빅데이터 시대의 개인정보 보호법

빅데이터의 활용하여 새로운 경제성장을 가져올 것이라는 기대와 달리, 개인정보의 유출 및 오·남용으로 인한 프라이버시(Privacy)의 침해라는 문제를 낳고 있습니다. 2011년 제정된 ‘개인정보 보호법’을 중심으로 개인정보에 대해서 검토하고자 합니다.

 

개인정보보호의 필요성

클라우드(Cloud)기반의 모바일서비스나 스마트서비스는 개인에게 사용할 수 있는 일정량의 디스크 공간을 제공하고 있습니다. 국가정보원에서는 ‘클라우드서비스 이용 금지령’을 내렸는데, 다양한 정보들이 침해사고로 유출될 경우 국가적 위기를 초래할 수 있다는 우려때문입니다.

 

지난 2010년 2~3월에 중국 해커로부터 불법 유출된 개인정보의 누적건수가 6,500만건이며, 2011년에는 네이트사이트 3,500만건, 넥슨사(메이플 스토리) 사이트 약 1,300만건에 회원정보가 불법유출된 사고가 발생한 바 있습니다. 하지만 정보주체의 침해사고에 대해 인지가 낮은 실정이며, 이에 대한 보호규정 및 보호대책은 매우 부족한 실정입니다.

 

 

유럽의 ‘합법적 근거 없이 획득된 정보’ 삭제 요청

유럽이 인터넷 이용자의 개인정보보호를 위한 데이터 보호법을 개정하여, 이용자가 ‘합법적 근거 없이 획득된 정보’를 삭제해 달라고 요청할 경우 서비스업체가 해당 개인정보를 완전히 삭제하는 규정을 마련하였지만, 아직 정보주체의 자기정보결정권과 잊혀질 권리(Do not track)를 보장하기에는 한계가 있습니다.

 

 

‘개인정보 보호법’ 제정 (2011년 3월)

우리나라도 국민의 개인정보를 보호하기 위하여 ‘공공기관의 개인정보보호에 관한 법률’ (1984), ‘정보통신망 이용촉진 및 정보보호에 관한 법률’ (1999) 등의 제, 개정으로 개인정보 침해사고를 사전에 예방하고 근본적인 제도적 개선을 가져오고자 노력하였습니다.

 

개인정보의 노출과 유출로 인한 침해사고로부터 국민의 권리와 이익을 보호하기 위한 개인정보보호정책을 추진하여 왔습니다. 특히 개인정보의 침해사고로부터 정보주체를 보호하기 위하여 분야별 개별법에 의해 법적 의무규정을 개인정보 보호법을 통해 보편적을 규정할 수 있게 되었으며, 2011년 3월 29일 공포되었습니다.

 

이를 통해서 개인정보 보호법의 제정은 포털, 금융기관, 병원 등 72개 업종의 약 350만개 사업자로 확대하여 규제하게 되었으며, 공공기관의 경우 국회, 법원, 헌법재판소, 중앙선거관리위원회 등 헌법기관, 중앙부처, 지방자치단체, 공사, 공단, 학교 등 약 2만 8천여 공공기관, 사업자 협회 및 동창회 등 비영리단체까지 개인정보보호에 관한 의무 대상이 되었다.

 

 

‘개인정보 보호법’ 의 문제점

우리나라 개인정보 보호의 접근 방법은 빅데이터 특성과 분석력으로 인하여 현실적인 효과성에 한계가 있습니다. 빅데이터는 분석 이전에 개인 데이터를 통해 어떠한 결과를 도출될 것인지 사용자에게 적절히 고지하기가 힘들고 사용자는 자신의 데이터가 빅데이터 분석에서 어떻게 사용되는지 이해하고 동의하기가 힘듭니다.

 

데이터의 결합과 빅데이터의 분석 능력으로 인하여 개인데이터와 비개인 데이터 식별이 어렵기 때문에 개인데이터 활용을 위한 새로운 접근방법이 필요합니다. 현재의 접근방법으로 개인의 동의를 구하는 것은 더 이상 실용적이거나 효율적이지 못합니다. 데이터 주체가 고지된 프라이버시 정책을 숙지하고 데이터 사용에 동의하는 것은 현실적으로 불가능하기 때문입니다.

 

① 개인정보 범위의 모호성

개인정보보호법상의 ‘개인정보’는 개념이 모호하고, 그 범위 설정이 쉽지 않다는 문제점이 있습니다. 개인정보보호법상의 ‘개인정보’에 해당하려면 살아 있는 개인에 관한 정보이어야 하며, 식별성 있는 정보여야 합니다. 더 나아가서 다른 정보와 결합하여 식별성을 띠는 정보도 개인정보에 포함시키고 있습니다.

