빅데이터 산업 활성화를 위한 개인정보 보호규제 개선 검토

‘21

빅데이터 산업 활성화를 위한 개인정보 보호규제 개선 검토

김수연

한국경제연구원 연구원 (sykim@keri.org)

세기 원유’라고 불리는 빅데이터는 현재 정 보화 사회에서 거부할 수 없는 거대한 트렌 드로 그 중요성 및 영향력에 대한 기대와 우려 속에 도 세계 각국은 빅데이터 활성화 정책을 추진 중에 있다. 빅데이터 산업의 발전은 필연적으로 개인정보 보호 이슈를 함께 동반하게 되는바 개인정보의 유출 과 지나친 보호 모두 문제가 되는 규제적 딜레마를 발생시킨다. 즉 빅데이터 활성화를 위해서는 개인정 보가 적절하게 보호되면서도 한편 이러한 정보들이 자유롭게 활용될 수 있는 법적 환경을 구비하는 것이 필요하다. 하지만 우리나라 개인정보에 관한 일반법 이라 할 수 있는 개인정보보호법은 신성장동력이자 미래 산업인 빅데이터를 반영하지 못하고 있다. 다 른 나라에 비해 개인정보 보호 정도가 강한 우리나라 의 개인정보 보호규제는 최근 발생한 사고로 인하여 징벌적 손해배상제 도입 등 강화(2015. 7 개정)하는 일에만 중점을 둔 듯하다. 이러한 상황에서 2015년

라 개인정보 보호법제의 개선방향에 상당한 시사점 을 주고 있다. 일본은 개정 개인정보보호법상 개인 정보의 범위에 개인 식별부호를 포함시켜 개인정보 개념을 명확하게 규정하고 공정거래위원회와 같은 독립된 개인정보보호위원회를 설치하도록 하였다.

무엇보다 주목할 만한 것은 빅데이터 활성화 등 개인 정보의 이용 및 유통을 촉진시키기 위해 개인정보를 가공하여 식별가능성을 낮춘 제3유형의 정보에 대한 개념을 신설하고, 이러한 정보에 대해서는 제3자 제 공시 본인 동의를 요하지 않도록 규정하였다는 점이 다. 현행 우리나라와 개인정보보호법과 같은 형식적 사전규제의 강화는 실질적인 개인정보보호 없이 빅 데이터 관련 산업의 경쟁력 약화를 가져올 수 있음에 주의하여야 한다. 지난 9월 일본의 개인정보보호법 개정 내용을 참조하여 동의가 불필요한 정보 유형을 법상 마련하고 강력한 통합 개인정보관리 ‧ 감독기구 로서 개인정보보위원회를 강화하는 등 빅데이터 시

발행일 2015년 12월 22일Ⅰ발행인 권태신Ⅰ발행처 한국경제연구원Ⅰ주소 서울시 영등포구 여의대로 24 FKI타워 45층Ⅰ전화 3771-0060Ⅰ팩스 785-0270~3

1) 유럽의 데이터주도 경제 실현을 위한 움직임 본격화 - EC와 민간부문 빅데이터에 25억 유로 투자 결정 합의, 방송통신진 흥본부 방송통신기획부 동향과 전망: 방송ㆍ통신ㆍ전파 통 권 제81호 2014. 12.

1. 검토배경

▫전 세계 각국은 ‘데이터 주도 경제(Data-driven Economies)’의 도래에 따른 ‘빅데이터 산업(Big Data Industry)’의 중요성을 인식하고 이에 대한 투자 및 정책적 지원을 추진하고 있음

- 미국과 영국은 2012년 3월 각각 대통령 직속 과학기 술정책실을 통해 ‘빅데이터 연구개발 이니셔티브’(6 개 정부기관이 2억 달러 투자)공표 및 ‘데이터 전략 위원회(Data Strategy Board)’ 설립

- 일본도 2013년 6월 ｢세계최첨단 IT국가창조선언｣을 통해 글로벌 경쟁에서의 전략적 수단으로 IT와 데이 터 이용의 중요성을 인식하고 이를 활성화하기 위한 제도적 정비 등 관련 정책 발표

- 2014. 10. 13 EC도 미국에 비하여 뒤쳐져있는 빅데 이터 산업을 위해 Big Data Value Association와

MoU 체결하고, 총 25억 유로를 2020년까지 빅데이 터 산업에 투자하기로 결정(EC가 공적자금 5억 유 로, 민간부문이 20억 유로 투자 예정)¹⁾

- 우리나라도 대통령 직속 국가정보화 전략위원회를 통해 2011년 ‘빅데이터를 활용한 스마트 정부 구현 방안’을 마련하는 한편 빅데이터 마스터 플랜 추진 및 빅데이터 국가전략포럼을 실시

▫앞으로 세계 빅데이터 시장 규모는 두 배 가량 커 질 것으로 예상되는 가운데(wikibon), 우리나라 빅데이터 시장도 연평균 26.4% 성장하여 작년 1,204억 원에서 2018년에는 3,117억 원 규모에 이를 것이라 전망되고 있음(IDC)

세계 빅데이터 시장 전망

출처 : 위키본

2) 장영재, “빅데이터의 활용 -경영을 과학으로-”, 상장협 춘계 호(한국상장회사협의회, 2013)

2012 2013 2014 2015 2016 2017 연평균성장률 고정 인터넷 31,339 39,295 47,987 57,609 66,878 81,818 21%

관리형 IP 11,346 14,679 18,107 21,523 24,740 27,668 20%

모바일데이터 885 1,578 2,798 4,704 7,437 11,157 66%

총계 43,570 55,553 68,892 83,835 99,055 120,643 23%

우리나라 빅데이터 기술 및 서비스 시장 전망(2014~2018)

(단위: 억 원)

출처: IDC, 2015

2012~2017년 세계 인터넷 트래픽 전망(유형별)

(단위: PB(Peta Byte))

출처: Cisco, “Cisco Visual Networking Index: Forecast and Methodology 2012~2017”, 2013

- 빅데이터가 전 세계적으로 주목받게 된 배경으로 무 엇보다 기술 발전으로 인한 데이터의 저장 및 처리 능력 확대 및 트위터 등으로 대변되는 비정형 데이 터 등 대규모 데이터 형성을 들 수 있음

◦빅데이터라는 용어 사용이 이전에도 이미 ‘데이터 주도 혁신(data-driven innovation)’이란 개념을 통 해 데이터를 활용하여 새로운 부가가치를 창출할 수 있는 가능성에 주목하는 움직임은 지속적으로 있어 왔음

◦빅데이터가 의미를 갖기 시작한 것은 단순히 데이 터양이 증가하였기 때문이 아니라 그 활용 측면에 서 변화가 이루어졌기 때문으로 ICT 기술의 발전으 로 정보의 양적 증가를 유의미하게 활용하게 되었 음²⁾

3) 곽관훈, 기업의 빅데이터 활용과 개인정보의 보호의 조화, 일감법학 제27호

4) McAfee, A. and E. Brynjolfsson. 2012. “Big Data: The Management Revolution”, Harvard Business Review, October

5) 조영임, 빅데이터의 이해와 주요 이슈들, 한국지역정보화학 회지 제16권 제3호

6) 고학수, 개인정보의 법, 경제 및 이노베이션, 개인정보보법 제 개선을 위한 정책제안서, 프라이버시 정책연구포럼, 2015

기업의 빅데이터 활용효익

출처: A. T. Kearney

- 각국 정부는 의료, 교통, 세제 등 공공분야에 빅데이 터를 이용함으로써 사회적 비용을 감소시키고 효율 을 제고하려는 다양한 노력을 전개하고 있으며, 일 반 기업들도 경영 혁신, 원가 절감, 미래 트렌드 예 측, 마케팅 효과 등 경쟁력 제고를 위한 핵심 툴로서 빅데이터 활용 범위를 확대하고 있음

◦미국의 MIT공대에서 발행하는 잡지인 ‘MIT Sloan Management Review’가 IBM사의 연구조직인 ‘IBM Institute for Business Value’와 공동으로 100여 개 국 기업경영간부, 매니저, 분석담당자 약 3천 명을 대상으로 조사한 결과에 따르면 업계상위인 기업 은 하위인 기업과 비교할 때 데이터 분석을 5배 이 상 활용하는 것으로 나타남³⁾

