Home > 전체기사
[개인정보보호 연차보고서 톺아보기-1] 개인정보보호 주요 이슈 5
  |  입력 : 2020-09-04 12:23
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
데이터기반 경제에서의 안전한 개인정보 활용, 개인정보보호 집행체계의 일원화
정보주체의 실질적 권리 보장을 위한 동의제도 개선, 개인정보이동권 도입 등


최근 개인정보보호위원회에서 발간한 ‘2020 개인정보보호 연차보고서’는 2018년 5월에 발효된 EU GDPR(유럽연합 개인정보보호법)에 대한 정부의 대책 및 기업 지원 현황, 빅데이터·AI 등 신기술 발전에 대응한 관계 부처별 개인정보보호 정책 동향을 분석했다. 또한, 지난 1년간 헌법재판소 결정례 및 대법원 판례, 보호위원회 결정례를 소개하는 등 산업계·학계는 물론 개인정보보호에 관심 있는 국민들도 유용하게 활용할 수 있도록 풍부한 내용을 수록했다. 이에 본지에서는‘2020 개인정보보호 연차보고서’에 수록된 내용들을 시리즈로 소개한다. [편집자 주]

[이미지=utoimage]


디지털 정보기술이 발전하면서 세계경제의 패러다임은 급속히 데이터기반 경제(Datadriven Economy)로 전환되고 있다. 데이터기반 경제란 지식자산인 데이터(Data)를 기반으로 하여 새로운 가치와 부(富)가 창출되는 경제시스템을 의미한다.

4차 산업혁명 시대에 사물인터넷(IoT), 빅데이터(Big Data), 인공지능(AI), 자율주행차, 스마트공장, 스마트의료와 바이오산업, 지능형 금융과 유통 등 이 모든 혁신을 가능하게 하는 원천자원은 바로 데이터이다. 데이터의 활용 없이 혁신은 불가능하다. 그 데이터 중에서 개인정보(Personal Data) 즉 ‘특정 개인에 관한 것으로서 그 개인을 식별할 수 있는 데이터’는 경제적 관점에서 볼 때 가장 가치 있는 자산(Asset)이 되었다. 데이터기반 경제에서 개인정보는 경제발전과 사회성장을 위한 핵심적인 자원이다.

이와 같이 개인정보 생태계(Personal Data Ecosystem)는 빠르게 변화하고 있다. 바야흐로 개인정보보호 여건과 환경이 달라지고 있는 것이다. 새로운 데이터 생태계에서 정보주체가 자신의 개인정보에 대한 통제권을 잃지 않으면서도 데이터 경제의 발전을 도모할 수 있는 새로운 균형을 찾아내어 정보주체(Data Subject)인 개인, 개인정보처리자(Data Controller), 개인정보중개자(Data Broker), 개인정보이용자(Data User) 모두가 윈윈할 수 있는 전략을 모색할 필요성 또한 높아지고 있다.

이슈 1. 데이터기반 경제, 안전한 개인정보 활용
데이터기반 경제에서 신산업의 발전을 도모하면서도 개인정보 처리의 위험성을 최소화하는 유효한 대안으로 개인정보를 비식별처리(De-identification)하여 산업적으로 활용할 수 있는 길을 열어주는 방안이 미국, 유럽연합, 일본 등 여러 나라에서 모색되어 왔다.

국내에서도 2016년 6개 기관(국무조정실, 행정자치부, 방송통신위원회, 금융위원회, 미래창조과학부, 보건복지부)이 합동으로 ‘개인정보 비식별 조치 가이드라인’을 공표하고, 가이드라인에서 규정하는 비식별조치의 기준과 절차를 충족하는 경우 법적 규제 없이 활용할 수 있도록 한 바 있다. 행정해석으로 가능한 가이드라인을 통해 가명정보를 활용한 신산업의 물꼬를 트고자 했으나, 법적 구속력이 없다는 점에서는 한계가 있었다. 정부는 이를 해결하기 위해 ‘데이터 3법’ 개정에 나섰고, 장기간에 걸친 국회 협의를 거친 ‘데이터 3법 개정안’이 2020년 1월 국회 본회의를 통과했다.

