초연결 사회가 모든 사물이 네트워크를 통해 인간과 거미줄처럼 연결되는 사회라면, 지능정보사회는 고도화된 정보통신기술 인프라(ICBM)를 통해 생성·수집·축적된 데이터와 인공지능(AI)이 결합한 지능정보기술이 경제·사회·삶 모든 분야에 보편적으로 활용됨으로써 새로운 가치가 창출되고 발전하는 사회를 의미한다.
\r\n
\r\n이런 지능정보사회에서의 핵심 자산은 데이터다. 데이터 분석 등을 통해 2015년부터 4년간 전 세계적으로 창출할 수 있는 이득은 약 1조 6,000억 달러에 이를 것으로 예상된다. 그 중에서도 개인정보의 가치는 더 높게 평가되고 있다. 2014년 세계경제포럼의 Technology Pioneer로 선정된 나단 이글 Jana CEO는 2024년까지 인터넷 이용자 1명당 개인정보의 가치가 100달러 이상 될 것으로 전망했다. 전 세계 인터넷 이용자가 34억 명에 달한다고 추정했을 때, 단순하게만 계산하더라도 전체 인터넷 이용자의 개인정보 가치는 3,400억 달러에 이른다.
\r\n
\r\n개인정보 관련 해외 주요국의 주요 법제 동향
\r\n제4차 산업혁명으로 정보통신환경이 급속하게 변화하고, 개인정보의 경제적 가치가 부각되면서 해외 주요국의 법제 역시 변화를 보이고 있다. 전통적으로 개인정보 보호에 방점을 두었던 EU가 대표적이다. 2018년 5월부터 시행되는 일반 개인정보보호법(GDPR)에 가명화(Pseudonymisation)에 대한 정의를 규정하고, 가명화를 비식별화를 위한 기술적 수단으로 명시하는 등 개인정보의 활용에 대한 법적 근거를 마련했다. 한편, 법 위반 시 연매출 4%까지 과징금을 부과할 수 있는 규정을 신설하여 개인정보 보호 제재 역시 한층 강화했다.
\r\n
\r\n일본은 2017년 5월부터 시행되는 개정 개인정보보호법에 빅데이터 처리 목적의 익명가공정보에 대한 규정을 신설했다. 이를 통해 익명가공정보의 개념을 제시하는 한편, 익명가공정보의 작성, 제공, 식별행위 금지 및 안전 관리 조치 등 익명가공정보를 취급하는 사업자의 의무를 명시함으로써, 익명 가공 처리된 개인정보를 안전하게 활용할 수 있도록 법적 근거를 마련했다. 더불어 정부 차원에서 법 시행과 관련해 세부시행 규칙 및 가이드라인, 보고서 등을 지속적으로 발표하여 사업자의 이해도 제고 및 법규 준수를 유도하고 있다.
\r\n
\r\n미국의 경우 다른 국가에 비해 개인정보의 활용은 자유로운 반면, 개인정보 관련 법규를 위반했을 때는 강력한 제재를 시행하는 것이 특징이다. 가장 대표적인 것이 FTC에서 구글의 개인정보 보호규정 위반과 관련해 벌금 2,250만 달러를 부과한 사례다. 구글은 2011년에서 2012년 사이 애플의 웹브라우저인 ‘사파리’ 이용자들의 인터넷 접속 이력을 이용자 동의 없이 수집하고 맞춤형 광고에 활용해 당시 단일 회사로써는 사상 최대의 벌금을 내게 되었다. 그러나 최근 트럼프 대통령이 인터넷 개인정보 보호 규정을 폐지하는 법안에 서명을 하는 등 공화당 집권 이후로는 더욱 산업 진흥에 맞춘 정책을 펼칠 것으로 예상되고 있다.
\r\n
\r\n2017년 온라인 개인정보보호 정책 방안
\r\n이렇듯 각국에서 개인정보의 보호와 활용을 위한 정책을 마련함에 따라 국내에서도 이에 대한 대비가 필요하다는 목소리가 높아지고 있다. 특히, 우리나라의 경우, 개인정보 보호 법제가 강력한 나라로 손꼽히는 만큼 지능정보사회에서의 글로벌 산업 경쟁력을 확보하기 위해 관련 규제를 개선해야 한다는 요구가 높다.
\r\n
\r\n하지만 지속적인 대규모 개인정보 유출사고로 인해 개인정보에 대한 사회적 신뢰는 낮아지고, 이에 따른 국민들의 불만 역시 높은 상황이다. 실제로 2016년 개인정보보호 실태조사 결과, 국민의 84.8%는 개인정보 유출사고에 대한 처벌이 부족하다고 느끼는 것으로 나타났다. 이에 방송통신위원회는 개인정보 보호와 활용의 조화를 유도하기 위해 2017년 온라인 개인정보보호 정책을 다음과 같이 추진하고자 한다.
