Ⅰ. 서론
전문가들은 4차 산업혁명의 확산에 따라 사람들의 일상에 이전의 수십년 혹은 수백년 간의 변화에 못지 않는 변화가 앞으로 매년 생길 것으로 예상하고 있다. 이러한 변화를 일으키는 여러 가지 요인이 있겠지만 기술적인 면에서 접근한다면 빅데이터, 인공지능, 사물인터넷, 가상현실, 메타버스, 5G 등으로 대변되는 ICT(Information & Communication Technology) 기술의 급격한 발전을 꼽을 수 있다. 아울러 이러한 기술들이 적용되는 스마트 인프라 환경, 의료, 헬스, 제조, 교육, 항공 등 다양한 융합 산업의 발전이 사람들의 생활을 의미있게 변화시키고 있는 것으로 볼 수 있다. ICT 기술과 융합산업의 발전에 필수적으로 수반되는 것은 데이터의 활용과 보호에 관한 사안이다. 본 고에서는 데이터의 활용과 보호의 관점에서 우리나라와 미국, EU에서 개인정보보호를 어떻게 규정하고 있는지 제정된 법을 통하여 알아보고 정책에 대한 방향을 정리하고자 한다.
Ⅱ. 우리나라 개인정보 보호법
우리나라 개인정보 보호법은 개인정보 보호에 관해 규정한 일반법으로, 개인정보의 유출, 오용, 남용으로부터 사생활의 비밀 등을 보호함으로써 국민의 권리와 이익을 증진하고 개인의 존엄과 가치를 구현하기 위하여 개인정보의 처리에 관한 사항을 규정하고 있다.[1]
4차 산업 혁명 시대를 맞이하여 신산업 활성화는 국가의 당면 과제가 되었다. 신산업 활성화에는 여러 요인이 복합적으로 작용되어 발전하겠지만, ICT 기술의 입장에서 본다면 공공데이터를 위시한 각종 데이터의 이용 및 활성화가 이루어지는 것이 필수적이며, 이러한 상황에서는 안전한 데이터 이용에 대한 체계적이고 명확한 사회적 규범이 정립되어야 한다. 우리나라의 기존법 상으로는 개인정보 보호 감독기능은 행정안전부ㆍ방송통신위원회ㆍ개인정보보호위원회 등으로, 개인정보 보호 관련 법령은 개인정보보호법과 정보통신망 이용촉진 및 정보보호 등에 관한 법률 등으로 각각 분산되어 있는 상황으로, 위에 언급한 신산업 활성화를 위한 데이터 기반 정립에는 한계가 있는 것으로 보인다.
우리나라는 2020년 2월에 개인정보보호법을 개정하여(2020,2.4) 개인정보의 개념을 명확히 해서 혼선을 줄이고, 안전하게 데이터를 활용하기 위한 방법과 기준 등을 새롭게 정했다. 아울러, 2021년 9월에 국회에 제출된 개인정보 2차 개정안으로 안전한 데이터 활용에 대한 기반을 강화하고자 노력하고 있다.
2-1 2020년 개정 개인정보 보호법(2020.2.4.)
2020년에 개정한 개인정보보호법은 데이터를 기반으로 한 새로운 기술·제품·서비스의 개발, 산업 목적을 포함하는 과학연구, 시장조사, 상업 목적의 통계작성, 공익 기록보존 등을 위해서 다음의 세가지 중요한 내용을 담고 있다.[2]
(1) 개인정보 범위 명확화를 통해 데이터 활용 장벽 완화(제2조 제1호)
개인정보 보호법이 개정되며 기존 법령과는 달리 ‘개인정보’의 정의가 지나치게 확대 해석되지 않도록 명확한 기준을 설정했다.‘해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보’를 개인정보로 정의했다. 의미를 명확히 함으로써 그동안 기업 등에서 데이터 활용 시 법적인 가이드 라인이 없어 겪었던 어려움을 해소했다. 또한 수집 목적과 합리적으로 관련된 범위 내에서 대통령령이 정하는 바에 따라 개인정보의 추가적인 이용 및 제공을 허용하였다.(제17조 제4항) 동의없이 처리할 수 있는 개인정보의 합리화를 위한 체계가 구체적으로 확립되었다.
