개인정보 보호법, 규제혁신 필요할까?

0
90
삽화 = 김혜인 기자

 

삽화 = 김혜인 기자

“이제 대한민국은 인터넷을 가장 잘 다루는 나라에서 데이터를 가장 잘 다루는 나라가 돼야 한다”
지난 8월 31일 문재인 대통령이 ‘데이터 경제 활성화 규제혁신’ 행사에서 남긴 말이다. 이날 과학기술정보통신부와 방송통신위원회 등 4개 부처는 빅데이터(Big data) 활용 관련 규제를 혁신하고 관련 분야에 1조 원을 투자하겠다고 밝혔다. 각종 규제로 인한 서비스 제공의 어려움을 호소하며 지속해서 규제혁신을 요청해온 산업가에서는 반기는 분위기다. 그러나 빈번한 개인정보 유출 사건으로 한편에선 규제 완화를 우려하는 목소리도 또한 크다. 개인정보 규제가 실제로 빅데이터 활용을 방해하는 걸까?
빅데이터는 실시간으로 생성·저장되는 자료로 수치, 문자, 사진, 영상 등의 자료를 포함하는 대규모 데이터를 의미한다. 그러나 그 가치는 단순히 막대한 정보량에 있지 않다. 빅데이터의 핵심은 오랜 시간에 걸쳐 많은 양의 정보를 축적, 가공, 분석해 유의미한 정보를 생산하는 데 있다. 그 정보들이 기술적, 경제적으로 새로운 안목을 제시한다는 점에서 빅데이터 산업은 4차 산업혁명을 이끌어갈 주요 동력으로 평가받고 있다.

개인정보 보호법과의 충돌로 인한 빅데이터 산업발전의 제약
그러나 현행 법규 아래에서는 빅데이터 산업 발전에 어려움이 많다. 빅데이터 산업에서 필수적인 데이터의 수집부터 문제가 된다. 우리나라의 개인정보 보호법은 정보 제공자의 사전 동의가 필요한 부분이 세세하고 통상적인 동의를 받기 곤란할 때만 면책 사유를 적용하고 있어 비교적 제약이 크다. 특히 금융, 통신, 위치정보와 같이 산업에 직접 연관된 개인정보들은 제약이 심한 개별 특별법이 우선 적용된다. 이 법은 2014년 초 은행, 카드사에서 1억 건 이상의 개인정보가 유출된 사건 이후 관련 규제가 더욱 강해졌다.
다음으로 ‘비식별화’된 정보가 ‘재식별화’를 통해 개인정보로 취급될 수도 있다는 측면이 있다. ‘비식별화’란 특정 개인을 식별할 수 없도록 정보를 변환하는 과정이다. 이 과정을 거친 후에 다른 정보와의 결합으로 다시 특정 개인을 식별할 수 있게 되는 현상을 ‘재식별화’라고 한다. 개인정보 보호법 제2조 제1호에 따르면 개인을 특정할 수 없는 정보가 다른 정보와의 결합을 통해 개인을 식별할 수 있다면 이 또한 개인정보로 규정된다. 공공기관에서 비식별화를 거친 빅데이터라도 기업에서 활용하는 것은 어렵다는 뜻이다.
재식별화를 통한 새로운 개인정보 생성은 고의성이 없더라도 위법 행위로 간주한다는 점 또한 걸림돌이다. 이는 개인정보 보호법 제15조 ‘개인정보 수집은 정보 주체의 동의를 받고 정보 주체에게 이를 알려야 한다’에 어긋나는 사항이다. 개인정보의 생성 또한 수집으로 볼 수 있기에, 정보 주체의 사전 동의 없는 개인정보 생성은 위법 행위로 간주한다. 물론 개인정보 보호법 제15조 제1항 4호와 정보통신망법 제22조 제2항 1호에서 면책 사유를 규정하고 있지만, 산업별 엄격한 면책요건을 맞추기는 힘들다.
정보 주체에게 포괄적인 개인정보 수집 사전 동의를 받아 위법행위를 면하는 것도 하나의 대안이지만 여기에도 어려움이 따른다. 정보통신망법 제23조 제3항은 ‘정보통신서비스 제공자는 서비스의 정보 주체에게 본질적 기능을 위한 개인정보 이외에 추가적인 제공 요청을 강요할 수 없다’고 규정하고 있다. 서비스의 제공을 위한 필수적인 정보 이외에는 정보 제공요청을 할 수 없다는 뜻이다. 이로 인해 정보처리자의 편의성을 위한 추가적인 정보 제공 요청은 불가능하다.
축적한 빅데이터를 분석 및 활용하는 데에도 어려움이 많다. 데이터를 통해 유의미한 결과를 끌어내기 위해서는 꾸준한 축적과 분석이 필수적이다. 구글(Google)의 경우 사용자들이 올린 구글 포토(Google photo) 데이터를 활용해 정확도 높은 사진 분류 알고리즘을 만들어낼 수 있었다. 그러나 우리나라의 경우, 수집된 개인정보는 개인정보 보호법에 따라 목적달성 후 즉각 파기해야 한다. 그 때문에 빅데이터 축적과 활용이 힘들다.

