[아이뉴스24 김혜경 기자] "개인정보 자기결정권의 시대적 백경은 20세기 후반이다. 21세기 빅데이터·인공지능(AI) 시대의 자기결정권은 무엇인지 이론적 정립이 필요하지만 현재 제대로 된 논의가 이뤄지지 않고 있다. 현실에서 자기결정권을 구현하는 것은 생각보다 어려운 작업이다. 정보주체가 본인의 데이터를 통제·관리할 수 있도록 시스템을 마련하는 것이 관건이다."
고학수 개인정보보호위원회 위원장은 최근 서울 종로구 정부서울청사 집무실에서 진행한 아이뉴스24와의 인터뷰에서 개인정보 자기결정권을 설명하며 이같이 밝혔다.
헌법상 개인정보 자기결정권이란 타인이 어느 정도의 수준에서 본인의 개인정보를 볼 수 있도록 허락할 것인지 통제할 권리다. 개인정보 보호법 2차 개정안 핵심인 '전송요구권'은 자기결정권과 맞닿아 있다. 개인정보 전송요구권이란 이용자가 개인정보를 본인이 내려받아 활용하거나 제3자에게 이전하도록 요구할 수 있는 권리를 뜻한다.
쉽게 말해 정보주체가 A 기업에 자신의 개인정보를 B 기업으로 넘겨달라고 요구할 수 있게 된다. 개인이 본인 정보를 관리·통제하고 본인이 원하는 서비스를 제공받기 위해 데이터 전송을 요구하는 행위 일체를 뜻한다. 정보주체가 프라이버시를 지킬 것인지 혹은 원하는 범위 내에서는 프라이버시를 양보하고 데이터 공유로 다른 이익을 취할 것인지가 골자다.
개인정보 자기결정권의 성격과 현 상황에 맞는 이론적 체계를 정립하는 작업은 중요하다. 마이데이터 전 분야 확산을 앞둔 시점에서 전송요구권의 기반이 되는 개념이기 때문이다.
다음은 고학수 위원장과의 일문일답.
Q>개인정보 자기결정권이란 무엇인가. 헌법적 맥락에서 나온 개념인가.
A>개인정보 자기결정권은 독일에서 개발된 이론 체계다. 한국 사회 맥락에 맞는 자기결정권은 무엇인지에 대한 고민이 필요한데 생각보다 이 같은 논의는 미흡했다. 자기결정권 관련 논문이 쏟아져야 한다고 보는데 생각보다 국내에서는 찾아보기 힘들다. 간혹 헌법재판소나 법원 판례에서 헌법적 맥락에서 언급되고 있지만 자기결정권의 본질에 대한 구체적인 설명은 없는 것이 현실이다.
사실 독일에서조차 21세기에 맞는 개인정보 자기결정권이 무엇인지에 대한 논의는 전무한 상황인데, 빅데이터‧AI 시대 자기결정권은 조금 복잡하다. 사실 일반인 입장에서 특정 기업이 모바일 기기에 트래커, 쿠키 등의 기능을 접목해 본인을 얼마나 상세하게 파악하고 있는지 알기 어렵다. 또 정보주체가 직접 정보를 제공한 적은 없지만 인구통계학적 데이터 등을 토대로 비슷한 성향의 타인과 묶음으로써 일반화되는 경우도 있다.
개인정보 자기결정권은 얼핏 듣기에는 근사해 보이지만 현실에서 어떻게 구현되는지 여부에 따라 정의하기 어려운 개념이다. '21세기형 자기결정권'이 무엇인지 고민이 필요한 시점이다.
Q>개인정보 본질은 무엇인가. 인격권인가 재산권인가. 전송요구권은 재산권 성격을 암묵적으로 전제하고 있다고 보면 되나.
A>상황에 따라 인격권 혹은 재산권을 적용할 수 있다고 본다. 한 유형의 권리로 특정하기는 어렵다. 데이터라는 개념과 전통적인 법률 체계는 어울리지 않는다. 그러나 특정 상황에서 특정 유형에 대해서는 데이터에 경제적 가치를 부여할 수 있다. 데이터의 경제적 가치에 초점을 맞춘다면 재산권으로 봐야 하고, 정보주체의 본인 정보 통제 맥락으로 이해한다면 인격권에 가깝다고 볼 수 있다.