\r\n
\r\n(1) 글로벌 스탠다드 수준에 부합하는 합리적 법제 개선
\r\n방송통신위원회는 지난 3월 개인정보보호 관련 법체계간 정합성을 제고하고, 글로벌 법제 수준에 맞춘 정보통신망법 개정안을 국회에 제출했다. 정보통신망법은 개인정보 수집·이용·제공 시 사전 동의를 받는 것을 원칙으로 하며, 이에 대한 예외 규정을 매우 제한적으로 두고 있다. 또한 개인정보 수집·이용 목적이 변경될 때에도 추가 적으로 동의를 받아야 해 업계에서는 산업 경쟁력을 저해하는 요인으로 손꼽혔다.
\r\n
\r\n이에 따라 ‘계약 체결 및 이행을 위해 불가피한 경우’ 등을 사전 동의 예외규정으로 추가하고, ‘종전의 정보통신 서비스와 밀접한 관련성이 있다고 합리적으로 인정되는 범위에서 기능이 추가되는 서비스 개선’은 목적 변경으로 보지 않아 추가적인 동의를 받지 않도록 하는 등 사전 동의 규정을 보완했다.
\r\n
\r\n그리고 개인정보 국외 이전 시, ‘법률 등에 특별한 규정이 있는 경우’, ‘국외이전 받는 자가 방송통신위원회가 지정하는 인증을 받은 경우’를 사전 동의 예외 사유로 추가하여 사업자의 과도한 부담을 줄이고자 했다. 동시에 정보통신망법을 위반하여 이용자의 권리가 심각하게 침해될 우려가 있을 경우 방송통신위원회가 국외이전·재이전 중단 명령을 할 수 있도록 하고, 국외로 이전된 개인정보를 재이전하는 경우도 국외이전과 동일하게 원칙적으로 동의를 받도록 하여 국외이전 개인정보에 대한 보호 장치를 한층 강화했다.
\r\n
\r\n더불어 이용자의 ‘개인정보 처리정지 요구권’을 신설해 동의 없이 개인정보를 수집·이용·제공하는 경우에도 이용자가 사후에 처리정리를 요구할 수 있도록 함으로써 이용자의 개인정보 자기결정권을 확대 보장했다.
\r\n
\r\n(2) 신규 ICT 환경에 대비한 선제적 제도 정비
\r\n방송통신위원회는 온라인 맞춤형 광고로 인한 국민들의 개인정보 침해 우려를 최소화하고, 건전한 온라인 맞춤형 광고 생태계를 조성하기 위해 지난 2월 ‘온라인 맞춤형 광고 개인정보보호 가이드라인’을 발표했다. 동 가이드라인은 자사 서비스를 통해 직접 행태정보를 수집, 광고를 전송하는 당사자 광고뿐만 아니라, 타사 서비스를 통해 타사 이용자의 행태정보를 수집, 광고를 전송하는 제3자 광고에도 적용된다. 이를 통해 이용자가 행태정보 제공 및 맞춤형 광고 수신 여부 등을 직접 선택할 수 있도록 함으로써 이용자의 개인정보 통제권을 강화했다.
\r\n
\r\n또한, 3월 23일부터 스마트폰 앱 접근권한에 대한 동의 규정(망법 제22조의2)이 본격 시행됨에 따라 사업자들의 실무적 혼란을 방지하고 법령에 대한 이해를 돕기 위해 ‘스마트폰 앱 접근권한 개인정보보호 안내서’를 발표했다. 동 안내서는 앱 서비스 제공자 등 사업자 유형별 준수사항 및 이용자의 앱 접근권한 통제 방법을 상세하게 안내함으로써 앱 서비스 제공자의 과도한 접근권한 설정을 방지하고 이용자의 개인정보 자기결정권을 강화하고자 했다.
\r\n
\r\n한편, 최근 핀테크 등 다양한 분야에서 생체정보의 활용이 증가함에 따라 관련 법제를 개선해야한다는 목소리가 높아지고 있다. 현행 정보통신망법은 생체정보의 개념과 암호화 의무만을 규정하고 있어, 전문가들과 함께 생체정보의 세부 개념을 명확화 하고 보호 범위를 확대 하는 방안을 검토 중이다. 이를 통해 생체정보를 안전하게 보호하기 위한 법제도를 연내 정비할 예정이다.
\r\n
\r\n(3) 개인정보 보호 체계 강화
\r\n개인정보 활용이 증가함에 따라 개인정보 유출에 대한 우려 역시 확산되고 있다. 이에 따라 방송통신위원회는 기존 ‘개인정보보호조사팀’을 ‘개인정보침해조사과’로 승격시키고 인력을 확충하는 등 조사체계를 강화했다. 개인정보침해조사과는 쇼핑몰, 통신사 영업점 등 개인정보 유출 취약 분야를 집중 점검하는 한편, 스마트폰 앱 접근권한 관련 모니터링 환경을 구축하는 등 개인정보의 철저한 사후관리를 위해 만전을 기할 예정이다.
