데이터 활용과 개인정보 보호

개인정보 보호법과 데이터 3법 개정

빅데이터 활용, 데이터 경제 활성화 등 데이터 산업 발전을 논할 때면 항상 빠지지 않고 등장하는 이슈가 있습니다. 바로 '개인정보 보호'입니다.

데이터엔 정말 수많은 종류의 데이터가 있습니다. 개인과 관련이 없는 데이터들, 이를테면 기상 데이터, 경제 지표 데이터, 지질 데이터, 동물 생태 데이터 등의 데이터도 나열할 수 없을 정도로 많지만, 우리가 정말 중요하고 가치 있게 다루는 데이터들은 대부분 개인정보가 포함된 데이터들입니다. 기업의 서비스를 이용하고, 제품을 구매하는 '고객'에 관한 데이터이기 때문이죠. 특히 요즘은 개인화 서비스를 넘어서 초개인화 서비스가 주목받고 있는 시대입니다. 이런 개인 맞춤형 서비스들은 나의 기본 신상 정보부터 제품 구매 내역, 서비스 이용 기록, 그리고 나와 유사한 고객군의 구매·이용 정보 등 정말 수많은 개인정보들을 분석한 결과로 제공되는 서비스들입니다. 즉 나 뿐만 아니라 나와 비슷한 사람들, 내 주변의 사람들에 대한 정보까지 총체적으로 분석한다는 것입니다.

다양한 데이터가 융합되는 초개인화 서비스

이런 개인화 서비스뿐만 아니라 기업 전략 수립에 사용되는 빅데이터 분석 또한 개인정보가 중요하게 사용되는 것은 마찬가지입니다. 직접적인 개인정보가 아니라도 가명화된 정보이거나 개인정보를 기반으로 만들어진 통계정보인 경우가 많습니다. 예를 들면, 상권 분석을 위해 꼭 필요한 지역별·시간대별 유동인구 데이터라던가, 가맹업종별·상품별 매출 데이터, 소비행태 데이터 같은 경우도 언뜻 보기엔 개인정보와 연관성이 없어 보이지만 그렇지 않습니다. 실제로 통신사 등에서 제공되는 지역별·시간대별 유동인구 데이터는 우리가 전화를 수발신하고 주변 기지국이랑 통신을 한 기록 데이터(CDR)를 기반으로 만들어집니다. 카드사에서 제공되는 소비·매출 분석 데이터 또한 우라가 결제한 신용카드 기록을 토대로 통계 처리하여 만들어진 데이터입니다.

이런 통계정보도 결국 우리의 개인정보를 통해 만들어집니다. (예시상의 데이터는 임의값으로 입력함)

내 개인정보, 혹은 내가 만들어낸 이런 데이터들을 나의 허락 없이 사용해도 되는 걸까요? 이에 관한 문제는 본 장에서 계속 다룰 내용입니다. 우선 우리나라의 개인정보 보호제도에 대해 간단히 설명하겠습니다. 그리고 개인정보를 바라보는 기본적 관점인 옵트인 방식과 옵트아웃 방식을 이해하고 국제적 추세를 보겠습니다. 개인정보가 포함된 빅데이터를 정보주체의 허락 없이 사용할 수 있는 가명처리나 익명처리에 대해서도 이번 장에서 다룰 계획이고 개인정보를 활용하는 새로운 패러다임인 마이데이터에 대해서도 다룹니다. 또한 차분 프라이버시나 동형암호 등 개인정보를 보호하면서 데이터를 활용하는 대표적인 기법들도 맛보기로 살펴볼 예정입니다. 이번 장에서는 데이터 활용 과정에서 개인정보라는 개념이 얼마나 큰 비중을 차지하고, 얼마나 이슈가 되는지 이해하는 것을 목표로 합니다. 이것은 뒤 이어 나올 다양한 데이터 관련 비즈니스를 이해하는데 큰 도움이 됩니다.