(2) 익명정보의 법 적용 배제 명확화를 통해 활용 가능성 확대
이번 개정안에서는 ‘익명정보’에 대한 개인정보보호법의 적용 제외를 명시하였다. 익명정보는 ‘시간, 비용, 기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보’로 ‘20대, 남자, 서울 거주’와 같이 개인이 특정되지 않는 정보를 말한다.(제58조의2) 따라서 익명정보는 언제든 동의 없이 활용 가능하다.
(3) 가명정보 도입 등을 통한 데이터 활용 제고(가명정보 처리에 대한 특례)
개인을 알아볼 수 없도록 안전하게 처리된 ‘가명정보’ 개념을 개인정보의 하나로 도입했다. 가명정보는 ‘가명처리를 함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용, 결합 없이는 특정 개인을 알아볼 수 없는 정보’를 말한다. 주민등록번호나 전화번호, 이메일 등 개인을 식별할 수 있는 정보인 ‘식별자’를 삭제, 몸무게, 혈액형, 나이, 성별과 같은 ‘준식별자’를 카테고리화 하면 가명정보라고 한다.
가명정보는 통계작성, 과학적 연구, 공익적 기록보존 목적으로 정보주체의 동의없이 처리 허용된다.(제28조의2) 이때 가명정보를 결합하여 다양한 데이터로 활용할 수 있는데 서로 다른 기업이 보유하고 있는 가명정보를 보안시설을 갖춘 전문기관에서 결합할 수 있도록 하였다. 또한, 가명정보에 대하여는 개인정보의 파기, 정보주체의 개인정보열람, 정정, 삭제 요구권 등에 대한 개인정보보호법상의 조항들도 적용되지 않도록 했다. (제28조의7)
2-2 2021년 국회제출 개인정보 보호법 2차 개정안(2021.9)
(1) 개인정보 전송요구권(이동권)과 자동화된 결정에 대한 거부 등 대응권 도입
국민이 기업이나 기관 등에 저장되어 있는 본인의 개인정보를 자신이나 다른 기업에 전송을 요구할 수 있는 권리를 보장할 수 있게 된다. 이에 따라 현재 금융 일부 분야에서만 시행되고 있는 마이데이터 사업이 더욱 다양한 분야로 확장될 것으로 전망된다.
인공지능에 의해 과세대상ㆍ복지 수혜자격 결정ㆍ신용등급 등 사람의 개입 없이 완전히 자동화된 시스템에 의한 결정으로 권리 또는 의무에 중대한 영향을 받은 경우 거부하거나 설명을 요구할 수 있는 권리를 도입한다.
(2) 법률 적용의 혼선과 온-오프라인 간 이중 규제 해소
온라인과 오프라인 상에서의 규제 내용을 명확하게 하여 혼란을 방지하고, 영상 기기에 대한 규제 내용 또한 명확하게 수립한다. CCTV((Closed-Circuit Television) 등 고정형 영상기기의 무분별한 운영을 방지하기 위해 ‘정당한 권한을 가진 자’만 설치 및 운영할 수 있도록 규정한다. 또한 드론 등 이동형 영상기기는 업무 목적의 촬영 가능 범위를 신설한다.
