정보통신(IT) 기술의 발달로 현대사회에서 편리해진 삶을 누릴 수 있게 됐다. 스마트 모바일 시대가 되며 사회구성원 누구나 데이터를 만들어내고 있어 그 양이 폭발적으로 증가했다. 쇼핑·교육·금융·통신 등 다양한 서비스에 쉽게 접근할 수 있게 됐고, 과거보다 더 많은 일을 능률적으로 처리할 수 있게 됐다. 데이터의 종류도 다양해져 사람들의 행동은 물론 위치 정보와 SNS를 통해 생각과 의견까지 분석하고, 예측할 수 있도록 활용되고 있다. 개인이 주체적으로 개인정보의 사용과 유통을 통제하기 위해 먼저 나의 어떤 개인정보가 어떻게 사용되고 있는지 사례를 통해 알아본다.
김민선 기자 minsunkim@knou.ac.kr
우리나라는 헌법 제17조의 사생활의 비밀과 자유 등에 근거해 ‘개인정보 자기결정권’을 인정하고 있다(헌법재판소 결정 : 헌재2005. 5. 26. 99 헌마516 등, 공보 105, 666, 672). 이에 따라 정보주체는 자신의 정보가 언제, 누구에게, 어느 범위까지 알려지고 또 이용되도록 할 것인지 스스로 결정할 수 있는 권리를 가진다. 그러나 대부분의 스마트폰 사용자는 자신과 관련된 수많은 정보가 스마트폰 앱을 이용하는 동안 넘어가고 있는지 제대로 인지하지 못하고 있다. 상시로 네트워크에 연결돼 있으면서 사용자의 의지와 무관하게 끊임없이 정보를 생산하고 있다.
스마트 시대 개인정보의 무방비한 공유는 여러 문제를 초래한다. 개인정보가 목적 외 이용될 개연성이 커지고, ‘사전 동의’의 수준이 문제가 될 수 있다. 아울러 정보의 공유 확대로 인한 개인정보의 재식별 우려가 증가하고 있고, 국경 간 개인정보 공유의 확대에 따른 국외이전 이슈도 발생할 수 있다. 또한 내 개인정보를 대가 없이 취득해 마케팅 등 돈벌이 수단으로 사용하고 있다는 사실을 자각하면 손놓고 있을 수만은 없다.
『내 데이터를 가져다 뭐하게?』(말테 슈피츠·브리기테 비어만 지음, 김현정 옮김, 책세상, 2015)에서는 사소해보이는 일상 생활의 요소가 모두 개인정보와 관련 있음을 일깨우고 있다. 제목부터 직관적이다. 목차에서는 ‘내 지갑을 가져다 뭐하게’, ‘내 마우스클릭을 가져다 뭐하게’, 등으로 이어진다. 지금 이 순간에도 스마트폰 제조사·앱 운영사·사물인터넷 서비스 제공자 등으로 넘어가는 내 개인정보가 무엇인지 알기 쉽게 정리했다.
변기 물 내리는 횟수도 내 개인정보
책에서 제시한 눈에 띄는 사례 중 하나로, 보험사가 개인정보에 기반해 보험료를 더 높게 측정하려는 시도다. 이전까지는 보험사들이 날씨 정보, 수위, 경제위기 등 공공데이터에 의존했지만 최근엔 방대한 개인정보로 완전히 새로운 가능성이 열렸다. 한 예로 폭스바겐의 골프 자동차 보험료의 경우, 베를린 노이쾰른에 사는 35세 회사원의 보험료는 그와 같은 나이에 부촌인 베를린 첼렌도르프에 사는 회사원의 보험료보다 훨씬 더 높게 측정되는 일이 발생할 수 있다. 예전엔 개인정보라 하더라도 초보운전자인지, 1년 주행거리, 주차 위치나 습관 정도만 반영됐다. 그런데 이제는 이용자의 운전 습관을 실시간으로 트래킹 하는 시스템이 자동차에 설치돼 운전 방식과 속도, 브레이크 밟는 방법, 야간주행 비율, 도시주행 비율, 위치정보 등도 수집한다. 그 결과 도시 내에서 야간에 자주 자동차로 이동하는 사람은 전체 지역을 통틀어 가장 신중하고 안전한 운전자라 하더라도 자동적으로 더 높은 보험료를 내야 한다.
반면 책에선 노년층의 경우 일일이 넘어가는 생활패턴 정보가 보다 삶을 단순하게 만들어주고 편리할 수도 있음을 시사한다. 관련 내용은 다음과 같다.
