기술이 빠른 속도로 발전함에 따라, 우리가 살고 있는 현대 정보화 사회에서 정보는 빠르게 유통되고 있습니다. 개인정보 또한 신기술의 발달로 다양한 종류로 발전되고 있는데요. 바이오 정보, RFID, 위치 정보 등이 대표적입니다.
이렇게 다양한 개인정보는 기존 개인의 단순한 확인 용도에서 기업의 부가가치를 창출할 수 있는 핵심자원의 단계까지 발전되었는데요. 최근, 개인정보 유출에 의한 침해 사례가 급증하고 있어, 개인정보의 안전한 관리는 그 어느 때보다 중요한 화두가 되었습니다.
이번 편에서는 개인정보에 대해 자세히 알아보고, 이를 지키기 위한 우리나라의 개인정보보호법 알아보고자 합니다. 더 나아가 이제는 하나의 생활권이 되어 있는 다른 나라들의 개인정보보호에 대한 개념은 어떤지, 어떤 법들이 있는지에 대해서 간단히 정리해 보고자 합니다.
다만, 이 글에서 다루는 해외의 법에 대해서는 공식적인 정의와 함께 일반적인 경향과 해석을 이야기하고 있으므로, 실제 법적인 다툼에 대해서는 해당하는 국가의 법에 대한 면밀한 검토를 전문 법조인을 통해 받기를 바랍니다.
먼저 우리나라의 개인정보에 대해서 알아보겠습니다
우리나라의 개인정보보호법 제2조 1항에서 정의하는 개인정보란 “살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)”를 말합니다.
한편, 이 개인정보보호법은 일반법이라고 하여 모든 개인정보에 적용이 되며, 각 산업 분야에 적용되는 개별법(특별법)과 구별됩니다. 민간•공공 영역을 모두 포괄하여 법률을 일원화한 것으로 볼 수 있습니다. 법 적용에서는 개별법(특별법)이 일반법에 우선합니다. 따라서 정보통신 분야에서 개인정보를 다루는 기준이 개인정보보호법과 다르다면, 정보통신망법에서 명시한 기준으로 적용을 하면 됩니다.
참고로 우리나라의 개인정보보호법은 “OECD의 프라이버시 보호 및 개인정보의 국가 간 유통에 관한 가이드라인(OECD 프라이버시 가이드라인)”의 8원칙을 핵심요소로 개인정보의 라이프사이클(수집, 이용•제공, 저장, 파기) 체계를 구축하였습니다.
해외 주요국가의 개인정보에 대해서 알아보겠습니다
지금까지 국내의 개인정보의 정의, 종류와 개인정보보호법에 대한 개략적인 내용에 대해서 확인해 보았습니다. 앞으로는 해외 주요국가의 개인정보 정의와 해당 법과 특징적인 내용에 대해서 살펴보도록 하겠습니다.
먼저 주요 국가의 개인정보 정의를 살펴보면 아래와 같습니다.
아래에서는 절대적으로 우리와 뗄 수 없는 주요 교역국이나 주변국 그리고 특별히 개인정보에 대해서 강화된 나라를 기준으로 주요 성향 및 동향을 파악해 보기로 하겠습니다.
① 중국
우리나라 부동의 제1위 수출, 수입국이며, IT, None IT 분야 모두에서 폭발적인 발전을 하고 있고, 최근에는 네트워크안전법의 시행으로 국내 기업에서도 이에 대한 대책을 마련하고 있습니다.
네트워크안전법(网络安全法, People’s Republic of China Network Security Law): 번역에 따라 인터넷 안전법, 인터넷 보안법, 사이버 안전법, 사이버 보안법 네트워크 안전법, 네트워크 보안법 등으로 번역하기도 함. 중국어의 网络는 네트워크, 互联网은 인터넷을 의미하나, 혼재되어 사용되기도 함. 또한, 安全은 안전을 의미하나, 보안으로 번역해도 무방
중국은 별도의 개인정보 관련법이 없었으나, 분산되어 있던 네트워크 보호 및 개인정보 관련 법률로 통합 관리하고자, 네트워크안전법을 2016년 11월 7일 제정하고, 2017년 6월 1일부터 시행을 시작했습니다. 그러나, 아직 체계적이거나 구체적이지 않아, 올해부터 미시적인 법(예. 개인정보보호 및 소셜미디어 안전에 대한 규정 등)이 지속 제정될 것으로 예상됩니다.
