1. 빅데이터, AI시대
개인정보의 안전한 활용을 위한
법제도개선과제 토론문
빅데이터 시대 개인정보의 안전한 활용을 사전규제하는 것은 불가능
일정한 위험은 감수하고 지나친 이용을 시정조치하는 방향으로 가야
2017. 7. 5
구태언 개인정보보호위원(2014-2017)
1
3. 대통령 공약에 모순점 ? – 일자리 창출과 개인정보보호 강화
개인정보자기결정권의 강화로 빅데이터/인공지능 산업의 활성화 곤란 상태 지속 우려
□ 미국 아마존은 전미 슈퍼마켓 체인 홀푸드를 13.7 B에 인수해 세상을 깜짝
놀라게 함
□ 전통시장을 지지하는 법률제도와 방향성을 잡지 못하고 갈팡질팡하는 정
부를 갖고 있는 우리 디지털 기업들은 글로벌 경쟁력을 잃고 있음
□ 조선, 철강, 해운산업의 침체는 이제 플랜트산업으로 대표되는 제조업의 경
쟁력은 이미 지고 있다는 반증
□ 대통령의 공약 속에 일자리 창출은 혁신기업들이 많이 성공해야 가능할 것
인데 혁신산업은 전통산업과 충돌하며 규제의 걸림돌 속에 날아오르지 못
하고 있음
□ 정부는 개인정보보호 자기결정권을 강화하기 위해 수집항목과 수집이용목
적을 세분화하여 정보주체가 스스로 사전동의권을 행사하도록 할 예정
3
4. 디지털 마켓과 플랫폼
재화와 서비스가 인터넷과 디지털 기술을 통해 플랫폼에서 유통되는 시장
□ 전통시장과 대비되는 개념으로 재화와 서비스의 공급자와 소비자를 온라
인서비스와 디지털 기술로 연결해주는 시장
□ 온라인에 특화된 서비스의 공급도 포함하나, 디지털 기술의 중개를 통해 오
프라인의 재화와 서비스의 공급을 가능하게 하는 시장
□ 디지털 시장에서 중요한 것은 재화와 서비스의 공급자와 소비자가 만나는
플랫폼의 장악
□ 글로벌 기업들은 검색 서비스, 소셜 네트워킹 서비스, 메신저 서비스, VR서
비스, 인공지능 서비스 등 다양한 플랫폼을 통해 소비자를 모이게 하고 그
들로부터 데이터를 입수하여 소비자의 행태를 예측하고 맞춤형 서비스를
선제적으로 제공함으로써 소비자를 장악
□ 전통시장을 지지하는 법률제도와 정부를 갖고 있는 우리 혁신기업들은 디
지털 시장의 혜택을 보지 못하고, 현행법위반 또는 정부의 금지속에 경쟁력
을 잃고 있음
5. 플랫폼산업간 글로벌 경쟁
글로벌 기업들은 플랫폼을 지배하기 위해 무한 경쟁을 펼치고 있음
□ 플랫폼에 대한 관심을 2007년 이후 폭발적으로 증가하고 있음 – 구글 트렌즈
(Google Trends)에서 ‘platform’ 이라는 키워드를 검색하면 언론에 기사화된 빈도가
2007년 후반부터 급증했음을 알 수 있음
□ 인터넷 혁명을 주도하는 4인방(Gang of Four)의 변화
□ 마이크로소프트, 인텔, 시스코, 델 -> 구글, 애플, 아마존, 페이스북
□ 에릭 슈미트(전 Google CEO) – “구글, 애플, 아마존, 페이스북 이들이 IT 세계를 지
배할 수 있었던 이유는 플랫폼을 지배하고 있기 때문이다”
6. EU – Digital Single Market 정책
미국, 중국 거대 기업과 경제전쟁을 벌이는 EU의 고육지책
• 디지털 경제를 장악한 미국 기업들을 이기기 위해서는 자국 기업과 경제의 디
지털화가 급선무 – 플랫폼산업을 키우기 위함
• 개인정보보호 통일규제(GDPR)를 통해
- 내부적으로는 원활한 경제교역을 달성하고,
- 외부적으로는 글로벌 디지털 기업들이 EU내에서 사업하기 곤란하게 방해
• 자국 시장을 디지털 시장으로 바꾸기 위해서는
• 규제(Regulation) 장벽의 철폐를 핵심사항으로 파악
• 규제장벽은 모든 물품과 서비스가 온라인으로 유통되는 것을 방해
• 규제는 전통산업의 기득권의 반영이지 미래세대를 위해 만들어진 것이
아님
• 전통산업은 법률을 무기로 혁신가(Innovator)들의 등장을 방해
