투이컨설팅 박문지 컨설턴트

넷플릭스는 사용자들의 미디어 시청 패턴을 분석해 개인별로 맞춤 콘텐츠를 추천한다. 온라인쇼핑 업체 아마존닷컴은 이용자의 구매 패턴을 분석하여 이용자가 배달 받기 원하는 물품을 예측하여 준비함으로써 물류 비용을 낮추고 배달 스피드를 높이고 있다. 개인 정보는 활용하기에 따라서 개인의 편의성은 높이고 기업의 이익은 증대시키는 역할을 한다.

개인정보의 딜레마

한편으로 개인정보 침해의 위험도 커지고 있다. 2018년 10월 초 구글플러스에서 발생한 보안 관련 버그로 인해 50만명 이상의 사용자 데이터가 노출되었고, 12월에는 구글플러스 API 업데이트 실수로 5천 2백 5십만 명의 개인정보 유출이 발생했다. 그 결과 구글은 구글플러스 서비스를 2019년 4월에 종료한다고 발표했다. 페이스북에서도 지난 9월말 5천만 개의 사용자 계정이 해킹당하기도 헸다. 메리어트 호텔의 예약시스템은 2014년부터 지속적으로 해킹이 이루어졌고 최대 5억 명의 고객 정보가 유출된 것으로 알려졌다.

개인정보 유출은 개인에게 금전적 피해, 신용도 하락 등의 심각한 손해를 끼칠 수 있고, 명의도용이나 금융사기 등의 2차 피해와 연결된다. 기업에는 이미지 실추, 브랜드 신뢰 하락, 손해배상 등으로 기업 경영에 큰 타격을 줄 수 있다. 개인정보는 기업엔 경제적 가치를 가져다 줄 중요한 자산이지만 개인에게는 인격의 표상이자 재산권과 연결되어 있는, 보호되어야 하는 중요한 요소인 것이다.

개인정보가 중요한 이슈로 떠오르는 것은 디지털 기술의 발전에 따른 결과로 볼 수 있다. 개인정보가 소규모로 수집되고 유통되거나 처리되던 과거와 달리 모든 정보가 네트워크로 서로 연결되어 방대한 양의 정보가 빠르게 수집되고, 복합적으로 처리되고, 다양하게 활용할 수 있게 되었다. 과학기술의 발달로 데이터를 기반으로 한 산업들이 발달함과 동시에 개인정보 유출, 남용 등은 사회적 문제로 급부상하게 되었다. 

국내외 개인정보 보호 현황

 

 
[그림 1] 국내외 개인정보보호 법제 비교
(출처: http://datanet.co.kr/news/articleView.html?idxno=110249)

1. 미국
미국은 경제활동을 우선적으로 생각하기 때문에 시장자율규제를 적용하고 있다. 공공부문과 민간부문으로 나눠 공공에만 법을 적용하고 민간에는 자율적 시장에 의한 통제, 윤리적인 통제만 가능하게 되어있다.

또한 공공에는 철저한 사전 동의 방식을 적용하면서 민간에는 사후 동의 방식을 적용하여 개인정보의 활용에 대한 사전 규제를 최소화하고 있다. 그러나 최근 페이스북 개인정보 유출 사건 이후 정보 주체에 대한 권리와 보호를 강화하여야 한다는 여론이 형성되고 있다.

2. 유럽
EU 회원국들은 국가별로 개인정보에 대한 법규를 가지고 있었다. 그러나 개인정보 규율 체계가 통일성이 없어 EU 회원국들 사이에서의 정보이동이나 활용에 제약이 많았다. 이를 해결하기 위해 EU는 개인정보 보호와 EU 회원국 내 개인정보의 자유 이동 보장의 목적을 가진 GDPR을 제정하여 2019년부터 시행하고 있다.

