주간경향(총 27 건 검색)
- 페북·인스타 이용하려면 개인정보 내놓으라고?(2022. 07. 22 11:16)
- 2022. 07. 22 11:16 경제
- ㆍ변경된 개인정보처리지침 미동의 시 8월 9일부터 계정 사용 불가 ㆍ애플의 ‘앱 추적 투명성 정책’ 영향 탓? 페이스북과 인스타그램이 변경된 개인정보처리지침에 동의하지 않으면 오는 8월 9일부터 계정을 사용할 수 없다고 고지해 논란이 일고 있다. 사실상 강제적 동의에 의한 과도한 개인정보 수집이라는 지적이다. 페이스북과 인스타그램을 운영하고 있는 메타는 지난 5월 26일부터 이용자들에게 다음 항목에 ‘필수동의’할 것을 요구하고 있다. ▲맞춤형 광고 표시를 위한 개인정보 수집 및 이용 ▲정부기관, 수사기관 등에 개인정보 공유 ▲전 세계 지사, 데이터센터 및 파트너 비즈니스에 개인정보 이전 ▲위치 기반 서비스 등이다. 전문가들은 메타의 방침이 개인정보보호법을 위반하고 개인정보를 침해할 수 있다고 우려했다. 메타가 맞춤형 광고를 위해 수집하는 개인정보 목록에는 게시물과 댓글을 비롯해 구매 또는 기타 거래정보, 친구·팔로워 등 연결된 관계, 사용기기, GPS(위치파악시스템) 기반 위치 추적 서비스, 사용하는 앱, 방문 웹사이트와 쿠키 데이터 등이 포함돼 있다. 페이스북과 인스타그램을 운영하고 있는 메타 로고 / 로이터 연합뉴스 개인정보 최소수집 원칙 위반 현행 개인정보보호법은 개인정보 최소수집을 원칙으로 한다. 개인정보보호법 제3조 1항은 “개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집해야 한다”고 밝히고 있다. 또 개인정보의 수집제한에 관한 제16조에 따르면, 개인정보처리자는 이용자에게 최소한의 정보를 제외한 개인정보 수집에 동의하지 않을 수 있다는 점을 알려야 하고, 여기에 동의하지 않는다는 이유로 서비스를 이용하지 못하게 하면 안 된다. 2020년 2월에는 “정보통신서비스 제공자는 이용자가 필요한 최소한의 개인정보 이외의 개인정보를 제공하지 않았다는 이유로 서비스 제공을 거부해서는 안 된다”(제39조3의 3항)는 조항도 신설했다. 전문가들은 메타의 이번 방침이 개인정보 최소수집 원칙 위반이라고 지적했다. 법무법인 지향의 이은우 변호사는 “메타는 동의의 형식을 내세우고 있지만, 동의하지 않으면 서비스를 사용할 수 없다는 식으로 사실상 이용자들에게 강요하고 있다”며 “소셜미디어의 서비스에 필요한 필수정보는 연결된 사람들과 소통하는 데 필요한 것 정도인데, 메타는 개인의 온갖 정보를 필수동의로 수집·축적해놓고 있다”고 말했다. 오병일 진보네트워크센터 대표는 “메타의 주장대로 맞춤형 광고를 위해 개인정보가 필요하다고 해도 그 정보들이 맞춤형 광고에 다 필요한 것은 아니다”라며 “메타의 방침은 목적 달성을 위한 최소한의 정보만을 수집해야 하고, 필수정보와 선택정보를 구분해야 하고, 선택정보 제공에 동의하지 않아도 서비스 제공을 거부해서는 안 된다고 한 개인정보보호법 위반”이라고 말했다. 법률사무소 디케 김보라미 변호사는 “필수정보를 이렇게 광범위하게 설정하면, 통신사 등 다른 기업들도 마케팅 용도로 광범위한 개인정보에 필수동의를 요구하는 상황이 벌어질 것”이라며 “이용자들이 페이스북을 이용하는 목적이 광고 서비스를 제공받기 위해서가 아니기 때문에 ‘맞춤형 광고 표시를 위한 개인정보 수집 및 이용’은 결코 필수동의 사안이 될 수 없다”고 말했다. 강요된 동의는 동의가 아니다 관할 부처인 개인정보위원회는 “문제가 되는 부분은 없는지 살펴보고 있다”며 “아직 검토 중”이라고 말했다. 익명을 요구한 한 개인정보보호법 전문가는 “메타의 지침은 명백한 개인정보보호법 위반이지만 그동안 규제당국은 판단이 애매하다는 이유로 개인정보 최소수집 원칙을 거의 집행하지 않았다. 향후 메타에 대한 규제당국의 판단이 어떨지 모르겠지만, 다른 나라와 달리 우리 법에서는 이른바 ‘필수동의’라는 희한한 제도를 인정하고 있어 강요된 동의라도 동의를 받으면 효력을 인정하려는 경향이 강하다”라며 “‘동의를 받았다’ 또는 ‘필수동의다’라고 하면 더 이상 따지지 않고 방치해온 규제당국의 관행이 문제”라고 지적했다. 그간 자발성이 결여된 ‘필수동의’ 제도하에 개인정보 최소수집 원칙이 유명무실하게 운영돼왔다는 비판이다. 자발성이 없는 동의는 동의가 아니라고 보는 유럽의 감독기구들은 페이스북의 위법한 ‘동의’ 행태에 제재를 가하고 있다. 진보네트워크센터에 따르면 2015년과 2017년 벨기에 규제당국은 페이스북의 개인정보처리방침이 “정보 주체로부터 유효한 동의를 얻지 못하고 있다”며 페이스북의 전반적인 개인정보 처리에 법 위반의 문제가 있음을 지적했다. 스페인 규제당국도 페이스북이 동의 없이 광고 목적으로 민감한 개인정보를 처리한 것, 제3자 웹사이트에서 페이스북이 개인정보를 수집하고 사용하는 방법에 대해 명확하고 투명한 통지를 제공하지 않은 것 등을 지적하며 120만유로(16억원)의 벌금을 부과했다. 프랑스, 독일, 네덜란드 등에서도 잇따라 비슷한 결정을 내렸다. 2018년 유럽의 강화된 개인정보보호규정(GDPR) 시행 이후에는 수많은 신고가 이루어져 조사가 진행 중이다. 특히 유럽에서 ‘동의’ 요건이 엄격해지자, 메타는 기존의 ‘동의’를 이용자가 맞춤형 광고를 주문하는 계약 사항으로 전환해 문제가 됐다. 2018년 오스트리아의 개인정보보호단체인 ‘noyb.eu’는 메타가 개인정보보호규정(GDPR)을 우회하고 개인정보를 침해했다며 오스트리아 법원에 제소했다. 지난해 오스트리아 대법원은 유럽사법재판소에 메타가 ‘동의’와 ‘계약’을 혼동시키면서 개인정보보호규정의 취지를 훼손시켰는지에 대한 질의서를 제출했다. 만약 유럽사법재판소가 메타가 개인정보보호규정의 근간을 훼손했다는 판결을 내리면 메타는 큰 타격을 입게 될 전망이다. 맞춤형 광고, 무료 이용 대가? 일각에서는 메타가 맞춤형 광고를 위한 개인정보 수집에 필수동의를 요구한 것을 두고 지난해 4월 애플의 ‘앱 추적 투명성’ 정책으로 광고수익이 하락했기 때문이라고 분석한다. 애플은 아이폰 이용자들의 앱 사용 시 이용기록을 추적해도 되는지 반드시 사전에 동의를 구하도록 정책을 변경했다. 많은 이용자가 ‘추적 불가’를 선택하면서 페이스북의 지난해 3분기 광고 성과는 15% 하락한 것으로 알려졌다. 페이스북 개인정보처리방침 변경 안내 갈무리 메타는 페이스북이나 인스타그램의 서비스를 무료로 제공하기 위해 개인정보를 수집한다고 밝힌다. 실상은 무료를 미끼로 이용자들에게 광범위한 개인정보라는 지나친 대가를 요구하고 있다. 이은우 변호사는 “맞춤형 광고 말고 맥락 광고도 가능하다. 예컨대 페이스북에서 ‘좋아요’를 클릭한 것을 분석해 광고를 내보내는 것이 아니라 이용자가 어떤 글을 보고 있으면 그것과 연관된 맥락의 광고를 내보내면 된다. 그렇게 되면 개인정보 수집을 많이 안 해도 된다”라며 “맞춤형 광고를 원하는 이용자들에게는 그에 필요한 개인정보 수집에 동의하게 하고, 맞춤형 광고를 원하지 않는 사람들은 여기에 동의하지 않도록 선택할 수 있게 해야 하는데, 메타는 이를 회피하고 있다”라고 말했다. 전문가들은 메타가 정보를 과도하게 수집하고 이를 프로파일링(이용자의 성향이나 취향, 구매 패턴을 분석)해 광고영업 등에 이용하고 있다고 비판했다. 오병일 대표는 이번에 논란이 된 개인정보지침 외에도 페이스북이 ‘외부활동’이라는 이름으로 정보를 수집하는 것 또한 심각한 문제라고 지적했다. 메타가 ‘페이스북으로 로그인하기’, ‘페이스북 픽셀’ 등을 통해 제3자의 사이트로부터 개인정보를 수집하는 게 개인정보보호법 위반이라는 주장이다. 오 대표는 “페이스북 픽셀은 해당 웹사이트 방문자들이 취한 행동을 파악하는 일종의 코드다. 페이스북 픽셀이 설치된 제3자의 웹사이트에 방문한 인터넷 이용자의 여러 정보는 페이스북에 전송된다. 