개정 ‘개인정보보호법’(2020. 8. 5. 시행)은 익명정보와 가명정보의 개념을 구분하여 규율하고 있다. 제58조의2(적용제외)는 익명정보라는 용어를 사용하지 않았지만, “이 법은 시간·비용·기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보에는 적용하지 아니한다”고 규정하고 있다.

한편, 개정법은 가명정보의 개념을 새로이 규정하면서 가명정보가 여전히 개인정보에 해당하는 것임을 분명히 하고 있다. 익명정보와는 달리, 가명정보는 추가정보를 통해 정보주체인 개인과 연결 가능성을 가지고 있는 데이터인 것이다. 다만, 개정법은 ‘통계작성, 과학적 연구, 공익적 기록보존 등’을 위해서만 가명정보를 정보주체의 동의 없이 처리할 수 있도록 하고 있다(제28조의2 제1항).

특히, 개정법은 위 목적을 위한 경우라도 개인정보처리자 간에 가명정보를 자체적으로 결합하는 것은 허용하지 않고 개인정보보호위원회 또는 관계 중앙행정기관의 장이 지정하는 전문기관에 의해서만 결합을 할 수 있도록 하고 있다(제28조의3 제1항). 그리고 이렇게 결합된 정보를 전문기관 밖으로 반출하고자 하면 전문기관의 장의 승인을 받아야 한다(제28조의3 제2항).

또한, 가명정보를 처리하는 과정에서 특정 개인을 알아볼 수 있는 정보가 생성되면 즉시 처리를 중지하고 지체 없이 회수·파기하도록 하고 있다. 아울러 특정 개인과의 연결 가능성을 가진 추가정보를 분리 보관하고 유출 등의 사고가 발생하지 않도록 안전조치의무를 이행해야 한다(안전조치 미흡으로 사고 발생 시 2년 이하 징역).

이슈 2. 개인정보보호 집행체계의 일원화
개정 ‘개인정보보호법’은 보호위원회를 국무총리 소속의 중앙행정기관으로 격상하고, 그동안 행정안전부 등에서 수행해 오던 조사기능과 집행기능 등의 개인정보보호 기능 전부를 보호위원회로 이관하도록 했다. 이로써 정부조직법상 행정안전부의 소관사무에 속하던 개인정보보호가 보호위원회로 이관됐다.

아울러 보호위원회의 독립성을 강화하기 위하여 위원회가 수행하는 조사기능과 집행기능 및 법령의 개인정보 침해요인 평가에 관한 사무에 대해서는 국무총리의 지휘·감독을 배제하고 있다(제7조 제2항). 또한, 보호위원회의 전문성을 강화하기 위하여 위원장과 부위원장을 상임으로 하고, 이들 상임위원을 포함하여 9인으로 위원회를 구성하고 있다(제7조의2). 위원은 그 의사에 반하여 면직 또는 해촉되지 않으며, 법률과 양심에 따라 독립적으로 직무를 수행한다(제7조의5).

이와 같이 개인정보 거버넌스 통합을 계기로 향후 개인정보 규제기관의 중복규제 해소 및 기업의 준법 부담 완화는 물론 독립 전담감독기구를 통한 책임감 있고 투명한 개인정보보호 정책 추진이 가능할 것으로 보인다.

이슈 3. 정보주체의 실질적 권리 보장을 위한 동의제도 개선
우리나라는 정보주체의 포괄적 동의를 금지하고 필수동의와 선택동의 단계를 거쳐 개인정보를 수집하도록 엄격히 규정하고 있다. 온라인에 적용되는 정보통신망법에 의하면, 정보통신서비스 제공자가 정보주체의 사전동의 없이 개인정보를 수집·이용하면 매출액 3% 이내의 과징금 및 5년 이하의 징역에 처해질 수 있다.

