전문가 코칭
개인정보보호와 기업의 책임성
송 영 조
한국지능정보사회진흥원 수석연구원
Q
개인정보는 데이터 경제의 핵심이라고 할 수 있지만, 개인정보보호의 중요성도 간과할 수 없습니다. 개인정보보호가 데이터 경제 활성화와 함께 갈 수 있는 방안이 있을까요?
A

개인정보와 데이터 활용은 물과 기름, 창과 방패처럼 섞이기 힘든 주제였다. 개인정보보호만 강조하면 데이터 활용은 큰 제약을 받는다. 이러한 제약을 풀어 데이터를 섞고 활용할 수 있도록 만든 촉매제가 바로 가명정보이다. 개인정보보호법은 가명정보 개념을 도입하여 개인정보의 식별가능성을 최소화하면서도 데이터 활용성을 높일 수가 있게 개정되었다. 가명정보에 의한 데이터 결합은 다른 산업간 데이터 연계와 활용을 통해 부가가치를 창출하고 데이터 경제 활성화를 가능하게 한다.

데이터 경제 활성화는 법 제정뿐 아니라, 조직·시장·정보제공이라는 세 가지 정책도구가 유기적으로 결합해야 가능하다. 첫째, 조직 측면에서 개인정보보호위원회는 가명정보 결합전문기관 제도를 통해 공공과 민간, 민간과 민간의 데이터 결합이 원활하게 이루어지도록 하고, 기존 공급자 중심의 산업 구조와 서비스 제공 방식을 소비자, 고객 중심으로 재편하도록 해야 한다. 둘째, 시장에서는 데이터 통제권과 이동권이 정보주체에 있다는 인식의 전환이 필요하다. 민간에서는 데이터에 대한 중요성과 더불어 데이터에 대한 통제권과 이동권을 얼마나 효과적으로 발휘하느냐에 따라 데이터 경제의 성패가 좌우된다고 할 수 있기 때문이다. 마지막으로 정보제공이다. 데이터의 가명처리, 데이터의 결합·분석·활용 등 데이터 처리의 전 단계에서 개인정보 식별이 가능한 상황이 다양하게 발생한다. 특히, 데이터 결합에서 데이터의 상호운영성(interoperability)은 대단히 중요한 이슈로 부각될 수 있기 때문에, 단계별 가이드라인과 함께 비식별화 기술이 적극적으로 고려되어야 한다.

개인정보를 기반으로 한 데이터 경제는 데이터 융합과 가명정보 처리를 위한 공공기관이 역할, 데이터의 소유권 및 통제권 인식, 기술적 뒷받침을 위한 정보제공 등을 통해 활성화의 기대를 가질 수 있다.

Q
한국 기업은 유럽연합(EU)의 일반개인정보보호법(GDPR)이 개인정보보호 분야의 국제표준으로 자리 잡으면, 기업의 책임성 강화에서 자유로울 수 없을 것입니다. 기업이 개인정보보호의 책임자 역할을 수행하기 위해 필요한 것은 무엇입니까?
A

EU의 GDPR은 EU와 모든 거래 행위에서 유럽 시민의 개인 데이터와 프라이버시를 보호할 것을 의무화하는 규정이다. 유럽 시민은 개인정보 훼손을 표현·결사·집회의 자유를 침해당한 것과 마찬가지의 기본권 침해라고 생각한다. 따라서, 기업은 EU 회원국의 개인정보를 수집할 때 GDPR 규정을 상세하게 모니터링하고 개인정보 보호규정을 각별히 준수해야 한다. 개인정보보호지침은 해마다 갱신되고 변화할 가능성이 있으므로, 기업은 늘 개인정보 관련 판례와 규정 해석에 주의를 기울여야 한다.

기업은 수집된 데이터에서 개인을 식별할 수 있는지 스스로 점검할 필요가 있다. GDPR은 개인 식별 정보를 폭넓게 인식하고 있어서 몇몇 데이터를 통해 개인을 식별한다면 개인정보를 보호하지 못했다고 생각하기 때문이다. 직접적인 개인정보 외에도 그들이 사용한 IP 주소나 쿠키 정보 등을 통해 개인을 특정할 수 있는지 스스로 점검할 필요가 있다.

GDPR은 개인정보보호를 위해 기업의 역할과 책임을 규정하고 있다. ∆개인정보 처리의 목적과 수단을 결정하는 주체인 데이터 컨트롤러, ∆컨트롤러를 대신해서 개인정보 기록의 유지관리 및 처리를 담당하는 내부그룹 또는 위탁업체를 의미하는 데이터 프로세서, ∆데이터 보안전략 및 GDPR 준수를 관리·감독하는 데이터 보호 책임자 등이 조직의 개인정보보호 주체에 해당한다. GDPR에서는 컨트롤러와 프로세서의 역할과 의무가 나뉘어 있고, 손해배상의 책임 주체도 컨트롤러와 프로세서 모두에게 있다.

기업은 GDPR이 규정한 컨트롤러에 해당하는지, 프로세서에 해당하는지를 파악하고 이에 맞는 책임과 권한을 부여해야 한다. 아울러, 기업은 국내 개인정보보호법과의 차이점 및 준수 방안에 대해 늘 점검하는 자세가 필요하다. 기업은 EU와 거래에서 개인정보보호 책임자가 시민의 기본권을 준수한다는 생각으로 각 역할에 해당하는 의무사항을 준수하는 것이 중요하다.