◦또한 미국 330개 상장사 임원을 대상으로 회사 경 영시 빅데이터 고려 정도를 조사한 결과 빅데이터 와 경영성과 간 상당한 상관관계가 있으며 특히 각 산업 3위내 기업의 경우 데이터를 고려한 결정으로 경쟁기업에 비해 5% 더 생산적이고, 6% 높은 이익 을 거둔 것으로 나타남(Andrew McAfee and Erik Brynjolfsson, 2012)⁴⁾

▫빅데이터 산업의 발전을 위해서는 개인정보가 적

절하게 보호되면서도 한편으로는 이러한 정보들 이 자유롭게 활용될 수 있는 환경이 갖추어지는 것이 필요한바 법적 측면에서 개인정보 보호와 빅데이터 효율적 활용 사이에 적절한 접점을 찾 는 것이 중요한 과제가 되고 있음⁵⁾

- 개인정보 보호는 단순히 빅데이터 산업의 발전을 저 해하는 장애물이 아니라 빅데이터 산업을 위해서 넘 어야 할 과제로 인식하여야 함

◦개인정보보호 제도를 논함에 있어 흔히 범하는 오 류는 개인정보를 수집·이용하고자 하는 기업의 이 익과 이용자의 이익이 항상 배치될 것이라는 전제⁶⁾

7) 나성현, IoT 환경에서의 개인정보보호 이슈, 2015-06, KISDI Premium Report, 정보통신정책연구원

8) 미국, 유럽, 일본 등 빅데이터 활성화 정책을 적극적으로 추진함과 동시에 빅데이터 산업과 필요불가결하게 연관되 어 있는 개인정보보호 이슈에 대한 개선방향을 논의하고 관 련 가이드라인, 규제 마련 및 정비를 추진하고 있는 상황 9) 이경규, 정보권력의 견제와 균형 - 빅데이터 환경의 함의를

중심으로, 法學硏究 第17輯 第4號

구분 정의

정형(Structured) 고정된 필드에 저장된 데이터

사례: 관계형 데이터베이스 및 스프레드시트

반정형(Semi-structured) 고정된 필드에 저장되어 있지는 않지만 메타데이터나 스키마 등을 포함하는 데이터 사례: XML 이나 HTML 텍스트

비정형(Unstructured) 고정된 필드에 저장되어 있지 않은 데이터

사례: 텍스트 분석이 가능한 텍스트 문서 및 이미지, 데이터 등

◦규제의 강화가 반드시 이용자 보호 수준을 강화시 키는 것은 아닌 반면, 지나친 규제 강화는 IoT 혁신 을 통한 이용자 편익 증진을 저해할 수 있음⁷⁾

◦즉 형식적 사전규제의 강화는 실질적인 이용자 보 호 없이 기업의 창업활동과 글로벌 경쟁력 약화를 가져올 수 있음을 주의하여야 함

- 이에 본 보고서는 각 개인으로서 국민들이 빅데이터 산업의 활성화로 인한 편익을 누리면서도 프라이버 시를 보호받을 수 있도록 우리나라 개인정보 보호 관련 규제상의 개선과제를 검토하고자 함

◦우선 빅데이터의 개념, 활용현황 등을 살펴보고, 우 리나라의 개인정보 보호규제의 일반에 대해 검토 한 뒤 미국, 유럽, 일본의 빅데이터 산업 활성화와 연계된 개인정보 보호 관련 규제의 동향⁸⁾을 살펴봄 으로써 관련 시사점을 얻고자 함

2. 빅데이터의 의의

▫빅데이터의 정의는 명확하게 정립되지 않았으나 일반적으로 현재의 관리 및 분석체계로는 감당하 기 어려운 정도의 대용량 데이터를 의미함 - 빅데이터는 ‘빅(Big)+데이터(Data)’식의 단순 합성어

가 아니라, 기존의 기업 환경에서 사용되는 ‘정형화

된 데이터’는 물론 메타정보와 센서 데이터, 공정 제 어 데이터 등 미처 활용하지 못하고 있는 ‘반정형화 된 데이터’, 여기에 사진, 이미지처럼 지금까지 기업 에서 활용하기 어려웠던 멀티미디어 데이터인 비정 형 데이터’를 모두 포함함⁹⁾

- 가트너: 빅데이터의 주된 특징으로 크기, 다양성, 속 도 등을 제시(3V-Volume, Variety, Velocity)

◦크기(Volume)는 데이터의 물리적 크기로서 기업 데이터, 웹 데이터, 센서 데이터 등 페타바이트(PB) 규모로 확장된 데이터

◦다양성(Variety)은 기존 기업 데이터 환경에서 사용 하는 관계형 데이터베이스(RDB)에 저장된 데이터, 웹 로그(Web log: 웹 서버에 남은 사용자 데이터)나 기기 데이터와 같은 데이터, 비디오나 이미지 같은 비정형 데이터 등 빅데이터의 포함되는 데이터의 다양한 형태를 의미

빅데이터의 종류

출처 : 김종업, 이상규, 빅 데이터(Big data)의 활용과 개인정보보호, 한국지방정부학회 2013 하계학술대회 발표논문집

10) IDC, 빅데이터 분석: CIO를 위한 미래지형적 아키텍처, 기 술 그리고 로드맵, IDC analyze the future

◦속도(Velocity)는 데이터 처리 능력으로써 데이터 를 수집ㆍ가공ㆍ분석하는 일련의 과정을 실시간 또는 일정주기에 맞춰 처리할 수 있는 능력

- IDC: 빅데이터는 대규모의 다양한 데이터로부터 수 집, 검색, 분석을 신속하게 처리하여 경제적인 가치 발굴을 수행하도록 설계된 차세대 기술 및 아키텍처

◦빅데이터는 단순히 대용량 데이터 그 자체만을 지 칭하는 것이 아니라 그 데이터를 효과적으로 처리 하고 분석할 수 있는 기술에 더 초점을 둔 용어

◦기업의 관점에서 ‘가치를 생성할 수 있는 데이터’를 빅데이터라고 해석할 수 있음

◦기존의 관리 방법이나 분석 체계로는 처리하기 어 려운 막대한 양의 정형 또는 비정형 데이터 집합, 보통 수십에서 수천 테라바이트정도의 거대한 크기 를 갖고 여러 가지 다양한 비정형 데이터를 포함하 고 있으며, 생성-유통-소비(이용)가 몇 초에서 몇 시간 단위로 일어나 기존의 방식으로는 관리와 분 석이 매우 어려운 데이터의 집합 등으로 정의됨¹⁰⁾

- Mckinsey: 빅데이터란 여러 가지 정보원(사람, 사물, 센서 등)에서 매우 빠르게 생산되는 대량의 데이터 (EC) 혹은 기존 데이터베이스 관리도구로 데이터를 수집, 저장, 관리, 분석할 수 있는 역량을 넘어서는 대량의 정형 또는 비정형 데이터 집합 및 이러한 데 이터로부터 가치를 추출하고 결과를 분석하는 기술 - SAS: 빅데이터는 4V, Volume, Variety, Velocity,

Value

◦Volume, Variety는 가트너 정의와 동일, Value : 새 로운 가치를 창출하는 것을 의미

◦Velocity: 센서나 모니터링 등 사물정보, 스트리밍 정보 등 실시간성 정보가 증가하고 있고 이러한 실 시간성으로 인한 데이터 생성, 이동과 유통의 속도 가 증가하고 있으며 대규모 데이터처리 및 가치 있

는 실시간성 정보 활용을 위해 데이터 처리 및 분석 속도가 매우 중요하게 되었음을 의미

- 노무라연구소: 빅데이터를 처리할 수 있는 인재 ‧ 조 직, 데이터 처리·축적·분석기술, 데이터 자원 등 을 빅데이터의 3요소로 정의

- 일본 총무성 : 빅데이터란 사업에 도움이 되는 지식 을 도출하는 데이터

◦빅데이터 산업을 빅데이터를 이용하여 사회 ‧ 경제 적 문제를 해결하고, 업무의 부가가치향상을 행하 거나 또는 지원하는 사업으로 정의하면서 빅데이 터를 데이터의 양적 측면뿐만 아니라 그 데이터를 어떻게 이용하느냐는 질적 측면도 함께 고려하고 있음

