유럽연합의 개인정보보호법(EU GDPR)이 내년 5월 시행된다. 유럽에서 사업을 하거나 유럽 시민을 고용하는 등 유럽시민의 개인정보를 사용하고자 하는 기업/기관은 반드시 GDPR에 대응해야 한다. 그러나 상세한 세부 규정을 지키는데 익숙한 우리나라 기업/기관에서 GDPR을 정확하게 이해하고 대응하는 것은 어려운 상황이다. EU GDPR은 개인정보의 자기결정권을 강화하면서도 유연한 활용을 폭넓게 허용하고 있기 때문이다. EU GDPR의 주요 사항을 살펴보고, 개인정보의 합법적인 활용 방안을 제안한다.<편집자>
국가간 개인정보 보호 협약 강화
개인정보 보호 관련 규제를 강화하는 것은 전 세계적인 추세이다. 우리나라는 이미 강력한 개인정보보호법이 있으며, 중국은 6월 1일부터 사이버보안법을 시행하고, 사이버공간의 주권 원칙과 개인정보 보호, 데이터 국제 이전, 개인정보 자기결정권 등의 내용을 포함시켰다.
글로벌 단위의 개인정보 보호 규칙도 제정되고 있다. 아시아태평양(APEC) 지역 국가들이 참여하는 국경간프라이버시규칙(CBPR)은 글로벌 기업이 개인정보 유출 등 침해사고를 일으켰을 때 소속된 회원국이 공조해 피해 구제책을 만드는 등의 노력을 한다. 우리나라도 6월 CBPR에 가입 신청을 했으며 승인을 받았으며, 자격요건 심사를 거쳐 2018년 1년간의 준비기간을 가진 후, 2019년부터 활동을 시작할 예정이다.
현행 GDPR 규정에 따르면 EU 시민의 개인정보를 다루는 국내 기업이 해당 정보를 국내로 전송, 처리하려면 별도의 국외이전 계약(Data Transfer Agreement)을 체결하고 회원국별 감독기구의 규제 심사를 거쳐야 한다. 이러한 추가적인 규제와 제약 없이 국내 기업이 영업활동을 진행할 수 있도록 우리 정부는 EU 집행위원회와 ‘EU 개인정보보호 적정성 평가’를 추진하고 있다. 적정성 평가란 EU 회원국 외의 제3국이 개인정보 보호를 위한 적정한 수준을 갖추고 있는지를 심사해 EU 시민의 개인정보를 이전·처리할 수 있도록 허용하는 제도이다.
적정성 평가를 승인 받게 되면, 우리 기업은 추가적 규제 없이 EU에서 자유롭게 영업활동을 할 수 있다. KISA는 2015년 말부터 EU 적정성 평가에 대한 범부처 차원의 대응을 지원해 왔으며, 방송통신위원회와 함께 EU 집행위원회, EU 회원국 간 네트워크 강화 등을 위해 노력하고 있다.
그러나 기업이 정부만을 믿고 GDPR 대응을 소홀히 해서는 안 된다. 정부가 GDPR 대응을 해결해 줄 것이라고 믿고 아무런 대응도 마련하지 않는다면 당장 9개월 후 EU에서의 사업이나 EU 시민 채용에 제한을 받게 될 것이다.
박경동 베리타스코리아 상무는 “많은 기업들이 EU 적정성 평가만을 기대하고 있지만, 적정성 평가가 통과된다 해도 GDPR 규정에 맞는 데이터 보호 장치를 마련하지 않으면 규제위반이 될 수 있다”며 “특히 중소기업의 경우 규제에 대비할 수 있는 전문인력과 예산이 적기 때문에 정확하게 규제를 인지하고 이해해 대비해야 할 것”이라고 말했다.
광범위한 데이터 활용 허용한 GDPR
EU GDPR이 개인정보 보호에만 초점을 맞추고 있는 것은 아니다. 비식별 조치된 데이터를 공유하는데 있어서는 우리나라 개인정보보호법보다 훨씬 더 폭넓게 인정하고 있다. 마케팅 목적으로 수집한 데이터를 가명처리 해 공익적 목적의 과학적 연구 목적으로 사용할 수 있으며, 공공기록물로 활용할 수 있다. 통계적 목적을 위해서는 공익적 목적 뿐 아니라 시장조사 등 상업적 목적으로도 이용할 수 있다.
비식별 조치에 있어서도 우리나라 개인정보보호법보다 낮은 수준의 가명처리(Pseudonymisation)로도 가능하다. 우리나라 비식별조치는 복수의 비식별 정보가 조합됐을 때 재식별되지 않을 정도의 강력한 익명조치(Anonymisation)를 해야 한다.
최근 AI 기술은 서비스 방식(AIaaS), 혹은 플랫폼으로 활용되는 방식(AIaaP)으로 발전하고 있다. 페이스북, 구글 세계적인 IT 서비스 기업은 온라인과 오프라인을 결합한 서비스를 제공하는데, 이는 모두 개인의 정보를 활용한 것이다. 공익적 목적의 데이터 공유 뿐 아니라 상업적 목적이라도 개인이 원한다면 다른 목적의 서비스에도 활용할 수 있도록 유연하게 정책을 적용해야 한다는 주장이 힘을 얻고 있다.
구태언 테크앤로 법률사무소 대표변호사는 개인정보보호위원회가 개최한 ‘4차 산업혁명·EU GDPR 대응 개인정보보호 세미나’에서 “인공지능(AI) 기술이 접목되면 개인정보보호법이 요구하는 비식별 조치는 불가능하다. 사람은 비식별 조치한 데이터에서 특정인을 식별할 수 없지만, 기계는 식별할 수 있다. 데이터를 사람이 직접 가공하는 것이 아니라, 시스템이 가공하는 상황에서 개인정보보호법에서 규정한 비식별조치 된 데이터는 의미 없는 데이터가 된다”고 말했다.
