* 파트너스 활동을 통해 일정액의 수수료를 제공받을 수 있음

개인정보 이동권

 

신용정보법에 이동권이 시행이 되고 있지만 GDPR에서 제시하고 있는 이동권과 조금 다른 개념으로 진행되고 있는 듯 하다. 이는 '마이데이터'라는 사업으로 연결돼 정보주체의 전송요구권에 가깝다고 본다. 개인정보 이동권에 대한 원래 취지는 정보주체가 데이터의 주권을 가지고 자신의 통제 영역 안에서 자기결정을 내리는 것이 핵심이다.

GDPR에서 의미하는 이동권은 2가지다.

1. 전송요구권

정보주체의 요구가 있으면 개인정보처리자(컨트롤러)가 다른 개인정보처리자에게 정보주체의 개인정보를 이동하는 권리다. 데이터가 흘러가고 이동함으로써 데이터 독점을 방지하고 경쟁해 더 나은 품질의 데이터를 확보 가능하도록 한다. 그동안 정보주체는 개별 개인정보처리자에게 자신의 정보를 저장하고 보관 이용해 왔기 때문에 다른 개인정보처리자에게는 또 다시 회원가입과 개인정보를 제공해야 하는 불편함이 있었고, 이러한 여러번에 걸친 개인정보제공 만큼이나 유출에 따른 리스크도 커진 것이 사실이다. 

2. 다운로드권

개인정보처리자가 보유하고 있는 정보주체에 대한 개인정보를 직접 다운로드 받을 수 있는 권리다. 다운로드 받을 수 있다는 것은 정보주체의 통제권 영역안에 개인정보 자기결정권을 부여한다는 의미다. 전자적인 방법으로 안전하게 다운로드 가능하면 다운로드 받은 개인정보를 다른 개인정보처리자에게 선별 제공해 정보주체가 자기결정권을 행사 가능하도록 한다. 

3. 현재 우리나라 현황

개인정보 이동권이 유럽 개인정보보호규정(GDPR)로 시작해 미국의 CCPA나 버지니아주 개인정보보호법 등 다양하게 퍼져 나가는 모습을 보인다. 우리나라도 데이터 3법 개정 시 신용정보법에 우선 반영해 개인정보이동권이 시행 중에 있으며 개인정보보호법 2차 개정을 앞두고 '개인정보 이동권' 적용에 입법 예고한 상태다. 특별한 이슈가 없으면 시행 될 것으로 예상된다. 

제도 초기 시행이다보니 아직 갈 길이 멀다. 개인정보 이동에 대한 다음 물음에 답하는 것이 우선이다.

  • 개인정보 이동 대상은 무엇인가?
  • 개인정보 이동 범위는 어디까지 할 것인가?
  • 개인정보 이동 시 위협이나 보안에 대한 문제는 없는가?
  • 개인정보 이동 후 유출 시 책임은 누구에게 있는가? 등등

 

4. 다운로드권을 직접 실행해 보니

페이스북이 연실 두들겨 맞고 있다. 최근 언론 보도에 따르면 개인정보 5억건이 2019년도에 유출 되었다는 로이터 통신을 통해 기사화 됐다. 국내 사용자도 12만명 정도 유출 되었다고 하니 실로 안타깝다. 글로벌 기업 마저도 개인정보에 대해 이렇게 헛점이 들어나고 있는 시점에서 2차 개정을 앞두고 국내법상 침해사고시나 유,노출 시 전체 매출액에 3% 과징금 부과에 대한 산업계 반발이 있고, 정부는 초기 입법대로 진행 예정이다. 그동안 개인정보 관련 법률이 수 없이 개정 돼 왔다. 

일부는 더 강화된 측면이 있고, 일부는 완화된 측면도 있다. 하지만 정보보안과 개인정보는 100% 안전한 것이 없으므로 규제 법률은 점점 강화 될 수 밖에 없다는 성질을 받아 들여야만 한다. 그 해결 방안은 자율적으로 침해사고나 개인정보 침해 사고가 발생하지 않도록 사전예방이 잘 이루어져야 하는데 실질적인 현장은 그렇지 못하고 부담만 가중된다는 인식이 크다. 

