[법무법인 민후] 빅데이터의 산업적 효용성과 활용을 가로막는 장벽

빅데이터의 산업적 효용성과 활용을

가로막는 장벽 법무법인 민후 김경환 변호사

미래가 선택한 로펌 | 법무법인 민후 www.minwho.kr

2

1. 빅데이터의 의미 및 현황

2. 빅데이터의 미래

3. 빅데이터의 장벽

4. 모호한 개인정보의 정의 규정

5. 비식별화정보의 법적 취급

6. 명시적 동의

7. 형식적인 목적제한성

8. Honest Broker의 필요성

9. 결어 (바람직한 입법 개선 방향)

목차

빅데이터(Big Data)란? 기존의 정보처리방식으로 저장, 관리, 분석을 하기 어려운 새로운 형태의 데이터

빅데이터(Big Data)의 3V?


빅데이터의 개념

3

Volume

대용량성

Velocity

빠른 속도

Variety

다양성



빅데이터의 성장 원인

4

소셜미디어

데이터 & IoT

공공데이터

개방

검색엔진

OPEN API

데이터

컴퓨팅 기술의 발전으로 데이터 처리 능력 및 분석 기술의 발전

빅데이터의 원천인 각종 데이터들의 생성


이미지

Google 독감트렌드

이미지


빅데이터 다양한 활용 사례 (해외)

5

검색 빈도, 검색 위치 등을 분석,

미국질병통계예방센터(CDC)보다

2주 먼저 독감확산 예측!



6

인공지능 바둑기사,

AlphaGo

빅데이터 다양한 활용 사례 (해외)

프로바둑 기사들의 대국 기보 약

3,000만 건을 입력한 뒤, 가장 확률

이 높은 수를 선택하는 방식의 딥러

닝 인공지능!



빅데이터 다양한 활용 사례 (국내)

7

서울시 심야버스 노선

서울시가 국내 통신사와 업무협약을

체결하고 1개월 분 통화데이터인 30

억 건의 빅데이터를 제공받아, 심야

교통수요가 어디 있는지를 분석하여

심야버스 노선을 성공적으로 수립!



빅데이터의 예시

8

출처 : 마경근, 빅데이터로 분석한 서울시 교통사고 패턴과 대응




9





10





11




빅데이터 시장 성장 규모 예측 – 약 98조 원에 달하는 거대 시장으로 발전!

12

빅데이터 시장 예측, 출처: Wikibon 2015

2. 빅데이터의 미래


통계로 살펴보는 빅데이터의 장벽

13


출처 : 정보화진흥원,

2015년 BIGDATA 시장현황조사


통계로 살펴보는 빅데이터의 장벽

14


출처 : 정보화진흥원,

2015년 BIGDATA 시장현황조사


개인정보법의 관점에서 살펴본 빅데이터의 장벽

15


모호한 개인정보의 정의 규정

비식별화 정보의 법적 취급

명시적 동의

형식적인 목적제한성

Honest Broker의 필요성


개인정보의 정의(국내)

16


개인정보

살아있는

개인

특정 개인

관련성

정보의

임의성

식별

가능성

｢개인정보 보호법｣ 제2조 제1호

"개인정보"란 살아 있는 개인에 관한 정

보로서 성명, 주민등록번호 및 영상 등

을 통하여 개인을 알아볼 수 있는 정보

(해당 정보만으로는 특정 개인을 알아

볼 수 없더라도 다른 정보와 쉽게 결합

하여 알아볼 수 있는 것을 포함한다)를

말한다.


17

Article 4. (1) 'personal data' means any information relating to an identified or identifiable

natural person 'data subject'; an identifiable person is one who can be identified, directly

or indirectly, in particular by reference to an identifier such as a name, an identification

number, location data, online identifier or to one or more factors specific to the physical,

physiological, genetic, mental, economic, cultural or social identity of that person.

