I. 서론
현재 국내에서 사용되는 모바일메신저들은 비특정 개인정보에 대해 무관심한 태도를 보이고 있으며 국외 또한 중요성을 인식하고는 있으나 아직 관련 규정을 명확히 제시하고 있지 않는 상황이다. 예를 들어 모바일메신저 서비스 이용 간 이용자들이 제공하는 특정 개인정보를 제외한 기타 부수적으로 발생하는 비특정 개인정보(예. 특정 장소 검색을 위한 현재 위치정보 제공 등)들의 대해서 각 기업들의 수집·활용, 제3자에 대한 제공에 관련한 내용은 그들이 제공하는 이용약관 및 개인정보처리방침 등에 설명되어 있지 않으며, 설사 언급되었다 하더라도 이러한 정보들은 개인을 특정 하지 않는 통계적 의미의 정보이기 때문에 따로 보호 정책을 제공할 필요가 없다는 입장이다. 그러나 모바일 통신장비 및 모바일메신저의 사용량이 급속도로 증가하고 있으며 이는 모바일에 저장되어지는 개인 기본정보 뿐 아니라 모바일의 특성을 이용하여 실시간으로 누적되는 비특정 개인정보들도 모바일 메신저를 비롯한 각종 어플리케이션 등을 통해 아무런 보호 없이 무단으로 사용되어질 위험성이 함께 증가하고 있다. 이와 관련된 연구들도 비특정 개인정보에 대해 식별적 정보들과 어떻게 다른지, 혹은 어떠한 방식으로 더 세부적으로 구별할 수 있는지에 대해 정의한다던가, 특정 분야에서 어떻게 활용되어지고 있는지에 대한 논문들이 활성화되고 있고, 정작 그것들을 어떻게 보호하고 적극적으로 활용해야 할 것인가에 대한 연구는 아직 미흡하다.
이에 해당 논문에서는 나날이 증가하는 개인정보의 악용사례를 막고 개인의 사생활을 보호하기 위해, 현재 각 국가별 개인정보 보호에 대한 견해와 세부적인 정책, 그리고 국·내외 모바일 메신저 서비스 기업별 이용약관 및 개인정보 처리방침 등 비교 분석하여 문제점을 식별하고 이를 보완하기 위해 개인정보들을 수집 및 활용 하는데 있어서 다양한 방면의 개선방안을 적용, 무분별하게 남용되어 유통되고 있는 비특정 개인정보들을 보호하고자 한다.
제2장에서는 현재 비특정 개인정보에 관해 이루어지고 있는 연구들과 개인정보 유출사례 등을 통해 관련 연구들을 살펴보고, 제3장에서는 비특정 개인정보에 관한 제도들을 국가별 기업별 측면에서 살펴본다. 제4장에서는 비특정 개인정보에 대한 제도개선 방안을 제시하고 마지막으로 제5장에서는 앞서 제안한 개선방안이 기존의 문제점들을 어떻게 해결 할 수 있는지 활용 예상 시나리오를 통해 검증한다.
II. 관련연구
2.1 비특정 개인정보에 관한 연구
먼저 비특정 개인정보란, ‘자연인을 식별하거나 식별할 수 있는 모든 정보’(OECD,1980)인 ‘식별적 개인정보’에 포함되지 않지만 다른 정보와 용이하게 결합하여 특정 개인을 식별할 수 있는, 또는 알아볼 수 있는 사용자 정보들이다. 이러한 정보들은 과거 개인을 식별하는 정보가 아닌 것으로 판단하여 중요하게 생각하지 않았지만, 개인을 식별하는 기술들이 개발·발전 되면서 점점 개인정보의 범위에 포함되고 있다. 예를 들어 개인 PC나 모바일을 통해 누적되는 정보 검색 기록 및 사이트 방문 기록 등이 ‘데이터 마이닝’과 같은 기술을 이용하여 개인을 식별할 수 있으며, 이를 통해 개인의 다양한 특성에 관한 정보로 수집하여 각 기업에서 마케팅의 중요 수단으로 활용되고 있는 것이다.
