본문바로가기
  • BUSINESS
  • PRODUCT
  • CUSTOMER
  • COMMUNITY

제 목 개인정보 정책에서 증거기반(evidence-based)의 규제의 필요성
등록일 2022-01-05
첨부파일



<사진 출처 : www.freepik.com>



 

들어가며

[사례 1] 개인정보위원회 및 보험업계에 따르면 올해 7월 말 기준 개인정보 손해배상책임보험에 가입 한 사업자는 8,435곳이다. 제도 도입 당시 방송통신위원회가 대상사업자 규모를 18만3,300사로 추정했 던 점을 감안하면 가입률이 5%에도 미치지 못한다. 보험상품이 나온지 2년 가량 되었으나 보험금 지급 사례가 전무(全無)하다.1) [사례 2] 금융데이터거래소의 출범 1년 즈음에 확인한 누적 거래량은 2,100여 건, 유료거래는 약 90 건(총 12억원, 전체 거래 대비 4% 수준)으로 확인된다.2) 금융데이터 거래소는 ‘20년 5월 출범 당시 ‘데이터 3법 시행 시점인 20년 8월 이후가 터닝포인트가 될 것이다.’라고 예상했으나, 등록된 데이터와 유료 수요는 기대와 달리 초라한 수준이다.3) [사례 3] 정부는 QR코드 기반의 ‘방역패스’를 올해 12월에 전격 시행했으나, 접속량 예측에 실패하여 서버 운영에 문제점을 드러내며 ‘먹통 사태’에 대한 비난을 받아야 했다. 시행 둘째날인 12월 14일 점심 시간대엔 약 150만건의 QR코드 예방접종 검증이 이뤄졌는데, 이는 7일 같은 시간대(약 46만건)의 사용 량을 3배 이상 상회하는 수준이었다.4) [사례 4] 공정거래위원회는 전자상거래법 개정을 통해 온라인 사업자가 맞춤 광고를 하는 경우 그 내 용과 방법을 사전에 소비자에게 고지하고 맞춤 광고 수신 여부를 개별 소비자가 선택할 수 있도록 하겠 다 밝혔다. 그런데, 이로 인한 광고 매출 감소 효과는 총 1~2조에 달하는 것으로 추정되고, 이로 인해 중소상공인의 틈새시장 확보가 어려워져 대규모 사회적 손실(롱테일 경제 타격)이 예상된다는 주장이 제 기되었다. 맞춤 광고에 대한 실태 조사를 통해 데이터를 확보·분석해 개인정보 활용 및 보호에 대한 경 제성 분석 연구를 추진 필요성이 제기되지만 정부는 여전히 법 개정을 추진할 것으로 알려지고 있다.5) 상기 [사례 1~3]은 정책적 실패 또는 준비 미흡으로 평가받는 사안인데, 한 가지 공통점이 있다. 정 부가 사전에 데이터 증거를 기반으로 정책을 수립하는 경우 발생을 피할 수 있었던 정책이라는 점이다. [사례 4]는 규제의 영향을 받는 시장이 ‘정책에 관련된 데이터를 모아 증거 기반으로 접근하면, 당면한 문제를 보다 합리적으로 해결할 수 있다.’라는 주장을 내세우고 있는 것으로, 향후 규제당국의 대응이 주 목되는 사안이다. 해외, 특히 유럽연합이나 미국에서 특정 규제에 관한 논의가 ‘개시’되면 국내에선 벌써 법제화가 진행 되는 경우가 다수 있다. 특히, 개인정보에 관한 규제는 전 세계의 “가장 강한 규제의 합집합”을 가장 빠 르게 만들어낸 것으로 평가받고 있기도 하다. 현재 국회에 제출된, 정부가 발의한 개인정보보호법 개정 안은 기존의 규제가 모자랐던 듯, 유럽연합 GDPR에 있는 규제를 추가로 받아들이는 동시에 기존의 규 제를 더욱 강화하는 조치를 반영한 법조항을 다수 포함하고 있다(예: 전체 매출액 기반의 과징금, 개인 정보분쟁조정위원회의 조사권 확보 등). 그런데, 이와 같은 신규 정책들이 법제에 반영될 때, 국내의 환 경과 데이터 처리 맥락을 충분히 고려하여 도입되는 것인지는 명확하지 않다. 특히, 데이터를 중심으로 하는 증거 기반(evidence-based)의 논거가 제시되어 검토되고 있는지는 좀처럼 확인이 되지 않는다. 해 외의 사례나, 규제 추가(강화)의 당위만 반복적으로 제시되고 있는 것이다. 이 글은 개인정보 관련 규제를 도입할 때, 증거기반 정책수립의 필요성에 대해 화두를 던지고자 하는 목적으로 작성되었다.



