빅데이터는 제4차 산업혁명을 이끌 주요 요소로 거론된다. 그런데, 이 빅데이터에는 개인의 민감한 정보가 포함될 수 있어 이에 대한 보호조치가 마련되어야 한다. 우리가 자주 이용하는 쇼핑몰만 살펴보아도 시스템은 사용자의 이름, IP주소, 쿠키, 방문일시, 살펴본 상품, 구매정보, 위시리스트, 환불계좌번호, 소셜미디어 계정, 이메일 등을 획득한다. 특정 애플리케이션을 설치하면 운전습관을 분석하여 보험료를 10% 할인 받을 수 있고, 만보계와 수면습관 앱을 설치하면 분석을 통하여 보험료를 할인받을 수도 있다. 이와 같이 일상에 편의를 제공하는 다양한 앱들이 있지만, 컴퓨팅 시스템이 어떠한 정보를 가져가는지는 이용전에 꼼꼼히 검토할 필요가 있다.
한국에서는 이미 2011년 개인정보보호법을 제정하여 개인의 소중한 정보를 보호하고 있다. 한국의 법제는 상당히 앞선 것으로 수많은 국가들의 귀감이 되어왔는데, 오는 5월 25일 유럽연합은 한층 진보한 개인정보보호 일반규정(General Data Protection Regulation)을 시행한다. 유럽연합 GDPR의 규정의 입법 배경은 개인들에게 자신의 정보에 대한 통제권을 돌려주는 것이다. 유럽연합은 개인정보에 대한 통제를 통일하면서 디지털 단일 시장으로 손쉽게 나아가며, 빅데이터 기술이 제공하는 충분한 혜택을 향유하겠다고 단단히 벼르고 있다. 이글에서는 유럽의 GDPR과 한국의 대응방안에 대하여 살펴보기로 한다.
유럽연합의 GDPR
유럽연합은 GDPR에 대한 논의를 이미 3년 동안이나 지속해왔고, 며칠 후면 GDPR 규정은 드디어 28개 국가에서 시행된다. GDPR의 핵심은 개인정보를 빅데이터 산업 등에 활용하기 위해서 익명정보로 변환하여 사용할 수 있도록 한 것이다. 익명정보란 개인정보를 가공하여 키 값과 같은 부가적인 정보를 사용하지 않고서는 더 이상 원래의 개인정보를 알아볼 수 없는 상태로 만든 데이터를 말한다. 키값은 별도로 분리하여 보관하고, 키값을 통하여 특정 개인을 식별하지 못하도록 하는 것이 규제의 핵심이다. GDPR은 또한 정보보호에 대한 책임을 강화하도록 일정한 경우 기업은 개인정보책임자를 별도로 지정하도록 규정하고 있다.
GDPR은 기존에 널리 인식되던 개인정보의 범위도 확대했다. GDPR은 IP정보, 위치정보도 개인정보에 포함시켰다. GDPR은 인종, 민족, 정치적 견해, 종교, 철학, 신념, 노조가입, 유전자, 생체정보, 성적취향정보를 특별히 민감한 유형의 개인정보로 분류하여 정보주체가 명시적으로 동의하지 않으면 처리할 수 없도록 하였다. GDPR은 기업들이 정보주체에 정보처리에 관한 방법을 제시해주도록 하였고, 정보주체는 제공된 개인정보에 대한 열람권과 수정권을 가지도록 하였다. 유럽사법재판소는 2014년 세계 최초로 잊혀질 권리를 보장했는데 GDPR은 이 권리까지 보장하고 있다.
GDPR의 역외적용
유럽연합의 GDPR이 우리나라에 영향을 미칠까? 정답은 그렇다이다. 과거 미국의 이란 봉쇄조치로 한국의 대이란 수출은 영향을 받았다. 공식적으로 이란으로 송금이 이루어지지 않았고 이란은 주변 이슬람 국가들을 통하여 부족한 물자를 조달하였다. 미국은 아프리카의 콩고공화국 인근의 내전을 종식시키기 위하여 콩고공화국 등에서 생산되는 광물을 거래하지 못하도록 하였다. 미국기업 뿐만 아니라, 미국과 거래하는 국가들도 탄탈룸 등 일부 금속이 콩고 공화국에서 생산된 것이 아님을 증명하여야 했다.
한국기업이 EU회원국의 언어나 통화, 도메인을 사용하거나, EU회원국 시민을 자사의 광고에서 이용할 경우, 이제는 GDPR을 유념해야 한다. 기업이 규정을 위반할 경우 매출의 4%나 250억원까지의 과징금을 부여받기 때문이다. 최근에는 GDPR의 도입으로 정보보호와 관련된 ISO 20071을 획득하는 기업이 늘고 있다. ISO20071 인증절차가 개인정보보호를 체계적으로 관리하도록 준비하지만 GDPR상의 의무를 완전이행을 보장하지는 않는다.
