[요약문] 국제 컨퍼런스 “인공지능의 윤리와 데이터 거버넌스-국제적 흐름에서 데이터3법까지”

지역

[요약문] 국제 컨퍼런스 “인공지능의 윤리와 데이터 거버넌스-국제적 흐름에서 데이터3법까지”

admin 님 | 토, 2020/02/08- 02:30

글 | 이미루(진보네트워크센터 활동가)

지난 1월 20일, 사단법인 오픈넷은 해외 전문가들을 초청하여 ‘인공지능의 윤리와 데이터 거버넌스-국제적 흐름에서 데이터3법까지’를 주제로 한 컨퍼런스를 진행했다. 이날 컨퍼런스는 AI 윤리 점검 및 원칙에 입각한 AI프로젝트라는 주제와 AI와 데이터 거버넌스를 주제로 한 두 개의 세션으로 진행됐으며, 각 세션은 국내외 전문가들의 발제는 물론 다양한 질문과 토론이 함께하여 풍성하게 진행되었다.

컨퍼런스 발표자료: https://opennet.or.kr/17373
영상 다시보기: 1세션(AI 윤리 점검), 2세션(AI와 데이터 거버넌스)

[Session 1] AI 윤리 점검: “원칙에 입각한 AI 프로젝트”

첫 번째 세션은 박경신 오픈넷 이사(고려대학교 법학전문대학원 교수)의 사회 아래 ‘AI 윤리 점검: 원칙에 입각한 AI 프로젝트’를 주제로 진행되었다. 첫번째 발제는 제시카 필드 교수의 ‘원칙에 입각한 인공지능: 윤리 및 권리에 기반한 AI 원칙들에서 나타나는 합의점들’이었으며, 두번째 발제는 허버트 버커드 교수의 ’AI 윤리의 윤리학’이었으며, 마지막 발제는 마르셀로 톰슨 교수의 ‘노력, 설계와 책임’이었다.

제1발제: 제시카 필드(Jessica Fjield) 하버드대학교 로스쿨 사이버법클리닉 교수

“원칙에 입각한 인공지능: 윤리 및 권리에 기반한 AI 원칙들에서 나타나는 합의점들”

제시카 필드 교수는 첫 번째 발제자로 나서 여러 공동저자들과 함께 연구를 진행했던 “원칙에 입각한 인공지능: 윤리 및 권리에 기반한 AI 원칙들에서 나타나는 합의점들”을 발표했다. 몇 년에 걸쳐 총 36개의 문헌을 검토한 연구진은 AI 윤리에 원칙 혹은 표준을 적용해보자는 원칙하에 사회에 긍정적인 영향을 미치길 바라며 연구를 시작했다고 밝혔다. 이후 사회 각층은 물론 여러 정부, 국제 시민사회, 정부간 기구 등을 통해 발표된 여러 AI 원칙을 연구하여 크게 여덟 가지 윤리 원칙에 대한 공통의 인식을 발견할 수 있었다고 밝혔다.

여덟 가지 윤리 원칙은 1) 프라이버시 2) 책임성 3) 안전과 안보 4) 투명성과 설명 가능성 5) 형평성과 차별금지 6) 인간에 의한 기술 통제 7) 전문성이 가지는 책임성 8) 인권증진이다. 필드 교수는 각 원칙들은 세부적이고 다양한 내용들을 포함하지만, 위 여덟 가지 큰 원칙이 지금까지 발표 된 대다수의 AI 원칙에서 중요한 자리를 차지하고 있다고 강조했다(이 외에도 여러 주요 의제들이 있으나, 보다 자세한 내용은 보고서 참조). 앞서 언급된 원칙들은 ‘빅데이터 시대’, ‘AI 기술의 도입’과 함께 지속적으로 문제시 되어왔던 내용들로 원칙적인 선언에 가깝다. 필드 교수는 해당 보고서가 원칙을 주로 담고 있지만, 전반적으로 ‘윤리(ethics)’에 대한 연구가 부족했음을 한계로 지적했다.

제2발제: 허버트 버커트(Herbert Burkert) 스위스 성갈렌대학교 법대 교수

“AI 윤리의 윤리학”

AI 윤리의 윤리학이란 주제로 발제를 이어나간 허버트 버커트 교수는 발제에 앞서 도덕(Moral)과 윤리(Ethics)의 개념을 구분해야한다고 설명했다. 도덕은 사람들이 어떻게 행동하는가의 영역이며, 윤리는 이론적 담화, 즉 무엇이 옳고 그른가에 대한 것이라고 설명했다. 이날 토론회의 큰 주제였던 AI 윤리 원칙이 자세한 행동 규정이라기보단 무엇이 옳고 그른가에 대한 원칙적 이야기임을 강조한 것이다.

허버트 교수는 익숙한 여러 그리스 신화를 예시로 들며 발제를 시작했다. 우리는 보통 판도라를 ‘절대 열지 말라’고 했던 상자를 열어 인류에게 재앙을 안긴 ‘나태하고 장난끼 많은’ 여성으로 기억하고 있다. 하지만 한 조사에서는 이 신화가 와전된 것임을 밝혔다고 한다. 본래 판도라는 ‘가이아’, ‘대자연’으로 불리던 존재로 인류에게 나쁜 것뿐 아니라 좋은 것도 주었던 존재였다는 것이다. 하지만 우리가 기억하는 방식으로 판도라를 기억하게 된 배경에는 모계사회에서 부계사회로의 변화를 위해 여성 혐오 시각이 더해져 신화를 바꿔 전달했을 수 있다고 한다. 허버트 교수는 이 일화를 통해 사회적 원칙, 윤리라는 것이 당시 시대 상황에 따라 변화하는 것임을 강조했다. 따라서 윤리 원칙만을 강조할 것이 아니라 인류가 행동함에 있어서 어떤 것들을 기준으로 삼을 것인가에 대한 이야기를 나눠야 한다고 강조했다.

