빅데이터의 활용에 따른 개인정보보호법제와의 충돌과 과제 (A study on collision and tasks between personal information protection legislation and the use of big data)

빅데이터는 ICBM(IoT, Cloud, BigData, Mobile)으로 대표되는 정보통신분야 새로운 트렌드의 하나로서 잠재력이 크다는 점에서 육성할 필요성이 인정된다. 그러나, 우리나라의 관련 법제를 살펴보면, 현행 정보통신망법을 포함하여 개인정보보호법(PIPA) 및 관련 법안들이 빅데이터 활성화라는 환경아래에서 개인정보 보호방안과 프라이버시권 보호방안을 제대로 구축해 놓고 있는지는 여전히 의문이 든다. 이러한 현재 상황에도 불구하고 프라이버시의 보호방안이 전혀 구축되지 않은 채 <빅데이터의 이용 및 산업진흥 등에 관한 법률안> 및 개인정보보호법 개정안 그리고 정보통신망법 개정안 등이 그대로 입법화 된다면, 헌법적 가치인 프라이버시권의 보호는 요원한 것이 아닌지 우려스럽다.
이런 점에서 <빅데이터의 이용 및 산업진흥 등에 관한 법률안> 및 개인정보보호법 개정법안 그리고 정보통신망법 개정 법안 등은 헌법과 개인정보보호 관련 법제와의 충돌을 극복하고 조정할 수 있는 개선점을 보완하여야 할 것이다. 정보주체자와 정보처리자의 법익균형을 도모하고 광범한 사회적 합의를 바탕으로 재검토되어 이 법안들이 입법화되기를 바란다.
특히 위 법안들이 모두 간과한 것으로 사료되는 것이 있다. 바로 정보통신서비스제공자나 이용자가 빅데이터의 활용과정에서 ‘비식별화’조치를 위하여 그 전제되는 식별정보에의 접근권한이 있느냐의 문제인데 이에 대해서는 아무런 문제제기나 답을 제공하지 않고 있다는 점이다. 결국 빅데이터 산업에서 개인정보를 이용하기 위하여 취하는 비식별화 조치를 위해서는 식별정보에의 접근권한 내지 수집권한은 개인정보보호법이나 정보통신망법상 사전 고지와 동의를 받아야 가능하다는 기업의 볼멘소리를 들을 수 밖에 없다.
2015년 9월경 일본이 개인 식별이 불가능하도록 가공된 ‘익명가공정보’는 개인정보에 해당하지 않는 것으로 규정하고, 이를 본인 동의 없이 제3자에 제공할 수 있도록 개인정보보호법을 개정하였다. 여기서 비식별화 개념보다 익명화 개념을 적극적으로 입법화 한 점에서 우리의 경우도 도입가능성을 검토할 필요성이 충분하다. 다만, ‘익명가공정보’라는 개념에 대한 과제도 없지 않다. 즉, 익명가공정보를 작성하는 때는 개인정보를 복원할 수 없도록 개인정보보호위원회규칙에서 정한 기준에 따라서 개인정보를 가공하는 것이 의무이다(일본의 2015년 개정 개인정보보호법 제36조 제1항). 그렇지만 모든 개인정보를 익명화하는 범용적 방법은 존재하지 않고, 익명가공정보의 취급에 관한 감독에는 한계가 있다. 또한 개인정보보호위원회규칙에서 정한 기준에 기하여 익명가공에 관하여 사업자측의 예견가능성은 충분한가 라는 의문도 있다. 그러므로 사업자가 사전에 미리 위원회 등에게 상담하는 구조의 필요성도 문제가 될 수 있다. 또한 소비자의 관점에서는 유통한 익명가공정보로부터 본인이 식별될 우려에 대한 대책으로서 그러한 사실이 있는 경우에 본인에게 통지 등의 구조의 필요성도 문제가 될 수 있다.