따라서, 활용을 하려면 안전하게 보호하는 자율적인 사회적 합의가 이루어져야 하는데 제도화 하지 않으면 굳이 할 필요 없다는 분위기가 팽배해 버리면 솜방망이처럼이라는 비판을 피하기 어렵다. 늘 그래왔다. 사건 사고나면 언제나 인재라는 키워드와 소 잃고 외양간 고친다는 고정적인 멘트는 너무나 많은 반복이 돼 왔고, 사람들 머리속에 인식돼 왔다.  사전예방이 가능한 법률적 제도화가 더 많이 고착화 돼야 한다. (PbD, PIA 의무화 등)

아무튼, 다시 돌아와서 페북에서 '다운로드'가 가능한 기능을 지원해 다운로드를 받아 보았다. 싸이월드 사이트가 폐쇄 되는 바람에 이용하던 이용자의 모든 콘텐츠와 개인정보 등 하나도 보유하지 못하고 그대로 서버에 둔 채 발만 동동 굴렀던 경험이 사용자들이 있기에 페북에서 지원하는 개인정보 이동권 중 다운로드 기능에 대해서는 반길 것이다. 

 

  • 카테고리별로 선택해 다운로드 가능하다.
  • HTML 혹은 JSON 파일 중 선택해 다운로드 가능하다.
  • HTML로 다운로드 받았는데 각자 사용량에 따라 다르겠지만 2-3G정도 될 듯하다.
  • 페북이 서비스를 중단해도 자신의 소중한 콘텐츠나 기록을 보관 가능하다.
  • 다운로드 받으면서 민감한 개인정보 등도 포함 될 수 있으니 보안에 조심하라 경고한다.

 

5.  국내에서 개인정보 이동권이 정착되려면

1) 정보주체에게 통제권 부여

가장 중요하고 핵심적인 내용이며 정보주체가 데이터를 컨트롤 할 수 있도록 기능구현 하는 것이 개인정보 이동권에 핵심이다. 다른 부차적인 이유보다는 정보주체가 데이터를 각 개인정보처리자를 통해 흘러 가도록 제도적 마련 뒤에 기술적으로 구현하는 것이 가장 핵심이다. 굳이 GDPR을 따라 한다는 의미보다는 국내 실정에 맞게 참조해 제도 시행에 대한 취지와 가치에 부여하도록 제도 정착이 되지 않으면 오히려 현장에선 더 혼란스러운 형태가 도래 될 것이다. 

표준API 구현에서부터 안전하게 전송 가능한 기술 구현이 하루 빨리 반영되고 이루어져야 한다. 

2) 다운로드권 기능 구현 

신용정보법이나 개인정보보호법에서 직접적인 다운로드권에 대한 언급이 없지만 진정한 개인정보 이동을 한다면 개인정보처리자가 데이터를 그대로 저장 보관하고 전송요구권만 행사하는 것은 크게 의미가 없다. 개인이 통제 가능한 자기결정권 행사의 핵심은 서비스 하고 있는 정보에 대한 개인정보를 단순 열람에 그치는 것이 아니라 자신의 개인정보 범위를 정해 다운로드 가능하게 해야한다. 

개인정보에 대한 주권이 개인정보처리자에서 정보주체로 이동하는것이 개인정보이동권에 대한 핵심 가치다. 이를 개인정보처리자에서 개인정보처리자로 이동하는 것으로 판단해서는 반쪽자리 개인정도 이동이 되는 것이라 해석한다. 아무튼, 이제 시행초기인 만큼 시행착오를 거쳐 개인정보처리자와 정보주체가 동등한 입장에서 보호와 활용으로 사회적 합의를 만들어 가야한다.

기울어진 운동장에서 아무리 법,제도를 개정한다해도 정보주체의 개인정보를 이용해 데이터 독점이 비지니스의 핵심으로 떠 오른다면 정보주체의 저항은 그만큼 커지고 반발이 심해지게 된다. 이는 또 다른 법 규제로 이어지기 때문에 개인정보처리자도, 정보주체도 점점 규제에 갇히게 되는 고립되는 법으로 전락하게 된다. 

