방통위의 2018년 하반기 개인정보 정책 추진 방향
4차 산업혁명의 원유 ‘개인정보’의 보호와 활용의 중도 찾기

[보안뉴스=최윤정 방송통신위원회 개인정보보호윤리과 과장] ‘○○○, 내일 날씨는 어때?’, ‘뉴욕을 배경으로 한 영화 틀어줘.’ 최근 TV 광고에서 흔히 볼 수 있는 장면이다. 영화 속에만 있었던 인공지능 비서는 이제 스마트 기기를 가진 사람이라면 누구나 하나는 옆에 두고 있는 것이 현실이다. 인공지능 비서의 특징은 빅데이터 분석을 통한 ‘초지능(Super Intelligence)’이라고 할 수 있다. 내가 필요로 하는 것, 내가 궁금한 것, 관심이 있을만한 것을 분석하고 알아서 추천해준다.


초지능을 특징으로 하는 인공지능 비서를 포함한 4차 산업혁명의 주요 특징이라고 볼 수 있다. 나의 성별과 연령 등 기본적인 정보를 포함하여 시간대별 동선, 구매 패턴, 건강정보 등 모든 것을 종합적으로 수집·분석하여 나조차 알지 못했던 나의 요구와 필요를 파악하고 제안한다.

1차 산업혁명 농업혁명에 따른 문명시대의 도래, 2차 산업혁명 대량생산 시스템을 통한 산업사회로의 변화, 3차 산업혁명 탈대량화, 다양화를 통한 정보화 사회로의 변화에 이어 우리의 코앞에 당도한 이 새로운 물결은 초연결·초지능·초융합을 특징으로 하는 사회 변화라고 말할 수 있다. 이 4차 산업혁명의 중심에 21세기에 발견된 원유라 불리는 개인정보가 자리하고 있다.

개인정보 관련 해외 주요국의 주요 정책 동향
자율주행차, 인공지능, 빅데이터 등 4차 산업혁명의 핵심 산업을 선도하기 위해서는 개인정보 관련 규제를 풀어야 한다는 목소리가 높다. 그러나 글로벌 SNS부터 O2O 앱까지 우리가 일상에서 쉽게 사용하는 서비스에서 개인정보 유출이 빈발함에 따라 개인정보 보호의 필요성 역시 강하게 요구되고 있는 상황이다. 이런 흐름을 반영하듯 전 세계적으로 개인정보 보호와 활용 정책의 조화를 이루기 위한 노력이 이루어지고 있다.

미국은 기업의 경제활동을 중시하여 개인정보를 보호하기 위한 최소한의 원칙을 제시하고, 원칙을 위반할 경우 강력한 제재를 시행하는 대표적인 나라이다. 그러나 최근 자국의 대표적인 SNS인 페이스북에서 전 세계 약 8,700만 명의 고객 개인정보가 유출되어 부적절하게 이용되는 사건이 발생함에 따라 이용자의 권리 강화에 대한 필요성이 제기되고 있는 상황이다.

지난 4월 23일 민주당 에이미 클로부처 상원의원과 공화당 존 케네디 상원의원은 ‘소셜 미디어 개인정보보호 및 소비자 권리법(The Social Media Privacy Protection and Consumer Rights Act)’을 제안했다. 이 법안은 정보주체의 개인정보 열람권, 통제권을 강화하고, 개인정보 침해 시 72시간 내에 해당 사실을 통지하는 등 정보주체의 권리를 강화하는 내용으로 구성되어 있다.

유럽은 5월 25일 GDPR 시행으로 유럽 기업뿐만 아니라 유럽 시민의 개인정보를 다루는 해외 기업까지도 유럽과 동일한 개인정보보호 기준을 적용하도록 함으로써 정보주체의 개인정보를 더욱 강력하게 보호하고 있다. 그러나 한편으로는 GDPR을 통해 유럽 디지털 단일 시장(Digital Single Market)에서의 개인정보 처리 원칙을 표준화하고 자유롭게 이동할 수 있게 함으로써 경제적인 활용을 가능하게 했다는 측면 역시 생각해볼 수 있다.

또한, GDPR 내 식별성 제거 수준에 따라 ‘익명정보’와 ‘가명정보’를 구분하고 이에 따른 개인정보 보호 원칙 및 활용범위 등을 명확히 규정하는 한편, 정보이동권, 프로파일링에 대한 의사 결정 등 빅데이터 환경에서의 정보주체의 권리를 명시함으로써 개인정보 보호와 경제적 이익의 균형점을 찾고자 하였다.

일본은 정부 차원에서 ‘세계 최첨단 IT국가 창조 선언’을 마련해 범부처 차원에서 4차 산업혁명에 공동으로 대응하고 있는 것이 특징이다. 지난 2017년부터 시행된 개정 개인정보보호법을 통해 익명가공정보의 개념 및 취급에 대한 사항을 법제화하고, 2016년 12월에 마련된 ‘관민 데이터 활용 추진 기본법’에도 개인의 권리 이익을 보호하고, 정보의 원활한 유통의 확보를 도모하는 방향으로 데이터 활용이 추진되어야 한다는 점을 명시했다.