GDPR은 정보의 이동권, 프로파일링에 대한 의사 결정, 잊혀질 권리 등으로 빅데이터 환경에서의 정보주체의 권리를 강화하였으며 EU 내뿐만 아니라 EU국민의 개인정보를 활용하는 해외 기업에 대해서도 동일한 법적 효력을 갖게 하여 EU 국민의 개인정보를 더욱 강력하게 보호하고 있다.

3. 일본
산업에서 데이터 활용을 촉진시키기 위해 느슨한 규제 기조를 유지해 왔다. 개인정보 보호법 내에 '익명 가공 정보'(특정 개인을 식별할 수 없도록 개인정보를 가공한 정보)에 대한 개념과 취급 방법을 법제화 시켰고, 사전 동의 방식을 사후 동의로 변경하여 개인정보 활용이 용이하도록 법 규제를 완화시켰다.

4. 우리나라
2011년에 개인정보 보호법을 제정한 이후로 ‘강력한 규제’를 유지해왔다. 2014년에는 주민등록번호 수집을 제한하고, 암호화 조치(제24조의2 주민등록번호 처리의 제한)를 하였으며, 개인정보처리자에 대한 책임을 강화(제34조의2 과징금의 부과 등)했다. 2015년에는 개인정보처리자로 인해 개인정보가 분실, 도난, 유출 등이 되었을 경우 손해배상을 청구할 수 있게 하였으며(제39조 손해배상책임, 제39조의2 법정손해배상의 청구), 법을 위반하였을 경우 보다 강력한 처벌을 받을 수 있게 개정하였다.

개인정보 활용 요구가 높아지자, 2016년에 방송통신위원회는 개인정보의 제한적 활용을 가능하게 하는 ‘비식별조치 가이드라인’을 발표했다. 하지만 개인정보 활용을 위한 제도적 기반으로는 한계가 있었다. 현재 국회에는 데이터 규제 혁신과 개인정보보호 거버넌스 체계 정비를 주 내용으로 하는 데이터 3법(개인정보보호법, 정보통신망법, 신용정보보호법) 개정안이 발의되어 있다.

우리나라 개인정보 제도 개선 과제

 

1. '비식별조치 가이드라인' 법적 구속력 부재 – 개념, 책임 규정 등의 법제도 개선
개인정보 보호법은 개인정보 이용 제공 범위를 정보주체의 동의를 받는 경우, 다른 법률에 특별한 규정이 있는 경우, 통계작성 및 학술연구 등의 목적을 위하여 특정 개인을 알아볼 수 없는 형태로 제공할 경우 등으로 제한 두고 있다(제17조 개인정보의 제공, 제18조 개인정보의 목적 외 이용ㆍ제공 제한).

그러나 개인정보 보호법 내에는 비식별에 대한 개념을 명시하지 않고 있으며, 가이드라인에 대한 어떠한 법률적 위임이 존재하지 않는다. 이럴 경우 비식별조치 가이드라인이 개인정보 보호법과 상충 될 가능성이 있다.

실제로 한국인터넷진흥원 등 4개 기관과 현대차, SK텔레콤 등 기업 20곳이 가이드라인에 따라 빅데이터 사업을 시작했으나 시민단체들이 개인정보 보호법 위반 혐의로 고발하여 사업을 폐기했다. 따라서 개인정보 보호법 내에 비식별화에 대한 개념 및 책임을 규정하거나 비식별조치에 대한 법을 새로 제정하여 법적 근거를 마련하여야 한다.

2. 개인정보 관련 법률 내 이중 규제 및 상충 가능성 – 개인정보보호법 일원화
우리나라 개인정보 관련 법은 일반법인 개인정보 보호법과 정보통신, 상거래, 금융, 의료 분야별 개별법이 존재한다.

개별법에 해당하는 상황을 제외한 모든 일반적인 상황에서는 일반법을 따른다. 문제는 분야별 규제가 상이하여 중복 규제가 된다는 것이다. 같은 상황에, 관련 개별법 별로 다른 법적 해석 및 규제가 적용되어 혼란을 초래한다. 이는 개인정보처리자로 하여금 법을 준수하였음에도 법적인 보호를 받지 못하게 할 뿐 아니라 준법정신에 악영향을 끼친다.