허버트 교수는 정작 윤리 강령이 놓치는 것은 실제 원칙들 사이에서 충돌이 발생했을 경우임을 이야기하며 AI 윤리와 기술 그 자체에 대한 이야기는 많이 하는데 비해 정작 충돌이 발생했을 때 어떻게 행동해야 하는가에 대한 연구는 부족하다고 지적했다. 상황에 따라 어떤 기준을 따라야 할지, 원칙들 간에 충돌이 발생했을때 어떤 규칙을 따라야 할지 정의할 수 있는 법적 개입 혹은 규제 방안을 마련해야 한다고 강조했다. 이를 위해선 윤리강령에 긍정적이고 건설적인 비판을 할 수 있는 도구를 마련하는 게 중요하다고 강조했다.

제3발제: 마르셀로 톰슨(Marcelo Thompson) 홍콩대학교 법대 교수

“노력, 설계와 책임”

마르셀로 톰슨 교수는 ‘노력, 설계와 책임’을 주제로 1세션의 마지막 발제를 맡았다. 톰슨 교수는 AI 발전이 우리 가치관에 어떤 영향을 주는지, 그리고 AI가 발전함에 따라 어떻게 인공지능을 활용할지에 관한 규범을 만드는데 어떤 영향을 가지는지에 대한 이야기를 하겠다며 발표를 시작했다. 톰슨 교수는 여러 원칙들 중에서도 ‘책임성’에 집중했고, 내용 규제에서의 플랫폼의 권한과 역할에 대한 예시를 자세히 다루었다.

예를 들어 내용 규제와 플랫폼의 관계에 대해서 이야기할 때, 결과물에 대한 책임, 기술이 만들어 내는 산출물이나 여파가 아니라 해당 결과가 나오는 과정과 AI 솔루션이 만들어지기까지 투여된 노력 등에 더 방점을 둬야 한다는 주장이다. 톰슨 교수는 지금 유럽의 내용 규제는 문제시되는 콘텐츠가 특정 플랫폼에 게시되어 있다면 그 콘텐츠의 문제 여부나 평가 과정 등은 상관없이 결과적으로 해당 콘텐츠가 계속 게시되어 있느냐 아니냐만으로 처벌여부가 결정되기 때문에, 오히려 표현의 자유를 억압하고 플랫폼 운영자들이 게시물을 ‘우선 내리고 보자’는 식으로 반응하게 만들 가능성을 강조한다. 그 결과 톰슨 교수는 결과 기반의 책임성 여부가 아닌 노력 기반의 책임성 체계가 중요하다고 강조한다. 해당 플랫폼이 충분히 노력을 들였고, 대응 과정에서 합리적 노력을 했다면 이런 노력을 인정해 법적 규제의 수준을 달리 할 수도 있다는 것이다. 그는 AI도 마찬가지로 AI 규범과 규제, 법적 제도 등을 만드는데 있어 단순히 설계 결과물을 평가할 것이 아니라 그 과정에서 어떤 노력이 있었는지, 향후 우리 삶에 어떤 영향을 미칠지에 대한 충분한 고민을 했는지, 그리고 법적 책임은 어떤 영향을 미치게 될지에 대한 고민을 해야 한다고 강조했다.

종합토론

이어지는 종합토론에서는 말라비카 자야렘 디지털아시아허브 소장이 원격으로 참여하여 발제에 여러 질문을 던졌다. 자야렘 소장은 개인적 선택과 구조적 문제가 연결될 수 있는가라는 질문이 해당 세션의 핵심이라며 개인의 도덕적 일탈의 수준에서 문제를 바라볼 것이 아니라 제도적이고 구조화된 윤리 의식이 중요하지 않은가라는 질문을 다시 던졌다. 또한 계속해서 AI 윤리 원칙에 대한 논의를 나누고 있지만, 그것이 실제 우리의 현실을 개선할 순 있을지, 각 국가와 사회가 가지는 문화･규범적 특징, 맥락에 의해 다르게 반영될 때, 우리가 원칙이란 이름으로 이를 공통의 인식으로 바라볼 수 있을지 등과 같은 질문을 던졌다.

이상욱 한양대학교 철학과 교수는 우리가 흔히 언급하는 ‘AI 윤리’가 굉장히 추상적인 경우가 많아 그것이 잘 지켜졌는지 판단할 수 있는 기준이 없는 경우가 대부분이라고 했다. 특히나 AI 기술의 발전과 활용에 있어 어느 정도로, 어떤 방식으로 규제할 것인지에 대한 부분도 아직 모호하다고 설명했다. 따라서 제도적 규제를 도입할 때는 각 국가별 문화 등을 반영하여 규제조항을 아주 구체적으로 만든 후 도입해야 함을 강조했다. 이에 더해 AI 윤리 원칙에 대한 중심적인 키워드보다 실제 키워드 사이에 어떤 경쟁들이 존재하는지 이런 갈등을 어떤 방식으로 논의하고 해결하기 위해 노력하고 있는지와 관련한 논의가 부가되었다면 더 좋았을 것 같다며 토론을 마무리했다.

최은필 카카오 연구위원은 AI 기술 역시 사람이 중심이 되는 기술이며, AI 사회 구성원들이 기술과는 다른 변화의 소용돌이 속에서 기본적인 원칙과 규범을 지킬 수 있을지 고민해야 한다고 말했다. 특히나 알고리즘의 활용 등으로 기업의 사회적 역할이 강조됨에 따라 기업의 숙제와 책임에 대한 요구도 늘어나고 있음을 강조했다. 하지만 기술의 발전과 새로운 서비스의 등장으로 현재 원칙이 담아내지 못하는 부분들이 증가할 수 있음을 이야기하며 사회 전체가 유기적으로 움직이며 더 나은 해법을 찾아야 한다고 강조했다.