<사진 출처 : www.freepik.com>

 

증거기반 정책수립을 위한 법률적 토대

미국에는 「증거기반 정책수립 기초법 2018(Foundations for Evidence-Based Policymaking Act of 2018)」 이라는 연방법이 있다. 이것은 가 제시한 여러 제언을 받아들여 법제화 한 것으로서, 정책 생성을 위한 증거 및 데이터의 활용을 향상시키고, 연방 평가 활동을 의무화하며 연방 데이터 관 리를 개선하는 것 등을 목적으로 한다. 총 5편 제44편으로 구성된 이 법률은 연방 기관이 정책을 수립 할 때 고려해야 할 증거기반 접근방식에 대한 기반을 제공한다. 이 법률에 의하면 정부 기관은 매년 미국 관리예산실(OMB, Office of Management and Budget) 과 의회(National Assembly)에 정책 질의를 식별하고 대응할 ‘체계적 계획서’를 제출해야 하는데, 계획 서에는 다음의 내용이 반드시 포함되어야 한다.

■ 정책수립을 지원할 증거 개발을 위한 질의 문항

■ 정책수립에서 증거 사용을 촉진하기 위해 기관이 수집, 이용, 취득할 의향이 있는 데이터

■ 정책수립을 지원할 증거 개발에 사용될 수 있는 방법론 및 분석적 접근법

■ 정책수립을 지원할 증거 개발에 대한 도전적 과제 (관련 정보에 접근함에 있어 도전이 되는 법적 또는 다른 유형의 제한을 포함)

■ 증거 형성 활동을 조정하기 위한 고위직 평가 담당관(Evaluation Officer) 및 통계적 정책, 기 술,

절차에 관한 조언을 제시할 수 있는 통계적 전문지식을 보유한 담당관의 지정

이 법률은 하위법령으로 「공공정부 데이터법(OPEN Government Data Act)」와 「비밀정보보호 및 통 계효율법(confidential Information Protection and Statistical Efficiency Act of 2018)」를 두고 있는 데, 전자는 대통령실 직속 예산관리실장으로 하여금 연방정부 지침에 따라 실행 가능한 범위의 전략적 정보자원 관리 계획을 수립 및 관리하도록 하는 내용을, 후자는 증거 구축 활동을 촉진하고 효율적 통계 활용을 위해 연방 정부의 비밀정보 접근 가이드를 수립하는 동시에 통계 거버넌스를 정비하는 내용을 담고 있다. 특히, 전자는 연방 정부가 보유하고 있는 데이터 자산을 파악하고 공개의 우선순위 평가를 거쳐 최종적으로 ‘연방 데이터 목록(Federal Data Catalogue)’을 대중에게 공개하도록 하고 있다.

우리나라에선 「데이터기반행정 활성화에 관한 법률(이하 “데이터기반행정법”)」이 지난 2020년 6월에 제정되었다. 우리 데이터기반행정법은 데이터기반행정에 관해 법으로 정한 사항을 심의ㆍ조정하기 위하여 행정안전부장관 소속으로 데이터기반행정 활성화 위원회를 두고(제5조), 행정안전부 장관으로 하여금 데이터기반행정 활성화를 위한 기본계획을 3년마다 수립하도록 하고 있다(제6조). 공공기관의 장은 해당 기관의 데이터기반행정 활성화에 관한 업무를 총괄하는 책임관을 임명해야 하며(제19조), 책임관은 데이 터기반행정에 관한 업무를 담당한다. 또한, 공공기관의 장으로 하여금 공동활용의 필요가 있다고 인정하 는 데이터를 ‘데이터통합관리 플랫폼’에 등록하도록 하며(제8조), 이외의 데이터에 대해서는 공공기관의 장이 타 기관에 요청, 제공할 수 있는 근거(제10조 내지 제13조)도 마련하고 있다. 공공기관의 장은 데 이터기반행정 추진 현황, 데이터 연계ㆍ제공 및 공동활용 성과 등 데이터기반행정의 실태를 대통령령으 로 정하는 바에 따라 자체적으로 점검하고, 그 결과를 행정안전부장관에게 제출해야 한다(제22조). 심지 어, 우리나라 데이터기반행정법은 민간에서 생성, 취득하여 관리하는 데이터를 제공하여 줄 것을 요청할 수 있는 근거 규정(제14조)도 보유하고 있다.

