광고문의 02-724-7792

광장

4차산업 핵심자원 '개인정보' 확보전쟁, 우리 현주소는?

[the L] 충정 기술정보통신팀 변호사들이 말해주는 ‘혁신 기술과 법’ 이야기

편집자주외부 기고는 머니투데이 'the L'의 편집 방향과 다를 수 있습니다. 기고문은 원작자의 취지를 최대한 살리기 위해 가급적 원문 그대로 게재함을 알려드립니다.
/그래픽=이미지투데이

빅데이터 패권 전쟁, EU의 구글에 대한 선제일격?

EU가 GDPR 글러브를 끼고 구글에 선제 일격을 날렸다. 무슨 소린가 하면 2019. 1. 21. 프랑스 정보자유국가위원회(CNIL)가 구글에 유럽연합(EU)의 일반개인정보보호규정(GDPR, General Data Protection Regulation)을 준수하지 않았다며 5,000만유로(약 643억 원)의 과징금을 부과한 것을 두고 하는 말이다.

CNIL은 구글이 개인정보 제공 동의 절차를 투명하고(transparency) 용이하게 해야 한다는 GDPR 규정을 위반하였고, 타깃광고에 대한 설명을 이용자가 용이하게 이해할 수 있도록 공개하지 않았다고 지적했다. 구글은 이에 불복했지만, 구글과 다음 제재 대상이 될 수 있는 기업들 – GAFA(Google, Apple, Facebook, Amazon), 나아가 세계의 관심사는 과징금 5,000만 유로가 아닐 것이다. GDPR 시행 이후, 5억 명의 소비자들로 이루어진 유럽시장에서 향후 어떻게 데이터를 수집, 이용, 저장, 제공할 것인지 그 방법론을 결정하는 기준이 확립될 것이라는 점에 오히려 방점이 찍힌다.

초연결 사회에서는 데이터가 핵심이다.

약 2개월 뒤면 GDPR 시행 1년이 된다. EU가 GDPR을 시행하고 CNIL이 실리콘밸리의 상징인 구글에게 과징금을 부과한 것에 대하여 일각에서는 디지털 패권 전쟁에서 EU가 미국 기업에 날린 일격이라 하고, 일각에서는 그간 기업들이 타깃광고 등 개인정보를 이용한 수익만 쫓으며 경시해 온 개인정보 보호의 중요성을 알린 상징적 처분이라 한다. 이 논의가 의미 있는 것은 머지않아 도래할, 아니 현재 이미 진입하고 있는 초연결 스마트 사회에서 빅데이터의 확보가 그만큼 중요하기 때문이다.

4차산업혁명으로 명명되는 초연결 초지능 사회에서는 사물과 사람(IoT, IoE)을 통해 데이터가 수집되면 이것이 클라우드에 모여 빅데이터가 수집되고 인공지능(AI)이 딥러닝(Deep learning)과 최적화를 거쳐 이를 O2O(Online to Offline)서비스로 다시 현실세계에 제공한다. 물리적, 디지털 동기화 과정에서 사업의 성패를 결정짓는 것은 분석기술이 아닌 데이터다. 

싱가포르 국토청이 디지털 트윈을 통해 구현한 3D 가상 도시에서 거주자들이 10분 이내에 닿기 좋은 주민센터 부지를 고를 수 있었던 것은 2015년부터 2년 간 5만여명의 전국 초, 중학교 학생들이 소형 카메라 크기의 센서를 4-8주간 매일 목에 걸고 다니며 데이터를 수집한 덕분이다. 아마존의 인공지능 비서 ‘알렉사’가 실수로 사용자 부부의 대화를 녹음하여 사용자의 동료에게 전송한 일이 있었다.

아마존은 알렉사가 본인을 부르는 것으로 잘못 알아듣고 녹음을 시작하였고, 사용자의 언어 중 동료의 이름과 비슷한 발음이 있어 그 동료에게 녹음내용을 전송한 것이라고 해명했다. 알렉사의 실수확률은 사용자들의 언어, 즉, 데이터의 누적률에 반비례할 것이다. 자율주행차량이 성공적으로 운행되기 위해서는 끊기지 않는 도로와 노면의 정보가 필요하다. 구글이 알파고의 알고리즘을 공개할 수 있었던 것도 데이터가 없이 알고리즘만으로는 이세돌을 이길 수 없기 때문이다. 흔히들 데이터가 4차 산업시대의 원유라는 이유다.

