• 검색 결과가 없습니다.

신기술 활성화와 개인정보보호법의 조화.pdf

N/A
N/A
Protected

Academic year: 2021

Share "신기술 활성화와 개인정보보호법의 조화.pdf"

Copied!
36
0
0

로드 중.... (전체 텍스트 보기)

전체 글

(1)

신기술 활성화와 개인정보보호법의 조화

지식재산 환경변화에 능동적으로 대비하기 위한

지식재산 동향정보 서비스

이슈페이퍼

신기술 활성화와 개인정보보호법의 조화

유 계 환 한국지식재산연구원 정책연구팀, 부연구위원 이 정 현 한국인터넷진흥원 정보보호산업분쟁조정위원회, 사무국장, 법학박사 차 상 육 법학전문대학원, 조교수

(2)

∙ 4차 산업혁명 시대의 도래와 함께 최근 드론, 사물인터넷, 빅데이터 등 차세대 핵심 기술이 등장하면서 개인정보 보호법으로 인한 규제가 이슈로 떠오르고 있음 ∙ 신기술 산업은 국가 및 사회 전반에 미치는 영향이 크고 국가적 차원의 육성 필요성이 존재하므로 신기술 산업의 발전을 위한 법․제도적인 뒷받침이 필요 ∙ 본 보고서에서는 우리나라의 개인정보보호법과 관련된 동향을 살펴보고, 주요국의 동향을 비교‧분석하여, 신기술 산업 활성화와 개인정보 보호법의 조화 방안을 모색하고자 함 * 작성자: 유계환 (한국지식재산연구원 정책연구팀, 부연구위원) 이정현 (한국인터넷진흥원 정보보호산업분쟁조정위원회 사무국장, 법학박사) 차상육 (경북대학교 법학전문대학원, 조교수) ※ 본 보고서의 내용은 필자의 개인적인 견해이며 한국지식재산연구원의 공식적인 의견이 아님을 밝힙니다.

서론

 (검토배경) 4차 산업혁명 시대를 이끌어 갈 빅데이터, 클라우드컴퓨팅, 증강현실, 인공지능 등의 신기술을 바탕으로 한 신융합산업의 발전이 국민생활의 변화와 혁신을 가져오고 있음 • 빅데이터, 클라우드 컴퓨팅, 증강현실 등 4차 산업혁명과 관련된 7개 분야의 신기술 특허등록 건수는 지난 5년간 약 12배 증가하였음 4차 산업혁명 관련 신기술(7개 분야)의 전 세계 특허등록 건수(2010-2015)

* Industry 4.0 related technology fields include Cloud Computing, Augmented Reality, 3D Printing, Big Data, System Security, Humanoid Robot, and Cyber Physical systems

자료원 European Patent Office – Espacenet: http://worldwide.espacenet.com/ (IoT Analytics 재인용(https://iot-analytics.com/industrial-technology-trends-industry-40-patents-12x/)) ※ 인더스트리 4.0은 제조업의 경쟁력 강화를 위해 독일 정부가 추진하고 있는 제조업 성장 전략임. 제조업의 완전한 자동생산체계 구축 및 생산 과정의 최적화가 이뤄지는 4차 산업혁명을 골자로 하고 있어 4차 산업혁명을 의미하 는 용어로 사용되기도 함(출처: 한경 경제용어 사전).

(3)

신기술 융합 사례 농 업 조 선 금 융 클라우드/IoT를 적용, 농작물 재배 및 관리 클라우드/IoT를 적용, 위치 ․정보 등을 처리 직원 업무 생산성 향상, 예금 등에 클 라우드 도입 • 신기술 산업은 단지 IT산업에 국한되지 않고, 국가 및 사회 전반에 미치는 영향이 지대하며 치열한 글로벌 경쟁 속에서 새로운 먹거리로 거듭나고 있어 국가적 차원의 육성 필요성이 존재 - 빅데이터, IoT, 클라우드컴퓨팅 등 신기술 융합을 통하여 범죄예방, 헬스케어, 원격 교육 등 공공분야의 혁신을 이루고 있으며, - IT와 전통산업의 융합으로 스마트 농장, 스마트 공장, 글로벌 서비스 제공이 가능해지게 되었음  (신기술과 법적 이슈) 최근 드론, 사물인터넷, 빅데이터 등 차세대 핵심 기술의 등장과 함께 제도 개선 논의가 진행되고 있음 • 신기술 산업의 발전을 위하여 법․제도적인 뒷받침도 필요하며, 우리의 경우 클라우드컴퓨팅법을 시작으로 빅데이터 관련 법 등 새로운 입법 및 정책을 추진 중에 있음 • 신기술 산업 발전을 위한 세제지원, 중소기업 지원 등 정부의 지원책도 중요하지만 근본적으로 개인정보 관련 법제도 중요함을 간과해서는 안됨 - 신기술 산업은 새로운 기술을 기존 산업과 연계하여 인간 중심의 새로운 방식의 서비스를 제공하는 것으로 개인정보와 밀접한 관련성을 가지고 있음 • 현행 법규가 신기술을 제때 반영하지 못하면 기업의 연구개발 의지를 위축시킬 우려가 존재 - 그러나, 신기술 등장으로 개인의 사생활 침해 위험이 증가하였고, 개인정보의 경제적 가치가 높아지면서 해킹 문제도 심화됨에 따라 일정한 법적 보호 장치는 반드시 필요 • 이에, 인권보호 등을 위한 법적 규제와 산업 활성화를 모두 이루기 위한 방안 모색을 위한 논의가 전 세계적으로 진행되고 있음  (신기술과 개인정보 보호) 개인정보 수집·사용시 엄격한 규정이 존재하고 있어 특허 받은 신기술임에도 시장에서 활용되기 어려운 경우가 존재 • 예컨대, 빅데이터는 특정 개인과 관련된 정보와 밀접한 연관이 있고, 개인정보 수집·이용을

(4)

위해서는 현행 개인정보보호 관련 법령상 반드시 이용자의 사전 동의가 필요 * 개인정보 보호법 제2조 1호 : "개인정보"란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함) - 그러나 대량의 데이터를 수집하고 처리하는 빅데이터 산업 특성상 사전 동의를 얻기가 쉽지 않아, 개인정보보호법이 신기술 활성화의 장애가 될 수 있음 • 이에 최근 정부는 ‘비식별 개인정보가 아니다’는 유권해석을 내리고 빅데이터 산업·핀테크 산업 등에 비식별 개인정보를 활용할 수 있도록 가이드라인*을 발표 * 행정자치부, 방송통신위원회, 금융위원회, 미래창조과학부 등 관계 부처는 ‘개인정보 비식별 조치 가이드라인’을 발표하고 7월1일부터 적용하도록 함  본 보고서에서는 우리나라의 개인정보보호법과 관련된 동향을 살펴보고 주요국의 동향을 비교분석하여, 신기술 산업 활성화와 개인정보 보호법의 조화 방안을 모색하고자 함 • 신기술 시장 현황 및 미래 전망 등과 현행 법제하에서 신기술 활용에 장애가 되는 것들이 무엇이 있는지, 또 현행 개인정보보호 관련 법제 현황 및 정책 동향에 대해 검토한 후, - 주요국의 현황을 살펴봄으로써 신기술 산업활성화와 개인정보보호법을 어떻게 조화롭게 발전시킬 것인지에 관하여 제언하고자 함

신기술 활용 현황 및 장애요인

 한국의 신기술 전망과 시장 현황 • 정부는 2015년 5월 국가 성장동력 창출을 위해 각 부처에서 추진 중인 육성계획을 종합하여 「미래성장동력 종합실천계획」을 수립하여 추진 중* * 미래부 보도자료, 2016.3.31.자. - 19대 미래성장동력의 맞춤형 투자전략 등을 통한 조기성과 창출에 중점을 두고 핵심 공통기술 발굴, 초기시장 창출 등을 위해 2016년 약 1조원을 지원 - 2020년까지 약 5.6조원을 투자하여 2024년까지 수출 1천억불 규모의 신산업을 육성할 계획 • 2016년도 미래성장동력 분야별 주요 추진과제 및 투자계획은 다음과 같음

(5)

