법무법인 민후의 김경환 대표변호사가 2017. 10. 26. 개최된 금융정보보호컨퍼런스에서 강연한 자료입니다.
김 변호사는 해당 강연을 통해 각 나라의 빅데이터 조문의 비교, EU GDPR에 규정된 빅데이터 관련 조문에 대한 소개와 우리나라의 빅데이터 조문에 대한 소개까지 개인정보 활용과 보호에 대해 설명하였습니다.
2. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr
2
목차
1. 빅데이터의 기술적 동향
2. 빅데이터의 법적 정의
3. 기존 데이터 분석과 비교한 빅데이터 분석의 5가지 특징
4. 빅데이터 분석을 기존의 개인정보 법령으로 규율할 수 있는가
5. 각 나라의 빅데이터 조문의 대비
6. EU GDPR의 빅데이터 활용 조문
7. EU GDPR의 빅데이터 관련 개인정보보호 조문
8. 우리나라의 빅데이터 조문
9. 결어
3. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr
3
1 빅데이터의 기술적 동향
4. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr
4
빅데이터의 기술적 동향
2015년에서 하이퍼 사이클에서 사라짐 : Big Data ... has become prevalent in our lives
Emerging Technology Hyper
Cycle (2014년)
5. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr
5
2 빅데이터의 법적 정의
6. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr
6
빅데이터의 법적 정의
EU Article 29 Working Party (WP29), Opinion 3/2013 on purpose limitation.
‘Big data refers to the exponential growth both in the availability and in the automated
use of information: it refers to gigantic digital datasets held by corporations, governments
and other large organisations, which are then extensively analysed (hence the name:
analytics) using computer algorithms’
‘‘big data’ refers to the practice of combining huge volumes of diversely sourced
information and analysing them, using more sophisticated algorithms to inform decisions.’
European Data Protection Supervisor (EDPS), Opinion 7/2015 Meeting the challenges of
big data
Volume, Diversity, Analytics, Algorithm, Decision
빅데이터와 빅데이터 분석은 같은 의미로 사용되는 게 일반적임
7. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr
7
3 기존 데이터 분석과 비교한
빅데이터 분석의 5가지 특징
8. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr
8
기존 데이터 분석과 비교한 빅데이터 분석의 5가지 특징
① the use of algorithms (알고리즘의 사용)
② the opacity of the processing (처리의 불투명성)
③ the tendency to collect ‘all the data’ (모든 데이터를 수집하는 경향)
④ the repurposing of data (데이터의 리퍼포징)
⑤ the use of new types of data (새로운 형태의 데이터의 사용)
* 출처 : 영국 ICO, Big data, artificial intelligence, machine learning and data protection
9. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr
9
기존 데이터 분석과 비교한 빅데이터 분석의 5가지 특징
전통적인 데이터 분석은 조건에 맞는 데이터를 찾기 위한 쿼리를 구축하는 것임
빅데이터 분석은 데이터 사이의 상관관계를 찾기 위한 수많은 알고리즘의 적용과정임
the use of algorithms (알고리즘의 사용)
전통적인 데이터 처리의 경우, 처리 과정을 이해할 수 있음
the opacity of the processing (처리의 불투명성)
빅데이터 분석의 경우, 예를 들어 알파고의 한 수가 어떤 과정으로 나왔는지에 대하여 알 수
없음
10. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr
10
기존 데이터 분석과 비교한 빅데이터 분석의 5가지 특징
전통적인 데이터 처리의 경우, 통계적으로 대표 데이터를 찾는 과정이 필요함
빅데이터 분석의 경우, 이용가능한 모든 데이터를 수집하여 분석함
the tendency to collect ‘all the data’ (모든 데이터를 수집하는 경향)
빅데이터의 분석은, 수집시 목적과 다른 목적에의 이용이나 다른 조직에의 제공을 특징으로
함
the repurposing of data (데이터의 리퍼포징)
11. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr
11
기존 데이터 분석과 비교한 빅데이터 분석의 5가지 특징
전통적으로 정보주체가 의식적으로 제공하는 데이터가 주 소스이었음 (아래 제공데이터)
the use of new types of data (새로운 형태의 데이터의 사용)
향후 IoT 등의 발달로 인하여 자동 수집된 데이터가 주 소스가 될 것으로 보임
(아래 관찰 데이터)
12. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr
12
기존 데이터 분석과 비교한 빅데이터 분석의 5가지 특징
* 데이터의 유형 (출처 : Information Accountability Foundation)
• Provided data(제공 데이터) : 정보주체가 의식적으로 제공한 데이터
• Observed data(관찰 데이터) : IoT 센서나 쿠키 등으로 자동 수집된 데이터
• Derived data(파생 데이터) : 판매개수에 따른 수익 등과 같이 단순 파생 데이터
• Inferred data(추론 데이터) : 상관관계를 찾는 분석 등에 의하여 추론된 데이터
* 관찰 데이터 : 정보주체의 인식이 약한 데이터
* 추론 데이터 : 확률적으로 부정확성을 내포한 데이터
13. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr
13
4 빅데이터 분석을 기존의
개인정보 법령으로 규율할 수 있는가
14. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr
14
빅데이터 분석을 기존의 개인정보 법령으로 규율할 수 있는가
전통적인 상황 (유아 데이터)
<출처 : http://clipart-work.net/single/2189740.html>
15. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr
15
빅데이터 분석을 기존의 개인정보 법령으로 규율할 수 있는가
빅데이터 분석 상황 (우리 아이가 커졌어요!!!)