예를 들어 결제정보 추가, 장바구니 담기, 위시리스트 담기 등의 다양한 정보가 전송된다. 이때 자신의 개인정보가 페이스북에 제공된다는 것에 대한 동의 절차는 없다”고 말했다. 시장 독점한 메타의 배짱? 메타는 세계 곳곳에서 개인정보보호규정 위반으로 잦은 논란을 빚고 있다. 그럼에도 이용자들에게 광범위한 개인정보를 필수적으로 요구하는 것은 메타가 독점적 지위를 갖고 있기 때문으로 풀이된다. 이미 오랜 기간 페이스북이나 인스타그램을 통해 관계를 형성하고 생활해온 많은 이용자에게는 다른 선택지가 없다. 페이스북과 인스타그램이 소셜네트워크서비스 시장을 거의 독점하고 있는 상황을 메타가 이용한 셈이다. 장혜영 정의당 의원은 지난 7월 19일 의원총회에서 “계정 유지를 위한 필수정보도 아닌 이용자의 과도한 개인정보를 필수동의 영역에 포함한 것은 시장지배적 지위를 이용해 이용자의 정보 주권을 침해하는 횡포”라고 지적했다. 필수동의를 하지 않으면 계정을 사용할 수 없다는 페이스북의 논리는 이용자들에게 싫으면 안 쓰면 된다는 ‘선택권’을 준 것처럼 보이지만, 갈 데 없는 이용자들에게 비싼 대가를 요구하는 것이어서 독점기업의 횡포에 가깝다. 2020년 독일에서는 페이스북의 이 같은 강요에 가까운 동의에 대해 ‘시장지배적 지위 남용’이라는 판결을 내린 바 있다. 독일연방최고법원은 80~90% 점유율을 보이고 있는 페이스북이 시장지배적 사업자에 해당한다고 판단했다. 페이스북 이용자들이 직접적 네트워크 효과로 다른 소셜네트워크 서비스로의 전환이 어려운 상황에서 광범위한 개인 데이터의 수집, 통합, 이용에 동의하지 않으면 서비스를 이용할 수 없도록 한 것은 소비자의 선택권 제한이라고 봤다. 만약 페이스북이 시장을 독점하지 않고 경쟁하는 상황이었다면, 이처럼 강요된 동의를 이용자들에게 요구하지 못했으리라는 분석이다. 독일연방최고법원은 “더 적은 데이터를 제공하는 서비스에 대한 수요가 있고 그러한 서비스 제공이 경쟁 시장이었으면 가능했을 것임에도 페이스북이 시장지배적 지위를 이용해 거부한 것으로 볼 수 있기 때문”이라고 설명했다.(<디지털 플랫폼 사업자의 소비자 착취 행위에 대한 경쟁법의 적용: 독일 페이스북 사건>·이상윤·2020년) 내 정보 어떻게 쓰이는지 몰라 빅테크 기업들의 광범위한 개인정보 수집 움직임에 직면한 이용자들 사이에서 개인정보보호에 좀더 경각심을 가져야 한다는 목소리가 높아지고 있지만, 정작 자신의 개인정보가 어떻게 수집되고 어떻게 쓰이는지를 꼼꼼히 살펴보는 사람은 별로 없다. 대부분의 개인정보보호 약관들은 내용이 어렵고 명확하게 파악되지 않는 경우가 많은데다 긴 시간을 들여 읽어야 할 만큼 복잡한 내용을 담고 있기 때문이다. 개인정보보호지침을 설명한 메타의 이번 공지도 법 전문가들 사이에서조차 좀처럼 의미를 파악하기 힘들다는 목소리가 나온다. 더군다나 법에 대한 해박한 지식이 없다면 의미를 파악하기가 쉽지 않다. 그러다 보니 이용자들은 자신의 정보들이 실제 어떻게 쓰일지 가늠하기 어렵다. 예컨대 메타가 필수동의를 요구한 ‘정부기관, 수사기관 등에 개인정보 공유’ 항목이 미국의 규제당국에서 쓰일 수 있다고 분석하는 이용자는 극히 드물다. 익명을 요구한 한 개인정보보호법 전문가는 “국내법보다 미국법에 따라 미국의 규제당국(테러·돈세탁·마약·아동포르노 등)이 페이스북에 국내 이용자들의 개인정보를 요구할 때 사법공조 등의 절차 없이 국내 이용자의 개인정보를 제공하기 위한 수단으로 보인다”라며 “이 경우 국내 이용자가 미국 등 해외여행 시 본인도 모르게 범죄자가 돼 현지에서 구속되는 불상사가 발생할 수도 있다. 참고로 외국에서는 미국 등 다른 나라의 규제당국이 자국민의 개인정보를 요구할 때는 국제협약, 행정협정 등에 의하도록 하고 있다”고 말했다. 최근 미국에서는 ‘로 대 웨이드’ 판례가 47년 만에 뒤집히면서 빅테크 기업이 수집한 개인정보가 처벌의 근거가 될 수 있다는 우려가 나오고 있다. 임신중단 관련 의료기관은 물론 가정폭력 보호소, 불임센터, 중독 치료시설, 체중 감량 클리닉, 상담센터 등 민감한 장소의 방문 기록이나 검색 기록이 수사기관의 표적이 될 가능성이 크다는 우려다. 과거에는 정부만 개인정보를 수집했다면, 이제는 소수의 빅테크 기업이 막대한 양의 개인정보 데이터를 수집·처리하고 있다. 소수의 손에 방대한 개인정보가 집중되는 상황은 위험하다. 개인정보 최소수집 원칙의 관점에서 메타의 이번 지침을 지켜봐야 할 이유다.
- [강혜미의 스타트업 카페](11)스타트업이 개인정보를 지키는 방법(2021. 04. 23 11:29)
- 2021. 04. 23 11:29 경제
- 인공지능(AI) 챗봇 ‘이루다’는 개인정보 유출 등의 논란이 시작된 이후 20여일 만에 서비스를 중단했고, 현재 개인정보보호위원회의 조사를 받고 있습니다. 나아가 수백명의 이용자들로부터 2억원 상당의 손해배상청구 소송까지 당했습니다. 이루다는 운영사인 스캐터랩이 과거 출시한 ‘연애의 과학’ 서비스 이용자들이 제공한 카카오톡 대화 내용을 토대로 개발된 것으로 알려졌는데 대화 내용 중 비식별화되지 않은 개인정보가 유출됐다고 합니다. 뷰티테크 스타트업 ‘릴리커버’ 팝업스토어를 찾은 이용자들이 로봇이 데이터를 기반으로 개인 맞춤형 화장품을 만드는 과정을 지켜보고 있다. / AK플라자 제공 개인정보는 인간의 존엄성, 인격권, 사생활과 밀접한 관련이 있어 법에 의해 엄격하게 보호됩니다. 이루다 사례처럼 서비스 자체가 중단되고 기업 존폐에도 큰 영향을 미칠 수 있다는 점을 인지하고 대비해야 합니다. 먼저 ‘개인정보’에 대해 알 필요가 있습니다. ‘개인정보’는 생존하는 개인에 관한 정보로서 성명·주민등록번호 등에 의해 특정한 개인을 알아볼 수 있는 부호, 문자, 음성, 음향 및 영상 등의 정보를 말합니다. 중요한 것은 ‘특정한 개인을 알아볼 수 있다’는 것인데요, 해당 정보만으로 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합해 알아볼 수 있는 경우 그 정보도 개인정보에 속하는 점에 유의해야 합니다. 예를 들어 변호사, 여자, 서울, 10월 5일, 이화여대 각각은 개인정보가 아니지만, 이들 정보를 조합해 강혜미 변호사로 특정할 수 있다면 이 정보도 개인정보가 됩니다. 개인정보를 수집·이용하는 경우에는 사전에 이용자로부터 ①개인정보의 수집·이용 목적 ②수집하는 개인정보의 항목 ③개인정보의 보유·이용 기간을 알리고 동의를 받아야 합니다. 스캐터랩의 경우 연애의 과학 서비스 가입 시 개인정보 수집·이용 목적과 관련해 ‘개인정보가 신규 서비스 개발에 활용될 수 있다’고만 명시한 것으로 알려졌습니다. 이것만으로는 수집·이용 목적을 제대로 알린 것으로 보기 어려우며 이용자의 개인정보를 이루다 서비스에 이용한 것은 위법해 보입니다. 실무상 자주 문제가 되는 것은 적법하게 수집한 개인정보를 ‘제3자’에게 제공할 때 동의 없이 제공하는 것입니다. 개인정보를 제3자에게 제공할 경우 수집·이용에 대한 동의와 별도로 이용자의 동의를 받아야 합니다. 이때 ①개인정보를 제공받는 자 ②개인정보를 제공받는 자의 개인정보 이용 목적 ③제공하는 개인정보의 항목 ④개인정보를 제공받는 자의 개인정보 보유 및 이용 기간을 알리고 동의를 받아야 합니다. 통상적으로 제공받는 자를 ‘제휴사’와 같이 포괄적으로 기재하는 경우도 있으나, 제휴사의 상호를 특정할 필요가 있습니다. 개인정보를 제공받는 제3자가 많거나 수시로 변동되는 경우 제공받는 자를 별도의 서면 또는 인터넷 홈페이지에 구체적으로 기재하고, 정보주체가 링크를 클릭하면 팝업창이 열려 해당 내용을 확인할 수 있도록 합니다. 주민등록번호의 경우, 수집이 원칙적으로 금지되고, 예외적인 경우에만 수집할 수 있습니다. 강혜미는 대한변호사 협회 인증 스타트업 전문변호사면서 M&A 전문변호사다. 법무법인 별의 대표변호사다.
