일반개인정보보호법 발효…IP·쿠키도 개인정보

인공지능·빅데이터 시대의 새로운 ‘규칙’

가 +
가 -

유럽연합(EU)은 지난 2016년 4월27일 일반개인정보보호법, 일명 ‘GDPR(General Data Protection Regulation)를 발의했습니다. 법안은 2016년 5월에 발효됐지만 큰 변화가 필요한 만큼 올해 5월25일까지 2년의 유예기간을 뒀습니다. 이제 유예기간 종료가 100일도 채 남지 않았죠.

법안은 사업장이 EU 내에 있거나, EU에 있지 않더라도 EU 국민에게 상품과 서비스를 제공하거나 또는 EU 국민과 관련된 데이터를 수집·분석하는 기업이라면 국가를 불문하고 법률 적용 대상이 될 수 있습니다.

GDPR는 EU의 법안이지만 국내 기업에 미치는 여파가 상당합니다. 수많은 기업이 GDPR를 준수하기 위해 기업 체질을 개선할 테고, 이는 다른 국가가 관련 법안을 제정하는 데에도 영향을 미칠 테니까요. 인공지능·빅데이터 시대에 걸맞은 새로운 ‘규칙’을 먼저 제시했다는 것에도 큰 의미가 있죠. 4차 산업혁명을 강조하고 있는 국내에도 GDPR가 시사하는 바가 큰 이유입니다.

◇ ‘잊힐 권리’, ‘설명을 요구할 권리’··· ‘정보 주체’ 개인 권한 강화

GDPR는 정보 주체인 개인이 보호받을 수 있는 권한을 강화했습니다. 데이터의 주인인 개인의 ‘알 권리’는 물론 ‘잊힐 권리’와 같은 정보 처리 권한도 법적으로 보장해준다는 겁니다.

예를 들어 개인정보 유출 사고가 발생하면 컨트롤러(개인정보 처리자)는 72시간 안에 이를 사용자에게 직접 통보해야 합니다. 그리고 개인이 기업을 상대로 정보유출 피해를 따질 필요 없이, 감독기관이 사용자 보호에 앞장서 기업에 벌금을 부과하는 역할을 맡게 됩니다.

쿠키도 개인정보!

개인정보의 개념도 확대됩니다. GDPR는 IP, 위치정보, 쿠키와 같은 인터넷에서 추적할 수 있는 정보를 모두 개인정보로 취급하고 보호합니다. 식별할 수 있는 정보는 최대한 보호하되 사용자를 식별할 수 없게 ‘익명화’한 데이터는 마음껏 활용할 수 있게끔 빗장을 열어주었습니다.

이목을 끄는 것은 GDPR가 보장하는 개인정보보호권이 ‘잊힐 권리’ 그리고 일명 ‘설명을 요구할 권리’를 포함하고 있다는 겁니다.

‘잊힐 권리’는 삭제할 수 있는 권리를 뜻합니다. 본인과 관련된 개인정보의 삭제를 요구할 수 있는 권리죠. 정보주체의 권리를 보장하기 위해 데이터를 처리하는 쪽에서는 개인이 쉽게 삭제를 요구할 수 있는 다양한 방법을 제공해야 합니다.

Flickr, Ervins Strauhmanis CC BY

‘설명을 요구할 권리’는 GDPR에 직접 명시된 것은 아니고요, 영국 옥스퍼드대의 브라이스 굿맨(Bryce Goodman)과 세스 플랙스먼(Seth Flaxman)이 GDPR의 조항을 해석한 논문에서 등장한 개념입니다. GDPR의 몇몇 조항을 엮어 ‘설명을 요구할 권리’라 이름 붙인 거죠.

머신러닝 등 AI 기술이 발전하면서 알고리즘에 따라 자동으로 처리되는 일이 많은데요, GDPR에 따르면 정보주체는 알고리즘 의사 결정의 근거나 기준에 대해 알 수 있어야 합니다. 물론 기술적으로 설명이 불가능한 영역도 있고, 상세한 내용을 알 수야 없겠지만 최소한의 안내라도 제공해야 한다는 겁니다. 왜 데이터를 모으고 처리하는지도 고지해야 하고요.