<출처 : http://clipart-work.net/single/2189758.html>
기존 개인정보 보호원칙이 적용 가능하나
빅데이터 특성에 맞는 추가적인 입법 조치가 필요
추가 입법의 목적 :
혁신의 달성 (아이가 편히 놀 수 있는 환경) +
개인정보 보호의 달성 (물이 넘치지 않는 환경)
16. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr
16
빅데이터 분석을 기존의 개인정보 법령으로 규율할 수 있는가
빅데이터 조문의 구성과 역할
빅데이터 활용 조문 (예 : 프로파일링, 가명처리 등)
빅데이터 관련 개인정보 보호 조문 (예 : 프로파일링 반대권, 정보이동권 등)
17. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr
17
5 각 나라의 빅데이터 조문의 대비
18. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr
18
각 나라의 빅데이터 조문의 대비
구분 EU GDPR 일본 개인정보보호법 우리 개인정보보호법
입법 시기
2012. 1. → 2016. 5.
(2018. 5. 시행)
2015. 9.
(2017. 5. 시행)
2011. 3.
(2011. 9. 시행)
신설된
빅데이터
조문
프로파일링ㆍ가명처리
추가처리와 목적외 처리
이동권ㆍ처리반대권
개인정보보호 영향평가
개인정보보호책임자 지정
기타
익명가공정보
익명가공정보취급사업자
동이 없는 익명가공정보의 활용
기존 조문으로 해결
19. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr
19
6 EU GDPR의 빅데이터 활용 조문
20. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr
20
EU GDPR의 빅데이터 활용 조문
1. 프로파일링 (제4조 제4호)
자연인과 관련된 일정한 개인적 측면을 평가하기 위하여, 특히 그 자연인의 업무능력, 경제
상황, 건강, 개인적 선호, 관심사, 신뢰도, 행동, 위치 또는 이동과 관련된 측면을 분석하거나
예측하기 위하여 개인정보를 사용하는 모든 형태의 자동화된 개인정보 처리
프로파일링은 원칙적으로 허용하나 다만 일정한 제한이 있음
5가지 특징 중 알고리즘의 이용과 관련됨
21. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr
21
EU GDPR의 빅데이터 활용 조문
2. 가명처리 (제4조 제5호)
추가정보의 이용 없이는 개인정보가 더 이상 특정 정보주체에게 귀속될 수 없는 방식으로 개
인정보를 처리하는 것을 의미하며, 이러한 추가정보가 별도로 보관되어야 하고 해당 개인정
보가 식별된 또는 식별가능한 자연인에게 귀속될 수 없게 보장하도록 기술적 및 관리적 조치
가 적용되어야 한다
추가처리나 목적외 처리의 전제로서 데이터 활용의 폭을 넓힘
다만 재식별화 방지 조치가 핵심이 되어야 함
22. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr
22
EU GDPR의 빅데이터 활용 조문
3. 추가처리의 허용 (제5조 제1항 (b))
가명처리 등 적절한 안전장치가 있는 한 공익 목적의 기록 보존ㆍ과학적 또는 역사적 연구 또는
통계 목적의 추가처리는 정보주체의 동의가 없어도 가능
과학적 연구 목적과 관련하여, 과학적 연구 목적의 개인정보 처리는 폭 넓게 해석하되, 기술의 발전
과 실현, 기초연구, 응용연구 및 민간투자연구, 공공보건 분야에서 시행된 공익성 연구를 포함함
통계적 목적은 광범위한 처리 활동을 포함하는데, 예컨대 병원에 의하여 수집되는 데이터의 통계
나 교통사고에 따른 사상자 통계와 같이 공익적 목적뿐만 아니라 웹사이트의 애널리틱 분석이나
시장조사를 목적으로 하는 빅데이터 분석 기술과 같은 상업적 목적을 포함함
5가지 특징 중 데이터의 리퍼포징과 관련됨
23. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr
