Keynote

[Best of Pub] 데이터 공유와 정보 프라이버시

개인 정보를 바라보는 두 가지 시선. 나의 데이터를 제대로 활용하는 것과 프라이버시 지키기는 양립할 수 있을까?

E Editorial Team 2019년 09월 22일

이 글은 2019년 8월 26일에 열린 커먼즈펍의 내용을 정리한 것입니다.


1. 국내외 My Data 추진 현황 및 생태계 활성화를 위한 제언

한국데이터산업진흥원 임태훈 팀장

데이터 소유권에 대해서 이야기해보자

폰을 바꾸거나 내비게이션을 바꾸면 그동안 쌓였던 나의 데이터가 모두 날아간다. 내가 만든 데이터인데 플랫폼이 가져가서 사용한다. 이 정보를 주인에게 돌려주자는 운동이 ‘마이데이터 운동’이다. 내가 만든 데이터를 왜 카카오가 가지고 있는가? 내가 옮기고 싶으면 옮길 수 있어야 한다. 개인의 소유로 돌리자는 운동이다.

“What those breadcrumbs tell is the story of your life.”
내가 살면서 만들어낸 작은 데이터의 조각들은 결국 나의 인생이고, 나의 인생은 나의 것이다.

국내 현황

공공부문에서는 연말정산 간소화 서비스, 내계좌 한 눈에/ 내 보험 다보여, 정부24 등의 시도가, 그리고 민간부문에서는 다른 아이디로 회원가입이 가능하도록 하는 것 등의 시도가 있다.

해외 현황

미국 보훈부(Veterans Affairs)에서는 앱으로 자신의 진료기록을 기계판독이 가능한(machine-readable) 문서로 다운 받을 수 있다. 유럽에서는 MesInfosPSD2 (Payment Services Directive2), 그리고 APIs를 통해서 여러 은행들과 연결하고, 정보를 은행이 가지고 있는 것이 아닌, 일제히 한 곳에서 관리하는 오픈 뱅킹 시도.

PDS (Personal Data Storage)

일본 준비현황: Myanaportal
- 개인정보 확인 및 육아 원스톱 서비스
- 공공민간 융합 PDS
- 정보은행에 개인정보를 위탁하고 팔아서 수익을 받는다

국내 준비현황
- 병원-상급 병원 간 진료 기록 공유. 환자는 “진료 의뢰 내역” 확인 가능
- 병원별 진단서 온라인 발급, 앱으로 진료 내역 조회 가능

국내 통신분야
- 맞춤 요금제 상품을 비교해서 선택할 수 있도록 나의 사용내역을 볼 수 있다.

국내 유통분야
- 옥션 만 내 정보를 엑셀 다운로드 가능하다.
- 아마존에서는 Order History Report 다운로드 가능
- 한국에서는 익명화해서 처리, 기록하기 때문에 개인에 맞춤화된 서비스 제공이 쉽지 않다. 그래도 익명화하는 것이 맞다.

몇 가지 쟁점들

1. 법적근거의 문제
개인정보 보호법. 열람과 사본 발급 (페이스북, 구글 등이 가능) 이게 가능해야 특정 플랫폼을 떠날 수 있게 된다. 해외에서는 GDPR “The data subject shall have the right to receive the personal data concerning him/her…” 주어가 데이터 주체로 되어있다. 우리도 그렇게 바꿔야 한다.

2. 서비스 모델의 문제
3. 보안의 문제
보안, 유출, 위변조 위험이 있지만, 제대로 준비하면 오히려 지금보다 위험이 더 줄어들 수도 있다고 본다

4. 개인 동의의 문제
필수냐 선택이냐.. 일반적으로 필수만 하지만, 마이데이터에서는 좀 더 쉽고 정확하게 표현해서 개인이 원하면 골라서 제공할 수 있게 하자. 또한 활용내역을 영수증 형태로 다운 받을 수 있게 하자.