다시 말하면, 인터넷이나 모바일에서 서비스를 제공하는 기업이나 개인은 자신 또는 제3자의 정당한 이익을 위한 경우라도 이용자나 소비자의 사전동의를 받아야만 해당 정보를 합법적으로 수집·이용하거나 제공할 수 있는 것이다. 즉, 온라인에서는 거의 ‘동의’만이 처리의 합법적 근거로 인정되고 있는 셈이고 다른 법률에 특별한 규정을 두어야만 그 예외가 인정될 수 있다.

한편, 민간과 공공의 모든 개인정보처리에 적용되는 일반법인 '개인정보보호법'은 수집·이용에 있어서 합법적 근거로 정보주체의 동의 외에 법령근거, 급박한 생명·신체·재산의 보호, 공공업무 수행, 정당한 이익을 위해 필요한 경우 등 5가지만 추가로 인정(제15조)하고 있다. 그러나 신기술 환경에서는 개인정보의 수집·이용·공유 등에 대한 사용자의 동의 요건이 매우 복잡해 사전동의를 적용하는 것이 사실상 불가능해지고 있다. 또한, 정보주체가 해당 서비스를 이용해야 할 경우 동의가 필수이기 때문에 동의서 내용 등을 제대로 살펴보지 않고 형식적으로 동의하는 경우가 일반적이라는 의견이 많다. 따라서 소비자 또는 이용자가 쉽게 이해할 수 없는 기술적 기반과 비즈니스 모델을 추구하는 오늘날의 기술환경을 고려하여 정보주체의 동의 기반 보호 체제에 대해서도 예외적 Opt-out 인정 등 다양한 개선방안을 모색할 필요가 있다.

이슈 4. 개인정보 자기결정권 확보를 위한 개인정보이동권 도입
EU 개인정보보호법(GDPR: General Data Protection Regulation)은 정보주체가 갖는 개인정보보호권(The Right to the Protection of Personal Data)의 하나로서 개인정보이동권(The Right to Data Portability)을 새로이 인정했다. 개인정보이동권은 개인정보처리자(Controller)가 보유·관리하는 개인정보의 사본(Copy)을 정보주체가 넘겨받아 그것을 다른 개인정보처리자에게 전송하여 재사용(Re-use)할 수 있는 권리이다.

개인정보이동권은 다른 개인정보보호권들(고지를 받을 권리, 열람청구권, 정정청구권, 삭제청구권, 처리정지청구권 등)과는 그 보호의 방향과 성격을 달리하는 것으로 평가된다. 다른 개인정보보호권들은 개인정보의 처리과정에서 일어날 수 있는 오·남용의 위험으로부터 정보주체의 이익을 방어하기 위한 것이라면, 개인정보이동권은 개인정보의 활용과 재사용을 촉진하기 위한 것이다.

개인정보이동권 도입에 관해서는 찬반양론이 맞서고 있다. 게임 체인저(Game Changer)로 기능할 것이라는 긍정적인 평가가 있는 반면에, 우려의 목소리도 함께 존재한다. 개인정보이동권으로 인해 불리한 영향을 받게 되는 다른 사람의 권리, 즉 개인정보처리자 혹은 제3자의 저작권이나 데이터베이스권 혹은 영업비밀과 같이 상충하는 권리와 이익이 충돌하는 경우 그 문제를 해결하는 뚜렷한 기준을 찾아내기 쉽지 않고, 개인정보이동권을 기술적으로 구현해내는 것이 기업들에게 부담과 비용을 초래하며, 또 개인정보가 이동하는 과정에서 오히려 보안침해 문제가 더 쉽게 발생할 수 있다는 등의 우려가 표출되고 있다. 또한, 개인정보이동권이 정보주체의 통제권을 강화하는 방향으로 작용하게 될 것인지에 대해서도 아직은 분명하지 않다.