23
EU GDPR의 빅데이터 활용 조문
4. 일반적인 목적 외 처리 규정 (제6조 제4항)
(a) 초기 목적과 추가 처리의 목적 사이의 관련성, (b) 정보주체와 컨트롤러의 관계와 관련
하여 개인정보가 수집된 맥락, (c) 개인정보의 성격, (d) 추가 처리가 정보주체에 대하여 야
기할 수 있는 결과, (e) 암호화 또는 가명처리를 포함하여 적절한 안전장치의 존재를 고려하
여 초기 목적과 일치한다고 판단한 경우에는 목적 외 처리가 가능
우리 법의 제18조 제2항은 목적 외 이용ㆍ제공 사유를 9가지로 열거하고 있음
5가지 특징 중 데이터의 리퍼포징과 관련됨
24. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr
24
EU GDPR의 빅데이터 활용 조문
5. 개인정보 수령자의 범주 특정 (제13조 제1항)
우리 법과 달리 수령자를 범주로 특정할 수 있음
5가지 특징 중 데이터의 리퍼포징과 관련됨
25. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr
25
7 EU GDPR의 빅데이터 관련
개인정보보호 조문
26. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr
26
EU GDPR의 빅데이터 관련 개인정보보호 조문
1. 컨트롤러의 정보제공 의무 (제13조 제2항, 제14조 제2항)
프로파일링을 포함하여 자동화된 개인 결정에 관한 사항을 수집시 정보주체에게
고지하여야 함
처리의 불투명성을 해결할 수 있는 수단이나, 어느 정도 상세하게 제공해야 하는지,
기술적으로 알고리즘을 제공할 수 있는지가 문제될 수 있음
2. 정보주체의 정보이동권 (제20조)
정보주체가 체계화되고 기계 판독이 가능한 형태로 자신의 개인정보를 제공받을 권리와
자신의 개인정보를 다른 처리자에게 이전할 것을 요구할 권리
27. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr
27
EU GDPR의 빅데이터 관련 개인정보보호 조문
3. 처리 반대권 (제21조)
프로파일링을 포함한 직접 마케팅에 대하여 처리 반대권을 행사한 경우, 처리자는 그 처리가
절대적으로 금지됨
4. 프로파일링 등 자동화된 개인 결정에 대한 권리 (제22조)
프로파일링을 포함하여 자신에 관한 법적 효력을 주거나 유사하게 자신에게 중대한 영향을
미치는 자동화된 처리에만 근거한 결정에 따르지 않을 권리
28. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr
28
EU GDPR의 빅데이터 관련 개인정보보호 조문
프로파일링이나 자동화된 개인 결정에 대하여,
a) 인적 개입을 요구할 권리
b) 정보주체가 자신의 견해를 표명할 권리
c) 자동화된 결정에 대한 설명을 요구하고 이의를 제기할 수 있는 권리를 가짐
부적절한 알고리즘이 적용되거나 부적절한 차별의 도구로서 활용되는 것에 대한 통제 수단으
로 기능함
* 2014. 5. 미국 백악관은 ‘Big Data: Seizing Opportunities, Preserving Values’에서 빅데이터에 의한
부적절한 차별의 문제를 제기함
29. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr
29
EU GDPR의 빅데이터 관련 개인정보보호 조문
5. 개인정보보호 중심 디자인 및 기본설정 (제25조)
개인정보보호 중심 디자인 : 개인정보보호의 원칙을 효과적 방식으로 이행하고 GDPR의
요건을 충족하고 정보주체의 권리를 보호하기 위해 필요한 적절한 기술적 및 관리적 조치
개인정보보호 중심 기본설정 : 기본설정을 통하여 처리의 개별 특정 목적을 위해 필요한 개인
정보만이 처리되는 것을 보장하기 위한 적절한 기술적 및 관리적 조치
6. 특수한 유형의 정보(= 민감정보) (제9조)
민감정보, 유전정보, 바이오인식정보, 건강관련정보, 성적정보
민감정보는 명시적 동의 또는 법이 허용하는 경우에 한하여 프로파일링 또는 자동화된 개인