카를로스 아폰소 데 수자 리오기술과사회연구소 소장은 현재 인공지능에 대한 논의를 진행함에 있어 로봇공학에서의 인공지능과 인터넷을 기반으로 한 인공지능 두 가지 측면에서 살펴봐야 한다고 말했다. 그는 우리가 말하는 인공지능 원칙이 무엇에 기반해 있는지, 이전 규제 등을 통해서 무엇을 배웠는지 등을 성찰해야 한다고 주장했다. 지금까지의 인공지능 논의 맥락에서 우린 좀 더 단순한 상황에 대한 질문을 심사숙고할 필요가 있으며, 가령 AI 스마트로봇에 새로운 법인격을 부여하여 누가 해당 법인격의 책임자가 될 것인지에 대한 고민이 필요하다고 강조했다. 뿐만 아니라 인간이 인공지능의 완전한 관리자가 되기 위해 어떤 시스템을 가져야 할지에 대한 고민도 필요하다고 했다. 이에 더해 인공지능으로 인한 이익뿐 아니라 그 반대의 경우, 즉 부정적인 결과가 도출 되었을 때 사람이 시스템의 일부가 되어 어떻게 책임을 질 것인지에 대한 고민이 이루어져야 한다고 강조했다.

[Session 2] AI와 데이터 거버넌스

두 번째 세션 역시 박경신 오픈넷 이사(고려대학교 법학전문대학원 교수)가 사회하에 ‘AI와 데이터 거버넌스’를 주제로 진행됐다. 그레이엄 그린리프 교수, 클라우디오 루세나 교수, 오병일 진보네트워크센터 대표가 발제했다. 이들은 GDPR을 중심으로 데이터 시대의 개인정보보호를 중심으로 다루었으며, 현재 한국에서도 논란이 되고 있는 ‘가명정보 처리’에 대한 주제까지 포괄했다.

제1발제: 그레이엄 그린리프(Graham Greenleaf) 호주 뉴사우스웨일스대학교 법·정보시스템학과 교수(원격 참여)

“연구, 통계, 기록보존 목적의 가명정보 처리: 한국이 EU회원국 입장이라면?”

그레이엄 그린리프 교수는 ‘연구, 통계, 기록보존 목적의 가명정보 처리: 한국이 EU회원국 입장이라면?’을 주제로 발제를 진행했다. 그는 한국이 EU회원국일 경우로 가정하고 GDPR에 어떻게 적용을 받는지, 한국의 개인정보보호법과는 어떤 점이 다른지 등을 중점적으로 이야기 했다.

그린리프 교수는 가명처리를 했다고 해도 여전히 개인정보는 개인정보라는 점을 강조했다. 가명처리가 되었다고 해도, 해당 데이터의 익명성을 완전히 보장할 수 없고, 익명정보에 비해 개인식별의 위험은 여전히 높기 때문이다. 물론 GDPR은 공공의 이익을 위한 아카이빙, 역사적 과학적 연구 목적, 통계 목적의 활용은 양립가능성을 인정하여 정보주체의 동의 없이 개인정보를 처리하여 활용할 수 있도록 하였다고는 하지만, 모든 경우에 예외가 적용되는 것은 아니며, 양립가능성이 인정된다고 해도 정보주체의 권리를 무시해도 된다는 의미가 아님을 강조했다.

그는 현재 한국에서 첨예하게 논의되고 있는, ‘과학적 연구에 상업적 연구를 포함해도 되는가?’에 대해서도 다뤘다. 그린리프 교수는 특정 과학적연구방법을 쓴다고 하더라도, ‘해당 연구사업이 그 분야에서 방법론 및 윤리적 차원에서 모든 기준을 만족하는지?’에 대한 구체적 기준을 정해야 한다고 설명했다. 또한 일반적 상업연구, 예를 들어 시장조사와 같은 연구는 상업적 목적에 입각한 것으로 정보주체의 동의 없이 가명정보처리 및 활용을 해서는 안 된다고 말했다.

이 외에도 가명처리된 개인정보 출판의 위험성, 민감정보 활용시 정보주체의 권리 침해의 위험성 등을 강조했다. 또한 GDPR에서 공익적 목적을 위한 정보 활용의 제한을 많이 풀어두기는 했지만, 그게 모든 것을 해도 된다는 허가는 아니라고 강조했다. 무엇보다 유럽과 한국의 문화적, 사회적 맥락이 다른 만큼 세부적인 사항은 한국적 맥락에 맞춰 활용할 수 있도록 하는 것이 중요하다고 강조하며 발제를 마쳤다.

제2발제: 오병일 진보네트워크센터 대표

“데이터3법의 문제점”

오병일 진보네트워크센터 대표는 얼마 전 국회를 통과한 ‘개인정보 3법’(개인정보보호법, 정보통신망법, 신용정보법)의 문제점을 지적하는 발제를 이어나갔다. 오병일 대표는 현재 대한민국의 개인정보보호법이 유럽 GDPR에 비추어 미흡한 점이 많으며, 이로 인해 정보주체의 권리가 침해되고, 개인정보 보호가 제대로 이루어지기 힘든 구조임을 거듭 강조했다.

