빅데이터, AI시대개인정보의 안전한 활용을 위한법제도개선과제 토론문

빅데이터 시대 개인정보의 안전한 활용을 사전규제하는 것은 불가능일정한 위험은 감수하고 지나친 이용을 시정조치하는 방향으로 가야

2017. 7. 5

구태언 개인정보보호위원(2014-2017)

1

IoT시대개인화 서비스의 범람

2

대통령 공약에 모순점 ? – 일자리 창출과 개인정보보호 강화

개인정보자기결정권의 강화로 빅데이터/인공지능 산업의 활성화 곤란 상태 지속 우려

□ 미국아마존은 전미슈퍼마켓체인홀푸드를 13.7 B에인수해세상을 깜짝놀라게함

□ 전통시장을지지하는 법률제도와방향성을 잡지못하고갈팡질팡하는 정부를갖고 있는우리 디지털기업들은글로벌 경쟁력을잃고있음

□ 조선, 철강, 해운산업의침체는 이제플랜트산업으로대표되는 제조업의경쟁력은이미 지고있다는 반증

□ 대통령의공약 속에일자리 창출은혁신기업들이많이 성공해야가능할것인데혁신산업은 전통산업과충돌하며 규제의걸림돌속에 날아오르지못하고있음

□ 정부는개인정보보호 자기결정권을강화하기 위해수집항목과수집이용목적을세분화하여 정보주체가스스로 사전동의권을행사하도록할 예정

3

디지털마켓과 플랫폼

재화와 서비스가 인터넷과 디지털 기술을 통해 플랫폼에서 유통되는 시장

□ 전통시장과대비되는 개념으로재화와 서비스의공급자와소비자를 온라인서비스와디지털 기술로연결해주는 시장

□ 온라인에특화된 서비스의공급도 포함하나, 디지털 기술의중개를 통해오프라인의재화와 서비스의공급을 가능하게하는시장

□ 디지털시장에서 중요한것은 재화와서비스의공급자와 소비자가만나는플랫폼의장악

□ 글로벌기업들은 검색서비스, 소셜네트워킹 서비스, 메신저서비스, VR서비스, 인공지능서비스 등다양한플랫폼을 통해소비자를 모이게하고그들로부터데이터를 입수하여소비자의 행태를예측하고맞춤형 서비스를선제적으로제공함으로써 소비자를장악

□ 전통시장을지지하는 법률제도와정부를 갖고있는우리 혁신기업들은디지털시장의 혜택을보지 못하고, 현행법위반 또는정부의 금지속에경쟁력을잃고 있음

플랫폼산업간 글로벌 경쟁

글로벌기업들은 플랫폼을지배하기 위해무한경쟁을 펼치고있음

□ 플랫폼에대한 관심을 2007년 이후폭발적으로증가하고 있음 – 구글트렌즈(Google Trends)에서 ‘platform’ 이라는 키워드를검색하면언론에 기사화된빈도가2007년 후반부터급증했음을알 수있음

□ 인터넷혁명을 주도하는 4인방(Gang of Four)의 변화

□ 마이크로소프트, 인텔, 시스코, 델 -> 구글, 애플, 아마존, 페이스북

□ 에릭슈미트(전 Google CEO) – “구글, 애플, 아마존, 페이스북이들이 IT 세계를 지배할수 있었던이유는 플랫폼을지배하고있기 때문이다”

EU – Digital Single Market 정책

미국, 중국거대기업과경제전쟁을벌이는 EU의고육지책

• 디지털경제를장악한미국기업들을이기기위해서는자국기업과경제의디지털화가급선무 – 플랫폼산업을키우기위함

• 개인정보보호통일규제(GDPR)를통해

- 내부적으로는원활한경제교역을달성하고,

- 외부적으로는글로벌디지털기업들이 EU내에서사업하기곤란하게방해

• 자국시장을디지털시장으로바꾸기위해서는

• 규제(Regulation) 장벽의철폐를핵심사항으로파악

• 규제장벽은모든물품과서비스가온라인으로유통되는것을방해

• 규제는전통산업의기득권의반영이지미래세대를위해만들어진것이아님

• 전통산업은법률을무기로혁신가(Innovator)들의등장을방해

• EU는수출입국을하려는우리나라에게는 Global Standard가아님

국가정보화 20년 – 통신망고도화에 집중 / 인터넷신산업은 2013년부터 등장

20년동안 IT부처는 통신망 회선속도를 빠르게 하는데 모든 역량을 집중 – 회선사업자들을 위한 정보화세계경제는 인터넷이 출현한 90년대말, 모바일시대로 넘어간 2007년부터 디지털 마켓에 집중