이렇듯 비특정 개인정보의 중요성이 부각됨에 따라 이에 관련한 연구들도 활발히 진행되고 있다. 먼저, [스마트폰 메신저 어플리케이션을 통해 재현적 개인정보 누적성과 개인정보보호 정책적 함의]라는 연구를 통해 정보통신의 기술 발전·보급에 따라 발전된 새로운 매체 및 개인정보유형(재현적 개인정보)의 출현은 두 가지 측면에서 개인정보와 관련된 위험을 발생시킨다는 점을 다루고 있다[4]. 스마트폰 애플리케이션 환경에서 대부분의 애플리케이션이 개인화된 서비스를 제공하기 위해 지속적으로 사용자의 개인정보를 수집하고 이것을 외부 서버에 저장, 분석하게 되며 이에 애플리케이션을 통한 개인정보의 유출과 악용의 가능성도 그 어느 때보다 커지고 있지만 모바일 애플리케이션과 관련된 개인정보 정책과 제도는 아직 높은 활용성만큼의 속도를 따라가지 못하고 있다, 애플리케이션을 통한 개인정보 유출사건들은 이를 반증한다. 논문에서 밝히는 가장 큰 두 가지 문제는 부재와 불일치로 정리될 수 있다. 그 중, 첫 번째는 부재에 관한 내용으로서 대부분의 애플리케이션은 개인정보와 관련된 약관 및 정책을 충분히 제공하고 있지 않다는 것이고, 다른 하나는 불일치에 관한 내용으로 애플리케이션에서의 개인정보는 재현적 특성을 보이고 있으나 장터의 약관 및 정책에 나타난 개인정보의 개념은 아직도 식별된 개인정보의 개인정보 개념에 머무르고 있다는 것이다.
또 다른 논문으로 모바일과는 개별적으로 [개인정보의 수집·처리·제3자 제공과 가치창출에 관한 법적 문제 연구]를 찾아볼 수 있다[5]. 앞서 제시한 논문과는 반대로 비특정 데이터에 대해서는 개인정보법제의 적용에 대한 예외를 인정하여야 하며, 개인에 관한 데이터의 수집·처리 및 제 3자 제공에 대한 사전 동의제도는(초연결사회의 IT환경을 전제로 할 때 현재의 정보환경에서는 기대할 수 없는 제도) 사후승인제로 전환하여 정보주체의 정보자기결정권의 행사가 가능하도록 하여야 한다고 제시하고 있다. 누군지 식별되지 않는 비특정 데이터(비식별성·비특정성을 가진 데이터&식별성·비특정성을 가진 데이터)에 대하여는 개인정보보호에 관한 법제도의 적용에 대해 예외를 인정하는 것을 비롯하여, 개인정보 보호 범위 및 보호 절차에 대해 대대적인 변화가 필요하며 현재의 법률은 직업선택권을 행사하는 개인과 기업의 자율에 의한 시장창조기능을 과도하게 제한하고 있다는 것이 중요 논점이다.
2.2 개인정보 활용 위험사례
애플이 2011년 사용자 동의 없이 위치정보를 수집정보를 수집한 것에 대해 미국과 우리나라의 정책기관으로부터 조사를 받은 적이 있으나, 기기에서 수집 정보에는 기기국 등을 특정할 수 있는 식별정보만 포함돼 있고 특정기기나 이용자를 식별할 수 있는 정보가 포함돼 있지 않아 위치정보법상의 ‘개인위치정보’로 볼 수 없다며 손해배상 청구 소송에서 승소한 바 있다[7]. 하지만 애플의 이러한 행위가 단순히 스마트폰 이용자의 위치 정보에 관한 서비스 품질을 높이기 위한 것뿐만 아니라, 이용자들의 이동경로나 생활 패턴 등이 고스란히 드러난다는 점에서 비특정 정보들을 이용한 다양한 활용이 충분히 가능하다는 것이 문제점으로 남아 있다.
미국 국립과학원회보(PNAS) 3월호에 실린 논문을 통해 세상에 알려진 ‘페이스북 감정 조작 실험은 모바일을 비롯한 비특정 개인정보를 수집·활용을 기반으로 하는 산업이 이를 얼마나 악용할 수 있는지를 보여주는 사례이다[8]. 페이스북은 2012년 사용자 약 70만 명을 대상으로 애플리케이션을 이용하는 사람들이 지식과 상관없는 감정적 단어들을 뉴스피드에 올리는 ‘작은 비율’에 대해 실험하였는데 그 실험은 모바일메신저 기업이 얼마든지, 의도나 목적에 따라 ‘비공개’로 사람들의 심리 상태를 조작할 수 있고 게다가 이를 악용할 경우 사람들의 소비 심리를 조작하여 ‘광고 수익’ 극대화를 꾀할 수도 있다는 점에서 심각한 문제를 가지고 있다.
III. 국가별 기업별 개인정보보호 정책 연구
3.1 국가별 개인정보보호정책 비교
스마트폰의 보급과 함께 밀접한 관계를 가지고 있는 모바일 환경에서 유럽 및 미국 등 각 나라에서는 사용자의 개인정보를 처리 보호하기 위해 개인정보에 관련한 법률을 규정, 적용하고 있다.
