[4차산업 빅데이터㉕] “빅데이터”… 개인정보보호 법제의 한계

[디지털비즈온 김맹근 기자] 우리나라는 개인정보보호에 대해 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 생명 윤리 및 안전에 관한 법률 등 다양한 법제에서 보호되던 개인정보에 대해 그 중요성을 인식 하고 개인정보의 보호에 치중한 개인정보보호법을 제정하였고, 개인정보보호의 관점에서 제5차에 걸쳐 개정을 해왔다. 따라서 우리도 개인정보에 대한 보호와 활용의 적절한 조화를 이루어진 개선이 필요할 것이므로, 다음과 같은 개인정보보호법의 한계점을 생각해 본다.

개인정보의 정의의 모호

개인정보보호법에서는 개인정보를 “살아있는 개인에 관한 정보로서 개인을 알아볼 수 있는 정보”라고 정의(제2조 제1호)하면서 개인의 식별성을 개인정보의 판단 기준으로 삼고 있다. 그러나 현실적으로 개인 식별성이 없는 정보는 거의 없다.

개인정보에서 이름이나 주민등록번호를 제거한다고 하여 그것으로 개인의 식별성이 없어지는 지도 의문 이다. 개인정보를 익명화하여 정보주체의 이름을 알 수 없게 하였다고 하여도 나머지 정 보만으로 개인을 알아볼 수 있으면 개인정보보호법의 대상이 될 수 있다. 따라서 개인의 식별성에 대한 보다 정확한 정의가 필요할 것이다.

식별가능성 자체가 IT 기술의 발전에 따라 결정되는 것이므로 개인정보라는 개념은 유동성을 띠게 되어, 객관적으로 명확하게 규정하기는 어렵다. 그럼에도 개인정보의 정의가 특정되지 않은 모호한 개념이라는 점은 개인정보를 활용하기에 앞서서 그 보호범위를 예측하기가 어려워 개인정보의 활용을 위축시킬 수밖에 없을 것이다.

동법 제18조 제2항 제4호에서는 “통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우에는 제3자에게 정보를 제공 할 수 있다”고 규정한다.

따라서 이러한 개인정보의 보호범위를 개인정보 처리자로 하여금 최대한 예측 가능할 수 있도록 법적 기준을 명확하게 제시할 필요성이 있다. 이와 관련하여 독일에서는 개인정보의 보호범위의 기준을 정하는 기준으로 개인정보 처리자의 인식 및 인식가능성을 기준으로 하는 상대적인 기준 설정을 주장하는 견해와 법적 안정성을 위해 식별가능성에 대한 일반적인 제3자의 인식가능성을 기준으로 하는 객관적인 기준 설정을 주장하는 견해로 나뉘고 있다.

일률적인 동의의 한계

개인정보보호법상 개인정보 처리자가 개인정보를 수집·이용하기 위해서는 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우 등을 제외하고 정보주체에 명시적 동의(Optin)을 받아야 한다. 그러나 가능한 다양하고 많은 정보를 수집해야 하는 빅데이터 시대에 서는 이와 같은 일률적인 명시적인 명시적 동의가 유의성이 있는지 의문이다. 명시적 동의시 하나 이상의 목적을 각각 구체적으로 알려야 하고, 이용 목적별로 수집하는 개인정보의 항목과 이용기간 등을 고지하여야 하기 때문에 다양한 데이터를 수집하기 어렵다.

한편, 식별가능성이 매우 높은 고유식별정보에 대해서는 일반적인 정보 주체의 동의 이외의 별도의 특별 동의가 필요하다고 규정(동법 제24조)하고 있는 점을 반대로 해석 해보면 식별가능성이 상대적으로 낮은 정보들에 대해서는 명시적 동의 없이도 정보의 수집·이용을 허락하거나 보다 간소한 절차를 통하도록 하는 방법을 생각해 볼 수도 있을 것이다.

파생정보 이용 등 활용 활성화 한계

파생정보란 기존의 정보를 바탕으로 새롭게 발생된 정보를 말하는데, 특히 빅데이터에서 문제될 수 있는 파생정보로서 분석데이터가 문제될 수 있다. 분석데이터란 인터넷 웹 페이지뷰, 구매물품목록, 약물의 사용, 이동경로 등의 데이터가 누적되어 이를 기초로 하여 분석된 데이터를 말한다.

이렇게 생성된 분석데이터는 정보주체의 동의를 받아 수집된 정보를 기초하여 그에 대한 분석 정보이므로, 이에 대한 정보주체의 소유권귀속 문제에 대해서도 생각해 보아야 할 것이다. 상황에 따라서는 이를 영업비밀의 범위로 보아 개인정보 처리자의 독립된 생산물로 판단할 수 있는 여지도 있을 수 있기 때문이다. 따라서 이에 대한 규정이 필요할 것이다.

개인정보를 수집하여 프로파일링 등 정보를 가공하다 보면, 초기의 개인정보 이용의 범위를 넘어선 경우가 어렵지 않게 발생할 것이다. 그러나 이러한 경우에는 추가적인 동의를 받아야 하기 때문에 시간적, 금전적 등의 이유로 활성화가 이루어지기 어렵다. 따라서 절대적인 보호보다는 상황에 따른 보호로 개인정보의 활용도 모색해 보아 야 할 것이다.

온라인 추적차단(Do Not Track)의 규정화

동법 제37조 제1항에서 정보주체는 언제든지 개인정보 처리자에게 자신의 개인정보 처리에 대한 정지 요구를 할 수 있다고 한다. 즉, 정보주체자는 필요에 따라 자신의 개인정보에 대해 수시로 개인정보 처리자에게 정리 요구를 해야 한다. 이렇게 되면, 정보주체자 는 불편한 비효율적인 작업을 행하여야 할 것이다.

따라서 정보주체가 필요한 경우에는 언제든지 일시적 또는 영구적으로 개인정보 처리를 스스로 정지할 수 있도록 정보주체자 에게 정지 권한을 부여하는 것도 생각해 볼 수 있을 것이다. 미국에서 제시하고 있는 ‘온라인 추적차단’기능을 도입한다면 보다 수월하게 정보주체자는 개인정보 처리를 정지 할 수 있을 것이다.

결론적으로 우리나라의 개인정보보호 법제는 개인정보보호법을 비롯하여, 신용정보의 이용 및 보호에 관한 법률, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 등 다양한 법으로 산제되어 규정하고 있다. 각 분야의 특수성 때문에 단일화된 법으로 통일하여 개인정보를 보호할 수는 없겠지만, 가장 보편적인 개인정보를 보호하기 위한 규정인 개인정보보호법에서 다양한 법제에 산제되어 있는 개인정보보호 내용을 보다 더 통합하여 관리할 필요가 있을 것이다.