정부에서 시행하는 정책이나 국가 기본계획을 검토하는 이유는 미리 사전에 대비를 할 시간을 가지게 되며, 정부는 대부분 이러한 계획에 따라 시행을 집행해 나간다. 따라서, 평소에 정부정책에 대해 관심을 가지고 있으면 어느날 갑자기 시작되는 듯한 정부 정책에 대해 당황해 하지 않는다. 향후 개인정보 관련 개인정보보호위원회가 업무 보고한 국가기본계획 수립 4차년도 정책을 분석해 봄으로써 어떠한 흐름으로 흘러 갈 것인에 대한 전체적인 아웃트라인을 잡아보고 업무 기획이나 자체 정책 수립에 도움이 되길 바란다.

 

1. 개인정보처리방침 인증제

에 띄는 것이 개인정보처리자의 투명성 및 책임성 강화를 위한 개인정보처리방침 인증제를 시행 검토 하겠다는 것이다. 이는 이미 과거에 여러가지 연구용역 주제로도 나왔었다. 개인정보처리방침이 현행화 되어야 하고 일부 외부에서 정보주체가 알권리로 접근하는 첫번째 내용임에도 불구하고 제대로 운영되지 않는 측면이 있다.

예를들면, 개인정보 위탁이나 3자 제공시에는 반드시 공개 하도록 돼 있으나 이를 잘 준수 하지 않고 있다. 공공기관의 경우에는 개인정보보호포털 사이트를 통해 개인정보파일을 열람 할 수 있지만 민간의 경우에는 개인정보처리방침이 제대로 현실적으로 반영돼 있지 않으면 형식적 개인정보처리방침에 지나지 않는다.

이에 개인정보전문 인증심사원이 개인정보처리방침을 분석해 인증을 받은 개인정보처리자는 법에서 요구하는 개인정보 공개를 동의에 준하는 효과를 부여 하겠다는 취지로 해석된다.

 

2. 개인정보 이동권 (Right to Data Portability)

 

개인정보 이동권은 GDPR에 영향으로 직접 수령하거나 제3자에게 이동하는 것을 말한다. 여기서 직접 수령하는 것은 정보주체가 직접 다운로드 받는 것을 의미하고, 제3자에게 이전 할 수 있다는 것은 기술적 방법 (API)을 이용해 안전하게 정보주체의 자기결정권에 따라 개인정보처리자간 이동할 수 있는 권리를 말한다. 가장 대표적인 사업중에 하나가 금융권에서 이루어지고 있는 마이데이터(Mydata)사업도 개인정보 이동권중에 하나다. 

전면적으로 실시 될 경우 지금부터 시스템 변경과 인프라 구축에 따른 설계변경이 불가피 하며 담당자는 정부정책에 귀를 기울이고 있다가 시행이 되면 시스템을 변경 준비를 해야 한다. 아마도 시간이 많이 걸릴 것으로 판단이 되며 해당 4차년도 기본계획안에 발을 내딛는 것으로 출발 할 것으로 판단된다.

 

3. 빅데이터 기술의 발전으로 구체적인 사회학적 가치 연구

 

 

필자가 현장에 다니면서 가장 많이 듣는 질문중에 하나가 데이터에 대한 소유권도 그중에 하나다. 여러가지 채널을 통해 수집, 생성된 데이터는 과연 누구의 것인가? 예를들어, 환자에 대한 진료정보는 환자의 것인가? 병원의 것인가? 순수한 환자에 대한 정보는 환자것이라고 하겠지만 진료하면서 생성된 의료진의 진료정보가 함께 포함된 것은 병원것인가? 환자 것인가? 다양한 해석이 필요한 시점이다. 

또한, 한국의 쿠키정책과 미국, 유럽 등 외국의 쿠키 정책은 너무나 다르다. 이에 관해서는 예전에 포스팅한 글을 참고 하길 바란다. 간략하게 설명하면 한국은 개인정보처리방침에 텍스트 형태로 간략하게 언급해야 하는 정도에 그치지만 외국은 직접 사이트에 접속하는 브라우저마다 접속자가 직접 각 사이트 쿠키 정책에 따라 필수적인 부분과 그렇지 않는 부분에 대해 활성화와 비활성화를 직접 설정 가능하도록 설계되어 있다. 훨씬 더 정보주체에 대한 자기결정권을 강화하는 형태라고 보면 된다. 