우리나라에서도 금융, 의료, 에너지 등의 분야에서 마이데이터 산업을 촉진하고자 하는 정책수요가 높아짐에 따라 정부가 2018년 7월에 ‘금융 분야 마이데이터 산업의 도입 방안’을 발표하고 이를 법제적으로 뒷받침하기 위해 신용정보법 개정을 추진해 왔다. 금융 분야의 마이데이터(MyData) 서비스는 분산되어 있는 금융거래 정보를 일괄 수집해 해당 정보주체인 금융소비자에게 본인신용정보에 대한 체계적 관리, 소비패턴 분석 등을 통해 신용 및 자산관리를 지원하는 서비스이다. 개정 신용정보법은 본인신용정보관리업(MyData)을 도입하고, 개인신용정보의 전송요구권, 자동화평가(Profiling)에 대한 신용정보주체의 설명요구권 등 새로운 개인정보통제권을 신설하고 있다.

이슈 5. 디지털 정보기술 발전에 따른 개인정보보호
우리는 언제 어디서나 손가락 터치를 통해 고도로 연결되는 사회에 살고 있다. 사람과 사람이 연결되고, 사람과 사물이 연결되며, 나아가 사물과 사물이 연결되고 있다. 사물인터넷(IoT)에 인공지능(AI)이 첨가되고 빅데이터(Big Data) 분석기술이 결합되어 놀라운 혁신과 변화를 낳고 있다.

특히, 소셜미디어 플랫폼(Social Media Platforms), 스마트폰, 웨어러블 기술(Wearable Technologies), 인공지능, 빅데이터, 사물인터넷, 블록체인(Blockchain), 자율주행 등은 20년 전에는 거의 존재하지 않았던 기술이다. 이들 기술이 개인정보를 획득하고 처리하는 방식과 규모는 실로 20년 전의 그것과 비교하기 어렵다. 이처럼 정보기술의 발전은 사람과 기계, 사람과 주변 세계가 상호작용하는 방식을 바꾸고 있으며, 아울러 개인정보가 수집되고 활용되는 규모와 방식을 급격하게 변화시키고 있다.

이처럼 인공지능 기술이 산업의 전 분야에 적용되면서, 많은 기업들이 인공지능의 도입과 관련해서 '개인정보보호법'을 어떻게 준수할 것인가 하는 문제에 직면했다. 예를 들어, 정보주체에 대한 사전고지는 정보처리의 투명성을 높이는 기본적 수단이며 전통적인 고지-동의 모델에 의하면 정보처리자(기업)는 개인데이터를 가지고 무엇을 할 것인지를 정보주체에게 미리 알려주어야 한다. 그런데 인공지능·빅데이터 기술환경에서 이러한 ‘사전고지’는 현실성이 떨어지는 측면이 강하다. 인공지능의 경우 데이터를 수집하는 시점에서 그 데이터가 어떤 목적으로 어떻게 이용될 것인지를 확정하는 것이 기술적으로 어려울 때가 많기 때문이다.

또한, 앞서 이야기한 대로 정보주체에게 처음부터 ‘예 또는 아니오(Yes or No)’의 선택만이 가능하도록 한 ‘동의제도’의 경우에도 빅데이터 분석과 양립하기 어려운 측면이 있다. 빅데이터 분석이란 틀리면 수정하기를 반복하는 실험의 성격을 가지고 있으며 또 데이터의 용도를 계속 새롭게 찾아내는 성향을 가지고 있기 때문이다. 이뿐만 아니라 ‘동의’는 정보주체로부터 직접 데이터를 수집할 때는 의미가 있지만, SNS와 같이 공개된 공간에서 관측을 통해 데이터가 획득되는 맥락에서는 적절하지 않다. 이와 같이 데이터기반 사회에서 새로운 데이터 기술이 전통적인 ‘개인정보보호법’ 원칙들과 충돌하게 되는 경우가 더욱 늘어날 것으로 예상됨에 따라 다방면에서 이에 대한 논의가 이루어져야 할 것으로 보인다.
[자료=2020 개인정보보호 연차보고서]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)