분야별 추진과제 및 투자계획 분야 ‘16년 주요 추진과제 및 투자계획(억원) 지원전략 5G 이동통신 평창올림픽 시범서비스 제공을 위한 Pre-5G 시범망 구축 등 1,015 법・제도 개선 및 시범사업 추진지원 스마트자동차 자율주행차 실도로 시범구간 구축 등 518 실감형콘텐츠 대화면(10인치) 디지털 홀로그래픽 콘텐츠 제작시스템 실용화 등 645 착용형스마트기기 패션·안전·의료 등 타산업과 접목 확대 등 (ex : 생체정보 기반 본인인식 기술 개발) 207 지능형사물인터넷 공공주택 소셜 IoT, U-City 체험 등 스마트시티 실증서비스 제공 등 768 지능형반도체 국내 자체개발 CPU를 적용한 시스템반도체 기반 제품개발 등 738 고기능 무인기 전력설비점검, 무인기 물품 배송 등 499 원천・실증 R&D 선제적 투자 지능형 로봇 병원 물류로봇, 복강경 수술로봇 등 의료·건강관련 로봇 시제품 생산 등 743 빅데이터 공공·민간 데이터를 수집·가공하여 판매하는 데이터 중개사업 모 델 개발(ex: 데이터스토어) 등 243 융복합소재 3D프린팅 활용 항공기, 자동차 등 부품화 기술개발(ex : 티타늄 소재) 등 866 심해저/극한환경 해양플랜트 북해 유전 및 서호주 가스전 해저·해상 공정 모델링 등 505 민간 기술개발 및 사업화 속도 지원 가상훈련시스템 가상훈련 몰입형 요소기술(코어엔진 등) 개발 등 66 맞춤형웰니스케어 의료기관에서 활용 가능한 프로그램 및 웰니스 IT기기 개발 등 583 스마트바이오생산 시스템 일회용 세포배양시스템 개발 및 바이오의약품 후보물질 확보 등 384 중장기 R&D 및 실증 지속지원 신재생에너지 하이브리드 태양광·풍력·연료전지 하이브리드 도심형 충전시스템 개발 등 878 재난안전관리 강우 및 해안 침수·범람 예측기술 개발 등 598 직류송배전 중급 전압(MVDC급) 직류배전 시스템 기초연구 등 157 초임계CO2발전 초임계 CO2 발전 핵심기기 및 설계 기술개발 등 124 첨단소재가공 탄소섬유기반 복합재 설계·가공 원천기술 개발 등 199 총 계 9,736 자료원 미래부, 「미래성장동력 종합실천계획」, 2016.  국외 신기술 전망과 시장 현황 • (가트너(Gartner)의 10대 전략기술) 가트너는 매년 그 다음 해에 전략적으로 발전할 수 있는 기술들을 10대 전략 기술이라는 타이틀로 발표했는데 2015년 10월에도 2016년 10대 전략 기술을 발표* * 가트너 홈페이지(http://www.gartner.com/smarterwithgartner/top-ten-technology-trends-signal-the-digital- mesh/).

(6)

- 가트너의 10대 전략 기술들이 매년 정확한 것은 아니지만 어떤 기술이 시대를 이끌고 갈 것인지에 대한 나름의 기준이 되었으며, 기업들 입장에서도 집중해야 할 기술을 선정하는데 도움을 줌 • 2016년 가트너의 10대 전략 기술은 3개의 카테고리에 10개의 기술이 선정되어 발표 ※ 가트너가 발표하는 10대 기술들 중에는 몇 년간 동일하게 발표되는 기술도 존재하며, 이는 해당 기술이 그만큼 시장에서 인정받고 있으며 발전 가능성이 여전히 높다는 의미

- 첫 번째 카테고리에 디지탈 매시(Digital Mesh)라는 타이틀에 디바이스 매시(Device Mesh), 앰비언트 사용자 경험(Ambient User Experience), 3D 프린팅 재료(3D Printing Materials) 기술을 선정

- 두 번째 카테고리에는 스마트 머신(Smart Machines)이라는 타이틀에 만물정보(Information of Everything), 진보된 머신러닝(Advanced Machine Learning), 지능형 기기(Autonomous Agents and Things) 기술이 포함

- 세 번째 카테고리에는 새로운 IT세상(The New IT Reality)이라는 타이틀에 반응형 보안 아키텍처(Adaptive Security Architecture), 진보된 시스템 아키텍처(Advanced System Architecture), 매시 앱과 서비스 아키텍처(Mesh App and Service Architecture), IoT 플랫폼(IoT Architecture and Platforms) 기술을 선정

(7)

• (향후 전망) 가트너가 제시한 2016년 10대 전략 기술을 통해 앞으로는 인공지능을 통한 자동화로 사람과 기계의 업무가 분리되고, 사람은 사람만이 할 수 있는 일에만 집중하는 세상이 도래할 것으로 예상

- 신기술 함께 사람만이 할 수 있는 일이 무엇인지에 대한 고민이 필요한 시점

 기술별 시장 전망

• (사물인터넷, IoT) 한국에서는 소위 ICBM(IoT, Cloud, Big Data, Mobile)이 미래 성장동력으로 주목받는 가운데, 인터넷 기반 융합 신산업이 혁신과 성장을 주도 - IoT 융합 서비스는 맞춤형 스마트 사회로의 진화를 위한 기폭제 역할을 하고 있으며, IoT시장은 ①가전, 자동차, 웨어러블 등 글로벌․대기업 주도시장, ②소규모 응용분야로 중소기업 주도시장, ③아이디어를 가진 스타트업 등이 주도하는 시장으로 구분 가능 - 국내 사물인터넷 시장은 2015년 3.8조 원에서 2022년 22.9조 원까지 성장할 것으로 예측되며, 서비스 관련 매출의 비중이 52.6%까지 증가하며 성장을 주도할 전망 국내 사물인터넷 시장 전망

자료원 임정선, 2015 ICT 10대 주목이슈, KT경제경영연구소 Special Report

- 통신3사와 정부는 2016년부터 IoT 산업 활성화를 위한 IoT네트워크 구축 본격화* ․ KT는 IoT를 위한 전국망 서비스(LTE-M) 개시, 1,500억원의 투자 계획 발표 (‘16.3.29) ․ SKT는 연내 IoT 전용망 구축 계획(IoT totla care 프로그램)을 발표하고 망투자, 제조사

지원 등에 1,000억원(2년간)을 투자 예정 ․ LGU+는 별도 전용망 없이 기존 LTE망에 저전력기술을 적용할 예정 ․ 정부는 900㎒ 대역(917~923.5㎒) 출력 기준을 기존 10㎽에서 최대 200㎽로 상향 발표(‘16.3.15)하여 저전력 장거리 서비스와 같은 새로운 IoT 전용 전국망 구축 기반을 마련 • (빅데이터) 2015년 국내 빅데이터 시장은 2,623억 원 규모를 형성 - 빅데이터 시장이 성장할 것이라는 것은 모두 인정하고 있으나, 글로벌 시장과 국내시장이 차이를 나타내고 있음

(8)

- 국내보다 자유로운 데이터의 유통을 채택하고 있는 외국의 경우 데이터 활용의 폭이 다양하게 나타나고 있어, 글로벌 시장이 국내보다 향후 3년간은 더 높은 성장세를 나타낼 것으로 파악됨 - 반면, 2020년에는 국내 빅데이터 시장의 성장률이 글로벌 시장의 성장률을 상회하는 폭발적인 성장세를 보일 것으로 예상 (단위 : 억원) 빅데이터 시장 전망 자료원 한국정보화진흥원(NIA), 2015년 BIGDATA시장현황조사 자료 • (드론) 드론은 사람이 탑승하지 않고 비행하며 원격지에서 조정이 가능한 무인비행체(Unmanned Aerial Vehicle, UAV)를 의미

- 세계 드론(Drone)시장은 2014년 53억 달러에서 2023년 시장규모가 125억 달러로 확대되고 누적매출액이 890억 달러에 이를 것으로 전망 - 우리나라도 2013년 0.91억 달러에서 2022년 5.25억 달러로 연평균 22% 성장할 것으로 예측 • (인공지능, AI) IoT 기술과 빅데이터가 가져온 초연결성과 인공지능으로 대표되는 초지능성은 물리세계와 사이버세계의 통합을 통해 사이버 물리시스템이라는 새로운 미래세계를 보여주고 있음 - 인공지능서비스란, 기존에 인간만이 가능했던 인지, 학습, 추론 등 고차원적 정보처리 능력을 정보통신기술을 통해 구현한 기술 및 서비스를 의미 - 상황판단 및 정교한 의사결정을 위해 각지에 흩어져 있는 클라우드 시스템을 상호 연결하여 대량의 데이터를 동시다발적으로 처리 - 구글, 애플 등의 주도로 연구 중인 무인자율주행차*도 인공지능이 기초 신기술이며, 밖에 스마트 개인비서로 불리는 Siri, Now on Top, 페이스북 M 등 사용자의 언어를 인지하고 그 맥락을 이해한 뒤 적절한 답변을 제시하는 인공지능서비스가 출시

* 운전자 없이 센서‧카메라와 같은 ‘장애물 인식장치’와 GPS 모듈 등 ‘자동 항법 장치’를 기반으로 조향‧변속‧가속‧브 레이크를 도로환경에 맞춰 스스로 제어 가능

- KT경제경영연구소 자료에 따르면 국내 인공지능 시장은 2020년에 2조2천억 원, 2030년에는 27조5천억 원으로 성장할 것으로 추정

(9)