이런 중복문제를 해결하기 위해 개별법 내에 개인정보 보호법과 중복된 규정들은 삭제하여 개인정보 보호법으로 일원화시키고, 개별법에는 예외 사항들을 규정하는 방향으로 정비해야 할 필요가 있다.

3. 개인정보처리 동의제도 문제 – 정보주체자 권한 확대
동의제도는 개인정보 자기결정권(정보주체가 자신의 정보 처리에 대해 통제할 수 있는 권리)을 보호하기 위한 하나의 수단이다. 개인정보 자기결정권이 실현되려면 자발적인 동의가 전제되어야 한다. 그러나 현실은 반강제적으로 이뤄지고 있다고 할 수 있다. 개인정보 동의가 없으면 홈페이지에 가입하지 못하거나 해당 서비스를 이용할 수 없는 것이 대부분이기 때문이다.

또한 우리나라는 정보 수집, 이용에 대한 사전동의 형태를 취하고 있는데 사전동의 형태는 모든 것이 네트워크에 연결되어 방대한 양의 정보가 빠르게 수집되고 있는 현실에는 맞지 않는 제도이다. 동의 내용에는 정보의 활용 목적, 정보 보존 기간, 수집 사유 등의 정보 등이 필수적으로 들어가야 하는데 정보들이 수집되거나 생성될 때마다 정보주체에게 일일이 동의받기는 불가능하기 때문이다.

이러한 문제들을 해결하기 위한 방안으로는 동의를 수집단계에서 받는 게 아닌 개인정보의 이용 단계에서 받거나, 유럽의 GDPR 처럼 ‘잊혀질 권리’를 도입하여 정보주체가 자신의 정보에 대해 삭제를 요구할 수 있게 규정을 수정해야 한다.

이러면 사전단계에서 어떤 정보들을 수집하고 어디에 활용하고 누구에게 제공되는지에 대한 동의를 얻는 것 보다 활용단계에서 어떻게 이용되고 누구에게 제공되는지 통지해주고, 동의를 받거나 삭제 요구를 받는 것이 정보주체가 자신의 정보에 대해 통제할 수 있게 한다. 이러면 자기결정권을 보호할 수 있고, 개인정보 활용을 더 용이하게 활용할 수 있다.

개인정보를 안전하고 자유롭게 활용할 수 있는 기반 만들어야

개인정보 활용은 디지털사회의 진전에 따라 피할 수 없는 현상이다. 개인정보는 데이터 분석 기술의 발달로 고객, 기업 모두에게 혜택을 줄 수 있다. 다만 데이터를 활용하여 가치를 창출하고 공유하기 위해서는 개인 정보 수집, 유통, 활용 등에 대한 사회적 공감을 형성하고 이를 토대로 법률적 제도화가 선행되어야 한다.

스위스 국제경영대학원(IMD)에서 발표한 자료에 따르면 우리나라의 데이터 규제 수준은 조사 대상 64개 국 중에서 52위로 매우 높은 편이다. 가장 큰 걸림돌은 개인정보 활용에 대한 사회적 인식이 규제 쪽에 쏠려 있다는 점이다. 소비자보호단체 등을 포함하여 사회적 합의를 이루기 위한 노력이 절실하게 요구된다. 또한 개인의 프라이버시는 철저하게 존중하면서, 데이터 활용은 가능하게 하는 기술과 제도의 연구도 필요하다. GDPR은 개인 정보 활용 기준을 정하고 있는 반면에, 개인정보 보호 위반에 대한 제재도 강력한 수준으로 규정하고 있다.

개인정보를 활용한 산업은 빠르게 발전하고 있고 우리의 삶에 더 많은 영향을 끼치게 될 것이다. 개인정보를 활용하지 않는 것은 국가적인 손해다. 개인정보를 안전하고 자유롭게 활용할 수 있는 기반을 만들어야 한다.

- 끝 -