우리 리서치 PLUS

빅데이터 시대에서 개인정보 보호와 활용의 조화

  • 우리은행 김준호 사외이사
  • 2021-09-23
  • 조회수 1265
분류 권두언
발행호수 2021-09
저자 우리은행 김준호 사외이사
   

우리 리서치 PLUS - 2021년 9월호

 

권두언: 빅데이터 시대에서 개인정보 보호와 활용의 조화

 

코로나19 사태가 1년 6개월을 넘기고 있다. 코로나로 인해 우리 일상생활의 모든 부문이 코로나 이전과는 비교할 수 없을 정도로 변하고 있다. 그중 하나가 QR코드다. 요즘 식당이나 커피숍이든 어디를 가더라도 QR코드를 입력하라고 한다. 과거에는 상상도 할 수 없을 정도로 일상생활을 영위하는 데 개인정보 요구가 심하다. 코로나로 대부분 비대면으로 진행되다 보니 모든 사회활동에 개인정보를 요구하는 일이 빈번하다. 온라인으로 물건을 구매하거나 금융거래 등 경제활동에도 각종 개인정보를 요구하고 제공해야만 거래할 수 있다.

 

온라인을 통한 쇼핑이 대세다. 온라인 쇼핑 비중은 2018년 전체 소매판매 중 24.4%이었으나 올 6월엔 33.6%로 9.2%p 늘었다. 앞으로도 이런 현상은 지속하리라 본다. 금융 분야도 디지털을 이용한 온라인 거래가 매년 큰 폭으로 증가한다. 소수 노년층을 제외한 고객 대부분이 디지털 금융거래를 한다. 은행의 입출금 및 자금 이체 거래 건수 기준 인터넷 뱅킹 사용 비중은 2018년 이후 매년 6~7% 늘어 지난해 말엔 65.8%를 기록했다. 증권은 2018년 온라인 거래 비중이 75.3%에서 지난해엔 83.4%로 8.1%p 증가했다. 손해보험도 2018년 4.4%에서 2020년 6.3%로 매우 큰 폭으로 늘었다. 이러한 온라인 거래는 나이, 주민등록번호 등 기초적인 개인정보 외에 소득, 투자성향은 물론 자산규모 등 매우 예민한 정보까지 요구한다.

 

최근 금융회사는 오픈뱅킹 서비스를 시작했다. 오픈뱅킹이란 은행의 송금, 결제망을 표준화하고 개방해 하나의 애플리케이션으로 모든 은행의 계좌를 조회, 결제, 송금 등을 할 수 있는 서비스다. 여러 군데서 수 많은 개인정보에 접근할 수 있게 한 것이다. 또 많은 금융, 통신회사 등에서 마이데이터 사업을 이미 시작했거나 준비하고 있다. 마이데이터란 정보 주체인 개인이 본인의 정보를 적극적으로 관리, 통제하고, 이를 신용이나 자산관리 등 개인 생활을 능동적으로 관리하는 과정을 말한다. 마이데이터를 통해 각종 기관과 기업 등에 분산된 자신의 정보를 한 번에 확인할 수 있고 업체에 자신의 정보를 제공해 맞춤 상품이나 서비스를 추천받을 수 있다. 이것 역시 수많은 개인정보를 바탕으로 하고 있다.

 

4차 산업 혁명 시대를 맞아 빅데이터가 산업의 필수재가 되었고 그중에서도 개인정보가 핵심이다. 많은 분야에서 개인정보가 필요하다는 것은 그만큼 개인정보가 유출되고 침해될 가능성도 존재한다. 이처럼 많은 개인정보가 포함된 각종 서비스와 개인정보 수집·활용이 증가하는 와중에 지난해 데이터 3법이 개정됐다. 개인정보를 보호하면서 이를 활용한 서비스도 제공할 수 있는 기반을 마련토록 한 이 법 시행으로 획기적인 개인정보 보호 체계가 확립됐다. 개정법률은 데이터 기반 경제에서 안전한 개인정보 활용을 위한 가명 정보와 익명 정보의 개념을 구분했다. 그동안 행자부, 방통위, 과기부 등 여러 부처에 분산됐던 개인정보 관련 기능을 개인정보위원회로 일원화해 통일된 정책 수립과 집행을 가능케 했다. 이 법으로 정보 주체의 실질적 권리보장을 위한 동의제도 개선과 개인정보 자기결정권 확보를 위한 개인정보 이동권을 도입했다.

 

개인정보 보호법의 주요한 내용을 자세히 살펴보자. 이 법 시행으로 정보의 주체자가 개인정보에 관한 정보를 받을 수 있고 그 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 수 있다. 열람과 정정·삭제를 요구할 수 있도록 규정해 정보주체자의 권리를 보호해주는 등 개인정보의 전반적인 사항에 대해 상세하게 규율하고 있다.

 

개인정보 처리는 △개인정보의 수집, 이용, 제공 등의 기준으로 정보 주체의 동의를 받은 경우나 △법률에 특별한 규정이 있는 경우 △공공기관이 법령에서 정한 업무를 수행하는 경우 △정보 주체와 계약의 체결 및 이행을 위하여 불가피한 경우 등 제한적일 때 개인정보를 수집·이용할 수 있고, 그 목적에 필요한 최소한의 개인정보를 수집해야 한다. 또한 개인정보처리자는 정보 주체가 필요한 최소한의 정보 외의 수집에 동의하지 않는다는 이유로 정보 주체에게 재화 또는 서비스 제공을 거부해선 안 된다.

