개인정보법제에 대한 개편 필요성
페이지 정보
작성자 게시판관리자 작성일19-07-08 10:00 조회6,765회 댓글0건관련링크
본문
~ 앞 기사 내용 생략
네이버 이진규 CPO(개인정보보호최고책임자)는 우리나라 개인정보보호 제도의 문제점을 지적하는데 많은 시간을 할애했다. 강연 제목은 ‘개인정보의 활용을 위한 개인정보 법제개선 논의’였지만, 논의보다는 정부·법원·국회를 겨냥한 비판에 방점이 찍혀 있었다.
이유 없는 비판은 아니었다. 날선 말들 너머에선 답답함이 느껴졌다. 언론과 학계의 수많은 지적에도 바뀐 게 없다는 것이다. 이 CPO는 “안 그래도 AI, 빅데이터 연구에 쓸 데이터가 모자라다고 하는 나라에서 법제도가 서비스 이용자의 데이터를 더욱 더 쓸 수 없게 만들고 있다”며 “정보 활용주체들이 (법에 저촉되지 않기 위해) 자기 검열을 할 수밖에 없는 상황“이라고 토로했다.
많아도 너무 많은 개인정보 종류
이날 이진규 CPO는 국내 개인정보보호 제도상 문제점을 다양한 측면에서 제기했다. 첫 번째는 정부와 법원이 인정하는 개인정보의 종류다. 지나치게 다양해 혼란스럽다는 것이다. 우리나라는 개인정보 종류를 16가지로 구분하고 있는데, △일반정보(이름, 주민번호) △가족정보(가족 이름, 출생지) △교육 및 훈련정보(면허증) △부동산정보 △소득정보 등이다. 이 CPO는 “마치 온갖 정보가 개인정보에 해당하는 것처럼 설명하고 있다”며 “(이렇게 되면) 우리 같은 사업체는 어떤 정보를 어떻게 수집하고, 어디까지 보호해야 하는지 명확하게 알 수가 없다”고 말했다.
반면, GDPR이 제시하는 개인정보의 예시는 구체적이고 명확하다. 예를 들어 성씨와 이름이 포함된 이메일 주소는 개인정보지만, ‘Info’ 같은 일반적 주소는 개인정보가 아니다. 그러나 GDPR과 개인정보보호법, 정통망법에 규정된 개인정보의 정의에는 큰 차이점이 없다. 즉, 해석의 문제라는 게 이 CPO의 생각이다. 그는 “개인정보에 대한 정의는 (GDPR, 개인정보보호법, 정통망법이) 똑같지만 유럽은 좁게, 합리적 수준에서 해석하고 있다”며 “반면 우리나라 법원은 상황과 맥락을 고려하지 않고 웬만한 정보는 개인정보로 해석한다. 정보 활용이 상당히 제한될 수밖에 없다”고 말했다.
“동의 받았으니 내 멋대로...” 동의 만능주의의 폐해
현행 개인정보보호법, 정통망법은 6가지의 개인정보 수집 기준을 제시하고 있다.
△법률에 특별한 규정이 있거나, 법령상 의무를 준수하기 위해 불가피한 경우
△정보주체와의 계약 체결 및 이행을 위해 불가피하게 필요한 경우 등이다. 이 가운데 개인정보처리자가 가장 선호하는 건 ‘사용자 동의’다. 간편해서다. 온갖 프로세스에 동의 과정을 삽입해 개인정보 수집의 적법성 요건을 해결한다. 문제는 이런 ‘동의 만능주의’가 부를 수 있는 폐해다.
이 CPO는 “동의는 형식적인 절차이며, 사용자의 실질적인 선택권이 보장되지 않다는 게 문제”라고 꼬집었다. 그는 “누가 그 빽빽한 개인정보 고지사항을 읽고 회원 가입을 하느냐”고 반문하며, 대충 덮어놓고 동의하는 방식은 개인정보처리자의 정보 활용을 무제한적으로 보장해 개인정보 남용을 초래할 수 있다고 지적했다. 이 CPO는 “온갖 부분에 동의가 들어가 있다 보니 이제 우리나라 이용자들은 동의 항목이 없으면 낯설어 할 정도”라며 “그러나 대다수는 그 동의가 어떤 의미인지도 모르고 쓰는 것”이라고 말했다.
GDPR은 ‘호환 사용(Compatible use)’이라는 개념으로 동의 문제를 해결했다. 2차 개인정보 수집 목적이 최초 수집 목적과 동일하거나, 양립할 수 있다면 사용자에게 다시 동의를 구할 필요가 없다는 내용이다. 이 CPO는 “동의 이외에 다양한 개인정보 적법 수집 조건을 고려하는 동시에 ‘호환 사용’의 개념 도입도 검토해야 한다”며 “그렇지 않으면 현재 개인정보 수집 기준은 굉장히 왜곡된 법제가 될 수밖에 없다”고 말했다.
