[데이터] 데이터 경제와 개인 정보 보호

1. 개요

(1) 일시 : 2019. 4. 30. (화)

(2) 패널 :  이상직 (법무법인 태평양 변호사), 김민호(성균관대 교수), 정지연(한국소비자연맹 사무총장),

                   이진규(네이버 이사), 류준우(보맵 대표)

(3) 장소 : 강남구 테헤란로 423 현대타워 7층

(4) 주제 : 데이터 경제 속에서 개인 정보 보호와 활용

 

2. 내용

(1) 데이터 경제가 왜 중요해졌는가?

 

(답변) 성균관 법학교수 김민호,

데이터 경제란 것이 유달스럽게 새로운 것은 아니지만 최근에 있어 1) 양적 2) 의존성 문제가 생겼기 때문에 데이터 경제 개념이 부각되고 있는 중이다.

 

(2) 데이터 경제 대두에 따른 산업계의 변화

(답변) 네이버 이진규,

작년 8월 문대통령 '데이터 중심 산업 발전' 발언 이 있었으나 산업계는 크게 변화는 없다. 왜냐하면 후속 조치로서 관련 법 개정이 필요하였지만 현재 그런 변화가 두드러지지는 않는다. 그래서 잠깐 가졌던 희망을 접어야 하나 생각을 한다. 현재 계류 중인 법 개정이 당장은 힘들어 보인다.

 

유럽 GDPR은 개인정보 보호 절반 + 개인 정보 활용에 대한 부분 절반을 차지하고 이런 부분은 지평을 넓혀줬다. 글로벌 동향을 맞춰간다면 좋았을 것이고, 우리나라도 그러길 바랬지만 실정은 그러지 못하고 있다. 하지만 좋은 방향으로 간다면 좋을 것 같다.

* 유럽 GDPR = 개인 정보 보호 & 유럽 시장은 하나의 싱글 마켓으로 만든다

즉슨, 산업 현장에서는 아직 뭔가가 이뤄진 것이 없다.  

(답변) 보맵 류준우,
넷플릭스, 아마존과 같은 해외 기업들은 소비 맞춤형 서비스 이뤄지고 있지만 국내는 그러지 못하다. 이러다 보면 데이터 주권이 해외로 넘어간다.

(답변) 한국소비자연맹 정지연,
기술의 발전은 소비자의 이익 확장으로 가야한다고 생각을 한다. 기술에 이용되는 데이터 활용에 있어 산업계가 불만이 있지만 소비자 단체도 있다. 카드 사태와 같은 것을 보면서 개인 정보 침해에 대한 피해를 보면서 데이터 활용에 대한 우려가 있다.
 

그래서 현재 너무 활용에 대하여 너무 집중된 것이 아닌가? 생각이 든다.

 

 

(3) GDPR은 어떤 의미이고 우리는 끌려 가는 것인가?

(답변) 성균관 법학교수 김민호,
데이터 기반 서비스/산업을 막는 것은? 무엇인지 생각해볼 필요가 있다.

개인 정보 보호할 수 있는 방법은 무엇인가? 1) 설명 의무 강화 2) 사용 하기 전에 사전 공지를 명확히 제시 3) 자기 정보 열람권 프로세스를 만들어내는 것, 이 정도 수준은 충분히 고려해볼 수 있다. 만약 이런 부분은 어길시 엄벌 제재하는 것도 납득할 수 있다.

 

'동의'는, 독일을 제외한 어느 나라도 '동의'란 것을 통한 개인 정보 활용 제약은 없다. 동의를 해야한다? 는 규정은 없다. 이런 것들 때문에 제약이 된다. GDPR은 동의를 피해갈 수 있는, 동의를 완화할 수 있는 제도를 만들어 둔 부분도 있다. 동의 대상이 되는 것은 주민 등록 동의, 민감정보 동의, 개인 정보 동의처럼 여러 가지가 있다.

 

국내에서 논의해봐야할 것은, Q. 형식적 동의가 필요하나? Q. 실질적 개인 정보 보호에 대한 방법이다. 그래서 한다면 형식적 동의에 대한 논의(1차) -> 기술적 논의/방안 (2차) 단계로 해결하는 것이 필요하다.

