[지성우칼럼] 4차 산업혁명시대 개인정보보호법제 정비 서둘러야

[사진=지성우교수]

미래사회에서 우리의 운명을 결정할 다양한 변수 중 중요한 것을 세 가지만 꼽는다면 (1) 정보통신기술(ICT)과 인공지능(AI)의 발전으로 인한 4차 산업혁명, (2) 청장년층의 급격한 감소와 노년층의 증가로 인한 인구구조 변동, (3) 지구온난화 등으로 인한 자연환경의 급속한 변화일 것이다. 이 중에서도 향후 경제발전과 일자리 창출을 위해 가장 가시적인 영향을 미치게 될 요소는 바로 4차 산업혁명이다.
지난 2016년 1월 세계경제포럼(WEF) 회장 클라우스 슈밥에 의해 주창된 ‘4차 산업혁명’ 이론에 따르면 증기기관이 촉발한 1차 산업혁명(기계화), 전기를 활용한 2차 산업혁명(대량생산), IT기술로 대표되는 3차 산업혁명(정보화 및 자동화)에 이어 기술과 산업 간의 융·복합현상이 산업구조의 근본적인 변혁을 초래한다고 한다.
2010년 전후 서브프라임모기지 사태와 남유럽발 재정위기 이후 글로벌 경제가 2%의 저성장 시대로 접어들면서 기존의 산업 영역은 성장에 한계를 드러냈다. 이에 세계 각국은 ICT에 기반한 제조업의 고도화를 통해 이러한 위기를 돌파하고자 다양한 정책을 계획·실행하고 있다.
향후에는 로봇이나 AI를 통해 실제와 가상현실이 통합되어 사물을 자동적·지능적으로 제어할 수 있는 가상물리시스템이 구축될 것이다. 이와 같이 자율주행자동차, 로봇 등 모든 것을 자동화하는 기계문명과 지능정보서비스가 보편적으로 제공되면 국민의 생활은 매우 편리해질 것이다.

반면 매사가 그러하듯이 4차 산업혁명과 자동화가 모든 국민들에게 천국 같은 삶을 보장할 것 같지는 않다. 자동화가 급속하게 진행되면서 기계가 실수라도 하게 되면 막대한 피해가 발생하게 될 것이고, 개인정보의 유출로 인한 침해사고가 대량으로 발생할 가능성이 높기 때문이다.
이미 유럽의회는 정보통신기술의 비약적 발전으로 인한 개인정보의 침해라는 역기능에 대비하기 위해 2015년 12월 '정보보호 통합규제(GDPR, General Data Protection Regulation)'를 제정하였으며, 내년 5월 25일부터 EU의 각 회원국에서 시행된다.
이번 통합규제안의 가장 큰 특징은 1995년 개인정보보호지침의 채택 이후 인터넷 등으로 변화된 디지털경제의 새로운 상황을 반영하고 있다는 점이다. 동시에 산업적인 활용과 아울러 ‘국가와 거대 자본에 의한 독점’을 방지하기 위한 통제장치를 강화하고 있으며, 이러한 추세는 향후에도 EU에서 계속 유지될 것으로 보인다.
전반적으로 통합규제안은 개별 기업과 개인정보보호주체들에 대한 통제를 강화함과 동시에 EU기업의 개인정보 이용에 대해 일정한 견제를 하고 있다. 즉, ‘활용과 보호’라는 목표를 위해 정보주체를 위한 개인정보보호와 개인정보 이용 사이의 균형을 위해 노력하여야 하는 의무조항을 대폭 확대하고 있다.
문제는 우리나라의 주요 교역상대 중 하나인 EU에서의 개인정보보호 규정 강화의 흐름에 대해 우리나라 기업들이 매우 둔감하다는 것이다. 현행 규정에 따르면, 한국 기업들은 EU 시민의 개인정보를 한국으로 전송하거나 처리하려면 별도의 국외이전 계약(Data Transfer Agreement)을 체결하고 회원국별 감독기구의 규제 심사를 거쳐야 한다. 예외적으로 한국이 적정성 평가 승인을 받게 되면 한국 기업들은 추가적 규제 없이 EU에서 자유롭게 영업활동을 할 수 있지만 ‘적정성 평가’를 위한 기준이 매우 높아졌음에도 불구하고 아직까지 이를 심각하게 받아들이는 것 같지 않다.
EU 내에서의 개인정보보호에 대한 위반행위의 처벌수위는 상상을 초월한다. 위반업체는 연간 매출액의 4% 또는 2000만 유로 중 더 높은 금액을 과징금으로 부과할 수 있다. 지난해 매출액이 201조원인 삼성전자의 경우에는 최대 8조원까지 과징금을 부과받을 수도 있다는 얘기다. 최근 EU가 20년 만에 통합규제안을 통해 개인정보보호 규제 수준을 대폭 강화함에 따라 EU에서 서비스를 제공하는 한국 기업에는 회원국별 상이한 규제 검토와 심사 등에 따른 과도한 비용지출이 우려된다. 더욱이 EU의 법제도에 대한 이해도가 낮은 IT 스타트업 업체에는 시장 진입장벽 등으로 인한 경제적 부담이 가중될 것이다. 통합규제안이 자칫 EU와의 교역에 비관세장벽으로 작용할 가능성이 높아진 것이다.
그런데 우리에게 개인정보보호 이슈가 비관세 장벽으로 작용하는 것은 비단 EU만은 아닐 수 있다. 중국도 최근 유럽과 미국의 입법례를 참고로 개인정보보호 관련법을 대폭 강화하려는 움직임을 보이고 있기 때문이다. 아직은 개인정보보호를 위한 통합적인 법체계가 미비하고 독립적인 기관도 설립되어 있지 않은 실정이지만 중국 역시 세계화와 국제거래를 위해서는 개인정보보호의 수준을 높여갈 것으로 예상된다. 이미 중국은 올해부터 새로운 ‘사이버보안법’을 제정하여 중국에서 영업하는 인터넷 기업의 고객정보를 중국 내에서만 보관하고 외국으로 이전하는 것을 금지하고 있다. 테러범의 아이폰을 잠금해제하라는 법원의 명령을 거부했던 애플사도 어쩔 수 없이 중국에 고객정보를 보관하는 데이터센터를 짓기로 했다고 한다.
이와 같이 IT기업들은 외국 정부가 요구하는 온라인상의 개인정보보호를 위한 기술수단과 요건을 구비하는 것이 기업의 존망과 직결되는 일이 되어버렸다.
향후 정부는 선진국의 법제에 대한 연구를 통해 우리 법제를 개선함은 물론이고 관련 기업들에도 광범위하게 전파하고 교육하는 업무를 추진함으로써 좋은 아이디어와 기술을 가지고도 개인정보보호 이슈로 인해 기업 활동의 제약을 받는 일이 없도록 해야 한다.