[빅데이터 신화, 개인정보는 봉인가? ⑥] 빅데이터 시대 개인정보 보호에 필요한 것들

데이터 경제 안되는 원인, 대통령 발언에 답이 있다

[빅데이터 신화, 개인정보는 봉인가? ⑥] 빅데이터 시대 개인정보 보호에 필요한 것들

 

문재인 정부에서도 과거 박근혜 정부와 마찬가지로 빅데이터, 인공지능 산업 활성화를 명분으로 개인정보의 상업적 활용 정책을 내놓고 있습니다. 주요 보수 언론 및 경제지는 국내 개인정보 보호제도가 빅데이터 산업의 발목을 잡고 있다고 비판하며 노골적으로 개인정보 규제 완화를 요구하고 있습니다. 그러나 한국의 개인정보 보호수준이 높다는 것은 허구입니다. 수많은 개인정보 유출 사고에도 불구하고 제대로 된 처벌과 보상조차 이루어지고 있지 않습니다. 이번 연재는  참여연대, 민변디지털정보위원회, 진보네트워크센터, 서울YMCA, 함께하는 시민행동 등 인권 및 소비자권리 단체들이 빅데이터 시대, 개인정보를 둘러싼 주요 쟁점에 대해 비판하고 대안을 제시하고자 기획되었습니다.[편집자말]

 

 

작년 8월 31일 문재인 대통령은 '데이터 경제 활성화 규제혁신 현장방문 행사'에서 데이터 경제 활성화를 위한 산업 육성과 데이터 활용 관련 규제혁신 방안을 발표한 바 있다.

 

대통령과 정부, 기업들은 이구동성으로 데이터 경제 활성화를 위한 규제혁신을 강조하고, 데이터와 인공지능의 결합이 다양한 새로운 산업을 만들어 낼 것이라며, 데이터 경제 활성화를 위한 빅데이터 활용에만 초점을 맞춰 얘기하고 있다.

 

개인정보 규제 수준이 높아서라고?

 

대한민국이 지금까지 데이터 경제 활성화가 안되고, 데이터 기반 산업이 혁신성장으로 이어지지 못한 이유는 정부와 기업이 항상 변명거리로 내놓는 정보제공 동의제도 등 우리의 개인정보 규제 수준이 높아서가 아니다. 개인정보보호법, 정보통신망법, 신용정보법, 위치정보법 등으로 분산되어 있고, 중복되고 유사한 조항을 다수 포함하고 있으며, 일반법과 특별법의 관계가 모호한 상황을 알고도 오랫동안 이를 방치해 왔기 때문이다.

 

"데이터 혁신은 여러 부처가 함께 힘을 모아야 가능하다", "부처별로 이뤄지는 개인정보 관리를 정부가 통합해 강화해 달라는 사회적 요구가 있다. 독립적인 관리감독기관에 대한 논의도 빠르게 시작해 주기 바란다"는 대통령 발언에 현재까지도 파편화 되어 있고 체계를 갖추지 못한 우리 개인정보 보호법제와 감독기구의 민낯이 그대로 드러나 있다. 이런 민낯을 '데이터 경제 활성화 규제혁신'으로 치장하고 그저 덮고 넘어갈 수는 없다.

 

빅데이터 시대에 개인정보 보호를 위해 그리고 관련 산업의 활성화를 위해서는 무엇보다 개인정보 주체들이 신뢰할 수 있는 개인정보 관련 체계가 우선 마련되어야 한다. 개인정보의 안전한 활용을 위한 '빅데이터 시대의 개인정보 원칙'은 과연 무엇일까? 그리고 가장 중요하게 생각해야 할 대전제들은 어떤 것일까?

 

개인정보 감독기구 일원화 해야 

 

그 첫 번째는 개인정보 체계와 개인정보 감독기구의 일원화다. 정보통신망법, 신용정보보호법, 위치정보법 등 여러 법률로 쪼개져 있는 개인정보 보호 체계를 '개인정보보호법'으로 통합해야 한다.

 

이와 함께 행정안전부, 방송통신위원회, 금융위원회 등으로 분산되어 있는 개인정보 감독 기능을 개인정보보호위원회로 일원화해 독립성이 보장되도록 해야 한다. 독립적이고 효과적인 감독은 개인정보 보호의 핵심이기 때문이다.

