홈 > Privacy Guide >Privacy 컬럼
제목 고객 신뢰 확보! 개인정보의 안전한 활용을 위한 첫 단추
닉네임 배상호 작성일 2018-05-17 오전 10:36:51 인기도

고객 신뢰 확보! 개인정보의 안전한 활용을 위한 첫 단추



초연결사회, 4차산업혁명, 요즘 우리가 너무나 많이 듣고 있는 말이다. 4차산업혁명은 빅데이터, 클라우드, 인공지능(AI), 사물인터넷(IoT), 자율주행자동차 등 획기적으로 발달한 정보통신기술과 산업이 융복합되어 혁신적인 서비스의 변화가 나타나는 것을 말하며, 이를 위해서는 필수적으로 데이터가 필요하다. 이에 현재 우리 사회를 데이터가 기반이 되는 사회 즉 데이터 기반사회라고도 한다.


이와 같은 사회적 변화에 따라 기업 등 산업계에서는 좀 더 쉽고 효율적인 데이터의 활용을 적극적으로 요구하고 있다. IDC가 발표한 ‘디지털 유니버스 보고서(IDC Digital Universe Study)’에 따르면 2011년 전 세계에서 생성되는 디지털 정보량은 2011년 1.8ZB(제타바이트, 1제타바이트는 1조 기가바이트)에 달하며, 이 중 개인정보의 비중은 75%를 차지하고 있다.

 

 

기업 등 개인정보처리자는 데이터 활용의 가장 큰 애로사항으로 개인정보 보호 규제를 꼽고 있으며, 빅데이터 등 4차산업혁명을 위해 개인정보의 다양한 활용을 요구하고 있다. 이에 정부는 신산업의 활성화를 위해 행정안전부와 방송통신위원회 등 6개 부처가 합동으로 ‘개인정보 비식별 조치 가이드라인(2016.6)을 제정하였다. 그러나 이 가이드라인은 법적 구속력이 없고, 비식별 기준이 높아 데이터 분석의 유용성이 떨어지며, 비식별 조치된 정보가 익명정보인지 가명정보인지에 대한 논란이 있는 등의 문제가 끊임없이 제기되어 왔다. 또한, 시민사회단체가 데이터 결합 관련 4개 전문기관과 20여 개 기업을 개인정보 보호법 위반으로 고발(2017.11)함으로써 현재 산업계에서 개인정보 활용을 위한 비식별 조치는 잠정적으로 중단된 상태이다.

 

 

이러한 상황과 기업 등 개인정보처리자의 다양한 개인정보 활용 요구를 해소하기 위해 정부와 국회의 개인정보 정책은 기존 ‘보호’ 중심에서 ‘안전한 활용’ 또는 ‘활용과 보호의 조화(균형)’ 중심으로 변화하고 있다.

정부는 정보주체의 자기정보 통제권 신설 개헌안을 발의(2018.3)하였고, 4차산업특별위원회는 시민사회단체, 산업계, 정부와 전문가 등이 참여한 해커톤을 개최하여 개인정보와 가명정보 및 익명정보의 개념을 명확히 하고 가명정보의 활용범위를 공익목적의 기록보존, 학술연구, 통계(상업적 목적 포함) 목적으로 하고, 익명정보의 처리 기준을 마련하는 등의 내용 합의를 도출하였다.

 


또한, 제20대 국회는 진선미 의원, 변재일 의원, 오세정 의원이 프로파일링 정지, 자동화된 의사결정을 받지 않을 권리 등 정보주체의 권리를 강화하고, 익명정보와 가명정보를 정의하고 가명정보의 활용에 대한 법적 근거를 마련하고, 개인정보 보호 관련 유사 중복 법 규정의 통합 등을 내용으로 하는 개인정보 보호법 개정안을 발의하였다.

이러한 흐름에 맞춰 개인정보 정책의 콘트롤타워인 개인정보보호위원회는 개헌안과 국회의 입법 및 해커톤 합의 등을 지지하고 있으며, 개인정보의 안전한 활용을 위해 개인정보의 추가 처리목적이 애초 수집목적과 상충하지 아니하는 목적일 경우 이용과 제3자 제공이 가능하도록 개인정보 제공 사유에 개인정보처리자의 정당한 이익을 추가하여 활용의 폭을 넓히고, 형벌을 최소화하는 대신 과태료 및 과징금을 대폭 상향하여 기업의 책임을 강화할 필요가 있다고 보고 있다.