또 일본의 2015년 개정 개인정보보호법에서는 개인정보의 취급에 대한 감시감독권한을 가지는 제3자 기관으로서 종래 ‘番號利用法’에 기한 특정개인정보보호위원회를 개조하여 ‘개인정보보호위원회’ 일본의 개인정보보호위원회는 내각부설치법(平成11年法律第89号) 제49조 제3항의 규정에 기초한다.
를 신설하였다. 개인정보취급사업자의 감독주체를 주무장관에서 개인정보보호위원회로 바꾸고, 또 익명가공정보취급사업자의 감독을 개인정보보호위원회의 역할로 하였다. 이런 입법례에 비추어, 향후 우리 개인정보보호법의 개정과정에서도 수집된 정보의 저장 및 관리 시 ‘기술적・관리적 보호조치’에 대한 관리감독이 필요하고, 정보수집 및 처리자에 대한 익명화 기술 여부를 관리하고 감독하는 기구를 도입하는 것이 고려되어야 한다는 요청이 높다. 즉, 일본의 ‘개인정보보호위원회’는 일종의 민・관 거버넌스('governance') 일본의 2015년 개정 개인정보보호법에서는 개인정보보호위원회의 소장사무를 확대하여, 위원(위원장을 제외함)의 숫자를 6명에서 8명으로 증원함과 동시에(제63조 제1항), 위원의 선임에 관한 규정에 “소비자의 보호에 관한 충분한 지식과 경험을 가진 자”를 신설하였고, 또 전문사항을 조사하게 하기 위하여 전문위원을 둘 수 있도록 하였다(제69조).
라는 관점에서 그 운영에 따른 장단점을 이후 면밀히 검토한 후 개정법에 참조할 수 있다고 본다.
주지하다시피, 현행 개인정보보호법 및 정보통신망법 등 개인정보보호 관련 법령상 개인정보 수집·이용을 위해서는 반드시 이용자의 사전동의(Opt-In)가 필요하다. 이에 대해서 기업 일각에서는 빅데이터 산업 발전을 위해 개인정보이용의 사전동의제(opt-in)의 사후동의제(opt-out)로 전환 주장이 있으나, 이러한 주장은 현행 개인정보보호법제의 대원칙을 일거에 무시하고 있는 점에서 문제이다. 개인정보이용의 사전동의제(opt-in)라는 대원칙을 빅데이터 산업발전의 걸림돌로 작용한다고 무단히 단정 짓는 것은 너무 산업계에 치우친 주장이라는 비판을 면하기 어렵다.
프라이버시보호와 관련한 미국과 EU 등 국제적인 동향을 살펴볼 때, 토론의 대상인 <빅데이터의 이용 및 산업진흥 등에 관한 법률안> 뿐만 아니라, 현행 정보통신망법이나 개인정보보호법 등 관련 법제에서 ‘프라이버시 바이 디자인’(Privacy by design), ‘온라인 추적 차단기능’(Do-Not-Tract) 및 ‘잊혀질 권리’(Right to be forgotten) 등, 여러 제도적 보완책이 마련되어야 할 것으로 사료된다. 이것은 빅데이터의 활용과 이에 따라서 위협받는 프라이버시의 보호라는 문제를 상생의 길로 조화롭게 대처할 수 있는 방안이기 때문이다.
나아가 철학적으로 보면 빅데이터시대에 더욱 주목받고 있는 ‘잊혀질 권리(the right to be forgotten)’를 둘러싸고 미국과 유럽의 태도는 선명하게 차이가 있다. ‘미국인은 유명하고 싶지만, 프랑스인은 잊혀지고 싶어 한다’ Jeffery Rosen, The Deciders: The Future of Privacy and Free Speech in the Age of Facebook and Google, 80 FORDAM L. REV. 1525, 1533(2012).
는 말과 같이, 인터넷이나 모바일에서의 명예나 프라이버시에 대한 의식과 문화 나아가 철학적 가치에 대해 유럽과 미국의 접근방법은 확연히 기본적인 출발점에 차이가 있다 할 수 있다. 빅데이터 시대를 맞이하여 우리가 취하여야 할 기본 입장은 양자 중 어느 쪽이며, 그 철학적 내용은 무엇이어야 하는 것일까? 실용적 가치보다 인권우선의 원칙을 견지하는 유럽의 접근방식이 바람직한 것은 당연하다 할 것이다.