- 우리나라 국가정보보호전략위원회 : 빅데이터란 대 용량 데이터를 활용, 분석하여 가치 있는 정보를 추 출하고, 생성된 지식을 바탕으로 능동적으로 대응하 거나 변화를 예측하기 위한 정보화 기술

▫빅데이터의 핵심은 단순히 데이터의 저장이나 수 집하는 과정이 아니라 이를 체계화하고 분석하여 의미 있는 2차, 3차 데이터를 추출하는 것임 - 빅데이터 형성단계로 1단계(카오스)는 데이터를 제

어하기 어려운 단계로서 사용할만한 데이터를 보유 하고 있지 아니한 상태, 2단계(빅데이터 보유)는 단 순한 데이터를 수집하는 단계로서 이를 분석할 만한 툴을 가지고 있지 아니한 단계, 3단계(최적화)는 2단 계에서 수집된 데이터를 최적화하는 단계, 4단계(간 단한 분석) 간단한 분석이 이루어질 수 있는 상태로

11) 운용익, 김스베틀라나, 빅데이터와 클라우드 시대, 정보와 통신, 한국전자통신연구원, 2013. 4

12) 해외 금융기관들의 빅데이터 활용 사례와 유의점, 주간금융 브리프 23권 36호, 한국금융연구원

빅데이터를 통한 분석 단계

출처: Booz & Company

데이터 간 상관관계 일부를 파악할 수 있는 단계, 5단계(전략)은 기존의 데이터를 통한 복잡한 분석 및 예측모델을 개발할 수 있는 단계로 구분하기도 함¹¹⁾

▫빅데이터 활용 사례는 다음과 같음

- 미국의 웰스 파고(Wells Fargo) 은행¹²⁾

◦고객의 ATM 조작이력을 토대로 화면에 표시되는 버튼을 고객별로 최적화(personalize)

◦예를 들어 정기적인 일정금액 인출과 예금계좌 입 금의 빈도가 높은 고객이라면 화면상단에 이 두 가 지 버튼이 표시되도록 함. 이후 정기적으로 ATM 조 작이력을 반영하여 가장 빈번히 사용되는 서비스 버튼이 상단에 자동적으로 교체·배치되도록 하고 있음.

◦타행 계좌의 카드 이용자에 대해서도 자행의 ATM 을 이용하면 조작이력이 기록되기 때문에 동일하 게 거래화면 최적화가 이루어지고 있음.

◦Wells Fargo 은행은 속도(speed), 개인최적화 (personalize), 이해 용이성(understandability) 등 의 세 개념에 입각해 ATM을 단순한 현금인출기가 아니라 영업 전개 및 확장을 위한 채널로써 다양하 게 활용하는 데 초점을 맞춰 지속적인 기능향상을 도모해 나가고 있음

13) 김기병, 빅데이터와 데이터 유통국토 제405호(2015. 7) 14) 2012.2.16, The New Times; 2012.2.17, TIME Techland,

이창범, 개인정보보호법제 관점에서 본 빅데이터의 활용과 보호 방안, 法學論叢 第37卷 第1號

15) 이유재 외 2인, KB국민카드의 마케팅 활동과 빅데이터 활 용, KBR 제18권 제1호 2014년 2월

16) Data Privacy Regulation Comes of Age in Asia 17) Variation Data Protection Regulation Across Market

- 서울시 심야버스 노선¹³⁾

◦2013년 서울시가 심야버스인 올빼미 버스 노선 수 립에 빅데이터를 성공적으로 적용한 사례

◦서울시는 국내 한 통신사와 업무협약을 체결하고 1개월분 통화데이터인 30억 건의 빅데이터를 제공 받아 심야 교통수요가 어디 있는지를 분석하고 확 인하여 심야버스 노선을 수립

◦이로 인해 공공 행정영역에서의 빅데이터 적용가 능성 및 기업 측에서는 요금 정산 및 과금 목적으로 만 사용되던 휴대폰 통화 데이터의 새로운 활용가 능성과 부가가치를 확인하게 되었음

- 미국의 대형 체인형 잡화점인 타깃(Target)¹⁴⁾

◦대다수 다른 회사들과 마찬가지로 고객들에게 개 인 ID를 부여하는 타깃社는 매순간 고객이 구매한 상품의 종류, 구매 시기 등을 수집 ‧ 저장

◦이들 정보는 통계전문가에 의하여 분석되는바 분 석된 정보를 통해 타깃社는 고객들의 결혼시기, 직 업의 변경 사실, 임신 여부 등을 알아낼 수 있고 심 지어 출산 예정일까지도 정확히 알아낼 수 있었음

◦예로 타깃社는 미니애폴리스에 사는 한 고등학교 여학생에게 이메일로 아기용 침대와 옷을 살 수 있 는 쿠폰을 보냈는데 이로 인해 학생의 아버지로부 터 항의를 받았으나 소녀의 임신 사실을 몰랐던 아 버지는 뒤늦게 딸이 임신한 사실을 알고 타킷社에 사과했던 사건

- KB국민카드¹⁵⁾

◦KB국민카드는 출산, 육아 등 지속적으로 지출이 이 루어지는 ‘맘스 고객’을 관리하기 위하여, 20~30대 여성고객의 과거 5년 동안의 병원 결제내역을 확인 하여 매월 병원매출이 반복적으로 발생한 고객을 대상으로 출산시기와 아이연령을 추정

◦해당 고객의 출산 전후 시기별 매출행태 분석 및 SNS, 블로그 분석을 통해 임신 이후 개월 단위로 필요한 정보와 물품을 정리하여 실시간 마케팅 시 스템을 통해 추출한 대상고객을 대상으로 아이 연

령대에 맞는 정보를 주기적으로 제공하고 유아용품 할인정보를 안내하는 메시지와 이메일을 발송

3. 우리나라의 개인정보 보호규제

▫우리나라는 제도적으로는 개인정보 활용을 매우 엄격하게 규율하는바 주요국 대비 개인정보 보호 수준은 높은 것으로 평가되고 있음

- Hogan Lovells(2014)¹⁶⁾에 따르면 한국은 아시아에서 개인정보 규제 수준이 가장 높은 국가

◦데이터 관리 수준, 마케팅 직접 이용 가능성, 데이 터 수출 통제, 관련 법규 준수에 대한 강제 4가지 요소를 기반으로 평가하였을 때 일본, 홍콩, 싱가포 르에 비해 보다 강력하게 개인정보를 보호하고 있 는 것으로 드러남

- The Global Information Technology Report(2014)¹⁷⁾ 에 따르면 한국과 일본은 데이터 보호 수준은 강한 편에 속함

아시아-태평양 국가의 데이터 프라이버시 규제 강도 지도

세계 개인정보보호 규제 강도

- 우리나라는 기본적으로 EU와 같이 기본적으로 사전 규제 방식을 채택하고 있는 동시에 형벌규정을 적용 하며, 최근 벌어진 대규모 개인정보 침해사고에 따 라 사후적인 규제도 점차 강화되고 있는 추세

◦EU는 예방적 차원에서 사전적 규제방식을 채택하 고 있는 반면, 미국은 개인정보침해 사건이 발생한 경우 사후적으로 규제하는 방식을 취하고 있음

18) 손상영, 김사혁, 빅데이터 시대의 새로운 정책이슈와 이용 자 중심의 활용방안 연구, 방송통신정책연구 12-진흥-097

◦한편 2015년 2월, ｢신용정보법｣ 개정을 통해 금융 회사의 신용정보 유출시 징벌적 손해배상제도 및 법정 손해배상제도 도입함

◦또한 2015년 7월, ｢개인정보보호법｣ 개정을 통해 대통령 소속 개인정보 보호위원회의 총괄·조정 기능 강화, 개인정보 보호 인증기관 지정 근거 마련 등 현행법의 운영상 미비사항을 보완하고, 징벌적 손해배상제·법정손해배상제를 도입하여 개인정 보 유출에 대한 피해구제를 강화하는 한편, 개인정 보 불법 유통으로 얻은 범죄 수익을 몰수·추징하 고, 부정한 방법으로 개인정보를 취득하여 영리 등 의 목적으로 타인에게 제공한 자에 대한 벌칙을 신 설함

