top of page
법률정보 상세

EU GDPR·일본 법·한국 법의 빅데이터 조항 비교


우리나라 개인정보보호법은 2011년 9월에 시행됐다. 그 당시를 생각해 보면 빅데이터란 용어가 일반화되어 있지 않았고 세계 각국의 개인정보 관련 법령에서도 빅데이터 조항이 존재하지 않았다.

하지만 최근 유럽연합(EU), 일본 등 몇몇 국가들이 연달아 빅데이터 조항을 개인정보 관련 법령에 신설함으로써 빅데이터 시대에 대비하고 있다.

2011년과 비교하면 기술적 상황이나 입법 상황이 상당히 많이 변해 있음을 알 수 있다. 6년이나 지나도록 아무런 변화가 없는 우리나라 개인정보보호법에 있어 변화가 불가피하다고 판단된다.

이에 2018년 5월 시행을 앞두고 있는 EU GDPR(General Data Protection Regulation) 및 2017년 5월 시행된 일본의 개인정보보호법의 빅데이터 조항과 우리나라 개인정보보호법의 관련 조항을 상호 비교하고자 한다. 이를 통하여 우리 입법의 개선방향을 도출할 수 있을 것이다.

EU GDPR의 빅데이터 조항은 제5조 제1항 (b)이다. 이 조항에 따르면 공익을 위한 기록보존 목적ㆍ과학 또는 역사 연구 목적ㆍ통계 목적의 개인정보 처리의 경우에는 정보주체의 동의가 없어도 추가적 처리(further processing)가 가능하다. 다만 가명처리(pseudonymisation) 등 안전장치가 있어야 한다.

가명처리란 추가적 정보의 이용 없이 개인정보가 더이상 특정 정보주체에게 귀속될 수 없는 방식으로 처리하는 것(제4조 제5호)을 의미하는데, 비식별화 처리 정도가 낮은 상태이기에 가명처리를 했더라도 여전히 개인정보로 파악한다. 한편 가명처리와 비교할 것으로는 익명처리(anonymisation)이 있는데, 익명처리는 비식별화 처리 정도가 매우 높아 익명처리한 정보는 개인정보가 아니라고 본다.

예를 들어, 초기에 마케팅 목적으로 수집한 정보가 있더라도 나중에 가명처리하여 과학적 연구 목적으로 목적범위 외 이용이 가능하고 이 때 별개의 동의를 받지 않아도 된다. 또 다른 예로 초기의 고객 서비스 목적으로 수집한 정보가 있더라도 나중에 가명처리하여 역사적 연구 목적으로 목적범위를 벗어나 다른 컨트롤러에게 제공하는 것이 가능하고 이 때 별개의 동의를 받지 않아도 된다.

공익을 위한 기록보존 목적과 관련하여, 공익적 가치를 지닌 기록물을 보유하고 있는 공공당국 또는 공공ㆍ민간 기관이 수행하는 기록물의 획득, 보존, 평가, 편찬, 기술, 교환, 홍보, 배포, 제공은 목적 외 추가로서 허용된다.

과학적 연구 목적과 관련하여, 과학적 연구 목적의 개인정보 처리는 폭 넓게 해석하되, 기술의 발전과 실현, 기초연구, 응용연구 및 민간투자연구, 공공보건 분야에서 시행된 공익성 연구를 포함한다.

역사적 연구에는 계보학 연구가 포함된다. 다만 공익을 위한 기록보존과 마찬가지로 역사적 연구를 목적으로 한 개인정보 처리에 있어서 사망한 사람의 개인정보는 GDPR의 적용을 받지 않는다.

통계적 목적에 대하여, 통계적 목적은 광범위한 처리 활동을 포함하는데, 예컨대 병원에 의하여 수집되는 데이터의 통계나 교통사고에 따른 사상자 통계와 같이 공익적 목적뿐만 아니라 웹사이트의 애널리틱 분석이나 시장조사를 목적으로 하는 빅데이터 분석 기술과 같은 상업적 목적을 포함한다.