 

 

한편, 기업 등 개인정보처리자의 개인정보 활용 요구 증대와 정부 및 국회의 개인정보 정책변화에도 불구하고 기업 등 개인정보처리자의 개인정보 유출이나 침해는 지속해서 증가하고 있다. 행정안전부에 따르면 2012년부터 2017년까지 6년 동안 총 2,254개소를 점검하여 이 중 1,555개소를 법령 위반으로 처분하여 법령 위반율이 평균 69%에 이르고 있다. 또한, KISA의 개인정보 침해신고센터 상담접수 현황도 연평균 10만 건을 넘기고 있으며, 개인정보분쟁조정위원회의 분쟁조정사건도 2015년 134건에서 2017년 291건으로 대폭으로 증가하고 있는 것을 볼 때 우리 기업 등 개인정보처리자는 개인정보 활용 요구에 앞서 좀 더 고객의 개인정보 보호에 치중할 필요가 있다.

 

 

필자는 기업 등 개인정보처리자가 고객의 개인정보를 수집 이용하고 보호하는 등 개인정보의 원활한 활용을 위해서는 고객인 정보주체와 기업 등 개인정보처리자 간 서로 믿고 이해하는 신뢰 형성이 가장 중요하다고 본다. 우리 사회에서 기업 등 개인정보처리자의 개인정보 처리에 있어 고객인 정보주체는 기업을 전혀 신뢰하고 있지 않다고 생각한다. 이러한 상태가 지속함으로 말미암아 기업 등 개인정보처리자의 개인정보 활용에 대해 정보주체와 시민사회단체에서는 불신하고 비협조적일 수밖에 없으며, 개인정보 활용 요구에 대한 적극적인 수용은 보류될 수밖에 없다.

 

 

이에 필자는 기업 등 개인정보처리자가 개인정보 처리에 대해 정보주체의 신뢰를 받는 방안으로 다음 5가지를 제시한다.



첫째, 개인정보 처리를 함에 있어 PbD(Privacy by Design/Default)제도와 개인정보 영향평가 제도를 도입하여 개인정보 처리에 사전 예방조치를 시행할 필요가 있다. 기업 등 개인정보처리자는 정책이나 서비스를 개발하여 고객에게 제공하면서 그 정책이나 서비스의 설계 시점부터 종료 때까지 전 구간에 고객의 개인정보 처리에 대한 PbD 개념을 적용하여 정보주체의 권리를 침해할 다양한 위험요소를 예방하여야 한다. 또한, 개인정보를 처리할 때 개인의 권리와 개인정보 보호에 미치는 영향을 평가하는 개인정보 영향평가를 정책이나 서비스를 계획하는 단계에서 실시하는 “사전 영향평가”와 해당 정책이나 서비스를 본격적으로 제공하는 단계에서 실시하는 “본 영향평가” 등으로 2단계의 개인정보 영향평가를 시행할 필요가 있다. 참고로 필자가 2016년 상반기에 영향평가기관들이 2011년부터 2015년까지 기업 등 민간분야에 대해 수행한 개인정보 영향평가 현황을 조사한 결과, 무척이나 아쉽게도 4년여 동안 8개 기업에서만 실시한 것으로 조사되었다. 이는 현행법에서 공공기관 이외는 의무가 아닌 자율(적극 노력?)로 규정되어 있어 어느 기업도 이를 중요하게 생각하지 않고 있는 것으로 보인다. 비록 법적 의무사항이 아니라 하더라도 개인정보보호를 위해 기업이 스스로 시행한다면 이는 진정한 자율규제의 발걸음이 될 것으로 생각한다.

 

 

둘째, 개인정보 처리에 대한 투명성을 높여야 한다. 현재 기업 등 개인정보처리자는 개인정보 처리 동의를 받으면서 새로운 서비스(?) 개발, 연구(?) 등 그 처리목적을 포괄적으로 받고 있는데 이를 보다 알기 쉽고 구체적이며 명확하게 그 처리목적을 제시하여 동의를 받아야 한다. 또한, 내 정보가 언제 어디서 어떻게 쓰이고 있는지를 정보주체는 알 길이 없어 신뢰성을 더욱더 악화시키고 있으므로 개인정보의 구체적인 처리내용 공개시스템을 구축하여 정보주체에게 개인정보 이용‧제공 등의 처리현황을 언제든지 적극적으로 공개하여야 한다. 그리고 제품의 안전성에 대한 다양한 검증과 홍보를 하고 있듯이 기업 등 개인정보처리자는 앞서 제시한 개인정보 영향평가 결과 등 자신들이 개인정보 보호를 위하여 시행하고 있는 안전조치를 공개하여 고객으로부터 안전성에 대한 신뢰를 높여야 한다.