• EU는 수출입국을 하려는 우리나라에게는 Global Standard가 아님
7. 국가정보화 20년 – 통신망고도화에 집중 / 인터넷신산업은 2013년부터 등장
20년동안 IT부처는 통신망 회선속도를 빠르게 하는데 모든 역량을 집중 – 회선사업자들을 위한 정보화
세계경제는 인터넷이 출현한 90년대말, 모바일시대로 넘어간 2007년부터 디지털 마켓에 집중
8. 개인정보 보호법제에 의해 좌초된 빅데이터 산업발전 전략
개인정보보호법제가 이미 확고한 상황에서 빅데이터 산업 발전 전략 수립, 추진
2016년 현재 전혀 산업형성 안됨 – 뒤늦게 ‘비식별조치 가이드라인’(2016. 7. 1.) 발표..역부족
9. 빅데이터 산업 추진전략의 실패의 교훈
디지털 마켓 이행에 관한 ‘국가적 전략 어젠다’ 설정 없는 산업추진전략의 문제점
• “빅데이터 활용 = 개인정보 오남용 = 불법”이라는 규제에 대한 몰이해
• 융합되지 않은 단편적 정부 규제의 대표적 사례
• 서비스 산업경제의 원유라고 일컫는 개인정보의 이용가치에 대한 숙고 없이
오로지 정보인권 차원에서 개인정보보호에만 집중. 국회는 계속 강화 입법
11. □ 인터넷을 통해서 60초간 발생되는 것
• 페이스북 : 분당 350GB의 데이터
• 유튜브 : 72시간 분량의 동영상
• 텀블러 : 20,000개의 새로운 사진
• 아마존 : $83,000 (약 1억원) 매출과
거래기록
□ (UP)다양한 서비스를 통해 수집한 빅데
이터 활용을 통해 소비자의 미래를 장
악하는 글로벌 기업들
□ (DOWN) 고객에게 마케팅도 동의 없이
할 수 없고, 서비스종료시 파기해야 하
는 한국기업들
플랫폼산업의 강자들 – 전세계 개인정보, 블랙홀로 빨려들어
12. 일자리 창출은 바로 이런 기업들이 하는 것 – 미국과 중국의 혁신기업
12
글로벌 기업들은 플랫폼을 지배하기 위해 무
한 경쟁을 펼치고 있음
이들 기업의 전방위적 침공을 막아낼 기업은 어떻게 키워내야 하는가?
13. 2015 아시안 리더십 컨퍼런스 기조연설 中 :
“이제 20년간 지속되어온 IT 시대가 저물고, 앞으로 30년간은 DT(Data
Technology) 혁명에 기반한 새로운 인터넷 시장이 열릴 것입니다.
이제는 방대한 고객 데이터를 활용해 개별 고객의 요구에 부응할 줄 아는 기
업이 성공하는 ‘DT시대’ 입니다."
고객데이터 마음대로 써서, 우리 살람 매우 좋아~
13
14. 개인정보
규제
전통산업
규제
온라인
규제
- 개인정보보호법, 정보통신망법
- 위치정보법
- 신용정보법 등
(금융산업의 경우)
- 전자금융거래법, 전자금융감독규정
- 금융기관검사제재시행세칙
- 금융지주회사법, 은행법, 대부업법,
- 자본시장법, 유사수신행위법 등
- 정보통신망법
- 전자상거래법
- 통신비밀보호법 등
Ex. Opt-in 기반 영리성
광고 전송 금지,
전자상거래 정보 처리 규제
Ex. 고객 기반 확충 곤란,
Big Data를 통한 신용도 평가
등 신규 모델 창출 불가
삼중규제 속 일자리를 창출할 혁신기업의 싹이 자랄 수가…
전 산업영역에서 과도한 규제총량과다 - 정부에 규제총량 통제기능 부재
14
16. Privacy Divide – 인지능력이 취약한 정보주체 보호 외면
쉬고 있는 할머니:
비밀번호 미설정으로 인해
해커들이 쉽게 찾아내고
인터넷에 실시간으로 중계함
정보기술 취약계층(장애인, 노약자, 문맹자 등)에 대한 사생활 보안위협
• 웹카메라 등 정보기기의 비밀번호를 설정할 줄 모르는 고령자 또는 아동의 사생활 침해 문제
• 해킹으로 무단 수집된 “영국의 웹캠 채널에는 500여 가정에 설치된 유아감시용 카메라를 비롯해
사무실이나 헬스클럽, 상점과 주점 등의 감시카메라 등이 포함된 것으로 파악됐다.” (연합뉴스, ‘전
세계 웹캠 영상 무단 유출 러시아 사이트 적발’<BBC> `14. 11. 20.