- 강혜미의 스타트업 카페
- [표지 이야기]자살예방이냐, 개인정보 보호냐(2020. 11. 20 14:30)
- 2020. 11. 20 14:30 사회
- ㆍ본인 동의 없이도 자살 고위험군 개인정보 제공 법 개정 추진 2018년 4월 6일 충북 증평군의 한 아파트에서 40대 여성이 네살 딸과 함께 숨진 채 발견됐다. ‘증평 모녀 사건’이 당시 큰 충격을 준 것은 이 사건이 벌어지기 한해 전에 40대 여성의 남편 역시 극단적인 선택을 했기 때문이다. 가장의 죽음 이후 모녀는 경제적 어려움을 겪었다. 유서에는 ‘남편과 사별해 정신적으로 힘들다’는 내용이 적혀 있었다. 결국 40대 여성은 남편과 같은 선택을 하고 말았다. 한 자살예방센터에서 상담원이 ‘자살 충동’을 호소하며 전화를 걸어온 사람과 이야기를 나누고 있다. 최근 코로나19가 확산되는 가운데 센터에 상담을 요청하는 사람들이 크게 늘었다. / 경향신문 자료사진 이들 모녀가 자살 고위험군(자살유가족)이었음에도 사회적 안전망은 전혀 가동되지 않았다. 모녀가 죽은 지 몇달이 지나서야 시신이 발견됐다. 증평 모녀 사건은 자살 고위험군에 대한 사회적 차원의 관리가 필요하다는 교훈을 남겼다. 당시 한 언론사의 보도에서 해당 군의 관련 공무원은 “개인정보보호법 때문에 경찰에서 자살 사건이 접수돼도 관련 기관에 통보되지 않아” 이들 모녀를 전혀 알지 못했다고 말했다. 경찰과 소방서 등 ‘자살예방업무 수행기관’에 자살 위험자나 자살유가족에 대한 정보를 제공해, 이들 기관이 업무를 적극적으로 수행하게 할 수 있을까. 현행법으로는 본인이 동의해야만 가능한 일이다. 사실상 해당 기관이 자살 고위험군에 대한 개인정보를 알 수 없다는 이야기다. 이동진 서울대 법학전문대학원 교수(한국자살예방협회 법제위원회 위원장)는 “자살위기에 처한 사람이 직접 나서서 자신을 알리기도 힘들거니와 처음부터 본인이 정보제공에 동의한다는 것은 현실적으로 어렵다”라고 말했다. 해당 정보의 삭제 및 파기 요구 권리도 21대 국회에서는 본인의 동의 없이도 자살예방업무 수행기관에서 관련 정보를 알 수 있도록 하는 개정안이 발의돼 있다. 송옥주 더불어민주당 의원이 지난 6월 ‘자살예방 및 생명존중문화 조성을 위한 법률 일부개정법률안’을 발의했고, 지난 9월에는 김상희 민주당 의원이 비슷한 내용의 개정안을 발의했다. 송 의원의 개정안은 “자살 위험이 높아 긴급한 지원이 필요한 경우 등 상당한 이유가 있는 때에는 자살시도자 등의 동의 없이도 정보를 제공할 수 있다”는 내용을 명시했다. 김 의원의 개정안에는 “다만 반복적으로 자살을 시도한 자 등 자살을 할 위험성이 높아 긴급한 지원이 필요한 경우로서 대통령령으로 정하는 경우에는 그러하지 아니하다”라며 본인 동의 조건에 대해 예외조항을 넣었다. 필요한 경우에는 정보제공이 가능토록 한 것이다. 김 의원의 개정안에는 당사자의 의견을 충분히 반영하는 조항도 넣었다. “당사자의 동의 없이 자살시도자 등의 정보를 제공받은 기관은 상담 등의 지원을 제공할 때 당사자에게 해당 정보의 삭제 및 파기를 요구할 권리가 있음을 안내하고 당사자가 이를 요구하면 지체 없이 해당 정보를 삭제 및 파기하여야 한다”고 명시해놓은 것이다. 국회 보건복지위는 검토보고서에서 두 개정안에 대해 “현행 법률은 자살시도자 등의 정보를 공유하기 위해서는 반드시 당사자의 동의를 받도록 하여 자살 위험 예방과 개인정보 보호 간의 균형을 이루고자 하고 있다”고 평가했다. 개인의 동의를 반드시 받도록 한 이유에 대해서도 “본인 또는 가족이 자살(시도)자라는 사실이 알려질 경우 개인에게 예기치 못한 불이익이 발생할 우려가 있다”라고 밝혔다. 개인동의를 반드시 받도록 한 또 하나의 이유로 “정보제공 요청에 응해야 하는 기관에 의료기관이 포함될 경우 의료법상의 정보누설 금지 의무와 충돌할 가능성이 있다”고 밝혔다. 이는 자살예방법 개정안이 개인정보법·의료법과 충돌되는 지점을 잘 말해주고 있다. 코로나19 사태 이후 감염확산 방지와 개인정보 보호라는 상충된 이해관계가 나타난 것과 비슷하다. 한쪽에서는 자살예방의 측면을 강조하고, 다른 한쪽에서는 개인정보 보호의 측면을 강조하는 셈이다. 검토보고서에는 관련 내용의 개정에 대한 보건복지부의 입장도 나타나 있다. 보건복지부는 송 의원의 개정안에 대해서는 ‘수정 수용’의 입장을 나타냈다. “다만 동의 없이 정보를 제공하는 경우를 대통령령으로 정하도록 하여 명확히 제시할 필요가 있다”고 했다. 또한 당사자가 서비스 제공을 명시적으로 거부하거나 정보의 삭제를 요청할 경우 해당 정보를 파기토록 할 필요가 있다고 덧붙였다. 김 의원의 개정안은 보건복지부의 이 같은 ‘수정 수용’ 입장을 반영한 것으로 볼 수 있다. 그럼에도 불구하고 김 의원 개정안에 대해 국회 보건복지위는 ‘기다려 봐야 한다’는 입장이다. 국회 보건복지위는 검토보고서에서는 “아직 이 법이 시행된 지 얼마 지나지 않아 정보 공유의 효과 또는 필수적 동의 요구에 따른 비효율이 어느 정도인지 알 수가 없다”며 부정적인 의견을 나타냈다. 그러면서 “개인의 동의를 필수적으로 요구하도록 한 사정이 변했다고 볼 만한 특별한 이유도 없다는 점을 고려할 때, 현행 법률의 시행 경과를 조금 더 지켜보고 결과를 바탕으로 법개정 여부를 논의해 나갈 필요가 있다”고 결론지었다. 20대 국회에서도 발의됐으나 불발 보건복지위의 한 민주당 의원 측은 “코로나19 같은 감염병 확산과 개인정보 보호가 상충되는 측면은 감염병의 확산을 막아 피해를 줄여야 한다는 공공의 이익이 더 크게 작용할 수 있었다”며 “하지만 공공의 이익에 끼치는 영향으로 볼 때 자살예방은 감염병 확산과는 다르기 때문에 법안이 통과될 가능성을 쉽게 예측할 수 없다”고 말했다. 개정안을 낸 김상희 의원 측은 “해당 부처에서는 찬성 의견을 냈다”면서 “검토보고서의 부정적인 의견은 검토보고일 뿐이므로 개정안이 해당 상임위에서 무난하게 통과할 것으로 본다”고 말했다. 이동진 교수는 “자살예방의 사회적인 기반이 단단하고 안전망이 촘촘하다면 ‘기다려보자’가 합리적인 선택일 수 있지만, 지금 현실은 그렇지 못하다”고 말했다. 이 교수는 “민감한 정보를 관계기관에 먼저 주는 것이기 때문에 ‘센 법’이라고 할 수 있다”면서도 “잘 운영한다는 전제 아래 일단 시도는 해봐야 한다”고 말했다. 자살률이 매우 심각하기 때문에 입법부터 해야 한다는 것이다. 본인 동의 없이도 정보제공이 가능하게 하는 내용의 개정안은 20대 국회에서도 발의됐으나 결국 통과되지 못했다. 원혜영 전 민주당 의원과 김승희 전 자유한국당 의원이 발의한 자살예방법 개정안에는 본인 동의 없이도 정보를 관계기관에 제공토록 돼 있었다. 하지만 원혜영 전 의원의 개정안은 20대 국회가 지난 5월 폐회하면서 임기만료로 폐기됐다. 김승희 전 의원의 개정안은 다른 내용이 수정 반영이 됐지만 정보제공 내용은 포함되지 못했다. 이동진 교수는 “자살의 주요 요인으로 경제와 건강 문제가 있는데, 코로나19 사태 때문에 자살률이 심상치 않다”면서 “보다 적극적으로 자살을 예방하기 위해 정보제공의 입법을 시도할 때가 됐다”고 말했다.
- 표지 이야기
- 개인정보, 보호냐 활용이냐(2019. 10. 07 14:19)
- 2019. 10. 07 14:19 경제
- ㆍ시민단체-산업계 주장 맞서… 개정안 10월 소위서 통과 못해 중국 건국 70주년을 맞은 지난 10월 1일 베이징 톈안먼 인근에서 열병식을 앞두고 얼굴인식 기술을 이용한 보안검색이 진행되고 있다. 중국은 13억명의 얼굴을 1초 만에 식별할 수 있는 기술을 확보하고 있다. 연합뉴스 인공지능과 빅데이터 산업의 발전을 위해 개인정보의 산업적 활용을 활성화해야 한다는 업계의 요구와 개인정보 보호를 강화해야 한다는 시민단체의 주장이 팽팽히 맞서고 있다. 국회에서는 인재근·이재정·박선숙·진선미·변재일·민경욱·이진복 의원 등이 다수의 개인정보보호법(개보법) 개정안을 발의한 상태다. 그만큼 이 문제가 정치권과 정부의 핵심적인 관심사라는 것이다. 이 중 주되게 논의되는 안은 인재근 의원안(개정안)이다. 당정협의를 거친 사실상의 정부안이다. ‘힘을 싣기 위해’ 의원입법 형식을 취했다. 지난 9월 27일과 10월 1일 이 개정안이 국회 행정안전위원회 법안심사소위에서 논의됐지만 통과하지 못했다. 국회 행정안전위원회 관계자는 “인재근 의원안을 중심으로 논의되고 있지만 개인정보보호위원회의 조사권한이나 처분권한이 유럽연합의 일반개인정보보호법(GDPR)의 적정성 평가를 받기 위한 독립성 요건을 충족하는지에 대해 이견이 있었다”고 전했다. 하지만 큰 쟁점이 아니라서 국정감사가 끝난 11월에 다시 논의해 연내 처리도 가능할 수 있다. 가명정보의 제3자 제공이 쟁점 개정안의 핵심은 ‘가명정보’를 정의하고, 그 활용범위를 밝힌 데 있다. 가명정보란 성명, 주민등록번호와 영상 등 바로 개인이 특정되는 개인정보와 해당 정보만으로는 알 수 없어도 다른 정보와 쉽게 결합해 개인을 알아볼 수 있는 차량번호 같은 ‘비식별 개인정보’를 가명처리한 정보다. 추가 정보의 결합 없이는 특정 개인을 알아볼 수 없다. 가명처리에는 개인을 식별하거나 추론할 수 있는 이름과 성별, 나이, 주소와 같은 ‘식별자’를 지우거나 일부를 가리고 개인별로 고유한 정보인 주민등록번호 등을 제3자가 풀어볼 수 없도록 암호화하는 방법이 사용된다. 예를 들어 42세 나정보씨를 40대, 나○○로 바꾸는 식이다. 정보를 많이 남겨야 데이터의 활용가치가 높지만 사생활 보호에 문제가 있을 수 있기 때문에 적정한 수준의 가명처리를 한 정보가 산업적 활용의 중심이 된다. 개정안은 산업적 목적을 포함한 ‘과학적 연구’와 시장조사 등 상업적 목적의 통계 작성, 공익적 기록 보존 등의 목적으로 가명정보를 이용할 수 있도록 했다. 개인정보를 클라우드 서비스 등 제3자에게 위탁할 때도 사전동의 절차를 없애고 공개 혹은 고지만 하면 되도록 조항을 수정할 계획이다. 시민단체는 개정안이 사실상 개인정보의 판매와 공유를 허용하는 ‘개악’이라고 반발하고 있다. 