 

개인정보처리자는 보유 기간의 경과, 개인정보 처리목적의 달성 등 그 개인정보가 불필요하게 되었을 때는 바로 그 개인정보를 파기해야 한다. 개인정보처리자는 정보 주체의 동의를 받을 때는 각각의 동의 사항을 구분하여 정보 주체가 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받아야 한다. 개인정보의 처리에 대해 정보 주체의 동의를 받을 때는 정보 주체와의 계약체결 등을 위하여 정보 주체의 동의 없이 처리할 수 있는 개인정보와 동의가 필요한 개인정보를 구분해야 한다.

 

개인정보처리자는 사상, 신념, 노동조합, 정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등 정보 주체의 사생활을 현저하게 침해할 우려가 있는 개인정보에 대해서는 처리를 제한하고 있다. 그리고 고유식별번호 처리도 제한한다. 주민등록번호에 관해서는 법령이나 정보 주체의 생명, 신체, 재산의 이익을 위하여 명백히 필요한 경우가 아니면 이를 제한하고 있다. 개인정보처리자가 정보 주체 이외로부터 수집한 개인정보를 처리할 때 정보 주체가 요구하면 즉시 개인정보의 수집 출처와 목적을 밝혀야 한다.

 

한편 정보처리자는 통계작성, 과학적 연구, 공익적 기록 보존 등을 위하여 정보 주체의 동의 없이 가명 정보를 처리할 수 있지만, 특정 개인을 알아보기 위하여 사용될 수 있는 개인정보를 포함해선 안 된다. 가명 정보를 처리하는 경우에는 원래의 상태로 복원하기 위한 추가정보를 별도로 분리하여 보관·관리하는 등 해당 정보가 분실이나 도난, 유출, 위·변조되지 않도록 필요한 기술적, 관리적, 물리적 조처를 해야 한다.

 

개인정보처리자는 개인정보 유출 사실을 인지하였을 경우 바로 해당 정보 주체에게 관련 사실을 통지하고 일정 규모 이상의 개인정보가 유출된 때에는 전문기관에 신고하고 피해를 최소화하는 조처를 해야 한다. 정보 주체의 개인정보 자기통제권을 인정하여 정보주체자는 개인정보처리자가 처리하는 자신의 개인정보에 대한 열람을 요구할 수 있고 다른 법령에서 그 개인정보 수집대상으로 명시된 경우를 제외하고는 개인 정보처리자에게 자신의 개인정보 정정 또는 삭제를 요구할 수 있다.

 

또한 정보 주체는 개인정보처리자에게 자신의 개인정보 처리의 정지를 요구할 수 있다. 개인정보처리자는 △다른 사람의 생명, 신체를 해할 우려가 있거나 △다른 사람의 재산과 이익을 부당하게 침해할 우려가 있는 경우 △개인정보를 처리하지 않으면 정보 주체와 약정한 서비스를 제공하지 못하는 등 계약의 이행이 곤란한 경우 △정보 주체가 그 계약의 해지 의사를 명확하게 밝히지 아니한 경우 등을 제외하고는 지체없이 정보 주체의 요구에 따라 개인정보 처리의 전부를 정지하거나 일부를 정지해야 한다. 이러한 개인정보에 관한 제반 사무를 처리할 기구로 개인정보위원회를 장관급의 중앙행정기관으로 신설해 개인정보를 체계적으로 보호하고 활용할 수 있는 제도적 여건을 마련했다.

 

개인정보는 빅데이터를 처리하는 과정에서 노출될 위험성이 그대로 있다. 정보처리 기술의 발전과 처리할 정보의 양이 증가할수록 개인의 민감한 정보까지 추론해 낼 수 있다. 2016년 인터넷 쇼핑몰 인터파크에서 1030만 명의 고객 정보유출, 2014년에는 KB국민카드, 농협카드, 롯데카드 등에서 1억400만 명의 개인정보 유출사건이 발생했다. 그 후에도 여러 곳에서 크고 작은 개인정보 유출사건이 발생했다. 이러한 정보유출은 범죄에 악용될 수도 있고 정보처리 과정을 통해 개인의 민감한 정보가 유출돼 해당 개인에게 치명적인 손실을 끼칠 수 있다.

 

4차 산업 혁명 시대에 빅데이터는 필수다. 빅데이터에 포함된 개인정보는 보호 대상이기도 하지만 잘 활용만 된다면 우리 사회를 더욱 풍요롭게 하는 핵심자원이 될 것이다. 특히 코로나로 점점 비대면 거래가 늘어나면서 개인정보를 요구하는 거래도 늘어나고 다른 각종 경제활동에서도 개인정보를 요구하는 일이 증가하고 있다. 이때 우리는 개인정보의 이용과 보호라는 어려운 주제에 직면하게 된다. 개인정보 유출이 해당 개인에게 심각한 위험이나 프라이버시 침해를 가져온다. 우리나라는 모든 개인정보를 수집할 때 이용자의 정보를 이용하기 이전에 미리 동의를 얻어야 하는 옵트인(Opt-in) 방식의 법률 체계를 채택하고 있다. 개인정보를 수집하는 곳에서는 필요한 개인정보를 수집할 때 심각한 어려움에 직면할 가능성이 크다.

 

빅데이터는 4차 산업 혁명 시기에 필수적인 산업이지만 이를 제대로 육성하지 않는다면 국민이 활용할 수 없게 될 것이다. 4차 산업 혁명 시대의 총아인 빅데이터 산업도 활성화되고 이를 활용하는 국민의 삶도 풍요롭고 편리해질 수 있도록 관계 당국에서 개인정보의 활용과 보호에 지혜를 모아 정책을 수립하고 집행하길 기대해 본다.

좋아요 2