 

개인정보보호위원회의 권한 강화와 독립성 보장은 문재인 대통령의 공약이자 국정과제였다. 빅데이터 시대의 안전한 개인정보 활용을 위해서라도 개인정보 관련 법 정비 및 감독기구의 조속한 일원화가 필요하다. 그러나 인재근 의원이 대표 발의한 개인정보보호법 개정안(사실상 정부안)은 일부 이러한 요구를 수렴하고 있지만, 여전히 금융위원회의 권한은 통합 대상에서 배제하고 있고 개인정보보호위원회의 독립성도 제한적이다.

 

'가명정보' '익명정보'… 개념 확실히 구분해야 

 

 개인정보보호위원회의 비전처럼 '개인의 존엄과 가치가 구현되는 지능정보사회'를 위해서는 개인정보 관련 법 정비 및 감독기구의 조속한 일원화가 필요하다.

 

 두 번째는 개인정보 관련 개념의 명확한 구분과 차별적 접근이다. '개인정보', '가명정보', '익명정보'의 개념을 확실히 구분하고, 각각에 적합한 보호와 활용 방식을 적용해야 한다.

 

가명정보는 일부 식별자가 제거되어 바로 직접적인 식별은 불가능하지만 다른 정보와의 결합 유무에 따라 얼마든지 식별이 가능해질 수 있는 정보다. 따라서 개인정보보호법의 적용을 받아 적절한 안전조치를 전제로 일정한 조건에서만 동의 없이 활용이 가능해야 한다.

 

익명정보는 다른 정보와 결합하여도 더는 개인을 식별할 수 없는 정보이기 때문에 정보주체의 동의를 받거나 개인을 식별할 수 없도록 익명처리를 한다면 현행 개인정보 보호법제 하에서도 자유로운 활용이 가능하다. 그러나 개인정보를 적절하게 익명처리 하지 않고 활용한 것에 대해서는 개인정보처리자가 법적 책임을 져야 한다.

 

가명정보 활용은 공익적 목적에 한정해야

 

세 번째로는 가명정보의 활용 조건과 범위를 어디까지로 할 것인가이다. 정보 주체의 동의 없는 가명정보 활용은 통계작성 및 학술연구 등 공익적 목적에 한정하는 것이 바람직하며, 여기에는 반드시 안전조치가 전제되어야 한다.

 

또 공익적 목적으로 가명처리를 하더라도 최소한의 정보만 제공되도록 하여야 하며, 익명처리를 통해서 이러한 목적이 달성될 수 있다면 익명처리를 우선 고려하도록 해야 한다. 시장조사 등 사적 이익을 위해 정보 주체의 권리를 제한하는 것은 부당하며, 개인정보 침해에 대한 예방과 신속한 피해구제를 위해 집단소송제와 징벌적 손해배상제 도입, 배상명령제와 과징금의 대폭적인 상향도 필요하다.

 

개인정보 주체의 권리, 개인정보처리자의 책임

 

정부와 산업계가 지금처럼 정보주체의 권리와 개인정보처리자의 책임성을 강화해야 할 빅데이터 시대의 개인정보 원칙과 대전제보다 개인정보의 활용에만 초점을 맞춘다면 개인정보 보호와 활용은 그 전체적인 균형이 급격히 무너질 수 있다. 프로파일링에 대한 정보주체의 권리, 개인정보 중심 설계 및 기본 설정(Privacy by Design, Privacy by Default), 개인정보 영향평가의 확대 등 중요한 내용이 지금처럼 계속 배제되고, 정보주체의 권리 및 개인정보처리자의 책임성 강화가 뒷받침되지 않는다면, 개인정보의 활용 과정에서 정보주체에 미치는 부정적인 영향은 더욱 커질 것이다.

 

개인정보 보호법제 개선 과정에서 우리가 준용하고 있는 유럽연합(EU)의 개인정보보호법(GDPR : General Data Protection Regulation)은 가명/익명 처리된 개인정보의 일정한 활용을 허용하면서도 동시에 빅데이터, 인공지능 등 신기술에 대응하기 위해 정보주체의 권리와 개인정보처리자의 책임성을 강화하고 있다. 그러나 현재 우리 법제는 그러한 균형을 갖추지 못하고 있으며, 법률개정안에서도 그 부분이 상당히 미흡해 보완이 필요한 상황이다.

