“인공지능(AI) 시대에서 개인정보 비식별화는 불가능하다. 비식별 조치 규제를 만족시키면 사람은 이 정보로 특정인을 식별할 수 없지만, 기계는 식별 가능하다. 데이터를 사람이 직접 가공하는 것이 아니라, 시스템이 가공하는 상황에서, 이상적인 의미의 비식별화는 불가능하다.”
구태언 테크앤로 대표변호사는 이렇게 말하며 “비식별 조치를 한다고 해서 개인정보가 보호되는 것은 아니다. 현재와 같은 규제 접근 방식으로는 개인정보의 안전한 활용은 불가능하고, 빅데이터 산업도 활성화 될 수 없다. 개인정보가 안전하게 보호되고 있다는 것을 믿을 수 있는 신뢰를 확보하는 것이 우선이다”라고 강조했다.
이 발언은 개인정보보호위원회가 5일 주최한 ‘4차 산업혁명·EU GDPR 대응 개인정보보호 세미나’ 토론에서 언급한 것으로, 구 변호사는 “규제는 모호해서는 안 되고 정확해야 한다. 포지티브한 접근 방식이 필요하다”고 설명했다.
예를 들어 일본에서 10여년 전 거리의 행인이 담배를 피우다가 어린이를 실명시킨 사고가 발생했다. 그래서 걸어가면서 담배를 피우지 못하게 하는 법을 제정했는데, 행위를 명확하게 하기 위해 재떨이가 있는 곳에서만 담배를 피울 수 있도록 했다. 이 처럼 법이 구체적이고 명확해야 한다는 것이 구 변호사의 주장이다.
구 변호사는 “기업은 불확실성이 있으면 데이터를 활용하지 못한다. 4차산업혁명 시대의 ‘오일’이라고 불리는 데이터를 활용해 산업을 성장시키기 위해서는 빅데이터 활용을 위해 규제를 분명하게 할 필요가 있다”며 “법 제정은 국민이 편리하게 이용할 수 있어야 하며, 공익적인 목적을 위해서는 규제를 융통성있게 적용해야 한다”고 역설했다.
“데이터 공유, 4차산업혁명 필수조건”
이날 토론회는 유럽연합(EU)이 내년 5월 시행하는 개인정보보호법 GDPR에 대응하기 위한 전략과 우리나라 개인정보보호법 개정 방향을 논의하기 위해 마련된 것으로, ▲개인정보 자기결정권 강화 방안 ▲빅데이터·AI시대 개인정보법 개선 과제 ▲EU GDPR 영향과 대응방안의 3개 세션으로 나뉘어 진행됐다.
토론회 발제자와 패널들은 한목소리로 개인정보를 안전하게 이동시키고 활용하는 것도 개인정보 보호 방법이라고 주장했으며, 4차산업혁명 시대를 이끌어가기 위해서는 데이터의 이동과 공유에 제약이 없어야 한다고 강조했다.
김경환 법무법인 민후 대표변호사는 “데이터 공유는 4차산업혁명의 필수조건이며, 데이터 공유 확대를 위한 입법 개선이 필요하다”고 거듭 강조하면서 “다만 안전한 데이터 공유가 전제돼야한다. 무분별하게 데이터가 공유 되지 않도록 사회적 합의가 있어야 한다”고 주장했다.
그는 “4차산업혁명의 중심은 데이터이다. 누가 더 높은 가치를 가진 데이터를 확보하느냐가 생존을 좌우하며, 의미 있는 데이터를 어떻게 모을 것인가가 경쟁력이 될 것”이라고 설명하고 “EU GDPR에서도 데이터 공유를 제한하지 않으며, 과학연구, 공공보건 연구, 통계조사 등 공익적인 목적을 위해서 진행되는 것이라면 공공·민간에 폭넓게 인정하고 있다”고 설명했다.
이어 미국, 일본, 영국 등의 개인정보보호법과 비교해 설명하면서 다른 나라들도 데이터 공유에 적극적으로 나서고 있다고 소개했다. 미국의 경우, 환자 진료기록을 의료기관끼리 공유해 진단·치료에 활용하는 블루버튼 서비스를 제공한다. 또한 에너지 사용 정보를 공유하는 ‘스마트 디스클로저’에서는 민간과 공공이 정보를 공유해 에너지를 효율적으로 사용할 수 있도록 한다.
“국내기업 빅데이터 활용률 5%에 불과”
이진구 네이버 이사는 “글로벌 기업이 빅데이터를 활용하는 비율이 29%에 이르지만, 국내 기업은 5%에 불과하다. 기업이 왜 데이터를 사용하지 않는지 배경을 살펴봐야 한다”고 주장했다.
최근 AI 기술은 서비스 방식(AIaaS), 혹은 플랫폼으로 활용되는 방식(AIaaP)으로 발전하고 있다. 페이스북, 구글 세계적인 IT 서비스 기업은 온라인과 오프라인을 결합한 서비스를 제공하는데, 이는 모두 개인의 정보를 활용한 것이다. 공익적 목적의 데이터 공유 뿐 아니라 상업적 목적이라도 개인이 원한다면 다른 목적의 서비스에도 활용할 수 있도록 유연하게 정책을 적용해야 한다는 것이 이 이사의 주장이다.
이대희 고려대 법학전문대학원 교수는 이에 덧붙여 “개인정보 활용에 있어 국내 법이 엄격한 것은 사실”이라며 “예를 들어 병원이 IBM 왓슨을 활용해 질병 진단의 정확성을 높이고자 했을 때, 우리나라 환자의 진료기록을 왓슨이 수집해 분석하려면 환자 개개인의 동의를 받아야 한다. 프라이버시를 보호하면서 AI를 활용하고자 할 때 부딪히게 되는 논점을 합리적으로 조정해야 한다”고 설명했다.
클라우드 확대로 개인정보 역외이전 ‘핫 이슈’
클라우드 이용이 확대되면서 개인정보 역외이전과 관련한 이슈도 본격화 될 것으로 보인다. 최경진 가천대 법과대학 교수는 “우리나라 개인정보보호법이 매우 까다롭기 때문에 국내법을 만족시키는 수준이라면 GDPR을 어기는 것이 쉽지 않을 것”이라며 “그러나 국내법에서는 개인정보 역외이전과 관련한 부분이 없기 때문에 이 부분은 잘 분석해서 사업에 적용해야 한다. 특히 클라우드 활용이 늘어나면 역외이전 수요가 많아질 것”이라고 말했다.
클라우드를 사용하다보면 다른 사업자와 정보를 공유해야 하는 사례가 많아질 수밖에 없다. 다양한 융복합 서비스가 발전하면서 개인정보의 공유와 활용이 큰 문제가 될 수 있다. 특히 중소기업이 클라우드 기반 해외사업을 전개할 때 개인정보 역외이전 금지 규정에 제한돼 비즈니스 영역에 제한을 받게 된다면 글로벌 경재력을 확보하는 것이 쉽지 않다.
최 교수는 “중소기업을 지원해 해외진출을 도와주는 방법이 반드시 있어야 하며, 개인정보 침해 피해를 입었을 때, 혹은 침해 사고를 일으켰을 때 어떻게 조치해야 하는지 가이드라인도 필요하다”며 ‘개인정보 보호 수준을 높이면서 안전한 활용이 가능한 방법을 마련해야 한다“고 말했다.
