3월 28, 목요일

[깡박사의 법수다] 정보의 보호와 산업에서의 활용

<깡박사의 법(法)수다>

사물인터넷(IoT), 빅데이터(Big data), 클라우드 컴퓨팅(Cloud computing) 등 신기술과 트렌드가 새로운 먹거리로 자리잡아가고 있다.

그러나 기업들은 실제 신기술을 적용하여 사업을 추진할 때 여러가지 법제도적 규제의 문턱에서 당황스러운 일을 종종 경험하곤 한다.

예를 들어, 빅데이터의 경우, 대량으로 축적된 정보를 활용하여 다양한 서비스와 부가가치 창출이 가능하지만 예전부터 보유해 온 정보의 활용 문제, 새로운 정보 생성(profiling)에 대한 우려, 비식별화된 정보의 제3자 제공 문제 등 개인정보의 보호라는 법제도 이슈에 발이 묶여 적극적인 정보의 활용에는 진전이 없는 상황이다.

물론, 개인정보의 수집과 제공에 ‘정보주체(개인 당사자)의 동의’를 받도록 하는 것은 개인정보를 제공하는 사람 입장에서는 프라이버시 보호와 자기결정권 보장을 위한 중요한 통제수단에 해당한다.

따라서, 프라이버시도 보호하면서 정보도 적극적으로 활용할 수 있도록 법제도 개선이 필요한 시기이다.

3878741556_53c9155d4b_z

예를들어, 해당 개인 정보가 비식별화 및 익명화 조치를 통해 수집․처리되고 더 이상 개인의 식별이 어려운 경우라면, “일정한 정보보호 조치를 조건으로” 산업적 활용을 허용하되 정보주체자(당사자)가 사후에 거부하는 방식(opt-out)과 같은 절충적 통제 메카니즘을 도입하는 것도 생각해 볼 필요가 있다.

 

  • opt-in 방식 : 자신의 데이터 수집을 허용하기 전 까지 당사자의 데이터 수집을 금지하는 제도(사전거부 방식)
  • opt-out 방식 : 자신의 데이터 수집을 허용하지 않는다고 명시할 때 정보수집이 금지되는 제도이다(사후 거부 방식)

 

마찬가지로, IT인프라가 클라우드 컴퓨팅 환경으로 이행되면서 이용자의 정보는 국내뿐만 아니라 해외의 데이터센터에도 저장될 수 있다. 하지만, 현행 「개인정보 보호법」이나 「정보통신망법」에서는 개인정보의 국외 이전을 위해 사전에 정보주체의 동의를 받도록 하고 있기 때문에 수많은 정보주체에게 일일이 동의를 받지 않는 한, 개인정보의 해외 데이터센터 이전은 사실상 불가능에 가깝다.

또한, 최근 세계 곳곳에서 테러나 자연재해 등이 발생함에 따라 중요한 정보자산을 보호하기 위한 재해복구센터(Disaster Recovery Center)에 대해 기업들의 관심이 높아지고 있다. 하지만, 재해복구센터는 기본적으로 원거리 지역이나 국경을 넘는 지리적 이중화를 요구하기 때문에 실제로 재난․재해가 발생할 경우 오히려 정보보호를 위해 마련된 현행법으로 인해 해외의 안전한 재해복구센터로 정보를 옮길 수 없게 되는 모순된 상황도 연출될 수 있다.

사물인터넷(IoT)의 상황도 크게 다르지 않다. 최근 사물인터넷 시대에 접어들면서 비콘(Beacon)이 각광을 받고 있다. 비콘은 IT제품의 위치를 확인하고 다양한 정보를 전송할 수 있는 근거리 무선통신 장치이기 때문에 상가나 매장에 비콘을 설치하여 스마트폰을 통해 고객을 확인하고 고객에게 필요한 맞춤형 서비스를 제공할 수 있다. 하지만 이 경우에도 현행 「위치정보법」상의 개인위치정보 수집 문제가 논란이 될 수 있기 때문에 사업화가 쉽지 않다.

이처럼 IT 신기술들이 개인정보보호 관련 법제도와의 충돌로 기업들은 사업화가 쉽지가 않은 상황이다. 어쩌면 이러한 문제들은 우리 사회가 정보사회로 급속히 진전될수록 필연적으로 정보의 활용이 확대될 수밖에 없다는 사실에서 이미 예견된 것일 수도 있다. 하지만 이러한 시대적 변화에도 불구하고 우리 사회가 여전히 ‘정보의 보호’와 ‘정보의 활용’에 관한 분절된 입장과 이분법적 시각에서 벗어나지 못하는 한 정보사회에서 발생하는 다양한 문제의 해결은 쉽지 않을 것이다.

사실 개인정보 보호와 관련하여 자주 인용되는 경제협력개발기구(OECD)의 가이드라인(OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data)에서도 이른바 ‘OECD 8원칙’을 통해 개인정보관리자의 엄격한 책임을 요구하면서도 개인정보의 국경간 유통을 과도하게 제한하지 않도록 권고하고 있다.

유럽연합의 정보보호지침(Directive 95/46/EC)도 개인정보에 대한 적절한 보호수준(an adequate level of protection)을 보장하는 국가로의 정보 이전은 허용하고 있다.

이처럼 정보기술의 발전과 글로벌화(Globalization) 추세 등의 변화 속에서 현재와 같이 ‘정보주체의 동의’를 유일한 개인정보 활용의 적법요건으로 설정하는 법체계만을 고수할 것이 아니라 글로벌 스탠다드와 정보사회 현실에 맞게 “정보의 안전한 활용”이 가능할 수 있도록 개인정보 관련 법제를 정비할 필요가 있다.

다시말해 ‘정보의 보호’와 ‘정보의 활용’이라는 각 진영의 주장을 뛰어 넘어 이제는 “정보의 안전한 활용”에 초점을 맞추고 정보보호의 새로운 패러다임 개발에 힘쓸때라고 필자는 생각한다.

<강철하 한국IT법학연구소장>

About 강 철하

Avatar
IT환경에서의 법적인 문제와 해결방안을 고민하고 있는 법돌이

추천 기사

빅 데이터 전문가를 자격증으로 구별할 수 있다?

빅 데이터 국가 자격 시험 도입 관련해 요즘 IT 업계가 술렁이고 있다. 이 소식을 처음 …

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다