Ⅲ. 미국 개인정보 동향
미국의 경우 미국 전체를 아우르는 연방 법률로서 개인정보 보호법은 존재하지 않으며 개인정보보호에 관하여 국가가 관여하지 않으며, 각 주별로 개인정보 보호법을 도입하려는 경향이 있다. 분야별로 개인정보 보호를 규율하는 개별 법률이 각 분야별 개인정보 보호를 담당하고 있다. 연방 차원의 일반 개인정보 보호법의 부재로 인해 부분별 개인정보 보호를 규율하는 개별법이 각 분야별 개인정보 보호를 담당하고 있는데, 개인정보 보호 분야 연방 법률은 다음 표1과 같다.[3]
표 1. 미국의 개인정보 보호 연방법률
Table 1. United States Federal Law for Privacy Protection
이후 연방법으로 일반 개인정보 보호법에 대한 요구가 높아져 모든 유형에 적용될 수 있는 연방 개인정보 보호법 입법 노력에 착수하는 움직임이 있으며, 연방 의회의 개인정보 보호관련 최근 법안 발의 내용은 다음 표2와 같다.[4]
표 2. 최근 발의된 미국의 개인정보보호 관련 법안
Table 2. Recently Proposed United States Privacy Protection Bill
Ⅳ. EU 개인정보 동향
EU는 1995년 Data Protection Directive(DPD 94/46 EC)을 채택하여 개인정보보호를 하기 위한 기준으로 만들었으나, 기존의 DPD 94/46 EC는 지침이라는 점 때문에 그 이행을 이끌어내는데 한계가 있었고 개인정보의 보호에 관한 규율체계가 통일성을 갖추지 못해서 발생한 문제들이 생겼다.[5] 이러한 문제점들을 보완하기 위하여 EU는 General Data Protection Regulation(이하 GDPR)을 2016년에 발의되고 2018년부터 모든 회원국에 일률적으로 적용되는 개인정보보호법을 제정하였다.
EU는 각국의 데이터 보호 기관 간의 협력을 촉진하기 위한 독립 유럽기구인 European Data Protection Board(EDPD)를 설립하여 유럽 전역에 데이터 개인정보 보호법을 조율하여 모든 EU시민들의 개인정보를 보호하고 권한을 부여받은 해당지역의 조직이 데이터에 접근하는 방식을 바꿀 수 있도록 하였다.[6] GDPR 제 5조에서는 개인정보 처리에 대한 6대 원칙을 다음 표3과 같이 정의 한다.[7]
표 3. GDPR 개인정보처리 6대 원칙
Table 3. The Six Principles of Personal Data Processing in the GDPR
GDPR은 개인정보보호 강화를 위해 정보 주체의 권리에 대해 명시 하고 있으며 여러 권리들을 신설, 강화 시켰는데, 그 권리들을 여러 조항에서 명시 하고 있으며 다음 표4와 같이 정리될 수 있다.[7]
표 4. GDPR 정보주체 권리
Table 4. Rights of the Data Subject in the GDPR
* Article 12.: Transparent information, communication and modalities for the exercise of the rights of the data subject
Ⅴ. 한·미·EU 개인정보 법·정책 비교
4차 산업혁명이 점차 확산되고 있으며 그에 따른 신산업의 등장, 새로운 ICT 기술들의 발전 등은 데이터를 기반으로 하고 있으며, 이러한 데이터 활용에 있어 개인 정보의 활용과 보호는 현명하게 접근하고 다루어야할 여러 상충적인 문제들이 있다. 이러한 문제들에서 제일 우선적으로 고려되어야 할 사항은 정보보호에 관한 법이나 제도의 정비가 될 것이다. 우리나라를 비롯하여 미국, EU등에서는 개인정보 보호법에 대한 정비가 체계적으로 진행되고 있다. 우리나라와 미국, EU에서 최근 진행되고 있는 정보보호법의 핵심을 비교하여 보면, 우리나라와 미국, EU에서 다양한 신산업의 등장, ICT 신기술의 발전에서 발생할 수 있는 여러 가지 보안 위협 등에 대하여 각국의 정책 방향의 우선 순위를 알 수 있다.
우선, 우리나라는 2020년 개정된 개인정보 보호법의 주요 사항들은 개인정보 범위 명확화를 통해 데이터 활용 장벽 완화, 익명정보의 법 적용 배제 명확화를 통해 활용 가능성 확대 및 가명정보 도입 등을 통한 데이터 활용 제고 등 정보나 데이터의 활용에 주안점을 두고 있다면, 2021년에 국회제출 개인정보 보호법 2차 개정안은 개인정보 전송요구권(이동권)과 자동화된 결정에 대한 거부 등 대응권 도입 및 법률 적용의 혼선과 온-오프라인 간 이중 규제 해소 등으로 정보 주체들의 정보에 대한 권리를 보장하는 것을 중점으로 두어 데이터 활용과 보호 사이의 균형을 맞추는 정책으로 볼 수 있다.