- 2015년 12월 메릴린치 뱅크오브 아메리카가 공개한 보고서는 로봇과 인공지능 전체 시장규모를 2020년에 1,527억 달러로 전망하였으며, 맥킨지는 2025년 6조5천억 달러(7천조)의 파급효과를 예상 인공지능 시장 규모 전망과 인공지능 적용 서비스 ※ 기초수치는 로봇산업진흥원 ‘로봇산업 실태조사 2014’자료 근거 ※ 현재 시장은 제조업 로봇중 인공지능 비적용 로봇 제외한 시장으로만 추정. 이후부터는 국내 AI 기술발전 수준을 고려하여 타산업중 교육, 공공, 금융, 차량 소프트웨어 분야 등 서비스 영역에서만 적용 가정 자료원 한국인터넷진흥원, 2016 한국인터넷백서[KT경제경영연구소 2016] 재인용  국내 신기술 시장 활성화 장애 요인 • 신기술 시장 활성화에 가장 커다란 장애요인은 개인정보보호 문제라고 할 것임 - 사물인터넷(IoT), 빅데이터 등 신기술의 활성화와 관련 산업 육성을 위해서는 개인정보의 활용을 어느 수준까지 인정할 것인가가 매우 중요한 문제임 - 특히 빅데이터, IoT, 클라우드 등 신기술은 데이터 수집·이용·제공의 패러다임 변화로 국경없이 자유롭고 안전한 데이터 이동 및 활용 요구가 증대되고 있는 상황으로 개인정보의 국외이전에 대해 엄격하게 규정하고 있는 「정보통신망이용촉진 및 정보보호 등에 관한 법률」 등의 개정이 요구되는 상황 - 빅데이터, IoT, 클라우드 등 모든 것이 연결된 환경에서 국가간 다양한 문화적․경제적․법률적 다양성 등을 고려하여 개인정보 국외 이전 등에 대한 연구협력이 필요한 시점 • (사물인터넷(IoT)과 개인정보보호) 다양한 IoT 응용분야가 발전하고 있는 상황에서 창의적 IoT 제품․서비스 출현으로 기존 규제와 충돌하거나 새로운 제도가 필요한 분야도 등장할 것으로 전망됨 - IoT 센서․기기가 연결된 맞춤형 서비스 제공 시, 해당 센서나 기기가 컴퓨터 바이러스나 악성코드 등에 감염되면 정보유출이나 서비스중단 또는 신체 손상이나 생명을 위협받게 되는 상황까지 발생 가능

(10)

- IoT 도입 후에는 사후 보안조치가 불가능하거나, 高비용이 수반되므로 이러한 신기술 도입에 대한 시장의 활성화가 지체될 수 있음 ※ 2020년까지 약 260억 개의 사물이 상호 연결될 것으로 전망(Gartner, ’14) - 특히 IoT 시스템은 하나의 취약점으로 다양한 기기에 대한 공격이 가능, 사전에 보안 위협 및 취약점을 고려하여 서비스 설계 및 구축 필요 - IoT시스템을 이용하는 이용자가 언제, 어떻게 데이터가 공유되는지 등을 알 수 없는 것이 문제가 될 수 있으므로 이를 고려한 시스템 구축이 이루어져야 하며 이용자의 개인정보 수집 최소화는 IoT 이용자를 위한 가장 중요한 정보보호원칙임 ※ 센서로 얻어지는 개인정보(성격, 건강정보 등)가 이용자도 모르는 사이에 보험료 산정, 고용, 신용 및 부동산 구매 등에 영향을 미칠 수 있음 • (빅데이터와 개인정보보호 문제) 빅데이터 기술의 발전으로 사적 공간의 경계가 점차 모호해지며 개인에 관한 자료들이 광범위하게 처리되어 사생활 침해 가능성 증가 - 사전 동의가 어려운 개인정보는 비식별화 조치 및 수집 사실 공개 등 빅데이터 처리와 관련하여 안전한 개인정보 활용 방안 제시 필요 - 정부에서는 빅데이터 산업 활성화 및 개인정보보호를 위해 ‘개인정보 비식별화 조치 가이드라인’(’16.6.30) 발표 및 신기술의 도입에 따른 법제도 개선 계획* 수립 * 신기술 도입에 따라 기존 규제와 충돌되는 영역은 「정보통신진흥 및 융합 활성화 등에 관한 특별법(일명 ‘ICT 특별법’이라 함)」에 따른 정보통신전략위원회를 중심으로 법․제도를 개선하겠다는 계획을 수립하고, 신제품․서비스 의 경우 신속 처리 및 임시허가제를 활용하여 신융합 서비스의 신속한 시장출시를 지원하겠다는 입장  해외 성공 신기술 시장 사례와 국내 현황 비교 • 국내에서는 규제로 인하여 활성화 되지 못했으나 해외에서 크게 성공한 사례들이 존재함 • 국내에서는 규제로 인하여 활성화 되지 못했으나 해외에서 크게 성공한 대표적인 사례로 스마트폰 애플리케이션(앱)으로 승객과 차량을 이어주는 서비스인 우버(Uber)를 들 수 있음 ※ 우버의 성공으로 우버화(Uberfication)이라는 용어가 등장하였는데, 이는 소비자와 공급자가 중개자 없이 인터넷 플랫폼을 통해 직접 서비스나 재화를 주고받는 것을 의미 - 그러나 국외에서의 우버의 성공과 달리 한국 내에서는 불법 논란 등 융합 신산업과 기존 산업과의 충돌로 시장진입에 실패* * 우버 서비스에 대해서는 단순한 정보제공업이라는 우버 측의 주장과 실질적으로 택시면허를 받지 않고 택시영업을 하는 탈법행위라는 정부의 입장이 대립 - 또한, 다른 유럽 국가에서도 불법으로 판결이 나고 있는 추세(이탈리아, 스페인, 네덜란드, 프랑스, 독일에서 사용 금지 판결)이나, 그럼에도 불구하고 우버는 약 680억 달러의 기업 가치를 인정받음 • 또, 에어비엔비와 같이 스마트폰 등 온라인(Online)으로 상품·서비스 주문하고 오프라인(Offline)으로 제공해주는 서비스 형태인 O2O서비스가 전세계적으로 각광받고 있음 - 자기 집의 남는 방을 저렴한 가격에 단기 임대하는 서비스로 출발한 에어비앤비는 국내에서도

(11)

에어비엔비전용 임대업이 등장할 만큼 성장하고 있음 ※ 에어비엔비는 2015년 255억 달러의 가치로 투자를 받았는데, 객실 하나 소유하지 않고 전 세계 193개국에서 220만개 이상의 객실로 숙박서비스를 제공 - 그러나 현재 숙박공유는 「관광진흥법」에 따라 내국인 숙박의 불법화 및 ‘외국인관광 도시민박업’으로 등록을 해야 하는 등 여러 제약이 상존 - 에어비엔비는 한국 내에서 2만 개 이상의 객실을 확보해서 빠르게 성장하고 있는 반면, 2012년 이후 10여개의 국내 숙박공유 기업이 등장하였으나 에어비엔비와의 경쟁을 이기지 못하고 있는 상황 • 한편 드론의 경우, 현행법*상 근거리·저고도·취미용 목적으로 제정되어 있어 상업적 활용이 불가능한 상황 * 우리나라는 드론에 대해 「항공법」에서 규정하고 있는데, 자체 중량이 12kg 이하이며 엔진 배기량 50cc 이하의 경우, 스포츠용 무선조종 모형 항공기로 간주하여 신고 없이 비행 가능. 이 기준을 초과하는 무인비행장치는 건설 교통부장관에게 신고하고, 비행하고자 하는 경우에는 매 비행 전에 비행계획을 수립하여 이를 승인받도록 하고 있음 - 아마존‧월마트‧알리바바 등 주요 글로벌 기업은 드론 택배 상용화를 위한 테스트를 적극 추진 중에 있으며, 미국‧캐나다‧일본‧호주 등 주요국은 재해예방‧치안관리‧교통관리‧농약살포‧산림보호 등에 드론을 적극 활용

우리나라 개인정보보호 관련 법제 동향

1. 「개인정보보호법」 등 기존 법체계 검토

 개인정보의 정의 • (헌법상 개인정보의 개념) 헌법재판소는 “개인정보자기결정권의 보호대상이 되는 개인정보는 개인의 신체, 신념, 사회적 지위, 신분 등과 같이 개인의 인격주체성을 특징짓는 사항으로서 그 개인의 동일성을 식별할 수 있게 하는 일체의 정보이며, 반드시 개인의 내밀한 영역이나 사적영역에 속하는 정보에 국한되지 않고 공적 생활에서 형성되었거나 이미 공개된 개인정보까지 포함한다”고 판시 • (법률상 개인정보 정의) 개인정보보호법과 정보통신망법에서 정의하고 있는 개인정보의 정의는 자구의 차이는 있으나 의미상 동일 - (개인정보보호법) 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말함 - (정보통신망법) 생존하는 개인에 관한 정보로서 성명·주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호·문자·음성·음향 및 영상 등의 정보(해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다)를 말함

(12)