▫우리나라는 ｢개인정보보호법｣을 기본으로 ｢정 보통신망 이용촉진 및 정보보호 등에 관한 법률｣,

｢위치정보의 보호 및 이용 등에 관한 법률｣ 등에 서 개인정보 보호와 관련된 사항을 규정하고 있 음¹⁸⁾

- 과거 우리나라의 개인정보보호에 관한 법제는 크게 공공부문과 민간부문으로 구분되어 공공부문은 ‘공 공기관의 개인정보보호에 관한 법률’에서, 민간부문 은 ‘의료법’, ‘교육기본법’ 등 분야별 법률 내에서 규 율하였음

◦단, 금융, 통신 등 일부 분야에서는 개인정보보호와 관련된 특별법이 제정

- 1990년대 말부터 인터넷이 급속하게 보급됨에 따라 온라인상의 개인정보보호를 위해 기존 ‘전산망 보급 확장과 이용촉진에 관한 법률’에 개인정보보호에 관 한 조항들을 포함시켜 2001년 1월 ‘정보통신망 이용 촉진 및 정보보호에 관한 법률’이 마련됨

◦온라인 개인정보 중 특수하고 민감한 정보라고 할 수 있는 개인 위치정보를 이용한 서비스들이 등장 하자 위치정보의 오남용을 막기 위해 2005년 1월

‘위치정보의 보호 및 이용 등에 관한 법률’ 제정

- 2000년대 후반 대형 통신사와 인터넷 사업자들에 의 해 대규모의 가입자 정보가 유출되거나 해킹당하는 사건들로 인해 개인정보보호의 강화에 대한 요구가 거세어지면서 공공 및 민간의 모든 영역을 아우르는 통합 개인정보보호법이 제정됨(2011년 3월)

◦개인정보보호법은 전반적으로 정보보호의 수준을 강화하였기 때문에 비록 분야별 기존의 법령이 우 선 적용된다고 하더라도 기존 법령이 규정하지 않 는 사안에 대해서는 ‘개인정보 보호법’이 적용되므 로 사회 전반적인 개인정보보호의 수준은 강화되 었음

분류 관련분야 법률명 소관부처

일반법 -개인정보보호법 행정자치부

개별법

공공부문

-전자정부법 -주민등록법

-공공기관의 정보공개에 관한 법률 -공공기록물 관리에 관한 법률 -민원사무처리에 관한 법률

행정자치부

-국가보안업무규정 국가정보원

민간부분

정보통신분야

-정보통신망 이용촉진 및 정보보호 등에 관한 법률 -위치정보의 보호 및 이용 등에 관한 법률

방송통신위원회 미래창조과학부

-통신비밀보호법 미래창조과학부

법무부

-정보통신기반보호법 미래창조과학부

-전기통신사업법 방송통신위원회

미래창조과학부

-국가정보화기본법 미래창조과학부

상거래분야

-전자문서 및 전자거래 기본법 미래창조과학부

법무부 -전자상거래 등에서의 소비자보호에 관한 법률 공정거래위원회

-전자서명법 미래창조과학부

금융.신용분야

-신용정보의 이용 및 보호에 관한 법률 -금융실명거래 및 비밀보장에 관한 법률 -전자금융거래법 전자금융감독규정 -보험업법

-자본시장과 금융투자에 관한 법률

금융위원회 법무부

보건.의료분야

-의료법 -약사법 -국민건강정보법 -후천성면역결핍증 예방법

-감영법의 예방 및 관리에 관한 법률 -식품위생법

보건복지부

주요 개인정보 보호 관련 법률

출처: 이창범(2012)을 기초로 수정

- 개인정보보호법은 OECD 개인정보 보호 가이드라인 의 8대 원칙을 모두 반영하고 있음

◦수집제한의 원칙: 목적에 필요한 최소한 범위 안에 서 적법하고 정당하게 수집

◦정보 정확성의 원칙: 처리 목적 범위 안에서 정확 성, 안정성 보장

◦목적 명확화 원칙: 개인정보 처리 목적의 명확화

◦이용 제한의 원칙: 필요 목적 범위 안에서 적법하게 처리, 목적 외 활용 금지

◦안전 보호의 원칙: 정보 주체의 권리 침해 위험성 등을 고려한 안전성 확보

◦공개의 원칙: 개인정보 처리사항 공개

◦개인 참가의 원칙: 열람청구권 등 정보 주체의 권리 보장

◦책임의 원칙: 개인정보처리관리자의 책임 준수, 신 뢰성 확보 노력

19) 이창범, “개인정보보호법제 관점에 본 빅데이터의 활용과 보호 방안”, 법학논총 제37권 제1호(단국대학교 법학연구 소, 2013)

20) 곽관훈, 기업의 빅데이터 활용과 개인정보의 보호의 조화, 일감법학 제27호

단계 침해유형 개인정보 침해위협 및 요인

수집

부적절한 개인정보 수집 - 사용자가 인지하지 못하는 SW 등을 이용하여 개인정보 수집 - 개인정보가 포함된 콘텐츠를 크롤링하여 개인정보 수집 동의 없는 사생활 모니터링 - 개인정보 소유자의 접속정보를 지속적으로 수집 및 분석

- 허가 없이 개인 위치정보 수집

불필요한 개인정보 수집 - 상업적 목적 혹은 관리 편의성을 이유로 불필요한 개인정보 수집 - 정당한 목적 없이 민감정보 수집

저장 및 관리

데이터베이스/시스템 미보호 - 개인정보가 저장된 DB/시스템의 관리 소홀 부주의로 인한 개인정보 노출 - 시스템 불법침입 및 실수로 개인 정보 유출

- 권한 오류로 개인정보 유출 및 노출

이용 및 제공

부적절한 분석 - 사용자 동의 없이 구매내역 등을 분석하여 맞춤형 서비스에 이용 - 사용자 이동경로를 분석하여 악의적 목적에 사용

동의 없는 광고성 정보 제공

- 사전 동의를 거치지 않고 상품 광고나 광고성 정보를 제공

- 사용자 동의 없는 개인정보, 제3자 제공으로 광고성 스팸메일, SMS 문자, 전화 발송

파기

보유기간 이후에도 미파기 - 보유기간 경과 후에도 개인정보 및 위치정보 미파기 불법적 개인정보 파기 - 파기 권한을 가지지 않은 자가 개인정보를 임의로 파기

- 관리자의 실수로 개인정보 파기

단계별 개인 정보 침해위협 및 요인

출처: 이연우 외 2인, 빅데이터 환경 내 개인정보보호를 위한 대용량 개인정보 관리 모델 설계방안, 2012년 한국인터넷정보학회 추계학술발표 대회 논문집 제1권 제2호

▫개인정보보호법의 보호대상인 ‘개인정보’란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보 를 말하며, 해당 정보만으로는 특정개인을 알아 볼 수 없더라도 다른 정보와 쉽게 결합하여 알아 볼 수 있는 정보를 포함하는 개념임

- 개인정보보호법은 정보주체가 자신의 개인정보가 언제, 어디서, 어떻게, 어느 범위까지 수집 ‧ 이용 ‧ 제 공되는지에 대해 스스로 판단 ‧ 결정할 수 있는 개인 정보 자기결정권을 갖고 있다는 점을 전제 - 개인정보를 처리하는 자는 개인정보보호에 관한 기

본 원칙(제3조)을 준수해야 하며, 개인정보를 수집 함에 있어 개인정보의 수집 ‧ 이용 목적 등을 알리고 정보주체의 동의를 받는 것이 원칙(제15조 1항 1호, 2항)

◦정보주체의 동의를 얻는 방법은 크게 opt-in 방식 과 opt-out 방식으로 나뉘는데 우리나라는 유럽과 같이 사전에 정보주체에게 개인정보 처리 목적을 고지하고 정보주체의 명시적 동의(affirmative consent)를 받아야 하는 opt-in 방식임¹⁹⁾

◦opt-out 방식은 개인정보의 수집, 처리에 관하여 우편, 전자우편 등을 통해 정보주체에게 알리고 이 에 대해 정보 주체가 공식적으로 이의를 제기하지 않으면 개인정보 활용이 허용되는 방식으로 미국 이 여기에 해당²⁰⁾

21) 개인정보보호법 제2조 제1호: 개인정보란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인 을 알아낼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다. 정보통신망법 제2조 제1 항 제6호: 개인정보란 생존하는 개인에 관한 정보로서 성명

⋅주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호⋅문자⋅음성⋅음향 및 영상 등의 정보(해당 정보만으 로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합 하여 알아볼 수 있는 경우에는 그 정보를 포함한다)를 말한 다. 위치정보법 제2조 제2호: 개인위치정보라 함은 특정 개 인의 위치정보(위치정보만으로는 특정 개인의 위치를 알 수 없는 경우에도 다른 정보와 용이하게 결합하여 특정 개 인의 위치를 알 수 있는 경우를 포함한다)를 말한다.