1980년대 이후 시장경제를 도입하고 경제적으로 급성장했지만, 그래도 여전히 공산국으로서, 국가보다 우선한다는 유일당인 공산당에 의해 정보와 무역에 대한 모든 통제가 필요하였습니다. 따라서 네트워크안전법의 탄생 배경 또한 네트워크망과 핵심정보 기반시설 통제를 통한 안전한 국가 관리의 목적 외에 폭발적인 인터넷상의 정보의 교류로 인해 당의 목적에 반하는 정보를 통제하기 위함이라는 다른 목적 또한 갖고 있습니다.
기업이 염두에 두어야 할 내용으로, 네트워크안전법에서 규정하고 있는 중요 데이터 중국 내 저장 원칙은 아래와 같습니다.
● 핵심정보 기반시설 사업자는 중국 국내에서 운영 중 수집하고 생성한 개인정보와 중요 업무 데이터를 반드시 중국 국내에 저장
● 업무의 필요에 의해 반드시 해외에서 저장 또는 해외 기관 또는 개인에게 제공해야 할 경우, 국가 네트워크 정보 부처가 국무원의 관련 부처와 함께 제정한 방법에 따라 안전 평가(安全评估)를 진행해야 합니다. 단, 개인정보와 중요 데이터 국외 반출 안전 평가 방법 적용은 세계 각 기업의 반발로 ‘18년 12월로 시행이 유예되었습니다.
-출처: 중국 사이버보안법 시행에 대한 대응(2017 Privacy Global Edge, 중국사회과학원 정승박사
중국 네트워크안전법에 대한 상세한 내용은 기존의 블로그 글을 참조하기 바랍니다.
중국 네트워크 안전법 분석 및 대응방안 ①
http://blog.lgcns.com/1288
중국 네트워크 안전법 분석 및 대응방안 ②
http://blog.lgcns.com/1289
중국 개인정보 안전규범의 강화! 어떻게 준비할까?
http://blog.lgcns.com/1485
② EU
유럽은 나치의 개인정보 오남용으로 인한 유태인 학살 경험 이후 전통적으로 개인정보를 인권적 차원에서 엄격하게 보호하며, 이행이 강제되지 않는 자율규제는 비효과적으로 보고 법률에 의한 규제를 선호합니다.
’18년 5월 25일 시행 예정인 GDPR(General Data Protection)은 개인정보를 보호하고 EU 역내에서의 개인정보의 자유로운 이동을 보장하는 것을 목적으로 제정된 Regulation으로 법적 구속력을 가지며, 28개 회원국에 적용됩니다.
개인정보 처리에 대한 정보 주체의 동의, 법적 근거를 명확히 해야 합니다. 또한, 정보주체의 권리가 강화되며, 우리에게 생소한 개념인 컨트롤러(개인정보취급자-위탁자)와 프로세서(개인정보처리자-수탁자)의 의무사항에 대해서 파악하고, 기업의 책임성 강화를 위한 관리활동의 추가, 개선이 필요합니다. EU 밖으로 이전은 원칙적으로 금지되며, 제3국이 적정한 수준의 개인정보 보호체계(an Adequate level of protection)를 갖춘 경우는 예외로 합니다.
심각한 위반의 경우 전 세계 연간 매출액의 4% 또는 2천만(약 250억) 유로 중 높은 금액, 일반 위반의 경우 전 세계 연간 매출액의 2% 또는 1천만 유로 중 높은 금액을 과징금으로 부과하는 등 강력한 제재가 예상됩니다. EU에 법인을 두거나, EU내 국가와 교류를 하는 기업의 개인정보 담당자라면 좀더 면밀하게 GDPR에 대해 대응 전략을 세워야 합니다. ‘우리 기업을 위한 GDPR 안내서(2017.04)’, KISA 참조 바랍니다.