그런데, 미국의 증거기반 정책수립 기초법과는 달리 우리 법은 데이터 목록을 대중에 공개하도록 하는 규정은 찾아볼 수 없다. 또한, 국회에 관련 정보를 정기적으로 제출하여야 하는 의무도 없다. 더군다나 데이터기반행정 활성화를 위한 기본계획은 매 3년마다 수립하고 있어 데이터 환경의 변화에 맞춘 신속 하고 유연한 대응도 기대하기 어려운 것으로 평가된다. 법이 정하는 바에 따라 민간 데이터를 정부에 제공하도록 요청할 수는 있으나, 민간 데이터의 절대 다수에 해당하는 개인정보에 대해서는 개인정보보호 법에 따르도록 하고 있는 규정(제4조)에 따라, 이를 정부의 데이터기반행정에 활용할 수 있는 방법도 요 원하다. 결국 법의 형식적 구성의 완성도 내지 미국 법제와의 유사성에 비하여 실질적 효과성이 매우 떨어질 수 밖에 없는 내용으로 인해 이 법제가 의도한 기능을 제대로 할 수 있을 것인지에 대한 의구심이 제기될 수 밖에 없다. 가장 문제가 되는 것은, 데이터기반행정을 활성화하기 위한 ‘인센티브 체계’가 거의 갖춰져 있지 않아서, 데이터기반 행정을 통한 증거기반 규제 마련에 나설 동인이 거의 없다는 점이다. 데이터기반 행정 이 본격적으로 자리를 잡을 때 까진 더 많은 시간이 필요할 것으로 예상되는 까닭이 여기에 있다.


<사진 출처 : www.freepik.com>


 

증거기반 규제의 필요성

데이터, 특히 개인정보와 관련하여 증거기반 규제가 필요한 지점은 매우 다양하게 존재한다. 예를 들 면, 우리나라에는 해외에서 찾아보기 어려운 매우 지엽적인 ‘중요내용 강조표시’ 규제가 존재하는데, 정보 주체에게 동의를 받을 때, 법이 정한 일부 ‘중요한 내용’은 폰트의 크기, 색상, 형태(굵기) 등의 방식으로 강조하여 표시하여야 한다는 것이다. 이는 ‘중요한 내용이 정보주체에게 보다 잘 인식될 수 있도록 하여’ 정보주체가 개인정보 처리에 대한 동의를 할 때, 중요 내용을 확인할 수 있도록 하겠다는 정책적 취지에 서 시작된 것이다. 그런데, 전 세계적으로 이와 같은 규제는 찾아보기 어렵다. 절대 다수의 개인정보 처리가 발생하는 온 라인, 특히 모바일 환경에서 해당 규제를 준수하기 위해 디자인적으로 매우 선호되지 않는 방식으로 주 요 내용을 강조하고 있어 디자이너들의 원성이 높다(미적으로 완성도가 높지 않은 UI가 형성될 뿐만 아 니라, CSS의 통일성 내지 단순함을 유지하기 어렵다는 불만 등). 가장 큰 문제점은, 중요한 내용을 강조 하여 표기하였다고 하여 정보주체가 이를 보다 명확히 인식하고 동의를 표할 것이라는 ‘데이터 기반의 증거’가 제시된 적이 없다는 것이다. 중요 내용이 강조된 동의문을 읽었을 때, 기존의 일반적 동의문과 비교하여 중요한 내용을 보다 명확히 인식했는지에 대한 실험을 하지 않았기 때문이다. 증거 없이 만들 어낸 대표적인 ‘자판기식 규제’의 사례라 할 수 있다. 오히려 해외에서는 Icon 기반으로 중요한 내용을 표시하는 방식에 대한 다양한 실험이 진행되고 있고, 그에 관한 데이터가 정책 형성의 증거로 활용될 수 있는 수준에 이르고 있다. 다양한 유형(크기, 표시, 색상 등)의 아이콘이 이용자 프라이버시 인식에 어떻게 작용하는지를 디자인과 심리의 관점에서 분석하 여 정보주체의 통제권 행사에 가장 적극적으로 기여할 수 있는 아이콘을 선정할 수 있는 수준까지 다다 른 것이다.