데이터 활용이냐 개인정보 보호냐

우선 개인정보를 바라보는 관점은 국가나, 문화권에 따라 차이가 많이 납니다. 대표적으로 미국과 유럽이 큰 차이를 보입니다. 미국은 데이터 사용을 거의 제약하지 않습니다. 최근 기조가 바뀌어 일부 주(State)에서 꽤나 강력한 개인정보 보호법을 제정하긴 하였지만 전체적으로 보았을 땐 아직까지 개인정보 활용에 대해 인식이 무척 관대한 편입니다. 향후 다룰 '데이터 브로커'의 사례를 보면 '정말 이래도 되나?' 싶은 생각이 들 정도로, 개인정보의 자유로운 활용이 이루어지고 있단 걸 아실 수 있을 것입니다.

반면 유럽은 다릅니다. 유럽엔 GDPR(General Data Protection Regulation)이라는 개인정보 보호법률이 있는데, 정말 수많은 글로벌 기업의 개인정보 보호 담당자들이 머리를 싸매게 만들었던 법입니다. 적용되는 범위가 크다 보니 워낙 전 세계적으로 유명한 법률이고, 우리나라도 GDPR의 영향을 받아 많은 법 개정이 일어났을 정도입니다. 그리고 현재도 수많은 글로벌 기업들이 GDPR 위반으로 고발을 당하고 소송 중에 있습니다. 벌금도 어마어마합니다. GDPR에선 중대한 위반의 경우 2천만 유로 또는 전 세계 매출액의 4%라는 엄청난 벌금 기준이 있기 때문에 대형 글로벌 기업의 경우 소송에 들어갈 때마다 언급되는 벌금 규모가 수천억 원에서 수조 원대인 경우도 많습니다.

우리나라는 어떨까요? 미국과 유럽이 개인정보를 자유롭게 사용하는 나라, 개인정보를 엄격하게 사용하는 나라의 대표 격으로 언급이 되고, 우리나라도 유럽의 GDPR의 영향을 받았다고 하였으니 그 사이 어디쯤 되지 않을까 싶으시겠지만, 사실 우리나라만큼 개인정보 보호법제가 엄격한 곳도 없습니다. GDPR의 영향을 받아 법률이 개정된 부분도 사실 개인정보를 엄격하게 보호하는 면 보단 개인정보를 활용할 수 있도록 열어주는 면이 더 큽니다. 정확히는 GDPR이라는 글로벌 추세에 맞추어서 엄격해질 부분은 더 엄격해지고 완화될 부분은 더 완화된 것인데, 우리나라 법이 워낙 엄격했다 보니 상대적으로 완화된 부분이 훨씬 큰 영향으로 다가오는 것이죠.

개인정보를 엄격하게 보호하면 데이터를 활용하기가 어려워지고 당연히 데이터 산업도 활성화되기 어렵습니다. 실제로 우리나라는 너무 엄격한 개인정보 보호법제 때문에 데이터 관련 비즈니스가 성장하기 힘들다는 지적이 많았습니다. 그렇다고 데이터 산업만 장려하며 규제를 풀어버리면 개인에 관한 프라이버시 침해사고가 많아지고 개인정보 유출 사고 등이 발생할 가능성이 높아집니다. 최근 미국에서 관련 사고와 프라이버시 침해 소송이 이어지고 있는 것도 데이터를 활발히 이용되기 시작하면서 데이터를 노리는 해커들의 공격이 많아진 동시에 정보주체들은 자신의 정보주권에 대한 인식이 높아지고 있기 때문이죠.

각 나라별로 기존에 유지해왔던 관습과 사회문화적 가치관, 산업적 이해관계, 그 나라에서 일어났던 사건·사고, 데이터 활용과 개인정보 보호의 딜레마를 헤쳐나가려는 정책 입안자들의 전략차이까지. 이 모든 것들이 얽혀있기 때문에 세계 주요국들에서 데이터와 개인정보를 바라보는 관점이 이렇게도 다른 것입니다.