개인정보 보호법제에 의해 좌초된 빅데이터 산업발전 전략

개인정보보호법제가이미확고한상황에서빅데이터산업발전전략수립, 추진2016년 현재전혀 산업형성안됨 – 뒤늦게 ‘비식별조치가이드라인’(2016. 7. 1.) 발표..역부족

빅데이터 산업 추진전략의 실패의 교훈

디지털마켓이행에관한 ‘국가적전략어젠다’ 설정없는산업추진전략의문제점

• “빅데이터활용 = 개인정보오남용 = 불법”이라는규제에대한몰이해

• 융합되지않은단편적정부규제의대표적사례• 서비스산업경제의원유라고일컫는 개인정보의이용가치에대한숙고없이오로지 정보인권차원에서개인정보보호에만집중. 국회는 계속강화입법

언론

음악

의료

핀테크

출판,게임

숙박물류여객

우편

법률알파고쇼크

자동차

전자상거래

아래 시장 중 어느 시장이 해외IT기업이 부진할까요?

퀴즈) 국내IT기업이 선점한 시장은 글로벌기업이 부진한 이유

광고

□ 인터넷을통해서 60초간발생되는것

• 페이스북 : 분당 350GB의데이터

• 유튜브 : 72시간 분량의동영상

• 텀블러 : 20,000개의 새로운사진

• 아마존 : $83,000 (약 1억원) 매출과거래기록

□ (UP)다양한서비스를통해수집한빅데이터활용을통해소비자의미래를장악하는글로벌기업들

□ (DOWN) 고객에게마케팅도동의없이할수없고, 서비스종료시파기해야하는한국기업들

플랫폼산업의 강자들 – 전세계 개인정보, 블랙홀로 빨려들어

일자리 창출은 바로 이런 기업들이 하는 것 – 미국과 중국의 혁신기업

12

글로벌기업들은 플랫폼을지배하기 위해무한경쟁을 펼치고있음

이들 기업의 전방위적 침공을 막아낼 기업은 어떻게 키워내야 하는가?

2015 아시안리더십컨퍼런스기조연설中 :

“이제 20년간지속되어온 IT 시대가저물고, 앞으로 30년간은 DT(Data Technology) 혁명에기반한새로운인터넷시장이열릴것입니다. 이제는방대한고객데이터를활용해개별고객의요구에부응할줄아는기업이성공하는 ‘DT시대’ 입니다.＂

고객데이터 마음대로 써서, 우리 살람 매우 좋아~

13

개인정보규제

전통산업규제

온라인규제

- 개인정보보호법, 정보통신망법

- 위치정보법

- 신용정보법 등

(금융산업의 경우)

- 전자금융거래법, 전자금융감독규정

- 금융기관검사제재시행세칙

- 금융지주회사법, 은행법, 대부업법,

- 자본시장법, 유사수신행위법 등

- 정보통신망법

- 전자상거래법

- 통신비밀보호법 등

Ex. Opt-in 기반 영리성광고 전송 금지,

전자상거래 정보 처리 규제

Ex. 고객 기반 확충 곤란,Big Data를 통한 신용도 평가

등 신규 모델 창출 불가

삼중규제 속 일자리를 창출할 혁신기업의 싹이 자랄 수가…

전산업영역에서과도한규제총량과다 - 정부에규제총량통제기능부재

14

개인정보자기결정권의실질적 보장에 실패한개인정보보호법

15

Privacy Divide – 인지능력이 취약한 정보주체 보호 외면

쉬고 있는 할머니:비밀번호 미설정으로 인해해커들이 쉽게 찾아내고인터넷에 실시간으로 중계함

정보기술 취약계층(장애인, 노약자, 문맹자 등)에 대한 사생활 보안위협

• 웹카메라 등 정보기기의 비밀번호를 설정할 줄 모르는 고령자 또는 아동의 사생활 침해 문제

• 해킹으로 무단 수집된 “영국의 웹캠 채널에는 500여 가정에 설치된 유아감시용 카메라를 비롯해사무실이나 헬스클럽, 상점과 주점 등의 감시카메라 등이 포함된 것으로 파악됐다.” (연합뉴스, ‘전

세계 웹캠 영상 무단 유출 러시아 사이트 적발’<BBC> `14. 11. 20.