“전기 사용량은 어느 기기를 사용하는지, 3인분 요리를 하는지 5인분 요리를 하는지 등을 상당히 정확하게 보여준다. 물 사용량도 예를 들어 화장실 물을 내릴 때 실시간으로 전달될 수 있다. 밤에 자주 화장실 물을 내린다는 사실이 발견된 경우 그 집에 살고 있는 한 사람이 전립선에 문제가 있나는 사실을 암시하는 것일 수도 있다. 이것이 뭐 그리 충격적인 인식은 아니다. 이러한 정보는 의료보험에서 관심을 가지는 정보다. 텔레콤 사와 알리안츠 사가 다음 단계로서 네트워크화된 보건서비스를 발표한다면, ‘자기결정권을 가진 노년층의 삶’을 위해서는 좋은 점도 있다. 전문자격을 갖춘 간병 인력이 부족하고 요양시설은 너무 비싸다. 완벽하게 네트워크화된 삶은 고령까지 혼자 살 수 있는 가능성을 제공한다.”
가명정보도 방심해선 안돼
혹자는 일상에서 수집된 생활패턴에 대한 개인정보를 두고, 개인을 특정할 수 없다면 아무 문제 없지 않느냐 의문을 제기할 수 있다. 더 나아가 개인을 특정할 수 없도록 한차례 처리를 한 정보라면 안심할 수 있다고 생각할 수 있다. 개인정보의 일부를 삭제하거나 일부 또는 전체를 대체해 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없도록 처리한 정보를 ‘가명정보’라고 지칭한다. 우리나라에서 가명정보는 2020년 개정된 「개인정보 보호법」과 「신용정보의 이용 및 보호에 관한 법률」에서 다루고 있다. 가명정보는 새로운 서비스나 기술, 제품 등의 개발에 활용에 유용한 재료가 된다. 인공지능(AI), 사물인터넷(IoT), 자율주행차 등에 연관된 객체 소유자 또는 통신 주체를 가명 처리해 해킹을 방지하는 데 활용할 수 있고, 다른 업종 간 데이터 결합을 통해 새로운 상품과 서비스를 개발할 수 있다고 알려졌다.
선진국들이 빅데이터를 활용해 AI 기반 신사업을 펼치고 있는 가운데 우리나라 기업만 가명정보 사용에 발목잡혀선 안된다는 목소리도 나온다. 현재 유럽연합(EU)은 상업적 목적 등 모든 연구에 가명정보를 활용할 수 있다는 내용이 포함된 개인정보보호규정(GDPR)을 시행하며 자체 기준을 확립하고 있다.
그러나 전문가들은 아무리 가명정보라 하더라도 어떤 공격자가 마음만 먹고 생활패턴에 대한 개인정보를 수집한다면, 개인을 특정하는 것은 순식간이라고 지적한다. IT 업계 한 관계자는 “50대 남성 중 항상 10시쯤 어떤 톨게이트를 지나는 사람이 있다고 하자. 차량이 무엇인지만 안다면 현장에 나가 이 남성을 추적해내기만 하면 된다. 가명정보라 하더라도 약간의 개인정보를 만나면 개인을 특정하는 것은 마음먹기에 달렸다”라고 꼬집었다.
EU GDPR과 달리 우리나라 법의 가명 정보가 이용자의 개인정보자기결정권을 제한한다는 지적도 있다. 김보라미 변호사(법률사무소 디케)가 지난 2월 슬로우뉴스에 기고한「한국식 발명품 ‘가명정보’에 법원이 제동 건 이유(ft. 가명처리)」란 제목의 비평글에 나타나 있다.
“한국식 가명정보? 귤이 회수를 건너면 탱자된다! 우리 법에 가명처리의 정의는, EU의 가명처리(pseudonymisation, 제4조 제5호)와 동일한 정의규정을 가져와 유사하게 제정한 것이나, 정작 GDPR에서 가명처리는 안전조치의 하나로 도입됐을 뿐이라는 점에서 큰 차이가 있다. EU GDPR에서는 가명처리는 개인들의 권리행사를 배제하거나 기타 개인정보보호조치를 배제시키려는 의도로 도입된 것이 아니다(전문 제28조). … 개인정보보호법 제3절 가명정보의 특례는 개인정보보호법 전체 맥락과 견줘 봐도 어떤 개인정보처리규정과도 연결점이 없이 갑자기 툭 튀어나온 모습이다. ‘활용’과 ‘데이터 결합’을 위해 보호법에 특별한 특혜규정을 열어준 것이다. 지금이라도 법 체계내에서 ‘가명정보’라는 개념은 폐기하고, 가명처리를 안전조치의 일종으로 검토해 개인정보보호법의 본래적 목적에 맞는 법개정이 이뤄져야 한다. 또한 근본적으로 헌법상 개인정보자기결정권을 실질화하는 개인의 권리를 복원해야 한다.”
이 기사는 유료입니다.
