아이언맨도 개인정보 동의하다 추락한다
개인정보보호는 공정거래 관점에서 풀어야
http://techm.kr/bbs/board.php?bo_table=article&wr_id=628
아이언맨도 개인정보 동의하다 추락한다
최근 삼성전자가 스마트TV의 개인정보 처리방침을 변경하면서 ‘음성인식기능 강화를 위한 음성 데이터의 수집’을 포함하자 소비자들이 반발하는 해프닝이 발생했다. 스마트TV 앞에서 오가는 소비자들의 대화 내용을 삼성전자가 모두 수집할 것처럼 오해했기 때문이다. 사물인터넷(IoT) 시대에는 전자기기가 다양한 센서를 갖추고 인터넷으로 연결돼 개인정보를 처리한다. 사물들이 개인정보 처리장치가 되는 것이다. 손목시계는 건강정보, 위치정보 등 민감한 개인정보를 수집해 클라우드 서비스를 통해 이용자에게 편리함을 준다. 반면, 개인정보가 클라우드 서버에 저장 되어 국경을 넘어 처리되기 때문에 특정 국가의 법령을 강제하기 곤란해진다.
우리나라 개인정보보호법제는 영리 목적의 정보통신서비스 제공자를 규제하는 정보통신망법과 금융회사를 규제하는 신용정보보호법, 그 밖의 사업자를 규제하는 개인정보보호법으로 나뉘어 있다. 이들 법규는 개인(신용)정보의 수집에서 파기에 이르는 생명주기 전 영역에서 이용자의 개별적, 구체적 사전 동의 등 법정이용요건을 정하고 이를 위반할 경우 행정처벌, 민사책임은 물론 5년 이하 징역 또는 5000만 원 이하 벌금형에 처할 수 있다. 세계에서 가장 강력한 법제로 평가된다.
개인정보 동의 홍수시대 올 것
앞으로 전개될 IoT 시대는 사물들이 온라인 서비스와 오프라인 서비스를 연결하며, 핀테크의 발달로 신용정보인 금융정보까지 처리할 것이다. 우리 개인정보보호법제에 의하면 이들 개인(신용)정보를 처리하기 위해서는 필수 고지사항을 이용자에게 보여주고 동의를 얻어야 한다. 다양한 웨어러블 기기, 가전기기, 자동차, 비행기 등도 어떤 화면을 통해서든 이용자에게 개인정보 처리방침을 보여주고 동의를 받아야 한다. 정부는 최근 개인정보 이용에 관한 동의를 미리 포괄적으로 받지 말고 개인정보를 수집, 이용할 때마다 동의를 받도록 하는 방침을 발표한 바 있다.
이에 따르면 영화 속 주인공 ‘아이언맨’은 적과 싸우기도 전에 헬멧 스크린에 뜬 개인정보 처리방침에 동의하다가 추락할 것이다. 자동차 운전 도중화면에 나타난 개인정보 처리방침에 동의를 어떻게 할 것인가? 생명을 위협하는 안전사고가 날 수 있는 상황에서 개인정보 동의가 더 중요할까? 한편 개별적, 구체적, 사전적 동의제도가 개인정보를 잘 보호할 줄 알았지만, 정작 이용자들은 너무 많은 고지사항과 동의절차에 둔감해져 제대로 읽어보지 않은 채 동의하고 있다. IoT 시대가 심화될수록 동의 받아야 할 사항도 더 많아질 것이 분명해 보인다. 이대로는 개인도 기업도 모두 패착Lose-Lose)일 수밖에 없다.
개인들은 넘치는 개인정보 동의에 둔감해지고 고령자 같은 정보사회적 약자 역시 충분한 동의권을 행사할 수 없어 프라이버시 양극화가 발생한다.기업도 IoT 기기에 개인정보보호 법규에 따른 규제를 구현하다 보니 서비스가 불편해져 글로벌 시대에 외국 서비스나 제품과의 경쟁에서 이기기 어렵게 된다. 핀테크 기업들은 모두 신용정보 등 개인정보를 다루므로 금융규제가 적용됨은 물론, 온라인 서비스이기도 하므로 개인정보 규제까지 적용받게 될 것이다. 결국 소비자들은 외국기업의 서비스에 비해 복잡하고 불편한 국내 서비스를 외면하게 될 것이다.