 

(사회자 정리) 형식적 동의의 문제점과 정보 보호는 다른 것이다.  형식적 동의에 대한 이슈를 해결해야 한다.

 

(사회자 질의) GDPR은 산업에 어떤 영향과 의미가 있는가?

(답변) 네이버 이진규,

GDPR은 유럽 역내 만이 아니라, 역외에서도 직접적으로 법이 뻗친다. 예를 들어 서비스 만든 후, 유럽으로 배포한 경우에도 적용된다. 반면, 예기치 않은 상황도 생기는 데 웹/앱 만들어 놓은 후 메뉴/컨텐츠가 접속하는 국가에서 기계번역이 되서 서비스가 이뤄지는 경우가 있음.  이 경우 서비스 제공의 의도를 가지지 않았음에도 법이 적용되는 사례가 발생함. 그래서 이런 부분에 대한 문의가 이뤄지기도 함.

 

따라서, 스스로 시장을 좁혀서 배포해야될 일이 발생한다. GDPR 수준만 되어도 산업에서 반기겠지만 리스크가 좀 크다. 그래서 조심스럽게 다가간다.

 

(답변) 보맵 류준우,

신용정보법 변화에 따라 개인 주권 강화, 소비자 편익 강화 형태 발전할 수 있다. 그렇다보면 산업에서 개인 정보 보호는 자연스럽게 강화해야할 것이고 될 것이다.

 

1)사전 규제를 위한 2) 소비자 생활 패턴 변화에 기인하여 보험 업계에 변화가 생겼다. 예를 들면, '똑같은 보험 받기 싫다.' 이런식으로 건강한 생활 패턴을 가진 이들과 그렇지 못한 사람들 사이에 있어서 동일하게 서비스가 맘에 들지 않는다는 것이다.

 

 

(4) 형식적 동의에 관한 문제

(사회자 질의) 상업적 측면에서 활용 어떻게 생각하나?
(답변) 네이버 이진규,
가장 큰 관심을 두고 있는 부분이다. GDPR에서는 원래 수집했을 당시의 목적과 양립 가능한 목적이라면 별도의 동의없이 활용가능하다는 'Compatibility' 속성이 있다. 그래서 가명 데이터일 경우 과학적 연구 목적일 경우 넓게 인정이 된다.

 

상업적 이용은? 유럽에서는 이런 논의가 진작 많이 이뤄졌다. 한국은 상업적 포함은 안 된다는 시민 사회의 주장이 있다. 주목할말할 점은, 과학적 연구 목적으로 이뤄질 때 실질적으로 상업적 연구 목적으로 이뤄지는 기업체에서 많이 이뤄지고 있다. 그래서 이 상업적 용도를 배제할 경우 '과학적 연구 목적'의 범주가 많이 좁아질 우려가 있다. 반면, 우리 나라에서는 이제서야 기초 연구가 이뤄지니 답답한 부분이 있다.

 *과학적 연구에 R&D 포함되어야 한다.

(답변) 한국소비자연맹 정진영,

동의는 고민 스러운 부분인데, 다만 소비자가 알 권리 충족은 필요하다. 예를 들어 앱 접근 권한과 같은 경우르 통해서 서비스를 이용할 수 있게 되는 데 이런 부분은 종속성이 크다고 본다. (권한 동의 안 되면 서비스 안 이뤄진다.)
 

산업에서 사후 규제가 맞다고는 본다. 다만, 한국 시민 사회에서는 사전 규제는 어쩔 수 없다. 미국 같은 경우는 사후 제도에 대한 보조 법이 다양하다.

 

소비자는 알아야한다 = 동의는 필요하다?로 이어지는 부분이라고 짐작해볼 수 있었음

 

(사회자 정리) 개인 정보 보호 방안이 나오면 '동의' 부분을 놓을 수 있다

 

(사회자 질의) 가명 정보에 대한 활용 문제 어떻게 생각하나?
(답변) 한국소비자연맹 정진영,
학술적 목적은 ok, 기업의 활용은 우려된다.