초연결 사회에서의 개인정보보호법의 진화

그렇다면 데이터가 핵심인 초연결 사회에서의 개인정보보호법은 어떻게 진화해야 할까? 곧 닥칠 초연결 사회에서의 변화와 그에 따른 개인정보 이슈를 크게 두 가지로 살펴보겠다.

첫째, ‘개인 정보의 범위’ 자체가 불명확해진다. 현행 개인정보보호법은 그 보호대상인 개인정보를 ‘개인을 알아볼 수 있는 정보’와 더불어 ‘해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보’라 정의한다(제2조 제1호). GDPR 역시 직, 간접적으로(directly or indirectly) 식별할 수 있는(identifiable) 개인과 관련된 정보를 모두 보호대상으로 정하고 있다. 휴대전화번호 뒷자리 4자만으로는 그 전화번호 사용자를 식별하지 못한다 하더라도 그 뒷자리 번호 4자와 관련성이 있는 다른 정보(생일, 기념일, 집 전화번호, 가족 전화번호, 기존 통화내역 등)와 쉽게 결합하여 그 전화번호 사용자가 누구인지를 알아볼 수 있는 경우 개인정보보호법상의 개인정보가 된다(대전지방법원 논산지원 2013. 8. 9 선고 2013고단17 판결). 

이처럼 휴대전화 뒷자리 번호 4자만으로도 개인식별이 가능한데 하물며 초연결 사회에서는 어떨까? 사물 인터넷들로부터 수집되는 수많은 데이터와 인공지능의 정보분석능력이면 웬만한 정보 몇 가지로 개인이 식별되는 경우가 허다할 것이다. 정의 자체가 쉽지 않다. 향후 ‘쉽게 결합하여 개인을 식별할 수 있는 정보’와 관련하여 개인정보의 범위에 대한 논의가 계속될 것으로 보인다.

둘째, ‘정보처리자’가 기하급수적으로 확장된다. 초연결 사회에서는 단순히 하나의 정보처리자가 개인정보를 수집, 이용, 저장, 제공하는 것이 아니다. 하나의 디바이스에서 수집된 정보가 다른 디바이스에서 수집된 정보와 결합하여 개인을 식별할 수 있게 되는 경우 각각의 디바이스 제조∙관리자가 모두 개인정보 보호 의무를 부담하는 정보처리자가 되겠지만 이를 디바이스 제조∙관리자가 쉽게 인지하기 어렵다. 다양한 디바이스로부터 수집된 데이터를 호스팅하는 플랫폼, 자유로운 역외이전, 활발한 데이터의 결합과 이전으로 인해 개인정보보호법상의 의무와 책임을 부담할 정보처리자의 구분이 불명확 해진다. 암호화 등 보안기술에도 불구하고 정보처리자에 대한 새로운 재정립이 요구되고, 자유로운 역외 이전으로 인한 범국가적 규제와 논의가 필요하다.

우리나라가 엄격한 규제 속에 4차산업의 흐름에서 도태되고 있다는 우려와 지적이 많다. 누구도 가보지 못한 새로운 기술과 시대의 전환에 조응하면서 법도 이에 발맞추어 함께 진화하면 조화를 못 이룰 것도 아니다.


법무법인 충정의 임호산 변호사는 Tech & Comms (기술정보통신) 팀에서 가상화폐, 블록체인, 공유경제, 신기술 및 관련 기업송무 등을 전문영역으로 하고 있다. 임호산 변호사가 속해있는 Tech & Comms 팀은 제4차 산업혁명으로 대표되는 사물인터넷(IoT), 빅데이터, 인공지능(AI), 3D프린팅, 가상현실(VR)/증강현실(AR)/혼합현실(MR), 핀테크, 블록체인, 가상화폐, 가상화폐공개(ICO), 가상화폐 거래소, 드론, 전기차, 자율자동차, 신재생에너지, 게임, 공유경제 등 다양한 혁신 기술과 관련된 법적 이슈에 대하여 전문적인 법적 자문을 제공하고 있다.

페이스북 공유트위터 공유
목록
 
모든 법령정보가 여기로