3.1.1 한국
우리나라 '정보통신망 이용촉진 및 정보보호에 관한 법률'은 개인정보를 〃생존하는 개인에 관한 정보로서 성명·주민등록번호 등에 의하여 당해 개인을 알아볼 수 있는 부호·문자·음성·음향 및 영상 등의 정보(당해 정보만으로는 특정 개인을 알아볼 수 없는 경우에도 다른 정보와 용이하게 결합하여 알아볼 수 있는 것을 포함한다.〃로 정의하여 개인을 특정할 수 없지만 다른 정보들과 결합하여 일이 볼 수 있는 경우, 즉 비특정 개인정보 역시도 예외에 한하여 개인정보로 보호하고 있다. 하지만 지난해 개정된 개인정보보호법에서도 알 수 있듯이 법정 손해배상제, 징벌적 손해배상 도입 등 사후규제만이 강화되었을 뿐 현재 빠르게 발전하고 있는 빅데이터 산업에서 논점이 되는 비특정 개인정보의 다양한 개념은 반영하지 못하고 있다.
3.1.2 미국
미국은 전통적으로 개인 데이터를 자유롭게 사용하도록 허용하는 편으로 대표적으로 Opt-Out 방식을 채택하고 있다. 이는 기업에 인터넷 사용자들에게 개인정보 사용에 대한 허가를 일일이 받지 않고 이용할 수 있도록 하며, 후에 사용자들이 문제를 제기할 때에만 정보 활용을 금지할 수 있도록 조치하는 것을 말한다. 이러한 정책의 배경은 미국에서는 사생활에 대한 권리를 기초 자유권으로 보지 않고 사회적 약자를 위한 사회권으로 해석하는 데에 있다[1].
또한 비특정 개인정보에 관해서는 ‘비식별화 정보(De-identified data)’라고 정의하였으며 ‘미국 소비자 프라이버시 권리장전법’ Sec4를 통해 ‘특정 개인이나 기기에 실제로 연결될 수 없는 것을 기대할 만한 합리적인 기초가 있도록 가공하는 등 모든 조치를 실시할 경우“개인정보”는 해당 정보를 포함하지 않는다.‘라고 하여 개인정보가 아닌 것으로 본다.
3.1.3 유럽(EU)
이에 반해 유럽은 사생활 보호에 있어 미국보다 엄격한 태도를 취하는데, 유럽에서의 사생활은 존중과 존엄이라는 비물질적 가치에 기반을 둔 기본권(자유권)과 동등한 권리로 보장받기 때문이다. 개인 정보의 사용에 있어, 인터넷 제공자와 데이터 활용 기업이 이용하고자 하는 사용자의 정보 수집과 활용을 위해서는 사전 동의 얻어야 하는 Opt-In 방식을 채택하는데. 이는 더욱이 비정형데이터와 같이 속속들이 새롭게 등장하는 기술에 일일이 대응하여 규정을 새로 만들기보다, 빠르게 변화하는 현실 속에서 인격권이나 사생활 보호하는 기본권을 장기적으로 보장할 수 있는 방안을 생각하기 때문에 보다 미래지향적 방안이라고 볼 수 있다.
특히 비특정 개인정보에 관해서는 ‘가명처리 정보(pseudonymous data)’로 정의하고 ‘EU GDPR Article4(3b)’를 통해 ‘가공처리란 추가정보 이용 없이는 정보가 특정 개인에게 더 이상 연결되지 아니하도록 개인정보를 처리하는 것을 의미한다. 해당 추가정보를 식별된 또는 식별 가능한 사람에 연결되지 않는 것을 보장하기 위하여 해당 추가정보는 분리되어야 하고 기술적·관리적 조치가 취해져야 한다.’ 라고 규정하였다.
Table 1.은 각 국가별 개인정보 정책과 비특정 개인정보에 대한 입장을 정리한 것이다.