그리고 ‘관민 데이터 활용 추진 기본법’ 제4조에는 데이터 활용 추진 기본계획안 작성 시 개인정보보호위원회의 의견을 수렴하도록 했으며, 제12조에 정보주체의 관여 하에 개인에 대한 데이터를 적정하게 활용할 수 있도록 조치를 강구하도록 하는 등 관련 법제를 통해 개인정보 보호와 활용의 조화를 이루려는 노력을 지속하고 있다.

2018년 온라인 개인정보보호 정책 방안
글로벌 국가들은 개인정보의 보호 강화를 요구하는 목소리와 4차 산업혁명의 핵심 자원인 개인정보를 활용하고자 하는 목소리, 이렇듯 두 개의 관점을 동시에 마주하고 있다. 그 어느 때보다 두 가지 요구의 조화가 강조되는 시기에 방송통신위원회 역시 개인정보 보호와 제4차 산업혁명 지원 정책의 조화를 2018년 정책 추진 목표로 삼고 있다. 이에 따라 개인정보의 실질적인 보호 강화와 안전한 활용 지원을 목표로 하여 연내 정책을 추진할 예정이며, 그 주요 내용은 다음과 같다.

(1)개인정보의 실질적 보호 강화
방송통신위원회는 우선 정보통신망법 개정을 통해 제4차 산업혁명 환경에서 이용자의 권리를 실질적으로 보장하고자 한다. 우선 개인정보 처리 정지권을 신설하고, 개인정보 열람·제공 요구, 이용내역 통지, 동의 철회 등에 대한 제도 개선 방안을 마련해 이용자가 서비스 이용 과정에서 정보주체로써의 권리를 쉽게 실현할 수 있도록 하고자 한다. 또한 개인정보 유출사고 발생 시 이용자 피해를 효율적으로 구제하기 위해 ‘집단소송제도’, ‘손해배상 보험·공제 가입 의무화’ 등의 도입을 추진하고 있다.

더불어 사업자의 책임을 강화하기 위해 과징금 부과기준을 상향하는 한편, ‘서비스 임시중지 명령제’를 도입하여 시정명령 불이행 및 검사 회피 등의 이유로 법 집행이 어려운 웹·앱에 적용하는 등 법규 집행력을 강화하고자 한다. 특히 우리 국민의 해외 서비스 이용이 증가함에 따라 해외 사업자가 국내 대리인을 지정하여 개인정보 보관·제출 의무 등을 이행할 수 있도록 ‘국내 대리인 지정 제도’ 도입 역시 추진하고 있다.

최근 가상화폐 거래소, 숙박·배달·영상 앱 등 신규 서비스가 확산됨에 따라, 해당 서비스에서의 개인정보 침해 사례 역시 증가하고 있다. 이에 따라 방송통신위원회는 온라인 맞춤형 광고 사업자, O2O 및 신생 인기 앱 등 신 유형 서비스에 대한 실태점검을 강화할 예정이다. 더불어 국내에서 영향력이 있는 글로벌 사업자의 서비스, 국외 클라우드 이용 사업자의 개인정보 보호조치 준수 여부를 함께 점검해 우리 국민의 개인정보가 해외에서 침해되는 것을 예방하기 위한 노력도 지속할 예정이다.

개인정보의 실질적인 보호를 강화하기 위해서는 불필요한 중복 법규를 개선하고, 기업의 수준, 업종별 특성에 따라 개인정보 보호 조치를 이행할 수 있도록 하는 것이 중요하다. 이에 따라 방송통신위원회, 행정안전부, 과학기술정보통신부 등 관계부처 협의를 통해 개인정보보호 관리체계(PIMS) 인증과 정보보호관리체계(ISMS) 인증을 통합해 시행할 예정이다. 그리고 이와 별개로 방송통신·온라인 분야 사업자를 대상으로 개인정보보호 자율규제를 시행해 업종별 개인정보 처리 특성에 따라 자율규약을 마련하고, 기업 규모와 위·수탁 관계 등을 고려하여 맞춤형 개인정보 보호 조치를 이행함으로써 개인정보 사각지대를 최소화하고자 한다.

(2)개인정보의 안전한 활용 지원
제4차 산업혁명 환경에서 가장 이슈가 되고 있는 것은 개인정보 비식별조치라고 할 수 있다. 지난 2016년에 방송통신위원회, 행정안전부, 금융위원회 등 유관부처 합동으로 ‘개인정보 비식별 조치 가이드라인’을 마련한 바 있으나, 해당 가이드라인의 실효성 및 비식별 조치에 대한 사회적 합의가 필요하다는 목소리가 높았다.

이에 따라 비식별 조치에 대한 명시적인 근거를 마련하기 위해 규제 혁신 해커톤 등을 통해 사회적 합의 도출을 위해 노력했으며, 이를 반영한 비식별 조치 관련 법제화를 연내 추진할 예정이다. 더불어 중소 사업자 대상 사업자 교육 및 컨설팅을 추진하여 중소사업자들이 안전하게 비식별 조치를 시행하고, 빅데이터를 활용할 수 있도록 지원할 예정이다.