IoT 시대의 개인정보보호 패러다임은 세 가지 측면에서 변화돼야 한다고 본다. 첫째, 개인(동의)책임형에서 국가후견형으로, 둘째, 사전규제형에서민원처리형으로, 셋째, 형사책임형에서 시정명령형으로 변화하는 것이다. 국가후견형은 기업과 정부의 협치적 규제모델이다. 기업들이 자율로 개인정보 처리방침을 게시하고 개인은 이를 믿고 이용하되, 국가가 개인정보를 오남용하는 내용이 담긴 개인정보 처리방침을 내세운 기업에 적절한 조치를 취하는 것이다. 현행 제도는 개인동의책임형, 즉 이용자가 동의만 하면 기업의 개인정보 이용에 대해 면죄부를 주는 방식이다.
현행 개인책임형 제도 하에서 이용자들은 대기업 등 선호하는 서비스에 대해서는 쉽사리 동의하게 되고, 중소기업 등 새로운 서비스에 대해서는 상반된 모습을 보인다. 결국 현행 제도는 신생기업의 마케팅을 불가능하게 만들어 대마 불패, 빈익빈 부익부, 승자 독식 현상의 심화를 가져와 경제구조에 영향을 미치게 될 것이다. 민원처리형이란 기업에 대해 개인정보보호와 관련한 민원이 제기되기 전까지는 정부가 나서지 않고 민원이 발생하면 적절한 조치를 취하는 것을 말한다. 종래의 사전규제형은 민원이 발생하기도 전에 사전적 고지와 동의제도가 제대로 구현돼 있지 않으면 이를 불법으로 간주해 처벌을 가하는 것이다.
이용자들이 아무런 불만이 없어도 기업이 개인정보보호 위반으로 처벌되는 것은 개인정보보호의 본질적 이념과 일치하지 않는다. 시정명령형이란 개인정보보호와 관련해 민원이 발생했을 때 전문성을 지닌 행정자치부, 방송통신위원회, 금융위원회 등 개인정보 주무부처가 적극적으로 조직구조와 인력을 확충해 시정명령을 하고 시정명령을 준수하지 않는 기업에 대해 그 대표자를 형사처벌을 하는 식으로 형벌을 2선으로 후퇴시키는 방식이다.
시정명령형 규제는 기업의 임직원에 대한 형사처벌 리스크를 줄여주고 기업주에 대해 시정명령 준수 의무와 형사처벌을 유도하게 되므로 오히려 법규준수에 기업주가 더욱 관심을 갖게 된다. 현재처럼 과거의 불법에 대해 처단하는 형사처벌 구조는 기업주보다는 기업의 개인정보보호책임자 등 실무 임직원만 처벌되는 결과에 이르는 경우가 많다. 또 해당 임직원의 개인적인 불법으로 치부될 뿐 기업주가 근본적으로 개인정보보호에 전념하지 않게 된다. 형사책임형은 사소한 불법도 고소, 고발만 하면 경찰이 개입해야 하고 실정에 따라 합리적인 조치는 다시 행정부처가 관여해야 하는 식으로 선처벌, 후조치의 구조를 갖게 되는 비효율성이 높다.
‘개인정보’ 정의 다시 내려야
최근 현행 개인정보보호법제에 대해 IoT 시대에 맞지 않는 비효율적 제도라는 견해가 늘어나고 있다. 아울러 형사책임형인 우리 법제는 초광폭 개인정보의 정의와 맞물려 빅데이터의 처리를 불가능하게 하는 요소로 작용하고 있다. 사람 관련 서비스에서 수집하는 이용자 관련 정보는 모두 ‘개인정보’로 평가될 수 있어 개별적이고 구체적인 동의 없이는 빅데이터의 수집이용이 불가능하다. 이러한 모순을 해결하기 위해서는 필자가 제안한대로 우리 개인정보보호법제의 형사처벌 조항을 대폭 완화하고 시정명령형 구조로 바꿔야 한다. 또 유럽연합(EU), 일본의 개인정보 정의와 같이 불합리한 노력을 기울이지 않고 수집할 수 있는 정보가 결합될 경우, 개인이 식별 가능한 경우에만 개인정보로 보는 내용으로 개인정보의 정의를 조정할 필요가 있다.
개인정보보호는 개인이 이용하는 서비스 제공자가 개인의 효용을 위해 그 개인정보를 이용하고 지나치지 않은 범위 내에서 상업적 용도로 사용하는 것을 허용할 때 산업의 발전과 개인정보의 보호가 조화할 수 있을 것이다. 개인이 불편하게 생각하는지 확인하기도 전에 ‘모든 이용자의 의사를 묻지도 않고’ 기업의 개인정보 이용이 불법이 되는 제도는 과연 제도의 목적에 맞는 것인지 재검토할 필요가 있다. 국내 서비스 산업이 해외 업체와의 경쟁에 패했을 때 개인정보보호의 후퇴가 될 것이기 때문이다.
<본 기사는 테크M 제24호(2015년4월) 기사입니다>