 

 

셋째, 임직원에 대한 개인정보 보호 의식제고와 생활화를 위한 주기적인 교육과 평가 및 그 결과의 인사반영이 필요하다. 기업 등 개인정보처리자의 개인정보 보호체계는 잘 구축되어 있으나, 행정안전부의 개인정보 점검실태나 개인정보분쟁조정위원회의 분쟁조정 사례를 보면 대부분 실무 취급자의 잘못된 개인정보 처리로 끊임없는 개인정보 침해에 대한 분쟁이 발생하고 있어 이에 대한 주기적인 교육과 평가 등으로 개인정보 보호 의식을 고취할 필요가 크다.

 

 

넷째, 정보주체의 권리를 더욱 쉽고 철저하게 보장하여야 한다. 우리나라는 세계 최정상의 정보통신 국가임에도 불구하고 기업 등 개인정보처리자의 홈페이지 등 현행 시스템에는 정보주체의 권리 요청절차나 방법 등이 대부분 없으며, 있어도 쉽게 되어 있지 않다. 그리고 개인정보 처리방침에 따라 개인정보 보호책임자와 담당자가 지정되어 있음에도 연락처가 개인정보와 무관하거나 잘 모르는 상담실로 되어 있어 제대로 된 상담 등을 할 수 없는 실정이다. 필자는 2014년도에 우리나라에서 최고에 속하는 몇몇 기업의 지점(지사)을 찾아가 필자의 개인정보 이용내용 열람신청을 하였으나 열람신청 제도를 정확히 알고 있는 곳이 없어 한 곳당 1시간 이상을 얘기한 후에나 열람신청을 한 큰 불편을 겪고 기업이 정보주체의 권리보장을 등한시하고 있다고 생각한 경험이 있다. 따라서 기업 등 개인정보처리자는 동의내용과 이용내용에 대한 열람, 정정‧삭제, 처리정지 등 정보주체의 권리를 개인정보의 수집보다 더 쉽게 요청받고 처리해 주는 시스템을 구축하여 고객인 정보주체의 신뢰도를 높일 필요가 있다.

 

 

마지막으로 기업 등 개인정보처리자가 수집‧이용하고 있는 개인정보에 대한 주체(주인)가 고객인 개인이라는 것을 자각하여야 한다. 대다수의 기업 등 개인정보처리자는 정보주체나 제3자 등으로부터 개인정보를 수집 받은 때부터 해당 개인정보는 고객인 정보주체가 아닌 자신 즉 기업 등 개인정보처리자의 것이라는 잘못된 생각을 하고 있다. 개인정보 보호법의 입법 취지와 EU의 GDPR 등을 살펴보면 개인정보의 주체는 개인정보처리자가 아닌 개인 즉 정보주체임을 나타내고 있으므로 기업 등 개인정보처리자는 이 사실을 반드시 숙지하고 개인정보를 처리하여야 한다.

 

 

앞으로 우리나라도 개인정보의 활용범위가 확대되고 개인정보 이전권과 마이데이터 등의 제도가 머지않아 정착될 것으로 보인다. 이때를 대비하기 위해서라도 기업 등 개인정보처리자는 필자가 제시한 방안보다 더 나은 신뢰성 제고 방안을 마련하여 정보주체인 고객과의 신뢰성을 확보하고 개인정보의 안전한 활용에 최선을 다해 주기를 필자는 희망한다.





 


배상호 과장 / 개인정보보호위원회 심의처리과

파일
 
 
번호 제목 작성자 작성일 인기도 파일
  220   놓치기 쉬운 단계별 실무자 정보..   박철광   2018-09-19  
   
  219   본인확인기관, 더 단단한 잠금장..   장석은   2018-08-10  
   
  218   남북화해 시대의 개인정보보호   박종섭   2018-07-11  
   
  217   다가온 GDPR, 우리에게 어떤 영..   정아름   2018-07-06  
   
  216   4차산업혁명의 시대, 차세대 보안..   윤혜정   2018-06-04  
   
    고객 신뢰 확보! 개인정보의 안전..   배상호   2018-05-17  
   
  214   반보만 더 빨리 가줬으면 하는 변..   정찬규   2018-05-11  
   
  213   인공지능(AI)발전을 위한 개인정..   조진호   2018-05-11  
   
  212   개인정보보호 교육, 어떻게 무엇..   신용석   2018-04-16  
   
  211   기업의 효과적인 개인정보 관리 ..   김재용   2018-04-05  
   
  1   2   3   4   5   6   7   8   9   10