22) 오길영, 빅데이터 환경과 개인정보의 보호방안, 일감법학 제27호

▫현행 개인정보보호법이 상정하고 있는 데이터 환 경이 빅데이터에 부합하지 않는다는 지적에 따라 관련 법률의 재정비 필요성이 제기되고 있음 - 현행 개인정보보호 관련 법규의 보호대상이 되는 ‘개

인정보’²¹⁾는 개인식별정보(Personally Identifiable Information, PII) 외에 해당 정보만으로는 특정 개인 을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 비식별정보(Non-PII)도 포함되는 개 념임

- 빅데이터가 활용하는 정보는 주로 비식별정보인데 이러한 정보가 개인식별 가능성을 띄게 되는 경우 개인정보보호법상 보호대상이 되는바 이를 수집 ‧ 이용하기 위해서는 원칙적으로 정보주체의 동의를 얻어야 하며, 동의를 얻은 경우에도 필요한 범위 내 에서 최소한의 정보만 수집해야 하고, 수집목적을 넘어 이용하고자 하는 경우 정보주체로부터 별도의 동의를 얻어야 하며 보유기간이 경과하거나 목적을 달성한 개인정보는 지체 없이 파기되어야 함 - 하지만 빅데이터는 단순한 데이터의 집합체가 아니

라, 해당 데이터로부터 유의미한 정보를 추출하여 활용하는 것으로 개인정보 수집당시에는 생각하지 못했던 목적으로 활용할 가능성이 상당함²²⁾ - 이러한 빅데이터에 대해 개인정보보호법을 그대로

적용한다면 정보를 수집하는 단계에서도 정보주체 의 동의를 얻어야 할 뿐만 아니라, 이를 활용하여 분석하는 모든 단계마다 동의를 얻어야 하는 문제가 발생

- 또한 식별 가능성이라는 불명확한 기준에 따라 개인 정보 여부를 판단하게 되면 정보주체가 정보제공 자 체를 꺼리거나 개인정보유출을 주장하여 법적 분쟁 이 발생할 가능성이 매우 높아지게 됨

◦판례는 식별 가능성에 대하여 당해 정보와 결합 가 능한 다른 정보가 모두 동일인에게 보유되고 있는 것을 전제로 하고 있지 아니하고, 쉽게 다른 정보를 구한다는 의미가 아니라, 구하기 쉬운지 어려운 지 와는 상관없이 해당 정보와 다른 정보가 특별한 어 려움 없이 쉽게 결합하여 특정개인을 알아볼 수 있 게 되는 것을 의미한다고 판시(서울중앙지법 2011.

2. 23. 선고 2010고단5343 판결)

◦즉 IMEI(국제모바일 단말기 인증번호)나 USIM 일련 번호는 통신사의 데이터베이스에서 관리되어 있 고, 그 시스템을 이용하면 누구인지 식별가능하다 는 이유로 식별가능 개인정보로 인정하였음

23) 프로파일링(profiling)은 프로필(profile)을 작성하여 이용 하는 것으로, 사전적으로는 사람의 특징을 체계적으로 표 현하는 것을 의미. 하지만 최근에는 그 의미가 확대되어 효과적인 광고를 위해 이용자 대상 집단에 대한 정보를 수 집하는 것을 말함. 이러한 프로파일링의 문제는 광고 쿠키 등 익명의 개인비식별정보가 프로필 추적을 통해 개인의 신원정보와 결합하도록 한다는 것임. 특히 광고 네트워크 는 소비자의 특정 관심사에 표적된 광고를 제공하기 위해 각 소비자의 관심과 선호에 대해 추론함으로써, 개별 소비 자의 취향, 욕구와 구매 습관을 예측하려고 시도하고, 개인 의 상세 프로필을 구축함. 그런데 소비자는 방문한 웹 사이 트의 광고 네트워크의 존재와 (데이터를 수집한다는 통지 를 제공받지 않는 한) 자신들의 활동이 온라인으로 모니터 링되고 있는지를 전혀 알 수 없음, 손상영, “빅데이터, 온라 인 마케팅과 프라이버시의 보호”, KISDI, 프리미엄 리포트 24) 허성욱 - 한국에서 빅데이터를 둘러싼 법적 쟁점과 제도적

과제, 경제규제와 법 제7권 제2호(통권 제14호) 2014. 11 25) 최경진, “빅데이터 환경에서 개인정보보호 강화를 위한 법

⋅제도적 대책 방안 연구”, 개인정보보호위원회 연구용역 보고서, 2012

◦하지만 타 데이터와의 용이한 결합으로 인한 개인 식별 가능성 유무를 판단하는 것은 빅데이터 처리 과정에서 사용되는 프로파일링²³⁾ 혹은 데이터 마이 닝의 기술의 기술적 난이도를 법적으로 어떻게 이 해할 것인가의 문제로 규범적 판단을 하는 법률가 들에게 어려운 문제임²⁴⁾

- 빅데이터의 처리과정은 데이터와 데이터 사이의 연 결성을 그 본질적 요소로 하므로 데이터의 수집단계 에서는 개인식별성을 갖지 않은 정보라고 할지라도 데이터의 처리과정에서 사후적으로 특정 개인에 대 한 식별성이 발생할 가능성이 상당한바 이 경우 어 떤 개인정보보호조치를 취할 것인지도 문제²⁵⁾ - 이에 개인정보의 개념을 축소하고자 하는 논의 즉

비식별정보를 개인식별정보와는 차별적으로 취급 을 하여, 그 보호의 수준을 달리하거나 아예 보호의 대상에서 제외하자는 주장이 일부에서 제기되고 있음

26) 손상영, 빅데이터, 온라인 마케팅과 프라이버시 보호, KISDI Premium Report. 유지연, 미국 개인정보보호 동향, 방송통 신정책, 정보통신정책연구원, 제24권 제13호, 2012, 임창균, 미국의 개인정보보호 규제 동향, journal of communications & radio spectrum, special issue trend report, 건국대학교 겸임교수, ‘빅데이터 환경에서 개인정 보보호이슈’, Information Inside 정보 속으로, IT 이슈, 2014년 3-4월호 vol. 85, ‘빅데이터 시대의 새로운 정책이슈와 이용자 중심의 활용방안 연구, 2012. 11, 정보통신정책연구원, 방송통신위원회를 바탕으로 정리

1974년 프라이버시 법 (Privacy Act of 1974)

－ 미국은 개인정보보호에 관해서는 민간부문과 공공부문을 나누어 개별법들에 의해 규율하고 있는 데, 프라이버시법은 공공부문을 규율하는 법에 해당됨

－ 민간부문은 분야별로 개별법들이 존재하며, 강한 언론의 자유의 영향으로 개인정보의 처리에 대한 규제는 법보다는 사적 계약이나 사회규범에 의해서 이루어져 왔음

－ 전통적으로 유럽 대륙에서는 프라이버시를 국민의 기본권으로 인식하고 절대 불가침의 대상으로 취급해온 반면, 영미권에서는 프라이버시도 거래가능한(tradable) 대상으로 보았음

2009년 2월 FTC가 ‘행태정보 기반 온라인광고에 대한 자율규제 원칙 (Self-Regulatory Principles for Online Behavioral Advertising)’

발표

- 주요 원칙으로는 투명성과 소비자에 의한 통제, 소비자 정보에 대한 적절한 보안과 정보 보유의 제한, 프라이버시 정책 변경 시 명시적 동의 획득, 행태기반 광고 목적의 민감정보 이용에 대한 명시적 동의 획득 등이 있음