• 현행법 상 개인정보 정의에 대한 세부 요건 - (살아있는 개인) 개인정보의 주체는 자연인이므로 법인이나 단체의 정보는 개인정보에 포함되지 않음. 다만 이는 법상의 논의이고 강학상 개인정보의 주체가 생존자에 한하는지 사자도 포함하는지는 논란이 있음 - (특정 개인과의 관련성) 정보가 특정 개인의 정체성을 구별 또는 알아낼 수 있거나 과거․현재의 상태 등을 알 수 있는 경우 개인정보에 해당 - (정보의 임의성) 법상 개인정보의 유형 등에 제한이 없으므로 개인을 알아 볼 수 있는 정보에 해당하면 개인정보에 해당 - (식별가능성) 식별이란 해당 정보 또는 해당 정보와 다른 정보를 결합하여 특정인을 다른 사람과 구분 구별할 수 있음을 의미 - (결합가능성) 한가지 정보로만 특정인을 식별할 수 없는 경우라도 다른 정보와 쉽게 결합할 수 있는 경우라면 식별성을 인정하며, 여기서 ‘쉽게’라는 의미는 합리적*으로라는 의미로 해석 * EU개인정보보호지침 전문 제26조 : 어떤 사람이 식별 가능한 상태인지 여부를 판단하기 위해서는 개인정보처리자 또는 임의의 다른 사람이 그 사람을 식별하기 위하여 「합리적으로」사용할 가능성이 있는 모든 수단을 고려해야 함  개인정보 보호(개인정보자기결정권)의 법적 성격 • (개인정보자기결정권) 정보 주체가 개인정보의 이용, 공개, 열람, 변경청구에 관하여 스스로 결정할 수 있는 권리를 말함 - 개인정보보호법․정보통신망법은 개인정보자기결정권의 보장을 위해 개인정보의 수집‧이용‧제3자 제공 및 위탁, 파기 등 헌법상 권리를 구현 • (인격권설) 유럽은 개인정보자기결정권을 인격권으로 이해하나 미국에서는 상당수의 학자가 재산권으로 이해하는 경우도 있음 - 우리의 경우 독일의 영향을 받아 인격권의 하나로 이해하고 있음. 재산권설에 의하면 개인정보의 양도를 인정하게 되는바, 개인의 독립성과 자율성을 보장하는 프라이버시권의 본래 취지에 반하는 문제점이 있음 • (재산권설) 개인정보를 재산권의 객체로 인정하면 시장에서 개인정보가 투명하게 관리되고, 개인정보 주체들은 기업들과 협상을 통하여 개인정보의 공개범위를 결정함으로써 통제권이 강화된다고 이해 • (개인정보 보호(개인정보자기결정권)의 헌법적 근거) 헌법재판소는 인간의 존엄과 가치 및 행복추구권을 규정하고 있는 헌법 제10조 제1문에서 도출되는 일반적 인격권 및 제17조에 의하여 보호받고 있는 사생활의 비밀과 자유를 ‘개인정보자기결정권’의 근거로 파악  개인정보보호법의 특징 및 주요내용 • 「개인정보보호법」 특징

(13)

- (권한분산형) 개인정보보호와 관련한 업무와 권한의 분산을 특징으로 함. 견제와 균형이 가능하다는 장점이 있으나, 행정주체간 정책혼선, 중복규제, 규제비용 증가 등이 우려됨 - (규제․처벌주의) 행정기관의 기능과 역할을 제재 또는 처벌에 초점을 두고 있어, 행정명령 미이행자에 대해서만 처벌하거나(일본), 사회적 비난가능성이 높은 불법행위에 대해서만 형사처벌(유럽)하는 것과 비교됨 - (일반법과 개별법의 혼재) 일반법인 개인정보보호법이 존재함에도 불구하고 정보통신망법, 위치정보의 보호 및 이용에 관한 법률, 신용정보의 이용 및 보호에 관한 법률 등 각기 개별법이 존재하여 중복규제 내지 산업간 불균형이 우려되는 부분임 • 「개인정보보호법」의 주요 내용 ※ 개인정보보호법과 정보통신망법은 유사한 내용을 담고 있어, 개인정보보호법 기준으로 설명함 - 개인정보의 라이프 사이클에 따른 개인정보처리자에 대한 의무 부과 ․ (개인정보 수집․이용) 개인정보처리자는 정보주체의 동의를 받아 수집할 수 있으며, 수집 목적의 범위에서 이용할 수 있음(동의 예외 규정 존재) ․ (최소수집 원칙) 개인정보 수집 시, 목적에 필요한 최소한의 개인정보 수집 ․ (개인정보의 제공) 개인정보처리자는 정보주체의 동의를 받거나, 개인정보를 수집한 목적범위에서 정보주체의 개인정보를 제3자에게 제공할 수 있음 ․ (목적외 이용․제공 금지) 원칙적으로 개인정보의 수집한 목적의 범위를 초과하여 이용하거나 제3자에 제공 불가* * 이는 개인정보는 라이프 싸이클(life-cycle)별로 관리해야 하고 목적외 이용․제공 요건은 수집․이용 요건보다 강하게 규제해야 한다는 입법적 판단임 ․ (개인정보 파기) 보유기간 경과, 처리목적 달성 등의 경우 개인정보 파기 의무 부과 - 개인정보를 처리 제한에 관한 의무 부과 ․ (개인정보 처리 제한) 개인정보의 처리에 관하여 사상․신념 등 민감정보 처리 제한, 여권번호, 운전면허번호 등 고유식별정보처리 제한, 주민등록번호 처리 제한 등 ․ (개인정보 취급위탁 공개․고지 의무) 개인정보 취급업무 위탁시 위탁업무의 내용 및 수탁자의 이름을 공개 또는 고지하도록 규정* * 이는 업무위탁에 따른 개인정보 유출사고가 많다는 이유로 채택된 것임. 다만 영업비밀 및 영업의 자유에 대한 과도한 규제라는 비판이 있음 ․ 정보통신망법의 경우 개인정보수탁자에 대한 교육의무를 부과하고 있으며, 위탁자 의무를 준용하는 규정이 있어 특히 클라우드컴퓨팅서비스에서 논란이 있음 - 개인정보의 안전한 관리를 위한 의무 부과 ․ (관리적․기술적 조치) 개인정보의 안전한 관리를 위하여 관리계획을 수립하고, 기술적․물리적․관리적 조치를 취하도록 의무 부과 ․ (유출 통지) 개인정보가 유출된 경우 정보주체에게 알리도록 의무 부과

(14)

․ (과징금 부과) 개인정보의 분실․도난․유출․위조 등의 경우 과징금 부과 - 그 밖에 정보주체의 권리보장을 위한 열람, 정정, 삭제, 처리정지 청구, 법정손해배상제도 도입, 개인정보분쟁조정위원회, 단체소송, 벌칙 및 과태료 규정 - 한편, 동의 없이 제3자에게 제공한 경우, 안전성 확보 조치를 취하지 않아 개인정보가 유출된 경우 등 형벌에 처해지고 있음  위치정보 보호 및 이용 등에 관한 법률의 특성 및 주요 내용 • 위치정보의 정의 및 특성 - (위치정보의 정의) 이동성 있는 물건 또는 개인이 특정한 시간에 존재하거나 존재하였던 장소에 대한 정보로서 전기통신설비 및 전기통신회선설비를 이용하여 수집된 것을 말하며, 일반적으로 말하는 지리정보와는 다른 개념임 - (개인위치정보) 특정 개인의 위치정보로서, 위치정보만으로 특정 개인의 위치를 알 수 없는 경우에도 다른 정보와 결합하여 특정 개인의 위치를 알 수 있는 경우를 포함하여 개인정보와 유사한 형식을 취함 - (입법취지) 이동통신기술의 급속한 발달로 위치정보를 이용한 다양한 서비스가 등장하면서 발생할 수 있는 개인위치정보의 유출․남용으로 인한 개인의 사생활 침해 방지를 도모하기 위함 - (규정체계) 위치정보사업자에 대한 허가 및 위치기반서비스사업자에 대한 신고제도를 규정하는 등 신기술을 염두에 둔 것이 아닌 이동통신사업자가 위치정보를 수집하여 위치정보 서비스를 제공하는 현상을 반영 - (특징) 개인위치정보와 사물위치정보를 구분하여 규제 정도가 다름 • 「위치정보법」의 주요내용 - (사업의 허가․신고) 위치정보사업자와 위치기반서비스사업자를 구분하여 허가와 신고를 받고 있으나, 위치기반서비스사업자의 경우 개인위치정보를 대상으로 하지 않는 사업자는 신고대상에서 제외 ※ 이는 위치기반의 애플리케이션 개발이 개인 및 중소사업자에 의하여 이뤄지고 있는 상황을 반영하여 ‘15년 개정된 사항임 - (위치정보의 수집․이용 또는 제공 동의) 개인 또는 소유자 동의 없이 개인 또는 이동성 있는 물건의 위치정보의 수집․이용․제공 불가 ※ 개인위치정보에 해당하지 않는 물건의 위치정보가 가능한지, 규율의 실익이 있는지에 대한 의문이 있는 규정으로 신기술 활용에 상당한 제약으로 작용 - (개인위치정보의 수집, 이용 또는 제공에 대한 추가 요건) 개인정보와 유사하게 동의를 얻어야 하나, 추가적으로 이용약관 별도의 사항을 명시한 후 동의를 얻도록 규정하고 있어 한층 규제가 강화되어 있음 - (그 밖의 규정) 긴급구조시에 위치정보의 활용을 위한 특별규정을 두고 있으며, 산업진흥을 위한 기술개발, 표준화 추진 등을 규정하고 있음

(15)