오병일 대표는 현재 개인정보보호법이 정의하는 개인정보의 범위가 매우 좁은데, 이 경우 ‘개인정보’로 인정되지 않아 제대로 보호되지 않는 데이터가 발생할 수 있음은 물론, 현재 개인정보보호법상 개인정보 범위에 대한 해석이 애매모호해질 수 있는 부분이 존재함을 지적했다. 또한 최근 이슈가 되고 있는 ‘과학적 연구’에 대해서도 가명처리된 개인정보의 상업적 활용, 제공, 결합을 폭넓게 허용하여 대기업 사이에 고객정보의 무한 공유 및 이에 따른 개인정보 남용 및 유출 위험성이 커짐을 강조했다.

특히나 이번 법 개정에서는 개인의 권리를 보장할 수 있는 정보주체의 권리 조항이 제대로 포함되지 않아, 개인정보 보호를 위한 안전장치도 미흡하다고 강조했다. AI와 빅데이터를 이야기 할 때 개인정보보호중심 설계 및 기본 설정, 프로파일링 권리 보장 및 규제의 부재, 개인정보 영향평가 등 다수 정보주체의 권리 보장 조항이 누락된 점은 특히나 문제라며 발제를 마쳤다.

제3발제: 클라우디오 루세나(Claudio Lucena) 브라질 파라이바 주립대학교 법대 교수

“프라이버시 친화적 데이터연계 방식과 GDPR”

클라우디오 루세나 교수는 “프라이버시 친화적 데이터연계 방식과 GDPR”을 주제로 발제했다. 그는 브라질의 개인정보보호법 및 데이터 활용 상황도 공유했다. 루세나 교수는 브라질에서도 GDPR이 골든 룰(Golden Rule)처럼 표준으로 여겨지고 있으며, 이를 통해 개혁이 아닌 단순히 데이터보호 체계를 만들어 가고 있다고 했다.

루세나 교수는 데이터 활용과 관련하여 데이터를 재생산 가능한, 민감한 생필품이라고 정의했다. 디지털 경제 생산 시스템에서 데이터를 활용하여 정책을 개선하거나 더 나은 정책을 만들 수 있다는 데이터를 활용할 수 있어야 한다는 것에는 이견이 없을 것이라 주장했다. 따라서 데이터 접근권 및 사용권 자체를 막는 건 경제적으로 맞지 않다고 말했다. 동시에 데이터 자체가 ‘나’라는 존재는 될 수 없지만 오늘날의 데이터는 우리 자신을 대변하는 인격의 연장선상에서 바라봐야 한다고 말했다. 그는 절대적인 접근과 사용을 허가하는 것도, 원천적으로 금지하는 것도 결국 옳은 방법이 아님을 강조했다.

루세나 교수는 브라질의 데이터보호법과 한국의 개인정보보호법 모두 민감정보에 대해 정의하고 있는 반면, GDPR은 민감정보에 대해 명시적인 조항을 가지고 있지는 않음을 이야기했다. 하지만 GDPR을 통해 전반적 데이터 보호 기준이 강화된 것으로 이해해야 한다고 설명했다. 또한 브라질 법의 경우 상업적 데이터로 활용할 수 있는 경우를 매우 자세히 다루고 있음을 언급했다. 또한 기초연구가 아닌 상업적 연구의 경우 브라질은 민감정보를 기반으로한 연구는 금지하고 있다고 밝혔다. 공공을 위한 연구의 경우 예외가 되는데, 다만 활용과 보호 사이 균형을 맞추는 것이 중요하다며, 브라질 법의 경우 세세한 조항으로 언급하고 있음을 강조했다. 그는 이외에도 단순히 법적 규제 만으로는 이런 문제를 전반적으로 다룰 수 없으며, AI 거버넌스 등 다른 일련의 역할을 할 수 있는 장치들을 더해 전 세계적 틀을 구성하여 정보주체의 권리를 잘 담아내야 한다고 강조하며 발제를 마쳤다.

종합토론

이날 토론자로 함께 한 이대희 고려대학교 법학전문대학원 교수는 데이터가 엄청난 가치를 지니게 됨으로써 데이터 활용에 대한 위험성 지적과 함께 프라이버시와 관련된 문제들이 야기되었다고 한다. 그는 데이터의 활용과 보호에 균형을 맞춰야 함을 강조하며, 보호만 강조하면 결국 활용이 힘들어진다고 강조했다. 이번 개인정보보호법 개정에 대해서도 인공지능과 관련한 조항이 없음을 강조하며, 개인정보보호법을 데이터 활용에 보다 초점을 맞춰 개정하고, 이와 동시에 정보주체의 권리도 보다 확대되어야 한다며 토론을 마무리했다.

김가연 오픈넷 변호사는 ‘가명정보’에 초점을 맞춰 토론을 진행했다. 김가연 변호사는 이번 법 개정으로 기업들이 가명정보를 편히 쓸 수 있는 것처럼 이야기하지만, 실상은 그렇지 않다고 강조했다. 이번 개인정보보호법 개정은 활용과 보호를 둘 다 놓친 법안이라고 비판했다. 특히나 대한민국의 경우 주민등록제도와 실명제 등 가명정보 처리를 했다고 하더라도 재식별 가능성이 높기 때문에, 이에 대한 안전장치도 함께 강화했어야 하는데 이 부분은 다 놓쳤음을 강조했다. 이후 시행령 제정 등의 과정 역시 이런 논의들로 쉽지 않을 것이라 주장했다. 김가연 변호사는 개인정보보호법이 정의하는 과학적 연구의 범위가 어디까지 해당 할지에 대한 질문으로 발제를 마무리했다.