이와 같은 사례 외에도 증거 기반으로 규제를 형성해야 할 필요성은 적지 않다. 우선 규제 측면에서의 사대주의를 탈피해야 한다는 명제가 있다. 최근 유럽에서 논의되는 인공지능(AI), 디지털 서비스 및 시장 에 대한 규제 법안(DMA, DSA)에 따라 우리나라에서도 플랫폼 규제 이야기가 다수 나오고 있다. 이들 법안에는 당연하게도 개인정보에 직접 또는 간접적으로 영향을 미치는 규제들이 다수 포함되어 있다. 유 럽연합이 미국기반의 테크 플랫폼에 지배된 기술환경적 맥락을 전혀 고려하지 않은 채, 우리나라에도 유 럽연합에서 논의되는 규제 방식을 무비판적으로 도입하려는 ‘규제 사대주의’가 다시금 고개를 들고 있는 것이다. 이와 같은 규제 사대주의는 ▲탈맥락적 논의를 통한 ‘몸에 맞지 않는’ 규제의 형성 ▲상호운영성 을 고려하지 않은 채, 형식(틀) 위주 규제의 도입 ▲규제 도입 취지를 벗어나 규제를 통해 달성하고자 하는 목적의 상실 등으로 인해 매우 다양한 사회적 문제점을 양상하는 원인이 된다는 것은 기존의 규제 형성 체계를 통해 수없이 반복적으로 경험했다.

둘째는 사회적 갈등 해소의 필요성이다. 최근 개인정보보호법 제2차 개정안에 반영된 ‘전체 매출액 기 반’ 과징금 부과와 관련하여 정부, 시민사회, 산업계의 갈등이 평행선을 달리고 있다. 정부는 의도적이고 반복적으로 대규모의 개인정보 사고를 저지르지 않는 이상 기존과 특별히 달라질 것이 없다고 하지만, 산업계에선 매우 예외적 사례를 들면서 특정 기업의 경우 조 단위의 과징금 부과도 가능하다며 의견이 대치하고 있다. 이와 같은 상황에서 정부가, 기존의 과징금 부과 사례를 기반으로 개정법 규정이 적용되 었을 때, 어느 수준의 과징금이 발생 수 있는 것인지에 대한 ‘시뮬레이션 결과’를 제시한다면 현재와 같 은 논란은 피할 수 있을 것이다. 필요한 데이터가 존재함에도 이를 입증하지 않는 상황에서 피규제자의 신뢰를 기대할 수는 없을 것이다. 셋째는 법제 재편에 소요되는 사회적 에너지와 리소스를 절약할 수 있다는 점이다. 잘 못 형성된 비 증거 기반의 법제를 재편하기 위해선 기존의 법제가 잘 못 형성되었다는 점을 입증하고, 새로운 규제에 대한 효과성을 새롭게 입증해야 한다. 최초 잘 못 설계한 규제에 대한 책임, 그리고 규제 재설계에 필요한 사회적 합의 등에 소요되는 사회적 자원의 낭비는 증거기반 규제 형성으로 사전에 예방할 수 있다. 시간이 경과하고, 환경이 변화함에 따라 기존의 규제 효과가 기대 수준을 밑돌게 되더라도, 초기에 제대 로 갖춰 놓은 증거기반의 프레임워크에 새로운 ‘정책적 변수’를 적절히 입력하는 경우 규제의 초점을 다 시 맞추는 것은 크게 어렵지 않다. 법제 재편에 소요되는 사회적 에너지와 리소스를 대폭으로 감소시킬 수 있는 것이다.

나가며

휴리스틱(huristics)에 의해 한번 잘 못 형성된 법규제가 사회에 미치는 악영향을 개선하기 위해서는 수 년의 시간과 상상하기 어려운 수준의 사회적 자원이 소모된다. 기존에 선진국을 따라서 ‘패스트 팔로 어(fast follower)’방식으로도 사회적 변화를 법제도로 규율할 수 있었다면, 전 세계적으로 주목받는 선 진국의 일원으로서 전 세계에 규제 모범을 보이기 위해서는 한시바삐 증거기반의 규제체계로 이동해야 한다. ▲신규 규제 필요성/효과성(기대효과) 대해서는 반드시 데이터 기반 증거 제시하여 검증받도록 하고, ▲ 형성된 규제에 대해서는 데이터 기반의 효과성 평가를 정기적으로 수행하도록 하며, ▲규제 효과성 예측 과 엇나가는 결과 발생 시, post mortem을 수행하는 것을 의무화하는 등의 조치가 반드시 필요하다. 특히, 데이터 기반 경제의 시대에 본격 진입하여 선도 국가로서 지위를 탄탄하게 하기 위해서는 더 이상 주목 구구식의 규제 형성은 허용되어서는 안된다. 아울러, 형식에 치중한 데이터기반행정법의 실질을 강 화하기 위한 사회적 논의도 본격적으로 시작해야 할 것이다. “증거없이 규제없다.”는 간단하지만, 미래를 밝힐 원칙을 세워야 한다.

<자료 출처 : 한국인터넷 진흥원 KISA Library 이진규/네이버주식회사 이사>

이 전 다 음
목록