티스토리 뷰
개인정보보호는 컴플라이언스의 단골 메뉴로 등장하는 주제입니다. 그런데, 개인정보를 정상적으로 활용하고자 하는 입장에서는 개인정보보호만큼 어렵고 까다로운 규제가 없는 반면에, 잊을 만하면 들려오는 대규모 개인정보 유출 사례 앞에만 서면, 지키는 사람 따로 어기는 사람 따로인 것 같은 법감정이 느껴지는 것도 사실입니다. 보통 개인정보보호에 관해서는 개인정보의 범위, 적법한 정보 수집 및 정보 제공을 위한 조건 등이 소개가 되어 왔는데요. 최근에는 EU의 GDPR, 빅데이터 등과 관련해서 개인정보보호라는 용어가 자주 노출이 되고 있습니다. 오늘은 최근 개인정보 유출이 문제 되었던 사례와 기업이 주목해야 할 EU GDPR의 주요 내용, 그리고 최근 변화의 조짐을 보이고 있는 우리 개인정보보호법의 새로운 쟁점들을 포스팅해보겠습니다.
2010년경 페이스북 CEO 주커버그는 SNS를 통한 연결과 소통을 강조하는 의미에서 ‘더 이상 개인들에게 프라이버시는 없다’고 선언하면서 이른바 소셜 그래프(Social Graph) 개념을 들고 나옵니다. 소셜 그래프는 이용자가 페이스북에서 활동하면서 생긴 다양한 정보를 가리키는 것이었습니다. 2014년 영국의 컨설팅 기업 케임브리지 애널리티카(CA)는 디스 이즈 유어 디지털 라이프(thisisyourdigitallife)라는 심리테스트 서비스 앱을 통해서 8700만 명의 페이스북 이용자로부터 바로 이 ‘소셜 그래프’에 관한 정보를 수집하였습니다. CA는 이들 중 일부 페이스북 사용자에게만 수집 동의를 받았을 뿐이며 제삼자 제공에 관한 동의는 아예 없었습니다. 2016년 CA가 이들 8700만 명의 정보를 도널드 트럼트 대선 캠프에 넘겨주는 일이 일어났습니다. 2018년 4월 CA의 CEO는 사임했고 5월 CA는 파산하였으며, 페이스북은 최악의 한 해를 보내고 있습니다.
개인정보의 잘못된 취급이 페이스북과 주커버그를 역사적인 위기에 봉착하게 만들었습니다만, 페이스북은 최근 새롭게 시행되는 EU의 GDPR과 미국 내 연방 사생활 보호법 개정 같은 움직임들로부터도 자유롭지 못한 상황처럼 보입니다. GDPR은 28개 EU 회원국 모두에게 똑같이 적용되는 일반 개인정보보호법을 뜻합니다. 사실 EU 차원에서 GDPR이 제정된 것은 미국과의 4차 산업혁명 주도권 다툼의 산물이라는 측면이 강한데요, 어쨌거나, EU는 2016년 4월경 GDPR을 법 취지에 맞게 실질적으로 개정하였고 개정된 GDPR은 2018년 올해 5월 25일부터 시행되기 시작했습니다.
우리 기업들이 주목해야 할 개정 GDPR의 주요 내용은 다음과 같습니다.
첫째, 개정 GDPR은 적용 대상을 EU 내에 사업장이 없더라도 물품 또는 서비스 공급을 위해 EU 내에 거주하는 사람의 개인정보를 처리하는 사업자에게도 법이 적용된다는 점을 명문화하고 있습니다. 우리 법은 이런 규정이 없습니다.
둘째, 개정 GDPR은 기업 내 DPO(Data Protection Officer), 즉 GDPR에 대한 전문지식 및 업무 수행 능력을 갖춘 개인정보보호책임자 지정을 의무화하고 있습니다. 우리 법상으로도 CPO(Chief Privacy Officer), 즉 개인정보관리책임자를 두도록 하고는 있지만, 자격을 임원으로만 규정하고 있을 뿐 전문 지식 및 업무 수행 능력까지 요구하지는 않고 있습니다.
