"기업들, EU GDPR 대비해 DPO·대리인 지정해야"

2018년 5월 25일 유럽연합(EU) 일반개인정보보호규정(GDPR)이 시행됨에 따라 국내 개인정보 법, 제도와의 조율 및 개인정보를 처리하는 기업의 준비가 시급하다는 지적이 제기됐다.

한국인터넷진흥원(KISA)은 4차산업혁명시대 빅데이터, 사물인터넷(IoT), 인공지능(AI) 등 IT환경 변화에 따라 올해 주목해야 할 개인정보보호 7대 주제를 선정한 이슈 전망 보고서를 23일 공개했다.

KISA '2018 개인정보보호 7대 이슈 전망' 보고서는 국내외 ICT관련 기사, 연구보고서, 논문에서 언급된 개인정보보호 관련 44만여개 키워드를 추출하고 이를 최근 동향, 자료를 분석해 30개로 추린 다음 전문가 50여명 대상 설문, 자료검토, 논의 등을 거쳐 선정한 이슈를 담았다.

KISA 정현철 개인정보보호본부장은 "개인정보보호 이슈를 토대로 국내외 개인정보보호 정책 시행에 따른 기업 부담을 줄이고 안전하게 개인정보가 보관·취급될 수 있도록 컨설팅 지원, 설명회 개최, 가이드라인 보급 등을 추진하려고 한다"며 "국민이 안심하고 편리하게 서비스를 이용할 수 있도록 사회 전반에 개인정보보호 적용 설계(Privacy by Design) 보급을 추진할 예정"이라고 말했다.

보고서는 첫째 이슈로 EU GDPR 시행을 언급했다.

GDPR은 EU의 개인정보보호법이다. 5월 25일부터 시행된다. GDPR은 EU 회원국간 개인정보의 자유로운 이동을 보장하고 정보주체의 개인정보보호권리를 강화한 특징을 보인다. EU회원국은 이에 맞춰 자국 개인정보보호 법령체계 개편 등 GDPR 실행 사전작업을 진행 중이다. GDPR은 EU소재기업뿐아니라 현지 사업을 하는 역외기업에도 적용된다. 위반 기업엔 유럽시장 내 사업제재, 높은 과징금이 적용된다.

KISA 보고서는 "신규로 도입되는 정보주체의 개인정보보호권에 대한 대응방안이 불확실하며 감독기관의 법집행 수준에 대한 불확실성이 존재한다"면서 "GDPR이 요구하는 개인정보보호책임자(DPO)를 지정하거나 국외에서 EU 시민 개인정보를 처리하는 경우 대리인(representative)을 지정해야 하는 이슈가 발생한다"고 설명했다.

이어 "정보통신기업 등이 GDPR 준수를 위해 적용해야 하는 구체적 서비스 제공 방식에 대해 기술된 한국인터넷진흥원 GDPR 가이드(2017.12.11 발간)를 참고"하고 "DPO 조기 확보 및 정보주체권리 보장방안 마련이 필요하며 개인정보보호인증을 조기 획득하거나 행동강령을 구체화할 수 있는 사업자 단체의 가입을 고려해야 한다"고 조언했다.

둘째 이슈는 데이터 경제 시대의 개인정보보호다.

보고서는 데이터의 활용을 4차산업혁명시대 두드러진 특징으로 짚고 세계가 '데이터경제' 시대로 접어들고 있다고 진단했다. AI 소프트웨어나 프로그램이 상품화, 서비스화하기 위한 학습에 다양한 데이터가 많이 필요하다고 지적했다. 이런 AI서비스를 위해 기존 정보와 자료를 이용하는 과정에서 개인정보, 저작권, 영업비밀 침해 이슈가 발생한다고 설명했다.

보고서는 전망 및 대응 방안으로 "데이터 활용성 제고를 위해서는 가명·익명정보의 활용을 위한 규제 개선과 저작물의 과학·통계 목적 이용 제한 완화 등의 고려"가 필요하고 "데이터 경제 시대에 대비하여 정보주체의 권리가 침해되지 않도록 보다 안전한 법·제도적 장치를 강구함과 동시에 개인정보의 유용한 활용을 법적으로 보장하는 방안 마련이 시급"하다는 주장을 드러냈다.

셋째 이슈는 개인정보보호 적용 설계(Privacy by Design)의 사례 발굴 및 보급이다.