 

현재 서울중앙지방법원은 개인정보의 개념에 대해서 “구하기 쉬운지 어려운지와 상관없이 해당정보와 다른 정보가 특별한 어려움없이 결합하여 특정 개인을 알아볼 수 있게 되는 것” 이라고 정의하고 있습니다.

 

또한 빅데이터 등 신규 IT서비스에 대한 개인정보보호를 위한 제도적 장치 마련이 필요합니다. 재산, 신체, 사회적 정보, 의료정보 등 다양한 개인정보의 연결성과 식별성의 상관관계 분석을 통해 현대 사회의 문제점을 보다 정확하게 예측하고 그 개선책을 내 놓아야 합니다.

 

② 다른 개인정보보호법과의 관계 정립의 문제

개인정보보호법 외에 ‘정보통신망 이용촉진 및 정보보호에 관한 법률’, ‘신용정보의 이용 및 보호에 관한 법률’이 있습니다. 이들의 관계에 대해서 개인정보보호법 제6조는 “개인정보 보호에 관하여는 ‘정보통신망 이용촉진 및 정보보호에 관한 법률’, ‘신용정보의 이용 및 보호에 관한 법률’ 등 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법에서 정하는 바에 따른다”라고 규정되어 있습니다.

 

즉 개인정보보호법과 정보통신망법, 신용정보법 사이에 모순점이 있는 경우 정보통신망법, 신용정보법이 우선 적용된다는 것입니다. 정보통신망법에 의하여 규율되고 있으면 개인정보보호법의 적용은 배제된다는 것인데, 여기서 많은 문제점들이 발생할 수 있습니다.

 

 

‘개인정보 보호법’ 의 개선방향

 

① 개인정보 보호범위의 구체적 명시

개인정보보호법으로 보호해야 할 개인정보의 개념과 범위에 관하여 보다 명확하게 규정할 필요가 있습니다. 더불어 합리적이고 상식에 맞게끔 범위를 정할 필요도 있습니다. 이러기 위해서는 애매한 법조문보다는 명확한 법조문, 누구나 이해할 수 있고 예측할 수 있는 법표현이 규정되어 있어야 합니다.

 

② 개인정보 보호정책의 활성화 및 다각적 모색방안 촉구

인터넷상 회원가입 대체수단, 고유식별번호 등 주요 개인정보 암호화및 개인정보 영향평가도를 전면 시행해야 하며, 공공기관과 하루 평균1만명 이상의 방문자수를 보유한 인터넷 홈페이지 운영사업자는 인터넷 홈페이지를 통해 회원 가입시 ‘아이핀(I-PIN)’ 등 주민번호를 사용하지 않고 회원으로 가입할 수 있는 방법을 제공해야 합니다.

 

개인정보보호법에는 개인정보처리 사업자가 주민등록번호, 여권번호, 운전면허번호, 외국인 등록번호등 고유식별정보와 비밀번호, 바이오정보를 저장 시 암호화 적용이 의무화 되고 있습니다. 개인정보를 정보통신망을 통해 송수신하거나 보조저장매체등을 통해 전달하는 경우, 비밀번호와 바이오 정보는 암호화 저장이 필수사항입니다. 특히 비밀번호의 경우에는 복호화 되지 않도록 일방향 암호화 방식으로 저장해야 합니다.

 

 

개인정보권의 구제절차

개인정보피해를 구제하는 곳에는 ‘개인정보 침해 신고센터’와 ‘개인정보분쟁 조정위원회’가 있습니다. 개인정보 챔해센터 구제절차는 다음과 같습니다.

 

① 사건(상담) 접수 및 통보

전화상담, 웹사이트, 이메일, 우편, 팩스등으로 사건을 접수하며, 당사자에게 접수 통보를 합니다.

 

② 사실조사

모니터링, 당사자로부터 의견청취를 하며, 필요한 경우에는 자료제출 요구 및 현장조사등을 통하여 사실을 조사합니다.

 

③ 시정권고 소관부처 행정처분

미흡한 개인정보 보호조치에 대한 시정권고를 합니다. 다만, 시정권고가 받아들여지지 않거나 동일 침해가 반복되는 경우 등이라 판단되는 경우에는 소관부처로 이관합니다. 소관부처(행정안전부)는 법위반 경중에 따라 과태료등 처분을 내립니다.