 

(5) 개인 정보 보호법 등 개정에 대한 의견

(답변) 성균관 법학교수 김민호,

맘에 들지는 않지만, 해당 법을 통과해달라는 법제사법위원회/행정안전부/정보위원회를 다니면서 설득을 하였다.

 

굳이 '가명 정보'라는 개념을 왜 만들었냐면 '동의'라는 산을 못 넘었기 때문이다. 동의없이 사용해보자는 취지로 만들어지게 된 것이다. 그러나 동의 방법에 대하여 방법론적을 규정한 바는 없다. 동의란 것이 법학적으로 형식적 외에도 포괄적/묵시적/실질적/사후적 등으로 분류가 나눠진다. 

그러나, 경기가 일으킬 정도의 동의가 이뤄지는 것이 현실이다. 1) 현재 개정법은 이런 부분들이 애매하게 만들어놓았다. 동의 방법에 대한 부분이 이뤄지지 않았다.

 

(사회자 질의) 신용정보보법 개정 등 금융위에서 숨통 터주고 있는데. 산업에서 아이디어 모델이 얼만큼 나오고 있는가?
(답변) 보맵 류준우

금융위의 마이데이터 산업과 같은 경우 핀테크 업체에서 주요한 작용하고 있다.

 

(사회자 코멘트) 신보법, 정통망법 등 개정 되어도 산업이 이뤄지나 라는 관계 기관들의 걱정을 들은 적이 있는데 다행이다. 산업계에서 반응이 안 오면 어쩌나하고 있더라.

 

 

(6) 데이터 산업의 발전을 위한 의견

(사회자 질의) 시민단체 입장, 개인 정보 보호 담보가 원칙인데, 지금 답보상태의 데이터 산업이 발전하기 위한 시민 단체 입장에서 할 수 있는 소임/방안이 있을까?

(답변) 한국소비자연맹 정진영,
개인 정보 이슈에서, 선결 과제는 '신뢰 회복'이다. 교수님은, 동의에 대한 부분 비판하셨지만 우리 나라 법적 체계상에 최소한의 안정 장치는 필요하다. 

 

데이터 산업에서 데이터 활용이 중요한 점은 알겠지만, 기업 자체적 규제가 있으면 좋을 듯 하다.

 

'국민을 믿게 해달라'

 

(사회자-질의) 데이터 산업에서 제거해야할 가장 우선으로 제거해야할 과제?
(답변) 네이버 이진규,

너무 많아서 굳이 한 가지를 꼽기가 그렇다.

 

금융권-클라우드에서 사용이 막혀있는 점, 기업 내부에서 조차 사용이 어려운 점, 망분리 규정에 따라 활용 범위가 낮은 점. 동의를 한번 받으면 그 목적 범위에서만 적용해야해서 '특정한 목적'에서 이러한 점을 사업자가 자율 해석이 어려우니 위축된다.

 

(답변) 보맵 류준우,
 '미래는 규제할 수 없다.'라는 책을 인용해보자면,  정보 좀비 국가가 떠오른다. 

 

정보 좀비 국가란, CPM이 빠져 버린 빅데이터 국가를 뜻한다. CPM(Content + Privacy + Money)를 의미하는데, 이런 것들이 해외로 유출되어 예를 들어, 구글 서버에 저장이 되고 해외 기업은 한국 시장을 공량하러 들 것이다. 그렇게 되었을 경우, 추후에는 우리 데이터지만 우리가 사서 쓰게 되는 상황이 될 것이다.
      

각 산업군의 이해가 충돌하고 있기 때문에 '법뮤다 삼각지'일 수도 있다. 그렇기 때문에 국가 경제를 활성하기 위해서는 슈퍼바이저가 아니라 서포터로서 국가의 역할을 다 할 필요가 있다고 생각한다.

 

결론은 규제다.

 

(사회자-질의) 데이터 산업 활성을 위해 이것만큼은 꼭 해야한다는 것은?
(답변) 성균관 법학교수 김민호,
동의를 없애자는 것은 아니다.

 

법의 지향점 1)사전 예방 2)사후 통제인데, 경우에 따라 포커스가 달라지는 것이다. 과거 페이퍼, 2G시절은 사회의 사전 예방이 가능한 시스템이었지만 현재는 그것이 힘들고 사후 통제로 움직일 필요가 있다.