개인정보보호법, 정보통신망법, 위치정보법 비교 위치정보법 정보통신망법 개인정보보호법 적용 대상 누구든지 정보통신서비스 제공자 개인정보처리자 적용 범위 위치정보 개인위치정보 개인정보 개인정보 적용 분야 공공/민간. 영리/비영리, 온라인 민간, 영리, 온라인 공공/민간, 영리/비영리, 온/오프라인 개인 정보 취급 수집· 이용· 제공 ㅇ(사업자) 약관 명시/동의 (§18·§19) * 정보주체 지정 제3자 제 공 시, 고지 후 동의, 즉 시통보(§19②③) ㅇ(그 外) 동의(§15) 고지/동의(§22. §24의2) 고지/동의(§15, §17) 목적 외 이용·제공 원칙적 금지(§21) * (예외) 요금정산, 통계·학 술연구·시장조사 원칙적 금지(§24) 원칙적 금지(§18) * (예외) 동의, 타 법률, 생명·신체·재산 위험, 통계·학술·시장조사 등 위탁 - 고지 후 동의(§25) 서면위탁 및 공개(§26) 정보주체外 로부터 수집 - - 수집 출처 등 고지(§20) 주민번호 제한 -주민번호 사용 금지 (§23 의2) 주민번호 처리 금지 (§24 의2) 영업 양도 사업 양도 시 통지(§22) 영업의 양수 등에 따른 개 인정보 이전 시 통지(§26) 영업의 양수 등에 따른 개 인정보 이전 시 통지 (§27) 동의 방법 - 동의를 받는 방법 (§26조의2) 동의를 받는 방법 (§22) 파기 즉시 파기(§23) 지체없이 파기(§29) 지체없이 파기(§21) CCTV 설치·운영 - -영상정보처리기기 설치 제한(§25) 개인 정보 관리 관리책임자 지정 법령에는 규정 없음 * 관리적·기술적 보호조치 권고 §2에서 위치정보 관리책임자 지정을 규정 개인정보 관리책임자 지정 (§27) 개인정보 보호책임자 지 정(§31) 취급방침 제정·공개 위치정보 취급·관리 지침 제정(§16①) 개인정보 취급방침 제정· 공개(§27조의2) 개인정보 처리방침 수립 및 공개(§30) 확인자료 보존 위치정보 수집·이용· 제공 사실 확인자료 보존(§16 ③) - 유출 - 누출등 통지·신고(§27의 유출 통지·신고(§34)

(16)

통지·신 고 3) 보호조치 의무 기술적·관리적 보호조치(§16①) 기술적·관리적 보호조치(§28) 기술적·관리적·물리적 조치 (§29) 개인정보 유효기간 -3년 간 서비스 미이용 개 인정보 파기(§29②) -이용내역 통지 -개인정보 이용내역 통지 (§30의2) -개인정보 파일 등록·공 개 개인정보파일의 등록 및 공개(§32) * 공공기관 대상 이용자 보호 이용자의 권리 ㅇ동의철회권(§24①) ㅇ수집·이용·제공 중지 요 구(§24②) ㅇ 열 람 · 고 지 · 정 정 요 구 (§24③) ㅇ법정대리인의 권리(§25) o동의철회권(§30①) o 열 람 · 제 공 · 정 정 요 구 (§30②) o법정대리인의 권리(§31) o열람요구권(§35) o정정·삭제요구권(§36) o처리정지권(§37) o권리행사의 방법 및 절 차(§38) * 법정대리인의 권리 포 함 ㅇ8세 이하 아동등 보호를 위한 위치정보 이용(§26) - -손해배상 손해배상 청구 시 입증책임 전환(§27) 손해배상 청구 시 입증책 임 전환(§32) 손해배상 청구 시 입증책 임 전환(§39) - 법정손해배상청구(§32의 2) -분쟁조정 개인정보분쟁조정위원회 분쟁조정 신청(§28②) -개인정보분쟁조정위원회 (제6장) 단체소송 - - 개인정보 단체소송 (제7 장) 긴급구조 긴급구조기관, 경찰관서의 긴급구조 목적의 개인위치 정보 이용(§29) - - 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률의 특징 및 주요내용 • 개요 및 특징 - (클라우드컴퓨팅의 정의) 클라우드컴퓨팅은 하드웨어, 소프트웨어 등 IT자원을 네트워크에 접속하여 이용하는 기술로서, 기업의 생산성 향상, 비용절감 및 빅데이터, IoT 등 신기술의 기반으로서 각광받고 있음 - (입법취지) 국내 클라우드컴퓨팅서비스의 글로벌 경쟁력 강화를 위한 체계적인 지원 및 정보가 집적되는 클라우드컴퓨팅의 특성을 반영한 이용자 보호제도를 마련하고자 ‘15년 세계 최초로 「클라우드컴퓨팅법」 제정

(17)

• 주요 내용 - (정부의 육성 지원 근거 마련) 기본계획 수립, 연구개발지원, 세제지원, 중소기업지원, 전문인력 양성, 시범사업, 산업단지 조성, 국제협력 추진, 데이터센터 지원 근거 마련 - (우선 도입 노력) 국가기관 등은 클라우드컴퓨팅을 도입하도록 노력하여야 하며, 정보화 사업 추진 시 클라우드컴퓨팅 도입을 우선적으로 고려 - (기존 규제 개선을 통한 공공·민간 부문 이용 활성화) 정부의 공공기관의 민간 클라우드컴퓨팅서비스 이용 노력 의무를 규정하고 공공기관에 클라우드컴퓨팅 서비스 도입을 위한 인증제도를 마련하여 준비 중에 있음 - (이용자 보호 근거 마련) 개인정보 관련 사항은 정보통신망법 및 개인정보법 적용 ※ 클라우드컴퓨팅의 특성(정보의 집적, 정보의 위수탁관계)을 반영하지 못하고 개인정보보호법 등의 법리를 그대로 따르도록 하고 있다는 지적이 존재 ․ 이용자 정보 유출 등의 사고 발생 시 이용자와 미래부에 알리도록 규정하고 있으나, 이용자 정보에 개인정보를 포함하고 있어 정보통신망법과 중복됨 ․ 이용자 정보의 국외저장 국가 명칭 및 클라우드 이용사실의 공개를 권고할 수 있도록 하여 개인정보를 포함한 이용자 정보의 경우 개인정보 국외이전시 동의를 받아야 하는 정보통신망법의 규정의 적용을 받는 동시에 새로운 의무가 발생 ․ 이용자 동의 없는 이용자 정보의 제3자 제공 금지 및 목적 외 이용을 금지하여 이용자 정보를 재산권 차원에서 보장하고자 하였음  빅데이터 활성화를 위한 비식별 조치 가이드라인 발표 • 최근 관계부처 합동으로 개인정보 비식별 조치 가이드라인을 발표(‘16.6.30) - 빅데이터, IoT 등 IT 융합기술 발전으로 데이터 이용 수요가 급증함에 따라 주요 선진국은 데이터 산업 활성화를 위한 정책을 추진 중 - 빅데이터에 필요한 정보의 활용을 위하여 개인정보 비식별 조치 기준․절차․방법 등을 구체적으로 제시하고 안전한 빅데이터 활용 기반 마련과 동시에 개인정보 보호 강화를 도모하고 있음

(18)

구 분 설 명 ① 사전검토 비식별 조치 대상 정보가 개인정보에 해당 여부 검토 ② 비식별 조치 가명처리 등 비식별 기술을 활용하여 개인 식별요소 제거 ③ 적정성 평가 비식별 조치가 이루어졌는지 외부 평가단을 통해 평가 ④ 사후관리 비식별화 정보의 오남용 예방을 위해 대외공개 제한 등 보호 조치 비식별 조치 및 사후관리 절차 자료원 관계부처 합동(행자부,방통위, 금융위, 미래부, 복지부, 국조실) 「개인정보 비식별 조치 가이드라인」 발간, 보도자료, 2016.5.30

2. 신기술 관련 입법 동향

 빅데이터의 이용 및 산업진흥 등에 관한 법률(안) • (개요) 「빅데이터의 이용 및 산업진흥 등에 관한 법률」은 ‘16.5.30 배덕광 의원 대표발의로 ’16.11월 현재 국회 계류 중 - 빅데이터산업은 정보통신산업의 성장을 이끌 한 축으로서 성장 가능성이 높으나, 국내에서는 개인정보 보호와 관련된 규제의 경직성으로 인하여 많은 기업들이 빅데이터 사업에 적극적으로 나서지 못하는 상황 - 이에 빅데이터 산업의 가치 제고를 위하여 현행 개인정보 보호 법제에서 공백으로 남겨두고 있는 비식별화된 개인정보의 취급에 관한 사항을 규정 • (주요 내용) 빅데이터 산업 진흥책 마련, 비식별화된 정보의 처리․생성 및 제3자 제공, 빅데이터 처리 과정에서 생성된 개인정보 파기 등을 규정 - 정보통신서비스 제공자는 이용자 동의 없이 비식별화된 공개정보 및 이용내역정보를 처리·조합·분석하여 새로운 정보를 생성할 수 있고 이를 제3자에 제공 가능 - 빅데이터를 다루는 과정에서 생성된 개인정보는 지체 없이 파기하거나 다시 비식별화 하여야 함

(19)