개인정보는 식별된 또는 식별할 수 있는 개인(정보주체)에 관한 모든 정보를 의미한다. 식별할 수 있

는 개인이란 특히 이름, 식별번호, 위치정보, 온라인식별자와 같은 식별자(identifier) 또는 그 사람의

물리적ㆍ심리적ㆍ유전적ㆍ정신적ㆍ경제적ㆍ문화적ㆍ사회적인 정체성(identity)에 특정된 하나 이상

의 요소를 참조하여 직접 또는 간접으로(directly or indirectly) 식별될 수 있는 자를 의미한다.

「General Data Protection Regulation, 2016(최종안)」 개인정보의 정의



「EU 제29조 작업반 해설서」 에 따른 개인정보의 보호범위(판단기준)

18

III. ANALYSIS OF THE DEFINITION OF “PERSONAL DATA” ACCORDING TO THE DATA PROTE

CTION DIRECTIVE

3. THIRD ELEMENT: “IDENTIFIED OR IDENTIFIABLE”[NATURAL PERSON]

Means to identify – “ to determine whether a person is identifiable, account should be taken

of all the means likely reasonably to be used either by the controller or by any other person

to identify the said person”

“개인이 식별가능한지 여부를 결정하기 위해서는, 개인을 식별하기 위해 개인정보처리자 또는 제3자

에 의해 사용되는 합리적으로 가능하다고 생각되는 모든 수단을 고려하여야 한다.”



「EU 제29조 작업반 해설서」 에 따른 개인정보의 보호범위(판단기준)

19

합리적으로 식별할 수 있는?

- 개인정보처리자 또는 정보주체 외 사람 중 하나가

- 합리적으로 가능한 모든 수단을 이용하여

- 정보주체를 구별할 구체적인 가능성을 취득하는 경우

구체적ㆍ현실적 식별가능성이 존재해야만 보호받는 개인정보!



해결방안

20

현행은 ‘정의 = 보호범위’로 보는 경향이 있음

정의와 보호범위의 2단계 접근이 타당 (‘정의 >> 보호범위’)

예) 공개된 개인정보에 대한 대법원 판례 (대법원 2016. 8. 17. 선고 2014다235080 판결)


개인정보와 비개인정보의 중간 지점에 있는 정보

- 빅데이터 활용에 큰 원천이 되는 정보

- 개인정보로 취급해야 하는지 여부

5.비식별화정보의 법적 취급


비식별화정보의 법적 취급의 문제

21

개인정보


식별가능한(Identifiable)의 의미

22

‘식별가능한’의

개념 요소

추론성

(Inference)

연결성 (Linkability)

단일성 (Single-out)



비식별화정보의 법적 취급의 문제

23


Personal Data

Pseudonymous Data

Anonymous Data

De-identification

단일성, 연결성,

추론성 : O

단일성: O

연결성, 추론성: X

단일성, 연결성,

추론성: X

Pseudonymisation is not a method of

anonymisation. It merely reduces the

linkability of a dataset with the original

identity of a data subject, and is accordingly

a useful security measure.

Anonymisation can be a result of

processing personal data with the aim of

irreversibly preventing identification of the

data

Pseudonymisation :

Single out, NOT linkable

Anonymisation :

Irreversible, Unidentifiable


「EU 제29조 작업반 의견서」의 Pseudonymous data, Anonymous data의 정의

24


법적 지위


25

국내 : 개인을 식별할 수 있는 정보가 포함되어 있는 경우, 개인정보

EU : Pseudonymous data(단일성 존재, 연결성 감소) => 개인정보성 인정

Anonymous data(단일성, 연결성 부존재) => 개인정보성 불인정

일본 : 익명가공정보의 개인정보성 불인정

미국 : 개별법 체계, EU보다 개인정보를 좁게 해석하여 기업 자율성 강조


해결방안


26

보호와 활용의 조화 → Pseudonymous data에 대한 활용을 증대

Pseudonymous data가 개인정보 또는 비개인정보인지 여부는 중요하지 않음



6. 명시적 동의 : 동의의 법적 지위 (국내) 27

정보주체의 동의의 원칙 (국내)

동의의 정의 규정은 부존재

명시적 사전 동의로 해석

빅데이터 활용을 위한 정보가 개인정보에 해당한다면, 개인정보보호법상 원칙적으로

정보주체의 동의를 얻어야 함!