요컨대 ICT특별법의 난립에 대한 일각의 우려가 존재하는 상황에서 특정 산업의 진흥 법률을 제정할 때에는 정부 지원시책의 법적 근거 마련, 기존 규제의 개선, 이용자 보호 및 정보주체의 개인정보와 프라이버시권의 보호 등 각 이해관계자의 다양한 수요를 충분히 검토하여 수렴할 수 있도록 입법 기술적인 고려가 필요하다고 사료된다. 특히 (가칭) 빅데이터 산업진흥법(안)을 제정함에 있어서는 그 일반법으로서의 개인정보보호법의 취지와 기본정신을 충분히 살리면서 특별법을 만들 필요가 있다. 왜냐하면 우리 개인정보보보호법도 개인정보의 ‘보호’의 가치만을 도모하는 것이 아니라 개인정보의 ‘이용’의 가치 또한 충분히 고려하면서 양 가치의 적절한 균형을 도모하는 법이기 때문이다. 이인호, “「개인정보 보호법」상의 ‘개인정보’ 개념에 대한 해석론 – 익명화한 처방전 정보를 중심으로-”, 『정보법학』 제19권 제1호, 한국정보법학회, 2015.4, 66면.
앞서 비교법적으로 보았듯이 이러한 균형적 시각은 모든 국가의 개인정보보호법이 추구하는 공통된 방향이기도 하다.

Recently, the ICT sector is represented by ICBM (IoT, Cloud, BigData, Mobile). Big Data is one of the new trends in the ICT sector. Its potential is quite large, so there is a need to develop and foster. On the other hand, big data technologies will be transformative in every sphere of life. There are considerable questions about how our framework for privacy protection applies in a big data ecosystem. Data analytics have the potential to eclipse longstanding civil rights protections in how personal information is used in housing, credit, employment, health, education, and the marketplace.
According to the European Commission, personal data is any information relating to an individual, whether it relates to his or her private, professional or public life. It can be anything from a name, a photo, an email address, bank details, posts on social networking websites, medical information, or a computer’s IP address. Valid consent must be explicit for data collected and purposes data used. Data controllers must be able to prove "consent" (opt-in) and consent may be withdrawn.
Personal data protection is the relationship between collection and dissemination of data, technology, the public expectation of privacy, and the legal and political issues surrounding them. Privacy concerns exist wherever personally identifiable information or other sensitive information is collected and stored – in digital form or otherwise. Improper or non-existent disclosure control can be the root cause for privacy issues. Data privacy issues can arise in response to information from a wide range of sources, such as: Healthcare records, Criminal justice investigations and proceedings, Financial institutions and transactions, Biological traits, such as genetic material, Residence and geographic records, Ethnicity, Privacy breach, Location-based service and geolocation. The challenge in data privacy is to share data while protecting personally identifiable information. The fields of data security and information security design and utilize software, hardware and human resources to address this issue. As the laws and regulations related to Data Protection are constantly changing, it is important to keep abreast of any changes in the law and continually reassess your compliance with data privacy and security regulations.
In Korea, if you look at it based on laws related to big data, including the Personal Information Protection Act (PIPA), whether or not equipped with the adequate measures for the protection of personal data and privacy is still questionable. 'Legislation regarding the use and industrial development of big data(Tentative title)', and amendments to the Personal Information Protection Act (PIPA), and Communication Network Act Amendments, etc. will require some improvements with regard to the protection of privacy.
In conclusion, considering the before mentioned comprensively, it is important that we will take a balanced stance of legitimate interests between owners and users of information in the enactment of legislation relating to Big Data. Especially including extending more privacy protections, I hope that the bill will legislate in that direction. In short, when looking at the US and the EU, such as international trends related to privacy, I think that we need the following legislative improvements can be proposed such as: 'Privacy by design', 'Do-Not-Tract' and 'Right to be forgotten' etc.