현실에서는 본인 정보가 어떤 맥락에서 사용되는지 여부에 따라 판단이 달라지기도 하므로 혼재된 형태로 나타난다. 통제 장치와 시스템을 마련하는 작업이 중요한 이유다. 공공기관의 경우 특정 업무와 관련된 직원에게만 접근 권한을 주고, 이와 관련없는 직원은 아예 시스템 접근을 막아야 한다.
Q>데이터에 적정 수준의 가격을 매길 수 있나.
A>데이터 시장은 완전경쟁과는 거리가 먼 쌍방독점 형태로 보는 것이 맞다. 수요자와 공급자 모두 특정 그룹으로 한정되기 때문이다. 제한적인 상황에서 제한적으로 거래되는 시장인 셈이다.
데이터 거래 과정에서 발생하는 부가가치를 어떻게 나눌 것인지도 문제다. 데이터를 제공한 정보주체에 얼마만큼의 가치를 분배할 것인지도 관건이지만 데이터를 생산하는 과정에서 노동력을 제공한 주체도 일정 수준의 몫을 요구할 가능성이 높다. CT, 엑스레이 등 의료 데이터가 대표적인 사례다. 금융 영역의 경우 공통 수집하는 데이터가 정해져 있으므로 규격화가 상대적으로 쉽지만 다른 분야의 데이터는 어렵다.
Q>위원회가 개인정보 전송요구권 도입으로 기대하는 것은 무엇인가
A>유럽연합(EU)의 '일반 개인정보 보호법(GDPR)'은 전송요구권에 대한 법적 근거를 두고 있지만 시행한 지 5년이 넘도록 일부 기술 관련 문서를 제외하고는 구체화한 내용이 거의 없다. 실제 전송요구권을 도입해야 하는 기업이 어떻게 현장에 적용할 것인지 고민을 유도한다는 측면에서 의의가 있다고 본다.
다른 기업으로 데이터를 전송하는 과정에서 내부 데이터베이스를 어떻게 관리해야 하는지 혹은 데이터 포맷‧엑세스 컨트롤 방식은 어떻게 해야 하는지 등 기업들이 내부적으로 따져보는 계기가 될 것으로 기대하고 있다. 전송요구권 구현이 가능한 곳부터 순차적으로 시행할 방침이다.
Q>챗GPT를 비롯한 생성형 AI 열풍으로 데이터 유출 등 보안 사고도 발생하고 있다. 오픈AI의 경우 최근 이용자 결졔정보 유출 사고도 있었는데 개인정보위는 이 같은 현안을 어떻게 바라보고 있나.
A>특정 국가에서 개발한 기술‧서비스가 거의 동시에 전 세계로 퍼지면서 각국 규제‧감독기관 간 협력 필요성도 대두되고 있다. 일관된 규제 체계를 확립하기 위해서다. 다만 각 국가의 정책·제도에 따라 조금은 다른 관점에서 문제가 제기되고 있는 것도 현실이다.
챗GPT 이슈만 하더라도 각 국 규제기관이 공식 조사에 착수하더라도 실제 조사 방향은 다를 수 있다는 말이다. 오는 23일 서울에서 열리는 AI‧데이터 프라이버시 국제회의도 일회성 이벤트가 아닌 실효성 있는 국제공조가 이뤄질 수 있는 방향으로 진행할 예정이다.
Q>올해 계획과 목표는 무엇인가. 위원회 규모를 확대해야 한다는 말도 나온다.
A>향후 한국의 AI 정책 관련 데이터 맥락에서 위원회가 청사진을 제시해야 하고 구체화하는 작업이 필요하지만 현재 위원회 규모로는 제약이 많은 상황이다.
현재 100여개가 넘는 국가에 개인정보 관련 체계가 존재하지만 실제 법을 집행할 수 있는 역량이 되는 국가는 별로 없다. 구글‧메타 제재 건을 계기로 미국과 유럽에서도 한국의 정책 방향을 주시하고 있다. 아시아권에서는 한국이 독보적인 위치를 차지하고 있는 상황에서 국제사회 일원으로서의 위원회 역할도 고민할 것이다.
/김혜경 기자(hkmind9000@inews24.com)
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기