－ 이에 대응하여 미국의 5대 광고단체는 2009년 7월에 FTC의 원칙에 부합하는 ‘온라인 행태광고 를 위한 자율규제안’을 발표함

－ FTC는 개인식별정보뿐만 아니라, 온라인 광고를 위해 수집된 특정개인과 연관될 수 있는 모든 정보가 보호대상이 되어야 한다고 주장함

2010년 9월 미국 하원에서 ‘인터 넷 프라이버시 법안

(Intrnet Privacy Act)’ 발의

－ 주요 내용으로는 첫째, 개인정보를 수집하는 기업은 프라이버시 정책을 공개하고, 해당 개인에 게 이해하기 쉬운 표현으로 고지해야 함. 둘째, 일반적인 개인정보 수집에 대해서는 사후동의 (opt-out)를 원칙으로 하되, 민감 정보는 사전 동의(opt-in)를 얻어야 함. 셋째, 개인식별정보를 제삼자와 공유하기 위해서는 사전 동의를 받아야 함

2011년 2월 스페이어 상원의원이

‘Do-Not-Track Online Act of 2011’ 발의

－ 인터넷 브라우저가 인터넷 이용자의 온라인행위를 추적하는 것을 금지할 권한을 부여

2011년 4월 미국 상원에서 ‘상거 래 프라이버시 권리헌장 법안 (Commercial Privacy Bill of Right Act)’ 발의

－ 개인정보 보호와 관련된 기존의 원칙들이 종합적으로 수록 및 법안 적용대상 기관, 보호대상 정 보, 수집가능 정보 및 보관기간 벌칙조항 등이 상세하게 규정

2012년 2월 오바마 행정부는 ‘네 트워크화된 세계에서 소비자 데 이터 프라이버시’ 발표

(Consumer Data Privacy in a Networked World)

- ‘소비자 프라이버시 권리장전(ConsumerPrivacy Bill of Right)’은 소비자의 온라인 프라이버시를 보호하기 위해 다음과 같은 7대 원칙을 제시

① 소비자 자신의 데이터에 대한 개별 통제권(individual control)

② 기업의 프라이버시 업무에 대한 투명성(transparency)

③ 개인 데이터의 공개 및 이용이 허락된 최초 상황의 존중(respect for the context)

④ 소비자는 자신의 데이터에 대한 보안성(security)을 요구할 권리를 가짐

⑤ 소비자는 개인 데이터에 접근할 수 있고, 오류를 수정할 수 있음(access and accuracy)

⑥ 소비자는 자신에 관한 데이터 수집에 제한(focused collection)을 가할 수 있음

⑦ 기업은 프라이버시 권리장전을 지키고 있음을 소비자에게 설명할 책임(accountability)이 있음 2012년 3월 FTC는 ‘급변하는 시

대에서 소비자 프라이버시 보호 (Protecting Consumer Privacy in an Era of Rapid Change)’ 발표

- 2011년 스페이어 상원의원이 제안한 바 있는 ‘Do-Not-Track’을 다시 제시

- FTC는 모바일 앱 개발업체들에게도 프라이버시 대책을 마련할 것을 권고하였으며, 데이터 브로 커의 정체를 일반에게 공개하고 이들이 어떤 정보를 어떤 방법으로 수집하는지 소비자들에게 알 려 줄 수 있도록 관련법 정비를 요청

4. 주요국의 개인정보보호 규제와 시사점 (1) 미국²⁶⁾

27) 손상영, 빅데이터, 온라인 마케팅과 프라이버시 보호, KISDI Premium Report, 최경진, EU 개인정보보호법제의 발전 동향, 2013. 추계 정기세미나, 한국정보법학회, 건국 대학교 겸임교수, ‘빅데이터 환경에서 개인정보보호이슈’, Information Inside 정보 속으로, IT 이슈, 2014년 3-4월 호 vol. 85, ‘빅데이터 시대의 새로운 정책이슈와 이용자 중심의 활용방안 연구, 2012. 11, 정보통신정책연구원, 방 송통신위원회를 바탕으로 정리

28) パーソ\ナルデータの利活用に関する制度見直し方針, 平 成25年12月20日, 高度情報通信ネットワーク社会推進戦 略本部決定

1995년 데이터보호지침 (Directive 1995/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data)을 제정

- 유럽 대륙에서는 프라이버시를 인간의 기본권으로 인식하며 인권보호의 차원에서 개인정 보보호에 대한 법제를 정비

- 개인정보보호의 근거법, 개인정보보호 감독기구로서 유럽데이터보호감시국(European Data Protection Supervisor)을 설치

- 이 지침에는 개인정보보호의 원칙을 비롯하여 개인정보의 처리기준과 방법 및 절차, 정보 주체의 권리, 피해구제, 감독기구의 의무 등이 구체적으로 규정되어 있어 유럽뿐만 아니라 세계 다른 국가들의 개인정보보호 관련 법제에 큰 영향

- 동 지침은 공공부문과 민간부문에 공히 적용된다는 점에서 미국과 대비

2002년 ‘프라이버시와 전자통신에 관한 지침(Directive 2002/58 on Privacy and Electronic Communication)’을 제정

- EU는 모바일 단말기의 위치 데이터 처리를 규제하기 위해 위치정보 수집 시 이용자의 사 전 동의를 의무화함

－ 2009년에는 이 지침을 개정하여 개인정보의 이용목적을 명시할 것을 의무화하고, 명시된 목적 이외의 이용을 금지함

－ 2011년에는 쿠키에 대한 규제를 강화하여 사업자가 쿠키를 저장하기 전에 이용자의 명백 한 동의를 얻을 것을 요구함

2012년 1월 EU의 데이터보호 개선 패키지 (Data Protection Reform Package)를 제안

- 데이터 보호 개혁의 주요 내용은 데이터 보호를 위한 일반적인 규제 프레임워크의 설정, EU에서 유효한 데이터 보호의 단일 규정, 개인 데이터 처리 책임의 강화, 국가의 데이터 보호 권한 강화, 잊혀질 권리(right to be forgotten) 등을 담음

－ 프라이버시 보호 강화 및 개인정보 보호규정의 실효성 강화를 위해서는 넓은 의미의 ‘개인 정보’의 개념을 유지하는 것이 필요하며, 이를 위해 ‘정보주체’의 식별가능성을 강조

－ 특히 프로파일 이용의 금지, 자연인은 사후 자신에게 불리한 프로파일링 조치의 대상이 되지 않을 권리의 명시 등 프로파일링에 대한 강한 규제 방안이 주목을 끎

－ 데이터 보호 개혁은 EU 데이터보호작업반(Article 29 Data Protection Working Party)이 유럽의회와 유럽데이터보호감시국 등의 의견을 반영하여 수정

(2) 유럽²⁷⁾

(3) 일본

▫일본은 빅데이터 시대에 개인정보의 효과적인 활 용과 보호를 위하여 2015년 9월 개인정보보호법 개정하였음

- 2013년 6월 일본은 ｢세계 최첨단 IT 국가 창조 선언｣

을 통해 IT와 데이터의 이용 및 활용을 글로벌 경쟁 에서의 중요한 수단으로 보고 개인정보 및 프라이버 시 보호를 전제로 개인정보를 최대한 활용하여 새로 운 비즈니스와 새로운 서비스의 창출 및 기존산업의 활성화를 촉진하며 공공이익에 이바지할 수 있도록 관련 제도 개선을 추진할 것을 발표²⁸⁾

29) 2013년 12월 개인 데이터의 이용 및 활용에 관한 제도 재검 토 방침 상의 주요 내용은 다음과 같음

새 로 운 유 형 의 개 인 정 보 의 도 입

개인정보 및 프라이버시 보호를 배려한 개인정보의 이용 및 유통을 촉진하기 위해 개인정보를 가공해서 개인이 특정될 가능성을 낮춘 정보에 관해서, 개인정보 및 프라 이버시 보호에 대한 영향 및 본인 동의 원칙에 유의하면 서 제3자 제공에서 본인의 동의를 요하지 않는 유형을 도입하고, 당해 유형에 속하는 정보를 취급하는 사업자 (제공자 및 수령자)가 부담해야 하는 의무 등 마련 제3자 기관