Table 1. Comparison chart of personal informat ion protection policy by country
해당 내용을 살펴보면 유럽과 한국은 개인정보를 사회권으로 인식하여 사용방식에 있어서도 사전 동의 얻어야 하는 Opt-In을 채택하여 엄격하게 제한하는 한편 미국은 개인정보를 사회권으로 인식, 사후 문제발생시 조취를 취하는 방식으로 정리할 수 있다. 또한 비특정 개인정보를 바라보는 견해에서도 차이가 구별되는데 유럽과 한국은 개인정보 범위를 넓게 확대하여 결합의 가능성을 가진 정보들도 개인정보에 포함하는 한편, 미국은 이를 ‘비식별화 정보’로 정의, 개인정보에 포함하지 않는다. 이와 관련하여 개인이 생산하는 정형되지 않은 데이터(빅 데이터)의 미국 정부의 규제수준은 유럽권 국가나 우리나라와 비교했을 때 낮은 편인데, 이를 바꾸려는 움직임이 일어나고 있다. 개인 데이터 사용이 소셜 미디어 및 블로그 등에 기록된 비정형 데이터를 바탕으로 각 기업에서 필요한 정보들로 다시 해석한 비특성적 정보(통계적 정보)로 재생산되기 때문에 데이터의 수집과 분석 자체가 개인의 사생활을 침해하는 것으로 볼 수 있으며, 현재 광범위하고도 무분별한 데이터의 수집으로 인해 개인을 특정하는 정보가 법으로 보장된 사생활의 범위를 넘어 무분별하게 유통되고 있는 상황에서, 이러한 정책에 사실상 느슨한 잣대를 대왔던 미국뿐 아니라, 이에 비해 엄격하게 단속해왔던 기타 유럽 국가들도 개인정보법과 관련한 법제도 개선의 움직임을 보이고 있다.
3.2 국내외 SNS기업의 개인정보 정책 비교
국내의 대표적 모바일 메신저 서비스 기업으로는 카카오톡과 네이버의 ‘라인’, 네이트의 ‘네이트온’를 예로 들 수 있으며, 국외에서는 미국의 페이스북이 전 세계인들이 사용하는 대표적 소셜 네트워크 서비스이자 모바일 메신저의 역할을 수행하고 있다.
3.2.1 카카오톡
카카오톡은 서비스 이용 약관, 카카오톡 개인정보취급방침에서 개인정보 약관 및 정책들을 통해 SNS, 음성 또는 영상 통화 서비스, 게시판 서비스, 위치기반서비스, 온라인 콘텐츠 제공 서비스 등 인터넷과 모바일로 즐길 수 있는 여러 서비스를 제공하면서 단순한 메신저 애플리케이션을 넘어 이용자들의 전반적인 생활 패턴에 관여하고 있어 타 모바일 메신저들에 비해 더 많은 비특정 개인정보를 수집·활용하고 있으나 이에 관해서는 언급되어 있지 않다. 해당 기업에서 수집하는 비특정 개인정보들로는 단말기 주소록 내 저장된, 전화번호, 성별, 메타정보를 포함한 사진, 위치기반서비스 이용을 위해 현재 위치정보, 단말기정보, IP주소, 쿠키정보, 상품 구입 시 배송정보, 유료서비스를 위한 신용카드 정보, 통신사 정보, 상품권 번호 등이 있다.
3.2.2 라인
라인 애플리케이션은 카카오톡처럼 메신저의 기능 뿐 아니라 여러 게임과 연동됨은 물론 라인 택시 등을 출시하여 이용자의 생활패턴에 깊숙이 관여하고 있지만, 카카오톡과 마찬가지로 기본적인 개인정보에 관하여 수집정보 및 서비스 이용 간 발생하는 문제 등에 관하여 제한적인 범위 한에서 정책을 적용하고 있으며, 비특정 개인정보 등에 관해서는 언급하지 않고 있다. 또한 비특정 개인정보로 국가, 성별, 만 14세미만의 법정대리인 정보, 구글 애널리틱스를 이용한 앱로그 분석, 선택항목으로 단말기 주소록 내에 저장된 전화번호, 프로필 사진, 상태메시지, 쿠키, 페이스북 ID 등을 수집한다.
3.2.3 네이트온
SK커뮤니케이션즈(주)가 서비스하는 인스턴트 메신저 프로그램으로서 주로 업무 PC 등에서 많이 사용하고 있어 모바일 사용자 수는 미비하나 개인정보 및 비특성 개인정보의 수집이 다방면에서 수집되고 있으며 해당 내용으로는 국가, 성별, 만 14세미만의 법정대리인 정보, 서비스 이용기록, 접속로그, 쿠키, 접속IP 정보, 결제기록, 불량이용기록, 무선 단말기 정보 등이 있다. 이처럼 비특정 개인정보가 수집되어 사용되고 있음에도 이에 관한 처리·보호 방침은 규정되어 있지 않다.
