고학수 "개인정보위 주도 마이데이터 협의체 만들 것"
"개인정보보호위원회는 마이데이터의 코디네이터 역할을 하려고 합니다. 마이데이터를 구체화하기 위해 여러 정부 부처와 함께 올 상반기 안에 협의체를 만들 계획입니다. 개인정보의 주체·처리자 간 균형자로서 개인정보 정책 컨트롤타워로서 확실히 자리 잡겠습니다." 고학수 개인정보보호위원회 위원장은 본지와 인터뷰에서 올해 포부를 이같이 밝혔다. 고 위원장은 지난해 10월 개인정보위 제2대 위원장으로 취임했다. 고 위원장은 개인정보 보호와 활용이란 양 측면의 중요성을 모두 아는 전문가로 꼽힌다. 고 위원장은 올해 4년 차에 접어든 개인정보위를 "개인정보 정책 컨트롤타워로 확실히 만들겠다"고 강조했다. -개인정보보호위원회의 권한과 조직 규모가 작다는 의견이 있다. 이에 대해 어떻게 생각하는지, 향후 이와 관련해 추진하고 싶은 방향이 있나. "개인정보위는 현재 4개국에 총 163명의 정원으로 구성돼 있다. 우리나라 중앙행정기관 중 가장 적은 인원이다. 유럽 개인정보기관은 1천명 정도고, 프랑스는 350명 정도 된다. 조직이 작으면 할 수 있는 일이 제한될 수밖에 없다. 지난 9월에 구글과 메타에 총 1천억원의 과징금을 부과했는데, 조사관이 24명밖에 되지 않아 사건을 처리하는 게 매우 버거웠다. 또한 개인정보위의 또 다른 중요한 역할인 가이드라인을 제대로 제시하려면 현장에서 일하는 실무진이 많이 필요한데 이를 위한 인력이 많이 부족하다. 앞으로 AI·생체인식·스마트도시 등 개인정보를 활용하는 새로운 기술이 계속 개발되고 관련 서비스가 나오는 것을 고려하면, 현재 개인정보위의 권한과 조직 규모는 여전히 부족한 점이 많고 아쉬움이 크다고 할 수 있다. 개인정보위에 새로운 권한과 예산이 반영될 필요가 있다고 생각해, 앞으로 행정안전부 등 관계부처와 적극적으로 협력해 디지털 시대에 부합하도록 조직체계를 정비해 나갈 생각이다." -개인정보보호법 개정안이 국회 정무위의 문턱을 넘었다. 개인정보보호법 개정안이 가져올 가장 큰 변화와 의의는 뭐라고 생각하나. "이번 개정안에 담긴 개인정보 전송요구권 등은 개인정보가 단순히 보호의 대상이라는 관점을 넘어, 국민은 진정한 정보주체로서 개인정보를 통제·이용하고, 기업은 정보 주체 중심으로 변화한 데이터 환경에 따라 새로운 비즈니스 창출을 모색하게 될 디지털 대전환 시대를 이끌 것으로 기대한다." -개인정보보호법 개정안이 곧 법사위도 통과할 것으로 보인다. 중요한 성과이긴 하지만 법만 변한다고 해서 데이터 활용이 잘 이뤄질 것으로 보긴 어렵기도 하다. 실제 현장에서 데이터가 잘 활용되기 위해서는 어떤 방안이 필요하다고 보나. "현장에서 실무자가 유용하게 사용할 수 있는 가이드라인을 마련해 제시하려고 한다. 만들어도 자칫 현업에서 아무도 들여다보지 않아 무용지물이 되거나 오히려 업무처리 혼란을 줘 장애물이 되는 형식적인 가이드라인이 아니라, 실무자의 업무처리에 도움을 줄 수 있는 실제적이며 구체적인 가이드라인을 만들 계획이다. 또한 개인정보 보호·활용 기술을 모니터링하고 관련 R&D 등도 추진할 예정이다. 