미국의 경우는 여타 사회 정책의 기조와 마찬가지로 개인정보보호에 관하여 국가가 관여하지 않는다는 원칙으로 연방 법률로서 개인정보 보호법은 존재하고 있지 않다. 미국의 개인정보호에 대한 접근은 첫 번째로 각 주(州)들이 개별적으로 개인정보 보호법을 도입하려는 움직임이 활발하게 진행된다는 것과 두 번째로 분야별로 개인정보 보호를 규율하는 개별 법률 제정이 이루어지고 있다는 것이다. 분야별로 개인정보 보호를 규율하는 개별 법률의 예로는 의료 및 건강에 관한 정보의 처리시에 사용하는 규정인 HIPAA(Health Insurance Portability Accountability Act)와 가족의 교육적권리 및 프라이버시에 관한 법으로 FERPA(Family Education rights and Privacy Act)를 들 수 있다.
EU는 2018년부터 모든 회원국에 일률적으로 적용되는 개인정보보호법인 GDPR(General Data Protection Regulation)을 통하여 개인정보 처리에 대한 확고한 원칙에 따라 개인정보보호에 대한 강화를 명확히 하고 있다. 개인정보 강화에 대한 권리는 정보를 제공받을 권리, 정보주체의 열람권, 정정권, 삭제권(잊힐권리), 처리제한권, 개인정보이동권, 반대권, 프로파일링을 포함한 자동화된 의사결정 등 광범위하게 보호를 하고 있다.
Ⅵ. 결론
본 고에서는 우리나라와 미국, EU연방의 정보보호 동향과 개인정보보호법을 통하여 개인정보에 대한 어떠한 정책이 실행되는지에 대하여 살펴보았다. 우리나라는 데이터의 활용을 정책의 우선 순위를 삼아 법 제정이 이루어지고 있으며, 미국은 개인정보 보호에 대한 통일된 연방법이 존재하지 않는 상태에서 분야별로 개인정보 보호를 규율하는 개별법률이 제정되고 있으며, EU는 데이터의 활용이 확산되고 있는 상황에서 개인정보보호에 대한 강화를 명확히 하는 정책을 펼치고 있다. 4차 산업혁명 시대에 ICT 기술의 혁신적인 발전, 기업의 데이터 활용 확대,정보보호 기술의 발전 등 환경의 변화 속에 데이터의 올바른 활용에 대하여 지속적인 국내외 개인정보보호 동향, 법 및 정책을 수집, 분석하여 올바른 정보보호 방향을 설정하여야 할 것이다.
Acknowledgments
본 연구는 2020년도 한성대학교 연구년 지원과제 임.
References
- Personal Information Protection Commission. Personal Information Protection Portal, Understanding of Personal Information Protection. Available: https://www.privacy.go.kr/nns/ntc/inf/personalInfo.do
- Korea Policy Briefing, Ministry of Culture, Sports and Tourism, Available: https://www.korea.kr/special/policyCurationView.do?newsId=148867915
- Personal Information Protection Commission. Personal Information Protection International Cooperation Center, Available: https://www.privacy.go.kr/pic/nation_usa.do
- KSIA GDPR Response Support Center, "An In-depth Analysis of the Status of Personal Information Security Law and Legislation in the United States," 2021.
- G. B. Kwon, H. J. Lee, & I. H. Kim, "The Study on Legislation Process of GDPR(General Data Protection Regulation) and Subsequent Trend in EU System," Journal & Article Management System, Vol. 29, No. 1, pp 1-38. 2018.
- G.C. Lim. "A Study on the improvement of legislation of domestic personal data protection act through critical acceptance of GDPR and 2018 BDSG," Kyungpook National University Law Journal, Vol., No. 61. pp. 81-115 , April 2018. https://doi.org/10.17248/KNULAW..61.201804.81
- KSIA GDPR Response Support Center, https://gdpr.kisa.or.kr