3.2.4 페이스북
페이스북은 2004년 2월 4일 개설된 소셜 네트워크 서비스 웹사이트이다. 전 세계 사람들이 폭넓게 이용하다 보니 사용자들에 대한 정보가 엄청나고 이를 이용하려는 기업들의 분야도 다양하다. 비특정 개인정보에 대한 이용이 국내보다 더 먼저 시작되고 수요도 많다보니 국내에서는 아직 언급도 되지 않는 부분에 대해서도 나름 규정해놓았다. 하지만 전체적으로 사용자들의 정보를 적극적으로 이용하기 위한 규정들로 볼 수 있으며 개인 정보를 보호하고자 하는 노력에는 소극적인 것을 알 수 있다. 구체적인 내용을 살펴보자면 회원의 활동과 회원이 제공한 정보, 다른 사람의 활동과 다른 사람이 제공한 정보, 네트워크 및 연결, 결제 관련 정보, 기기정보, 구체적인 지리적 위치를 포함한 기기위치, 이동통신사 이름 또는 ISP, 브라우저 유형, 언어 및 시간대, IP 주소 등의 연결정보, 서비스를 이용하는 웹사이트와 앱의 정보, 광고 조회 횟수, 광고 조회 후 앱 설치 횟수 또는 개인을 식별할 수 없는 인구 통계학적 특성 정보 등 국내 기업들보다도 훨씬 넓고 포괄적인 분야에서 정보를 수집하고 있다.
각각의 메신저 애플리케이션을 운영하는 기업에서는 서비스 이용에 관련하여 기본적으로 국내 법률들의 적용을 받아 '이용약관' 및 '개인정보처리방침(개인정보취급방침)'을 제정하게 되어 있지만, 대부분의 모바일메신저를 운영하는 기업들이 지정한 이용약관과 개인정보처리방침을 보면 보호하고자 하는 대상을 개인정보를 단순히 개인을 특정하고 식별하는 정보들(이름, 주민번호, 주소, 메일, 전화번호 등)만으로 한정짓고 이외 개인정보에서 파생되는 정보 또는 그로인해 새롭게 해석될 통계적 정보들은 아예 언급조차 하고 있지 않는 실정이다. 이렇게 정보의 대상이 언급조차 되지 않았다는 것은 이 사안이 보호해야하는지, 아닌지도 제대로 파악하지 못하였거나 혹은 이용자들로 하여금 대상에 대한 존재조차도 인식하지 못하게 하여는 의도인건지 알 수가 없다.
국외도 비슷한 실정인데 비특정 개인정보에 대한 언급만 있을 뿐, 해당 정보는 통계적 의미의 정보일 뿐이므로 보호할 필요가 없다는 입장이다. 해당 내용은 Table 2.를 통해 자세히 구별할 수 있다.
Table 2. Comparison chart of personal information policy by messenger
3.3 現 개인정보보호 정책의 문제점
현재 우리나라의 개인정보에 관한 법률은 특정성을 가진 개인정보 뿐 아니라 비특정 개인정보도 함께 보호할 수 있도록 정의하였지만 '결합용이성'에 대한 불명확한 정의와 '결합하면 알 수도 있는 정보'로 보호해야 할 대상이 너무 포괄적이라는 점에서는 한계를 가지고 있으며, 이로 인해 비특정 개인정보를 수집·활용하는 기업에서 이를 보호해야할 책임을 크게 느끼지 못한 채 또는 언급의 필요성도 느끼지 못한 채 무분별하게 사용하고 있는 실정이다. 게다가 기술적으로도 다양한 곳에서 발생, 수집되어지는 비특정 개인정보들을 하나의 시스템으로 보호 및 관리할 수 있는 제도가 없기 때문에 기업들의 이러한 행위가 법에 위반되고 윤리적으로도 부당하다 하더라도 이를 지적하거나 적발할 시스템이 없다.
IV. 비특정 개인정보 관리 개선 방안
4.1 비특정 개인정보 관리 개선 필요성
앞서 설명했듯이 현재 정책적·기술적으로 비특정 개인정보들을 보호·관리할 수 있는 제도가 미비하기 때문에 제도의 개선이 필요하다.
현대의 기술은 예전처럼 정책적으로 하지 못하게 규제한다고 해서 완벽하게 막을 수 있는 것이 아니다. 이미 비특정 개인정보들은 대부분의 산업에서 중요한 자원이자 컨텐츠로 활용되고 있고 모바일 등의 다양한 정보통신기기들은 이러한 정보를 수집·유통하는 단말기로서의 역할을 수행하고 있다. 그러므로 무조건 못하게 막는 방식의 규제가 아닌, 적극적으로 활용할 수 있는 토대를 마련하되, 높은 수준의 보호와 적합한 관리 시스템을 도입하여 긍정적 의미의 정보 활용이 될 수 있게 해야 한다.