 

빅데이터, 인공지능 시대에 일반 시민들인 정보주체는 자신도 모르게 프로파일링 되거나 자동화된 결정에 따른 영향을 생활 곳곳에서 받을 위험성이 더 커지고 있다. 이에 따라 개인정보 관리의 투명성이 강하게 요구되고 있으며, 이에 대한 사회적 토론과 합의가 매우 중요한 시점이다.

 

정보주체의 입장에서도 이러한 프로파일링을 거부하거나 설명을 요구할 권리가 중요하게 대두되고 있다. 국내에도 이러한 프로파일링 및 자동화된 처리가 이미 광범위하게 도입되고 있지만, 현재의 법제에서도 법률개정안에서도 이에 대응하는 정보주체의 권리 강화는 여전히 도외시되고 있다.

 

EU의 GDPR의 경우 개인정보의 보호를 위해 개인정보보호 책임자에게 매우 강한 책임성을 요구하고 있다. 이에 따라 설계 단계에서부터 개인정보보호를 고려하도록 한 개인정보보호 중심 설계(Privacy by Design), 소셜미디어나 사물인터넷 기기 등의 기본설정을 개인정보 친화적으로 하도록 요구하는 개인정보보호 기본설정(Privacy by Default) 등을 의무화하고 있다.

 

또한 개인정보 영향평가 역시 공공기관뿐만 아니라, 개인의 인권에 큰 영향을 미치는 경우 민간영역에도 적용하도록 하고 있다. 우리의 개인정보 법제 개선도 이러한 방향성과 균형성에 주목해야 한다. 여기에 더해 민감정보는 더 특별하게 보호되어야 하겠다. 특히 갈수록 지문, 홍채 등 생체인식 기술이 발전하고 우리 사회에 관련 시스템들이 도입되면서 생체인식 정보도 민감정보로 보호할 필요성이 이전부터 이야기 되었으나 국내 개인정보보호법은 이를 포함하지도 수용하지도 못하고 있다.

 

개인정보 주체의 신뢰 없으면 한낱 신기루일 뿐 

 

 정부와 산업계가 정보 주체의 신뢰를 얻고자 하는 노력도 없이 4차 산업혁명과 빅데이터만이 살길이라는 식의 장밋빛 패러다임을 만들고, 개인정보 활용에 대한 사회적 합의가 진행되는 과정임에도 여과 없이 쏟아 내는 개인정보 활용정책과 청사진들은 결국 정보 주체의 권리만 심각히 침해하고 훼손할 뿐 공공의 이익 확대나 산업적 발전에 전혀 도움이 되지 않는다. 개인정보 활용에 대한 정보 주체의 신뢰가 없다면, 결국 빅데이터의 활용도 제한될 수 밖에 없는 것이다.

 

문재인 대통령이 얘기했던 "개인정보 보호의 원칙을 분명하게 지키면서 안전한 데이터를 활용할 수 있도록 규제를 개선하겠다", "정보화 시대에 개인정보 보호의 중요성은 아무리 강조해도 지나치지 않다"는 말이 말의 성찬으로만 끝나지 않길 바란다. 개인정보 원칙과 대전제에 맞는 방향성과 균형성을 갖고 안전하고 신뢰할 수 있는 개인정보 체계를 철두철미하게 마련하고 빅데이터 산업 활성화를 도모해 보도록 하자. 빅데이터 산업 활성화에서 우리가 뒤처지고 있다고만 생각하지 말고 "늦었다고 생각할 때가 가장 빠르다"는 말을 되새겨 보자. 그리고 원칙을 지키며 철저하게 준비한 후에 제대로 된 승부를 걸어 보도록 하자.

 

서울YMCA 시민중계실 팀장 한석현

 

* 이 글은 오마이뉴스에 기고한 글입니다.

 

[기획 / 빅데이터 신화, 개인정보는 봉인가?]

알아서 척척' 편리한 빅데이터의 배신 http://omn.kr/1jrjf

개인정보 무한공유, 감당하실 수 있겠습니까 http://omn.kr/1jsss

누군가 당신의 은밀한 치료 내역을 알고 있다 http://omn.kr/1jtpv

승소금액은 알아서 받아가시오, 아, 소송비용은 별도 http://omn.kr/1jufp

당신이 SNS에 올린 정보 우리 마음대로 팔겠습니다 http://omn.kr/1jygx

 

 

정부지원금 0%, 회원의 회비로 운영됩니다

참여연대 후원/회원가입