 

 

 

 

 

* 파트너스 활동을 통해 일정액의 수수료를 제공받을 수 있음

댓글을 달아 주세요

* 파트너스 활동을 통해 일정액의 수수료를 제공받을 수 있음

 

 

GDPR 시행 이후에 개인정보에 대한 많은 변화가 일어났다. 그동안 한국은 개인정보에 대한 법제가 강력한 법제라는 인식이 강했지만 그것은 사실 규제 일변도로 구성된 국내법상 특징에 따른 특성일뿐이라는 것이 필자의 생각이다. 정말 강력한 규제는 유럽의 GDPR이나 이제 슬슬 법이 제정되기 시작한 CCPA등 유럽과 미국에 대한 법이 더 강력한지도 모르겠다.

데이터3법 개정은 왜 이루어졌는가?

데이터 3법 개정의 핵심은 바로 2가지다.  

▶ 개인정보보호 감독기구 설립

이 두가지가 가장 핵심적인 내용이다. 첫째, 개인정보 감독기구 설립은 그동안 GDPR의 우선 협상 대상국에 2차례나 협상이 결렬된 주된 이유이기도 하다. GDPR은 개인정보 관련된 강력한 관리 감독하는 감독기구의 독립성을 강하게 요구하고 있다. 한국은 그런측면에서 개인정보의 독립된 감독기구가 없었다. 

어차피 GDPR은 시행이 될 것이고 그동안 2차례에 걸쳐 우선 협상대상국에서 결렬된 주된 원인이 되기도 했기 때문에 각 부처에 흩어져 있던 개인정보에 관련된 업무를 일원화 해 한 곳으로 집중시키는 작업이 시작된 것이다. 일반인들은 한 곳에서 관리하면 되지 않겠냐고 쉽게 생각하겠지만 이는 정부조직법 상 여러가지 법률적인 요소가 작용되는 사항이라 그렇게 간단한 일이 아니다.

■ 개보위의 설움

그동안 심의.의결 기구로만 존재했던 개보위는 아무런 힘이 없었다. 개인정보에 대한 심의.의결에만 관려를 할뿐 실질적인 역량이 미흡했다고 본다. 이에 중앙행정기관으로 격상 시켜 국무총리 산하 조직으로 만들고 장관급 위원장이 배치됨에 따라 책임과 권한 부분에서 서러움에서 탈퇴하게 됐다.  2021년 들어 강력한 드라이브를 거는 것도 이런 존재감을 위한 하나의 개보위의 의지라고 보여진다.

▶ 가명정보 도입

그동안 개인정보에 대한 규제적인 측면만 있다보니 강력한 규제라는 인식이 강했다. 그런 차원에서 최근 4차산업혁명에 따른 인공지능, 빅데이터 기술이 탄력을 받으면서 데이터 중심 경제로의 전환이 이루어지고 정부에서도 이런 데이터 뉴딜정책에 강력한 드라이브를 걸게 됐다. 이는 일본에 손정의가 방한해 대통령과 환담한 끝에 "첫째도 인공지능, 둘째도 인공지능, 셋째도 인공지능"이라고 언급해 화재가 됐다. 

데이터 활용 분위기는 조성이 됐는데 법은 그대로 규제 일변도로 가는 명분이 더 이상 힘을 얻기 힘든 가운데 2016년부터 제기 해 오던 '비식별조치 가이드라인'에 대한 익명성에 기반을 둔 비식별 기술에 관심이 쏠리기 시작했다. 그 당시에 비식별조치를 통해 가명처리 하는 방법에 대한 관심이 있었는데, 시민단체의 소송에 따라 잠시 유보되기도 했다. 그렇게 탄력을 받지 못하다가 이번 GDPR과 데이터 활용 최전선에 있는 기업들의 입장을 반영해 명분을 쌓고 '활용'에 한 발짝 진일보하게 한 발을 내 딛게 됐다.  그 첫걸음이 '가명정보'의 개념 도입이고 이는 GDPR에 모두 언급돼 있는 내용으로 활용에 포커스를 맞춘 개념이다.

