‘프라이버시’에서 ‘개인정보보호’까지 (2/2)

[CCTV뉴스=석주원 기자] 
*본 기사는 SecuN 8월호에 실린 커버스토리로, 온라인판에는 2부로 나누어 게재됩니다. 1부는 하단의 관련기사 링크로 확인할 수 있습니다.

■ 현재의 개인정보 보호법

현재의 개인정보 보호법은 2011년 3월에 제정되어 같은 해 9월 30일부터 시행됐다. 전신이라 할 수 있는 ‘공공기관의 개인정보보호에 관한 법률’과 비교하면 개인정보 보호 원칙이 강화됐고, 정보주체의 권리, 국가의 책무, 그리고 개인정보 보호위원회의 설립 등을 명시함으로써 더욱 강력한 개인정보보호 정책을 담고 있다. 현재까지 14번의 개정을 거쳤고, 내용이 갈수록 복잡해진다는 문제가 있는데, 다행히 정부에서 운영하는 개인정보보호 종합포털을 통해 좀 더 쉽게 관련 내용을 접할 수 있다.

개인정보 보호법에서 정의하는 개인정보의 정의를 먼저 살펴보면, “살아있는 개인에 관한 정보로서 개인을 알아볼 수 있는 정보이며, 해당 정보만으로 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보를 포함한다”고 되어 있다. 즉, 사망한 사람, 법인이나 단체, 또는 사물에 대한 정보는 개인정보에 해당되지 않는다. 또한 개인에 대한 정보이므로 집단의 통계값 등은 개인정보에 포함되지 않으며, 정보의 형태에 제한은 없지만 특정 개인을 알아보기 어려운 정보는 개인정보로 분류하지 않는다고 설명되어 있다.
개인정보 보호법의 의무 적용대상은 공공기관과 민간 부문을 포함해 모든 개인정보처리자이며, 컴퓨터에서 처리되는 정보뿐 아니라 민원신청서류 등의 종이문서에 기록된 개인정보도 보호 대상에 포함된다. 또한 주민번호 등 고유식별정보는 원칙적으로 처리가 금지되고, 사전 규제제도를 신설해 이를 위반할 시 5년 이하의 징역 또는 5천만 원 이하의 벌금을 부과할 수 있다. 사생활 침해 논란을 불러일으켰던 영상정보 처리기기, 즉 CCTV에 대한 내용도 포함하고 있는데, 공개된 장소에 설치ㆍ운영하는 CCTV에 대한 규제를 민간까지 확대하고, 설치 목적을 벗어난 카메라 임의 조작, 녹음 등의 행위는 금지하고 있다. 이를 위반 시 3년 이하의 징역 또는 3천만 원 이하의 벌금을 부과할 수 있다.
이 외에도 개인정보 수집과 이용에 대한 제공 기준을 공공기관과 민간 부문에 동일하게 적용하도록 했고, 개인정보 유출 통지 및 신고제를 도입해 개인정보가 유출됐을 때의 대응 방안에 대해서도 명시했다.


■ 미래의 개인정보 보호법?

최근 우리나라의 개인정보 보호법이 지나치게 한쪽으로 치우쳐 있다는 지적을 받고 있다. 규제에만 초점을 맞추다 보니 새로운 시대에 적합하지 않다는 것이 전문가들의 의견이다. 우리나라에서 개인정보 보호법이 강화된 계기는 공공기관 및 기업을 통해 발생한 많은 개인정보 유출 사건들 때문이다. 언론에 보도된 굵직한 사건들만 살펴보아도, 2006년 하나로 테레콤의 개인정보 무단 유출, 2008년 옥션의 회원 정보 유출, 2011년 네이트와 싸이월드의 회원 정보 유출 사건 등 일일이 다 나열하기 힘들 만큼 많은 피해 사례가 있었다.