4.2 비특정 개인정보 보호를 위한 정책적 개선방안
현행 '정보통신망 이용촉진 및 정보보호에 관한 법률'은 개인정보 단독 뿐 아니라 다른 정보와 병합하면〃특정 개인을 알아볼 수 있는 정보〃를 모두 포함하는 정의이다.
하지만 앞서 말했듯이 결합용이성'에 대한 불명확한 정의와 '결합하면 알 수도 있는 정보'로 보호해야 할 대상이 너무 포괄적이라는 점에서는 한계를 내포하고 있다. 이를 개선하기 위해서는 현재 법적 제도 안에서 높은 수준으로 보호받고 있는 개인정보와 동일한 보호를 제공하도록 규정하는 것이다. 개인정보 수집 및 활용을 위해서는 정보를 제공하는 개인의 동의가 필수적이며 동의를 받은 정보 역시도 까다로운 절차를 통해 활용, 일정기간이 지나면 자동적으로 폐지된다. 이처럼 비특정 개인정보도 누적 및 다른 정보와 결합 시 개인정보와 같은 성격을 가지므로, 개인정보와 같은 수준의 보호를 받아야 하며 이를 위해서는 현재와 같은 포괄적 의미로 보호를 규정하는 것이 아닌, 세세부적 항목들로 명시하여 개인 및 기업에서 이를 정확히 인지할 수 있도록 하여야 한다.
먼저, 현행 법률 안에서 비특정 개인정보를 '결합하면 알 수도 있는 정보'로 표현, 보호해야 할 대상이 너무 포괄적인 느낌이 들게 하여 오히려 본질을 흐리게 한다. 그러므로 이러한 규정을 좀 더 명확하게 수정해야 한다. 예를 들어, “개인정보”란 ‘해당 정보만으로는 특정 개인을 알아볼 수 없더라도’ 라는 부분은 삭제하고 ‘개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 특정 개인정보 뿐 아니라 다른 정보와 쉽게 결합하여 알아볼 수 있거나 통계적 정보로서 가치를 가지는 비특정 개인정보’로 수정하여 개인정보 범위를 특정개인정보와 비특정 개인정보 모두를 포함하도록 규정해야 한다. 세부적 내용으로는 비특정 개인정보의 종류의 범위를 최대한으로 인정하여 앞으로 발생할 새로운 범위의 정보도 포함될 수 있도록 하여야 한다. 그리고 비특정 정보 수집 및 가공, 활용 시 개인에게 필수적 동의를 구해야 할 것이며 이를 거부할 시 서비스 이용에 제한을 두어서도 안 될 것이다. 그리고 활용된 비특정 개인정보 역시도 일정한 기한이 지나면 자동 폐기될 수 있도록 제도적 장치를 마련해야 한다.
Table 3. Non specific personal information policy improvement
4.3 비특정 개인정보 보호를 위한 기술적 개선방안
비특정 개인정보는 빅데이터 기술을 바탕으로 새로운 경제성장의 원동력으로 활용되고 있다. 생활 곳곳에 만연된 비특정 개인정보의 수집은 기술적으로도 막을 수가 없는 상황이다. 그러므로 개인정보와 같이 법적인 보호수준을 높이는 것 외에도 기술적 개선방안을 통해 근본적으로 다룰 필요가 있다.
현재 거의 모든 정보통신기기는 개인정보와 관련된 내용들을 수집하는 단말기로서 역할을 수행하고 있다. 무수히 많은 단말기로부터 수집되는 정보들은 각각 자체적인 서버로 저장되어져 활용되는데 이렇듯 산발적인 정보 수집 및 저장, 관리로 인해 비특정 개인정보가 어떻게 활용되는지 추적하기 어렵다는데 가장 큰 문제점이 있다. 이러한 문제점을 해결하기 위해서는 각 기업별로 수집·저장하는 비특정 정보를 하나의 통합관리 시스템을 통해 관리해야 한다.
비특정 개인정보 통합관리시스템은 단계별 프로세스를 통해 각종 사용자 단말 및 센서로부터 컨텍스트를 추출하고 이를 콘텐츠 제공자에게 전달, 콘텐츠 제공자는 사용자로터 수집된 비특정 정보를 공유 플랫폼에 등록하게 된다. 이후 등록된 정보는 종합적으로 분석 및 가공하게 되는데 가공된 정보는 요구사항에 맞추어 공유되고 이를 통해 콘텐츠 제공자는 제3 수요자에게 제공되어 활용 될 수 있다. Fig.1.을 참고하면 이해가 빠를 것이다.