또한, 동법 시행령 제 14조2항에 따라 '개인정보의 동의 없는 추가적인 이용.제공'이 허용됨에 따라 일일이 동의를 받던 기존 체제에서 다시금 한 발짝 더 나아가게 됐다. 법의 개정 목적이나 의도 자체는 좋은데 이를 사용하는 법 수범자가 오남용을 해서는 안될 것이다. 

보호위는 " 보호 없이는 활용도 없다"는 슬로건을 내 걸고 2021년 많은 개인정보 관련 사업을 추진하고 온라인 공청회를 통해 발표를 했다. 가명정보 활용센터 도입에서 부터 다양한 사업을 펼칠 예정이다.

◈ 데이터 3법 개정 이후 2차 개정 후 입법예고와 공청회 시행

데이터 3법에 이후 빠르게 법 개정이 다시 이루어지는 것은 정보통신망법과 개인정보보호법이 통합되는 가운데 시간이 없는 가운데 정보통신망법이 특례조항으로 형식적인 통합에만 그쳤다는 비판을 받게 됐다. 즉, 대상은 하나인데 법 적용에 따라 개보법인지 특례법 적용인지 현장에서 혼란이 가중되는 일이 발생했다.

공청회에 참석한 한 패널에 따르면

" 개인정보보호법과 정보통신망법은 물리적 결합이 우선 됐는데 이번 2차 개정은 화학적 결합"에 의의를 두고 있다고 표현하기도 했다. 비유야 어찌 됐던 물리적인 법 통합에 있어 빠른 시일내에 정보주체에 대한 관련 법 개정이 이루어져야 하는 시급함이 있었다고 보고있다.

■ 데이터 이동권, 프로파일링 대응권, 개인정보처리방침 심사제도, 분쟁조정모든 개인정보처리자 필수참여자 확대 등..

▶ 데이터 이동권

귤이 바다를 건너 오다가 탱자가 되는 일이 없어야 한다. 지금 신용정보법에서 먼저 시행하고 있는 일명 '마이데이터 사업'을 살펴보면 정보주체에게 개인정보에 대한 주권과 통제권이 부여가 됐다고는 하지만 GDPR에서 의미하는 데이터 이동권 원래 취지와는 조금 다른 양상을 보인다는 느낌이 든다. 

신용정보법에 따라 '마이데이터' 시범 사업을 추진하는 앱을 한번 사용해 보면 그 이유를 알 수 있다. 앱 설치 이후에 그 앱으로 인해 자신의 정보를 금융회사에서 가져 와 자신에게 맞는 상품을 추천해 준다는 컨셉으로 '개인정보 이동권'을 활용하고 있다. 자세히 들여다 보면 이것은 핀테크 업체가 자신이 보유하고 있는 가입자가 금융정보를 보관하고 있지 않으니 그냥 3자 제공에 동의 하는 형식으로 인해 금융회사에 있는 개인신용정보를 제공 받아 상품 추천해 주는 것에 지나지 않는다. 

다른측면에서 접근해 본다면

만약 금융회사가 자신의 앱으로 자신이 보유하고 있는 개인에 대한 개인신용정보를 통해 상품을 추천하는 것과 다름이 없다. 단지 금융회사 혼자가 아닌 핀테크 회사가 그 앞단에 서서 각각 다른 금융회사에 개인 신용정보를 취합하고 통합하는 것에 지나지 않는다. 

여기서 고민해 봐야할 지점은 각 주체별 이득이 무엇인가에 대한 고민이다. 정보주체, 핀테크(빅테크), 금융회사...

▣ 핀테크

핀테크(빅테크)는 그동안 개인신용정보에 대한 정보를 제공 받아 서비스를 제공 가능하게 됐다. 이것으로 인해 통합된 앱을 통해 가입자를 많이 확보해 사용자를 통한 새로운 비지니스를 창출하게 됐다. 다시 말하면 핀테크나 빅테크 등이 제공하는 서비스를 통해 금융회사 상품에 가입 했을때 수수료를 받지 않을까 하는 판단이 든다. 요즘 공짜가 어디에 있는가? 1건 가입할때 수수료에 따라 정산이 된다면 핀테크 입장에서도 나쁘지 않다고 본다.