셋째, 개정 GDPR은 250인 이상 기업들이 a. 정보 처리자, 대리인, 담당자 등의 이름, 연락처, b. 개인정보 처리 목적 및 항목, c. 개인정보를 제공받는 자의 범주 및 국가, d. 적절한 안전조치에 대한 문서 등 개인정보 처리 활동 전반을 기록, 유지하도록 의무화하고 있습니다. 우리 법은 이런 규정이 없습니다.
넷째, 개정 GDPR은 일정한 요건에 해당하는 경우 민간기업도 개인정보 영향평가를 의무적으로 받도록 명문화하고 있습니다. 여기서 말하는 개인정보 영향평가란, 조금 어려운 개념인데요, 개인정보를 활용하는 정보시스템의 신규 도입 또는 기존 시스템의 변경에 앞서 사전에 고객 또는 국민의 프라이버시에 미칠 영향을 조사, 분석, 평가하는 절차를 뜻합니다. 우리 법은 이런 규정이 없습니다.
다섯째, 개정 GDPR은 EU 내에 설립되지 않은 정보 처리자가 물품, 서비스 공급을 위해 EU 내에 거주하는 사람의 개인정보를 처리하는 경우 역내 대리인을 두도록 의무화하고 있습니다. 우리의 경우, 2018. 8. 24. 국회 과학기술정보방통통신위원회를 통과한 정보통신망법 개정안은 일정 규모 이상의 해외 사업자가 국내 대리인을 지정하도록 해서 개정 GDPR의 역내 대리인 제도를 도입하고자 하고 있습니다. 이것은 지금껏 구글이 한국 내 정보 취급자가 없다는 이유로 정보 제공을 거부해 왔던 점을 개선하기 위한 조치이기도 합니다.
현재 정부와 시민사회, 산업계는 GDPR에 포함된 이른바 가명정보의 개념을 도입하기 위한 논의를 지속해 오고 있는 중입니다. GDPR에 따르면, 가명정보는 개인정보를 ‘추가 정보와 결합하지 않고는 더 이상 합리적인 방법으로는 특정 개인을 알아볼 수 없도록 가공처리’ 한 것을 말합니다. 특히, 가명 정보에 대한 연구, 통계 목적 활용에 기업의 영리 목적 활동이 포함된다고 볼 것이냐가 첨예한 쟁점인데요. 정작 GDPR에는 이 부분에 대한 명시적인 규정이 없다 보니, 우리나라에서는 가명 정보 개념의 도입에는 이견이 없는 상황이면서도 그 활용 목적에 기업의 영리 목적 활동도 포함을 시킬 것인지에 관해서 논란이 지속되고 있습니다. 여러분은 어떻게 생각하시나요. 참고로 정부 입장은 모든 산업 영역에서의 데이터를 활용한 신기술 발전과 산업의 활성화를 도모해야 한다는 것입니다
마윈이 구축한 허마셴성에 대해서 잘 알고 계시죠? 허마셴성의 핵심은 빅데이터로 취합된 소비자들의 성향을 파악해 예상되는 주문 상품을 미리 배치하는 것입니다. 문제는 빅데이터의 수집과 취급의 활용은 필연적으로 개인정보보호의 문제와 연결된다는 점입니다. 허마셴성은 중국이 개인정보의 활용을 폭넓게 보장하면서 사후 규제 방식을 두고 있는 덕분에 가능할 수 있었던 측면도 있는데요, 다만, 최근 중국은 극심한 부작용을 경험한 끝에 개인정보에 대한 규제의 고삐를 바짝 조이고 있기도 합니다. 우리에게는 무엇이 개인정보보호를 위한 컴플라이언스가 되어야 할까요. GDPR이 우리 기업의 외면할 수 없는 현실이 된 지금, 모쪼록 대기업과 중소기업 모두를 위한 개인정보보호의 보다 개선된 규범이 마련되었으면 하는 바람을 가져 봅니다. 읽어주셔서 감사합니다.