Fig. 1. Non specific information combined mana gement system principle
한마디로 정리하자면 비특정 정보들을 정부·민간의 협력 관계 구축으로 하나의 시스템으로 모아 관리함으로서 서비스 별 무분별한 개인정보 수집행태를 예방하고 개인정보 수집억제를 통한 유출 및 거래 가능성을 낮춤으로써 비특정 개인정보 오·남용에 근원적 차단을 기대할 수 있으며, 개인정보의 체계적 관리와 접근/제어 기술 개발을 통해 공공자원의 성격을 부각시켜 좀 더 체계적인 관리 및 활용이 가능해질 수 있다는 것이다. 이는 악의적 사용 억제 및 선의적 활용 유도를 통해 공공 목적의 활용성을 높여 비특정 개인정보가 상업적인 활용 뿐 만 아니라 범죄예방 및 응급의료 적용 등 공공 서비스로도 활용될 수 있음을 시사한다.
V. 정책적·기술적 개선방안 검증
앞서 제시한 정책적·기술적 방안들이 어떠한 효과를 가져 올 것인가. 현재의 디지털화된 개인정보는 손쉽게 제3자에게 복사 및 조작, 전송, 통합 등이 가능하기 때문에 많은 이용자들은 개인의 정보가 본인도 모르는 사이에 거래 또는 유통되는 상황에 대한 우려가 크다. 개인정보의 유출, 오·남용 및 수집된 데이터의 조합으로 인한 프라이버시의 침해도 심각한 상황이다. 이러한 상황에서 먼저 법적 제도 안에서 개선방안을 적용시켜본다면, “개인정보”의 범위를 특정개인정보와 비특정 개인정보 모두를 포함하게 규정하여 보호함으로서 모바일메신저 이용 간 발생하는 여러 종류의 비특정(통계적)개인정보들이 이용자의 동의도 없이 무분별하게 수집·가공·유통되는 것을 일차적으로 막을 수 있다. 또한 이용자의 동의를 얻어 수집된 비특정 개인정보는 개인정보와 마찬가지로 일정 기간 동안 사용 후 자동 폐기되도록 함으로서 이용자가 인지한 범위 이상의 유통 또한 막을 수 있다.
다음으로 기술적 개선방안에서 제시한 비특정 정보 통합관리시스템 기술 개발을 모바일메신저 서비스에서 제공하는 다양한 서비스들을 적용시켜본다면, 우선 메신저에서 기본적으로 제공하는 검색서비스나 위치기반서비스(예, 카카오택시, 김기사 등)을 통해 해당 기간 가장 많이 검색한 단어나 장소 등에 관한 통계적 정보를 추출하고, 이를 비특정 정보 통합관리시스템에 등록, 가공한다. 가공된 정보는 각 콘텐트 제공자의 요구사항에 맞추어 공유되고, 콘텐츠 제공자는 자신이 보유한 기본 정보에 비특정 정보 통합관리시스템으로부터 제공받는 가공된 정보를 분석하여 특정기간, 사용자에게 알맞은 스마트 콘텐츠를 맞춤형으로 추천할 수 있는 것이다.
비특정(통계적)개인정보가 필요한 콘텐츠 제공자 입장에서는 기업별로 예산과 시간을 들여 정보를 수집하던 번거로움에서 벗어나 정기적으로 최신 화된 비특정 개인정보들을 손쉽게 얻을 수 있다는 장점이 있고, 정보를 제공하는 이용자의 입장에서도 한 곳에서 통합적으로 개인의 동의를 받아 수집·관리하니 내 정보가 어디서 어떻게 이용되는지 한 번에 확인이 가능하여 자신들의 정보가 본인도 모르게 거래되는 상황에 대한 우려를 낮출 수 있다. 또한 이렇게 통합· 관리되는 시스템을 통해 특정 정보의 결합으로 인한 개인정보 침해를 방지할 수도 있고, 각 서비스 별로 불필요한 개인정보 노출을 최소화하여 개인정보 보호 관점에서도 효과가 크다고 볼 수 있다. 위 내용은 Fig.2. 적용 알고리즘을 통해 쉽게 이해할 수 있다.
Fig. 2. Policy & technological improvement poli cy implementation
VI. 결론
모바일메신저는 일인 일소유의 개인적 성격이 무엇보다도 강하고 인구통계학적인 특성에 따른 개별적인 전달이 가능하다는 점에서 개인정보 뿐 아니라 비특정 개인정보를 수집하기에 더없는 조건을 갖추고 있고 이러한 정보들을 얻기 위해 각 기업에서는 다방면으로 방법을 강구하고 있지만, 그에 반해 개인정보 및 비특정 개인정보들을 보호하려는 의지는 매우 미약하다. 따라서 서비스를 이용하는 이용자의 사생활 보호 및 권리증진을 위해서 해당 논문에서는 비특정 개인정보 수집 및 활용에 관한 정책적·기술적 제도 개선 방안을 연구하였다.