개인정보보호 적용 설계는 IT시스템, 네트워크로 연결된 인프라, 비즈니스 행태의 설계와 운영시 프라이버시 보호 개념을 내재화하는 프레임워크를 가리킨다. 캐나다 온타리오 정보보호위원회, 네덜란드 개인정보보호위원회 및 네덜란드 응용과학 연구기관 등이 1995년도에 발간한 연구보고서(Privacy-enhancing technologies)에서 처음 사용했다.

보고서에 따르면 개인정보보호 적용 설계는 그 자체가 목적이 아니라, 프라이버시 보호 조치의 적용에 그치지 않고 실질적인 ‘결과’에 초점을 맞춰 정보주체의 개인정보 및 사생활을 보호하는 것을 중시한다. 이행을 위해 기술적, 관리적 보호조치 적용 비용이 발생할 수 있다. 개인정보보호기술(PETs) 적용뿐아니라 개인정보를 보호하기 위한 다양한 조직적, 관리적 조치가 조화돼야 구현이 가능하다.

넷째 이슈는 개인정보 국외이전과 데이터 국지화 제도 대응이다.

주요 국가는 자국민 개인정보를 보호하고 외국 사업자 개인정보 처리에 집행력을 확보하기 위해 대체로 개인정보 국외이전 규제를 강화하는 추세다. 더불어 자국 내지 자국 내 특정지역 규정을 강화하고 해당국에 진출한 기업에 대한 정보보호 및 개인정보 보호활동 강화를 유도하고 있다. 개인정보 국외이전, 역외 적용 분야 법규정 신설이나 이에 관심을 보이는 국가가 많아졌다.

보고서는 "우리나라는 개인정보보호법, 정보통신망법을 통해 개인정보 국외전송 기준을 제시하고있으나 실질적 집행수단과 법적 제재규정은 미비"하다며 "국민의 개인정보보호 및 집행가능성 제고를 위한 전략수립 및 대응방안 마련이 시급"하다고 지적했다. 또 이와 관련해 타국이 "우리나라에 대하여 취하고 있는 정책의 의미와 그에 대한 대응책을 유형화하여 국가별로 대응방안을 강구"해야 한다고 지적했다.

다섯째 이슈는 개인정보의 안전한 활용 및 맞춤형 개인정보 활용가이드(Code of Conduct)의 활성화다.

AI와 IoT 서비스를 위해서는 정적, 동적 개인정보가 수집, 활용돼야 한다. 이에 따라 취미, 혈액형, 주소 등 정적 정보와 구매패턴, 서비스 이용현황 등 동적 정보 등 개인정보 유출 위협이 커졌다. 당사자는 자기 개인정보가 언제 어떻게 수집되고 생성되는지 파악하기 어려워졌다. 반면 자율주행차같은 신기술은 운행, 탑승자 편의를 위해 상시 외부와 연결돼 있다. 해킹 피해로 인명 위협이 수반될 수 있다.

보고서는 "이런 신기술은 정보주체와 제3자 개인정보 처리가 필요하나 현행법률은 정보주체동의 등 엄격한 처리요건이 걸림돌이 될 수 있다"며 "법과 기술간 간격을 해소하기 위해 정보처리 투명성 강화와 더불어 위험기반접근의 법제개선, 정보처리자 책임성 강화, 개인정보 활용 유연화가 필요하다"는 주장을 담았다.

여섯째 이슈는 사업장 감시와 근로자 프라이버시의 상충이다.

전자감시가 확대돼 근로자 불만과 불편이 증가할 전망이다. 현행법상 사업장내 전자감시는 범죄행위다. 그러나 보고서는 "사업자가 전자감시 활동에 대해서 문제의식을 가지고 있는 경우에도 범죄예방, 시설보호, 화재예방, 사이버보안 등으로 용도를 위장"한다며 "CCTV 설치, 운영시 정보주체(근로자 등) 동의를 받아야 하나, 노사관계라는 특수한 성격 때문에 고용주 동의 요구 거부는 불가능"하다고 지적했다.

전자감시에 따른 노사분쟁을 줄이려면 감시장비도입 목적, 절차, 방법에 투명성이 보장돼야 한다. 사업자는 감시 목적으로 이용될 수 있는 장비나 설비 도입시 용도에 관계 없이 근로자 대표기관에 미리 충분한 자료를 제공해 설명하고 설치시기, 방법, 장소, 범위, 용도 등에 협의케 해야 한다. 이런 절차를 피하거나 불성실 대응시 강제할 절차를 도입하고 근로자 단체법적 동의나 노사협의회 의결을 거치게 해야 한다.

일곱째 이슈는 바이오정보(생체정보) 빅데이터 시대에 따라 증대되는 개인정보 침해 위협이다.