LG CNS 블로그에 게시 예정인 GDPR 이해 및 사례 관련 글을 기다려 보시고, 참조 하시기 바랍니다.
뒷이야기로 EU에서 개인정보 보호가 기존 Directives에서 Regulation으로 강제화된 데에는 2가지 사건이 배후에 있다고 할 수 있습니다. 하나는 페이스북의 무분별한 개인정보 오남용을 고발한 오스트리아 법대생 막스 슈램스에 의한 미국 IT 공룡과의 재판, 그리고 또 하나는 미국 국가안보국(NSA)에 의한 무분별한 개인정보(국가기밀 사항 포함) 수집을 고발한 에드워드 스노든의 폭로로 인한 Safe-Harbor 협정의 폐지, 이 두 가지가 발단되지 않았을까 조심스레 예상해 봅니다.
③ 미국
개인정보를 잘 활용함으로써 고객에게 더욱 큰 편익을 줄 수 있다고 보고, 개인정보 관련 규제를 최소화하는 경향을 보이고 있습니다. 개인정보보호를 위한 지나친 정부 관여는 정보기술의 발전과 기업체들의 자유로운 경제활동을 저해할 가능성이 크다고 판단하는 것인데요. 즉, 원하지 않는 정보의 공개 등 프라이버시를 침해하지 않는 범위 내에서 개인정보의 수집, 이용, 매매, 타겟마케팅 등은 비교적 용이합니다. 보호 법률이 없더라도 소송이라는 사법제도에 의해 충분히 보호된다는 입장입니다.
미국은 개인의 프라이버시가 정보사회에서 침해될 수 있음을 가장 먼저 인식한 나라로 개인의 프라이버시는 헌법상 권리로 인정되고 있습니다. 복잡한 지리적, 정치적 영향으로 하나의 일반화 된 법을 적용하기가 어려워 포괄적이고 체계적인 하나의 개인정보보호법이 아닌, 개별 법률에 의해 특정 영역의 개인정보를 보호하는, 개별 접근방식을 채택하고 있는데요. 대략 20개 부문의 국가 프라이버시 혹은 데이터 보안법과 이와 관련된 수백 개의 법률이 있습니다.
자율 규제 원칙에 대한 한 예로 옵트아웃 방식을 생각해 볼 수 있습니다. 미국의 개인정보 이용 동의 또는 3자 제공 동의에 대해서 일반적으로 옵트아웃 방식의 선택권을 제공하며, 건강정보, 신용 보고서, 학생 및 13살 미만의 개인정보, 비디오 시청 선택, 정확한 위치 정보, 통신사용 정보 등 민감한 정보는 옵트인 방식이 적용됩니다.
옵트인, 옵트아웃이란?
- 옵트인(Opt-In): Option-In, 체크박스에 체크가 안되어 있는 상태로 개인정보 이용 동의를 위해 사용자가 별도의 체크를 해야 하는 방식으로 정보 주체의 정보 보호를 우선(우리나라, EU)
- 옵트아웃(Opt-Out): Option-Out, 체크박스에 체크가 되어 있는 상태로 개인정보 이용 동의를 위해 별도의 체크가 필요 없으며, 이용 미동의 경우에 체크를 해제하는 방식(미국)
이처럼, 개인정보보호 규정을 상세히 규정한 우리나라나, 엄격한 중앙으로부터의 통제를 시행하는 EU와 달리 미국의 자율규제는 각각의 장단점을 갖습니다. 우리나라나 EU는 명확한 규정, 강제력, 구체적인 가이드 제공으로 참여 효과가 상승하는 반면, 빠른 기술의 변화에 유연하지 못한 단점이 있습니다. 미국은 이익달성을 위한 기업의 자발적 참여와 새로운 이슈에 대한 빠른 기술 대응의 장점과 강제력의 결여로 기업의 탈선 우려와 전문기술 및 노하우 공유의 어려움 등의 단점이 존재합니다.