  *선허용 후규제*

 

3. 질의

Q1. 디지털 경제 vs 데이터 경제
(답변) 네이버 이진규

 

'특정한 개념/정의를 내릴수 있으면 넌 박사다.'란 말을 대학교 시절 들은 경험이 있다. 명확한 개념으로 사용되는 것보다는 유사하게 사용되고 있다.

Q2. GDPR이 어떤 방향이 좋은가?
(답변) 네이버 이진규
전세계가 한 방향으로 흐르는데, 어떻게 우리는 나가는가야하는 지 생각을 해보면, 미국은 유럽과 대립이었지만  GDPR의 핵심을 받아들여서 글로벌에 통용될 수 있도록 현재 연방 프라이버시 개정이 이뤄지고 있다. [Global One-Build] 의 형태로 나아가고 싶다.

 

우리나라의 특수한 사정에 맞춰서, 추후 규제가 필요하다면 고려할만한다.

 

Q3. 네이버 클라우드 동의를 하게끔 변화되고, 그렇지 않으면 접근 불가해진다. 이용자 입장에서는 강제 동의가 이뤄진다고 생각을 하는데 어떻게 받아 들여야 하나?
(답변 네이버 이진규
 

사진의 메타 데이터 중 , Exif(EXchangable Image File format)) 메타데이터 중 GPS 좌표가 있다.

• 날짜와 시간 정보

• 카메라 설정

• 저작권 정보에 대한 설명

구글도 마찬가지지만, 사진을 모아줄 때 날짜 기준으로 모아주기 보다는 같은 위치라면 같이 모아서 보여주기 위한 용도로 사용된다. 대부분이 이런 기능을 사용하고 있는데 동일한 서비스를 제공하기 위함이다. 그렇지 않으면 우리의 경쟁력이 떨어지기 때문에 이런 상황이 발생하였다.

 

그 와중에, GDPR 같은 경우는 이런 경우는 '동의'가 필요없다.

(답변) 보맵 류준우
 개인 정보에 대한 유출시, 회사의 책임이 크다보니 높은 수준의 보안 규정 갖춰야하는 것은 당연하다. 그런데, 소비자 판단시 핀테크나 신생 기업은 보안에 대한 의심을 받는다.

 

Q4. 개인 정보 활용이 자유로워 지면, 규제가 조금 더 강화될 텐데 규제에 대한 부분은 산업계 동의가 이뤄진 부분인가?

(답변) 네이버 이진규
우리나라의 경우 사정에 따라 깍아주지 않는다. 과징금의 규모가 크다. 현재 약한 규제가 절대 아니다. 반면, 최근 페이스북 광고에서 친구의 이름 무단 사용 ('너의 친구가 이런 광고에 관심이 있다')해서 소송으로 인한 보상금 판결 나왔는데 정보 주체에게 간 것이 아니라, 소송건 변호사, 단체들이 가져갔다.

 

현재 규제 수준에 대한 재평가가 이뤄진 다음 이뤄진다면 내부적으로 새로운 규제에 대하여 설득해나가겠다.

 

Q5. 제시하는 동의제의 방법이 있는가?/ 현실적 동의를 구현할 수 있는 방안
(답변) 성균관대 법학교수 김민호
'동의'의 시발점은, 독일 공권력에서 시민 정보 사용으로부터 출발했다. 그래서 '동의' 데이터 경제에 필요한 것은 아니다.

 

해외 여행사에 나에 대한 정보 제공하게 되는데 호텔, 렌터 등 에게 넘어간다. 이런 부분에서 나의 동의를 일일히 할 필요가 있나? 본인은 굳이 필요없다라고 하겠으나, 변호사들은 동의를 받아야한다고 할 것이다. 그렇다면 기업 입장에서는 가장 안전한 입장을 선택할 것이다.

 

이후 국내에서 동의를 받았냐 안 받았냐 이런 이슈로 책임을 묻는 용도로 사용된다. 하지만 GDPR에서는 묵시적/포괄적 그런 개념들을 다 상정해놓았다.

 

그럼에도 불구하고, 한국은 형시적 동의에 매여있다.