[깡박사의 법수다] 빅데이터와 개인정보보호
<깡박사의 법(法)수다>
IBM 분석에 따르면, 약 250경 바이트의 데이터가 매일 생성되고 있으며 오늘날 세계에 존재하는 데이터의 90%가 지난 2년 사이에 생겨났다고 한다. 이처럼 매일같이 쏟아지는 엄청난 양의 데이터는 디지털경제에 있어 ‘혈액’ 또는 ‘21세기의 원유’로 비유될 만큼 정보사회에서의 핵심자산으로 인식되고 있으며, 경제협력개발기구(OECD)도 2015년 10월 ‘성장과 복지를 위한 빅데이터(big data)’를 화두로 데이터 주도 혁신(Data-Driven Innovation, DDI) 보고서를 내놓는 등 미래사회의 변화를 예고하고 있다.
하지만 단순히 데이터가 많다는 것만으로는 사실상 큰 의미는 없다. 오히려 그러한 대량의 데이터에 대한 정교한 분석과 가공 과정을 거쳐 새로운 가치가 창출되었을 때 우리가 이야기하는 빅데이터로서 의미가 생기게 된다.
그런데, 우리가 바라는 ‘의미 있는 정보’를 생산하기 위해서는 우선적으로 상당한 양의 정보를 수집하고 분석하는 과정을 거쳐야 한다. 문제는 이 과정에서 특정 개인을 식별할 수 있는 정보가 함께 수집될 수 있고, 이 경우 개인정보 수집 시 정보주체의 ‘사전 동의(Opt-in)’를 요구하는 현행 개인정보보호법에 따라 위법성 논란에 휘말릴 수 있다는 것이다.
사실 빅데이터는 ‘비정형 데이터’라는 특성으로 인해 빅데이터 내에 개인식별정보가 포함되어 있는지 판단하기가 어렵고, 설사 개인식별정보에 대한 분류가 가능하더라도 SNS나 인터넷상에 올려진 영상, 사진, 문자 등의 대량정보를 실시간으로 수집하면서 일일이 정보주체의 사전 동의를 받는 것은 불가능에 가깝다.
이처럼 빅데이터 활용에 있어 핵심 쟁점은 대량의 정보를 수집하면서 일일이 사전에 동의를 받는 것이 불가능하고, 이를 강제할 경우 빅데이터의 활용이 어렵게 된다는데 있다.
그런데 이러한 개인정보보호 이슈와 관련하여 전 세계의 입법 방식은 크게 세 가지로 볼 수 있다.
첫 번째 방식은 2015년 9월 개정된 일본 개인정보보호에 관한 법률(個人情報の保護に関する法律)에서 발견할 수 있다. 동 법률에서는 일정한 조치를 통해 “특정 개인을 식별할 수 없도록 개인정보를 가공하여 얻어진 개인에 관한 정보로서 당해 개인정보를 복원할 수 없도록 한 것”을 ‘익명가공정보(匿名加工情報)’로 개념화하여 동의 없이 사용할 수 있도록 하였다. 이는 특정 개인을 식별할 수 없도록 개인정보를 가공해 얻은 정보는 개인정보 개념에서 배제하는 방식이다. 이로써 일본은 빅데이터의 활용 가능성이 높아졌다고 볼 수 있다. 하지만 현실적으로는 개인정보가 어느 정도 가공되어야 익명처리가 되었다고 볼 수 있는지 논란의 여지는 남겨 놓고 있다.
두 번째는 미국의 방식을 들 수 있다. 미국의 경우 개인정보보호에 관한 일반법이 없기 때문에 개별 영역에 따라 개인정보가 규율된다. 예컨대, 공정신용조사법(Fair Credit Reporting Act, 신용조사업자의 소비자정보 보호), 정보자유법(Freedom of Information Act, 법집행기관의 정보공개), 프라이버시보호법(Privacy Protection Act, 언론사 종사자 및 정보원의 프라이버시 보호), 전자통신프라이버시법(Electronic Communication Privacy Act, 전자통신 보호) 등이 그것이다.