이호영 정보통신정책연구원 지능정보사회정책센터 센터장은 현재 세계적 논의와 마찬가지로 국내에서도 각각의 인공지능 원칙들이 충돌할 때에 이를 어떻게 해소할지에 대해 고민하고 있다고 말했다. 뿐만 아니라 인공지능 서비스의 활용 측면에 있어서도 계층화가 이뤄지고 있다고 강조했다. 소득격차, 학력격차 등 개인정보를 제공하고도 서비스를 제대로 누리지 못하거나, 아예 제공 자체를 원천 차단하여 어떤 서비스도 받지 못하는 경우가 존재한다는 것이다. 이외에도 초국가적 시장이 생기고, 그 안에서 정부, 시민사회, 기업 등 모든 것들이 섞여 있어 새로운 프레임이 계속 생겨남에 따라 이를 이야기할 수 있는 국제적 협약이 필요하다며 토론을 마무리했다.

이후 종합토론에서는 플로어의 청충들까지 토론에 참여하여 앞서 논의됐던 주제들은 물론, 정부 규제와 기업의 입장, 노동 시장에서의 인공지능 도입으로 인한 문제 등으로까지 주제를 확장하며 열띤 논쟁이 이어졌다.

시민들의 의견

댓글 달기

이름

Comment

텍스트 형식 정보

텍스트 형식

Plain text

웹 페이지 주소 및 이메일 주소는 자동으로 링크로 전환됩니다.
줄과 단락은 자동으로 분리됩니다.
사용할 수 있는 HTML 태그: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd>

CAPTCHA

스펨 사용자 차단 질문

IT운동

데이터3법의 아이러니 – 공공목적 없이 정보주체의 권리를 제한하는 개인정보보호법 제28조의7 재개정을 요구한다

사단법인 오픈넷은 올해 2월 제정된 소위 “데이터3법” 중 아무런 이유 없이 정보주체의 권리를 제한하는 개인정보보호법 제28조의7^[1]을 재개정할 것을 요구한다. “데이터3법”의 핵심취지는 GDPR을 벤치마킹하여 ‘통계작성, 과학적 연구, 공익적 기록보존의 목적(이하, “공공목적”)’으로는 개인정보를 정보주체의 동의 없이 이용할 수 있도록 한 개정법 제28조의2^[2]에 담겨져 있다. GDPR은 정보주체들이 열람권, 정정권, 처리제한권, 처리거부권을 너무 많이 행사하는 경우 공공목적이 무산되는 것을 방지하기 위해 공공목적의 이용에 한하여 이들 권리를 제한했다. 그런데 우리나라는 데이터3법을 졸속으로 통과시키면서, 개인정보보호법 제28조의7에서 단순히 가명처리만 하면 정보주체의 권리가 제한되도록 하여 개인정보처리자들이 공공목적 없이도 정보주체들의 권리를 제한할 수 있게 하였다.

즉, GDPR은 공공목적을 위해서는 정보최소화원칙에 부합하는 안전조치(예를 들어, 가명처리)를 적용하면 정보주체의 동의 없이 개인정보를 이용할 수 있으되(GDPR 제89조 1항), 공공목적으로 처리될 때는 제15조(열람권), 제16조(정정권), 제18조(처리제한권) 및 제21조(처리거부권)에 규정된 권리의 적용을 일부 제외할 수 있다(89조 2항)고 하였다. 이에 비해 우리나라 개인정보보호법 제28조의7은 “가명정보는 [고지권, 파기권, 통지권, 정정권, 삭제권 등]의 규정을 적용하지 아니한다고 되어 있을 뿐이다. 자신에 대한 정보에 대한 열람권, 정정권 등 중요한 권리들이 GDPR 하에서는 공공목적 이용에 한해서 가명처리까지 이루어져야 제한되지만 우리나라 법은 공공목적과 무관하게 가명처리만 되면 정보주체의 권리들이 모두 제한되는 것이다.

이 차이는 형식적 차이 이상의 심각한 혼란을 초래하고 있고 정보인권을 심대하게 침해할 것이다. 정보처리자들은 과학적 연구, 통계작성 등의 목표도 없이 가명처리를 하는 것만으로 정보주체들의 권리를 제한할 수 있게 되었다. 예를 들어 통신사들은 이용자들에 대해 가지고 있는 개인정보를 가명처리하고 재식별키를 제3자에게 보관시키게 되면 이용자들이 자신들에 대해 통신사가 가지고 있는 정보를 열람하겠다고 해도 보여주지 않아도 된다.

더 아이러니한 것은 정부는 가명처리가 정보주체에게 미치는 위험을 감지했음에도 입법불비를 인정하고 개선하려 하지 않고 정보처리자에게 가명처리를 절차적으로 매우 하기 어려운 일로 만들어버렸다. 이에 따라 최근 8월에 개인정보보호위원회가 발표한 가명정보가이드라인(가명처리편)은 전 세계에서 유일무이하게 가명처리에 엄격한 절차적 요건을 부과하고 있다. 하지만 가명처리는 전 세계적으로 개인정보보호를 위해 장려되는 조치로서 당연히 정보주체의 동의 없이 할 수 있어야 한다. GDPR도 제32조와 제40조에서 가명처리는 모든 개인정보처리자가 기본적으로 해야 하는 보호조치로 명시하고 있다. 심지어 우리나라의 경우에도 법으로 주민등록번호는 반드시 암호화하여 보관하도록 하여 유출되더라도 식별화 피해를 최소화하도록 하고 있는데(개인정보의 안전성 확보조치 기준 제7조) 여기서 암호화란 정보보호 상으로는 가명처리의 스펙트럼 속의 한 방식일 뿐이다. 그런데 이렇게 가명처리를 어렵게 만들어 놓으면 개인정보처리자들은 프라이버시 보호를 위한 자발적인 가명처리를 하지 않게 되어 유출시 위험이 더 높아질 수밖에 없다.

