06. 인공지능 결정에 대응한 개인정보 보호 법률
인간결정권 보호에 충분 할까?
by
Aug 31. 2022
사전동의제도와 수집목적에의 제한 구도
개인정보보호법 제15조에서는 개인정보를 수집·이용하는 것에 원칙적으로 정보주체의 동의를 요구한다. 이 법에서는 법률의 규정 또는 법령상의 의무를 준수하기 위한 경우 및 정보주체와의 계약사항을 이행하는 경우 예외적으로 개인정보의 처리를 허용하며, 정보통신망법에서도 이와 유사한 수준에서 정보주체의 동의 없는 개인정보의 처리를 허용한다. 이처럼 개인정보 보호법제는 기본적으로 정보주체의 사전동의 전제로 개인정보의 처리를 허용하는 사전동의 방식을 취하고 있고, 개인정보의 종류나 그에 따른 개인에게 미치는 중요성이나 민감도에 비중을 두고 있지 않다. 그러다 보니 개인인 정보주체의 개인정보자기결정권을 강하게 보호하고 있지만, 개인정보의 활용 측면에서의 정보의 자유는 보호하지 못했다.
한편 개인정보처리자는 개인정보 처리에 있어서 그 목적을 분명히 하고, 해당 목적 범위 내에서 동의를 얻은 최소한의 개인정보만을 적법하게 처리하여야 한다. ‘사전동의제도’, ‘목적 내 최소수집의 원칙’에 의하면, 개인정보처리자는 정보주체의 동의를 얻은 최초 목적 범위 내에서 최소수집한 개인정보를 활용하고, 목적달성 후 지체없이 수집한 개인정보를 파기해야 한다.
인공지능환경에서 기존 원칙의 적용이 힘든 이유
이 같은 개인정보 보호 원칙은 빅데이터에 기반한 인공지능의 머신러닝 데이터 처리와는 현실적인 괴리감이 있다. 왜냐하면 빅데이터는 최초 수집된 개인정보의 2차적 활용 없이 실행되기 어려운 기술이고, 위의 원칙을 엄격히 준수하자면 당장에 맞춤형추천서비스와 같은 기초적 인공지능서비스에서조차 개인정보데이터 활용이 불가능하기 때문이다.
개인정보 최초 수집 시 그 활용에 대한 동의를 받아도, 머신러닝이 학습하는 데이터세트는 다양한 출처에서 수집된 가공된 정보의 형태를 활용할 수 있다. 인공지능을 규제하는 법률이 없는 상황에서는 실제 인공지능서비스에서 데이터 수집 및 활용에 구체적인 목적을 특정하지 않고 ‘서비스품질 개선’ 등 같은 다분히 용처가 열려있는 포괄적인 목적을 설정함으로써 정보주체의 개인정보 수집 및 활용 동의를 얻을 수 있다.
이 경우 정보주체는 언제 자기의 정보들이 수집되고 있는지, 그것의 종국적인 활용이 무엇인지에 대한 인식을 할 수 없게 된다. 이러한 문제점은 개인정보 보호법제의 규제체계에서 비롯된 것으로 예외적인 일부 규정을 개선하는 것으로는 해결하기 어렵다.
결국 개인정보 보호법제의 정보주체의 사전동의제도와 목적 내 최소수집의 원칙은 빅데이터의 활용을 취약하게 만든다. 이는 관련 법률의 보호대상과 규율대상이 정보환경에서 인공지능으로 변화하면서 더이상 유효하기 어려운 구조로 변하고 있기 때문이다.
개인의 알 권리와 개인정보자기결정권의 보호
현행 개인정보 보호법제는 개인정보처리자에 대하여 개인정보데이터 처리에 관한 일정한 의무를 부과함으로써 정보주체의 자기결정권을 보호한다. 정보주체의 권리는, 정보처리자가 수집한 개인정보의 처리에 관한 사항을 정보주체가 알 수 있게 공개하고, 개인정보에 접근할 수 있는 열람청구권, 개인정보를 수정하거나 삭제하는 권한 등을 정보주체에게 제공하는 등으로 구체화됐다.
이들 장치는 정보주체인 개인의 권리를 보장하는 내용이다. 이러한 정보주체의 개인정보의 처리에 관한 권리를 보장하는 원칙은 개인정보 처리에의 투명성의 원칙(principles of transparency)으로도 설명이 된다. 개인정보의 처리 과정에 대한 투명성의 원칙은 개인정보자기결정권을 보장하는 전제로 적용된 원칙으로, 인공지능 의사결정에 대응한 개인의 자기결정권 보호 규제모델에도 적용되는 원칙이 될 수 있다.
