(1) 개·망·신法의 그늘
국회만 바라보는 기업들
[ 송형석/윤희은 기자 ] 지난해 8월 문재인 대통령은 “데이터는 미래의 석유”라고 강조했다. 기업이 개인정보를 자유롭게 활용할 수 있도록 하겠다고 밝혔다. ‘개·망·신법’으로 불리는 개인정보보호법, 정보통신망법, 신용정보보호법을 개정해 ‘데이터 강국’으로 가는 초석을 놓겠다는 얘기였다. 8개월이 흘렀지만 현실은 달라진 게 없다. 개정 법안들은 시민단체와 야당의 반대로 국회에서 잠자고 있다.
개인정보가 포함된 데이터를 사업화하려는 기업들이 국회만 바라보고 있다. 사업 조직만 꾸려놓고 개점휴업 상태인 업체가 수두룩하다. 개인정보를 수집하고 가공할 법적 근거가 없기 때문이다.
현행법은 주민등록번호처럼 개인을 특정할 수 있는 데이터뿐만 아니라 다른 정보와 결합해 개인의 신분이 드러날 가능성이 있는 데이터도 개인정보로 간주한다. 본인 동의 없이 이를 사용하는 것은 불법이다. 개인정보 3법인 개·망·신법 내용은 비슷하다. 온라인이나 모바일로 사업을 하면 정보통신망법이, 금융회사에는 신용정보보호법이 적용된다.
올 들어 헬스케어법인을 세운 네이버, 카카오는 사업 첫 단계인 의료 데이터 수집 작업에서 제동이 걸렸다. 야심 차게 출범한 신사업 조직을 놀리고 있다. 금융 데이터를 가공해 파는 사업을 준비 중인 핀테크(금융기술) 기업들도 당혹스러워하고 있다. 자산관리 앱(응용프로그램) 뱅크샐러드를 운영하는 레이니스트가 대표적이다. 김태훈 뱅크샐러드 대표는 “인공지능(AI) 기술을 활용한 컨설팅사업을 하기 위해 신용정보보호법 개정만 기다리고 있다”고 말했다.
전문가들은 개인정보 관련 규제로 새 사업에 뛰어들지 못하는 기업이 수천 곳에 이를 것으로 보고 있다. 이민화 창조경제연구회 이사장(KAIST 교수)은 “데이터를 자유롭게 활용하게 하고 문제가 생기면 처벌하는 게 세계적 추세”라고 말했다. 이어 “데이터 규제 완화의 첫 단추인 개·망·신법 개정이 더 미뤄지면 빅데이터산업은 싹도 못 틔우고 고사할 것”이라고 지적했다.
美벤처, 3억명 의료데이터 거래…네이버·카카오 헬스케어는 '개점휴업'
미국 펜실베이니아주 필라델피아에 있는 스타트업(신생 벤처기업) 헬스베리티. 2014년 설립된 뒤 3억 명의 의료데이터 거래를 중개하는 비즈니스로 각광받고 있다. 의료데이터는 모두 개인을 특정할 수 없도록 ‘비식별화’ 조치를 거쳐 거래한다. 2017년 기준 글로벌 제약회사 10곳 중 8곳이 이 회사의 서비스를 이용했다. 헬스베리티는 성장세를 인정받아 다수의 벤처캐피털(VC)로부터 1000만달러(약 113억원)의 투자도 받았다. 규제에 발이 묶여 공회전만 하는 한국 기업들의 데이터 신사업 현주소와 대조된다.
개인정보보호법 개정 안 돼 제동 걸려
지난해 8월 문재인 대통령은 ‘데이터 경제’를 선언했다. 기업들이 자유롭게 데이터를 활용할 수 있는 여건을 조성해 헬스베리티와 같은 빅데이터 기업을 육성한다는 게 골자였다.
선언 이후 8개월이 흘렀지만 바뀐 것은 많지 않다. 개인정보보호법 등 개인정보 관련법 개정안은 국회에서 표류 중이다. 데이터 규제와 관련한 논의도 흐지부지되고 있다. 기업들은 규제 완화를 예상하고 잡아놨던 사업계획에 브레이크가 걸렸다고 토로한다. 선제적으로 만들어 놓은 신사업 조직이 비용만 잡아먹고 있다는 설명이다.