결국, 가명처리 이전에는 개인정보보호를 위해 장려되고 활발하게 이루어져야 할 가명처리를 어렵게 만들어서 개인정보보호가 약화되고, 가명처리 이후에는 열람권, 삭제권 등 정보주체의 권리가 제한되어 더욱더 개인정보보호가 약화되는 최악의 상황이 만들어져버렸다. 이 상황에서는 개인정보보호에 대한 양보의 대의명분으로 제시되는 공공목적 개인정보 활용이 이루어지기도 어렵지만, 이루어질 경우에도 너무나 위험하게 되었다. 지금이라도 GDPR을 벤치마킹하겠다는 취지를 살려서 제28조의7을 개정하여 ‘과학적 연구, 통계작성, 공익적 기록보전’의 목적을 위해 가명처리된 정보에 대해서만 권리제한이 이루어지도록 하고 가명처리 자체는 모든 개인정보처리자가 활발하게 하도록 장려하는 보완조치들이 이루어져야 할 것이다.

이와 함께 사단법인 오픈넷은 지난 4월 위 문제를 포함하여 개인정보보호법의 개정 및 보완 요구를 하면서 ‘과학적 연구’의 정의에 연구결과가 논문 등의 형태로 공개되어야 한다는 요건을 포함할 것과 개인정보 결합시 결합키관리기관과 결합기관을 분리할 것도 요청하였다. 결합키관리기관과 결합기관의 분리는 <가명정보의 결합 및 반출 등에 관한 고시[시행 2020. 9. 1.] [개인정보보호위원회고시 제2020-9호, 2020. 9. 1., 제정]>를 통해서 어느 정도 해결이 된 반면, ‘과학적 연구’의 결과 공개 요건은 아직도 개선되어 있지 않다. 재개정을 통해 이 문제도 같이 해결할 것을 요구한다.

________________________________
[1] 제28조의7(적용범위) 가명정보는 제20조, 제21조, 제27조, 제34조제1항, 제35조부터 제37조까지, 제39조의3, 제39조의4, 제39조의6부터 제39조의8까지의 규정을 적용하지 아니한다.

[2] 제28조의2(가명정보의 처리 등) ① 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다.
② 개인정보처리자는 제1항에 따라 가명정보를 제3자에게 제공하는 경우에는 특정 개인을 알아보기 위하여 사용될 수 있는 정보를 포함해서는 아니 된다.

2020년 9월 25일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, [email protected]

[관련 기자간담회 개최]

일시: 2020년 9월 29일(화) 오전 10시 ~ 11시
장소: 오픈넷 회의실 (서울시 서초구 서초대로50길 62-9, 402호)
위 내용에 대해 설명하는 기자간담회에 참석을 원하시는 기자님은 참가신청을 해주시기 바랍니다.

[관련 글]
[공동 논평] 개보위 역할 인식 아쉽다 – 개인정보 보호위원회는 정보주체 권리 보호에 더 적극적이어야 (2020.09.22.)
[논평] 개인정보보호법 가명화 도입, 입법불비부터 선결되어야 GDPR 수준의 정보보호 할 수 있다. (2020.04.09.)

논평/보도자료, 프라이버시

금, 2020/09/25- 21:07

IT운동

통신자료제공시 이용자 통지 제도 신설하는 전기통신사업법 개정안(허은아, 2104821)에 대한 찬성의견 제출

사단법인 오픈넷은 2020. 11. 24. ‘통신자료’의 명칭을 ‘통신이용자정보’로 명확하게 규정하고 당사자에게 정보제공사실을 통지하는 절차를 신설하는 전기통신사업법 일부개정법률안(허은아의원 대표발의, 의안번호: 2104821)에 대하여 다음과 같이 찬성의견을 제출했다.

전기통신사업법 일부개정법률안(허은아, 2104821) 오픈넷 의견서 다운로드

문의: 오픈넷 사무국 02-581-1643, [email protected]

『전기통신사업법 일부개정법률안』에 대한 의견서

1. 통신자료제공 제도의 문제점

현 전기통신사업법 제83조 제3항이 규정하고 있는 통신자료제공 제도는 수사기관 등이 법원의 허가 등을 받지 않고 이용자의 개인정보를 무단으로 취득할 수 있게 하고 있어 영장주의 원칙을 위반하여 이용자의 개인정보자기결정권을 침해함
- 수사기관은 헌법 제12조 제3항이 규정하고 있는 영장주의 원칙의 우회수단으로 통신자료제공 제도를 남용해 왔으며, 이는 통신자료제공 요청이 전화번호(ID) 수 기준으로 2012년 788만여 건에서 2015년 1,058만여 건으로 크게 증가하는 등 통계로도 확인된 바 있음
- 국가인권위원회는 2014년 2월 10일 영장주의 원칙의 위반을 이유로 통신자료제공 제도를 폐지하는 법 개정을 추진할 것을 권고한 바 있으며, 2016년 5월 18일 시민 500명은 관련 전기통신사업법 조항들에 대해 헌법소원을 청구해 현재 헌법재판소에서 심리중임
통신자료제공 제도는 영장주의 원칙 위반 외에도 달리 정보주체에게 사전 또는 사후 통지하는 제도를 두고 있지 않아 적법절차 원칙에 위반됨. 통신자료제공에 대한 통지 제도가 없기 때문에 정보주체는 자신의 개인정보가 수사기관에 제공되었는지 알 수 없고, 부당하게 제공되었더라도 이에 대해 시정을 요구할 수 있는 방법이 없음

2. 찬성의견

가. 주요내용

본 개정안은 ‘통신자료’의 명칭을 ‘통신이용자정보’로 명확하게 규정하고 당사자에게 정보제공사실을 통지하는 절차를 두도록 함으로써 개인정보 보호를 강화하고 통신자료 남발 가능성을 제한하고자 함(안 제83조의2 신설 등)