(privacy commissioner) 의 체제정비

개인정보의 보호와 이용 및 활용을 균형있게 추진한다 는 관점에서 독립적인 기관인 제3자 기관에 의한 통일 적인 견해의 제시, 사전상담, 고충처리, 입회검사, 행 정처분의 실시 등의 대응을 신속하고 적절하게 할 수 있는 체제 정비

국제적인 조화를 도모하기 위해 필요한 사항

(1) 외국 제도와의 조화

일본기업이 원활하고 세계적으로 사업이 진전될 수 있 는 환경을 정비하면서 해외사업자에 대해 국내법의 적 용과 제3자 기관에 의한 국제적인 집행협력 등의 실현 에 대해서 검토

(2) 외국으로의 정보 이전의 제한

글로벌한 정보의 이용 및 유통을 저해하지 않는 것과 프 라이버시 보호와의 균형을 고려하여 개인정보의 보호수준 이 충분하지 않은 다른 국가로의 정보이전 제한 검토 등

프라이버시 보호 등을 배려한 정보의 이용 및 유통을 위한 사항

(1) 개인정보 보호 목적의 명확화

개인정보의 보호는 이용 및 활용의 공익성이라는 관점도 고려하면서 프라이버시 보호와 동시에 이용 및 활용을 촉진하기 위해 이루어진다는 기본이념을 명확하게 규정 (2) 보호되는 개인정보 범위의 명확화

보호되는 개인정보의 범위에 대해서는 실질적으로 개인 이 식별될 가능성을 갖는 것으로 하고, 프라이버시 보 호라는 기본이념을 고려해서 판단. 또한 프라이버시 침 해 위험성이 높은 민감정보(sensitive data)에 대해서는 새로운 유형을 마련해서 특성에 맞춘 취급을 검토 (3) 프라이버시를 배려한 개인정보의 적정이용 및 유통 을 위한 절차 등 투명성확보를 전제로 이용 목적의 확 대에 따라 사업자가 따라야 하는 절차와 제3자 제공에 서의 본인 동의원칙의 예외규정(옵트아웃, 공동이용 등) 에 대한 검토 및, 개인정보 취급시의 규정의 충실화(동 의취득절차의 표준화 등)에 검토

パーソ\ナルデータの利活用に関する制度見直し方針, 平 成25年12月20日, 高度情報通信ネットワーク社会推進戦 略本部決定, 김경석, ‘빅테이터 활용을 위한 법제개선방안 에 관한 소고’, 2014. 12

30) http://itpro.nikkeibp.co.jp/atcl/column/15/092800231/

092900002/, 改正個人情報保護法は ｢ビッグデータ活用｣

に役に立つのか, 닛케이컴퓨터, 2015. 3. 13 http://www.meti.go.jp/policy/it_policy/privacy/, 31) 익명가공에 대하여 ‘정상적인 수단을 사용하여 복원할 수

없는 것으로 100% 복원이 불가능하게 하는 것까지 요구하 는 것은 아니다’(참의원 내각위원회 2015. 5. 28): 익명데이 터X, 개인특이성 감소데이터O

- 일본의 개인정보보호법이 빅데이터 산업의 등장, 정 보통신기술의 발전 등을 현실에 부합하지 못한다 비 판에 따라 2013년 9월부터 2014년 12월까지 내각관 방, 총무성, 경제산업성을 사무국으로 하는 13회의

“개인정보에 관한 검토회”를 개최하여²⁹⁾ 이에 따라 마련된 개인정보보호법 개정안을 2015년 3월 국회 에 제출하였음

▫개정 사항은 동의 없이 제공 가능한 익명가공정 보를 신설하는 등 개인정보의 활용도 제고에 중 정을 두면서 개인 정보의 범위에 개인 식별 부호 를 포함시켜 개인 정보의 개념을 명확하게 규정 하고 공정거래위원회와 같은 독립된 개인정보보 호위원회를 설치하는 것을 주요 내용으로 함³⁰⁾

- 개인정보 정의의 명확화

◦회색지대에 있는 개인정보는 사업자로 하여금 이 용 및 활용을 주저하게 함

◦‘개인식별부호’의 정의 마련(제2조 제1항 제1호 제2 호): 얼굴, 지문 등의 디지털화한 생체인식정보, 개 인마다 다르게 정해진 번호 문자 등의 부호로 특정 개인을 식별할 수 있는 것을 의미, 개인식별부호를 포함한 정보 전체가 개인정보

◦‘요점배려개인정보’의 신설(제2조 제3항): 인종, 신념, 사회적 신분, 병력, 범죄 경력 등 기타 본인에 대한 부당한 차별, 편견 기타 불이익이 생기지 않도록 취급

- 동의 없이 제공 가능한 익명가공정보의 신설(제2조 제9항, 10항, 제36조~제39조)

◦익명가공정보란 특정 개인을 식별할 수 없도록 가 공하여 개인 정보를 복원할 수 없도록 한 것으로 개인 정보를 제공한 본인의 동의 없이 타사에 데이 터를 제공할 수 있는 유형임³¹⁾

◦익명가공정보는 개인정보에 해당하지 않아 개인정 보에 관한 규정이 不적용

◦익명화기술처리 외에 사업자에 의한 공표와 재식 별 금지 등 정보의 유통을 촉진: 특정 개인을 식별 하기 위해 다른 정보와 비교 금지, 익명가공정보 타 인에게 제공시 개인 정보의 항목 및 제공 방법을 공표, 데이터의 가공 방법 등의 누설을 방지하는 안 전 관리 조치

- 개인정보 이용목적 제한 완화

◦개정 이전 ‘이용 목적과 상당한 관련성을 가지고 합 리적으로 인정’되는 범위에서 ‘상당히’를 삭제(제15 조 제2항)

◦변경할 수 있는 목적 범위: 본인이 일반적으로 예상 할 수 있는 한도 내

예) 전력회사가 고객에게 에너지 절약을 촉진할 목 적으로 가정 내 기기별 전기 사용량을 수집 분석하 였을 경우 동일한 정보를 이용하여 가전제어 기술 연구 개발, 해당 고객의 안부확인 서비스를 실시할 수 있다고 봄

◦단 이에 대해서는 본인에 대한 통지 및 공표의무(제 18조 제3항)

- 개인정보 보호 강화

◦기존 제외되었던 소규모 사업자 특례 폐지(개정 전 제2조 제3항 제5호, 5천 명 이하의 중소기업도 규 제대상에 포함)

◦개인정보 데이터베이스 등 제공 죄 신설(제83조):

개인정보 데이터베이스 등을 취급하는 사무에 종 사하는 자 또는 종사하던 자가 부정할 이익을 도모 할 목적으로 제공하거나 도용하는 행위, 1년 이하의 징역 또는 50만 엔 이하의 벌금, 양벌규정

- 개인정보보호위원회의 신설

◦2016년 내각부에 공정거래위원회와 대등한 독립조 직으로 개인정보보호위원회 신설

◦기업의 감독 권한을 집중시키고, 현장검사 및 지도 권한 등 부여

▫일본의 개정 개인정보보호법의 특징은 다음과 같음

- 개인정보의 유통 및 이용을 촉진하기 위하여 제3자 제공에 동의를 요구하지 않는 익명화된 정보 유형의 도입하고 해당 정보의 유통 규정을 신설한 것은 일 본이 세계 최초로 향후 외국의 제도로 채용될 것을 기대하고 있음

- 정령 및 위원회규칙 위임사항이 상당히 많으며, 부 칙에 법 시행 이후 3년 마다 재검토를 요구함: 이는 개인정보보호에 대한 국제적 동향, 정보통신기술의 진전, 이에 따른 개인정보를 활용한 새로운 산업의 창출 및 발전 상황을 반영하기 위함

- 개인정보보호법의 개정으로 기업 등 빅데이터 활용 가능성 제고되었다는 평가

(4) 시사점

▫미국과 유럽은 모두 빅데이터 산업 활성화를 위 한 투자 등 다양한 정책을 추진하면서도 빅데이 터 산업이 가져올 개인정보의 남용 및 프라이버 시권 침해를 우려, 비록 형식과 수단에 있어서는 차이가 있지만, 개인정보보호를 강화하는 방향으 로 관련 규제를 마련하거나 감독권을 행사하고 있음

