열려있는 정책플랫폼 |
국가미래연구원은 폭 넓은 주제를 깊은 통찰력으로 다룹니다

※ 여기에 실린 글은 필자 개인의 의견이며 국가미래연구원(IFS)의 공식입장과는 차이가 있을 수 있습니다.

8월 시행 앞둔 데이터 3법…‘디지털경제 발전’ 물꼬 틀 수 있나? <3> 세계 각국의 동향 본문듣기

작성시간

  • 기사입력 2020년05월13일 17시00분
  • 최종수정 2020년05월12일 22시01분

작성자

  • 김도훈
  • 서강대 국제대학원 초빙교수, 전 산업연구원 원장

메타정보

  • 13

본문

선구적 기준 제시는 EU의 GDPR(General Data Protection Regulation)

 

세계적으로 개인정보의 보호와 활용에 관하여 가장 선구적으로 그 기준을 마련한 제도로서, EU가 2016년 제정하여 2018년 발효시킨 GDPR(General Data Protection Regulation)이 세계적인 기준 역할을 할 것으로 평가되고 있다. GDPR은 EU 전체 차원에서 개인정보의 보호와 활용에 관한 기본적인 기준을 규정하고 있을 뿐 아니라, EU 회원국들의 데이터 관련법 제정의 기준 역할도 하고 있기 때문이다. 

 

GDPR은 기본적으로 개인정보 보호의 필요성을 엄격하게 규정한 대신에, 개인정보 활용의 길을 다음 여섯 가지 경우에 가능한 것으로 길을 열어놓고 있다. ① 개인의 동의 (consent), ② 계약 (contract), ③ 공공사업 (public task), ④ 결정적인 경제적 이익이 인정되는 경우 (vital interest), ⑤ 활용이 합법적으로 인정되는 경우 (legitimate interest), ⑥ 법에 의해 활용이 규정되어 있는 경우 (legal requirement) 등이다.

 

 GDPR은 데이터 수집기관은 데이터 수집과 관련한 각종 정보를 개인에게 알릴 의무도 규정하고 있고 (정보열람권 포함), 데이터 수집기관의 (非식별화를 전제로 한) 데이터 제3자 이전 방법도 규정하고 있다. 또한 GDPR은 EU외 국가로의 데이터 이전 가능성에 대해서도 규정하고 있는데, 'GDPR 적정성 결정 국가'로 인정되어야 EU에서 수집한 데이터를 활용할 수 있도록 엄격히 규정하고 있다. 미국, 일본 등은 이미 적정성 결정 국가로 인정받고 있으나, 우리나라는 아직 非인정 국가로 남아 있는데, 개인정보보호를 위한 독립된 기관이 없다는 점이 주요 걸림돌로 지적되고 있다. 나아가 EU 국민의 개인정보를 지속적으로 대량으로 수집하여 이용하는 외국 사업자는 이를 감시할 EU 대표를 별도로 임명해야 한다고 규정하고 있다.

 

이러한 EU의 개인정보 보호·활용과 관련한 새로운 제도 도입에 자극을 받은 세계 주요국들은 자국에서의 개인정보 활용을 위한 길을 여는 한편, 자국의 데이터에 대한 해외 이용을 제한하는 움직임을 강화하고 있다. 이러한 움직임은 <표 4>와 같이 요약할 수 있다.

 

496e637c36612188cae81c122c7ee79d_1588834
496e637c36612188cae81c122c7ee79d_1588834
자료: 정성영, 국가 지능화를 위한 데이터․인공지능 정책 효과 제고방안, ETRI Insight, 2019​

 

 프랑스는 2016년 '디지털공화국법'이라는 특별법 만들어 “공익적 목적‘ 공개

 

여기서 그동안 IT 등 신산업 발전 및 4차 산업혁명 분야에서 유럽 경쟁국들에 비해서도 뒤처진 것으로 평가받던 프랑스의 경우가 주목된다. 프랑스는 데이터의 공공 개방을 전제로 2016년 '디지털공화국법'이라는 특별법을 제정하였는데 김도훈, 프랑스 디지털공화국법 (상, 하), 국가미래연구원 뉴스인사이트, 2019. 3. 10 – 3. 11. 참고.

, 기본적으로 프랑스가 디지털 분야에서 크게 뒤져 있다는 관점에서 출발하여 정부 주도로 동법의 제정을 추진하되 정부안 공표 후 모든 국민들의 참여를 유도하여 정부법안에 5개 조문을 신설하는 등 국민 전체가 개진한 의견을 적극적으로 반영하여 제정하였다는 점이 주목을 끌게 하고 있다. 