네이버는 지난달 15일 대웅제약, 분당서울대병원 등과 헬스케어 합작법인인 다나아데이터를 설립했다. 카카오도 올 1월 서울아산병원과 인공지능(AI) 기반의 의료 빅데이터 업체 아산카카오메디컬데이터를 세웠다.
네이버와 카카오의 비즈니스 모델은 비슷하다. 빅데이터와 AI 기술을 활용해 질병을 진단하고 예방하는 사업이다. 구글의 헬스케어 자회사 베릴리를 벤치마킹했다. 베릴리는 30만 명의 안구를 스캔한 데이터를 기반으로 심혈관 질환을 진단하는 기술로 유명하다.
베릴리가 사업화에 성공한 반면 다나아데이터와 아산카카오메디컬데이터는 개점휴업 상태다. 개인정보보호법 개정안이 국회에서 처리되지 않아 한국 두 회사는 빅데이터 헬스케어 사업의 ‘첫 단추’에 해당하는 데이터 수집 작업에 제동이 걸렸다. 현행법은 의료·건강정보를 활용할 때 당사자의 사전 동의를 받아야 한다고 규정하고 있다. 개인을 특정할 수 없도록 가명처리한다고 해도 예외를 인정받기 힘들다.
헬스케어업계 관계자는 “법 개정이 안 되면 수만 명에 달하는 고객에게 일일이 정보사용 동의를 받아야 하는데 이는 현실적으로 불가능한 얘기”라고 하소연했다.
국회만 바라보는 것은 금융회사들도 마찬가지다. 지난 2월 말 국내 8개 신용카드 업체는 금융당국이 운영 중인 ‘카드산업 건전화 및 경쟁력 제고 태스크포스(TF)’에 빅데이터 규제 완화를 건의했다. 활용할 수 있는 데이터의 종류, 데이터 사업 허용 범위 등이 명확하지 않아 신규 사업 진출이 힘들다는 게 카드회사들의 주장이다.
한 카드사 관계자는 “신용카드사들은 보유하고 있는 고객 데이터를 활용한 컨설팅 서비스를 준비 중이지만 법 개정이 없이는 사업 진행이 불가능하다”고 토로했다.
영리 목적 개인정보 활용 ‘첩첩산중’
전문가들은 가명정보의 개념을 구체화하는 것은 데이터 규제를 푸는 첫걸음에 불과하다고 설명한다. 기업들이 자유롭게 데이터 비즈니스를 하기까지 추가로 손을 대야 할 법령이 상당하다는 지적이다.
영리 목적으로 가명처리를 한 개인정보 사용을 허용할지가 최대 관심사다. 정부와 여당의 개인정보보호 관련법 개정안들은 통계 처리, 연구목적 등으로 가명정보를 활용하는 것을 골자로 하고 있다. 이를 상업적으로 활용할 수 있느냐는 다른 문제다.
예컨대 헬스케어 기업이 가명정보를 상업적으로 쓰려면 보건의료진흥법을 뜯어고쳐야 한다. 이 법은 순수한 연구목적 외에는 개인정보를 활용할 수 없다고 명시하고 있다. 지난해 10월 국정감사 때도 이 문제가 도마에 올랐다.
박능후 보건복지부 장관은 당시 “카카오 자회사인 아산카카오메디컬데이터가 의료정보 상업화를 꾀하는 게 아니냐”는 질문에 “엄격히 규제하겠다”고 답했다.
개인정보 관련 규제 컨트롤타워를 일원화하는 문제 역시 갈 길이 멀다. 지금은 과학기술정보통신부, 금융위원회, 행정안전부 등으로 규제·감독 권한이 나뉘어 있다. 새 사업을 하는 것에 문제가 없는지 확인받는 데만 수개월이 걸린다는 불만이 쏟아지고 있는 배경이다.
정부는 이 문제를 풀기 위해 개인정보보호법 개정안에 현재 심의기능만 있는 개인정보보호위원회를 정식 정부부처로 승격해 독립시키는 법안을 제출해놨다. 하지만 ‘공룡 부처’의 탄생을 우려하는 야당의 반대가 심해 국회 문턱을 넘지 못하고 있다.
송형석/윤희은 기자 click@hankyung.com
관련뉴스