민변 디지털정보위원회 위원장으로 활동하는 조지훈 변호사는 “가명화된 정보의 제3자 제공을 어느 범위 내로 할 것인지가 가장 큰 문제”라며 “인재근 의원안은 상업적 이용까지 포괄하고 있지만 우리는 공익적 목적의 통계 작성이나 학술연구 목적으로만 제한해야 한다는 입장”이라고 밝혔다. 시민단체 건강과연대의 변혜진 상임연구위원은 “민간보험사나 제약회사 등 환자의 정보를 이용해 수익을 얻는 기업도 모두 과학적 연구방법을 쓰고 있다”며 “과학적 연구라고 표현할 경우 시장조사나 마케팅, 상품 개발에까지 산업적으로 활용할 수 있는 문을 열어두게 된다”고 말했다. 특히 시민단체들은 ‘정보결합물’의 교환이 가능하도록 한 조항을 문제삼고 있다. 보안시설을 갖춘 전문기관을 거치도록 했지만 기업들이 자신이 보유한 정보를 결합해 활용할 수 있기 때문이다. 예를 들어 통신사와 카드회사가 양쪽이 보유한 고객정보를 결합해 새로운 서비스나 제품을 내놓을 수 있지만 휴대전화번호와 카드번호, 카드 매출정보 등을 결합하면 개인의 사생활이 고스란히 드러날 수 있다. 오병일 진보네트워크센터 대표는 “개인정보를 가명처리만 하면 정보주체의 동의 없이 다른 기업에 제공할 수 있다”며 “가명정보라는 이유로 이후 삭제할 의무조차 없다”고 말했다. 특히 주민등록번호라는 신분 확인 수단이 사회·경제의 거의 모든 영역에서 활용되고, 다른 개인정보를 연결하는 핵심키 역할을 하는 한국의 특수성을 감안해야 한다는 주장이 제기된다. 지난 7월 25일 국가인권위원회도 국회에 보낸 의견서에서 “성명과 주민등록번호 등의 개인정보 데이터베이스가 이미 대량으로 유출돼 음성적으로 거래·활용되고 있는 점, 가명정보 재식별 위험성이 상대적으로 큰 점 등을 고려해야 한다”고 밝혔다. 가명처리된 개인정보라도 재식별의 위험성이 높다는 점에서 여타 선진국에 비해 안전장치를 더 강화해야 한다는 것이다. 산업계는 조속한 통과 요구 시민단체들은 빅데이터가 유용한 경제·사회적 가치를 창출할 수 있다는 가능성을 부정하지 않지만 그 활용을 위해서는 정보주체의 권리 보장이 전제되어야 한다고 주장한다. 특히 GDPR에서 정보주체의 권리 강화를 위해 도입한 삭제권(잊혀질 권리), 처리 제한권, 데이터 이동권, 자동화된 의사결정에 대한 기업의 설명의무 등을 보장해야 한다고 요구했다. 조지훈 변호사는 “우리나라 정보보호 법제가 세계적으로 강력하다고 하지만 실제로는 GDPR 수준에도 못미친다”며 “프로파일링을 거부할 권리와 같이 GDPR이 명시적으로 규정한 정보주체의 권리를 신설하고, 개인정보 침해사고가 났을 때 집단소송제의 실효성을 강화할 필요가 있다”고 말했다. 반면 인터넷 산업계는 더 과감한 조치를 원하면서도 우선은 지금의 개정안이라도 국회를 통과하길 바라고 있다. 한국인터넷기업협회, 코리아스타트업포럼, 한국게임산업협회 등 5개 단체는 지난 9월 26일 발표한 성명에서 “(개정안) 통과가 지연될 경우 유럽연합의 적정성 평가 승인 지연, 글로벌 경쟁력 상실 등 국가 경제력 악화로 이어질 수 있으므로 국회가 조속한 입법을 통해 이를 해결해 줄 것”을 요청했다. 한 인터넷 포털 업계 관계자는 “현행법은 필요한 범위에서 ‘최소한’의 개인정보만을 적법하고 정당하게 수집해야 한다고 되어 있다”며 “최소한이라는 용어로 인해 데이터활용에 제한이 있다”고 말했다. 업계는 개인정보를 수집한 후 그 수집 목적과 다른 새로운 목적이 생겼을 때 추가로 동의 없이도 활용이 가능한 ‘포괄동의’가 가능한 형태로 바꿔야 한다고 제안했다. 포괄동의를 해준 후 이후 정보주체가 선택적으로 거부하게 하거나 문제가 생길 경우 사후규제하는 방식이다. 미국과 유럽이 이런 방식을 따르고 있다. 포괄동의는 국내외 기업의 역차별 문제로도 자주 거론된다. 업계 관계자는 “해외 업체들은 처음 정보를 포괄적으로 동의받아서 새로운 목적으로 정보를 활용해도 지장이 없다”며 “반면 국내 업체들은 개인정보 보호 가이드라인에 따라 포괄동의를 받을 수 없어서 초기 동의를 받은 후 수집한 정보를 다른 목적으로 쓸 때 다시 동의를 받아야 한다”고 설명했다. 산업별로 구체적인 가명정보의 정의를 내리고 그 활용범위에 대한 사회적 합의를 마련하는 게 우선이라는 의견도 있다. 정보기술분야 규제 관련 전문가인 구태언 테크앤로 대표변호사는 “가명정보와 개인정보, 익명정보 사이의 구별에서 정부가 가이드라인을 조기에 마련해 주지 않으면 개보법 제정 이후 지난 9년간의 악순환을 되풀이하게 된다”며 “정부의 사회적 합의 노력 부재와 개인정보 처리와 관련해 형사처벌을 전면적으로 도입한 두 문제가 우리나라의 빅데이터 산업 발전을 가로막았다”고 말했다.
- 규제혁신이냐, 개인정보보호냐(2018. 08. 27 14:50)
- 2018. 08. 27 14:50 사회
- ㆍ민주당 ‘샌드박스’ 5법 처리 의지에 정의당·시민단체서 제동 샌드박스(sandbox). 곧바로 번역하면 모래상자라는 이 말은 새로운 산업이나 기술 분야에서 일정 기간 동안 규제를 덜어 자유로운 환경을 마련한다는 취지로 쓰인다. 모래 놀이터에서 아이들이 창의력을 발휘해 자유롭게 노는 것처럼 기업들에 대한 규제를 탄력적으로 적용해 활동의 제약을 덜어준다는 비유인 셈이다. 문재인 정부와 더불어민주당이 규제개혁 차원에서 추진하고 있는 대표적 법안인 규제혁신 5법에도 규제 ‘샌드박스 5법’이라는 별칭이 붙었다. 하지만 당정의 개혁입법 움직임에 정의당과 시민사회단체들이 제동을 걸고 나서면서 규제 샌드박스 5법은 ‘뜨거운 감자’가 되고 있다. 특히 개인정보나 건강·안전에 관한 사항까지 규제를 풀면 과거 개인정보 유출사태와 같은 사고를 예방하지 못하고 뒤늦게 대처할 수밖에 없다는 비판의 목소리가 높다. 2014년 12월 원전 해킹사태로 설치된 개인정보범죄 정부합동수사단 사이버상황실 모니터에 개인정보 등록 키워드와 모니터링 상황이 조회되고 있다. / 김창길 기자 개인정보 보호 원칙 무력화 우려 정부와 민주당이 규제혁신 5법 처리에 강한 의지를 보이고 있는 데는 최근 고용지표와 내수가 부진한 모습을 보이는 등 경제사정 개선이 늦어지고 있다는 비판여론이 작용했다. 이에 따라 문재인 정부의 성장전략에서 ‘소득주도 성장’보다 ‘혁신성장’으로 무게중심이 이동하면서 대통령도 규제혁신을 통한 경기 활성화에 중점을 두고 있는 것이다. 현 정부의 규제혁신 방향은 지난해 7월 국정기획자문위원회가 ‘100대 국정과제’ 중 하나로 규제 샌드박스를 추진하겠다고 밝힌 데 이어 그해 9월 이낙연 국무총리 주재 국정현안 점검 조정회의에서 5개 법안을 통해 신산업·신기술 분야에서 ‘우선허용 및 사후규제’를 도입한다는 원칙을 정한 바 있다. 하지만 그동안 국회에서 해당 5개 법안의 제·개정에 공백기간이 발생해 오다 이번 8월 임시국회에서 민주당이 야당과의 합의를 거쳐 해당 법안들을 통과시키기로 하고 이를 추진하고 있는 상황이다. 논쟁의 대상이 되고 있는 법안은 행정규제기본법·정보통신융합법·금융혁신지원특별법·산업융합촉진법·지역특구법 등 5개다. 문제는 이들 법안이 규제 샌드박스, 즉 우선은 기존 법령에서의 규제를 풀어주는 특례를 인정한 뒤 사후 문제가 생길 경우에 규제를 도입하는 방식으로 구성되어 있다는 점이다. 개인정보 보호정책의 근간이 되는 개인정보보호법은 ‘정보 주체로부터 별도의 동의를 받은 경우’에 한해서만 기업이 수집한 개인정보를 이용하거나 제3자에게 제공할 수 있게 하고 있다. 그러나 규제혁신 법안에서는 이와 같은 규정을 적용받지 않아도 되는 특례를 허용할 수 있어 이 경우 기본적인 개인정보 보호원칙이 무력화될 소지가 생기는 것이다. 김용신 정의당 정책위 의장은 “비록 ‘임시허가’나 ‘실증을 위한 규제특례’에 한정되긴 하지만 특례조항으로 개인정보 보호에 대한 핵심 규제들이 무력화된다”며 “규제혁신법이 통과되면 정보 주체로부터 별도의 동의를 얻지 않고도 ‘가명정보’ 등은 정보의 수집·이용·제공, 목적 외 이용·제공이 제한 없이 가능해진다”고 주장했다. 실제 현재 발의된 법안의 조항들을 봐도 이러한 우려가 현실이 될 수 있는 여지는 확인할 수 있다. 정보통신융합법·산업융합촉진법·지역특구법은 특정 개인의 정보라는 점을 알아볼 수 없도록 조치하고 지정 검증기관으로부터 검증받은 경우 개인정보를 다른 정보와 결합해 이용하거나 제3자에게 제공할 수 있다고 규정돼 있다. 게다가 금융혁신지원법은 ‘혁신금융사업자’에게 개인정보보호법을 포함해 금융관련 법령의 규정을 적용하지 않을 수 있게 하는 내용까지 담고 있다. 이미 개인정보의 내용이 특정 개인과 관련된 정보인지를 알아볼 수 없게 ‘비식별화 조치’를 거친 정보라면 우려는 기우에 불과할 수 있다. 흔히 말하는 빅데이터가 이런 비식별화 과정을 거친 정보들이다. 그러나 비식별화된 개인정보도 다른 경로로 수집한 개인정보와 조합시키는 과정을 거치면 데이터의 당사자를 알아낼 수 있는 재식별화 가능성도 갖기 때문에 문제가 되는 것이다. 지난 박근혜 정부에서 발표한 ‘개인정보 비식별 조치 가이드라인’에 따라 공공기관 등이 보유하고 있던 개인정보는 이렇게 비식별화 조치를 거쳐 기업에 제공됐다. 확인된 건수만 3억4000만건이 넘는 정보였다. 그런데 이렇게 넘어간 각각의 서로 다른 개인정보 데이터들은 한데 묶여 고객정보 분석에 활용됐다. 삼성생명과 삼성카드가 2017년 2월 두 회사에 모두 가입돼 있는 241만명의 고객정보를 13차례 결합하는 등 가이드라인 제정 이후 21개 기업이 1억7000만건 이상의 개인정보 결합을 시도했던 사실이 지난해 국정감사에서 밝혀지기도 했다. 이 때문에 개인에게 사전 동의를 받지 않고도 정보를 활용할 수 있게 하거나 완전한 익명화가 아닌 가명을 사용해 비식별화 조치를 취한 경우 규제혁신 5법의 특례와 결부되면 기업이 개인정보를 자유롭게 활용할 수 있는 허점을 낳는다는 것이 시민사회·정보인권단체들의 지적이다. 