• (동 법안에 대한 비판론) 동 법안은 현행 개인정보 보호 규범의 예외를 인정하는 것으로 개인정보보호 규범을 우회하거나 약화시킨다는 비판 존재 - 비식별화 처리를 한 개인정보의 상업적 남용 우려 및 정보주체의 인권침해 우려가 존재하므로, 재식별화 가능성이 존재한다면 예외 없이 개인정보 보호규범에 포함되어야 함 ※ 현행법으로도 통계작성, 학술연구 목적으로 개인을 식별할 수 없는 형태의 제공은 적법 - 비식별화 처리 대상에는 민감한 개인정보가 포함되어 있을 가능성이 높아 우리 법률에서 특별히 보호하고 있는 개인정보 보호가 무력해질 수 있음 - 개인정보 유출이 반복적으로 발생한 우리나라의 상황에서 익명처리를 한다고 하더라도 개인정보를 안전하게 보호하기가 거의 불가능  개인정보 비식별화 관련 「정보통신망법」 일부개정(안) • (개요) 개인정보 비식별조치에 관한 정보통신망법 개정안은 ‘16.9.6일 이은권 의원 대표발의로 ’16.10월 현재 국회 계류 중 - 현행법은 다른 정보와 결합하여도 특정 개인을 식별할 수 없도록 하는 비식별조치에 관한 규정이 미비 - 따라서 비식별화된 정보를 처리하는 과정에서 개인정보가 발생하는 경우에는 지체 없이 파기하거나 다시 비식별화하는 의무를 부과하여 개인정보보호에 만전을 기하고자 함 • (주요 내용) 안전성 확보 조치 및 비식별 조치 근거 마련 - 정보통신서비스 제공자등이 개인정보를 처리시 취하는 조치에 비식별 조치를 포함하고, 비식별정보 처리 과정에서 생성된 개인정보는 지체 없이 파기하거나 추가적인 비식별조치를 하도록 규정 • (검토) 비식별정보에 관하여 빅데이터법과 같은 논리로 비식별정보 처리 과정에서 생성된 개인정보는 지체 없이 파기하거나 새로이 비식별 조치를 취하도록 규정함으로써 비식별 조치에 대한 비판론을 반영함  생체정보 관련 「개인정보보호법」 및 「정보통신망법」 일부개정(안) • (개요) 생체정보 관련 「개인정보보호법」 및 「정보통신망법」 일부개정안은 ‘16.9.1 강효상 의원 대표발의로 ’16.10월 현재 국회 계류 중 - 최근 핀테크(Fin-Tech) 산업과 스마트 기기의 발달 등으로 홍채ㆍ얼굴ㆍ지문ㆍ음성 등 생체정보의 활용이 활발해지고 있으며, 개인 식별 수단으로서의 생체정보는 그 고유불변성과 휴대할 필요가 없다는 편리성으로 인해 그 활용이 더욱 증대될 전망 - 한편 생체정보가 유출될 경우 개인 사생활 침해 등 피해가 막대할 우려가 있음에도 불구하고 현행법 상 규율하고 있는 법률이 없는 실정으로 생체정보의 보관 및 파기에 필요한 사항을 규정함 • (주요내용) 생체정보 정의 및 생체정보 보관․파기에 관한 내용을 규정 - 생체정보란, 개인정보로서 얼굴·지문·홍채·정맥·동작·음성·서명 등 개인을 식별할 수 있는

(20)

신체 또는 행동에 관한 정보(해당 정보만으로는 특정 개인을 식별할 수 없더라도 다른 정보와 쉽게 결합하여 식별할 수 있는 것을 포함)로, 가공되지 않은 원본정보와 그로부터 추출하여 생성된 특징정보를 포함 - 생체정보 보관 시 원본정보를 보관하는 경우에는 정보주체를 식별할 수 있는 개인정보와 별도로 분리 보관하고, 원본정보로부터 추출한 특징정보 생성 시에는 해당 원본정보를 복구․재생할 수 없도록 파기해야 함 • (검토) 민감정보에 해당하는 생체정보 유출의 위험성을 감안하여 생체정보의 보관 및 파기를 규율함으로써 개인정보보호 수준 강화 시도 - 개인정보 보호 수준 강화가 반드시 산업을 위축시키는 것은 아니며, 생체정보의 안전한 보관을 통해 생체정보 제공자의 신뢰를 확보할 수 있어 오히려 산업이 발전할 수 있는 기반 환경이 조성될 수 있을 것으로 기대  개인정보 수집․이용․제공 시 사전동의 요건 완화 관련 「정보통신망법」 일부개정(안) • (개요) 개인정보 수집․이용․제공 시 사전동의 요건 완화 관련 「정보통신망법」은 입법예고중(~‘16.11.2까지 의견 수집) - 사물인터넷 등 ICT 기술발전에 따라 실시간으로 보다 다양한 개인정보를 수집ㆍ이용하는 스마트기기와 융·복합 서비스가 증가하는 한편, 클라우드 컴퓨팅 등에 의해 개인정보가 국외로 이전되는 사례도 증가 - 그러나 현행 정보통신망법의 개인정보 수집·이용·제공 및 국외이전 규정은 시장 환경의 변화 및 글로벌 트렌드를 반영하지 못하고 있어 개인정보보호 관련 법체계 개선 필요 • (주요 내용) 사전동의 예외 규정을 추가하고, 개인정보 처리위탁 절차 개선하고, 개인정보 자기결정권 보장을 강화하는 한편 국외 재이전된 개인정보 보호 장치 등을 마련 - 급박한 생명‧재산의 이익을 위해 필요한 경우를 개인정보 수집‧이용에 대한 사전동의 예외로 추가 ※ 현행 정보통신망법은 개인정보 수집‧이용‧제공에 대한 사전동의 예외를 지나치게 제한적으로 허용 - ‘기존 서비스와 합리적인 관련성이 있는 기능 추가 등 서비스 개선’은 수집ㆍ이용 목적의 변경으로 보지 않음 ※ 현행 정보통신망법에서는 기술발전에 따른 서비스 개선도 동의받은 수집‧이용 목적의 변경이 되어 추가적인 동의 가 필요 - ‘수탁자’와 ‘처리위탁 내용’을 이용자에게 고지하고 이를 개인정보 처리방침에 공개하면 동의 없이 처리위탁이 가능하도록 개선 ※ 현행 정보통신망법은 개인정보 처리위탁 시 ‘계약 이행 등을 위해 필요한 경우’에만 예외적으로 동의를 면제하고 있음 - 이용자가 유상판매 여부를 인지하여 제3자 제공 동의를 선택할 수 있도록 ‘개인정보 유상 제공 여부’에 대해 이용자에게 고지하도록 규정

(21)

※ 현행 정보통신망법은 개인정보의 제3자 제공에 대해 유상판매 여부를 명시하고 있지 않아 이용자가 동의만 하면 유상판매도 가능 - 개인정보 동의 철회권을 처리정지 요구권으로 확대하여, 동의없이 개인정보를 수집・이용・제공할 수 있는 경우에도 이용자가 사후에 처리정지를 요구할 수 있도록 하여 개인정보 자기결정권 보장 강화 - ‘부정한 수단‧방법으로 개인정보를 수집한 경우’에만 현행과 동일하게 형벌과 행정제재(과징금·시정명령) 병과를 규정하고, 고의성이 없거나 과실에 의한 경우에는 행정제재만 부과할 수 있도록 함 - 부정한 방법으로 개인정보가 수집된 사정을 알면서도 영리 또는 부정한 목적으로 제공받는 자에 대한 벌칙을 신설 - 국외이전 사전동의 예외 사유* 추가 * 현행 정보통신망법은 EUㆍ일본 등 해외사례와 달리 국외이전 사전동의의 예외를 지나치게 제한적으로 규정하여 계약 이행 및 이용자 편익 증진에 필요한 경우 등 현실적으로 국외이전이 필요한 경우 과도한 부담으로 작용. 이에 법률 및 국제협정에 특별한 규정이 있는 경우, 계약의 체결‧이행을 위하여 불가피한 경우로서 이전항목 등을 고지ㆍ공개한 경우, 국외이전받는 자가 방통위가 지정하는 인증을 받은 경우에 대해서는 사전동의 예외로 추가 - 국외이전 된 개인정보를 재이전하는 경우도 국외이전과 동일하게 원칙적으로 동의를 받도록 하고, 기술적・관리적 보호조치 등에 관한 규정을 준용하도록 하여 국외 재이전된 개인정보 보호 장치를 마련 - 법을 위반하여 이용자의 권리가 심각하게 침해될 우려가 있을 경우 방송통신위원회의 국외이전 중단 명령권 신설 • (검토) 그 동안 신기술 산업 발전의 장애요소로 지적 받은 사전동의제도, 개인정보 처리 위탁, 처벌의 강도, 국외이전 등 산업계의 요구가 반영되었으며, 개인정보 보호 보호장치를 신설하여 산업 진흥과 개인정보 보호의 조화를 꾀하고 있음  위치정보 보호 및 이용자 보호에 관한 법률 개정(안) • (개요) 「위치정보 보호 및 이용자 보호에 관한 법률」 (이하 ‘위치정보법’)은 입법예고중(~‘16.11.2. 까지 의견 수집) - ICT 기술발전에 따라 위치정보를 활용하는 다양한 서비스가 증가하고 있으나, 현행 「위치정보법」 체계는 ’05년 제정된 이후 시장환경 변화 및 글로벌 트렌드를 반영하지 못하고, 개인정보보호 관련 법률들과의 정합성이 떨어져 위치정보 보호에 부족하고 이용 활성화도 저해 - 이에 따라, 「위치정보법」의 규제를 정보통신망법 등 국내 개인정보보호 관련 법체계 및 EU 등 글로벌 스탠더드에 맞게 개선 • (주요 내용) 사물위치정보사업 허가제를 신고제로 완화, 소규모 위치기반서비스사업의 신고간주제 도입, 사물위치정보 동의제도 합리화, 국외 이전의 법적 근거를 마련함과 동시에 처리 정지 요구권을 강화함