법 개정의 후속조치로는 전 분야 마이데이터 도입에 따른 범정부 추진체계를 마련하고, 공공기관 대상 개인정보 보호 수준평가, 개인정보 처리방침 평가제 등을 도입하려 한다." -현재 어떤 가이드라인들이 진행되고 있나. "구글·메타 건과 관련해 맞춤형 광고 개인정보보호 가이드라인을 준비하고 있다. 온라인 활동정보 등 행태정보의 동의방법 개선 및 사후거부권 보장 등의 내용이 담길 예정이다. 그 이외에도 근로자 정보 수집 시 필요한 개인정보 보호 가이드라인도 준비하고 있다. 메타버스, 클라우드 내 불명확한 개인정보 처리 가이드라인도 추진하려 하며, 마이데이터 전송보안 가이드라인 등도 준비 중이다." -데이터 활용 실무자 양성에 대한 계획도 있나. "데이터 산업은 양질의 인적 요소 투입이 매우 중요한 분야로, 전문성을 갖춘 인력을 양성하는 것이 필수적이다. 하지만 가장 어려운 과제 중 하나라고 생각한다. 개인정보위는 현재 교육부 등과 협업해 지난해 3월부터 서울여대에 개인정보 보호 교육 과정을 지원하고 있다. 앞으로 대학원에도 개인정보 보호 교육 과정이 생길 수 있도록 지원해 나갈 계획이다. 현장에서 실무 상황을 염두에 두고 어떻게 유용한 경험을 지닌 전문가를 양성할 수 있을지도 고민 중이다. 또 지난해 R&D예산이 작지만 처음 만들어졌다. 올해는 조금 더 만들어보려 한다. 현재 IT분야는 신기술이 계속 개발·등장하고 있으며, 그와 함께 동형암호, 영지식 증명 등 프라이버시 강화 기술(PET) 역시 계속해서 출현하고 있다. 하지만 실제 법 제도에는 신기술이 적극적으로 포용되지 않는 점이 있다. 실제 R&D가 실험실에서 계속 이뤄져 법 제도에 반영이 될 수 있으면 좋겠다." -마이데이터는 다양한 부처, 산업계 등이 함께 논의해야 하는 분야다. 개인정보위는 구체적으로 어떤 역할을 할 것인가. "새해에는 마이데이터 논의를 본격적으로 하려 한다. 이걸 계기로 우리 조직에서도 마이데이터 업무를 담당할 팀을 만들어야 된다고 본격적으로 설득해보려 한다. 개인정보위는 마이데이터 코디네이터 역할을 하려 한다. 개인정보위가 판을 만들어 다른 부처랑 경쟁 관계가 아니고 협조해 논의하는 방식으로 진행할 계획이다. 예를 들어, 보건 의료 데이터에 대해서도 보건복지부가 혼자 할 수 없다. 개인정보 보호가 필수적으로 들어가야 하기 때문에 협업하지 않으면 진전이 될 수 없다." -개인정보보호법 개정안 내 과징금 부과와 관련해, '위반행위와 관련 없는 매출액'을 제외하기로 한 부분을 두고 일각에서는 처음 추진했던 '총 매출액' 기준에서 다소 제재가 약해진 것이 아니냐는 우려도 나온다. 이에 대해 어떻게 생각하나. "입법 과정에서 타협하게 되니까 그렇게 된 부분도 있다. 그러나 실무를 하는 분들 입장에서는 큰 변화가 있다. 법적인 분쟁 상황에서는 어느 쪽에 입증 책임이 있느냐가 중요하다. 이번 개정안을 통해 '위반행위와 관련 없다'는 입증 책임을 해당 기업이 부담하게 된다. 기업이 입증을 하지 못할 시에는 '전체 매출액'을 기준으로 과징금을 산정하기 때문에 실효성 있는 과징금 부과가 가능할 것이라고 본다." -개인정보위는 지난달 개인정보 불법 수집 등 개인정보보호법 위반행위와 관련해 구글·메타에 과징금 부과 관련 의결서를 전달했다. 