또한, 엄격한 프라이버시 관리의 EU와 자유로운 프라이버시 관리의 EU-미국 간의 규제 차이로 양 당사자 간에는 2000년 Safe-Harbor 협정을 체결하여 개인정보 이전을 가능하게 하였습니다. EU는 자국민 데이터의 유럽 외부 반출을 금하고 있지만, 이 Safe-Harbor 협정으로 미국에 특별한 혜택을 부여했습니다.
그러나 2013년 에드워드 스노든 전 미 중앙정보국(CIA) 직원이 미 국가안보국(NSA) 무차별적인 개인정보 수집을 폭로하면서 문제가 제기되었고 EU 최고법원 유럽사법재판소(ECJ)는 2015년 10월 Safe-Harbor 협정은 EU 시민의 프라이버시 권리를 충분히 보호하지 못한다며 무효라고 판결, 양측은 새 협정 협상을 벌였고 2016년 8월 Privacy Shield가 적용되었습니다.
④ 일본
일본의 초기 개인정보보호법은 2005년 4월 1일부터 시행되고 있는데, 이후 전면적인 개선 작업이 2015년 9월 3일 완료되어, 2017년 전면적으로 시행이 되고 있습니다.
미국의 개인정보보호법이라 할 수 있는 프라이버시법은 공공정보에 대한 규율이며, 우리나라가 민간, 공공분야 모두를 규율 하는 데 반해, 일본의 개인정보보호법은 민간 분야만을 규율하고 있습니다. 일본의 공공 분야에 대하여는 ‘행정기관이 보유하는 개인정보보호법’, ‘독립행정법인 등이 보유하는 개인정보보호법’이 별도로 제정되어 관리되고 있습니다.
이번에 개정된 일본의 개인정보보호법은 변화하는 IT 환경에 발맞추고 데이터의 활용을 촉진하고자 규제를 완화했습니다. 해외 여러 나라, 특히 EU와의 국제적 조화를 위하여 필요한 개인정보(민감정보)의 도입 등 보호 수준을 올리는 규제강화 조치도 동시에 이루어졌습니다. 특히, 규제 완화는 이용가치가 높은 개인정보에 대한 ‘활용의 벽’을 제거함으로써 신산업•신서비스를 창출한다는 의미입니다.
즉, 빅데이터로 대표되는 데이터의 활용 방안을 촉진하고자 ‘익명 가공정보’ 개념의 도입 등의 조처를 취하여 정부 차원의 규제 완화에 발 빠른 대응을 하고 있다는 것을 알 수 있습니다.
마치며
지금까지 간략하게나마 해외 국가의 개인정보와 해당 정보를 다루는 법에 대해서 알아보았습니다. 상세하게 다루지는 않았지만, 대부분의 국가는 해당 법과 하위 규정들을 통해, 위에서 언급된 OECD 프라이버시 가이드라인 8원칙에 충실하게 개인정보 수집하고, 안전하게 관리하고자 하며, 책임의 원칙을 지키려는 노력을 통해 자국민의 프라이버시 보호 및 자국의 산업을 보호하고 있습니다.
위에서 살펴본 바와 같이 중국, EU 그리고 기타 많은 나라에서 자국의 정보와 자국민의 개인정보를 보호하기 위한 노력으로 해외 이전 금지 또는 이전을 위한 높은 수준의 개인정보 보호를 요구하고 있습니다.
국가마다 사회, 경제, 정치, 문화, 외교적으로 처한 상황이 모두 다르고, 이러한 상황은 계속적으로 빠르고 복잡하게 변하고 있습니다. 해외와 교류하는 기업이라면 상대국에 대한 이러한 상황에 대해서는 지속적으로 판단을 하고 미리 대비를 해 나가야 하며, 그 활동은 당연히 개인의 의사에 맞게 개인정보가 활용되고, 무분별하게 공유되지 않도록 노력하고, 안전하게 관리하려는 마인드를 충실히 이행해 나가면 될 것으로 판단됩니다.
글 ㅣ LG CNS 보안컨설팅팀