16
17. 개인정보 사전동의 세분화는 국민을 자포자기의 늪에 빠뜨리는 격
고객님은 동의를 거부할 권리가 있습니다.
다만, 서비스 제공을 위한 필수사항이므로,
거부시 해당 서비스 이용이 불가능합니다.
형해화 된 동의 클릭
• 사물 인터넷 장비의 이용자들은 해당 장비가 어떠한 개인정보를 처리하는지 자체를 인지하기 어
렵고, 설사 동의서를 읽거나 “동의”에 클릭한다고 해도 실질적으로 그 내용을 읽고 이해하고 동
의하는 실질적 동의가 어려운 상황이 발생 (아이뉴스24, "서비스 약관동의, 고객의 선택권은 있었나? -정보수집
동의 거부시 서비스 이용 못하는 실태 개선돼야-", 2013. 3. 21.)
17
19. 빅데이터, AI 시대, 고지 불능 시대
• 이용 개시 전 단계에서 이용자에게 자기정보통제를 맡기는 현행 시스템은 이용자에게
모든 책임을 지우는 것에 다름 아님
• 무늬만 개인정보자기결정권 보호… 국가의 지원은 무엇인가?
내 몸을 둘러싼 수천개의 서비스, 어떻게 동의해야 하나
19
21. 왜냐면, 개인(식별)정보의 정의가 초광폭이라서 법률상 불능
현실적 보호가치와 상관 없이 무조건 개인관련 정보는 개인식별정보가 됨
개인정보보호법 제2조 제1호
• “개인정보”란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을
알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결
합하여 알아볼 수 있는 것을 포함한다)를 말한다.
빅데이터는 수 많은 정보 속에 '신의 한수'를 찾아 개인식별이 가능하므로
현행법상 개인정보의 정의로는 안전한 비식별조치는 달성 불가
정보통신망법 제2조
• “개인정보”란 생존하는 개인에 관한 정보로서 성명·주민등록번호 등에 의하여 특정한 개인을
알아볼 수 있는 부호·문자·음성·음향 및 영상 등의 정보(해당 정보만으로는 특정 개인을 알아
볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다)를 말한
다.
신용정보법 시행령 제2조 제2항
개인신용정보를 동일하게 규정(2017. 1. 10.) – 핀테크 기업이 수집하는 비정형정보들 규제
21
22. 경성 개인정보규제, 미래 일자리 창출할 스타트업을 가로막아
• 대기업은 매스 마케팅, 중소상공인은 타겟 마케팅
- 대기업은 신문방송에 광고를 낼 수 있지만, 중소상공인은 이를 할 수 없어 직접 맞춤형으로 저
비용 마케팅을 할 수 밖에 없음
- 배달음식점이 전단지를 배포하기 위해 동네 신문배급소에 끼워 넣는 것이 개인정보의 목적외
이용에 해당 5년 이하 또는 5천만원 이하 벌금의 형사책임 발생
- 중소보험사가 TM, 대형보험사는 보험설계사 조직 운영
- 규모에 따른 개인정보보호법 제29조 적용여부를 탄력적으로 운영할 수 있는 방안이 없음
- 과도한 규제비용에 따른 대기업과 중소기업간의 대응능력의 현격한 차이가 발생
기업생존의 필수요소인 타겟마케팅을 악으로 보는 관점은
약육강식, 강자독식의 약탈경제 초래
강자 독식의 경제로 가고 있다
22
23. 왜 내가 눈을 부릅뜨고 내 손가락으로 개인정보를 보호해야 하나???
