[뉴스비전e 김호성 기자] 5G를 기반으로 모든 사물을 연결하는 IoT. 이에 빅데이터를 기반으로 딥러닝, 강화학습 등을 통한 인공지능 기술을 더해 VR과 AR 컨텐츠를 넣는 초연결성과 디지털트렌스포메이션으로 융합하는 4차산업의 모습의 공통 시작은 데이터다.

그러나 데이타, 정보. 정보가 디지털화 되면서 문제점이 발생하는 것 또한 현실이다. 

인공지능 사물인터넷 빅데이터 등 모든 기술과 디바이스들이 데이터 개인정보 디지털화 된 개인정보와 연관되어 있기 때문에 정보보안에 대한 규격과 기준이 부족하면, 4차산업의 발전도 기대하기 어렵다는 지적이다. 

스티브 우드 정책 ICO 정책담당관 <사진 / ICO 홈페이지>

지금 세계최초의 성문화된 개인정보보호법 제정된 것은 1970년 독일 헤센주에서 시작된다.

이어, 국가 단위로는 1973년 스웨덴이 처음으로 개인정보보호법 제정했다. 이미 유럽에서 70년대부터 개인정보보호법 시작된 것이다. 

미국은 1890년 웨렌과 브랜다이스가 쓴 하버드로리베슨 '라이트 투 프라이버시'라는 곳에서 프라이버시라는 제목으로 논의 시작했다. 

국제적으로는 1980년대에 OECD가 가이드라인을 처음으로 발표한데 이어, 그리고 1995년 유럽연합에서 디렉티브 만들어지고, 내년에 GDPR이 발효된다. 

한국 2011년 개인정보보호법 시행된지 이제 6년이 됐다. 세계최초 개인정보보호법 제정은 45년 됐으니, 제도적 운영면에서 경험의 차이는 분명히 존재한다고 볼 수 있다. 

4차 산업혁명 관련 GDPR이 우리 법제에 어떤 시사점을 던져주고 있는지와 GDPR에서 정보 주체의 권리가 어떻게 규정되었고, 그것이 우리법에 어떤 시사점을 주는지 살펴봄으로써, 보완점을 찾고자 한다. 

▲개인정보 보호와 활용 양방향 모두 확대한 GDPR

1995년 EU 지침만해도 가장 선도적인 개인정보보호법이라고 평가받았다.  EU의 입장은 그것만으로 부족하다는거다. 이에 따라 작년에 GDPR 내용을 채택해, 내년 5월에 실제 적용된다.

정보주체의 동의를 중심으로 해서 설명 잊힐 권리와 개인정보이동권 프로파일링까지 담았다. 

EU에선 개인정보 처리에 있어, 자연인의 보호를 기본권으로 보고 있다.

그러면서도 "개인정보 보호권리를 절대적인 권리는 아니고 다른 기본권과 균형이 되야 한다"라고 규정하고 있다. 개인정보보호를 강화하면서도 그 활용에 대한 의미도 부여한 것으로 해석된다. 

GDPR은 명시적으로 사상 종교의 자유와 표현과 정보의 자유다.  특히 사업 수행의 자유 등 EU 기본권 헌장에 인정된 것을 자유와 권리를 존중한다고 되어 있다. 

이와 관련해 임채호 개인정보보호위원회 상임위원 역시 "개인정보를 보호하면서도 활용할수 있는 창조적인 방법을 찾아야 한다"는 취지를 역설한바 있다. 

GDPR은 궁극적으론 정보주체의 권리를 보호하고 그 정보주체의 개인정보를 활용하는 우리나라 '개인정보 처리자', EU에서의 '컨트롤러', 즉 컨트롤러와 정보주체의 보호를 어느 한쪽에 치우지지 않게 하는 것이 GDPR의 목적이다. 

그럼에도 전체적으로 정보주체의 권리가 대폭 강화됨. 그 결과로 컨트롤러 부담이 훨신 커졌다.

GDPR을 통한 개인정보 보호와 함께 EU가 적극적으로 추진하고 잇는 게 '디지털 싱글마켓'이다. 