(22)

- 현행법은 택배 영업을 위한 드론과 같이 순수하게 사물위치정보를 수집하는 사업도 개인위치정보 수집의 경우와 동일하게 허가제를 적용함으로써 신규기업에 대해 과도한 진입장벽으로 작용하고 있어 이를 완화함 - 1인 창조기업 및 소상공인이 상호‧소재지 등 일정 사항을 방통위에 보고하면 별도 절차 없이 신고사업자로 간주하는 신고간주제 도입 - 사물위치정보를 수집‧이용‧제공할 경우 그 소유자의 사전동의 없이도 처리될 수 있도록 허용 ※ 현행 위치정보법은 사물위치정보에 대해서도 소유자의 사전동의를 요구하고 있는데, 이는 세계적으로 유례가 없으며, 현실적으로도 소유자 동의를 받기 곤란한 경우가 발생 - 현행 개인위치정보 동의 철회권을 처리정지 요구권으로 확대하고, 개인위치정보의 주체 뿐 아니라 이동성 있는 물건의 소유자도 처리정지를 요구할 수 있도록 개인정보 자기결정권 보장 강화 - 위치정보 처리위탁 규정 신설하여 처리위탁에 대한 법적 근거를 마련하고, 개인위치정보 주체의 사전동의를 통해 국외이전을 할 수 있도록국외이전의 법적 근거*를 마련 * 법률 및 국제협정에 국외이전에 관한 특별한 규정이 있는 경우, 계약의 체결‧이행을 위하여 불가피한 경우로서 이전국가 등을 고지‧공개한 경우, 국외이전 받는 자가 방통위가 지정하는 인증을 받은 경우에 대해서는 사전동의 예외로 규정 • (검토) 사물위치정보사업자에 대한 허가제도를 신고제로 완화하고, 소규모 사업자에 대한 신고 간주제도는 스마트 기기의 발달로 인한 위치정보의 수집 주체가 기존 이동통신사에서 소규모 사업자로 확대됨을 감안하면 바람직한 입법으로 판단됨 - 또한 위치정보의 수집, 제공 동의 등 사전동의 등에 관하여 기존 정보통신망법과 상이한 규정체계로 규정되어 있던 것을 정보통신망법 개정안과 동일 수준으로 조정한 것은 사업자의 혼란을 방지하고 규제체계의 통일성 측면에서 바람직

3. 현행 개인정보보호 법제의 문제점과 개정안에 대한 검토

 포괄적 정의 조항으로 인한 문제 • (포괄적 정의) 우리나라 주요법령상의 개인정보 정의조항은 그 범위가 광범위하여 영업의 자유를 제한할 뿐 아니라 빅데이터나 클라우드와 같이 새로운 산업의 발전을 저해한다는 지적이 제기되고 있음 - 정의가 광범위하여 현재의 클라우드컴퓨팅, IoT, 빅데이터는 물론 지속적으로 발전하고 있는 신기술 산업의 대부분이 개인정보보호 법제의 규율대상이 될 것 • (결합용이성 문제) 빅데이터 분석을 통하여 식별불가능한 정보가 개인 식별가능 정보로 전환될 가능성이 있고, 현재의 개인정보의 정의에 따르면 쉽게 결합하여 식별이 가능할 경우 개인정보로 봄으로 신기술에 사용되는 정보가 개인정보에 해당하게 될 수 있음 • (과도한 규제) 현행 개인정보 보호에 관한 법령이 세계적으로 유래 없는 강력한 형사처벌 조항을

(23)

두고 있음 - 구성요건이라 할 수 있는 ‘개인정보’의 개념 자체가 명확하지 않기 때문에 어느 정보를 수집하고 제공 등의 행위를 했을 때 형사처벌의 대상이 되는지 불분명하다는 지적 - 비교법적으로 보더라도 일본의 개인정보 보호법은 시정명령에 위반할 경우에 6개월 이하의 징역 또는 50만 엔 이하의 벌금에, 보고를 하지 않거나 허위보고를 할 경우에 30만 엔 이하의 벌금에 각 처한다고 규정 - 우리의 경우 개별 의무 위반에 대한 직접적 형사처벌 규정과 시정명령 위반에 따른 형사처벌 규정을 병존적으로 규정 • (개정안 검토) 동의를 받지 않고 개인정보를 수집하는 경우 형사처벌을 받도록 규정하던 것을 부정한 방법 등에 한하여 형사처벌하도록 하는 것은 바람직한 입법 태도로 보임  정보주체의 동의를 절대시 하는 입법 태도 • (동의의 절대시) 정보주체의 동의를 절대적인 합법성 기준으로 설정한 것은 회원가입시 이용자가 직접제공해주는 정보를 수집하는 경우만을 상정하였기 때문이라는 비판 - 이는 인터넷 이용과정 특히 신기술 융합 서비스 이용과정에서 자동으로 수집되는 거래내역 및 이를 분석하여 생성되는 소비패턴 등 무수히 많은 개인정보가 수집될 수 있다는 점을 간과한 입법태도 - 유럽연합의 ‘온라인프라이버시보호지침’은 통신사실확인자료를 마케팅 목적으로 이용하는 경우와 위치정보의 처리에 대해서만 정보주체의 동의를 요건으로 하고 있음 • (개정안 검토) 개정안의 경우 사전동의의 예외를 추가한 것은 신기술 산업발전에 도움이 될 수 있는 부분임 - 특히 계약 체결 및 이행을 위해 불가피한 경우에 예외를 인정하는바, 빅데이터 등 신기술 서비스를 이용하는 한도에서는 사전동의의 예외를 인정될 수 있다고 보여짐  최소수집의 원칙 • (최소수집의 원칙) 개인정보보호법 상 최소수집의 원칙은 OECD가이드라인 8원칙 중 하나인 수집제한의 원칙을 명문화한 것으로 이러한 최소수집의 원칙은 빅데이터, IoT 등 신기술 적용에 한계로 작용할 수 있음 • (비식별정보의 수집) 이러한 측면에서 비식별정보를 사전동의 없이 수집할 수 있다는 입법론은 빅데이터 등의 대량수집원칙과 조화를 이루는 신기술 발전의 측면에서는 일면 바람직하다고 할 수 있음  정보의 국외 이전 문제 • (국외이전 시 사전동의) 클라우드컴퓨팅은 정보의 이전을 그 특성으로 하고 있으며 특히 국외로의 이전 시 사전동의는 사업자의 부담으로 작용할 수 있음 • (개정안 검토) 「정보통신망법」개정안은 사전동의의 예외로서 계약의 체결, 이행을 위하여

(24)

불가피한 경우로서 이전항목 등을 고지․공개한 경우를 포함시켜 사전동의 없이 클라우드컴퓨팅 서비스를 이용할 수 있는 근거를 마련하였으며, 「위치정보법」 개정안도 동일한 구조를 가지고 있음 - 또한 이용자 보호를 위하여 국외 이전된 개인정보 보호장치를 마련하여 진흥과 보호의 조화를 꾀하였음  사물위치정보 수집․이용․제공 사전동의 • (사물위치정보 수집 동의) 현행 「위치정보법」은 사물위치정보에 대해서도 소유자의 사전동의를 요구하고 있으나, 현실적으로 동의 받기가 곤란한 경우가 발생 • (개정안 검토) 개정안은 사물위치정보에 대하여 사전동의 없이도 처리될 수 있도록 허용하고 있어 사물인터넷, 클라우드컴퓨팅, 빅데이터 등 신기술 산업의 장애요소가 해소될 것으로 기대

주요국의 개인정보보호 관련 법제 동향

1. 미국의 개인정보보호 법제의 발전과 실무 동향

 (개관) 미국 개인정보보호 정책은 연방거래위원회(FTC)를 중심으로 함 • 미국은 개인정보보호 업무를 총괄하는 전담부서를 정부에 두거나 민간에 두는 등의 조치 즉 거버넌스(Governance)를 명시적으로 두고 있지 않다고 평가됨* * 권현호, “미국의 개인정보보호 관련 법 · 정책의 변화와 시사점”, 『IT와 법연구』 제9집, 경북대학교 IT와 법연구소, 2014.8, 275면. • (미국의 개인정보보호 관련 법률의 현황) 20세기에도 다양한 법률을 마련해 왔지만, 21세기에는 오바마 정부의 Consumer Privacy Bill of Rights (소비자 프라이버시 권리장전)이 두드러짐

 최근 오바마(Barack Obama) 정부의 개인정보보호 관련 법제

• 스마트폰의 개인 도구로서의 이용이 확대되는 가운데 보급의 대다수를 차지하는 iPhone 및 Android 탑재 스마트폰 메이커는 이용자의 개인정보보호를 위하여 다양한 대응을 진행 - 오바마 정부에서는 에드워드 스노든(Edward Snowden) 사건* 등 다수의 정보유출사건을