참여연대 복지조세팀장인 김남희 변호사는 “현재 발의된 법안에서 비식별화 조치가 익명화인지 가명화인지 모호하고, 사실상 폐기처분된 ‘비식별화 조치 가이드라인’과 어떠한 차이가 있는지도 불분명하다”며 “자칫하면 정보 주체의 동의 없이 상업적인 목적으로 개인정보를 활용하고 데이터 결합까지 광범위하게 허용하는 법제화로 연결될 위험이 있다”고 지적했다. 시민단체 “개인정보 기업 활용 소지” 이러한 비판에 대해 법안 통과에 주력하고 있는 민주당은 과도한 우려 때문에 발생하는 비판이라고 반박하고 있다. 이미 법안 내부에 규제로부터 예외가 적용되는 특례를 엄격하게 심의하도록 하고 있다는 것이다. 이들 법안에서 특례를 인정하는 단서조항이 ‘특례 심의시 고려사항에 국민의 안전·생명·건강·환경 및 지역균형발전과 개인정보의 안전한 보호·처리 등을 포함하며, 지정시 필요한 경우 조건을 붙일 수 있다’고 규정한 부분이다. 김태년 민주당 정책위 의장은 “개인정보는 비식별조치를 한 경우에만 제3자 제공을 허용키로 했다”며 “국민의 생명과 안전, 환경에 관한 규제완화는 안 된다는 대원칙은 지금도 변함이 없다”고 말했다. 민주당 혁신성장팀에 속한 한 의원도 “개인정보를 보호하는 원칙은 여전히 개인정보보호법으로 마련돼 있고, 규제혁신 5법에서 나오는 특례나 임시허가에 대해선 검증기관을 만든다는 내용도 함께 포함돼 있어 사실상 (개인정보 보호의) 예외가 될 가능성은 극히 낮다”고 말했다. 그러나 5법 중 나머지 4개 법안의 규제혁신 방향을 규정하는 내용을 핵심으로 하는 행정규제기본법에서 ‘필요한 경우에는 해당 규제가 정비되기 전이라도 규제 특례를 부여하는 관계 법률로 정하는 바에 따라 해당 규제의 적용을 면제하거나 완화할 수 있다’고 명시한 부분이 근본적인 우려를 낳는 지점이다. 규제혁신 5법에 규제를 완화하는 원칙이 담길 수밖에 없다는 점은 인정하지만 그렇다고 해서 법으로 명확히 규정하고 있지 않은 부분을 전면적으로 예외로 두는 조치가 적합한지가 쟁점이 되는 것이다. 시민사회에서도 불합리한 규제를 개선하는 방향 자체에는 원칙적으로 찬성한다는 입장이다. 그러나 논란이 되는 법안들이 초점을 맞추고 있는 신산업 분야에서 기술 발전 속도가 더욱 빠른 만큼 관계 법령 역시 그에 맞춰 시급하게 정비해야 한다는 점도 분명하다고 주장한다. 민변 민생경제위원회의 김종보 변호사는 “특히 스타트업이나 벤처기업이 경쟁력을 갖추기 위해 어떤 경제환경이 조성돼야 할지에 대한 전략과 구체적 정책이 필요하다”면서 “공정경제 시스템과 엄정한 법집행이 담보된다면 규제의 유무와 강도에 따라 신규투자나 기술혁신이 좌우되지는 않을 것이므로 신생기업이 대기업의 횡포에 당하지 않도록 하는 제도적 보호장치가 무엇보다 중요하다”고 말했다.
- 개인정보보호규정 ‘EU의 장벽’ 넘을까(2018. 07. 23 14:36)
- 2018. 07. 23 14:36 경제
- ㆍ정부, 연내 인증 받으려 ‘IT 외교’에 사활… 10월 EU집행위 방한 때가 분수령 “대한민국의 대통령은 언제 오는 겁니까?” 2017년 6월 방송통신위원회 관계자들이 벨기에 브뤼셀에 있는 유럽연합(EU) 집행위원회를 찾았다. 2018년 5월부터 본격 발효될 예정인 EU의 ‘개인정보보호규정’(GDPR) 문제를 논의하기 위한 차원이었다. 자리에 앉자마자 집행위 관계자는 불쑥 대통령부터 찾았다. 문재인 대통령이 취임한 지 불과 한 달밖에 안됐을 때다. 사정을 모를 리 없는 EU 측이 대통령부터 만나자고 하는 것은 그만큼 사안을 심각하게 보고 있다는 뜻이었다. 더욱이 당시엔 방통위원장 자리도 공석이었다. 방통위 관계자들은 이 같은 사정을 설명하고 집행위에 “최대한 빨리 추진하겠다”며 양해를 구하느라 진땀을 흘려야 했다. 방송통신위원회 이효성 위원장(오른쪽)이 지난해 11월 20일 벨기에 브뤼셀에서 EU 집행위의 베라 요로바 집행위원과 공동성명을 발표하고 있다./방송통신위원회 제공 GDPR은 EU판 ‘개인정보보호법’이다. 통신기술의 발달로 국가 간 장벽이 없어지면서 개인정보의 국외 이전 문제는 무역 이슈만큼이나 민감한 문제가 됐다. EU의 입장은 단호하다. EU에 속하지 않은 국가가 EU 국민들의 개인정보를 국외로 가져가려면 GDPR의 규제에 따르라는 얘기다. 규제를 면하기 가장 좋은 길은 국가 차원에서 ‘GDPR 인증(적정성 평가)’을 받는 길뿐이다. 정부도 연내 인증을 받기 위해 사활을 걸고 뛰는 중이다. 구글, 페이스북은 즉각 고발당해 EU 집행위가 문 대통령 얘길 꺼낸 데는 이유가 있었다. EU의 GDPR이 선포된 건 2016년 5월이다. 2년간의 유예기간을 거쳐 2018년 5월 발효 예정이었고, 집행위는 규정 발효에 앞서 전세계 주요 정보기술(IT) 선도국가들에 공문을 보냈다. GDPR 본격 시행 전 국가 차원에서 인증을 받으라는 내용이었다. 일종의 선전포고였다. 아시아권에서는 한국과 일본에 제일 먼저 공문이 날아들었다. 2017년 1월의 일이다. GDPR 규제의 장벽이 있는 한 유럽에서 제대로 된 사업을 하기는 힘든 게 사실이다. 유럽 검색시장과 사회관계망서비스(SNS)를 각각 장악하고 있는 구글과 페이스북은 올해 GDPR이 발효된 당일 유럽의 시민단체로부터 즉각 고발당했다. 두 업체가 GDPR을 지키지 않고 사업을 하고 있다는 이유에서다. 이들 업체가 GDPR을 심각하게 위반한 것으로 집행위가 판단할 경우 최대 전세계 매출액의 4%에 달하는 막대한 과징금을 부과받게 된다. IT업계의 한 관계자는 “국내의 경우 대기업들은 나름 준비를 해와 문제가 없지만 중소기업이나 규제 관련성이 큰 IT업계의 경우 GDPR로 인해 향후 유럽 시장 진출이나 역내 사업 유지에 어려움을 크게 겪을 수 있다”고 밝혔다. 일본은 발빠르게 움직였다. 방통위가 집행위를 찾기 직전 일본의 아베 신조 총리가 집행위를 찾아와 GDPR 인증에 협조를 구하고 갔다. 인증은 20명의 집행위 소속 위원들에게 달려 있다. 아베 총리는 위원들을 만나 ‘눈도장’도 찍었다. 일본의 태도를 본 집행위가 한국에 문 대통령 얘길 꺼낸 건 어찌보면 당연한 것일 수도 있다. 정부가 손을 아예 놓고 있었던 건 아니다. 2015년 12월에 이미 GDPR 인증을 받아보려고 시도했다. 행정자치부 산하 개인정보보호위원회를 필두로 국내 개인정보보호법을 인증 대상으로 내밀었지만 거부당했다. GDPR에서는 개인정보 보호를 총괄하는 기구의 독립성을 중요하게 보는데, 정부의 개인정보보호위원회가 독립적이지 못하다는 이유에서다. 시간이 별로 없었다. 개인정보보호위원회를 독립시키면 되지만, 이렇게 하려면 현재 개인정보보호법, 정보통신망법, 신용정보법 등 각지에 흩어진 개인정보 보호 관련 규정도 손봐야 하고 법 개정도 필요했다. 결국 차선으로 꺼낸 게 독립기구인 방통위가 정보통신망법을 가지고 일단 부분적으로나마 GDPR 인증을 받는 방법이었다. 2017년 11월 20일 이효성 방통위원장이 취임 첫 해외출장으로 EU 집행위를 찾았다. 장관급 인사가 방문하자 비로소 집행위 태도도 누그러졌다. 이 위원장과 집행위는 이날 회담을 갖고 개인정보 보호와 양측 간 정보 유통에 대한 상호협력 강화를 위한 방안을 논의하고 이를 위한 공동성명을 발표했다. 이 위원장은 벨기에 등을 방문해 GDPR 인증에 협조를 당부했다. EU 집행위에서 GDPR 문제를 총괄하는 베라 요로바 집행위원이 지난 5월 31일 방한한 것도 정부가 집행위에 공을 들인 결과다. 베라 요로바 집행위원은 방한 기간 중 국무총리, 외교부 장관, 법무부 장관, 과기정통부 장관 등을 두루 만나며 세를 과시했다. 연내 GDPR 인증을 추진 중인 정부에 최대 분수령은 10월로 예정된 EU 집행위의 GDPR 담당 상임위원들의 단체방한 일정이다. 이번에는 허욱 방통위 부위원장이 6월 22일 재차 EU 집행위를 찾아가 방한을 제안했다. 상임위원들은 국내 개인정보 보호실태에 대한 현장점검 및 정부, 기업, 시민단체 등을 잇달아 만난 뒤 인증 여부를 결정하게 된다. “이참에 개인정보 보호체계 개선해야” 재계도 GDPR 인증에 기대를 걸고 있다. 네이버만 해도 유럽 시장 진출에 눈독을 들이는 중이다. 총수인 이해진 글로벌투자책임자(GIO)는 “유럽 시장에서 기회를 찾겠다”고 선언하고 현지에 머물며 사업 발굴에 나선 상태다. 네이버 관계자는 “아직 유럽에서 GDPR 이슈와 관련된 사업을 하고 있지는 않아 당장은 문제가 안된다”면서도 “정부가 GDPR 인증을 받게 되면 향후 사업을 진행할 때 여러 모로 도움이 될 것”이라고 밝혔다. IT업계에서는 넥슨, 카카오 등 유럽 시장 진출 가능성이 높은 주요 IT기업들도 GDPR 인증의 잠재적인 수혜기업으로 꼽고 있다. 경제정의실천시민연합과 진보네트워크센터 등 시민단체들은 정부 차원의 GDPR 대응을 긍정적으로 평가하면서도 이번 기회에 개인정보 보호와 관련된 제반 규정과 관리체계를 개선해야 한다고 지적하고 있다. 오픈넷 관계자는 “개인정보보호 관련 규제가 여러 법에 중복되고 유사한 조항들이 다수 존재해 혼란을 야기하고 있다”며 “무엇보다 독립적이고 적절한 권한을 가진 개인정보 감독기구의 부재는 큰 문제”라고 밝혔다. 매년 논란이 되고 있는 수사기관에 대한 무분별한 통신가입자 개인정보 제공 문제와 비식별 개인정보 데이터의 활용문제 등 개인정보 보호 관련 이슈들도 함께 논의해야 한다는 게 시민단체들의 입장이다. GDPR 인증의 방법론에 있어서도 정부와는 입장차이를 보이고 있다. 정보통신망법을 통해 부분적으로 인증을 받을 경우 현재의 복잡한 개인정보 보호 관련 법체계가 그대로 고착화될 수 있다는 우려에서다. 이 때문에 부분 인증보다는 개인정보보호법제를 먼저 개선한 후 전체 적정성 평가를 추진하는 것이 바람직하다는 것이다. 방통위 관계자는 “EU의 GDPR 인증은 4년 단위로 진행되는데, 올해를 놓치면 다음 4년을 기다려야 한다”며 “반면 개인정보보호법제를 통합하고 개선하려면 법 개정이 불가피해 시간이 많이 걸려 연내 인증이 어려운 만큼 불가피하게 부분 인증에 나선 것”이라고 밝혔다. 이 관계자는 “장기적으로는 시민단체들의 지적하는 방향에 공감한다. 일단 연내 부분 인증을 받은 후 향후 전체 적정성 평가를 추진해 나가겠다”고 덧붙였다.