디지털단일시장이라는 것은 4차산업이든 빅데이터 분석기술이든 그것과 같은 내용이다.

EU는 개인정보-자연인의 정보도 보호하면서, 그 자연인의 보호를 통한 사회 경제에 대한 신뢰를 기반으로 '디지털싱글마켓'의 힘을 얻고자 한다.

정보주체 동의의 개념에 있어서, 지난 1995년 지침과 2016년 GDPR과 개념이 변화가 분명히 존재한다고 보안 전문가들은 분석했다. 

유럽위원회가 2012년 GDPR 초안을 낸 당시만 해도,  민감정보뿐만 아니라 일반적인 개인정보에 대해서도 명시적 동의 가 있어야 한다는 입장이었다. 

하지만 EU이사회와의 협상을 통해 일반적인 개인정보에 대해선 명시적 동의 하지 않는 걸로 동의됐다.

그럼에도 동의의 정의를 보면 1995년 지침과 GDPR 사이에 차이가 있다. 

우선 GDPR은 개인정보 처리에 있어 동의 의미를 자유롭게 주어지고, 구체적이며 고지에 입각한 표시를 한다. 모호하지 않은 표시의 조건을 추가로 해서, GDPR에서는 동의 개념안으로 포함시켰다. 

'모호하지 않은 표시' 라는 것이 GDPR에 새로 추가된 요소인 것이다. 특히 진술로 혹은 분명한 긍적적 행위로 해야 한다는 조건 달았다. 이와 같은 면에서 평가할때, 1995년 지침의 동의보다는 GDPR이 강화됐다.

그럼 따라서 1995년에 동의 받은 정보는 GDPR에선 어떻게 처리 될 것인가?

1995년 지침동의가 GDPR과 일치한다면, GDPR에서는 "컨트롤러가 굳이 정보주체의 동의를 얻을 필요 없다" 라고 되어 있다.

이 말을 바꿔 보자면,  정보주체가 동의하지 않을 경우에는, GDPR에 걸맞는 동의를 다시 받던가 적법한 근거에 따라서 개인정보를 처리해야 된다는 얘기다.

<사진 / CIO 홈페이지>

동의의 의미에 대해 살펴보자면 4가지 요소로 요약된다.

1. 동의는 자유롭게 주어져야 된다. 이 의미는 정보주체가 동의하는데 강제나 부당한 압력이 없어야 된다는 것을 의미한다

진정하거나 자유로운 선택 해야하고 아무런 손해 없이도 동의 거부하거나 철회할 수 있고 그러한 것이 동의를 자유롭게 주어지는 것이라고 규정되어 있다.

특히 공공기관 정부기관과 자연인, 회사와 직원 사이에는 분명한 불균형 존재하기 때문에 그 관게에서 정보주체의 동의는 반드시 자유로운 것은 아니다라고 규정되어 있다.

2. 동의는 구체적인 표시여야 한다.

이는 처리의 정확한 목적을 명시하지 않은 포괄적인 동의는 허용되지 않는다.

정보주체는 하나 이상의 구체적인 목적에 대해 자신의 정보처리에 대해 동의를 줬으면 적법한 것이다. 만일 여러가지 목적에 쓰이는 거라면 그 목적 목적에 다 동의 받아야 한다.

3. 동의는 고지에 입각한 표시여야 한다. 

정보주체는 적어도 컨트롤러의 신원 개인정보 처리의 목적 등을 알고서 동의 줘야 한다.

4. 동의는 모호하지 않은 표시여야 한다.  

동의는 진술로 또는 분명한 긍정적 행위로 주어져야 되고 예컨데 전자적 서식을 포함한 진술서 혹은 구두진술에 의한 것이어야 한다.

GDPR에서는 동의의 조건도 상세하게 규정되어 있다. 정보주체는 언제든지 자신의 동의를 철회할 권리를 갖는다 라는 명시적 규정되어 있고, 명시적 동의에 대해선 구두이든 서면이든 분명하게 확인되어야 한다.

