[개인정보] 개인정보보호와 데이터 활용

개인정보보호와 데이터 활용

이 글은 개인정보보호 분야의 전문가들인 보안업체 종사자, 개인정보 취급업체 종사자, 개인정보 관련 정부정책입안자, 대학교수, 법률가의 단체인 한국CPO포럼(Korea Chief Privacy Officer's Forum)의  Privacy 칼럼에 2014. 1. 23. 게재한 칼럼입니다. 원문은 www.cpoforum.or.kr 

 

 

 

최근에 디지털환경에 관한 동향을 접하다보면, 어렵지 않게 두 가지 가치를 접하게 된다.

금융기관 등에서 고객들의 개인정보가 누출되는 대형사고가 잊을 만하면 한 번씩 보도되어 정보보호에 대한 경각심을 일깨워주고, 이에 따라 정보보호를 위한 정책과 사례연구들이 반복된다.

그런데 다른 쪽에서는 공공데이터와 빅데이터가 기업이 활용할 수 있는 금맥이라는 인식이 확산되면서 데이터 활용의 중요성이 강조되고 있다.

개인정보보호와 데이터 활용은 전혀 다른 가치관에 기하여 다른 법익 또는 정책적 목적을 달성하려는 것이므로, 한 쪽의 가치를 강조하면 다른 쪽의 가치에 그만큼 제한이 가해질 수밖에 없다.

 

서로 다른 법익이 충돌하는 문제는 여러 분야에서 항상 발생하고 있는 것이고, 그 충돌은 대체로 적지 않은 시간을 거치면서 적절한 사회적 합의에 따라 접점을 만들어왔다.

그런데 정보보호와 데이터 활용이라는 두 가지 가치는 같은 시기에 모두 강하게 강조되고 있는데다가 디지털의 속성상 그 가치에 대한 인식도 급격하게 상승하고 있어서, 두 가지 가치 사이에서 적절한 접점을 찾을 수 있는 시간도 충분하지 않았고, 접점을 찾으려는 노력이나 시도 역시 충분하지 않은 것 같다.

 

2013년말 방송통신위원회는 ‘빅데이터 개인정보보호 가이드라인(안)’을 발표하였다. 이 가이드라인(안)은, ‘공개된 개인정보’와 정보통신서비스와 관련된 ‘이용내역정보’를 정의한 후, 공개된 개인정보의 수집에는 정보주체의 동의가 없어도 되고, 정보통신서비스 제공자가 정보통신 서비스 제공과 관련하여 정보의 조합, 분석 또는 처리를 목적으로 이용내역정보를 수집하는 경우에도 정보주체의 동의가 없어도 되며, 공개된 개인정보와 이용내역정보를 이용하여 새로운 개인정보를 생성하는 경우에도 정보주체의 동의가 없어도 된다고 하였다. 아울러 공개된 개인정보와 이용내역정보, 생성된 개인정보를 정보통신서비스 제공업무 수행을 위하여 내부에서 이용할 때도 정보주체의 동의가 없어도 된다고 하였다.

경실련 등 시민단체는 이 가이드라인(안)이 개인정보보호법에 위반된다고 지적하고 진정서까지 제출하였다.

 

방송통신위원회가 위 가이드라인(안)을 발표한 것은 정부의 ‘빅데이터 산업 발전전략’의 일환이고, 공공데이터의 활용도 이미 빠르게 확산되고 있다. 데이터 활용을 촉진하고 데이터 산업을 육성할 필요성은 누구도 부인하지 못할 것이다. 그러나, 데이터 활용이 개인정보보호와 충돌한다는 점은 이미 충분히 인식되고 예견되어 왔음에도, 위 가이드라인(안)에서는 그러한 가치의 충돌을 슬기롭게 해결하겠다는 노력이나 시도가 진지하게 읽혀지지 않아서 너무도 안타깝다.

 

위 가이드라인(안)은 개인정보보호와 데이터 활용이라는 가치의 충돌을 정보주체의 동의가 필요한지 여부로 해결하려는 입장이다. 개인정보보호에서 가장 핵심적인 위치에 있는 정보주체의 동의 요건을 일정한 경우에 배제시키려 하는 위 가이드라인(안)은 간편하고 쉬운 방법으로 가치의 충돌을 해결하고자 하였으나, 이는 두 가치 사이의 적절한 접점을 찾으려는 진지한 노력이라기보다 거친 줄긋기라고 보아야 할 것이다. 시민단체가 크게 반발한 데서 알 수 있듯이 결과적으로 쉬운 해결책이라고 말할 수도 없게 되었다.

 

정보주체의 동의 여부를 해결책으로 제시하는 거친 줄긋기는 애당초 개인정보보호에서 정보주체의 동의에 너무 큰 힘을 부여한 데서 비롯되었을 것이다. 필자는 개인정보보호법 제정 이전의 정보통신망법 시절부터 정보주체의 동의 요건을 개인정보 보호의 만능 수단으로 삼고 있던 입법태도에 대하여 의구심을 가지고 있었다. 우리 포럼의 박광배 변호사도 지난 포럼칼럼에서 정보주체의 사전동의의 역할에 대하여 중요한 지적을 한 바 있다.

 

개인정보보호만이 중요한 가치였을 때는 정보주체의 동의 요건만으로 개인정보를 둘러싼 법익을 조절하는 것이 다소 거칠더라도 큰 부작용은 없었겠지만, 이제 데이터 활용이라는 무시할 수 없는 큰 정책적 과제를 만난 이상 상황이 복잡해졌으므로, 해결책도 더욱 정치해져야 한다.

가장 먼저 개인정보의 의미와 범위를 더 구체적으로 검토하고, 개인정보를 유형별로 구분하여 보호의 정도에 차등을 둘 수 있는지 살펴보아야 한다. 일반 개인정보와 민감정보라는 큰 구분에서 더 나아가 보호의 정도를 달리 적용할 수 있는지 유형별로 살펴볼 필요가 있다. 위 가이드라인(안)에서 말한 공개된 개인정보는 그 보호범위 내지 활용범위가 크게 논란이 될 수 있으므로, 그와 관련한 개념정립과 유형화가 특히 필요하다. 개인정보의 범위를 넓게 잡고서 그 수집 등에 항상 동의가 필요하다고 한다면, 데이터 활용이라는 가치와 적절한 접점을 찾기는 난망할 뿐이다.

개인정보의 의미와 범위, 유형별 구분이 이루어질 수 있다면, 그에 맞추어 그 개인정보의 보호방법으로 정보주체의 동의 여부를 택할 것인지, 아니면 또 다른 방법을 찾을 것인지, 동의 여부에 의존하더라도 옵트아웃의 방법을 취할 수 있는지 등 다양한 시각으로 개인정보의 차등적 보호를 시도할 필요가 있다.

 

개인정보보호는 이제 데이터 활용이라는 가치와 협업을 함으로써 적절한 접점을 찾기를 모색할 필요가 있고, 그럼으로써 어쩌면 개인정보를 더 실질적으로 보호할 수 있지 않을까 생각해본다. 

이응세 변호사

법무법인(유한) 바른