개인정보 보호법 완화의 어려움
그러나 기술적, 경제적 이익만을 이유로 개인정보 규제 완화를 주장하기는 어렵다. 앞서 말했듯이 빅데이터 분석 과정 중에서 비식별정보들이 결합되어 개인을 식별할 수 있는 정보가 생성될 수 있다. 예를 들어 카드 사용 내역이 조합되어 일정한 패턴이 발견되고 이를 통해서 개인이 어떤 활동을 했는지 추적 수 있다. 혹은 진료 내역들이 조합되어 개인이 어떤 병을 가졌는지 알 수도 있다. 그리고 이런 정보들이 정보 주체가 알지도 못하는 사이 다양한 곳에서 활용되어 개인의 사생활이 침해당할 수 있다. 헌법재판소 판결에 따르면 사생활은 사람으로서의 고결성 유지와 인간의 존엄성 유지에 필수적인 요건이라고 판시할 만큼 개인에게 중요한 사항이다. 또한 헌법 17조에서 ‘모든 국민은 사생활의 비밀과 자유를 침해받지 아니한다’고 규정되어 있는 만큼 개인정보 보호법 등의 법률은 이를 보장해야 한다.

개인정보 보호의 선진국, EU의 규제는?
개인정보 보호는 우리나라뿐만 아니라 전 세계적으로 논란이 되고 있다. 이 때문에 2016년, EU는 개인정보를 보호하면서도 정보를 효율적으로 이용할 수 있도록 ‘General Data Protection Regulation’ 법안을 2016년에 새로 제정·공표했다. 이 법은 정보 주체의 사전 동의 면책 사유 범위를 넓혔다는 의의를 가진다. 이는 공공의 이익을 위할 때는 정보 주체의 사전 동의를 받지 않고도 정보를 사용할 수 있게 해서 효율성을 높였다. 동시에 정보 주체에게는 공공의 이익을 위한 목적일지라도 특정 정보의 이용을 거부할 권리를 보장했다. 법안은 이 권리가 적용되는 범위를 프로파일링으로 한정하고 있다. 프로파일링이란 개인에 대한 어떤 인적 성향 평가, 경제적 상황, 건강 등과 관련된 양상들을 예측하거나 분석하는 것을 말한다.
한국 정부도 2016년 6월 30일에 행정자치부, 방송통신위원회, 미래창조과학부 등 관련부처 합동으로 ‘개인정보 비식별조치 가이드라인’을 발표함으로써 4차 산업혁명 시대에 발을 맞췄다. 이 가이드라인은 정보 주체의 사전 동의를 받지 않더라도 위법에 해당하지 않도록 비식별 조치 방법을 제안하고 있다. 그러나 비식별 조치된 데이터도 다른 정보와의 결합을 통해 재식별화될 수 있다는 점, 그 경우 가이드라인 준수 여부와 상관없이 위법행위로 간주한다는 점, 개인정보 유출 사고 발생 시 정보처리자에게 책임이 귀속된다는 점에서 가이드라인의 법적 근거와 실용 문제에는 보완이 필요해 보인다.

장원식 기자 wonsicjang@gist.ac.kr