8월 시행 앞둔 데이터 3법…‘디지털경제 발전’ 물꼬 틀 수 있나? <2> 현행 법의 문제점 본문듣기
작성시간
관련링크
본문
개인정보 활용, 지나치게 제한적이어서 관련 데이터 산업발전 저해
데이터 3법을 개정하여 데이터 경제를 활성화하려는 의도는 결국 우리나라의 기존 데이터 관련 제도, 특히 개인정보 데이터와 관련한 국내 제도가 개인정보를 활용하여 새로운 산업을 열어가는 길을 극히 어렵게 하는 매우 제한적인 특성을 가지고 있었기 때문에 그 가능성을 열어주기 위한 것이었다. 4차 산업혁명의 대표적 기술 요소로 인정되고 있는 빅데이터, AI, 클라우드 등의 기술이 보편화되면서 미국을 필두로 선진 각국은 물론 이웃 중국조차도 데이터 경제를 활성화하기 위해 필요한 제도적 변화를 일찌감치 추진하여 신산업 탄생의 성과를 거두고 있는 것과는 너무나 대조적이라는 비판의 목소리가 컸던 점이 이러한 제도적 변화를 가져오게 한 것이다.
그러면 우리나라에서의 개인정보 활용과 관련한 기존 제도는 어느 정도로 제한적이었을까?
기존 개인정보보호법에는 개인정보의 처리와 관련하여 다음과 같이 강하게 규정하고 있다. 우선, 개인정보처리자의 고의 또는 중대한 과실로 인해 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우로서 정보주체에게 손해가 발생한 때에는 재판을 통해 그 손해액의 3배까지의 범위에서 손해배상액을 청구할 수 있도록 되어 있다. 또한, 해킹 등 非고의적인 경우에도, 안정성 확보에 필요한 조치를 하지 않아 개인정보를 분실·도난·유출·변조 또는 훼손시킨 자는 2년 이하의 징역 또는 1000만원 이하의 벌금에 처하도록 되어 있다.
그 결과 조세, 복지, 의료 등의 정부 서비스를 제공하는 정부기관은 물론 금융, 통신, 유통 등의 서비스를 제공하는 민간 기업들도 그 서비스 제공의 특성 때문에 서비스 이용자들의 개인정보를 다양한 형태로 (거의 자동적으로) 수집하게 되어 있었으나, 이러한 개인정보를 적절하게 활용할 경우 기대할 수 있는 새로운 부가가치가 무궁무진함에도 불구하고, 이런 강한 개인정보 보호 규정 때문에 오히려 개인정보 보호와 관련한 부담만 안아 왔던 셈이다. 반대로 이러한 강한 보호 규정 속에서도 그 정보 활용에서 얻어질 수 있는 기대 수익이 컸던 만큼, 이러한 강한 보호 규정을 역이용하여 개인정보를 유출하거나 불법 활용하는 사례들도 적지 않게 있어 왔다.
정부나 기업이 일반 국민들을 대상으로 수집하고 있는 개인정보는 실로 다양한 형태를 띠고 있는데 이를 정리해 보면 <표 3>과 같이 정리할 수 있다.
이러한 개인정보들은 개인의 사생활과 관련한 데이터라는 특성 때문에 근본적으로 개인을 식별할 수 있는 형태로 활용하거나 유출될 경우, 관련 개인에게 심각한 불이익이나 위해가 초래될 수도 있다. 따라서 우리나라보다 이들 데이터의 활용의 길을 적극적으로 열어준 나라들은 기본적으로 이들 데이터에서 ‘개인이 식별될 수 있는 요소를 제거’하는 데에, 즉 ‘개인정보의 非식별화’하는 데에 초점을 맞추어 제도적 변화를 추진하였던 셈이다.
우리나라 기존 제도에서도 개인정보의 非식별화를 위한 가이드라인이 마련되어 있었으나 이 가이드라인이 매우 제한적으로 운용되어 왔던 것이다. 현재 범부처적으로 활용될 수 있는 非식별화의 가이드라인에서는 식별될 수 있는 개인정보를 다음과 같이 정리하고 있다. (고학수, ‘개인정보의 식별과 비식별’, 「데이터 이코노미」 (2018) 참조.)
첫째, 주어진 정보를 이용하여 특정 개인의 신원 정보나 개인 식별 정보를 파악하고 확인할 수 있는 상황, 둘째, 주어진 데이터를 통하여 특정 개인의 신원 정보를 파악할 수는 없지만, 한 개인의 특징을 파악하거나 서로 다른 데이터베이스에 있는 여러 사람의 정보 중에서 같은 사람의 정보를 추려내는 것은 가능한 상황 (이른바 ‘맞춤형 광고’ 문제로 연결), 셋째, 개인을 특정할 수는 없지만 범위를 크게 좁힐 수 있는 경우. 어떤 독특한 특징이나 몇 가지 특징의 조합을 보이는 개인을 파악하고자 시도하는 상황 (대상그룹의 세분화) 등이다.
서비스 제공을 목적으로 이상과 같은 정보를 수집한 정부기관이나 민간 기업들이 이러한 정보를 다른 목적으로 사용하려면 필수적으로 개인의 동의를 얻도록 규정하고 있는 것이다. 우리나라의 기존 데이터 3법은 더 나아가 ① 링크 가능성 ② 타깃 가능성 ③ 쿠키 정보에 기초하여 진행하는 리타깃팅 광고 등도 식별 가능 정보로 간주하고 있어 더욱 제한적이라는 지적을 받아 왔다.
개인정보 활용 부진은 ‘개인의 동의’를 전제하기 때문
우리나라의 개인정보 보호 제도가 대부분의 개인정보의 (非식별화를 통한) 활용이 매우 어렵도록 제한적으로 운용되어 온 데에는 결정적으로 ‘개인의 동의’를 전제로 하고 있기 때문이었다. 이 때문에 우리나라 개인정보 보호 수준은 극히 높지만, 그 반면에 데이터의 신산업 활용 측면에서 보아 OECD 꼴찌 수준이라는 불명예스러운 평가를 받아 온 것이다.
기존 제도 속에서 개인정보 활용의 길이 막혔던 것은, 지금과 같은 데이터 홍수의 물결 속에서 갈수록 규모가 커지는 데이터 즉, 빅데이터 수준의 개인정보를 활용하기 위해 그에 상응하는 막대한 수의 개인들에게 일일이 동의를 얻기는 거의 불가능하였기 때문이다. 어쩌면 우리나라의 개인정보 활용 제도가 이렇게 까다롭게 운용된 것은 역설적으로 이러한 까다로움을 깨뜨리려는 불법적인 개인정보의 활용 케이스들, 즉, 보이스 피싱, 개인정보 불법 유출과 같은 큰 사건들이 빈번하게 나타났고 이러한 악용 사례에 대한 반작용으로 개인정보 활용 가능성에 대한 부정적 인식이 팽배하여 왔기 때문인지도 모른다.
개인정보의 (非식별화를 통한) 적극적 활용이 가져올 수 있는 분야로서 가장 기대가 큰 것으로 인정되는 AI 기술과 관련하여, 김진형 전 AI연구원장은 ‘데이터 문제가 AI 발전의 심각한 저해 요인’이라고 지적하고 있다. 한국은 인구가 작은 나라라서 원천적으로 미국, 유럽, 중국 등 다른 대국들에 비해 데이터가 부족한데, 그나마 이용을 극히 제한하고 있다는 것이다. <계속>
<ifsPOST>
댓글목록
등록된 댓글이 없습니다.