\r\n
\r\n그리고 개인정보 수집 최소화 정책에 따라 불필요한 본인확인행위를 개선하도록 안내하는 한편, 본인 확인시 국민의 편의성 및 선택의 다양성을 제공하기 위해 주민등록번호 대체수단을 신용카드 등으로 확대하는 방안 역시 추진 중이다.
\r\n
\r\n(4) 위치정보산업 활성화
\r\n위치정보법은 2005년에 제정된 이후, 시장환경 변화 및 글로벌 트렌드를 반영하지 못한다는 지적이 많았다. 이에 따라 방송통신위원회는 정보통신망법과의 정합성을 제고하고, 신규 ICT 환경 변화를 수용할 수 있는 내용의 개정안을 마련했다.
\r\n
\r\n우선 사물위치정보사업 허가제를 신고제로 완화하는 한편, 소규모 위치기반 서비스 사업의 신고절차를 간소화해 진입규제를 합리화했다. 또한, 사물위치정보의 수집·이용·제공 시 소유자의 사전 동의 없이 처리할 수 있도록 허용하는 한편, 정보통신망법과 마찬가지로 개인위치정보 수집·이용·제공 시 사전 동의 예외 규정을 추가했다.
\r\n
\r\n또한, 기존에 법적 규정이 없었던 위치정보 처리위탁 규정 및 국외이전 법적 근거를 마련해 위치정보 보호 조치를 강화했다.
\r\n
\r\n(5) 국제협력 강화
\r\nICT 기술발전에 따른 글로벌 서비스의 확산으로 개인정보 국외 이전이 활발해짐에 따라 개인정보 국외이전 및 피해 구제 등 국제협력 필요성이 높아지고 있다. 이에 방송통신위원회는 지난 2016년 12월 APEC CBPR 가입신청서를 제출하고, APEC CBPR 도입을 위한 준비를 진행하고 있다.
\r\n
\r\n먼저 지난 3월 국회에 제출한 정보통신망법 개정안 내 CBPR 인증 기업의 경우 국외이전에 대한 사전 동의 면제 근거를 마련하는 한편, 한국의 상황에 적합한 CBPR 도입 방안을 분석하고 그에 따른 세부 심사기준 마련을 추진 중이다.
\r\n
\r\nCBPR의 성공적 도입·정착을 위하여 연내 국내 인증기관을 지정하여 APEC에 승인 신청을 요청했으며, 승인을 받은 상태다. 이에 따라 해외기업 국내 지사 및 해외 진출을 희망하는 국내 기업 등을 대상으로 CBPR 홍보 및 교육을 진행할 예정이다. 이를 통해 국외이전 개인정보의 투명성을 확대하고 개인정보 법집행 공조를 강화하는 한편, 국내 기업의 개인정보보호 수준에 대한 신뢰도를 향상하여 해외 진출에 긍정적인 영향을 줄 수 있을 것으로 기대하고 있다.
\r\n
\r\n이와 별개로, 방송통신위원회는 ‘EU 적정성 평가’ 승인을 추진 중이다. 현재 정보통신망법 중심의 적정성 자체평가보고서를 작성 중이며, 추후 유럽평의회(CoE) 108호(개인정보보호협약) 총회 참석 및 한-EU 고위급 라운드테이블 공동개최를 통해 적정성 평가 협상 등을 추진할 예정이다.
\r\n
\r\n맺음말
\r\n개인정보의 가치가 ‘인권’에서 ‘자원’으로 확대되면서, 개인정보의 보호와 활용을 양립할 수 없는 ‘동전의 양면’으로 보는 시각이 많다. 그러나 개인정보 보호와 활용은 ‘불가분의 관계’라고 보는 것이 바람직하다. 안전한 개인정보 보호 기반 없이 개인정보 활용이 이루어진다면, 지금 제4차 산업혁명에 대한 장밋빛 전망은 잿빛으로 바뀌어 우리 생활에 더 큰 그늘을 드리울 수 있다.
\r\n
\r\n개인정보 보호와 활용의 조화를 이루기 위해서는 정부와 사업자가 ‘정책 입안자’와 ‘개인정보처리자’로서의 역할과 책무를 다하는 것이 중요하다. 개인정보 보호와 활용을 위한 민·관의 적극적 협력 체계를 기반으로 정부가 실효성 있는 정책을 만들고 사업자는 이를 적극적으로 실천한다면 지능정보사회의 장밋빛 미래도 멀지 않을 것이다.
\r\n[글_ 최윤정 방송통신위원회 개인정보보호윤리과 과장]