이와 별개로, ‘계약 이행을 위해 불가피한 경우’ 등 사전 동의 예외 사유를 확대하여 사전동의 규제를 합리화하는 한편, 모바일 앱·SNS·문자 등도 동의 획득 방법으로 활용할 수 있도록 법규를 현실적으로 개선하고, 이용자와 사업자의 편익을 향상시키고자 한다.

또한, 글로벌 트렌드 및 ICT 환경 변화를 고려하여 사물위치정보 사업의 진입규제를 허가제에서 신고제로 완화하고, 사물위치정보와 비식별위치정보는 위치정보 규제에서 제외하는 등 규제 개선 방안을 마련하여 위치정보를 활용한 신산업이 활성화 될 수 있는 기반을 마련하고자 한다. 그리고 위치정보를 활용한 신규 사업 모델 발굴 및 우수모델 사업화 지원, 컨설팅 등을 통해 위치정보를 활용한 스타트업 기업을 대상으로 체계적인 지원을 실시할 예정이다.

(3)국제협력 강화
글로벌 서비스가 증가하고 국제 교류가 활발해짐에 따라 국외에서 처리되는 우리 국민들의 개인정보 역시 증가하고 있다. 이에 따라 미국, 중국 등 현지 인터넷 유관기관과의 협력을 강화해 해외 기업의 개인정보 침해 등에 대한 공동 대응을 강화할 예정이다.

또한 5월부터 EU 전역에서 시행되는 GDPR에 대비, 정부는 기업이 GDPR에 대비할 수 있도록 안내했으며, 관련 내용을 담은 가이드북을 발간하고 기업 세미나를 개최할 예정이다. 한국인터넷진흥원을 통해 전담 지원창구를 운영하고 있으며, 이와 더불어 벨기에 브뤼셀 현지에 협력센터를 운영할 예정이다. 중소·벤처기업을 위한 맞춤형 컨설팅 지원 등 글로벌 기준에 맞춘 국내 기업의 개인정보보호 역량강화를 위한 노력도 이어갈 계획이다.

더불어, 정부는 2015년부터 한-EU 간 전자상거래 활성화와 우리 기업의 EU 시장 진출에 도움을 주기 위해 ‘적정성 평가’를 추진하고 있다. 적정성 평가는 EU가 제3국의 개인정보보호가 유럽 수준과 동등한지 검토해, 이에 부합하는 경우 개인정보 역외이전의 절차를 간소화해주는 것이다.

현재 방통위는 EU와 정보통신망법 기반의 적정성 평가 협의를 진행 중이며, 지속적 논의와 접촉을 통해 우리나라의 개인정보보호 우수성에 대한 EU 집행위 측과 폭넓은 이해가 이루어졌다. 6월 1일에는 PIS FAIR 2018에 베라 요로바 EU 집행위원을 초청하여 고위급 면담을 통해 적정성 평가 협의를 가속화하고자 한다.

아울러, 방통위는 해외로 이전된 우리 국민들의 개인정보를 보호하고, 우리 기업의 글로벌 경쟁력 강화를 지원하고자 지난해 APEC으로부터 회원국 간 개인정보보호 인증체계(APEC CBPR) 가입 승인을 받았다. 이에 따라 APEC CBPR의 안정적인 운영을 위한 국내 운영체계를 구축하기 위해 한국인터넷진흥원을 CBPR 인증기관으로 신청하여 승인을 기다리고 있다.

이를 통해 우리 기업이 글로벌 인증을 취득함으로써 국제 경쟁력을 강화하고, 해외로 이전되는 우리 국민의 개인정보가 효과적으로 보호될 수 있을 것으로 기대된다. 국가 간 교역의 경계가 사라짐에 따라 우리 국민의 개인정보를 보호하고, 우리 기업의 경쟁력을 확보하는 것이 주요 이슈로 부상한 만큼 개인정보보호 국제협력을 강화하기 위해 더욱 박차를 가하고 있다.

영화 마이너리티 리포트에서 우리의 눈을 사로잡았던 맞춤형 광고, 생체인증은 이미 우리 일상에서 쉽게 접할 수 있는 기술이 되었다. 그 기술이 현실이 되기까지는 기술력도 중요하지만, 그 기술을 육성하고 현실에서 바르게 적용될 수 있게 하는 정책 역시 중요하다. 4차 산업혁명으로 우리의 환경·생활·기술이 변화하고, 개인정보가 핵심 자원이 되는 지금이 개인정보 정책의 ‘변곡점’이라고 할 수 있을 것이다. 이 변곡점이 새로운 변화와 성장, 그리고 행복한 미래를 위한 ‘기점’이 될 수 있도록 방송통신위원회는 개인정보 보호와 활용의 조화를 이루기 위한 정책적 노력을 지속할 것이다.
[글_ 최윤정 방송통신위원회 개인정보보호윤리과 과장(gracechoi@kcc.go.kr)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>