​변호사가 직접 작성한 지식글만 게재합니다.

빅데이터와 개인정보보호법의 상관관계

6월 24일 업데이트됨


빅데이터의 개념

빅데이터란 기존의 데이터베이스나 아키텍처가 저장, 관리, 분석할 수 있는 범위를 초과하는 거대한 규모의 데이터 집합 또는 이를 분석하는 기법을 의미하는데, 이러한 빅데이터를 바라보는 관점은 매우 다양하지만, 빅데이터의 일반적인 개념 요소는 정보의 집적, 정보의 결합, 정보의 분석이라 정의할 수 있다.

빅데이터의 일반적인 개념 요소 중 정보의 집적이란 데이터의 양을 고도화한다는 의미이고, 정보의 결합이란 다양한 목적 또는 형태의 데이터를 연결시키는 것을 의미하며, 정보의 분석이란 거대ㆍ다양한 데이터를 연결하여 원래 데이터 이상의 효용이나 가치를 창출해 내는 것을 의미한다.

한편 위에서 열거한 빅데이터 개념을 전제로 우리나라 개인정보보호법 제2조 제1항, 제3조 및 제4조를 바라보면, 개념적으로 부조화스러운 요소가 있어 보인다. 여기서는 시간 관계상 부조화의 문제점만 제시하기로 하다.

개인정보보호법 제2조 제1호, 제3조 및 제4조

개인정보보호법 제2조 제1호는 개인정보의 개념에 대하여 설명하고 있다. 즉 개인정보에 대하여 개인정보보호법은 “살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.”라고 규정하고 있다.

개인정보보호법 제2조 제1호는 개인정보의 개념을 제시하고 있는 것 같지만, 실제로는 개인정보보호법의 적용범위를 제시하고 있다. 즉 식별성 있는 개인의 정보라면 개인정보보호법이 적용되지만, 식별성이 없거나 사물의 정보라면 개인정보보호법의 적용이 없는 것이다.

개인정보보호법 제3조는 8개의 개인정보보호의 원칙을 제시하고 있는바, 종래 OECD(Organization for Economic Cooperation and Development)가 발표한 프라이버시 가이드라인(Privacy Guideline)에 포함되어 있는 8가지 원칙과 유사하다. OECD의 8원칙으로는 수집제한의 원칙, 내용정확의 원칙, 목적명확의 원칙, 이용제한의 원칙, 안정성확보의 원칙, 개인정보정책 등의 공개원칙, 정보주체의 참여 원칙, 수집기관 책임의 원칙이 있다.

이러한 개인정보의 수집과 통제 등 개인정보 프라이버시 권리에 대한 기본정책방향 또는 원칙을 FIPPs(Fair Information Practice Priciples)이라고 하는데, 결국 개인정보보호법 제3조는 우리나라 개인정보보호에 관한 FIPPs를 제시하고 있는 것이다.

반면 개인정보보호법 제4조는 정보주체의 권리를 제시하고 있다. 정보주체의 권리로는 정보를 제공받을 권리, 동의여부ㆍ범위 등을 선택하고 결정할 권리, 개인정보처리를 확인하고 열람할 수 있는 권리, 개인정보의 처리 정지, 정정·삭제 및 파기를 요구할 권리, 개인정보의 처리로 인하여 발생한 피해를 구제받을 권리이다.

개인정보보호법 제2조 제1호, 제3조 및 제4조는 개인정보보호법 전조문의 기초적 역할을 하는 것으로서, 이 기초가 바뀌면 당연히 나머지 조문의 내용도 바뀌어야 하는 것이다. 따라서 그 중요성이 매우 크다고 하겠다. 그런데 문제는 개인정보보호법 제2조 제1호, 제3조 및 제4조의 내용 중 일부가 빅데이터의 개념ㆍ특성과 부조화한다는 것이다. 이를 열거해 보기로 한다.

빅데이터의 식별화와 개인정보보호법 제2조 제1호

빅데이터가 식별정보의 집적이나 결합으로 이루어지거나, 식별정보와 비식별정보의 집적이나 결합으로 이루어졌다면 개인정보보호법이 적용된다고 보아야 한다. 때문에 많은 규제와 통제를 받아야 한다. 반면 비식별정보의 집적이나 결합으로 빅데이터가 구성된 경우, 일단은 개인정보보호법의 적용에서 벗어날 수 있어 보인다.

기업들은 엄격한 개인정보보호법의 적용을 피하고 여러 가지 규제 요소를 제거하여 자유로운 정보활용을 달성하고자, 되도록 데이터의 비식별성이나 익명성을 유지하려고 하였기에, 빅데이터는 비식별정보의 집적과 결합으로 이루어진 경우가 많다.

하지만, 비식별정보가 다수 쌓이고 결합된다면 그 원래의 비식별성이나 익명성이 유지되지 않는다는 것이 문제이다. 이러한 현상을 많은 학자들이 지적하였고 현실적으로도 이러한 현상은 다수 발생하고 있다. 이러한 상황에서 개인정보호보법의 적용범위를 기존과 같이 식별정보로 한정하는 것이 타당한가의 검토가 필요하다고 본다.

