[디지털데일리 최민지기자] 올해는 국내외 개인정보보호 정책 변화와 빅데이터 및 인공지능(AI) 등으로 점철된 4차 산업혁명에 따라 어느 때보다 개인정보 이슈가 화두에 오르고 있다.
올해는 유럽연합(EU)의 일반개인정보보호규정(GDPR)이 시행되는 원년이며, 개인정보 비식별을 둘러싼 갈등도 해소해야 하는 시기다. 생체정보와 빅데이터 활용에 따른 개인정보 침해 위협 우려도 제기된다.
이에 따라 한국인터넷진흥원(KISA, 원장 김석환)은 올해 주목해야 할 개인정보보호 7대 이슈를 선정해 관련 보고서를 23일 공개했다.
◆바이오정보 이용 활성화 대비 개인정보보호 뒷전=바이오정보 범위는 과거에 지문, 사진 DNA 정도였으나 오늘날에는 홍채, 혈관 형태 등 사람의 거의 모든 생물학적·신체적·행동적 특징까지 개념에 포함시키고 있다.
바이오정보는 유일성과 고유성으로 한 번 유출되면 해당 정보는 더 이상 활용할 수 없게 된다. 건강상태와 유전적 내력까지 알 수 있어 민감하며, 오남용 때 사회적 차별까지 우려된다. 예를 들어, 보험사가 바이오정보를 수집해 보험요율 등의 산정에 무절제하게 활용한다면 심각한 사회문제도 예상할 수 있다.
보고서는 “바이오정보 수집·이용·제공에 대해서는 현재 개인정보보호 관련 법령에만 의존하고 있고, 다른 별도의 보호장치는 마련돼 있지 않다”며 “정의부터 명확히 규정해 일반 개인정보보다 더 강화해 보호해야 할 대상과 범위를 제시해야 한다”고 강조했다.
◆EU GDPR, 5월25일 본격 시행=GDPR은 유럽연합 회원국 간 개인정보의 자유로운 이동을 보장하면서 정보주체의 개인정보 보호권을 강화했다. GDPR은 EU 소재 기업뿐 아니라 EU 내에서 사업을 하는 역외 기업에도 적용된다. 국내 기업도 EU와 비즈니스를 하고 있다면 피할 수 없다는 뜻이다.
GDPR을 위반할 경우, EU 시장 내 사업 제재 및 높은 과징금에 직면하게 된다. 그러나 GDPR 개별 요구사항을 준수하기 위한 과정에서 여러 불확실성이 존재하고, 준비도에 대한 온도차도 상당한 실정이다.
보고서는 “GDPR이 요구하는 개인정보보호책임자(DPO)를 지정하거나, 국외에서 EU 시민의 개인정보를 처리하는 경우 대리인을 지정해야 한다”며 “선임 감독기관을 조기에 확인해 개인정보처리와 관련한 불확실성을 해소하고, 위험 관리에 대한 책임을 명확히 해야 한다”고 말했다. ◆사업장 감시 vs 근로자 개인정보권=국가인권위원회에 접수된 사업장 전자감시 관련 진정과 민원은 2011년 33건에서 2015년 101건으로 증가했다. 국가인권위원회는 기업들이 CCTV와 위치확인시스템(GPS) 등을 이용해 직원들의 행동을 무분별하게 감시하는 관행을 규제할 것을 촉구하기도 했다.
첨단 감시장비 대중화로 근로자들의 불만과 불편은 점차 증가할 것이다. 현행법상 사업장 내 전자감시는 명백한 범죄 행위에 해당되는데 범죄·화재 예방, 시설보호, 사이버보안 등의 용도로 위장하는 경우가 많다. 사업장 내 CCTV 설치·운영은 근로자의 동의를 받아야 하는데, 노사관계라는 특수성 때문에 이를 거부하기란 사실상 불가능하다.
보고서는 “사업자 감시 목적으로 이용될 수 있는 장비·설비를 설치하면, 용도에 관계없이 근로자 대표기관에 충분한 자료를 사전에 제공하고 설치시기, 방법, 장소, 범위, 용도 등에 대한 협의를 의무화해야 한다”며 “사용자가 이러한 절차를 거치지 않고 회피하거나 불성실하게 대응하며 이를 강제할 수 있는 절차를 도입해야 한다”고 제안했다.
◆데이터 경제의 시대 도래=4차 산업혁명의 특징은 ‘데이터의 활용’이라고 할 수 있으며, 세계는 지금 데이터 경제(Data Economy) 시대로 접어들고 있다.