▣ 금융회사

금융회사도 마이데이터 사업에 대해 부정적인 시각을 가지고 있지만 (그동안 독점적으로 보유하고 있던 신용정보를 제공해야 하는 입장) 결국은 각 개인은 앱 등을 사용해 자신의 금융회사 금융상품을 선택해 조금 더 선택의 폭이 넓어지고 경쟁체제로 이루어지기 때문에 상품 개발이나 상품 가입시에 아무런 조건없이 그대로 상품을 제공한다고 보지는 않는다. 수수료를 지급해 더 많은 상품 노출로 인해 자신의 금융회사 상품에 가입하도록 유치 가능한 기회가 마련된다고 본다.

▣ 정보주체

정보주체는 앱 사용 등으로 자신의 신용정보가 흩어져 있던 것을 한 곳에서 볼 수 있다. 각 상품들에 대한 비교를 통해 내가 가입하고자 하는 상품에 가입하는 선택의 폭이 넓어졌다고 본다. 그러나 각 금융회사의 금융상품을 단순 비교해 나에게 맞는 상품을 추천해 준다는 것이 어느정도 신뢰성과 나에게 맞춤형 상품을 추천해 주는지에 대한 것은 사용해 본 사용자라면 약간의 의구심이 든다.

GDPR에서 시행하고 있는 데이터 이동권은 다운로드권과 전송권이다. 다운로드권은 나의 개인정보를 다운로드 받게 해 내 정보를 다른 개인정보처리자에게 이동가능 하도록 하는 것이다. 개인정보 또는 신용정보의 통제권이 오롯이 정보주체에게 있음을 보여준다. 또한, 이렇게 다운로드 받은 개인정보를 기술적인 사항에 따라 다른 개인정보처리자에게 이동 가능하도록 기술적으로 해결하는 방식이다. 

단순히 로그인하고 나서 '제3자 제공에 동의하고 버튼 클릭'하는 것이 개인정보 이동권에 해당하지는 않는다. 이유는 그 통제권은 정보주체에게 있는 것이 아니라 개인정보처리자에게 있기 때문이다.  동의를 하는 행위가 통제권이 개인에게 있다고 보지 않는다. 동의를 하지 않아도 서비스를 사용 가능하도록 해야 함에도 불구하고 지금 국내에서 서비스 되고 있는 서비스는 동의 하지 않으면 다음 단계로 넘어가지 않는다. 

 

■ 귤이 바다를 건너 탱자가 되는 일은 없어야 한다.

선진국 제도에 대해 좋은점이 있으면 국내 실정에 맞게 잘 도입하면 된다. 하지만 초기 그 목적에 부합하지 않고 다르게 접근하게 돼 원래 취지에 맞지 않는 기형적인 형태가 된다면 차라리 시행하지 않는 것이 더 나을지 모른다. 기형적으로 법률이 흘러가게 되면 실제 실무자나 담당자는 그 많은 고통을 감내해야 한다. 법률 한줄 만들어 문구하나 만들거나 변경하는 것이 무엇 그리 그 대수인가? 라고 생각하겠지만 법을 오랫동안 들여다보면 추후 침해사고가 발생하거나 유출로 이어졌을때에 문구하나 자구 하나가 엄청한 법리 해석을 가져오고 그 몫은 오롯히 담당자가 짐여져야 할 몫이기도 하다. 그런측면에서 다양한 의견과 충분한 검토를 통해 각 주체가 균형 있는 균형추가 맞게 법 개정이 이루어지길 바랄뿐이다. 

* 파트너스 활동을 통해 일정액의 수수료를 제공받을 수 있음

댓글을 달아 주세요

  1. Favicon of https://cloud4.tvple.me/tv/c/교양 BlogIcon 파란사과 2021.02.23 16:59  댓글주소  수정/삭제  댓글쓰기

    잘 보고 갑니다~~