GDPR의 실행이 예고되자, 15억명의 개인정보를 취급하고 있는 페이스북은 유럽내 사업을 원활히 진행하기 위해 이미 선제적으로 대응하고 있다. 아일랜드 더블린에 있는 페이스북 지사는 GDPR과 관련하여 2017년 인원을 무려 250%나 증원해야 했다. 구글도 애드센스 등의 서비스에 유럽연합의 개인정보 보호정책에 동의한다는 내용의 약관을 넣었다. 유럽연합에서 탈퇴하는 영국조차 자국과 유럽연합의 데이터의 자유로운 이동으로 인한 혜택을 향유하고자 GDPR의 규제를 포함하는 입법을 진행하고 있다. 개인들이 운영하는 네이버 블로그에는 검색어유입을 보여주는 기능이 있다. 그런데, 방문객이 지나치게 적을 경우 특정 검색어를 입력한 개인을 추적할 가능성이 높아지므로, 검색어 분석 기능을 제한하기도 한다.
일본 개인정보법, 한국보다 진일보
한국의 개인정보보호법에서 개인정보는 “살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보를 의미한다.”로 규정되어 있다. 또한 개인정보는 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 개인을 식별할 있는 것도 포함한다. 한국의 규정에 따르면 개인정보의 범위가 지나치게 확대될 수 있어 벌써부터 개정의 목소리가 높다. 한국의 개인정보 규제가 개인정보보호법, 통신비밀보호법, 신용정보법, 정보통신망법 등에 나누어 규제되고 있는 것도 문제점으로 지적되고 있다.
빅데이터를 기반요소로 하는 제4차산업혁명의 시대에 일본의 개인정보활용은 한국보다 진일보한 측면이 있다. 일본은 2015년 9월 개인정보보호법을 개정하여 '익명가공정보'라는 개념을 도입하였다. 익명가공정보는 개인정보를 가공하여 특정 개인을 식별할 수 없도록 변형한 정보를 의미한다. 개인정보를 익명화할 경우에는 복원할 수 없도록 가공하여야 하며, 정보누설방지를 위하여 필요한 조치를 취하여야 한다. 일정한 규제를 준수하면 본인의 동의가 없이도 익명가공정보는 사업자간에 이전될 수 있고 빅데이터 분석에 활용될 수 있다.
물론 한국의 개인정보보호법에도 ‘통계작성 및 학술연구’ 등의 목적을 위하여 특정 개인을 알아볼 수 없는 형태로 개인정보를 활용할 수 있도록 하고 있다. 그러나, 한국법은 아직 일본과 같은 익명화 개념을 도입하지 않고 있다. 한국 관계부처 장관들이 2016년 7월 모여 '개인정보 비식별조치 가이드라인'을 만들었다. 이 규정의 제정 당시 업계에서는 가이드라인에 거는 기대감이 컸다. 이 지침은 일종의 권고로 법규성이 약하고, 일반 기업들은 여전히 개인정보를 이용한 빅데이터 활용을 주저하고 있다. 한국에서도 익명화조치나 비식별화조치를 개인정보보호법에 직접 규정하려는 입법자들의 움직임이 크지만 사생활보호를 이유로 수많은 이익단체들이 이에 반대하고 있으며, 입법화에는 적지 않은 어려움이 따를 것이다.
선진국, 청소년 소셜미디어 활동 제약
개인정보에 대한 관심이 증가하면서 청소년의 소셜미디어 활동에는 더 많은 제약이 가해지고 있다. 충분한 의사결정 능력이 없는 청소년들이 소셜미디어 계정에 개인정보를 누출할 가능성이 커졌기 때문이다.
영국정부는 아예 13세 미만의 청소년들이 소셜미디어에 가입할 수 없도록 법제화하는 방안을 추진하고 있다. 이미 10~12세 영국 어린이의 4분의 3은 소셜미디어 계정을 가지고 있는 것으로 알려졌다.
프랑스 정부는 지난해말 16세 이하의 청소년들이 소셜미디어에 가입할 때 보모의 동의를 의무적으로 받는 법안을 추진하고 있다. 프랑스 디지털공화국법은 이미 미성년자에 대한 개인정보보호를 강화하여 미성년자가 업로드한 게시물은 성인이 된 후에도 손쉽게 삭제할 수 있도록 했다. 미국의 개인정보보호에 대하여는 연방거래위원회(FTC)가 다양한 규제를 내어놓고 있는데, FTC는 아동의 프라이버시 보호에 대한 특별한 지침을 제시하기도 했다.
미국의 경우 개인정보보호에 대하여 사전동의를 수령하기보다는 사후에 이용을 거부할 수 있도록 하는 방법으로 규제를 시작했다. 이제는 유럽과 거래하는 미국기업도 GDPR의 강화된 규제를 피할 수만은 없다. 아시아권만 살펴보면 한국의 개인정보에 대한 규제는 이미 최고 수준이다. 개인정보보호는 분명히 지켜야할 덕목이다. 그러나, 우리나라만 빅데이터에 대한 접근성이 떨어진다면 관련 산업의 발전이 지연될 수 있다. 개인정보익명화조치 또는 개인정보비실별화조치 후 그 활용을 확대하는 방법을 검토할 필요가 있다.
필자약력
- 서울대학교 법과대학 졸업
- 대우그룹 회장비서실
- 안양대학교 평생교육원 강사
- (주)명정보기술 산호세법인 근무