4차산업혁명 시대 핵심 기술로 떠오른 사물인터넷(IoT), 인공지능(AI), 커넥티드카 등과 같은 기술의 근간은 데이터다. 데이터의 활용이 크가 증가하면서 개인정보 침해위협에 대한 우려도 커지고 있어 개인정보보호 중요성이 크게 높아지고 있다. 개인정보 활용과 보호 이슈 논쟁도 점점 더 첨예해지고 있기도 하다.

올해 화두로 떠오를 개인정보보호 이슈는 무엇일까.

한국인터넷진흥원(KISA, 원장 김석환)은 4차 산업혁명 시대 변화에 따라 2018년에 주목해야 할 개인정보보호 이슈를 선정해 관련 보고서를 최근 공개했다.

EU GDPR 본격 시행, 기업 준비 시급

오는 5월 25일 유럽연합(EU)의 개인정보보호법인 일반개인정보보호규정(GDPR)이 본격 시행된다. GDPR은 유럽연합 회원국 간에 개인정보의 자유로운 이동을 보장하며 동시에 정보주체의 개인정보 보호권을 강화한 것이 특징이다.

GDPR은 EU 소재 기업은 물론 EU 내에서 사업을 하는 역외 기업에도 적용된다. 위반시엔 해당 기업의 유럽 시장 내 사업 제재, 높은 과징금이 적용되게 되므로 사업 현황에 따라 국내 기업들도 준비가 필요하다.

보고서는 “신규로 도입되는 정보주체의 개인정보 보호권에 대한 대응 방안이 불확실하고, 감독기관의 법집행 수준도 불확실성이 존재한다”면서 “선임 감독기관(Lead Supervisory Authority)을 조기에 확인, 개인정보처리와 관련한 불확실성 해소가 필요하다”고 밝혔다.

아울러 “데이터보호책임자(DPO) 조기 확보, 정보주체 권리 보장 방안 마련이 필요하고, 개인정보보호 인증을 조기에 획득하거나 행동강령을 구체화 할 수 있는 사업자 단체의 가입을 고려해야 한다”며 “EU 역외에서 유럽연합 시민의 개인정보를 처리하는 경우, 대리인(representative)을 지정하는 한편, 위험 관리 책임을 명확히 해야 한다”고 지적했다.

데이터가 미래를 결정하는 데이터 경제의 시대

4차 산업혁명의 가장 두드러진 특징은 ‘데이터의 활용’이다. 세계는 지금 데이터 경제(Data Economy) 시대로 접어들고 있다. 특히, 인공지능 소프트웨어나 프로그램이 하나의 상품 또는 서비스로 탄생하기 위해서나 서비스 품질과 성능을 높이기 위해선 꾸준한 학습이 필요하다.

학습에 필요한 정보와 자료를 수집·이용하는 과정에서 개인정보, 저작권, 영업비밀 등의 침해 이슈가 발생할 수 있다. 다양한 정형·비정형 데이터를 모두 처리할 수 있기 때문에 개인정보와 사생활 침해 이슈가 대두될 가능성이 크다.

국내에서는 데이터의 활용 사례나 경험이 많지 않아 데이터 활용에 대한 인식이 낮고 법적 근거도 마련되어 있지 않은 상황이어서 문제로 지적된다. 오히려 개인정보, 저작권 등의 이용과 활용을 엄격히 제한하고 있는 보호주의 법제도로 인해 데이터의 안전한 활용조차도 어렵다는 업계 의견도 제기되고 있다.

데이터 활용성을 제고하기 위해 가명·익명정보 활용을 위한 규제 개선과 저작물의 과학·통계 목적 이용 제한 완화 등에 대한 고려와 함께 정보주체의 권리가 침해되지 않도록 보다 안전한 법·제도적 장치를 강구해야 한다.

개인정보 수집·이용·제공 등 정보처리 과정의 투명성 강화, 개인정보 위험도를 고려한 기반 접근방안이 강구되는 방향으로 법제개선과 개인정보처리자 책임성 강화 등이 필요하다.

정보주체가 안심할 수 있는 ‘Privacy by Design’ 적용

‘개인정보보호 적용설계(Privacy by Design)’는 IT 시스템, 네트워크로 연결된 인프라, 그리고 비즈니스 행태의 설계와 운영에 있어 프라이버시 보호를 선제적으로 내재화하는 것에 기초한 프레임워크다.