나. 통신자료의 명칭 변경에 대한 의견

통신자료는 이용자의 성명, 주민등록번호, 주소, 전화번호 등으로 명백히 개인정보보호법상 개인정보에 해당함에도 불구하고 ‘통신자료’라고 지칭함으로써 그 의미를 전혀 알 수 없는 문제가 있었음. 따라서 ‘통신자료’를 그 의미가 좀 더 명확하게 드러나는 ‘통신이용자정보’로 변경하는 것에 찬성함

다. 통신이용자정보제공 통지 제도 신설에 대한 의견

헌법 제12조에 규정된 적법절차원칙은 비단 형사절차뿐만 아니라 모든 국가작용 전반에 적용되며, 적법절차원칙에서 도출되는 중요한 절차적 요청으로, 당사자에게 적절한 고지를 행할 것, 당사자에게 의견 및 자료 제출의 기회를 부여할 것 등을 들 수 있음(헌재 2003. 7. 24. 2001헌가25; 헌재 2015. 9. 24. 2012헌바302 등 참조). 통신자료제공에 관한 수사기관의 권한남용을 방지하고 정보주체의 기본권을 보호하기 위해서는, 적법절차원칙에 따라 정보주체에게 적절한 고지와 실질적인 의견진술의 기회가 부여되어야 함
본 개정안은 ‘통신이용자정보제공을 받은 날부터 30일 이내’에 제공을 받은 사실, 이유, 제공요청기관 등을 알려주도록 하고 있고, 특별한 사유가 있는 경우 60일 이내의 기간을 정하여 통지를 유예할 수 있도록 하고 있음. 이는 통신자료제공 제도를 적법절차원칙에 합치하도록 개선하는 안이므로 찬성함

논평/보도자료, 입법정책의견, 프라이버시

수, 2020/11/25- 19:41

IT운동

오픈넷, EU에 대한민국 적정성 평가시 가명정보특례조항에 대한 검토 요구

사단법인 오픈넷은 지난 3월25일 EU개인정보보호관과 EU집행부에, 대한민국에 대한 GDPR적정성(adequacy) 평가를 함에 있어 우리나라 법이 가명정보에 대해 열람권 등의 정보주체권리를 박탈한 것에 대해 그리고 개인정보의 상업적 이용을 정보주체의 동의 없이 허용하는 ‘과학적 연구’특례의 정의에 있어서 연구내용의 공개를 요구하지 않는 점들을 고려해 줄 것을 요청하는 서한을 발송하였습니다.

GDPR적정성 평가는 EU회원국 시민들의 개인정보가 대한민국으로 이전될 수 있도록 하기 위한 즉 한국의 정보처리자들이 유럽시장에 진출하기 위해서는 필수절차이며(사안별로 비용을 들여야 하는 표준계약을 피하기 위해서는) 현재 아시아에서는 일본만 받은 상황입니다. EU집행부와 EU개인정보위원회는 대한민국과 적정성 결정을 내리기 위한 교섭을 진행 중입니다.

개인정보보호법 제28조의7은 과학적 연구 등의 특별한 목적이 아닌 경우에도 가명화만 되더라도 열람권 등 정보주체의 여러 권리가 박탈됩니다. 28조의5는 일단 가명화가 된 정보는 정보주체가 열람권 등 권리를 행사하기 위해 필요한 경우에도 재식별화를 할 수 없도록 하여 실제로 열람권 등의 정보주체의 권리를 소멸시키고 있습니다. 이렇게 될 경우 많은 정보처리자들이 과학적 연구 등의 특수한 정보처리를 수행하고 있지 않은 상황에서도 정보를 가명화된 상태로 보관한다는 이유만으로 열람권 등 정보주체의 권리 행사를 거부하는 일들이 발생하게 됩니다.

게다가 가명화만으로 이렇게 심각한 권리의 박탈이 발생하므로 가명화의 절차가 더욱 복잡하고 엄격해지면서 GDPR이 장려하고 요구하는 ‘안전조치(safety measure)’로서의 가명화를 하려는 정보처리자도 더욱 어려움을 겪게 되어 결과적으로는 정보주체들의 프라이버시가 더욱 침해됩니다.

또 우리나라 법에서는 가명화된 정보는 정보주체의 동의 없어 과학적 연구목적으로 처리할 수 있게 허용하고 있는데 이때 ‘과학적 연구’가 순수히 사적인 목적이 아니라 과학적 지식의 지평을 넓힐 수 있도록 연구가 공유될 것을 요구한 GDPR 전문 159조의 내용에 대응하는 내용이 우리나라 개인정보보호법에는 없다는 점도 지적하였습니다.

유럽시민들의 개인정보가 국내 정보처리자들에 의해 처리될 때 위와 같은 정보주체권리의 박탈이 이루어진다는 사실 또 ‘안전조치’로서의 가명화가 어려워진다는 사실은 적정성평가절차에 있어서도 중요한 의미를 가지게 될 것입니다. 우리나라 국회와 개인정보보호위원회가 하루 빨리 개인정보보호법의 가명특례조항들을 개정하길 기대합니다.

논평/보도자료, 프라이버시

수, 2021/03/31- 00:44

IT운동

오픈넷, 인도네시아 정부에 “MR5” 반대서한 전달 – 역대 “최악의 인터넷 표현의 자유 프라이버시 규제”

지난 5월 28일 사단법인 오픈넷은 아티클19 및 SAFENET 포함 24개 국제 인권단체들과 함께 인도네시아 정부가 공포한 정보통신부령 “MR5”에 대한 반대 서한을 전달했다. MR5는 전자프런티어재단(EFF)에 따르면 지금까지 나온 인터넷규제법 중에서 최악이라고 한다. (위 서한전달을 위한 교섭을 하는 도중 인도네시아 정부는 시행일자를 5월 24일에서 6개월 연기하였다.)