- 유럽연합, 개인정보 왜 강화하나(2018. 05. 21 16:09)
- 2018. 05. 21 16:09 경제
- ㆍGDPR 5월 25일부터 시행… 역내 데이터 이동 자유화·역외 이전은 엄격히 통제 유럽연합 일반개인정보보호법(GDPR) 시행이 코앞에 다가왔다. GDPR은 유럽연합 역내 개인정보 처리와 이동에 관한 일반법으로 2016년 5월 24일 발효 후 2년의 유예기간을 거쳐 5월 25일부터 시행된다. 벨기에 브뤼셀에 있는 유럽연합 집행위원회 건물 외부에서 유럽연합 깃발이 휘날리고 있다. / 게티이미지 GDPR은 유럽연합을 디지털 단일시장으로 만들어 정보통신기술(ICT) 혁신을 가속화하기 위한 전략의 하나다. 정보 주체의 권리를 강화하고 기업의 책임을 강화하는 것이 골자다. 개인정보를 안전하게 보호하면서도 산업적인 쓰임새를 넓히자는 취지다. 유럽의 ‘신무기’ GDPR GDPR 시행으로 정보 주체는 삭제권(잊힐 권리), 사업자의 개인정보 처리를 임시 중단하는 처리제한권, 개인정보 이동권, 프로파일링을 포함한 알고리즘에 의한 자동화된 처리의 결과를 적용받지 않을 권리 등을 새로 갖게 된다. 개인정보 이동권은 내 정보를 필요로 하는 업체가 있을 경우 내 개인정보에 대한 사용승인을 본인에게 받은 뒤 다른 기업에 제공할 것을 요구할 수 있는 권리다. 가령 구글에 있는 내 정보를 그대로 카카오에 제공하도록 요구할 수 있다. 대기업 위주의 정보 쏠림 현상을 막고 새롭게 시장에 진출한 기업에 유리하다는 점에서 공정경쟁을 위한 권리이기도 하다. 유럽에서는 구글, 페이스북, 애플, 아마존 등 미국 IT기업들이 플랫폼을 장악하고 정보유통시장을 지배하는 것에 대한 경계심이 높다. 정보이동권은 외국의 IT 플랫폼 기업으로부터 데이터 시장을 탈환하기 위한 무기인 셈이다. 기업의 책임을 강화하기 위해 일정 기준 이상의 기업에 정보보호책임자(DPO·Data protection officer)를 임명하도록 하고 심각한 규정 위반의 경우 전세계 연간 매출액 4% 또는 2000만 유로 중 높은 금액을 부과하는 과징금 제도를 신설했다. GDPR은 역내 데이터 이동을 자유화해 데이터 주도 혁신을 이루면서 역외 이전은 엄격히 통제한다. 이 때문에 글로벌 IT업계를 주도하는 미국 기업을 견제하려는 속내를 드러냈다는 평가를 받는다. 유럽연합 내에서 수집한 개인정보를 역외로 이전하려면 유럽연합과 동등한 수준의 개인정보 체계를 갖췄다는 ‘적정성’ 승인을 받아야 한다. 데이터가 인공지능 시대의 자원인 만큼 개인정보 보호라는 명분을 앞세워 역외 기업들이 가져가는 개인정보를 최소화할 수 있는 것이다. 윤재석 한국인터넷진흥원(KISA) 개인정보협력팀 팀장은 “GDPR은 미국을 비롯한 전세계 디지털경제 주도권 확보 경쟁에서 우위를 점하기 위한 유럽연합의 신무기”라며 “사이버 보안, 개인정보 보호 준수 역량을 높이는 일은 유럽은 물론 글로벌 시장 진출을 위한 필수 전제요소가 됐다”고 말했다. GDPR은 과거 ‘지침’(Directive)과 달리 ‘규칙’(Regulation)으로, 별도의 입법절차 없이 회원국에 직접 적용되는 단일 법으로 격상됐다. 개인정보 규제 비용을 줄이고 단일 시장으로서의 공동 대응이 가능하다. 지리적 적용 범위도 확대됐다. GDPR은 유럽연합 내 정보 주체의 정보를 처리하는 역외 기업에도 적용된다. 예를 들어 국내에서 호텔 서비스를 하더라도 유럽연합 시민의 개인정보를 처리할 경우 이 규정을 따라야 한다. 특히 스타트업은 전세계를 시장으로 삼는 사업이 많기 때문에 체계적인 준비가 필요하다. 페이스북 정보유출로 개인정보 보호 이슈가 커진 상황에서 GDPR 시행을 맞이하게 되면서 페이스북, 구글, 트위터, 에어비앤비 등 글로벌 기업들은 최근 일제히 개인정보 관련 약관을 개정했다. 개인정보 보호 정책을 짧고 간결하며 읽기 쉽도록 재구성하고 GDPR 규정에 따른 요구사항들을 준수하도록 한 것이 골자다. 정부와 KISA 등은 GDPR의 주요 내용과 파급효과를 국내 기업에 알리기 위해 여러 차례 세미나·간담회 등을 진행했다. 전담기관인 KISA에 따르면 대다수 국내 기업들은 GDPR의 내용이 생소하고 우리의 법체계와 다른 부분이 많아 어렵게 느끼거나 큰 여파가 있지 않을 거라며 대수롭지 않게 여기는 분위기다. 아예 GDPR을 모르는 기업도 많다. 이런 상황은 국내만이 아니라 미국은 물론 유럽연합 회원국에서도 마찬가지다. 세계적인 데이터 분석기업 SAS가 지난달 27일 발표한 조사결과에 따르면 GDPR 대응을 완료했다고 답한 기업은 7%에 불과했다. 시행일까지 대비를 마칠 것으로 예상한 유럽연합 기업도 53%에 그쳤다. 국내 기업 “법률적 해석 어려워” GDPR은 일반법이라 별도 입법절차가 필요하지 않지만 과징금이나 아동 연령 등에서 자국 입법이 필요한 부분이 있어 유럽연합 회원국조차 완비한 곳이 많지 않은 실정이다. 윤재석 팀장은 “파급력이 클 것으로 예상되지만 준비는 다른 국가도 상당히 부족하다”고 말했다. 최근 네이버의 GDPR 관련 지식을 외부에 공유하기 위해 안내 페이지를 공개한 네이버는 “GDPR 시행이 얼마 남지 않은 상황임에도 유럽 로펌에서조차 구체적인 가이드라인을 확인하기 힘든 상황”이라고 전했다. KISA가 지난달 우리 기업의 GDPR 대응 사례를 조사하기 위해 심층면접한 금융·IT·제조 분야의 대기업들은 거의 대부분 법률적 해석의 어려움을 애로사항으로 꼽았다. 이런 이유 때문에 GDPR이 법률 컨설팅·솔류션 업계에 호재가 될 것이라는 이야기가 나온다. 그러나 KISA 측은 GDPR이 데이터와 개인정보 관리체계 전반을 포괄하고 있어서 한두 개 솔루션 도입으로 해결될 문제는 아니며 데이터 관리·보관·활용의 전체 체계를 완비해야 법령을 준수할 수 있을 것이라고 조언했다. GDPR 시행으로 개인정보 보호 관련 투자를 당연히 해야 한다는 기업의 인식은 확대될 것으로 보인다. 과징금이 천문학적 규모이기 때문에 미리 최악의 경우를 상정하고 관련 예산을 책정한 기업도 있다. 과징금은 위반의 중대성, 지속기간, 의도성, 피해 경감 노력 등 11가지 기준을 판단해서 유럽연합 사법재판소에서 최종 결정한다. KISA 측은 유럽연합 집행위원회의 행정력 한계를 고려할 때 처음부터 무거운 과징금을 부과할 가능성은 낮다고 보고 있다. 정현철 한국인터넷진흥원 개인정보보호본부 본부장은 “우리나라 정보통신망법이 유럽연합과 크게 다르지 않고 무조건 2000만 유로의 과한 벌금을 받는 것은 아니기 때문에 너무 불안해하는 것보다는 우리 기업이 적용대상인지 GDPR과 현재 우리 기업의 개인정보 보호 수준의 차이가 얼마나 되는지 분석해 그 차이를 줄이려는 노력이 필요하다”고 말했다. 정부 차원에서는 중소기업벤처부, 산업통상자원부, 행정안전부, 방송통신위원회 등이 주축이 돼 범정부 차원의 대책을 논의 중이다. 가장 중요한 과제는 적정성 승인을 받는 것이다. 유럽연합 집행위는 개인정보 보호 관련 법체계와 감독기구의 독립성, 법이 제대로 적용되는 판례를 보고 한 나라의 개인정보 보호 수준을 판단해 적정성을 평가한다. 국가 전체로 적정성 평가를 받으면 기업이 개인정보 역외 이전 동의를 받을 필요가 없다. KISA 측은 “목표는 올해 안에 평가를 받아 화이트리스트에 등재되는 것”이라며 “지금 가능성이 있는 국가는 한국·일본이라 희망적으로 보고 있다”고 밝혔다.