정보의 집적과 개인정보보보법 제3조 제1항(수집제한의 원칙)

개인정보보호법 제3조 제1항은 “개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다.”라고 최소수집의 원칙을 규정하고 있다. 과도하고 필요 이상의 개인정보의 수집이 원칙적으로 금지된다는 의미이다.

한편 빅데이터의 개념 안에는 정보수집의 극대화를 통한 최대한의 정보집적 및 관리를 내포하고 있다. 이러한 현상이 옳은지 아니면 더 큰 문제를 야기할 수 있는지에 대하여 정보보안의 측면에서 많은 논의가 있기는 하지만, 정보집적의 현상은 지속적으로 발생하고 있는 것은 사실이고, 앞으로도 이러한 현상은 유지될 것으로 보인다.

빅데이터의 현상을 긍정적으로 인정하고, 또 정보의 대용량화를 통한 빅데이터가 미래의 금광이 될 것이라는 예찬론자의 지지를 받아들인다면, 데이터의 극대화를 미덕으로 하는 빅데이터가 과연 어떻게 수집데이터의 최소화를 미덕으로 하는 개인정보보호법 제3조 제1항의 최소수집의 원칙과 조화로울 수 있는지 의문이 생길수 밖에 없다. 빅데이터의 발전을 위하여 수집제한의 원칙이나 최소수집의 원칙은 어느 정도 후퇴가 불가피한지도 고민해 보아야 할 것이다.

정보의 결합과 개인정보보호법 제4조 제2호(개인정보주체의 동의권)

개인정보보호법 제4조 제2호는 개인정보주체에 대하여 ‘개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리’를 인정하고 있다. 즉 기업의 개인정보 처리범위를 결정하고 선택할 수 있다는 것이다. 이른바 옵트인 제도를 전제로 한다는 것이다.

반면 빅데이터라는 다른 영역에서 발생한 데이터의 결합, 다른 루트에서 수집된 데이터의 자유로운 조합을 전제로 하고 있다. 결합과정에 대한 규제가 최소화되어야, 자유로운 대용량 데이터의 결합이 어느 정도 인정되어야 분석을 통한 가치달성이 극대화되기 때문이다.

하지만 개인정보주체가 결합의 여부나 결합의 범위를 결정하여 선택하고, 그 결과 개인정보주체마다 결합정도를 따로 따로 정해야 한다면, 결합 비용이나 유지 비용 때문에 빅데이터의 실현은 거의 불가능할 수 있다. 오히려 옵트아웃 제도가 더 빅데이터 개념과 어울려 보인다. 법제의 옵트인과 현실의 옵트아웃을 어떻게 조화할 수 있는지가 큰 과제로 보인다.

정보의 분석과 개인정보보호법 제3조 제2항(이용제한의 원칙)

개인정보보호법 제3조 제2항은 “개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다.”라고 이용제한의 원칙을 규정하고 있다. 수집 목적 외에 개인정보를 활용하는 것은 원칙적으로 허용되지 않는바, 별도의 동의 절차를 거쳐야 한다는 것이다.

한편 빅데이터의 정보분석의 목적은 비정형적인 데이터 분석을 통하여 원래 데이터 이상의 가치와 효용을 창출하는 것이다. 수집 당시의 목적과 분석 이후의 데이터 이용 목적이 달라질 수 있다는 것이고, 이용 목적이 유연하고 전환적일 수 있다는 것이다.

그러나 이러한 빅데이터의 정보 분석으로 인한 새로운 효용가치 창출의 개념, 이용 목적의 유연성은 개인정보보호법 제3조 제2항의 이용제한의 원칙과 충돌하는 듯 보인다. 이를 어떻게 풀어가야 하는지에 대하여 고민해 보아야 할 것이다. 더불어 데이터 이용 목적이 확대되고 전환될 때에 개인정보 주체에게 별도의 동의를 얻어야 하는지에 대한 절차적인 측면도 같이 고민해 보아야 할 것이다.

새로운 프레임워크의 필요

빅데이터는 단순한 정보의 집적이나 결합을 의미하지는 않는다. 정보의 분석이나 새로운 효용가치의 창출이 중요한 목적인 것이다. 때문에 데이터사이언스나 소셜분석, 데이터마이닝 등의 용어나 관련 종사자가 점점 힘을 얻어가는 것이다.

이러한 빅데이터의 장점을 극대화하면서도 동시에 반드시 프라이버시 보호라는 측면도 소홀히 하지 않아야 함은 당연하다. 왜냐하면 정보를 수집하고 이용하는 기업에 의하여 프라이버시가 보장되지 않는다면, 온라인 소비자는 기업에 대하여 불신을 갖게 되고, 그 결과 고부가가치 있는 빅데이터의 실현이 어려워질수 있기 때문이다.

하지만 더욱더 중요한 것은 부적절한 프라이버시 규제가 빅데이터의 성립과 발전에 장애 요소가 될 수 있다는 점이다. 새로운 현상에 맞지 않는 규제는 오히려 IT 산업 발전이나 국가 발전에 큰 장애 요소가 될 수 있다. 새로운 술은 새로운 부대에 담는다는 말처럼 빅데이터의 시대에 걸맞은 새로운 개인정보보호의 프레임워크가 필요하다고 본다.

* 법무법인 민후 김경환 대표변호사 작성, 보안뉴스(2012. 10. 30.), 로앤비(2012. 11. 26.) 기고.

Today's Pick