우리나라의 개인정보 보호법제

이쯤에서 우리나라의 개인정보 보호 법·제도에 대해 간략히만 알아보겠습니다. 우선 우리나라에서 대표적인 개인정보 관련 법률은 '개인정보 보호법', '정보통신망법', '신용정보법' 3가지가 있었습니다. 이 법들이 너무 까다롭고 지키기 어렵다 보니 담당자들 사이에선 '개.망.신법'이라고 불리기도 하였습니다. 비즈니스를 운영하고 데이터를 좀 활용해보려고 하는데 법에 가로막혀서 아무것도 하지 못하는 것을 토로하는 심정이 담겨 있는 거죠. 이런 원성에, 그리고 해외의 GDPR 사례에 힘입어 우리나라도 대대적인 개인정보 보호법제 개편에 돌입합니다. 그게 2020년 즈음에 추진된 '데이터 3법 개정'입니다. '개.망.신법' 보단 좀 더 긍정적이고 멋있어 보니는 '데이터 3법'이라는 표현을 쓴 이 프로젝트는 말 그대로 데이터 산업 활성화, 데이터 활용 촉진을 위한 프로젝트라고 해도 과언이 아닙니다.

개인정보 보호법: 영리, 비영리를 불문하고 업무적으로 개인정보를 다루는 모두에게 적용되는 일반법입니다.

정보통신 망법: 정보통신서비스제공자, 즉 홈페이지나 앱 등을 운영하고 온라인에서 사업을 영위하는 자들에 대한 특별법입니다.

신용정보법: 신용에 관한 정보를 다루는 회사 등을 위한 특별법입니다. 신용정보라고 하니 조금 지엽적인 정보 같지만 실제론 금융정보도 신용정보이며, 일반적인 금융회사들을 모두 대상으로 합니다.

데이터 3법 개정은 1차적으론 마무리되었다고 볼 수도 있지만, 사실 아직도 진행 중이라고 보는 것이 더 맞습니다. 사실 요즘 같은 디지털 전환 시대에 데이터 관련 법률은 끊임없이 정비되고 수정되어야 하니 끝날 일은 없을 것입니다. 이미 완료된 부분부터 진행 중인 부분까지 굵직하게만 살펴보자면 아래와 같습니다.

1. 개인정보 보호체계가 일원화됩니다.

기존 데이터 3법이 모두 개인정보 보호에 관해 규율하면서도 그 디테일엔 차이가 있었습니다. 그리고 그 법률마다 담당 부처가 달랐죠. 일반적인 개인정보 보호는 개인정보 보호법에서 다루니 행정안전부 소관이고, 인터넷상에서 다뤄지는 개인정보는 방송통신위원회 소관이었습니다. 그리고 금융회사들이 다루는 신용정보는 금융위원회 소관입니다. 그 외에도 의료는 보건복지부, 교육은 교육부 등 어떤 산업군에서 개인정보를 다루냐에 따라 적용되는 법률과 담당 부처가 다릅니다.

결국 이번 개정에서 따라 개인정보 보호 정책은 '개인정보보호위원회'에서 담당하는 것으로 정리되었습니다. 개인정보보호위원회라는 조직은 원래도 있었던 조직입니다. 하지만 기존엔 행정안전부 산하에 있던 제한된 역할의 심의·의결 기구였다면 이제는 장관급 중앙행정기관으로 격상된 것입니다. 그리고 정보통신망법에 있던 개인정보 보호와 관련된 규정도 모두 개인정보 보호법으로 옮겼고, 방송통신위원회의 개인정보 보호 역할도 마찬가지로 개인정보보호위원회에 이관되었습니다.

2. 가명정보 및 데이터 결합 제도가 도입되었습니다.