ADID로 논란이 된 광고 식별자 등도 최근 들어서는 형태 분석 등 빅데이터 분석에 어느 선까지 분석을 해야 하는지에 논란이 되고 있다. 과거 광고 기법에서는 당연시 되던 것들이 이제는 세부적인 법률적 사항까지 적용되고 있어 사생활 침해 논란에서 자유로울려면 사회적 합의가 도출 돼야 한다.

 

4. 개인정보 인증제도 개선 및 강화

개인정보 인증제도도 손을 볼 것으로 계획이 잡혀 있다. 인증심사원 자격관리를 강화하고 지표 개선등을 마련 한다고 한다 또한, 영세 및 중소기업의 미니 ISMS-P를 만들어 규모에 따른 적절한 인증제도를 도입함으로써 조금 더 유연한 대처를 하는 것으로 해석된다. 또한, 그동안 많은 논란이 있었던 개인정보 보호책임자 제도에 대한 부분이 개선 된다는 것은 GDPR의 영향을 받아 독립성과 예산을 관리 감독하는 형식적인 CPO가 아닌 전문성을 갖춘 CPO로 개선 될 것으로 판단된다. 이에 KISA 연구 용역을 살펴보면 이미 국내 DPO 자격증 제도를 도입하기 위한 연구 용역이 이미 이루어져 있고 시행 시기만 정해지면 된다. 

5. 개인정보 전문인력 양성

 

대다수 국가기본 계획이나 정부 정책 업무 보고서를 읽어 보면 꼭 빠지지 않는 것이 있다. 바로 전문인력 양성 정책이다. 어떤 분야든 전문인력이 있어야 확대 대중화가 되기 때문에 전문인력 양성에 대한 정책은 늘 있다고 보면된다. 

 

 

개인정보 전문 관리자 국가 자격증 제도 도입 검토도 물론 언급이 돼 있고, 개인정보 전문인력 양성 사업도 추진 할 계획으로 잡혀 있다. 아마도 국내 대학을 통한 여러가지 실무 과정이 개설 될 것으로 보이며, 일반적인 학원이나 직업전문학교 등 국비 지원에 대한 사업도 많이 생긴 것으로 판단된다.

눈여겨 봐야 할 것 중에 하나가 법.제도 및 기술 담당등 업무 특성에 맞는 재직자 전문인력 프로그램을 운영한다는 것이다. 이는 법만 알아서도 안되고 기술도 알아야 하며 , 기술을 아는 사람은 이제 법도 알아야 한다는 의미로 해석된다. 또한, 해당 분야 도메인 지식에 맞게 업무 특성과 연관성을 높여야 하는 커리큘럼으로 변경 돼 운영 될 것이다.

최근에 배포되는 개인정보 가명처리 익명 가이드 안내서 등을 살펴 보면 일반적인 개보위에서 배포한 가이드가 있고, 금융분야에 맞는 가이드, 보건 의료분야에 맞는 가이드, 교육분야에 맞는 가이드 등 각 분야에 맞는 가이드 를 배포하고 있어 분야별 특성에 맞는 가이드를 하고 있음을 알 수 있다.

 

기타 더 자세한 내용은 첨부하는 기본 계획서를 참고 하길 바라며 이제는 데이터 시대다. 테이터의 핵심은 개인정보다. 빅데이터든 인공지능이든 데이터를 제대로 관리해야만 앞서 나가는 시대가 도래했다. 이에 맞는 데이터 관리와 개인정보에 대한 개보위 기본 계획을 분석해 보고 사전에 대응을 하면 좋겠다. 혹시 궁금한 사항이 있는 분들은 블로그 댓글을 남겨 주면 확인하는대로 답변 드리겠다. 

 

 

개인정보 보호 기본계획.pdf
2.78MB

 

 

 

 

 

댓글을 달아 주세요