법제가 개인정보 이용을 위한 법적 기반을 구축하고 있는 가운데, 우리 법제는 아직까지 입법화에 성공하지는 못하였다. 개인정보 이용 촉진에 대한 입법화를 단행하지 못한다면 빅데이터 활용의 촉진을 도모하지 못함으로써 데이터 산업의 발전과 그로부터 도출되는 여러 혁신의 성과를 누리지 못할지도 모른다는 우려가 든다. 이에 따라 개인정보 보호법이 빅데이터 환경의 특수성과 맞지 않는 부분에 대하여 대안을 정리하면 다음과 같다.
첫째, 빅데이터 활성화와 수범자의 예측가능성을 보장하기 위해서 개인정보 정의조항에
대한 수정 및 개선이 필요하다. 특히 다수의 행태정보나 비식별 정보가 수집되어 분석되는 과정에서 프로파일링 혹은 데이터마이닝 기술에 의해 개인 식별이 가능해질 수 있다. 이러한 경우 현행법에 의하면 식별가능성을 갖게 되는 순간 현행법상 동의를 받아야 하는데, 이는 현실적으로 쉬운 일이 아니다. 빅데이터 분석을 통해 식별된다는 것은 프로세스가 진행되는 중에 비정형적으로 발생할 수 있기 때문이다. 따라서 개인정보 개념에 대한 명확화를 통해 수범주체가 충분히 예상할 수 있는 범주로 개인정보 개념을 좁혀야 할 것이다.
둘째, 개인정보 보호에 관한 기본 법리인 최소 수집의 원칙을 극복하기 위한 대안으로서 익명화 및 가명화 조치를 제시하였다. 특히 국내에서 비식별화를 둘러싼 개념상의 혼란이 존재하기 때문에 각 국가에서 규정하는 비식별 조치에 대해 비교법적으로 살펴보았다. 그 결과, 정보 보호와 활용을 균형 있게 도모할 수 있는 EU GDPR의 익명화와 가명화를 도입하는 것이 가장 실효적일 것이라 판단된다. 익명처리의 경우 법 적용이 제외된다는 규정을 신설하고, 가명처리의 경우 가명정보의 목적 외 이용을 허용하되, 추가 정보를 식별 가능 정보와 별도로 보관하여 기술적·관리적 조치하도록 하는 규정을 두어야 할 것이다.
셋째, 정보의 수집 및 이용을 제한하는 정보주체의 동의 문제에 대해 살펴보았다. 기존의 데이터 환경과 달리 빅데이터 환경에서의 데이터 마이닝, 프로파일링 등 이른바 2차적 생성정보에 대한 동의를 어떻게 합리적으로 취득할 수 있을지 혹은 예외적인 규정을 두어야 할지에 대하여 주안을 두고 검토하였다. 그런데 현행법상 동의 제도는 사전적, 명시적, 개별적 동의만을 허용하고 있어 동의의 요건을 충족하는 것이 매우 어려워 개인정보처리자의 이익이 침해된다. 이에 대해 일각에서는 빅데이터의 활성화를 위해 사전 동의 방식(Opt-in)을 사후적 동의 방식(Opt-out)으로 전환하자는 주장을 제기하기도 하나, 이러한 견해는 개인정보 보호에 대한 기본 원칙으로서 통지 및 동의의 원칙을 일거에 무시하는 것일수 있다. 옵트아웃 방식을 취하는 경우 개인정보의 이용을 최대한 보장할 수 있겠으나, 정보주체가 당해 상황에 대한 인식을 통해 사전에 대처할 수 있는 통제력 약화의 결과를 초래한다. 특히 빅데이터 환경에서 개인정보의 활용은 자신이 알지 못하는 사이 자동적인 수집과 더 나아가 의사결정에 까지 영향을 미칠 수 있다. 이 때문에 정보주체는 사전동의를 통해 예측 불가능한 처리 기법에 대한 통제권을 행사할 수 있도록 하는 것이 필요하다. 빅데이터 기술에 의해 개인정보 처리가 증대함에 따라 사전 고지에 기반한 명시적 동의나 개별적 동의 자체를 기대하기 어려운 상황이나, 그렇다고 묵시적 동의와 포괄적 동의를 허용하게 되면 정보주체의 권리가 침해될 우려가 높기 때문이다. 다만 개인정보처리자의 입장에서 동의제도가 갖는 엄격성의 문제는 입법을 통해 별도의 정당화 사유를 폭 넓게 인정하는 방식으로 접근할 필요가 있을 것이다.
끝으로, 국내에서 지지부진하게 논의되고 있는 자기통제 기반의 정보 이용 환경을 조성하기 위한 다양한 법제도적 방안을 제시하였다. 현재 이러한 취지의 입법화가 이루어진 바 없기 때문에 이러한 내용을 도입하는 문제는 향후 충분한 사회적 공감대를 형성하고 국내의 정보 환경을 고려하여 신중하게 검토할 필요가 있을 것으로 생각된다. 특히 이와 같은 논의는 빅데이터 활용에 있어서 개인정보 규범이 준수될 수 있도록 하는 기술적인 설정과 관련된 문제라 할 수 있다. 즉, 정보주체의 실질적인 권리 보장을 위하여 개인정보 보호조치 기술을 통해 정보 침해에 대한 위험을 줄이는 방편인 것이다. 따라서 프라이버시 중심 설계(PbD), 차등정보보호 조치(Differential Privacy), 온라인 추적차단 기능(DNT)와 같이 침해 위험성과 식별가능성을 낮출 수 있는 기술적 보호조치에 대한 제도적 지원이 필요하다.
8. 참고자료
고학수, “개인정보보호: 규체체계에 관한 논의의 전개와 정책적 과제”, 『개인정보 보호의 법과 정책』(서울대학교 법과경제연구센터 연구총서, 2016).
고학수 외, 『개인정보 비식별화 방법론-보건의료정보를 중심으로-』, 서울대학교 법과경제연구센터 연구총서, 박영사, 2017.
조규범 역, Jerry Kang(2004), 「사이버스페이스 프라이버시」, Jinhan M&B
변재옥. 2016. 정보화사회의 프라이버시와 표현의 자유. 서울: 커뮤니케이션북스.
권건보, 『개인정보보호와 자기정보통제권』, 서울대 법학연구총서 3, 경인문화사, 2005.
“정보주체의 개인정보자기결정권”, 『개인정보 보호의 법과 정책』 (서울대학교 법과경제연구센터 연구총서, 2016).
권영성, 『헌법학원론』, 법문사, 2000.
정찬모(2012) / 개인정보보호에 관한 국제적 입법동향 및 우리의 대응 / 정보통신정책연구원 / (연구보고서)
정보사회의 이해 - 이항우, 이창호 외 2명 저, 미래인, 2011
유일상.2014.미디어와 프라이버시 연구.서울: 한국언론재단.
김일환김민호지성우(2011),“개인정보보호법규 위반에 대한 징벌적 과징금의 성격 및 합리적 처분 기준 연구”,방송통신위원회
김종호(2011) / 개인정보 침해사례분석과 방안에 관한 연구
조동기(2009) / 정보화사회에서의 개인의 정체성과 프라이버시 문제 / 서울대학교 사회과학연구소 / 사회과학과 정책연구 제28권 제5호
노종천, 『민법총칙』, 화산미디어, 2013.
박노형 외, 『EU 개인정보 보호법 GDPR을 중심으로-』, 박영사, 2017.