더 깊이가면,
2020년 1월경 국회 본회의에서 처리된 데이터 3법 중 신용정보법의 개정안에는 프로파일링(profiling)에 대한 권리가 포함됐다.
보호 목적과 수단의 상관관계
지금까지 헌법재판소의 판결로서 확인된 개인정보 보호의 내용은 ‘개인정보자기결정권의 보호’라고 할 수 있고, 이는 곧 “정보주체가 자신에 관한 정보의 생성과 유통, 소멸 등에 주도적으로 관여할 법적 지위를 헌법적으로 보장하는 것”이다. 이에 따르면 개인정보 보호는 “정보주체의 정보의 처리에 관한 권리를 보장하는 것” 정도로 이해할 수 있다. 정보 처리에 관한 권리는 정보처리에 있어서 정보주체의 동의권을 의미한다. 동의권으로 “개인의 자유와 권리의 보호, 존엄과 가치의 구현”을 달성할 수 있을까? 물론 이는 개인정보보호법의 궁극적 목적으로 정보주체의 권리가 헌법상 최대가치를 달성하는 것으로도 연결될 수 있을 것이다. 그러나 역시 기존에 개인정보자기결정권의 보호영역에는 개인의 자유와 권리, 개인의 존엄과 다른 가치 간의 상관관계에서 논리적 결핍이 있다.
이에 개인정보자기결정권의 보호영역에 ‘인공지능 결정에 대한 자기결정’을 확대해석 하기에는 그간의 개인정보 보호 프레임이 너무 견고하다.
미래사회 인공지능의 기술적 변화가 초래하는 위험은 정보화사회의 위험과 다르다. 이 책은 그 위험에 대한 헌법적 가치가 인공지능의 결정에 대응한 인간의 자유와 존엄을 위한 ‘자기결정’이라고 보았다. 먼저는 이 가치가 헌법상 확인되는 것이 최우선이며, 그에 근거한 규범구체화가 모색되기를 바란다.
사법적 판단
헌법적으로는 개인정보 관련 사건에서 법원이 개인의 침해된 권리의 이익을 설명하는 근거가 중요하다. 개인정보 유출로 인한 손해를 인정한 대법원의 사건에서는 정신적 손해배상은 제한적으로 인정된다. 이는 개인정보의 유출로부터 침해된 개인의 권리를 인격권적 이익에서 바라보고 있기 때문이다.
비교적 근래 공개된 개인정보를 영리 목적으로 이용한 사건에서 대법원은 개인정보자기결정권 침해를 인정하지 않았다. 대법원은 공개된 개인정보에 대한 정보주체의 권리를 인정하되 정보주체가 ‘개인정보에 관한 인격권 보호로 얻을 수 있는 이익’과 ‘정보처리로 인하여 얻을 수 있는 정보수용자의 알 권리, 표현의 자유, 사업자의 영업의 자유, 사회 전체의 경제적 효율성 등의 가치’를 비교 형량하여 판단한다는 논리를 펼쳤다.
개인의 개인정보자기결정권은 절대적인 권리는 아니므로 그와 맞은편에 존재하는 권리 간 이익을 형량하는 것은 필요한 일이다. 하지만 대법원의 이와 같은 논리 전개에서 보여준 개인정보자기결정권에 근거해 개인의 이익을 바라보는 관점만큼은, 인격권의 영역에서만 판단된 것으로 헌법상 인정된 개인정보자기결정권의 다른 보호영역이 고려된 것은 아닌 것으로 보인다.
충분하지 않다.
우리나라에서 개인정보 보호는 헌법적 기본권인 개인정보자기결정권으로부터 인정되고, 개인정보 처리에 대한 권한을 정보주체에게 부여하는 구조를 취한다. 아울러 개별 법률에서 개인정보 ‘보호’의 엄격한 규제체계를 취하고 있다.
기존에 개인정보 보호 법제는 개인의 자기결정을 실현하는 법적 장치가 개인정보라는 보호객체를 중심으로 설계됨으로써, 경직된 개인정보 보호체계가 기술변화에 대응할 여지를 스스로 좁혀버린 것만 같다.
참고문헌
필자의 박사학위논문과 몇몇의 인공지능과 자기결정에 관한 논문들