- 개인정보 유출 스캔들로 홍역 앓는 인도(2018. 04. 02 15:18)
- 2018. 04. 02 15:18 국제
- ㆍ세계 최대 규모 신분증 프로그램 유출 ‘IT 강국’ 인도가 곤욕을 치르고 있다. 생체정보를 기반으로 한 인도의 신분증 시스템 ‘아드하르(Aadhaar)’부터 나렌드라 모디 총리의 국민소통 애플리케이션까지 모두 ‘뚫렸다’는 의혹에 휘말렸다. 개인정보 수집 및 유출 논란이 제기된 인도 정부의 신분 식별관리 시스템인 ‘아드하르’의 등록 신청 이미지. / 인도 매체 홈페이지 ‘IT 강국’ 인도가 곤욕을 치르고 있다. 유례 없는 규모의 개인정보 유출 의혹이 여기 저기서 터져나오고 있기 때문이다. 생체정보를 기반으로 한 인도의 신분증 시스템 ‘아드하르(Aadhaar)’부터 나렌드라 모디 총리의 국민소통 애플리케이션까지 모두 ‘뚫렸다’는 의혹에 휘말렸다. 프라이버시에 대한 우려가 커지는 것은 물론 기술 기반의 ‘빅브라더’에 대한 보다 근본적인 질문도 나오고 있다. 아드하르는 인도인의 신분을 식별·관리하는 인도 정부의 관리시스템이다. 미국 사회보장번호(SSN)을 모델로 만들어졌는데, SSN과 달리 지문, 홍채 등 생체정보를 포함하고 있다는 것이 특징이다. 12자리의 고유번호로 이뤄져 있으며, 한국의 주민등록증처럼 신분증으로 사용된다. 현재 아드하르에 등록된 인도인 수는 11억명 이상이다. 생체정보 기반 신분 인증 프로그램으로는 세계 최대 규모다. 아드하르 발급은 의무가 아니지만 거의 모든 정부 서비스가 아드하르와 연계돼 있다. 나렌드라 모디 인도 총리가 취임 이듬해인 2015년부터 디지털화 정책 ‘디지털 인디아 이니셔티브’를 추진하면서 아드하르 기반의 공공서비스는 꾸준히 확대돼 왔다. 아드하르 카드가 없으면 식량배급, 출산과 육아 관련 수당, 장학금 등 교육혜택을 이용할 수 없다. 사실상 강제인 셈이다. 인도 대법원이 아드하르의 헌법적 기본권 침해 관련 소송 여러 건을 심리 중에 있는 것도 이 때문이다. 논란은 지난 1월, 인도 현지 언론 <인디안 트리뷴>의 보도로 시작됐다. 매체는 모바일 메신저 왓츠앱에서 활동하는 익명의 판매자로부터 인도 전국민의 이름과 생년월일, 주소, 휴대전화 번호, 지문 및 홍채 정보가 담겨 있는 아드하르의 접근 권한을 구매하는 데 성공했다고 주장했다. 정보를 구입하는 데 든 돈은 단돈 500루피(약 8200원)였다. 이어 “특정 개인의 아드하르 번호를 입력하면 신분증 인쇄가 가능한 소프트웨어도 300루피(약 4900원)에 살 수 있었다”고 주장했다. 아드하르의 발행 및 관리 기관인 인도 고유신원권한(UIDAI)은 이 같은 의혹을 강하게 부인했다. UIDAI는 공식 트위터 계정에 “아드하르는 침입을 받은 적이 없다”며 “이 이야기에는 진실이 전혀 없다”고 밝혔다. 인도의 집권 국민당(BJP) 또한 “아드하르 정보 유출은 ‘가짜 뉴스’”라는 입장을 냈다. 하지만 지난달 프랑스의 보안전문가 엘리엇 앨더슨이 “간단한 인터넷 검색도구를 이용해서 하루 만에 2만여개의 아드하르 카드 정보에 접근했다”고 주장하면서 논란이 잦아들지 않고 있다. 모디 총리도 ‘빅브라더’ 불똥 나렌드라 모디 인도 총리의 공식 애플리케이션 의 예시 화면. / 구글 플레이 스토어 아드하르의 보안문제는 시스템 도입 초기부터 내내 지적돼 왔다. 보안전문가들은 명확한 안전장치 없이 많은 양의 데이터에 정부 또는 민간기업이 접근하는 것은 프라이버시에 위협이 된다고 경고해 왔다. 실제 곳곳에서 허점이 드러나고 있다. 이미 가짜 아드하르는 속속 등장 중이다. 한때 뭄바이에서는 가짜 카드를 200루피에 구할 수 있다는 보도가 나왔다. 최근 인기 연예인의 이름을 도용해 만든 가짜 아드하르로 호텔 예약이 이뤄져 경찰이 조사에 들어갔고, 일부 테러 조직원들이 신분을 숨기거나 범죄를 저지르는 데 가짜 카드를 이용하고 있다는 보도가 나오기도 했다. 프라이버시 침해와 취약한 보안 외에도 아드하르가 되레 정부의 기초서비스 제공을 막는다는 점도 아드하르의 문제점으로 거론된다. 당국의 실수로 신분증에 이름이 잘못 기재되거나 고령으로 지문이 닳는 등의 사유로 수개월간 학교에 가지 못하거나 식량배급을 받지 못하는 사례도 쏟아져나오고 있다. 인도 사이버 보안 전문가인 스린바스 코달리는 아드하르의 설계와 구현에 문제가 있다고 말한다. 그는 “아드하르의 가장 큰 위험은 신원을 통째로 도둑 맞는 것”이라며 “그로 인해 아흐다르 번호가 해제된다면 피해자는 기본적으로 정부나 민간 서비스 공급업체에 있어서 더 이상 존재하지조차 않는 사람이 된다”고 말했다. 인도 ‘디지털 드라이브’의 당사자인 나렌드라 모디 총리 또한 정보유출 스캔들로 홍역을 치르고 있다. 모디 총리의 국민소통 애플리케이션 ‘나모(NaMo)’가 사용자의 개인정보를 동의 없이 수집해 외부로 유출시켰다는 의혹이 최근 제기되면서다. 정치적 도구로서 소셜미디어의 잠재력을 일찍이 인식한 모디 총리는 취임 이듬해인 2015년 나모 앱을 론칭했다. 앱을 통해 모디는 그의 정책이나 활동을 홍보하는 것은 물론, 사용자가 자신의 아이디어와 의견을 낼 수 있도록 했다. 구글 플레이스토어에서만 다운로드 수가 500만건이 넘을 만큼 인기가 좋았다. 그러던 3월 24일, 엘리엇 앨더슨은 나모 앱이 개인 이용자 정보를 사용자 동의 없이 클레버탭이라는 제3의 미국 데이터 분석회사에 넘겼다고 트위터에 폭로했다. 모디가 이끄는 여당 인도국민당(BJP)은 “모든 사용자에게 가장 알맞은 콘텐츠를 제공하기 위해 데이터를 분석했을 뿐”이라고 해명했다. 하지만 이 앱의 기본 모드가 사용자의 사진·영상·위치·음성녹음 파일 등에까지 접근할 수 있도록 한다는 현지 언론의 보도가 뒤따라 나오면서 파문은 더 커졌다. 정부 주도 시스템의 정보유출 논란이 잇따르면서, 정부에 적용되는 개인정보 관련 보호법이 허술하다는 지적이 나온다. <파이낸셜타임스(FT)>는 “3월 28일 “인도에서 데이터 보호와 개인정보 보호 문제를 다루는 유일한 법적 조항은 오직 기업에만 적용된다”며 “정부나 정당이 적용을 받는 포괄적인 개인정보 보호 및 보안 법률이 없다”고 전했다. 그러면서 “이번 논쟁으로 인도인들은 편의와 오락을 위해 열광적으로 채택해온 앱의 데이터 수집력이 얼마나 불편한 것인지에 대해 눈을 뜨게 됐다”고 평가했다.