• 사물인터넷 서비스는 이용자의 행태를 관찰하는 사물이 자동으로 정보를 수집하여 처리
하기 때문에 개인의 통제권행사가 곤란
• 현행법상 ‘고지와 동의‘ 원칙을 엄격하게 고수할 경우, 개인의 불편이 극심해 짐은 물론
서비스의 편리성도 함께 떨어지고 결국 동의 남발로 이어져 개인정보보호가 형해화되는
상황이 명백히 예견됨
노약자, 장애인, 문맹자 등 사회적 약자들의 ‘Privacy Divide’
개인정보이용 동의제도로 해결 안됨
깨알 같은 고지사항. 둔감해지는 보호의식. 습관적인 ‘동의. 동의. 동의…’
23
24. 바빠서 동의했더니 면죄부래, 국가는 개입 안한데….
• 우리나라의 개인정보 형식적 동의제도
- 이용자들에게 법정 고지사항을 제시하고, 각 동의항목별로 개별적, 명시적으로 서명(클릭)을
받는 것.
- 동의를 받기만 하면 국가는 개입 곤란
• 이용자들의 불만
- 기업들이 방대한 고지사항을 제시하고 법에 따라 동의를 요구하게 됨
- 이용자들이 서비스 제공을 받기를 희망할 때에는 고지사항의 구체적인 내용에는 관심이 없이
묻지마 동의에 이름
우리나라의 개인정보 형식적 동의제도의 문제점과 이용자들의 불만
24
26. 개인정보는 빅데이터 인공지능의 영양분, 지나친 오남용 규제로 전환
• 미국/중국과 경제전쟁을 벌이는 EU의 방향은 우리가 맹목적으로 추종할 전략이 아니다.
• 미국/중국 법제와 EU 법제 사이에서 실용적이고 중립적인 입장을 취하는 것이 국익에
부합
• 역사상 새로운 위험요소는 불안전하더라도 이를 금지하지 않고, 이용하면서 경험을 쌓
아 안전한 방법을 발전시켜 나가왔다.
- 증기기관, 자동차, 원자력발전소
• 글로벌 거대 IT기업의 공습 앞에 전 산업이 초토화될 것이 명백히 예견되는 상황이다.
- 포털시장, 검색광고시장을 선점한 Naver, Kakao 가 방파제 역할을 하고 있어 위기상황이 가
려지고 착시현상을 보이고 있는 상황
- 실효성이 떨어지는 현행 개인정보보호규제는 국외에서 서비스하는 IT기업들에게 무방비한 상
황
• 그렇다고 EU처럼 우리가 미국과 중국을 상대로 경제전쟁을 벌일 처지도 아니다.
안전유리가 발명되기 전에 자동차는 탑승자 살인무기였다.
26
27. 개인정보보호의 실질적 개선과 글로벌 기업양성, 두 마리 토끼를 잡자
• 개인정보인권을 실질적으로 보장하고 나라를 지킬 글로벌 IT기업을 육성하기 위해 패러다임
을 바꿔야
- 비식별정보는 개인정보처리자가 ‘정보를 결합하여 개인을 식별할 때’부터 개인정보로 보아 달라.
- 개별적, 구체적, 사전적 동의가 아니더라도 개인정보보호를 해 달라
- 사소한 잘못이나 미처 생각하지 못한 잘못은 형사처벌보다는 시정명령을 해달라.
- 정부가 개인정보보호표준을 제시하고, 개인정보보호정책을 심사하여 무효화 및 시정권고를 우선하는
정책으로 전환해 달라.
• 개선방향
- 개인정보 정의를 현실화하여 실질적으로 보호할 가치가 있는 정보만 보호하자.
- 개별적 사전동의형(Opt-In) → 포괄동의(One Click Consent)+사후동의배제(Opt-Out)로 개인정
보보호를 실질화하자
- 정부가 약관심사하듯 개인정보처리방침을 심사해서 시정명령을 내리고 법원의 사법심사를 통해 합리
적인 법리를 발전시켜 나가자
정부가 개인정보처리방침을 실질심사해서 시정조치해 달라
27