하지만 아동․의료 정보 등의 특수한 정보를 제외하고는 대부분 개인정보 처리에 대한 묵시적 동의 방식을 채택(Opt-Out, 사후 거부방식)하고 있기 때문에 우리나라에 비해 빅데이터의 활용 가능성이 높은 입법 환경을 가지고 있다. 또한 캐나다의 ‘연방개인정보보호 및 전자문서법(PIPEDA)’에서는 수집된 정보의 민감도(the sensitivity of the information)에 따라 묵시적 동의를 허용하고 있다는 점에 주목할 필요도 있다.
반면, 유럽의 경우에는 기존의 개인정보보호지침(Directive 95/46/EC)을 대체․강화하는 방향으로 유럽연합(EU) 차원에서 ‘정보보호규칙안(Data Protection Regulation)’의 제정을 추진하고 있다. 예컨대 개인정보 수집을 위해 정보주체로부터 엄격한 방식의 명시적 동의(Opt-in)를 얻도록 하고 있으며, 이미 잘 알려진 바와 같이 ‘잊혀질 권리(Right to be forgotten)'나 ’프로파일링 거부권‘을 담고 있어 오히려 빅데이터 환경에서의 역기능에 대비하려는 의도가 엿보인다. 하지만 그럼에도 ‘익명화된 정보(pseudonymised data)’와 ‘비식별 정보(anonymous data)’라는 개념을 도입하여 개인정보 보호와 활용을 동시에 고려하려는 시도도 병행하고 있다.
우리나라의 경우는 기본적으로 유럽식의 ‘사전 동의방식(Opt-in)’을 채택하고 있다고 볼 수 있다. 특히 개인정보보호법이나 정보통신망법에서는 ‘개인식별정보’ 뿐만 아니라 “해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것”을 개인정보에 포함시키고 있기 때문에 이러한 ‘개인식별가능성’이라는 모호한 기준으로 인해 빅데이터 사업자는 항시 법위반 상황에 노출되어 있다.
전 세계적으로 빅데이터의 성장가능성에 대한 기대감이 크다. 하지만, 앞서 살펴 본 바와 같이 우리나라의 빅데이터 법제는 열악한 수준이다. 그나마 “기존에 보유한 정보의 활용문제”는 다루고 있지 않아 지적받아 온 ‘빅데이터의 이용 및 산업진흥 등에 관한 법률안’마저도 19대 국회 임기만료가 가까워짐에 따라 폐기 수순에 접어들고 있는 상황이다.
얼마 전 우리가 알파고(AlphaGo) 사례에서 이미 목격한 바와 같이 기술은 저 멀리 앞서가고 있다. 이런 상황에서 다가오는 기술 환경에 대한 거부감이나 무조건적인 회피는 오히려 불측의 피해를 낳을 수 있기 때문에 새로운 기술 환경에 적극적으로 대처하려는 인식의 전환이 필요하다.
특히 입법 추진 방식과 관련하여, 미국은 정부 차원에서 '소비자 프라이버시 권리장전(A Consumer Privacy Bill of Rights)'과 함께 '온라인추적금지법안(Do Not Track Me Online Act of 2011, H.R. 654)'을 발표했고, 일본도 빅데이터 활성화를 위해 ‘익명가공정보(匿名加工情報)’ 개념을 도입했지만 제3자 제공정보에 대한 추적성을 강화하였다.
이처럼 결국 빅데이터의 문제는 ‘개인정보보호’와 ‘빅데이터 활용’이라는 양 가치를 어떻게 조화롭게 구현할 것인가의 문제이다.
이런 점에서 개인을 더 이상 식별할 수 없는 상태인 ‘익명화된 정보’나 재식별이 불가능하거나 현저히 곤란한 ‘비식별정보’에 대한 빅데이터의 활용 가능성은 가급적 열어 두되, 정보의 오용에 대한 통제수단을 마련하거나 불법 활용에 대한 엄격한 제재 규정을 마련하는 등의 절충안은 없는지 고민이 필요한 때다.
<강철하 한국IT법학연구소장>