해킹에 취약한 ‘논리적 개인정보 보관 방식’
잊을 만하면 날아오는 이메일이 있다. 개인정보 유효기간 만료 안내 메일이다. 정통망법 29조에 따르면, 사용자가 정보통신 서비스에 1년 동안 접근하지 않으면 제공자는 개인정보보호를 위해 사용자의 개인정보를 ‘파기’ 또는 ‘분리 보관’해야 한다(개인정보 유효기간제). 사용자는 유효기간 만료 30일 전까지 이용자에게 이 사실을 고지해야 한다. 만약 이를 어기면 수백에서 수천만 원의 과태료에 처해질 수 있다.
분리 보관은 ‘물리적 방식’과 ‘논리적 방식’으로 나뉜다. 물리적 방식은 유효기간이 지난 개인정보를 보관할 서버를 따로 마련하는 것이다. 논리적 방식은 서버 1대에 유효기간이 지난 개인정보와 그렇지 않은 정보를 함께 저장하되, 둘 사이 연결고리를 끊어 마치 2대의 서버처럼 만드는 것이다. 대다수의 업체는 논리적 방식을 택하고 있다. 물리적 방식은 리얼타임(현재) 서버에서 분리 보관용 서버로 개인정보를 옮기는 데 시간이 걸리기 때문. 하지만 논리적 방식은 끊어진 연결고리를 이어주기만 하면 즉시 사용 가능하다.
그러나 논리적 방식에는 취약점이 존재한다. 해킹이다. 물리적 방식은 해커가 분리 보관용 서버를 직접 노리지 않는 이상 유효기간이 만료된 개인정보를 탈취하는 게 불가능하다. 반면 논리적 방식은 유효기간이 지난 개인정보와 지나지 않은 개인정보가 동시에 탈취될 수 있다. 하나의 서버에 보관되고 있어서다. 이 CPO는 “논리적 보관은 마치 해커에게 해킹을 유도하는 꼴”이라며 “실무적으론 데이터 관리 복잡도가 증가할 뿐더러, 개인정보 파기의 경우 데이터 증발로 인한 데이터 활용가능성이 저하된다는 단점이 있다”고 말했다.
현실성 떨어지는 개인정보 위수탁제도... 아마존을 교육한다고?
개인정보보호법의 개인정보 위수탁제도 도마에 올랐다. 이 CPO는 아마존, 구글 등 소프트웨어로서의 서비스(SaaS) 제공 기업을 예로 들며 위수탁제의 허점을 지적했다. 현재 위수탁제에 따르면, 국내 기업이 아마존의 SaaS로 개인정보를 처리할 경우 아마존과 기업 간 개인정보 위수탁관계가 성립된다. 아마존은 수탁자, 사용자는 위탁자가 된다. 위탁자는 수탁자를 관리·감독·교육할 의무가 있다.
이 CPO는 “과연 우리나라 기업이 아마존에 ‘개인정보보호 실태를 확인하겠다’며 관리·감독을 요구하면 아마존이 응할까”라며 “계약 조건을 정하는 현실적인 ‘갑’은 아마존이란 점을 고려해야 한다”고 말했다. 글로벌 기업과의 계약 관계에서 위수탁제를 적용하는 건 현실성이 떨어진다는 것이다. 그는 “아마존의 SaaS를 안 쓰기엔 우리나라에 이에 필적할 서비스가 거의 없다는 게 문제”라며 “위법을 방치할 수밖에 없게끔 하는 게 우리나라 법제도다. 이 문제는 법을 개정하지 않는 이상 해결할 수 없다”고 강조했다.
“통합 개인정보보호법에서 ‘특례 규정’ 전면 재검토해야”
이진규 CPO는 이런 문제들을 해결하려면, 가장 먼저 국회에 계류 중인 통합 개인정보보호법에 언급된 ‘특례 규정’을 전면 재검토해야 한다고 주장했다.
이 법안에는
△개인정보 유효기간제
△개인정보 이용내역 통지제 등 앞서 그가 비판한 제도들이 ‘특례 규정’이란 이름의 예외 대상으로 분류돼 있다. 이 CPO는 “모처럼 크게 법을 개정한다면서 왜 저렇게 문제가 있는 조항들을 남겨놓는지 이해할 수가 없다”며
원칙 중심으로 개인정보보호 법제를 재편하고, 개인정보 위수탁제를 근본적으로 바꿀 필요가 있다고도 강조했다. 이 CPO는 “미국은 각 주마다 어떤 개인정보가 유출됐을 때 (이용자에게) 통지해야 하는지 대상 항목을 명시하고 있다”며 “그러나 우리나라는 단순 ID가 유출돼도 정부 당국에 신고하고, 사용자에게 이를 통지해야 한다. 사업자나 이용자의 예측 가능성을 높이는 가이드라인 운영이 필요하다”고 말했다.
의견 :
우리나라의 개인정보는 너무 포괄적이고, 방대한 범위를 자랑하고 있다. 그러다 보니 기업은 개인정보 빅데이터를 통해서 마케팅 전략을 수립하는데 한계를 느끼고 있다. 현실성이 떨어지는 개인정보보호법 때문에 기업의 수익확장에도 많은 문제점을 야기하고 있다. 또한 범위가 너무 넓다 보니 모든 기업이 개인정보보호 위반 기업으로 낙인이 찍힐 판이다.
[양원모 기자(boan@boannews.com)]
원본기사 : https://www.boannews.com/media/view.asp?idx=80927&kind=0
댓글목록
등록된 댓글이 없습니다.