개인의 동의를 ‘명시적 동의’로 해석하는 현행 제도 하에서는 빅데이터의 활용이 전면적

으로 차단될 수 있는 문제점


28

「EU 개인정보보호일반법(GDPR, 2016)」 동의의 개념

2012년 GDPR 초안

Article 4 (8) 'the data subject's consent'

means any freely given specific,

informed and explicit indication of his

or her wishes by which the data subject,

either by a statement or bya clear

affirmative action, signifies agreement

to personal data relating to them being

processed

2016년 GDPR 최종안

Article 4 (8) 'the data subject's consent'

means any freely given specific,

informed and unambiguous indication

of his or her wishes by which the data

subject, either by a statement or bya

clear affirmative action, signifies

agreement to personal data relating to

them being processed

6. 명시적 동의 : 동의의 법적 지위 (EU)

해결방안


29

명시적이라는 형식보다는 정보주체의 실질적 의사가 중요

정보주체의 의사가 ‘명백’하다면 묵시적 동의라도 허용

6. 명시적 동의


30

「EU 개인정보보호일반법(GDPR, 2016)」 Article 5 1. (b) 관련

2012년 GDPR 초안

Article 5 1. Personal data must be:

(b) collected for specified, explicit and

legitimate purposes and not further

processed in a way incompatible with

those purposes;

2016년 GDPR 최종안

Article 5 1. Personal data must be:

(b) collected for specified, explicit and

legitimate purposes and not further

processed in away incompatible with those

purposes; further processing of personal data

for archiving purposes in the public interest,

or scientific and historical research purposes

or statistical purposes shall, in accordance

with Article 83(1), not be considered

incompatible with the initial purposes;



31

「EU 개인정보보호일반법(GDPR, 2016)」 Article 6. 4. 관련

GDPR 최종안 제6조(처리의 적법성)에서는 추가처리의 목적이 정보가 최초로 수집되는

목적에 부합하는지 확인하기 위해 각 호 사항을 고려해야 한다는 내용의 규정을 신설

(a) 정보가 수집된 목적과 예정된 추가처리 목적의 연관성.

(b) 정보가 수집된 맥락.

(c) 개인정보의 성질. 특히 9조에 따라 특수범주에 속하는 개인정보의 처리 여부.

(d) 예정된 추가처리가 정보주체에 초래할 수 있는 결과.

(e) 적절한 보호수단의 존재.

실질적인 해석을 통해 사용 목적의 축소 또는 확장 수단으로 해석 가능!



8. Honest Broker의 필요성 32

비식별화 정보의 공유, 조합, 제공시 정보주체의 동의 필요

Honest Broker에 의한 비식별화 정보의 취급

조합, 재식별화, 제공 등의 역할을 수행

비식별화 정보의 엄격한 관리와 개인정보 활용의 조화


9. 결어 (바람직한 입법 개선 방향) 33

모호한 개인정보의 정의 규정 → 정의 수정이 아닌 보호범위의 도출

비식별화 정보의 법적 취급 → 중간 영역 정보의 활용

명시적 동의 → 의사의 명백성이 더 중요

형식적인 목적제한성 → 실질적인 목적제한성(확대 또는 축소)

Honest Broker 제도의 도입


34

감사합니다.

참고자료 : 최민정,이혜윤(법무법인 민후), 빅데이터 법적 규제와 실현방안 [제1회 민후 신기술 경영과 법 컨퍼런스]

[email protected]

[법무법인 민후] 빅데이터의 산업적 효용성과 활용을 가로막는 장벽

Law