- [법률 프리즘]빅데이터 시대, 개인정보보호 어디까지(2017. 09. 25 18:23)
- 2017. 09. 25 18:23 사회
- 개인을 알아볼 수 없도록 비식별 조치를 한 정보는 개인정보가 아닌 것으로 추정된다. 따라서 비식별 조치 정보의 경우 별도의 동의를 받지 않더라도 빅데이터 분석에 활용할 수 있다고 허용했다. 행복을 찾기 위해, 나 자신이 누구인지 진정으로 알기 위해 외부의 시선에서 벗어나 조용히 자신의 내면에 귀를 기울이라는 충고에 많은 사람이 공감한다. 실제로 많은 이들이 명상이나 혼자만의 시간을 통해 자신을 찾기 위한 노력을 하고, 이러한 시간을 통해 재충전하여 활기차게 일상을 살아간다. 유발 하라리는 최근 큰 인기를 끈 신작 에서 “앞으로는 자신을 알기 위해 내면을 들여다보려고 명상하는 것이 불필요할 수도 있다”는 진단을 내놓았다. 유발 하라리는 “구글과 페이스북의 알고리즘들은 당신이 어떤 감정을 느끼는지 정확히 알 뿐 아니라 당신 스스로가 짐작도 하지 못하는 당신의 여러 가지에 대하여 알고 있다”며 “진정한 나를 찾으려면 이제 자신의 감정에 귀 기울일 것이 아니라 외부 알고리즘에 귀를 기울여야 할지도 모른다”고 주장했다. 과거와는 차원이 다른 방대한 양의 데이터 분석이 가능해지면서 나온 주장이다. 우리는 이러한 데이터를 흔히 ‘빅데이터’라고 말한다. 석탄과 석유가 있었기에 기계 산업혁명이 가능했다면 4차 산업혁명은 빅데이터가 그 역할을 할 것이라고도 한다. 인공지능 기술의 발전 역시 빅데이터를 처리할 수 있는 기술의 힘에 많은 신세를 졌다. 빅데이터 분석 관련 일러스트레이션 이미지 / 픽사베이 제공 현실에 적용 어려운 ‘통지 및 동의 원칙’ 이렇게 막강한 힘을 가진 빅데이터가 이끄는 사회는 어떤 모습일까. 특정한 질병의 유행 가능성을 먼저 알아차리는 것은 보건당국이 아니라 인터넷 기업이 될 수도 있다. 독감 등의 증상에 대한 단어의 검색 빈도가 평상시와 다르게 높다면 이는 곧 많은 사람들이 독감에 대해 궁금해 한다는 것이므로, 독감이 유행하고 있을 가능성이 높다고 추론할 수 있는 것이다. 이러한 빅데이터의 활용은 필연적으로 개인정보 보호와 상충될 수 있다. 빅데이터를 통한 맞춤형 서비스는 해당 정보를 제공한 사람이 누구인지, 그 사람이 어떠한 데이터를 생성하고 있는지를 수집해 분석할 때 이루어질 수 있기 때문이다. 우리 법은 개인정보를 ‘살아있는 개인에 관한 정보로서 개인을 알아볼 수 있는 정보이며, 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보’라고 정의한다. 대한민국은 개인정보를 다룰 때 사전 동의 방식을 채택하고 있다. 개인정보를 수집, 이용, 제3자에게 제공할 때에는 반드시 사전에 정보주체가 명확하게 인지할 수 있도록 알리고 동의를 받도록 한 것이다. 특히 건강정보, 노동조합이나 정당의 가입·탈퇴 정보, 정치적 견해 등에 관한 정보는 정보주체가 제공할지 여부에 대하여 좀 더 신중한 의사결정을 해야 할 필요가 있는 것으로 보고 별도의 동의를 받도록 규정하고 있다. 인터넷 서비스 등을 새로 이용할 때마다 여러 사항에 대해 ‘동의한다’는 체크를 해야 하는 이유다. 이는 이른바 ‘통지 및 동의 원칙’에 따른 것이다. 개인정보를 이용하는 사업자는 정보주체에게 자신이 어떠한 개인정보를 수집하며 이를 어떤 목적에 이용하고 필요할 경우 누구에게 제공하는지를 밝히고, 정보주체는 이를 보고 그 이용에 동의하며 그 이용에 따른 편리함을 선택하되 자신의 개인정보에 대한 처리를 맡기는 대신 그 위험을 자신이 부담한다는 것이다. 비식별 조치의 ‘충분함’에 대한 논란 그러나 빅데이터 시대를 맞아 이러한 법규가 현실적으로 적용 가능한 것인지, 원취지인 개인정보 자기결정권의 차원에서 실효성이 있는 것인지에 대해 회의적인 시각이 있다. 결국 이용자의 입장에서는 정보주체로서 자신의 개인정보를 어떻게 이용하겠다는 것인지를 이해하고 그에 대해 동의하겠다는 의사를 밝히기보다는 해당 서비스를 이용할 것인지 혹은 포기할 것인지의 선택에 그치게 된다는 것이다. 빅데이터는 검색 빈도를 통해 유행하는 질병을 알아내는 것처럼 방대한 데이터의 조합을 통하여 당초 수집했을 때는 생각하지 못했던 새로운 가치를 창출해낼 때 유용성이 있는데, 수집할 때 동의받은 목적 내 활용을 제한한다면 그 유용성 자체가 크게 제한된다는 지적도 있다. 이러한 고민 끝에 정부는 빅데이터를 활용하고자 하는 기업의 불확실성을 제거하고 각 개인의 개인정보 인권 보호에도 소홀함이 없도록 하겠다며 관계부처 합동으로 가이드라인을 내놓았다. 개인정보는 ‘개인을 알아볼 수 있는 정보’이므로, 개인을 알아볼 수 없도록 비식별 조치를 한 정보는 개인정보가 아닌 것으로 추정된다는 것이다. 따라서 비식별 조치 정보의 경우 별도의 동의를 받지 않더라도 빅데이터 분석에 활용할 수 있다고 허용했다. 비식별 조치 방법은 구체적으로 제시했다. 예를 들면 이름을 가명으로 바꾼다거나, 특정 데이터를 삭제해 정보주체가 누구인지 확인할 수 없도록 익명화하는 것이다. 그런데 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보라면 반드시 정보주체의 동의를 얻어야 하는 개인정보에 해당한다. 따라서 비식별화 조치를 거쳤다 하더라도 과연 이를 정보주체의 동의를 필요로 하지 않는 개인정보로 볼 수 있을 것인지에 대한 논란이 생길 수 있다. 과연 어느 정도가 ‘충분한’ 비식별 조치인지에 대한 논란도 있다. 가이드라인에서도 비식별 조치가 충분하지 않은 경우 공개정보 등 다른 정보와의 결합을 통해 개인이 식별될 우려가 있음을 밝히고 있다. 이에 가이드라인은 비식별 조치가 적정한지를 놓고 평가단의 평가를 받도록 하고 있다. 정기적인 동향 파악을 통해 비식별 조치를 무력화할 수 있는 새로운 기술 등이 등장할 경우 추가 조치를 해야 하는 것이다. 빅데이터는 매우 편리한 도구가 될 수 있다. 창작이란 완전히 없는 것에서 새로운 것을 만들어내는 것이기도 하지만, 서로 관련성이 없어 보이는 요소들 사이의 관계를 새롭게 정립하는 것이기도 하다. 빅데이터는 이러한 연결을 가능하게 만들 수 있는 훌륭한 매개가 될 수 있다. 다른 한편으론 무한대로 정보가 복제돼 순식간에 개인정보가 불특정 다수에게 전송될 수 있는 위험성도 다분하다. 개인의 자기정보결정권도, 빅데이터를 이용한 편리한 삶도 어느 한쪽을 희생하기는 어려운 가치다.
- 법률 프리즘
- [우정이야기]인터넷 우체국 개인정보 관리능력 인정(2017. 03. 14 16:41)
- 2017. 03. 14 16:41 경제
- 우정사업본부 인터넷우체국(www.epost.go.kr)이 인터넷 통합보안 시스템 능력을 인정받았다. 우정사업본부는 3월 7일 인터넷우체국이 ‘정보보호 관리체계(ISMS) 및 개인정보보호 관리체계(PIMS)’에서 동시 인증을 받게 됐다고 밝혔다. 정부기관 중에서 ISMS와 PIMS의 동시 취득은 우정사업본부 인터넷우체국 서비스가 처음이다. ISMS 인증으로 외부의 악의적 네트워크 침입자(해킹)로부터 안전함을, PIMS 인증으로 인터넷우체국 서비스 이용자 개인정보의 안전한 관리능력을 인정받게 된 셈이다. ISMS 인증제도는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’에 따라 정부가 기업들이 운영 중인 정보보호 시스템에 대해 그 적합성과 공신력을 평가해 인증하는 제도다. 미래창조과학부가 한국정보통신진흥협회와 한국인터넷진흥원 등을 심사기관으로 지정해 운영하고 있다. 기업의 고객정보 보호를 위한 보안시스템 등이 주요 평가 대상이다. 기업이 회원 정보 등 주요 정보자산을 보호하기 위해 수립·관리·운영하는 각종 체계를 철저하게 점검한 후 그 적합성을 평가해 인증 여부를 결정하고 있다. 지금까지 SK텔레콤, KT, 신한은행, 우리은행, 한국거래소 등 국내 각 분야 대표기업들이 ISMS 인증을 받았다. 인터넷우체국 메인 화면 / 우정사업본부 PIMS는 고객의 개인정보를 안전하게 관리하는 기업에 주는 인증제도다. 각 기관별 개인정보보호 관리체계가 86개 평가항목의 인증기준에 적합한지 여부를 평가한다. 평가기관은 방송통신위원회다. 우정사업본부는 그동안 우체국을 이용하는 국민의 개인정보를 안전하게 보호하기 위해 내부규정을 마련하고 관리체계를 지속적으로 정비해왔다. 고객정보의 안전한 관리를 위해 문서와 데이터를 자동으로 암호화하고 이메일이나 소셜네트워크서비스(SNS)로 고객정보가 외부로 유출되거나 불법적으로 사용될 수 없도록 정보보안 안전망도 구축했다. 또 개인정보보호 내부규정을 마련하고 관리체계를 지속적으로 정비하는 등 국민이 믿고 이용할 수 있는 서비스 제공을 위해 지속적으로 노력해왔다. 대표적 사례가 2004년부터 운영하고 있는 사이버 침해사고 예방을 위한 ‘우정사업 사이버안전센터’다. 사이버 해킹과 바이러스 공격에 실시간으로 대응해 24시간 365일 연중무휴 개인정보 유출을 선제적으로 차단하고 있다. 인터넷우체국에서는 PC와 스마트폰으로 우편물 접수를 신청하거나 배송 조회를 할 수 있으며, 우체국쇼핑을 통해 농수산물을 구매하고 경조카드를 보내는 등 다양한 서비스를 이용할 수 있다. 2011년 11월부터 운영돼온 인터넷우체국을 ‘손 안의 우체국’ ‘손 안의 쇼핑센터’라고 부르는 이유다. 인터넷우체국 가입자는 320만명이고, 1일 평균 이용고객은 51만명이다. 인터넷우체국은 이에 앞서 2014년 12월 정부기관으로는 처음으로 개인정보보호 우수기관임을 인증하는 개인정보보호인증(PIPL)을 취득했다. PIPL 인증은 개인정보보호법의 적용을 받는 공공기관 및 민간기업의 개인정보보호 수준을 점검해 인증서 및 인증마크를 부여하는 제도로, 내부적 관리체계의 수립과 이행에 대한 일정 기준을 충족해야 한다. 김기덕 우정사업본부장은 “인터넷우체국의 정보보호관리체계(ISMS) 및 개인정보보호관리체계(PIMS) 인증으로 국민에게 우정사업의 정보보호 및 개인정보보호에 대한 신뢰를 높일 수 있게 됐다”면서 “앞으로도 우정사업본부는 국민의 개인정보 보호를 위해 최선의 노력을 다하겠다”고 말했다.
- 우정이야기
이전1
2
3
다음
맨위로