국내법상 개인정보는 개인에게 동의를 받고 활용해야 합니다. 그런데 만약 A기업이 B기업이 가지고 있는 몇백만 명의 개인정보 빅데이터를 분석하여 인사이트를 도출하고 싶다면 어떻게 해야 할까요? 백만 명에게 다 동의를 받으려다간 이번 생에는 데이터 분석을 하기 힘들지도 모릅니다. 기존엔 이런 현실적인 문제에 대해 명확한 기준이 없었습니다. 이와 관련하여 정부에서 '비식별화된 개인정보는 동의 없이 활용해도 된다'는 가이드라인을 내놓지만 법적 근거가 없는 해석이라고 비판을 받아 활성화되진 못하였습니다.

이번 개정에서는 이런 '비식별화'라는 개념을 법에 명확히 담았습니다. 정확히는 '가명정보'와 '익명정보'라는 개념을 도입하여 일정 조건을 갖춘 경우엔 개개인에게 동의를 받지 않아도 활용이 가능하도록 한 것입니다. 이에 관해선 별도 챕터에서 다룰 예정입니다.

3. 개인정보 이동권, 전송 요구권이 도입됩니다.

금융회사가 가지고 있는 내 정보는 누구의 것일까요? 관련 법령에 따라 나, 즉 정보주체는 일정한 권한을 가집니다. 내가 '네가 가지고 있는 나에 관한 정보는 무엇이니?'라고 물어보면 이를 열람시켜 줘야 하고 '내가 가진 정보를 이젠 지워줘'라고 하면 지워야 합니다. 그런데 '내가 이제 주거래은행을 바꾸려고 하니깐 네가 가진 정보를 OO은행으로 보내'라고 하면 어떨까요? 은행 입장에선 고객이 경쟁업체로 넘어가겠다는데 그걸 도와줄 필요까지 있을까요?  지워달라면 지우기야 하겠지만 굳이 직접 보내주는 수고까지 해야 할까요?

그건 좀 무리한 요구가 아닐까 싶은 분들이 계실 것입니다. 원래 이는 정보주체에게 당연히 보장된 권리까진 아니었던 게 맞습니다. 하지만 이젠 다릅니다. '개인정보 전송요구권'이 도입되기 때문입니다. 이에 대해서도 '마이데이터'라는 개념과 함께 별도 챕터에서 다루도록 하겠습니다.

다른 개정사항들도 많지만 여기서 언급하기엔 다소 세부적인 내용이라 이만 줄이겠습니다. 중요한 내용들은 굳이 법적인 관점이 아니라도 계속 다룰 것입니다. 이번 글은 오버뷰의 성격이 강합니다. 대뜸 법부터 다루면 어색해할테니 이것이 생각보단 중요한 문제라는 것만 상시시켜 드리는데 의의를 두려고 합니다. 진짜 중요한 내용만 추려서 차차 다루어 보도록 하겠습니다.

이번 장에서 여러분이 아셔야 할 것은 사실 아래 4가지 사항 정도로 요약이 가능합니다.

1. 중요하게 다루어지는 '데이터'엔 개인정보 데이터가 큰 비중을 차지한다. 즉, 데이터 활용엔 개인정보 보호 이슈가 따른다.

2. 개인정보 보호에 관한 관점은 나마다 다르다. 한국은 데이터에 개인정보가 조금이라도 포함되면 함부로 사용할 수 없는, 개인정보 보호 관련 법제가 매우 엄격한 나라이다.

3. 대표적인 규제 법률로는 '개인정보 보호법', '정보통신 망법', '신용정보법' 3가지가 있는데, 최근에 이 '데이터 3법'의 개편이 이루어져 활용의 길이 열렸다. (이 개편에서 '정보통신 망법'은 논의 대상에서 제외됨)

4. 대표적인 3개 법률 외에도 의료법, 교육법 등 여러 법률과 여러 정부부처에서 개인정보 활용을 규제하고 있으며 이들은 개인정보 보호법 및 개인정보보호위원회로 일원화되어가고 있다.