더욱이 이 당시에는 회원 정보에 주민등록번호까지 포함되던 시기였기 때문에 우리나라 국민들의 주민등록번호가 전 세계 공공재가 됐다는 자조적인 우스갯소리마저 나왔었다. 이처럼 심각한 유출사고가 다발하다 보니 정부에서도 규제에 초점을 맞춘 정책을 펼 수밖에 없었고, 국회 역시 규제에 역점을 둔 개정안을 제출하게 된 셈이다.
그런데 이렇게 규제에만 너무 집착한 나머지 개인정보를 활용하는 데에는 여러 제약이 생겼다. 현재 진행되고 있는 4차 산업혁명의 핵심 요소 중 하나는 빅데이터다. 빅데이터는 단어의 뜻 그대로 거대한 데이터의 집단으로, 이 데이터를 어떻게 분석하고 활용하느냐에 4차 산업혁명의 성패가 달렸다고 해도 과언은 아니다. 당장 딥러닝 기반의 인공지능 기술도 빅데이터를 활용해 발전되고 있는 상황이다. 그리고 우리의 개인정보는 미래 산업에 매우 중요한 빅데이터로 각광받고 있다.
우리의 개인정보에는 매우 많은 것들이 담겨 있다. 주소나 연락처, 가족 구성원 같은 일상적인 정보부터, 직업, 재산 정도, 소비패턴, 병원 진료 기록, 심지어 지문이나 홍채 같은 생체 정보도 여기에 속한다. 이 정보들은 기업의 비즈니스 활동에 매우 유용하게 활용될 수 있다. 하지만 우리나라에서 이런 개인정보를 비즈니스 영역에서 활용하기는 쉽지 않다. 개인정보 보호법은 물론이고, 정보통신망법과 신용정보법, 심지어 개인영상정보 보호법에 이르기까지 너무도 많은 법률들이 개인정보 활용을 철저하게 금지하고 있기 때문이다.
그래서 전문가들은 이미 수년 전부터 개인정보 보호에 대한 지나친 규제를 완화하고 활용 방안을 모색해야 한다고 꾸준히 주장해 왔다. 최근 정부에서도 이러한 전문가와 산업계의 목소리를 수렴해 개인정보를 보호하면서 사업적으로 활용할 수 있는 방안을 검토 중이기는 하다. 현재 가장 유력하게 제안되는 방식은 개인정보 비식별처리다. 예를 들면 원본 정보는 별도로 보관한 후, 가명이나 익명으로 비즈니스에 필요한 정보를 제한적으로 제공하는 방식을 생각해 볼 수 있다. 이 경우에는 원본 정보를 어떻게 분리해서 보호할 것인가와 어느 정보까지 제공할 수 있도록 허용할 것인가에 대한 법률적 해석도 뒷받침되어야 한다.

■ 개인정보 보호법이 보안산업에 미치는 영향

개인정보 보호법은 보안산업에도 영향을 미치고 있다. 지난 7월 10일 제8회 정보보호의 날 기념식 행사장에서 센스톤의 유창훈 대표는 보안산업의 스타트업 기업들이 겪는 어려움에 대해 토로한 바 있다. 스타트업 기업들이 새로운 보안 솔루션을 개발한다고 해도, 이를 테스트할 방도가 마땅치 않다는 것이다. 단적인 예로 개인정보를 국가가 완벽히 통제하는 중국의 경우에는 CCTV 업체들이 정부의 협력을 바탕으로 전 국민을 대상으로 새로운 기술을 테스트할 수 있는 환경이 조성되어 있다. 물론, 이는 지나치게 극단적인 예지만, 제한적인 범위에서라도 새로운 기술을 테스트할 수 있는 환경이 조성되어야 한다는 사실에는 많은 전문가와 업계 관계자들도 공감하고 있다.
이에 대한 해결책도 결국 앞서 언급한 개인정보의 활용과 관련한 규제 완화 및 새로운 정책들로부터 나오게 될 것이다. 개인정보는 4차 산업혁명 시대의 원유라는 말도 있는 만큼, 향후 우리의 개인정보들이 안전하게 보호되면서 동시에 4차 산업혁명의 밑거름이 될 수 있는 정책과 시스템들이 하루 빨리 마련되기를 기대해 본다.