​변호사가 직접 작성한 지식글만 게재합니다.

빅데이터와 정보, 그리고 개인정보 (3)


빅데이터의 개념 정의는 사람마다 다를 수 있지만, 빅데이터는 공통적으로 ‘데이터 수집 → 데이터 보관 및 관리 → 데이터 처리 → 데이터 분석 → 시각화 순서’로 진행되고 있다.

한편, 각 단계에서 빅데이터 사이언티스트는 법적으로 고려해야 할 것들이 몇 가지 존재하는데, 수집단계가 법적으로는 가장 고비이고 이슈가 많다.

빅데이터의 소스로는 △로그기로 수집한 로그기록·쿠키정보 등 △SNS, 웹페이지 등에서 크롤링 방법으로 수집한 일반적으로 공개된 정보 △센싱한 개인정보가 있고, 이 외에 △공공데이터 △RSS, Open API 등이 포함되어 있다.

이러한 수집대상에 개인정보가 포함되어 있다면, 현행 개인정보보호 법령상으로는 수집 자체가 가능한지부터 고민을 해야 한다. 경우를 나누어 구체적으로 살펴본다.

◇ 로그기록·쿠키정보 등

우리나라 법제에서 로그기록이나 쿠키정보는 기본적으로 개인정보로 취급되고 있다. 때문에 그 수집 시 법적으로는 사전에 동의를 얻고 수집해야 한다. 하지만 입법례에 따라서는 이를 완화하는 경우도 있다. 쿠키정보를, 통신과정에서 또는 이용자가 요구한 정보를 제공하기 위하여 필요한 쿠키인 ‘기술적 쿠키(technical cookie)’와 이용자의 행태를 분석하고 맞춤형 광고를 보내기 위해 사용되는 쿠키인 ‘프로파일링 쿠키(profiling cookie)’로 나누고 전자에 대해서는 후자와 달리 동의 없이 수집할 수 있도록 하는 이탈리아의 예가 그러하다.

◇ 일반적으로 공개된 개인정보

일반적으로 공개된 개인정보의 경우, 우리나라 법령 해석상 정보주체의 동의를 얻어야 한다고 보는 견해가 많다. 일반적으로 공개된 개인정보란, 공개된 등기·등록부의 개인정보도 포함하지만, 빅데이터에서는 SNS, 트위터, 웹페이지 등의 개인정보가 중요한 비중을 차지하고 있다.

일반적으로 공개된 개인정보에 대하여 그 수집 시 정보주체의 동의를 얻어야 한다고 보는 견해가 다수이기 때문에 이 견해에 따른다면 수집시 동의 문제 때문에 빅데이터 사이언티스트 입장에서는 큰 소스를 포기하는 문제가 발생할 수 있다.

이와 관련해 방송통신위원회는 2013년 12월에 ‘빅데이터 개인정보보호 가이드라인’을 제정하면서, 기술적 쿠키와 일반적으로 공개된 개인정보의 동의 없는 수집을 추진했으나, 개인정보보호에 관한 상위 법령에 위반된다는 이유로 현재 가이드라인 통과가 보류 중이다.

‘기술적 쿠키’와 ‘일반적으로 공개된 개인정보’에 관한 법조문은 흔히 빅데이터 조문이라고 불린다. 그만큼 빅데이터 기업 입장에서는 중요한 조문이라는 의미이기도 하지만, 통과에 대한 반대가 심한 조항이기도 하다. 그러나 빅데이터는 우리에게 무한한 가능성을 가져다 줄 것으로 예상되며, 개인정보보호는 개인정보 활용이라는 전제 하에서 인정되는 것이 보호의 본질적 의미에도 부합하는 것이 아닐까 생각한다.

바람직하게는 길을 아예 막아놓기 보다는, 빅데이터 조문들을 법률적으로 도입하되 그 과정에서 정보주체의 의사가 충분히 반영되고 개인정보 보호 취지가 몰각되지 않도록 실질적이고 충분한 보호장치를 설정해야 한다. 이를 통해 오히려 지금까지의 형식적 보호보다 더 충실한 보호와 안전한 활용이 병행되는 길을 열어 지금까지의 논란이 종식됐으면 하는 바람이다. 마치 튼튼한 가드레일과 안전장치로 둘러싸인 고속도로를 뚫는 것과 마찬가지로 말이다.

◇ 센싱한 개인정보

상당히 많은 개인정보가 센싱 방법에 의하여 수집된다. 앞으로는 웨어러블 기기 및 IoT의 발전과 더불어 이런 형태의 개인정보 수집이 급격하게 증가할 것으로 판단된다.

이 과정에서 웨어러블 기기가 착용자의 개인정보를 수집하는 것이나 IoT 센서가 그 설치자나 관리자의 개인정보를 수집하는 것은 법적으로 큰 문제는 없어 보이나, 제3자의 개인정보를 무단으로 수집하는 웨어러블 기기 또는 IoT 기기는 법적 문제를 일으킬 것으로 보인다. 특히 바이오인식정보를 무단으로 수집하는 경우에는 더 큰 문제가 된다.

이 부분에 관해서는 개인정보보호도 되지 않고 개인정보 활용도 보장해 주지 못하는 것이 현재의 개인정보보호 법령 상황이다. 한 마디로 법령이 이 부분에 관해서는 침묵하고 있다. 웨어러블 기기, IoT 기기, 개인영상정보, 바이오인식정보 등과 관련해서는 어떻게 관리하고 처리해야 하는지에 대해 그 기준이 정립되어 있지도 않고 법령도 미비된 상태이므로, 그 보완과 기준 정립이 시급하다고 할 것이다.

◇ 공공데이터

공공데이터의 경우 ‘공공데이터의 제공 및 이용 활성화에 관한 법률’에서 규율하고 있고 이 법률에 따르면 공개가 원칙이다. 다만 ‘공공기관의 정보공개에 관한 법률’ 제9조에 따른 비공개대상정보 또는 ‘저작권법’ 및 그 밖의 다른 법령에서 보호하고 있는 제3자의 권리가 포함된 것으로 해당 법령에 따른 정당한 이용허락을 받지 아니한 정보가 포함된 경우에는 공개하지 않을 수 있다.

공공데이터는 통상 전국가적으로 수집되어 정리되는 데이터이기 때문에 그 활용가치가 크고, 단순히 경제적 의미를 넘어 시민사회의 성숙에도 긍정적 영향을 줄 수 있는 등 그 실질적 가치는 무궁무진하다. 그런 의미에서 공개되는 공공데이터의 퀄리티와 정보산업과의 연계 가능성에 대해 좀 더 신경을 써야 할 것으로 본다.

* 법무법인 민후 김경환 대표변호사 작성, 블로그(2014. 12. 8.), 보안뉴스(2014. 11. 12.) 기고.

Today's Pick