MR5는 첫째, 인도네시아 내에서 접근 가능한 모든 국내외 플랫폼에 ‘금지 콘텐츠’가 유통되지 않도록 할 의무를 부과하고 이를 지키지 않을 경우 플랫폼이 차단되도록 하였다. 플랫폼 운영자에게 불법정보를 미리 차단하도록 요구하는 것은 플랫폼 운영자가 사전검열(prior censorship)이나 상시감시(general monitoring)를 하도록 강요하여 국제인권원칙의 하나인 정보매개자책임제한 원리에 반한다.

둘째, 위 ‘금지 콘텐츠’는 “공공의 동요와 무질서(public unrest or public disorder)를 촉발하는(causing) 모든 콘텐츠”로 정의되어 매우 광범위하게 설정되어 있다. ‘금지 콘텐츠’의 정의는 우리나라 기준에서 과잉금지의 원칙과 명확성의 원칙에 모두 반하는 것으로서 표현의 자유를 위축시키고 합법적인 정보까지 차단한다.

셋째, 특히 인도네시아 정보통신부가 특정 콘텐츠에 대해 “긴급”차단을 요청할 경우 24시간 내에 차단이 이루어지지 않으면 플랫폼 자체가 차단된다. 이 역시 짧은 시간 안에 판단을 내릴 수 없는 플랫폼 운영자가 콘텐츠의 합법성에 무관하게 과잉차단을 하도록 한다.

넷째, 위 플랫폼들이 모두 사전등록을 하지 않으면 역시 플랫폼이 차단되도록 하였다. 전 세계에서 콘텐츠 제공자 등록제를 운영하는 나라는 우리나라를 제외하면 거의 없다. 사전등록제는 플랫폼들의 운영권한을 정부가 좌지우지할 수 있는 통제수단이 된다.

다섯째, 위 플랫폼들이 사전등록과 동시에 사용자 정보에 “직접 접근(direct access)” 권한을 정보통신부에 부여해야 하며 이 권한을 부여하지 않으면 역시 플랫폼이 차단된다. 이와 같은 직접 접근은 아무런 근거 없이 수많은 사람들에 대한 감시를 허용하고 특히 영장과 같은 절차적 보호기제를 생략한다. 이는 오픈넷이 주도하여 500여 시민단체들이 연명한 통신감시에 대한 필수성 및 비례성 원칙에 정면으로 반한다.

문의: 오픈넷 사무국 02-581-1643, [email protected]

논평/보도자료, 표현의 자유, 프라이버시

목, 2021/06/10- 15:29

IT운동

오픈넷·체감규제포럼, 자유롭고 공정한 인터넷 생태계 조성을 위한 ‘상호접속고시’ 개정방안 특별세미나 공동 개최 (11/7, 명동 포스트타워 21층)

사단법인 오픈넷이 사단법인 체감규제포럼과 공동으로 2019. 11. 7.(목) 오후 2시, 명동 포스트타워에서 상호접속고시 개정방안 특별세미나를 개최합니다.

인터넷을 기반으로 하는 디지털 경제가 국가경쟁력에 미치는 중요성은 더 확고하고 강력해지고 있습니다. 세계 경제지형은 인터넷 기반의 디지털 경제라는 새로운 경제축을 형성하며 부가가치와 일자리를 창출하고 있습니다. 그러한 의미에서 ‘인터넷망’은 디지털 경제에 있어서 자원 배분의 근본이 되는 국가의 주요 정책입니다.

그러나 정부는 ‘인터넷망’의 핵심 가치인 ‘자유’와 ‘공정’이라는 공익을 준수함에 있어서 흠결을 보인 바 있습니다. 2016년 개정, 시행된 ‘상호접속고시’에 의거하여 통신사는 콘텐츠·플랫폼 업체에게 ‘망사용료’를 부과, 수익을 취하고 있습니다. 그러나 이러한 ‘망사용료’ 혹은 과다한 ‘인터넷접속료’는 혁신적 서비스의 안착에 부정적 영향을 미치고 있습니다. 특히 이러한 중요한 ‘고시’의 개정이 이해관계자 의견수렴 등 그 타당성에 대하여 제대로 검증할 기회도 없이 ‘비중요’ 규제로 취급되어 시행되었습니다. 자유롭고 공정한 인터넷 산업 생태계 구축을 위해 ‘상호접속고시’의 정산방식에 대하여 공개적으로 숙의할 수 있는 토론의 장을 마련하고자 합니다.

이번 세미나에서는 캐나다 오타와대학교 로스쿨 마이클 가이스트 교수(Michael Geist, Professor of Law, Ottawa University)를 초청해 “캐나다 인터넷 종량제 도입 실패의 교훈”에 대한 기조발표를 듣습니다. 이어 국내 전문가 김민호 성균관대 법학전문대학원 교수, 박경신 고려대 법학전문대학원 교수, 김현경 서울과기대 IT정책전문대학원 교수가 각각 상호접속고시의 문제점을 다양한 관점에서 분석해봅니다.

국내외 전문가 발표 후 자유롭고 공정한 인터넷 생태계 조성을 위한 ‘상호접속고시’ 개정방안을 논의하는 특별좌담이 진행됩니다. 이상우 연세대 정보대학원 교수가 좌장을 맡고, 김도승 목포대 법학과 교수, 김민호 성균관대 법학전문대학원 교수, 김현경 서울과기대 IT정책전문대학원 교수, 박경신 고려대 법학전문대학원 교수, 조윤영 중앙대 정치학과 교수, 최민오 보안컨설턴트/오픈넷 자문위원이 토론합니다.

관심있는 분들의 많은 참석을 바랍니다.

문의: 오픈넷 사무국 02-581-1643, [email protected]