- 미국은 유럽과 달리 프라이버시를 일종의 재산권의 일종으로 인정하고 있는바 개인정보 보호와 관련하 여 Opt-out을 원칙으로 하고, 기본적으로 업계의 자 율규제를 중시하기 때문에(비록 여러번의 입법 시도 에도 불구하고) 온라인 프라이버시 문제에 대한 새 로운 법의 제정은 없으나, ‘Do-Not-Track’처럼 개인 이 정보주체로서의 권리를 적극적으로 행사하는 방 향으로 기업들을 유도하고 있음

32) KISDI의 방송통신 정책, 클라우드 컴퓨팅의 활성화를 위한 법적 제문제(Ⅰ)- 개인정보 보호 관련 쟁점 -, 2014.11

◦특히 사후감독 중심의 개인정보 보호 특징을 보이 는 미국 FTC는 최근 개별기업들에 대한 관찰을 강 화하고 문제가 있는 경우 프라이버시 정책을 강화 하도록 요구하는 등 강도 높은 감독권을 행사하고 있음

◦2012년 8월 FTC는 페이스북에 대해 종합적인 개인 정보 프로그램을 수립하고 그 이행여부를 독립적인 감독기관으로부터 감사받을 것을 명령하였는바 주 요 내용으로는 개인 정보를 공유할 때 당사자의 동 의를 얻을 것, 소비자 약관에서 프라이버시 및 보완 과 관련 된 기만적인 표현을 개선할 것, 향후 20년간 관련 사항의 이행 여부에 대한 감사를 받을 것 등

- 유럽은 EU의 개인정보보호 기본법인 기존의 ‘데이터 보호지침’을 대폭 개정하여 강력한 규제 수단들을 법제화하는 방향으로 가고 있음

◦개인정보보호를 위한 개인의 적극적인 역할보다 는 보호자로서 국가의 역할을 강조하는 특징

▫한편 우리나라와 유사한 일본의 개인정보보호법 의 경우 지난 9월 최근 빅데이터 산업의 활성화 및 정보통신기술의 발전을 반영하여 개정을 단행 하였는바 이는 우리나라의 개인정보 보호규제의 개선에 상당한 시사점을 주고 있음

- 일본은 개정정보보호법상 개인정보 및 프라이버시 를 실질적으로 보호하면서도 빅데이터 활성화 등 개 인정보의 이용 및 유통을 촉진하기 위해 개인정보를 가공하여 식별가능성을 낮춘 제3유형의 정보에 대 한 개념을 신설, 이러한 정보에 대해서는 제3자 제공 시 본인 동의를 요하지 않고 당해 유형에 속하는 정 보취급사업자의 의무 등을 마련하였음

- 또한 일본은 현재 모호한 개념으로 문제가 되고 있는 개인정보 정의를 구체화하고, 공정거래위원회 수준의 독립위원회로 개인정보위원회의 권한을 강화하는 등

실질적인 개인정보 보호와 아울러 개인정보의 산업적 활용도를 제고하기 위한 노력을 진행 중에 있음 - 하지만 우리나라는 지난 7월 개인정보보호법 개정

을 통해 징벌적 손해배상제, 법정손해배상제 도입 등 사후규제만이 강화되었을 뿐 현재 빠르게 발전하 고 있는 빅데이터 산업에서 논의되는 개인정보의 개 념을 반영하고 있지 못하고 있음

5. 결론

▫빅데이터 산업의 발전은 개인정보 보호 이슈를 함 께 동반하게 되며, 개인정보의 유출과 지나친 보호 모두가 문제가 되는 규제적 딜레마를 발생시킴 - ‘21세기 원유’라고 불리우는 빅데이터는 현재 정보화

사회에서 거부할 수 없는 거대한 트렌드로서 그 중 요성 및 영향력에 대한 기대와 우려 속에 세계 각국 은 빅데이터의 활성화 정책을 추진 중에 있음

◦알리바바 창업자인 중국의 마윈은 빅데이터 시대 에 계획경제가 우월해질 것으로 전망하기 함( 2015.

9. 21 중앙일보 인터뷰)

- 빅데이터의 활용으로 새로운 편익과 가치를 창출하기 위해서는 다양해진 디지털 기기들을 통해 대량의 데이 터들이 축적되고 융합되어야 하는 바 여기에 개인정보 유출 및 남용 가능성이 상당히 높아지는 것은 사실 - 한편 이에 따라 강한 정보보호 규제를 추진하는 경 우 데이터 활용을 기반으로 하는 클라우드 서비스를 비롯한 각종 ICT 융합산업의 발전을 저해하는 장애 요소로 작용할 수 있음³²⁾

33) “Big Data - A New World of Opportunities”, NESSI White Paper, NESSI

34) 나성현, IoT 환경에서의 개인정보보호 이슈, KISDI Premium Report, 2015-06

35) 나성현, IoT 환경에서의 개인정보보호 이슈, KISDI Premium Report, 2015-06

- 빅데이터 산업의 활성화와 정보 보호를 포함한 규제 정책간의 사회적 합의수준을 도출해 내는 작업이 필 요한 상황

◦“적절한 프라이버시 보호가 없다면 빅데이터 기술 로부터의 혜택도 없을 것이다”라는 지적(NESSI, 2012)³³⁾

▫빅데이터 활성화에 따라 필연적으로 불거지는 개 인정보 보호이슈의 효과적인 해결을 위해서는 무 엇보다 일본의 경우와 같이 빅데이터 현실을 반 영한 개인정보보호법 개정이 필요

- 개인의 권리 침해를 사전에 방지하기 위하여 Opt-in 방식의 본인 동의를 요구하는 목적과 개인정보의 이 용 및 활용 촉진 필요성을 고려하여 개인식별 가능성 을 낮추거나 어려운 정보 유형 카테고리를 신설, 이 에 대해서는 목적 외의 이용과 제3자 제공에 있어서 본인의 동의가 불필요하도록 개정이 요청되고 있음

◦이용자의 행태에 따라 규제의 강화가 반드시 이용 자 보호를 담보하는 것은 아닌바³⁴⁾ 보호 필요성 정 도가 낮은 개인정보에 대해서는 빅데이터 산업에 용이하게 이용될 수 있도록 규제를 완화하고, 다만 이러한 정보에 대해 정보수집자 내지 정보처리자 의 남용 내지 침해 방지 의무를 엄격하게 설정하는 것이 보다 효과적이라고 판단됨

◦정보주체의 72.4%가 개인정보 처리방침을 확인하 지 않으며, 개인정보동의서 꼼꼼히 확인하는 비율 은 16.6%에 불과하며, 빅데이터 분야에서 개인정보 처리방침 등 관련사항을 정확하게 이해하여 제3자 정보 제공에 대한 동의를 할 수 있는 개인은 거의 없음³⁵⁾

- 우리나라는 2014년 빅데이터 개인정보보호 가이드 라인을 통해 동의를 요하지 않는 비식별정보 유형을 마련하고 유권해석을 통해 이는 상위법에 저촉되지

않는다고 공표하였으나 해당 사항의 중요성과 법체 계적 요소를 고려할 때 일본과 같이 동의를 요하지

않는 익명화개인정보 유형을 가이드라인이 아닌 법 상 마련하는 것이 바람직함

- 모호한 개인정보의 범위 등 개인정보보호법상 일부 규제에 대하여 사업자가 개인정보의 이용 및 활용을 주저하지 않도록 투명성 및 예측가능성을 제고하여 야 함

- 한편 수많은 종류의 개인정보 보호와 더불어 개인정 보의 이용 및 산업적 활용을 통합적으로 관리할 수 있는 일원화된 기관으로서 개인정보위원회 조직을 구성할 필요

◦행정자치부, 미래창조과학부, 방송통신위원회, 금 융위원회 등 현재 우리나라 복수의 관리감독기구 를 통해서는 통합적 관점에서 개인정보 이용 및 보 호가 용이하지 않음

◦공정거래위원회와 대등한 독립 개인정보보호위원 회를 신설한 일본의 개정을 참조

- 또한 나라간 정보의 이동과 활용이 벌어지는 상황에 서 현행 개인정보보호법은 국내 기업의 개인정보 침 해 및 악용으로부터 개인정보의 보호하는데 초점을 맞추고 있는바 앞으로 글로벌 기업의 정보 수집 및 침해 등 관련 규정을 정비, 실질적인 개인정보 보호 확보를 강구하여야 함