개인정보 이동권은 현행 개정안에는 반영되어 있지 않으며,
        신용정보법에서만 이동권의 개념을 도입하였음

 

 

패널 토론 현장

---

 

패널 토론은 앞서 김승주 고려대학교 정보보호대학원 교수가 좌장으로 진행을 맡았으며,

 

최화인 학장(한국블록체인협회 블록체인캠퍼스), 손주찬 책임연구원(한국전자통신연구원), 한서희 파트너 변호사(법무법인 바른)이 사업자 입장에서 개인정보법 및 처리 관련 문제점 및 개선이 필요한 사항을 발언하고,

 

이승재 사무관(행정안전부 개인정보보호정책과)과 이한진 과장(금융위원회 금융데이터정책과)이 이에 답변하는 방식으로 진행되었습니다.

 

최화인 학장과 한서희 변호사는 블록체인 분야에서 현재 개인정보 법 제도가 갖는 문제점 및 애로사항에 대해 이야기하였으며, 손주찬 책임연구원은 자율주행차 분야에서 개인정보 비식별화 문제에 대해 언급하였습니다.

 

한 시간 가량 진행된 토론에서 나온 주요 발언들을 정리해 보았습니다.

 

<규제자유특구 개인정보 전문가 포럼, 패널토론 주요 이슈>

             

① 블록체인 관련

    ▶ 블록체인의 탈중앙화, 분산저장 요소는 기존 개인정보보호법의 테두리에서 적용하기 어려움
    ▶ 블록체인은 불변조성의 장점이 있지만 대신 파기가 어렵기 때문에 기존 개인정보보호법과 상충되기 때문에,
         현행 법 체계에서 블록체인 사업을 하기 어려움

  

    ◀ 개인정보 활용과 함께 '보호'도 중요. 블록체인 기술이 왜 필요한 지에 대한 당위성과 함께
어떻게 국민에게 편익이 돌아가는지에 대한 공감대 확보가 필요함

    ▶ 데이터 파기 문제 해결을 위해 Off-Chain으로 개인정보가 담긴 원장은 파기하고 암호화된 해시값만 남겨두는
         방법을 적용할 수 있으나, 이것이 현 법령상 완벽한 파기로 간주하는 지 명확치 않음. 이에 대한 가이드가 필요
    ▶ 개인정보 삭제 세부규정은 시행령으로 정의되어 있기 때문에, 입법차원이 아닌 부처간 협의로도 개선될 수 있음

  

  ◀ 현재 신용정보법은 상거래 관계 종료 5년 후 무조건 파기하기로 되어있으나, 이에 대한 예외조항을 검토하고 있음.
◀ 블록체인 모델이 다양하기 때문에,
각 모델에 해당하는 구체적인 방안이 제시된다면 앞으로 개선을 검토하는 데 도움이 될 것

    ▶ 또한 블록체인 뿐만 아니라 모든 데이터 기반의 서비스 제공 시 문제가 되는 건별로 개인정보 수집에 동의를
         구하는 절차를 사전에 포괄적으로 동의를 받을 수 있도록 개선이 필요

  

    ◀ 퍼블릭 블록체인의 경우 개인정보처리자가 누구인지 모호한 점 등이 있어  '포괄동의'를 쉽게 접근하기 어려움.
특례법을 통해 특혜로 제공할 수 있는 수준은 아니라고 판단

   

② 자율주행차 관련

    ▶ 자율주행차 개발과정에서 사용되는 카메라 센서 등을 통해 수집되는 사람과 자동차 번호판 이미지는
         단순히 사람의 형체, 그리고 번호판을 통해 차량의 유형(승용차, 오토바이, 트럭 등)을 분류하기 위한 용도로,
         개인을 식별하기 위한 목적이 아님
    ▶ 하지만 현행 법상 영상‧이미지를 제공‧개방하기 위해서는 위치정보법에 의해 모두 비식별화해야 하는데, 하루
         5시간 분량을 처리하는데 5.4억원이 소요되며, 정확도도 90-95% 수준으로 나머지는 수작업으로 처리해야 함
    ▶ 또한 영상‧이미지만으로 개인의 위치를 추출하는 것은 어려우며 데이터센터에서 암호화되어 관리되므로, 
         이러한 기술적 여건을 고려하여 비식별화 조치의 완화가 필요함

  

    ◀ 비식별화에 대해 무조건 부정적으로 바라볼 것은 아님.
오히려 이러한 목적에 맞는 비식별 기술 개발 등으로 새로운 시장이 창출되는 긍정적 영향도 있다고 생각

    ▶ 자율주행차 개발사가 위치정보법에 적용받는 위치정보사업자인지 불분명하고, 실질적으로 촬영되는 대상에게
         모두 동의를 받는 것은 불가능함. 따라서 사전 동의를 받지 않아도 법적으로 문제가 없도록 근거를 명확히 해야함

  

    ◀ 위치정보법은 방통위에서 담당하고 있어 검토가 필요할 것으로 생각함

 

 

③ 규제특례 및 제도개선   

    ▶ 규제특구는 다양한 가능성을 검증해 볼 수 있는 테스트베드가 되어야 함. 당장 눈에 보이는 사업성만 좇는 경우가
         많은데, 이 경우 규제 샌드박스의 취지와 달리 '샌드'는 사라지고 '규제'만 남게 될 것

    

    ◀ 개별적인 법 개정과 같은 입법적인 접근 방법과, 규제 특례와 같은 행정적인 접근 방법은 구별되어야 함
    ◀ 규제 특례는 인‧허가 등 사업적인 측면에서 영향을 미치는 규제 요소를 완화하는 것이 주 목적으로,
전 국민에게 파급되는 요소까지 특례의 대상으로 하기는 어려움
  ◀ 예를 들어 개인정보 삭제권은 헌법에 정의된 개인정보 자기결정권에 따르는 내용으로
행정부가 규제 특례로 임의로 처리할 수 없을 것으로 판단

 

참관 후기 및 결언

---

 

규제자유특구 개인정보 전문가 포럼을 통해 현행 개인정보보호 제도와 개선될 제도를 비교하고, 블록체인과 자율주행차 분야에서 현행 법 제도 하에서의 애로사항과 개선이 필요한 사항을 파악하며 이것을 어떤 방법으로 풀어갈 수 있을 지 들어볼 수 있었습니다.

 

기업 및 연구계 패널에서는 현재의 답답한 법 제도를 규제자유특구라는 규제 특례 방식으로 해결할 수 있기를 기대하고 그에 대한 필요사항을 주장하였으나,

정부 관계자 패널에서는 앞에서 요구하는 규제 개선사항은 규제 특례로 해결이 제한적이며, 직접적으로 관련된 법 개정, 즉 국회를 통해 해결할 수 있을 것이다 라는 다소 비판적인 입장을 취했습니다.

 

이를 통해 '규제 특례'라는 용어에 대해 산업계와 정부가 바라보는 생각의 차이가 있음을 느낄 수 있었고,

특히 정부 패널 측에서는 일부 긍정적으로 수용하는 내용도 있으나, 대체로 정부가 해야하는 일과 국회가 해야 하는 일에 대해 선을 긋고 있다고 보여졌습니다.

 

따라서 개인정보 이슈만큼은 '규제자유특구' 하나로 모든 문제를 해결하는 만병통치약이 되기는 어려울 것으로 보이며,

앞서 주제 발표로 진행된 개인정보보호법 개정안이 얼마나 성공적으로 정착하고 신기술을 잘 포용할 수 있을 지가 중요할 것으로 생각됩니다.