우리 정보보호법에 따른 민감 정보의 경우 명시적 동의 있으면 처리가 허용이 되고, 또 프로파일링에 대해 정보추제가 반대할 권리를 갖게 되며, 정보주체가 명시적동의를 주면 프로파일링에 대한 개인적 정보 처리도 허용이 된다.

GDPR에서는 개인정보의 역외 이전에 있어서 기본은 유럽위원회가 적정성 결정을 주거나 구체적인 경우 회사들이 구속력 있는 기업규칙을 통해서 이뤄져야 하는데, 이런 것들이 마련되어 있지 않음에도 불구하고 정보주체가 명시적인 동의 한다면 역외 이전이 허용되는 것으로 대다수 국내 보안전문가들은 해석한다. 

동의에 대해 특별한 규정으로는,  아동에 대해서도 있고 과학적 연구 목적에 대해서도 있다.

GDPR의 벌칙 엄청나게 강화됐다.

비교적 징벌적 수준의 벌칙 적용대상에 속하는 것은 동의를 포함한 개인정보처리의 기본 원칙에 대한 위반이다.

특히 동의 요건 위반할 경우 컨트롤러, 우리기업도 EU기업과 거래할 경우에 큰 제재를 받을 수 있게 되는거다. 

우리법과 관련해서 본다면, 우리법은 동의에 대한 요건을 정의 내리고 있지는 않지만 22조에서 동의를 주는 방법을 규정하고 있고 22조를 본다면 "고지에 입각한 명시적인 동의를 요구하는 것이다" 라고 볼 수 있다.

GDPR 분석 <사진 / IBM 홈페이지>

GDPR의 경우 동의의 요건을 강화시키고 있고, 미국 FCC도 브로드밴드 서비스 업자들에게 정보주체의 동의를 강화하는 방향으로 규정을 만들었다가 도널드 트럼프 미국 대통령이 없애 버렸지만, 어쨋든 미국이던 EU GDPR은 동의의 요건을 강화시키는 방향으로 가고 있다.

그런데 우리나라는 그렇지 않은 경향 보이고 있다는 해석이 제기된다.

작년에 대법원 판결에서 홈플러스 사건과 더불어 큰 이슈가 되기도 했다. 모 교수가 자신의 홈페이지에 공개한 개인정보를 다시 인용을 했을때, 애초 자신의 홈페이지에 개인정보를 올리는 것을 제 3자가 보고 인용하도록 '묵시적 동의'를 한것으로 충부하다고 볼수 있냐의 해석을 놓고, 대법원은 '명시적 동의'가 요구된다는 취지의 판단을 했다.

이와 관련해 박노영 고려대학교 법학전문 교수의 개인적 해석은 "이 정보주체의 동의를 주는 것은 개인정보 자기결정권에 기본이고 개인정보 자기결정권은 기본권이고, 그렇다면 이러한 동의를 주는 권리에 대해서는 제한하거나 그것도 법이 아닌 다른 방식으로 제한하는것은, (그 제한이 해석을 통해서든 가이드라인을 통해서든 간에) 위험한 것이다"라는 사견을 밝힌바 있다. 

그렇다면 우리도 6가지 개인정보 수집에 법적 근거를 두고 있고 EU도 6가지 법적근거를 두고 있는데, 동의를 주지 않는 경우에 적용되는 나머지 5가지 경우 또는 필요하다면 법을 통해서 포함시키더라도 개인정보의 동의를 주는 권리에 대해서는 부당한 제한을 두는 것은 적절치 않다는 의견도 이어진다. 

GDPR에서는 잊힐 권리, 정보이동에 대한 권리 그리고 프로파일링에 대해서도 규정하고 있다. 

우선, 잊힐 권리에 관해서는 결국은 이게 삭제권인데 한국에서도 개인정보보호법도 규정을 하고 있지만, 생각해 봐야 할 점은 개인정보라는 것이 처리자가-EU에선 컨트롤러가 제3자에게 수령자에게 줄 수가 있다보니,  개인정보가 여러사람의 손을 거치게 되는데 이 삭제권을 정보주체가 요구를 했을 때다.