 

동법은 GDPR의 기본원칙을 존중하는 가운데, 기본적으로 프랑스 내에서의 공공데이터 개방에 초점을 맞추고, 정부가 생산하는 데이터는 물론 정부가 발주한 과제에 의해 얻어진 학술적 데이터와 민간기관이 보유한 데이터도 ‘공익적 목적’이라는 명목으로 개방하는 것을 지향하고 있다. 이에 따라 프랑스 정부는 향후 주로 교통, 도시, 주택, 국토관리, 경제 일반, 사회복지, 고용 및 교육 분야에서 개인정보를 포함한 공공데이터가 크게 활용될 수 있을 것으로 기대하고 있다.

 

프랑스가 제정한 '디지털공화국법'에서 가장 주목을 끄는 부분은 민간기관 보유 데이터 중에서 ‘공익데이터 (des données d'intérêt general)’라는 개념을 도입하여 다음과 같은 조건을 충족하면 개방 대상으로 삼았다는 점일 것이다. 그 조건들로서 ① 정부의 각 분야 공공정책의 효율성을 높이거나 ② 국민들에게 더 나은 수준의 정보를 제공하거나 ③ 과학적인 연구에 도움이 되거나 ④ 국가경제 발전에 기여한다는 조건을 충족하는 경우 등이 열거되고 있다. 프랑스는 이렇게 공익데이터라는 개념 도입을 통해 개인정보를 적극적으로 활용할 수 있는 길을 열어 데이터 경제에서 프랑스가 앞서갈 수 있는 여건을 갖추었다고 자부하고 있다.

 

중국은 국가통제경제 활용, ‘오래전부터 암묵적 허용’

 

한편, 중국은 오래 전부터 국가 통제경제의 특성을 잘 활용하여 국가의 암묵적 허용을 통해 민간 기업들이 적극적으로 개인정보를 활용하도록 허용하고 있다. 그 예의 하나로서 중국정부가 2015년 개발한 중국인들의 신용등급을 평가하는 ‘Credit Sesame’라고 불리는 신용평가 라이선스 제도인데, 이는 알리바바의 자회사인 Ant Financial이 개발한 것으로, 거의 전국민이 참여하는 광군제의 결제 및 알리페이 모바일앱의 결제 기록 (이용자들의 친구 사이까지 파악 가능) 등을 활용하여 개개인의 신용정도를 평가할 수 있는 지표를 개발한 것이다. 다른 나라라면 매우 민감하게 취급되어야 할 개개인의 신용정보를 국가와 민간기업이 협업하여 수집하고 이를 활용할 수 있도록 한 것이다. 여기에 대해서 대부분의 전문가들은 중국정부가 국민들을 통제하기 위해 추진한 것으로 보고 비판적인 시각으로 평가하고 있다.

 

결론적으로 세계 주요 국가 모두가 우리나라와 마찬가지로 데이터 개방과 개인정보 보호 사이에서 고심하면서도 개인정보의 활용을 통한 데이터 개방의 길을 적극 모색하고 있는 것이다. 그런 한편으로 거의 모든 국가들이 자국 영토 내에서 수집된 개인정보 및 관련 데이터들의 국외 이전에는 매우 조심스러운 모습을 보이고 있는 것으로 판단할 수 있다.

 

세계적 공개 확대 속 개인정보 보호의 실효성 ‘의문 제기’도 있다

 

이런 각국의 제도적 변화의 움직임 속에서 데이터 관련 전문가들은 근본적으로 ‘과연 그렇게 소중하게 여겨온 개인정보의 보호의 실효성이 있는지’에 대해 의문을 제기하고 있다.

이들 전문가들은 ‘실리콘밸리 자이언츠(GAFA로 불리는 구글, 애플, 페이스북, 아마존 등)들은 실질적으로 정부기관이나 민간 기업들이 수집하는 개인정보보다 더욱더 프라이버시에 가까운 정보들을 이미 마음대로 수집하여 활용하고 있는 것이 아닌지?’, ‘그러므로 기존 혹은 변경된 제도들이 추구하는 개인정보의 보호가 실질적으로 불가능한 것은 아닌지?’ 등의 더 근본적인 수준의 의문을 제기하고 있는 것이다. 

전문가들의 의견을 종합해 보면 이들 거대 인터넷 기업들은 개인에 대해 다음과 같은 수준으로 거의 모든 정보를 수집하여 분석하고 있다는 것이다. 더욱이 그들은 이들 정보들을 결합하여 더욱 정치한 종합적인 개인정보를 얼마든지 구성할 능력을 갖추고 있다는 것이다.