2018년 5월 시행 예정인 GDPR은 개인 정보보호 적용 설계 및 기본 설정(Data protection by design and by default)이 개인정보처리자와 수탁자의 법률적 의무임을 명시하고 있다. 개인정보 최소화와 가명화 방식 등 기술·관리적으로 적용 가능한 보호조치를 관련예시로 언급하고 있다.

개인정보보호 적용 설계는 의무화돼 있지는 않았지만 국내 개인정보보호법 등에도 그 기본 정신이 반영되어 있다. 이는 정보주체의 개인정보 및 사생활 보호를 중시하기 위한 것이다.

적용방안으로는 개인정보 영향평가(PIA) 수행, 정보주체(이용자)에게 제공되는 서비스의 프라이버시 중심의 기본 설정 제공, 프라이버시 보호 기술(PET) 적용 등이 있으며 다양한 기술·관리적 보호조치가 필요하다.

개인정보 국외이전/데이터 국지화 제도정비 시급

개인정보의 국경 간 이동이 급증하고 있는 반면에 자국민의 개인정보나 산업 보호 이슈도 심화되고 있다. 개인정보의 자유로운 이전을 통한 상품과 서비스 거래 활성화를 추구하려는 측면과 개인정보의 국외이전으로 개인정보에 대한 통제권이 저하되거나 유출, 오남용되는 등의 위험으로부터 보호를 강화하려는 입장이 양립하고 있다. 개인정보·프라이버시 보호와 활용의 균형점이 달라 국가별 관련법규제도 상이한 상태다.

자국민의 개인정보를 보호하고 외국 사업자의 개인정보 처리 집행력을 확보하기 위해 주요국은 대체로 개인정보 국외이전에 대한 규제를 강화하는 추세다.

이 가운데 중국(네트워크안전법)과 러시아(연방법 No.242-FZ)는 데이터 국지화 법규정을 신설해 운영하고 있다. 하지만 이는 정보주체의 이익 보호보다는 국가의 개인정보 통제권 확보 실리가 더 큰 것으로 분석되고 있는 상태다.

이와 함께 아시아태평양경제협력체(APEC) 국경간 프라이버시 규칙(Cross Border Privacy Rules, CBPR)처럼 회원국간의 개인정보 이동을 보다 원활히 하면서 적절한 수준의 개인정보보호가 이뤄질 수 있는 공통된 기준을 정립하려는 노력도 강구되고 있다.

우리나라는 개인정보보호법, 정보통신망법을 통해 개인정보 국외 전송 기준을 제시하고 있으나 실질적 집행수단이 부재하고 법제재 규정이 미비하다고 분석된다. 개인정보를 국외로 이전하기 위해서는 정보주체의 사전동의를 얻어야 한다고 규정하고 있으며, 이를 대체할 방법에 대한 규정은 없다.

국내 금융회사의 경우 고유식별정보나 금융거래정보, 전자의무기록에 대해 국외이전을 사실상 금지함으로써 일정부분 데이터 국지화 정책을 시행하고 있다.

EU, 일본 등과 같이 사전 동의 이외에 적정성 평가, 국외이전 표준계약, 구속력 있는 기업규칙제도 도입 등 대안이 마련돼야 한다. 우리나라는 현재 EU의 개인정보보호 적정성 평가를 추진하고 있긴 하지만 다양한 국가별 대응방안을 강구할 필요성이 제기된다.

사업장 감시 vs 근로자 프라이버시 상충

첨단 감시장비의 대중화로 사용자(고용주)들의 전자감시는 더욱 확대돼 이에 대한 근로자들의 불만과 불편도 점차 증가할 것으로 예상되고 있다.

실제로 사업장 전자감시와 관련해 근로자들의 민원이 급증하고 있다. 국가인권위원회에 접수된 사업장 전자감시 관련 진정과 민원은 2011년 33건에서 2012년 73건으로 급증한 뒤 매년 70건 가량 유지하다가 2015년 101건으로 증가했다.

대다수 사용자들은 전자감시를 범죄나 법위반으로 보고 있지 않으나, 현행법상 사업장 내 전자감시는 명백한 범죄 행위에 해당된다. 사업자가 전자감시 활동에 대해 문제의식을 가지고 있는 경우에도 범죄예방, 시설보호, 화재예방, 사이버보안 등으로 용도를 위장하는 경우가 있다.

사업장 내 CCTV 설치·운영시에는 원칙적으로 정보주체(근로자 등)의 동의를 받아야 하나, 노사관계라는 특수한 성격 때문에 근로자의 고용주 동의 요구 거부는 사실상 불가능하다. 또 사업장 전자감시 유형에 따라 적용받는 법이 다양해 근로자는 물론 사업자들도 현황을 파악하고, 적절한 대응하는데 있어 어려움이 발생하고 있다.