16

개인정보 사전동의 세분화는 국민을 자포자기의 늪에 빠뜨리는 격

고객님은 동의를 거부할 권리가 있습니다.다만, 서비스 제공을 위한 필수사항이므로,거부시 해당 서비스 이용이 불가능합니다.

형해화 된 동의 클릭

• 사물 인터넷 장비의 이용자들은 해당 장비가 어떠한 개인정보를 처리하는지 자체를 인지하기 어렵고, 설사 동의서를 읽거나 “동의”에 클릭한다고 해도 실질적으로 그 내용을 읽고 이해하고 동의하는 실질적 동의가 어려운 상황이 발생 (아이뉴스24, "서비스 약관동의, 고객의 선택권은 있었나? -정보수집

동의 거부시 서비스 이용 못하는 실태 개선돼야-", 2013. 3. 21.)

17

아이언맨의 추락~ 한국땅에서는 동의해야 작동합니다.

주인공 추락 중!아이언맨 수트 발진!

추락 직전에아이언맨 마스크 장착

수트는 개인정보처리시스템개인정보 이용 고지 화면 작렬!

고지서 내용을 읽다가동의 못해 아이언맨 추락!

출처 : http://youtu.be/mA_qV8B51xU Copyright © 마블 엔터테인먼트

18

빅데이터, AI 시대, 고지 불능 시대

• 이용 개시 전 단계에서 이용자에게 자기정보통제를 맡기는 현행 시스템은 이용자에게

모든 책임을 지우는 것에 다름 아님

• 무늬만 개인정보자기결정권 보호… 국가의 지원은 무엇인가?

내 몸을 둘러싼 수천개의 서비스, 어떻게 동의해야 하나

19

빅데이터를 통제해서개인식별성을 없애는안전한 방법은 없다.

20

왜냐면, 개인(식별)정보의 정의가 초광폭이라서 법률상 불능

현실적 보호가치와 상관 없이 무조건 개인관련 정보는 개인식별정보가 됨

개인정보보호법 제2조 제1호

• “개인정보”란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.

빅데이터는 수 많은 정보 속에 ＇신의 한수＇를 찾아 개인식별이 가능하므로현행법상 개인정보의 정의로는 안전한 비식별조치는 달성 불가

정보통신망법 제2조

• “개인정보”란 생존하는 개인에 관한 정보로서 성명·주민등록번호 등에 의하여 특정한 개인을알아볼 수 있는 부호·문자·음성·음향 및 영상 등의 정보(해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다)를 말한다.

신용정보법 시행령 제2조 제2항

개인신용정보를 동일하게 규정(2017. 1. 10.) – 핀테크 기업이 수집하는 비정형정보들 규제

21

경성 개인정보규제, 미래 일자리 창출할 스타트업을 가로막아

• 대기업은 매스 마케팅, 중소상공인은 타겟 마케팅

- 대기업은 신문방송에 광고를 낼 수 있지만, 중소상공인은 이를 할 수 없어 직접 맞춤형으로 저

비용 마케팅을 할 수 밖에 없음

- 배달음식점이 전단지를 배포하기 위해 동네 신문배급소에 끼워 넣는 것이 개인정보의 목적외

이용에 해당 5년 이하 또는 5천만원 이하 벌금의 형사책임 발생

- 중소보험사가 TM, 대형보험사는 보험설계사 조직 운영

- 규모에 따른 개인정보보호법 제29조 적용여부를 탄력적으로 운영할 수 있는 방안이 없음

- 과도한 규제비용에 따른 대기업과 중소기업간의 대응능력의 현격한 차이가 발생

기업생존의 필수요소인 타겟마케팅을 악으로 보는 관점은약육강식, 강자독식의 약탈경제 초래

강자 독식의 경제로 가고 있다

22

왜 내가 눈을 부릅뜨고 내 손가락으로 개인정보를 보호해야 하나???