- 개인의 검색이력

- 개인의 구매이력

- 개인의 이동이력 (개인 타임라인)

- 개인의 대화이력 (개인의 리뷰 이력)

- 개인의 클릭이력 (개인의 사이트 방문 이력)

- 개인의 사진촬영 이력

- 개인의 동영상 관람 이력 등

- 개인의 친구와의 정보 공유 이력

- 개인의 웨어러블 기기 기록

이미 실리콘밸리 GAFA들은 다음 사례들에서 알 수 있듯이 일반적인 수준의 개인정보 유출을 통한 침해 정도를 훨씬 뛰어넘는 (개인정보보호법 등의 일반적으로 통용되고 있는 사회적 개인정보 보호망을 뛰어넘는) 차원의 고급(?) 개인정보를 파악할 능력을 갖추고 있어 바야흐로 이와 관련한 논쟁과 분쟁에 휩쓸릴 가능성이 큰 것으로 지적되고 있다.

- 구글의 스트리트뷰 사건 (와이파이 엿보기), 

- 구글 CEO 에릭 슈미트: “우리는 당신이 어디에 있는지 알고 있습니다. 또한 당신이 간 적이 있는 곳도 알고 있습니다. 당신이 무엇을 생각하고 있는지에 대해서도 어느 정도 알고 있습니다.”

- 아마존에 합병된 타겟이 여고생의 가정에 보낸 임신부 관련 필수품 광고 (부모는 격분했지만, 그 결과는 정확했다는 점에서 유명해짐)

- 아마존이 에코라는 이름으로 프리미엄 고객들에게 미리 배달하는 서비스는 이미 70%의 정확도를 자랑하고 있음.

- 유튜브가 매일 개인들에게 띄우는 동영상은 개개인의 시청 이력을 분석한 결과

- 페이스북이 가진 개인정보는 미국 정부에게도 개방 안한다고 하지만, 자신들은 그 정보들을 분석한 결과를 이용해서 맞춤형 광고들을 송부 (2016년 페이스북 매출액 276억 달러 중, 광고수입만 268억) (페이스북의 선거개입 정황은?)

- 애플과 넷플릭스도 충성도 높은 고객들의 정보를 활용하여 고객들의 마음을 포획하고 있는 상황

 

이들은 이런 방법으로 각국 정부들이 표명하고 있는 강한 개인정보 보호 의지를 무색하게 만들면서 문제없이 개인정보와 관련한 데이터들을 수집하고 그 데이터들을 사용하여 막대한 수익을 올리고 있는 셈이다.

 

향후 4차 산업혁명 관련 기술과, 5G 통신 기술이 더욱 발전해 갈 것으로 예상되는 상황에서 대부분의 개인들은 자신들의 의지와 상관없이 가장 높은 수준의 그리고 깊숙한 정도의 개인정보까지 이들 실리콘밸리 자이언츠들에게 몰려가게 되는 상황을 맞이할 가능성이 크다. 사실 이들 자이언츠들이 지금까지 수집한 데이터들만 결합해도 개인의 신상은 물론, 은밀한 취향, 숨기고 싶은 친구 네트워크, 드러내고 싶지 않은 정치적 성향까지 모두 파악하는 것이 가능한 상황이다. 더욱이 5G 통신기술과 IoT 기술로 인해, 이제는 사람만이 아니라, 기계도, 자동차도, 선박도, 그리고 모든 물건들이 데이터를 생성하여 보낼 수 있을 것인데 이에 따라 전통적으로 중공업 전문회사로 알려져 있던 미국의 GE, 독일의 지멘스, 영국의 롤스로이스 그리고 건설기계 회사로 알려져 있는 캐터필러, 고마쓰 등이 IoT 기술을 활용하여 자신들이 판매한 기계, 장비, 공장시설, 비행기 및 선박 엔진 등으로부터 지속적으로 데이터를 수집하여 동 기계, 장비, 시설들의 상황을 관리함으로써 더 높은 수준의 AS를 제공하는 서비스 전문회사로 사업영역을 넓히는 움직임을 보이고 있다.

 그 기계들이 무작위로 수집하는 사진 등의 데이터 속에 들어가게 될 개인정보는 어떻게 보호할 수 있을 것인지도 문제가 될 수 있다.

 

따라서 이런 시대를 앞두고 있는 상황에서 과연 개인정보 보호가 어떤 의미를 가지게 될 것인가라는 문제가 제기될 수 있는 상황에 놓여 있는 셈이고, 이런 상황을 고려할 때 과연 각국이 제도적으로 갖추어 놓은 복잡한 개인정보 보호와 관련한 법률 체계는 어떤 의미를 가질 수 있을 것인지에 대해 강한 의문이 제기되고 있는 것이다.(계속)

<ifsPOST>​

13
  • 기사입력 2020년05월13일 17시00분
  • 최종수정 2020년05월12일 22시01분

댓글목록

등록된 댓글이 없습니다.