일본 개인정보보호법의 빅데이터 조항은 제36조 제4항과 제37조인데, 이 조항에 따르면 개인정보취급사업자 또는 익명가공정보취급사업자는 익명가공정보를 정보주체의 동의 없이 제3자에게 제공할 수 있고, 다만 개인정보보호위원회 규칙이 정하는 바에 따라 미리 제3자에게 제공되는 익명가공정보에 포함된 개인에 관한 정보 항목 및 그 제공방법에 대하여 공표하여야 하고, 동시에 해당 제3자에게 제공하는 정보가 익명가공정보라는 사실을 명시해야 한다.

요약하면, 익명가공정보라는 전제하에 목적의 제한 없이 제3자에게의 자유로운 제공이 가능하다는 것이다. 여기서 익명가공정보는 복원 불가능한 가명처리 정보라 볼 수 있다.

EU GDPR 제5조 제1항 (b) 및 일본 개인정보보호법 제36조 제4항ㆍ제37조에 대응되는 우리나라 개인정보보호법 조항은 제18조 제2항 제4호이다. 제18조 제2항 제4호에 따르면, 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우에는 정보주체의 별개의 동의를 받지 않아도 된다.

여기서 '통계작성 및 학술연구 등의 목적'에 대하여 영리 목적은 제외한다고 해석하는 것이 일반적이고, '특정 개인을 알아볼 수 없는 형태'에 대하여 가명처리라고 해석하는 견해도 있지만 익명처리라고 해석하는 견해가 다수로 보인다.

EU GDPR 제5조 제1항 (b), 일본 개인정보보호법 제36조 제4항ㆍ제37조과 우리나라 개인정보보호법 제18조 제2항을 비교해 보면 아래와 같다.

위 표에서 알 수 있듯이, 우리나라 개인정보보호법 제18조 제2항은 EU GDPR 제5조 제1항 (b) 및 일본 개인정보보호법 제36조 제4항ㆍ제37조에 비하여 입법 시기나 시행 시기가 상당히 앞서 있고, 그런 이유 때문인지 그 허용 범위가 매우 협소함을 알 수 있다.

추가처리 목적의 경우, EU는 영리 목적의 과학 연구나 통계를 포함하고 있지만, 우리나라의 경우는 영리 목적의 경우는 허용되지 않는다고 해석하고 있다. 일본은 목적범위의 제한이 없다.

비식별화 정도의 경우, EU는 비식별화 정도가 낮은 가명처리 정도로도 정보주체의 동의 없는 추가처리를 할 수 있지만, 우리나라의 경우는 비식별화 정도를 매우 높여서 정보주체의 동의 없는 익명처리를 해야만 추가처리가 가능하다. 일본의 경우는 복원이 불가능한 가명처리 수준이다.

허용되는 처리 항목의 경우, EU는 전체적인 처리를 허용하고 있지만, 우리 법은 오직 제공만 허용하고 있다. 일본 역시 제공만을 허용하고 있다.

EU GDPR과 비교하여, 우리나라 입법은 그 기술적 효용성을 극도로 낮추어 버렸음을 알 수 있다. 한 마디로 빅데이터 조항으로서 기능을 하지 못하게 입법적으로 막아 놓았다고 평가할 수 있다. 일본과 비교해서도 같은 평가가 가능하다.

우리나라 개인정보보호법이 도입된 2011년과는 시대적ㆍ사회적 상황이 많이 변화했고, 급격한 기술의 발달 특히 제4차 산업혁명의 도래로 인하여 기술적 상황은 급변하였다. 이러한 추세에 맞추어 이 시대에 맞는 입법적 모색을 해야 할 것이다.

* 법무법인 민후 김경환 변호사 작성, IT조선(2017. 8. 17.) 기고.

최근 게시물

​태그 모음

bottom of page