개인정보 제3자 위탁 규제, 클라우드-AI산업 발목 잡는다

  • 동아일보
  • 입력 2019년 8월 26일 03시 00분


코멘트

관련업계 “제도 개선” 한목소리… 빅데이터-AI 기술 이용 위한 위탁
기업 이익 활용 3자제공과 달라… 가입자 동의 구하다 신규사업 포기
한국기업 클라우드 도입률 12.9%… OECD 평균 30%의 절반도 안돼

최근 온라인 판매 시스템의 클라우드 전환을 추진하는 국내 뷰티 기업 A사는 난감한 상황에 빠졌다. 이 회사는 웹사이트 회원 가입을 통해 지금까지 수집해 온 개인정보와 구매정보를 전문 클라우드 기업의 빅데이터 솔루션을 통해 분석해 더욱 정교한 마케팅 계획을 짜려고 했다. 그런데 정보통신망법상 개인정보를 외부 기업의 클라우드에서 돌리려면 다시 회원들의 개별 동의 절차를 거쳐야 한다. A사 관계자는 “수만 명의 동의를 다시 받는 게 단기간 내에는 불가능하다”고 토로했다.

이달 국회의 ‘데이터3법(개인정보보호법 정보통신망법 신용정보보호법)’ 개정안에 대한 심사가 재개된 가운데 ‘정보통신망법의 개인정보 제3자 위탁 시 동의 규제’를 개선해야 한다는 목소리가 나온다. 개인정보 위탁은 다른 기업에 개인정보가 이전된다는 점에선 ‘제3자 제공’과 같다. 하지만 위탁자의 업무에 클라우드, 인공지능(AI) 등을 접목하기 위한 것이라는 점에서 제공받는 기업의 이익을 위해 활용하는 제3자 제공과는 다르다. 그런데 같은 수준의 엄격한 동의 절차를 요구하고 있는 것이다.

정보통신망법의 개인정보 위탁 관련 규정은 통신업체, 인터넷기업뿐만 아니라 인터넷뱅킹이나 홈트레이딩 서비스를 제공하는 금융업체, 인터넷 쇼핑몰 운영사 등 정보기술(IT)을 접목하는 기존 기업들에도 적용된다. 예컨대 시중은행이 클라우드 시스템을 새로 도입하려면 1000만 명이 넘는 이용자의 동의를 모두 개별적으로 받아내야 한다. 한 은행 IT부서 관계자는 “지금까지는 고객 개인정보가 포함되지 않은 인사, 노무 등 비핵심 정보만 클라우드를 이용해 왔다”며 “고객 개인정보를 클라우드 시스템으로 옮기는 건 현행법 내에서 어려워 보인다”고 말했다. 이 같은 경직된 규제가 클라우드 도입, 빅데이터 활용 등 기업의 ‘디지털 트랜스포메이션’을 저해한다는 우려의 목소리가 크다.

이진규 네이버 정보보호최고책임자(CISO)는 최근 국회 토론회에서 “소비자에게 정보 위탁에 대한 추가 동의를 받는 게 현실적으로 쉽지 않은 상황에서 아마존웹서비스(AWS)처럼 AI나 클라우드 기술을 보유한 전문 기업에 개인정보가 담긴 데이터를 넘기는 게 불가능하다”고 설명했다.

OECD에 따르면 지난해 기준 한국의 기업 클라우드 도입률은 12.9%로 OECD 전체 평균(30%)의 절반에도 못 미쳐 27위에 불과하다. 지난해 스위스 국제경영대학원(IMD)이 발표한 빅데이터 활용·분석 국가별 순위도 31위에 그쳤다. 미국 유럽 등 주요 국가에서는 개인정보 위탁은 개인정보 주관자(위탁자)와 처리자(수탁자)의 계약에 일임할 뿐 별다른 규제가 없다. 위탁하는 기업이 책임지면 될 뿐 별도의 동의 절차를 요구하지 않는 것이다.

개인정보 위탁과 제3자 제공을 구분해 위탁 시에는 사실 공개와 고지 등의 의무만 부과한 개인정보보호법과 상충된다는 지적도 나온다. 정부는 유럽의 개인정보보호규정(GDPR)을 준수하기 위해 데이터3법의 개인정보 관련 규정을 개인정보보호법으로 모두 이관하는 방안을 추진 중이다.

정부 관계자는 “정부도 문제점을 인식하고 있지만 제대로 논의가 이뤄지지 못한 측면이 있다”며 “데이터 산업 진흥을 위해서는 국회의 데이터3법 개정안 논의 때 정보통신망법의 위탁 규제 완화가 다뤄져야 한다”고 말했다.

황태호 기자 taeho@donga.com
#개인정보#클라우드#데이터3법
  • 좋아요
    0
  • 슬퍼요
    0
  • 화나요
    0
  • 추천해요

댓글 0

지금 뜨는 뉴스