삭제 요청을 받은 원 컨트롤러는 그 컨트롤러에 의해 개인정보가 공개된 제3자에 대해서도
정보주체가 삭제요청을 해왔다는 것을 알리는 그러한 필요한 조치를 하도록 GDPR에서는 명시 되어 있다. 

이런 면에 놓고, GDPR 정보주체의 권리를 진정으로 보호하고 있다는 평가가 높아진다. 국내법에서도 받아들어야 할 점 중 하나라는게 보안전문가들의 조언이다.

특히 국내에서 많이 제기됐던 우려 중 하나가 소위 언론의 자유를 침해하는 게 아니냐라는 점이었지만, GDPR은 명시적으로 잊힐권리가 인정되지 않는 경우를 규정하고 있다.

표현 및 정보의 자유권 행사라는 점을 놓고보면,  잊혀질 권리를 비롯해, 개인정보 보호의 권리는 GDPR에서도 절대적인 권리가 아니고 다른 기본권과 함께 공존해야하는 권리로 규명하고 있다. 국내법 제정 과정에서도 유연하게 생각해야 된다는 조언이다. 

GDPR에서의 정보이동권(Data Portability)를 보면 개인정보(Personal Data)라고 명시적으로 했을때 우리가 개인정보라고 이야기를 하고 있다. 여기서 언어적 해석의 차이도 발생한다.

보통의 경우,   예컨데 데이터포터빌리티 까지 이야기 할 뿐 앞에 'Personal'을 추가해, 퍼스널데이터포터빌리티(Personal Data Portability)라고는 하지 않는다. 

그럼에도 불구하고 저는 여기서 말하는 포터빌리티의 대상은 개인정보니까 데이터포터빌리티를 '개인정보이동권'이라고 하는데, 이렇게 볼 경우  데이터 서브젝트를 개인정보 주체라고 해야되냐 등의 고민이 생기게 된다. 용어에 대해한 논의가 필요한 대목이다. 

한발 더 나가, 국내(한국) 개인정보보호법에는 명시적으로 받아들이고 있진 않는데. 이 '포터빌리티'를 인정한다는 것은 정보주체에게는 그래 내 개인정보를 특정한 콘트롤로가 이용하고 있지만 또다른 콘트롤러도 쉽게 이용할 수 있도록 이동할 수 있어야 된다는 의미가 된다.

정보주체에게도 도움이 되지만, 다른 한편으로는 이미 정보주체를 가지고 처리하고 있는 특정 사업자인 콘트롤러로부터 경쟁관계에 있어야 될 새로운 창업자들에게도 개인정보 이동권이 굉장히 중요한 역할을 하게 된다. 

이러한 콘트롤러가 개인정보 이동권의 요청에 따르기 위해서는 분명히 의무라고 되어있진 않지만 호환성  등 기술적인 준비를 해야 필요가 발생한다. 의무는 아니지만은  처음 받아들여졌기 때문에, '정보이동권'이 적용되는 과정에서 조율되야 할 부분도 존재한다. 

가장 눈여겨 보아야 할 부분은,  GDPR 큰 특징중 하나로,  95년 지침 채택 이후에 인터넷 등으로 변화된 디지털경제의 새로운 상황을 반영하면서 동시에 EU시민의 개인정보에 관한 통제를 강화하면서,  EU기업에 개인정보 이용에 대한 법제도 개선을 이룬 점이다. 

GDPR은 1995년 지침에 비교해서 정보 주체의 자신의 개인정보에 대한 통제 가능성을 강화하고 콘트롤러에게는개인정보보호에 대한 책임과 위반에 대한 처벌 수위를 높힘으로서 EU의 개인정보보호법의 대변혁을 이루게 된다. 

또 GDPR은 EU내의 사업자에게만 영향을 주는 게 아니라, EU를 상대로 비즈니스를 하는 한국기업 역시 GDPR에서의역외 적용에 규정 범위가 훨씬 커졌기 때문에  영향을 받게 된다. 

우선, GDPR 내용을 올바로 이해하는 한편,  GDPR에서 배울 부분 및 우리 법제도에서 받아들일 부분은 과감하게 수용해야 한다는 조언이다. 

관련기사

저작권자 © 뉴스비전e 무단전재 및 재배포 금지