메타와 구글이 소송을 제기하면 어떻게 대응할 계획인가. "구글과 메타는 송달받은 내용을 검토해 90일 이내에 수락 또는 행정소송 제기 여부를 판단할 것으로 보인다. 구글과 메타가 위원회 의결사항에 따르기를 기대하지만, 소송을 제기한다면 적극 대응할 것이다. 구글과 타의 동의 위반 처분은 불법적인 관행을 바로잡는 시작점이다. 개인정보위는 앞으로도 메타의 최근 동의방식 변경 시도와 관련한 사항을 포함해 주요 온라인 플랫폼의 개인정보 처리 방식에 대해 지속적으로 조사를 이어 나갈 계획이다." -우리나라의 현재 개인정보 보호 수준과 데이터 활용 수준은 세계 여러 나라와 비교해봤을 때 어느 정도 수준에 와 있다고 생각하나. "국가마다 개인정보보호 법제와 데이터 활용 환경이 달라 일률적인 비교는 어렵지만, 우리나라가 지금까지 데이터 분야에서 우수한 점은 공공데이터 포털 등을 통해 대량의 데이터를 축적해왔다는 점이다. 반면, 이렇게 축적된 데이터 활용 성과에 대해서는 개인정보 포함 여부, 표준화 여부 등으로 유용성이 제한적이었다는 점은 아쉬운 점이다. 이러한 데이터 활용의 제한성을 극복하기 위해서는 신뢰에 기반한 데이터 활용 환경이 조성돼야 하며, 데이터 활용을 전제로 하는 데이터 표준화 같은 일종의 관행이 사회에 자리 잡을 필요가 있다." -개인정보를 안전하게 보호하면서도 산업 발전을 위한 데이터 활용은 잘 되는 나라로 만들기 위해서 우리나라는 특별히 어떤 점이 잘 해낼 수 있는 강점이고, 또 어떤 점이 약점으로 작용한다고 생각하나. "우리나라는 디지털 모범 국가로 세계를 선도하기 위해 유리한 요건을 갖추고 있다. 우리 국민들은 높은 보급률의 스마트폰과 태블릿 등을 통해 정보에 쉽게 접근하며, SNS로 자신의 일상을 디지털로 기록하는 등 정보화 수준이 매우 높다. 이런 환경은 전 국민이 다양한 유형의 데이터를 대량으로 생산 가능하게 해주며, 이를 잘 활용하면 빠르게 데이 분야의 선진국으로 도약할 수 있다는 강점으로 작용할 것이다. 반면, 아쉽게도 지금까지 우리는 생산되는 데이터를 어떤 식으로 데이터 베이스화할 건지에 대한 논의에 그치거나, 개인정보 보호라는 명목하에 일단 활용을 억제하고 보는 경우가 많았다. 이런 점을 해결하기 위해 법이 제시하는 원리를 어떤 식으로 재해석할 건지에 관한 해석·응용역량을 육성하고, 사회적 논의를 통해 우리나라 데이터 환경과 법제도에 맞는 한국형 해결책을 찾아가야 할 것으로 보인다." -제2대 개인정보보호 위원장으로서 꼭 이것만은 해내고 싶다는 게 있나. "제일 큰 욕심이라면, 디지털 대전환이라고 하는 큰 흐름에 나름의 역할을 했다는 평가를 받을 수 있으면 좋겠다. 디지털 대전환이라고 말은 많이들 하지만, 하루아침에 되는 것은 아니다. 마이데이터가 중요한 출발점이 될 것이라고 생각한다. 마이데이터를 구체화하기 위해서 여러 정부 부처랑 협의체도 만들 것이고, 외부 의견도 많이 들을 것이다. 협의체 이름은 아직 정해지진 않았지만, 내년 상반기 안에는 모일 수 있을 것 같다. 올해 일단 가장 중요한 것은 금융·공공에서 전 분야로의 확산 전략을 담은 마이데이터 로드맵을 그리는 것이다. '개인정보위가 주관해서 하면 개인정보 보호가 잘 되면서 데이터가 활용되겠구나' 하는 신뢰를 국민들에게 줄 수 있도록 노력하겠다."