통해 스마트폰을 둘러싼 개인정보보호의 문제가 공론화되고 다양한 법안이 성립

* 2013년에 발생한 에드워드 스노든(Edward Snowden) 사건 : 2013년 6월 美국가안보국(National Security Agency,NSA)에서 계약직원으로 근무하던 에드워드 스노든이 6개월 동안 확보한 기밀문서를 공개하면서 미국 사회를 발칵 뒤집어 놓은 사건. 그가 폭로한 문서에 따르면 NSA의 도감청은 일개 시민에서 대통령까지, 전화·문 자·이메일에서 웹사이트 접속 기록까지, 자국 내에서 전 세계에 이르기까지, 사실상 제한이 없었음. 이 사건에서는 미국 국가안보국(NSA)이 휴대전화를 포함한 통신의 감청을 하였으므로, 스마트폰 이용에서 프라이버시의 침해 우려가 한층 더 높아짐

• 2012년 빅데이터의 연구개발을 압박하는 빅데이터 연구개발 이니셔티브(Big Data Research and Development Initiative)와 함께 소비자의 개인정보보호를 목적으로 한 소비자프라이버시 권리장전(Privacy Bill of Rights)을 내세우는 등 개인정보보호를 중시하는 정책을 취함

(25)

- 오바마 정부는 디지털 경제환경에서 미국 경제의 지속적 성장을 도모함과 동시에 미국 소비자의 개인정보 보호를 개선할 목적으로 온라인 프라이버시 프레임워크를 발표(‘12.2.23) - 이 프레임워크 중 소비자프라이버시 권리장전(Consumer Privacy Bill of Rights, ‘CPBR’)의

7대 원칙은 다음과 같음

소비자프라이버시 권리장전(Consumer Privacy Bill of Rights, ‘CPBR’)의 7대 원칙

원칙의 분류 내용 투명성 원칙 (Transparency) 처리항목, 처리이유, 처리목적, 이용방법, 보존 ‧ 삭제시기, 제3자 제공목적 등 공개 개인정보자기통제권 (Individual Control) 개인정보 수집 및 이용과정에서 정보주체의 선택권, 동의 철회권 등을 보장 목적외 사용 등 금지 (Respect for Context)

정보주체가 정보제공 당시의 목적과 일치하는 범위 내에서만 기업이 개인정보를 수집, 이용, 공개할 수 있다는 제한원칙

최소수집 등 원칙 (Focused Collection and

Responsible Use)

최소수집 ‧ 보유 원칙, 파기 ‧ 삭제의무

정보보안(Security) 기술적 조치의 유지 ‧ 관리 등

접근 및 정확성 원칙

(Access and Accuracy) 열람요구권, 정정요구권 등의 보장 및 정확성 원칙

책임준수(Accountability)

프라이버시 영향평가(privacy assessments), 프라이버시 바이 디자인(privacy by design processes)의 채택, 기업 내부의 자체평가, 독립적 감사, 임직원 교육, 수령자에 대한 감독, 소비자 피해구제 등 • ‘13년 12월에 발생한 에드워드 스노든 사건에서 다양한 통신을 감청한 것이 폭로되자, ’14년 1월 국가안전국(NSA)의 개혁안을 발표, ‘14년 5월에는 소비자의 프라이버시를 중시한 빅데이터 정책에 관한 보고서를 공표 • ‘15년 1월의 일반교서 연설 전에도 오바마대통령은 새로운 개인정보보호에 관하여 아래와 같은 개인정보호정책에 관하여 발표 2015년 1월 오바마정부의 개인정보보호정책

Personal Data Notification and Protection Act of 2015 (개인정보의 통지와 보

호법)

개인정보보호의 새로운 연방기준을 정한 법안. 데이터 누설의 발각 후 30일 내에 정보가 유출한 것을 고객에게 통지할 것을 기업에게 요구

Consumer Privacy Bill of Rights of 2015(소비자 프라

이버시 권리장전)

2012년 오바마 정부 1기에 제출된 법안의 부활을 목적으로 함. 자기의 데이터에 관하여 무엇을 수집하고, 어떻게 공유하는가를 통제할 권리를 인터넷 이용자에게 부여하는 내용

Student Data Privacy Act (학생 데이터 보호법)

교육현장에 테크놀러지를 투입하는 움직임이 가속화하는 가운데 테크놀러지 기업이 학생에 관하여 수집한 데이터로부터 이익을 얻는 것을 금지. 위 법안은 2015년 5월에 Edward Markey 상원의원(민주당, 매세추세츠 주)와 Orrin Hatch 상원의 원(민주당, 유타주)이 제안

(26)

- ‘15년 4월, 사이버공격에 의한 개인정보보호를 목적으로 한 사이버 시큐리티 정보공유법(Cybersecurity Information Sharing Act: CISA)안*이 연방의회의 하원을 통과하고 상원에 이송

* 이 법안은 2013년 12월에 발생한 에드워드 스노든(Edward Snowden) 사건로 인하여 2013년에 제출된 법안을 갱신한 것이고, 정부와 기업이 인터넷의 접근상황이나 사이버공격의 정보공유를 목적으로 함. 다만, 동 법안에서는 사이버공격의 정보공유가 목적으로 되었지만, 기업이 정보를 제공하는 것에 대하여 소송 등으로부터 지킬 수 있는 것이 포함되었기 때문에, 개인의 프라이버시가 보호되지 않는 것은 아닌가 하는 목소리가 높음

 프로파일링(Profiling)의 규제*

* 차상육, “빅데이터(Big Data) 환경과 프라이버시의 보호”, 『IT와 법연구』 제8집, 경북대학교 IT와 법연구소, 2014.2, 215~216면.

• ‘온라인‧프로파일 보고서’(Online Profiling: A Report to Congress(June 2000))는 열람이력 등의 웹 등을 통하여 수집된 데이터가 통계․소비자심리의 관점에서 지극히 상세하게 분석된 점을 지적(FTC, ‘00년 6월)

• 최근 미국에서는 FTC의 주도 아래, 온라인상 개인행동의 추적에 기한 광고송신에 대해서 웹상에서의 추적을 금지하는 ‘추적금지(Do-Not-Tract)’의 틀의 도입을 장려

- 또한 FTC는 기만적인 관행을 행한 사업자에게 과태료제재를 포함한 법집행을 행함

• 2012년 2월, 오마바대통령은 ‘소비자 프라이버시 권리장전(Consumer Privacy Bill of Rights, CPBR)’에 서명하면서, ‘추적금지(Do-Not-Tract)’의 틀을 명기하여 이에 관련한 법안을 제출*

* The White House, Consumer Data Privacy in a Networked World: A Framework for Protecting Privacy and Promoting Innovation in the Global Digital Economy, 23 Fed. 2012.

- 또 캘리포니아주(州)에서는 ‘13년 9월, 18세 미만의 미성년자에 대한 온라인 프로파일링을 제한하는 규정, 미성년자 자신이 투고한 내용 또는 정보의 인터넷 웹사이트로부터의 삭제요청에 응할 의무를 규정한 법 개정*을 단행

* Senate Bill No.568(Cal) Ch 336 SB568 Approved by Governor on Sep. 23(2013).

- 아동에 대한 프로파일링에 의한 마케팅 활동이나 광고송신을 제한하고 아동에게 일종의 ‘잊혀질 권리’를 부여한 것으로 해석 가능

2. EU의 개인정보보호에 관한 법제 동향*

* 차상육, 전게논문, 210~215면.  개관 • 1980년 OECD는 ‘프라이버시보호와 개인정보의 국제 유통에 관한 가이드라인에 관한 이사회권고’를 발표

• EU는 1995년 개인정보의 처리와 자유로운 이동에 관한 EU ‘개인정보보호지침’(Data Protection Directive, 95/46/EC)을 시작으로 본격적으로 개인정보에 대한 통제권 강화를 위한 노력을 경주

• 유럽연합집행위원회(The European Commission)는 2012년 1월 25일, EU 데이터보호규정안(案)(the EU’s Proposed General Data Protection Regulation, GDPR)을 공표

참조

관련 문서

빠르고 정확한 기상 예보 서비스 와 함께 다양한 기상기후 빅데이터 융합서비스를 지속적으로 확산해 나간다면 기상청은 머지 않아 국민 안 전과 기상산업 육성이라는 두

하지만 현재 상용되는 암호는 빅데이터의 방대한 양의 자료를 감당하기에는 조금 부족한 면이 있다고 생각했다.. 그래서 우리는 “빅데이터“ 암호화라는 상황에 맞게 연구

ㅇ (민간 작은 생활문화공간 지원) 인천시의 브랜드 사업인 ‘천 개의 문화오 아시스 사업 ’ 등 민간의 작은 생활문화공간 지속 발굴 및 활동 지원

(변화) 감성소비자 등장 및 의견 분출 (대응전략) Big Data 활용, 갈등 관리. Big Data 활용을 통한 소비자의 요구를 파악, 요금

기상청은 기상기후 빅데이터 활용 활성화와 가치 확산을 위해 2016년부터 날씨 빅데이터 콘테스트를 개최하고 있으며, 민간기업과 협업 확대를 통해

모둠별

2 신기술 도입에 따른 작업조직 변화와 근로자 숙련형성... 4 신기술 도입에 따른 작업조직

As commercial companies using Big Data, one of the most common legal issues will be customers’ privacy and protection of personal information. More specifically,