• 사물인터넷 서비스는 이용자의 행태를 관찰하는 사물이 자동으로 정보를 수집하여 처리

하기 때문에 개인의 통제권행사가 곤란

• 현행법상 ‘고지와 동의‘ 원칙을 엄격하게 고수할 경우, 개인의 불편이 극심해 짐은 물론

서비스의 편리성도 함께 떨어지고 결국 동의 남발로 이어져 개인정보보호가 형해화되는

상황이 명백히 예견됨

노약자, 장애인, 문맹자 등 사회적 약자들의 ‘Privacy Divide’개인정보이용 동의제도로 해결 안됨

깨알 같은 고지사항. 둔감해지는 보호의식. 습관적인 ‘동의. 동의. 동의…’

23

바빠서 동의했더니 면죄부래, 국가는 개입 안한데….

• 우리나라의 개인정보 형식적 동의제도

- 이용자들에게 법정 고지사항을 제시하고, 각 동의항목별로 개별적, 명시적으로 서명(클릭)을

받는 것.

- 동의를 받기만 하면 국가는 개입 곤란

• 이용자들의 불만

- 기업들이 방대한 고지사항을 제시하고 법에 따라 동의를 요구하게 됨

- 이용자들이 서비스 제공을 받기를 희망할 때에는 고지사항의 구체적인 내용에는 관심이 없이

묻지마 동의에 이름

우리나라의 개인정보 형식적 동의제도의 문제점과 이용자들의 불만

24

스스로 보호할 거라면개인정보보호법은 왜 존재하는가?

25

개인정보는 빅데이터 인공지능의 영양분, 지나친 오남용 규제로 전환

• 미국/중국과 경제전쟁을 벌이는 EU의 방향은 우리가 맹목적으로 추종할 전략이 아니다.

• 미국/중국 법제와 EU 법제 사이에서 실용적이고 중립적인 입장을 취하는 것이 국익에

부합

• 역사상 새로운 위험요소는 불안전하더라도 이를 금지하지 않고, 이용하면서 경험을 쌓

아 안전한 방법을 발전시켜 나가왔다.

- 증기기관, 자동차, 원자력발전소

• 글로벌 거대 IT기업의 공습 앞에 전 산업이 초토화될 것이 명백히 예견되는 상황이다.

- 포털시장, 검색광고시장을 선점한 Naver, Kakao 가 방파제 역할을 하고 있어 위기상황이 가

려지고 착시현상을 보이고 있는 상황

- 실효성이 떨어지는 현행 개인정보보호규제는 국외에서 서비스하는 IT기업들에게 무방비한 상

황

• 그렇다고 EU처럼 우리가 미국과 중국을 상대로 경제전쟁을 벌일 처지도 아니다.

안전유리가 발명되기 전에 자동차는 탑승자 살인무기였다.

26

개인정보보호의 실질적 개선과 글로벌 기업양성, 두 마리 토끼를 잡자

• 개인정보인권을 실질적으로 보장하고 나라를 지킬 글로벌 IT기업을 육성하기 위해 패러다임을 바꿔야

- 비식별정보는 개인정보처리자가 ‘정보를 결합하여 개인을 식별할 때’부터 개인정보로 보아 달라.

- 개별적, 구체적, 사전적 동의가 아니더라도 개인정보보호를 해 달라

- 사소한 잘못이나 미처 생각하지 못한 잘못은 형사처벌보다는 시정명령을 해달라.

- 정부가 개인정보보호표준을 제시하고, 개인정보보호정책을 심사하여 무효화 및 시정권고를 우선하는정책으로 전환해 달라.

• 개선방향

- 개인정보 정의를 현실화하여 실질적으로 보호할 가치가 있는 정보만 보호하자.

- 개별적 사전동의형(Opt-In) → 포괄동의(One Click Consent)+사후동의배제(Opt-Out)로 개인정보보호를 실질화하자

- 정부가 약관심사하듯 개인정보처리방침을 심사해서 시정명령을 내리고 법원의 사법심사를 통해 합리적인 법리를 발전시켜 나가자

정부가 개인정보처리방침을 실질심사해서 시정조치해 달라

27