제16조 ‘정정권’의 경우 입력된 데이터의 오류로 알고리즘에 문제가 발생하면 정보주체는 데이터의 정확성 및 분류된 그룹 또는 카테고리에 대해 이의를 제기할 수 있다고 명시하고 있습니다. 또 정보주체의 법적 권리에 영향을 미치는 경우 프로파일링을 포함한 자동화 처리 결과를 적용받지 않을 권리(제22조)도 있죠.

“성별이나 연령 등에 따라 서비스에서 보이는 상품 배치를 다르게 하는 것은 규제 대상이 아닙니다. 그러나, 검색 서비스를 제공하면서 특정 인종에게 차별적인 컨텐츠나 광고를 우선 배치한다면 이는 규제 대상으로 볼 수 있습니다.

특히, 타겟이 되는 정보주체의 취약성을 판단함에 있어 일반적으로는 개인에게 영향이 거의 없더라도 특정 취약 계층이나 특정 소수 집단, 특정 유형의 사람에게는 영향을 미칠 수 있다는 점에 주의해야 합니다.”

– 우리 기업을 위한 유럽 일반 개인정보보호법(GDPR) 1차 가이드라인(2017), 한국인터넷진흥원·행정안전부

지난 2015년 구글 포토 서비스가 흑인의 사진을 ‘고릴라’로 자동 분류했던 사건이 떠오릅니다. 만약 GDPR가 적용되던 시점에 이 사건이 발생했다면 어땠을까요?

IT매체 <테크크런치>는 “데이터 컨트롤러(데이터 수집·처리하는 주체)에게는 오류, 편견 및 차별을 방지하기 위한 조치를 취할 의무가 있다. 알고리즘에 대한 책임이 있다”라며 “AI 처리 과정이 불공평하고 위해하다고 판단되면 수동으로라도 일정 수준의 보호를 제공해야 한다”고 말했습니다.

◇ 규제 아닌 활용이 주목적

GDPR에 기업들이 촉각을 곤두세우고 있는 이유는 간단합니다. 과징금이 상당하기 때문이죠.

GDPR 규정을 심각하게 위반하면 기업 계열사 전체 연매출의 4% 또는 2천만유로의 과징금을 물 수 있습니다. 최소 벌금액은 200억-300억원 수준이라고 하니 강력한 제재라고 할 만 합니다. 법안 내용에 따라 기업은 GDPR를 관리할 수 있는 데이터 보호 관리자(DPO)를 의무적으로 지정하게 될 수도 있습니다.

물론 큰 변화가 발생하는 것입니다만 그렇다고 겁 먹을 필요는 없습니다. 지금까지 개인정보를 가둬놓고 ‘이렇게 관리해야 해’라며 규제했다면, GDPR는 엄격한 규칙이 존재하지만 ‘이것만 지키면 개인정보를 마음 놓고 쓰라’는 입장이기 때문이죠.

EU 전역에서 공통적으로 통용되는 거버넌스가 형성되는 만큼 사업자들의 편의성과 자유도도 증가한다고 볼 수 있습니다.

일례로 ‘원스톱 숍’ 매커니즘을 볼까요? 사업자가 EU에 여러 사업장을 두는 경우에는 주 사업장이 위치한 지역 감독기관의 감독을 받게 됩니다. 이 나라, 저 나라 규제기관에서 중복 규제를 받는 것을 막기 위한 효율적인 조치죠. 박지호 한국마이크로소프트 기업고객 사업본부 부장은 “만약 프랑스에서 GDPR 규제에 따랐으면 독일로 사업 영역을 확장해도 공통 거버넌스라 새로 규제 받지 않아도 되고 데이터를 쉽게 주고 받을 수 있다”라고 설명했습니다.

새로운 시장이 형성되고 산업 규모가 커지는 만큼 촘촘한 규칙이 바탕에 있어야 건강한 생태계가 만들어질 수 있을 겁니다. 박지호 부장은 “EU는 4차산업혁명을 선도하기 위해 GDPR를 제정했다. GDPR는 규제를 목적으로 하는 게 아니라 활용을 목적으로 나온 법이다”라며 “국내도 유사한 환경을 만드는 게 중요하다”고 강조했습니다.

  • 참고자료 – 우리 기업을 위한 유럽 일반 개인정보보호법(GDPR) 1차 가이드라인(2017), 한국인터넷진흥원·행정안전부
네티즌의견(총 0개)