먼저 국가별 및 국·내외 SNS기업의 개인정보 정책에 대한 비교를 통해 현재 개인정보보호에 대한 정의와 보호 실태를 분석하였다. 그 결과 개인정보를 사회권으로 인식하고 문제가 발생하여도 사후에 처리하는 방식을 택하는 미국을 제외하고 우리나라와 유럽은 본질적으로 개인정보를 사회권으로 보아 그 보호의 가치를 높게 판단한다. 그래서 개인을 특정하지 않는 비특정 개인정보도 개인정보의 범위에 포함하는 입장이다. 하지만 법률적 규정에서는 ‘결합하면 알 수 있는 정보’로 표현하여 그 범위를 오히려 모호하게 하고 있다. 이러한 법의 미비한 부분을 악용하여 각 기업의 비특정 개인정보를 통계적 정보로 취급, 개인정보에 포함하지 않음으로써 무분별하게 수집·활용하고 있으며, 그로 인해 발생하는 피해는 고스란히 이용자들의 몫으로 남아있다. 따라서 이러한 악의적 사용을 억제하고 개인정보의 선의적 활용 유도를 통해 공공 목적의 활용성을 높이고자 정책적·기술적 개선방안을 연구, 활용 시나리오를 통해 효과를 검증하였다.
먼저 정책적으로 현재와 같은 포괄적 의미로 보호를 규정하는 것이 아닌, 법에서 보호해야하는 개인정보에 개인을 특정할 수 있는 정보뿐 만 아니라 비특정 개인정보를 포함하는 등 세부적 항목들로 명시하여 개인 및 기업에서 개인정보를 수집 및 활용 시 반드시 따르도록 해야 함과 동시에 기술적 제도를 통해 하나의 시스템으로 수집·관리하여 상업적인 활용뿐만 아니라 공공 목적의 서비스로 활용할 수 있도록 해야 함을 제안하였고 활용 가능한 시나리오를 통해 효과를 검증하였다. 이러한 정책적·기술적 개선 방안들을 통해 각 기업에서 무분별하게 수집·활용되는 폐해를 근본적으로 차단하여 긍적적 의미의 비특정 개인정보 활용이 이루어 질 것이며, 이를 위해 앞으로는 각 기업별 모바일 메신저를 통해 무분별하게 수집되는 비특정 개인정보들의 항목에 대한 표준화 연구가 뒷받침 되어야할 것이다.
* 본 연구는 미래창조과학부 및 정보통신기술진흥센터의 대학ICT연구센터육성 지원사업의 연구결과로 수행되었음 (IITP-2016-R2718-16-003)
References
- Craig, Terence, and Mary E. Ludloff. "Privacy and big data," O'Reilly Media.Inc, 2011.
- Crawford, Kate, and Jason Schultz. "Big data and due process," Toward a framework to redress predictive privacy harms, vol. 55, pp.93, 2014
- Park daehyeon, Song donghyeon. "The activation of Unformatted Data's political, economic and cultural implications," INTERNET & SECURITY FOCUS, Feb. 2014
- Seo yeejong, Kim sujoung. "Accumulation of representable personal informations through mobile applications of smart phones and policy implications of privacy protection," The Korean Journal of the Information Society, 16(1), pp. 1-39, 2015
- Jeong junhyeon, Kwon Ohmin. "A Study of Legal Issue Collecti on-Processing-Thirdparty Providing of Personal Data and Their Value Adding," Hongik Law Review, 16(1), pp.937-960, 2015 https://doi.org/10.16960/jhlr.16.1.201502.937
- Mun seonyeong, Ko hanjun. "A Study on the ad on the type of lifestyle effect of a mobile instant messaging and Behaviors," The Korean Journal of Advertising, 26(1), pp. 275-297. 2015 https://doi.org/10.14377/KJA.2015.1.15.275
- Park Jeonghun. "The Latest Argument on Location Information, and Its Suggestion by Evaluating the Debate -Concentrating on Cases in the US," Kyunghee Law Review, 46(4), pp.111-154, 2011
- Kim seonjeong, Kim taeyong. "How the Emotion of SNS Contents Influence the Users' Affective States : Focused on Facebook Newsfeed Pages," Cyber communication school newspaper, 29(1), pp.5-47, 2012
- Craig T & Ludloff M, "Privacy and Big Data," 2012
- IDC, The Digital Universe in 2020
- Essers L, "Facebook's new face recognition policy astonishes German privacy regulator," Pc world, 2013