[매경] 개인정보보호, 새 패러다임이 필요하다

2015-06-26

개인정보보호, 새 패러다임이 필요하다


사물인터넷(IoT)과 빅데이터(Big Data)에 대한 관심이 그 어느 때보다 크다. '빅데이터'라는 거대한 산에서 '유용한 정보'라는 광석을 캐내는 것은 매우 매력적인 일이다. 


하지만 그 산에는 무수히 많은 '개인정보'가 포함되어 있다. 현행법은 '개인정보'를 '살아 있는 개인을 알아볼 수 있는 정보'라고 정의하고 있다. 그런데 문제는 이것만이 개인정보가 되는 것이 아니라 '해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것'도 개인정보에 포함시키고 있다. 


다시 말해서 당장은 개인정보가 아니지만 결합·식별 가능성만 있으면 개인정보에 해당한다는 것이다. 그래서 대안으로 제시되고 있는 방안이 이른바 '비식별화 조치'이다. 개인을 식별할 수 없도록 데이터를 가공하라는 것이다. 하지만 완벽한 비식별화는 불가능하다. 머리카락 하나로도 범인을 잡는 세상에 아무리 비식별화된 정보라도 그것 역시 다른 정보와 결합하고 몇 가지 매칭기술을 더하면 얼마든지 재식별화가 가능하다. 


결론적으로 현행법하에서는 사물인터넷과 빅데이터를 응용한 새로운 서비스의 개발이 불가능할 수도 있다. '개인정보보호'의 가치에는 프라이버시 보호라는 '인격적 가치'와 재산의 안전한 보호와 활용이라는 '재산적 가치'를 모두 포함하고 있다. 


그런데 우리 현행법은 과거 정보통신기술이 첨단화되기 이전에 개인정보보호의 가치를 인격적 가치로만 이해하던 시대의 법이론을 그대로 답습하고 있다. 이른바 '동의만능주의'에 함몰되어 있다. 정보 주체에게 '동의'의 기회를 형식적으로 주기만 하면 개인정보자기결정권을 보장하고 국가의 책무를 다한 것으로 믿어버리는 '동의'의 만능주의에 빠져 있다는 것이다. 


조그만 글씨로 빽빽하게 쓰인 동의서를 모두 읽고 동의 여부를 체크하는 사람은 거의 없다. 그저 형식적으로 동의 여부에 체크를 할 뿐이다. 그것만으로 진정 정보 주체의 개인정보가 보호될 수 있는 것인가? 결코 그렇지 않다. 


오히려 개인정보처리자(기업)에게 면죄부를 줄 뿐이다. 그럼에도 불구하고 이러한 '동의'의 장벽에 가로막혀 사물인터넷과 빅데이터를 응용한 신규 서비스의 상용화가 제약을 받는다면 커다란 문제가 아닐 수 없다. 정보 주체가 동의를 해야만 개인정보를 처리할 수 있는 이른바 옵트인(opt in) 동의 방식을 제한적으로나마 옵트아웃(opt out) 동의 방식으로 전환할 필요가 있다. 


옵트아웃 동의 방식이란 일단 정보 주체의 동의 없이 개인정보를 처리할 수는 있으나 정보 주체가 거부 의사를 밝히면 즉각 개인정보의 처리를 중단해야 하는 것을 말한다. 이러한 동의 방식을 모든 분야에 일괄적으로 허용할 수는 없으나, 정보 주체에게 서비스를 제공하기 위하여 또는 정보 주체와 계약의 체결 및 이행을 위하여 개인정보를 수집·제공하는 경우, 그리고 개인정보영향평가를 통하여 인증을 받은 개인정보처리자(기업)가 개인정보를 수집·이용하는 경우만이라도 부분적으로 옵트아웃 방식을 허용할 필요가 있다. 


또 '개인정보'의 개념에 대해서도 전면적 재검토가 필요하다. '결합용이성'을 보다 구체화하여 '결합을 통한 식별에 상당한 시간과 노력이 필요한 정보'는 개인정보에서 제외하는 것도 방법일 수 있다. '사전 동의'라는 형식적 제도에 얽매이지 말고 정보 주체의 자기정보에 대한 사후통제를 강화하고 개인정보의 부정사용 및 유출을 엄히 처벌함으로써 개인정보가 보다 실질적으로 보호될 수 있도록 개인정보 보호정책의 패러다임을 바꿀 때가 되었다. '기술'이 아닌 '제도' 때문에 우리나라가 사물인터넷 및 빅데이터 응용산업 분야에서 다른 나라와 주도권 경쟁에서 뒤처진다는 것은 매우 불행한 일이다. 우리나라가 사물인터넷과 빅데이터 응용산업을 주도적으로 견인할 수 있도록 정부는 제도적 보완에 선제적 노력을 다해 줄 것을 당부한다.


매일경제 2015. 6. 26 매경의 창

http://news.mk.co.kr/news_forward.php?domain=news&no=608182&year=2015