우리나라는 개인정보’보호법’이다. 활용보다 보호에 집중되어 있다. 이것을 마이데이터 제도로 활용할 수 있게 하는 게 좋다.

2. 데이터 공개와 정보 프라이버시

진보네트워크센터 오병일 대표

진보네트워크센터는 1998년에 설립된 비영리 단체다. 인터넷, IT 관련한 인권단체이다. 500여개 단체의 호스팅과 기술적 자문역할도 하고 있다.

정보는 권력이며, 권력은 통제권이다. 권력이 되는 권력을 소수에 집중되지 않아야 한다.

정보 민주주의
개인정보는 보호하고 (정보주체의 통제) 공공정보(비 개인정보)는 공유해야 한다.

공공정보의 공유
저작물 커먼즈 운동 vs. 지적재산권(저작권) 강화
공적정보 정보공개, 열린정부, 오픈 데이터 vs. 국가 기밀. 가령 공직자의 재산정보는 프라이버시이지만 공공이 필요한 정보이다.

개인정보 자기결정권이라는 것은 프라이버시와는 다르다. 무조건 숨기고 있으면 자기 결정권 개념 자체가 성립되지 않는다. 어떻게 활용하느냐의 문제.

국내 개인정보 자기결정권의 형성
1) 최초의 프라이버시권 운동: 전자주민카드 도입논란 1996-97
2) 교육행정정보시스템 도입 논란 2003
3) 헌번재판소 ‘개인정보 자기결정권’ 인정 2005
4) 개인정보보호법 개정

개인정보보호 국제규범
GDPR은 유럽의 법이지만, 사실상 국제적인 규범이다

신기술과 개인정보
IoT, Big Data, AI 등의 등장으로 개인정보 침해 위협의 증가하고 있다. 정보주체도 모르는 개인정보 수집: 인터넷 이용기록, 교통카드, 시청기록, 결제기록 등이 쌓이고 있고, 해외 기업들에 의한 개인정보의 국제 이전 문제도 있다. 페이스북과 캠브리지 애널리티카의 사건, 그리고 IMS 헬스 사건 등이 있다. 후자의 경우 처방전 매매했다. 기업에서는 환자의 이름을 삭제했기 때문에 개인정보가 아니라고 주장한다.

빅데이터와 개인정보 이슈 주요 경과
1) 2016 개인정보 비식별조치 가이드라인 발표
2) 2017 시민단체, 비식별화 전문기관 및 20개 기업 고발
3) 2018 4차 산업혁명위원회, 규제, 제도 혁신 해커톤 개최

쟁점 1. 개인정보의 개념
개인을 알아볼 수 없다는 것을 어떻게 정의할까? 처리하는 자의 입장에서 못 알아본다는 것으로 충분한가? 가령 휴대전화 4자리, IMEI, USIM도 개인정보라는 판례가 나왔다. 개인정보가 아니라는 판례가 나오면 기업들이 마음껏 사용할 수 있다로**, GDPR의 경우는 처리자만이 아니라 다른 사람이 식별할 수 있어서도 안된다고 규정하고 있다.**

쟁점 2. 목적 외 활용의 범위와 요건
가령 빅데이터의 경우, 처음 수집의 목적 외의 용도로 사용할 수 있어야 한다. 빅데이터는 목적을 정하지 않고 모은다. 따라서 개인정보 비식별조치 가이드라인이 필요하다. 또한 기업간 데이터 결합(예: 한화생명+SK 통신)을 할 경우 어떤 가이드라인이 적용되는가?

가이드라인이 있어도 문제는 존재한다. 가이드라인 자체의 법적근거가 없고, 익명처리가 되었다는 보장을 할 수가 없다. 여기에서 나올 수 있는 질문은 1) 데이터의 연결은 데이터의 상관관계를 찾는 것이고, 궁극적으로 데이터 마이닝의 목적 아닌가? 페이스북-인스타그램 2) 데이터의 처리를 어떻게 검증할 수 있나? 3) 아마존 처럼 실수로 들어간 정보를 사용할 경우 책임의 소재는?


cover