특히, AI 서비스의 품질과 성능을 높이기 위해서는 많은 양의 데이터와 다양한 정보가 필요하다. 기존정보와 자료를 학습하는 과정에서 데이터를 수집·이용해야 하는데, 이 때 개인정보·저작권·영업비밀 등의 침해 이슈가 발생할 수 있다. 한국은 데이터 활용사례나 경험이 많아 인식도 낮은 편이며, 법적근거도 마련돼 있지 않다.
보고서는 “가명·익명정보의 활용을 위한 규제 개선과 저작물의 과학·통계 목적 이용 제한 완화 등을 고려해야 한다”며 “데이터 경제 시대에 대비해 정보주체 권리가 침해되지 않도록 안전한 법·제도적 장치를 강구함과 동시에, 개인정보의 유용한 활용을 법적으로 보장하는 방안 마련이 시급하다”고 언급했다.
◆국경 넘는 개인정보, 제도정비 시급=자국민의 개인정보를 보호하고 외국 사업자의 정보 처리에 대한 집행력을 확보하기 위해 주요국은 대체로 개인정보 국외이전에 대한 규제를 강화하고 있다.
한편으로는, 자국의 규정을 강화하고 해당 나라에 진출한 기업들에 대한 정보보호 활동을 요구하고 있다. 중국의 네트워크 안전법, 러시아의 연방법 No.242-FZ와 같은 데이터 국지화 이슈가 부각되고 있는데, 국가의 개인정보 통제권을 확보하려는 조치로 해석된다.
보고서는 “한국은 개인정보 국외전송의 기준을 제시하고 있으나, 관련 실질적 집행 수단은 부재하고 법적 제재 규정은 미비하다”며 “EU, 일본 등과 같이 사전동의 이외에 적정성 평가, 국외이전 표준계약, 구속력 있는 기업 규칙 제도 도입 등 대안을 마련해야 한다”고 지적했다.
◆IoT·AI와 개인정보 간 상관관계=사물인터넷(IoT) 기기 연결은 올해 112억개에서 2020년 204억개로 늘어날 전망이다. 이에 따라 데이터 생성 폭증이 예측되는 가운데, IoT 기기 보안상 취약점을 노린 해커의 개인정보 유출행위도 늘어날 것으로 보인다.
AI, IoT 서비스를 위해서는 취미, 혈액형, 주소 등 정적정보와 구매패턴, 서비스 이용현황 등 동적인 개인정보가 수집·활용된다. 예측할 수 없는 경로로 개인정보가 유출될 수 있다는 의미다. 자율주행차는 운행과 탑승자 편의를 위해 빅데이터를 실시간 수집해 처리하는 거대한 네트워크 기기다. 악의적 침해가 이뤄진다면 경제적 손실뿐 아니라 인명피해도 우려된다.
보고서는 “신기술은 실시간으로 정보주체와 제3자 개인정보 처리가 필요하나 현행 법률에서는 엄격한 처리 요건을 요구하고 있어, 법과 기술 현실 간 괴리 해소를 위한 법정비 요구가 지속될 것”이라고 내다봤다.
◆설계단계부터 개인정보보호 고려해야=‘프라이버시 바이 디자인(Privacy by Design)’은 설계와 운영에 있어 프라이버시 보호를 선제적으로 내재화하는 것에 기초한 프레임워크다. GDPR에서도 개인정보보호 적용 설계 및 기본설정을 개인정보처리자 및 수탁자의 법률적 의무로 명시했다. 이에 따라 구체적인 적용방안 논의가 본격화되고 있다.
개인정보보호 적용 설계는 실질적인 결과에 초점을 맞춰 정보주체의 개인정보 및 사생활을 보호하는 것을 중요하게 여긴다. 물론, 기술적·관리적 보호조치 적용 비용이 발생할 수 있으나 이용자의 프라이버시를 보호하면서 얻는 이익과 신뢰가 더 크다는 판단이다.
정현철 KISA 개인정보보호본부장은 “개인정보보호 이슈를 토대로 국내외 개인정보보호 정책 시행에 따른 기업 부담을 줄이고 안전하게 개인정보가 보관·취급될 수 있도록 컨설팅 지원, 설명회 개최, 가이드라인 보급 등을 추진하려고 한다”며 “국민이 안심하고 편리하게 서비스를 이용할 수 있도록 사회 전반에 개인정보보호 적용 설계 보급을 추진할 예정”이라고 말을 보탰다.