[2020 세계 개인정보보호법③] 관점차 있는 개인정보 정의... 미국은 연락처에 불과해

'개인정보 보호 법' 각 국의 관점 차이에서 비롯

4차 산업혁명 빅데이터 활용, 규제 완화가 우선이어야... 미국은 사전 동의 없이 활용 가능해

◈ 오늘날 정보통신 분야에서의 화두는 단연 빅데이터. 밥을 먹고, 물건을 구매하고, 병원에 가는 등 내 생활 모든 것이 빅데이터화 되고 있다. 해당 산업이 성장함에 따라 개인정보 보호를 가벼이 볼 수만은 없다. 빅데이터 활용은 사생활을 비롯한 개인정보가 포함되어 유출과 침해를 염두에 둔 양날의 검이기 때문이다. 그렇다면 개인정보의 범위는 어디까지일까? OECD 가이드라인 제1조는 개인정보를 "식별된 혹은 식별 가능한 개인에 관련한 정보"로 정의한다.
 

[그래픽=박연서 인턴기자]

◇ 미국과 유럽의 '개인정보' 관점 차이

해외 선진국들은 빅데이터와 개인정보 관련 법적·제도적 정비를 서두르고 있다. 그런데 나라별 '개인정보'에 대한 관점의 차이가 극명하다.

유럽 연합은 EU지침 제2조를 통해 '정보 주체의 신원이 확인 되었거나 확인 가능한 정보' 즉 어떤 개인에 대한 정보를 총칭한 것을 개인정보로 정의한다.

유럽을 비롯한 일본과 우리나라는 '정보주체의 자기결정권'을 헌법상 기본권(인권)으로 해석하고 있다. 따라서 국가가 인권을 수호하기 위해 개입하기 때문에 이는 '개인정보보호법'으로 구현된다.

우리나라가 공법의 영역에서 개인정보를 보호하는 이유는 개인정보 자기결정권 즉 '기본권'을 보장하기 위해서다.

반면 미국U.S.C.52a(a)(4)에 따르면 개인정보는 '교육, 금융거래, 진료 경력, 범죄 이력, 고용 경력 등을 포함한 정보로 이름, 개인식별번호, 지문·성문, 사진 등 개인 식별 상징 등 특별히 개인을 식별할 수 있는 것을 포함하는 것'이다. 즉 개인을 식별할 정보인 연락처 정도에 불과하다.

미국의 개인정보체계는 시장자율규율방식에 입각하고 있다는 점이 가장 큰 특징이다.

'정보주체의 자기결정권'이란 개념이 존재하지 않기 때문에 개인정보에 대한 문제 발생시 정보를 만들고 사용한 사람이 피해자에게 보상을 해야하는 민사상의 문제이며 이 과정에서 국가가 전혀 개입하지 않는다. 지난 2017년 트럼프 행정부가 FCC프라이버시 규칙을 폐기함으로써 미국 내 개인정보보호는 우려와 함께 새로운 도전에 직면하고 있다.

◇ 개인정보 보호법의 모체 유럽, 섬세한 '개인정보 보호'

유럽연합(EU)의 일반 개인정보 보호법(General Data Protection Regulation GDPR)은 2018년 5월부터 시행됐다. 이는 공공영역과 민간영역 내 개인정보처리절차를 하나의 법에서 다루는 옴니버스 형식 법제다. GDPR의 모체가 된 개인정보 보호에 관한 가이드라인은 1995년부터 시행되었다.

대부분의 나라는 EU법제 GDPR을 모델로 하고 있다. 우리나라와 일본의 개인정보 보호 법도 GDPR에 상당한 영향을 받아 제정됐다.

EU는 개정된 GDPR에서 익명은 보호 대상이 아니라 모든 규제를 풀었다. 하지만 '가명정보'는 일정한 기준 아래 광범위한 활용이 가능하도록 했다. 개인정보 보호 법 적용 범위를 명문화 해 개인의 권리를 강화했지만 기업의 책임성을 분명하게 찾은 것이 가장 큰 특징이다.

다만 일각에서는 이런 제도 아래 4차 산업 혁명을 선도하는 핀테크주와 데이터 기업이 성장하기 어렵기 때문에 접근 방식의 변화를 요구한다.

◇ 자유시장 미국 '빅데이터'는 경쟁력이다.

미국은 개인정보보호에 관한 일반법을 채택하지 않았다. 즉 EU의 GDPR이나 한국 개인정보 보호법과 달리 공공 부문과 민간 부문을 포괄한 종합적 법률이 존재하지 않다는 것이다. 따라서 각 주(州) 단위로 각 분야별로 관련 법을 제정한 분야별 규율방식을 사용한다. 미국은 2020년부터 캘리포니아주에서 '캘리포니아 소비자 프라이버시 보호법(CCPA)'을 시행하고 있다.

고려대학교 정연돈 교수는 "미국은 일반 정보와 개인정보에 차이를 두지 않지만 개인의 프라이버시 침해는 엄격하게 규율한다"며 "개인 정보의 유출이 필연적으로 프라이버시 침해는 아니다"라고 강조했다. 개인정보의 범위를 보다 넓게 인정하고 있다는 것이다.

현재 미국은 개인 정보를 통해 신원을 식별할 수 있는 경우 민감한 사항만 사전 동의를 구하고 식별이 어려울 경우에는 정보를 보호할 의무가 없다.
대부분의 경우 기업이 이용자의 사전 동의를 받지 않더라도 개인정보를 수집·분석·활용할 수 있다. 대신 사후 거부제(opt-out)를 통해 이용자가 원하면 정보 제공을 거부할 수 있다. 따라서 정보의 주체 동의 없이 개인정보 수집 사유가 상당히 광범위 하다.

4차 산업혁명 시대에서 빅데이터를 활용하는 핀테크주, 데이터 기업 등이 성장할 수 있는 최적의 환경임이 분명하지만 한편에선 무분멸한 개인정보 수집에 의한 인권 침해 논란이 일고 있다.

미국에서도 빅데이터 활용에 따른 개인정보 보호를 명확하기 하기 위해 연방 일반법 제정으로 원칙을 통일하고 그 법률 집행 권한을 명확히 하려는 시도가 백악관을 중심으로 계속되고 있다. 지난해 11월 미 공화당 Josh Hawley 상원의원이 ‘국가 안보와 개인정보 보호법(National Security adn Personal Data Protection Act)’ 법안을 발의해 논의 중이다.