사업장 내 전자감시 남용에 따른 노사분쟁을 줄이기 위해서는 전자감시 도입의 목적, 절차, 방법에 있어 투명성이 보장돼야 한다.
우리나라는 근로자참여 및 협력증진에 관한 법률에서 ‘사업장 내 근로자 감시 설비의 설치’를 노사협의회의 협의 대상으로 열거(제20조 제1항 제14호)하는 등 관련 내용을 규정하고 있지만 사실상 역할을 하고 있지 못해 대응방안을 마련해야 할 필요성이 제기된다.

보고서는 “우리나라도 사업장 감시 목적으로 이용될 수 있는 장비나 설비를 도입할 때에는 그 용도에 관계없이 근로자 대표기관에 사전에 충분한 자료를 제공해 설명하고 설치 시기, 방법, 장소, 범위, 용도 등에 대해서도 협의 의무 적용이 필요하다”며 “사용자가 이와 같은 절차를 거치지 않거나 회피, 불성실하게 대응한 경우 이를 강제할 수 있는 절차를 도입하고, 최종적으로 근로자들의 단체법적 동의를 받거나 최소한 노사협의회의 의결을 거치도록 하는 방안을 검토해야 한다”고 지적했다.

바이오정보 빅데이터 시대, 커지는 개인정보 침해위협

바이오(생체)정보는 과거엔 병원이나 수사기관에서만 제한적으로 사용돼 왔으나 최근 IT기술과 결합하면서 그 용도가 다양해지고 사용 빈도도 폭발적으로 증가하는 추세다. 정보주체(이용자)가 굳이 머릿속에 이를 기억하지 않아도 되고 별도로 기록해 둘 필요가 없다는 점에서 편의성이 높아 핀테크, IoT 서비스 등에서 이용이 크게 증가하고 있다.

사용되는 바이오정보의 범위도 과거에는 지문, 사진, DNA 정도였으나 현재는 사람의 거의 모든 생물학적·신체적 특징과 행동적 특징까지도 개념에 포함시키는 경우가 있다.

그러나 바이오정보만이 갖고 있는 유일성과 고유성 때문에 한 번 유출되면 정보주체에게 영원히 회복할 수 없는 피해를 일으킬 수 있다. 또 유출된 바이오정보는 더 이상 활용이 불가능하다. 바이오정보에는 그 사람의 건강 상태나 유전적 내력까지 알 수 있는 다양한 정보가 들어 있어 매우 민감하고, 오남용시 사회적 차별이 발생할 수도 있다.

위험성과 민감성이 큰 바이오정보의 수집·이용 및 제공에 대해서는 개인정보보호 관련법령(개인정보보호법, 정보통신망법, 신용정보법)에만 의존하고 있고, 다른 별도의 보호 장치는 마련돼 있지 않은 상황이다.

개인정보보호 관련법에서는 바이오정보도 다른 개인정보와 같이 취급하고 있고, 고유식별정보 수준에서 특별히 더 보호하거나 더 강화된 처리원칙을 적용하고 있지 않고 있다. 바이오정보 중 바이오인식정보에 대해서만 ‘바이오정보 보호 가이드라인(방송통신위원회/한국인터넷진흥원, 2017년 12월 발간)’이 마련돼 규범적·기술적 보호조치가 제시돼 있을 뿐이다.

바이오정보에 대해 법률에서 정의부터 명확히 규정해 일반 개인정보보다 더 강화해 보호해야 할 대상과 범위가 무엇인지부터 명확히 해야 한다. 이를 위해서는 바이오정보와 바이오인식정보의 차이도 제시해야 한다.

지문, 얼굴사진, 홍채, CCTV 등을 통해서 촬영된 개인영상정보, 콜센터에 녹음된 목소리 그 자체와 그로부터 추출된 바이오인식 정보를 모두 바이오정보로 규정할지 여부도 논의가 필요하다. 아울러 IoT 단말기를 통해서 수집된 혈압, 심박수, 당뇨수치, 수면상태 등을 바이오정보의 개념에 포함할지, 의료정보로 별도의 법률 또는 규정 등으로 구분해 보호할 것인지 규정돼야 한다.

이 보고서는 한국인터넷진흥원 홈페이지 자료실(www.kisa.or.kr)에서 다운로드할 수 있다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network