결정 가능
30. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr
30
EU GDPR의 빅데이터 관련 개인정보보호 조문
7. 개인정보보호 영향평가 (제35조)
의무 사항이 원칙적으로 아님
다만
a) 프로파일링을 포함한 자동화된 처리에 근거한 자연인에 대한 체계적이고 광범위한 평가
로서, 해당 평가에 기반한 결정이 해당 정보주체에게 법적 효력을 미치거나 이와 유사하
게 중대한 영향을 미치는 경우
b) 민감정보에 대한 대규모 처리를 하는 경우
등의 경우는 의무사항임
31. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr
31
EU GDPR의 빅데이터 관련 개인정보보호 조문
8. 개인정보보호책임자(DPO)의 지정 (제37조)
의무 사항이 원칙적으로 아님
다만
a) 정보주체에 대한 대규모의 정기적이고 체계적인 감시의 경우
b) 민감정보에 대한 대규모의 처리
등의 경우는 지정이 의무사항임
32. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr
32
EU GDPR의 빅데이터 관련 개인정보보호 조문
9. 행동강령과 인증 (제40조, 제42조)
행동강령은 특정한 산업 분야 또는 각 산업 분야의 개인정보 처리를 대표하는 그룹이 해당
산업 분야의 개인정보 처리와 관련하여 GDPR을 준수하기 위하여 마련하는 자율적 규범임
인증은 인가받은 인증기관에 의하여 행해짐
의무사항은 아니나, 처리자가 GDPR을 준수하였음을 입증할 수 있는 유력한 증거로 활용 가능
33. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr
33
EU GDPR의 빅데이터 관련 개인정보보호 조문
10. 과징금의 부과 (제83조)
책임성의 강화 조치
아래의 경우는 전세계 연간 매출액 4% 또는 2천만 유로 중 큰 금액으로 과징금 부과
정보주체의 권리를 보장하지 않는 경우 (제12조 부터 제22조 위반)
‘동의’를 비롯한 정보처리의 기본 원칙을 위반한 경우 (제5조, 제6조, 제7조 및 제9조 위반)
34. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr
34
EU GDPR의 빅데이터 관련 개인정보보호 조문
* 영국 ICO의 빅데이터 처리시 6가지 권고 사항
① 되도록 비식별 처리하여 개인정보를 처리하라
② 정보주체에게 충분한 정보를 제공하여 투명성을 확보하라
③ 개인정보보호 영향평가를 활용하라
④ 개인정보보호 중심 디자인 조치를 하라
⑤ 내부적으로 핵심 개인정보보호 원칙을 관철할 수 있는 규칙을 개발하라
⑥ 감시 가능한 알고리즘을 개발하라
35. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr
35
EU GDPR의 빅데이터 관련 개인정보보호 조문
* 유럽위원회의 9가지 빅데이터 가이드라인
① 데이터 활용에 대한 윤리성이나 사회성을 인식할 것
② 예방적 조치와 사전 위험 평가를 할 것
③ 목적 제한성과 투명성을 준수할 것
④ 개인정보보호 중심 디자인 조치를 취할 것
⑤ 적법한 동의를 얻을 것
⑥ 익명 처리시 재식별이 되지 않도록 할 것
⑦ 알고리즘 등에 대한 인적 개입을 허용할 것
⑧ 오픈 데이터의 활용
⑨ 정보주체에 대한 교육
37. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr
37
우리나라의 빅데이터 조문
1. 프로파일링 등
법적 근거는 없지만, 정보주체의 동의를 받으면 가능할 것으로 보임
프로파일링 등 처리 방법에 대하여 개인정보처리방침에 공개하여야 함
2. 가명처리
처리자가 수집 이후 가명처리하여 내부적으로 활용하는 것은 가능할 것으로 보임
그러나 추가처리나 목적 외 처리는 정보주체의 별개의 동의를 얻지 않는 한 법적으로 불가능함
38. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr
38
우리나라의 빅데이터 조문
3. 목적 외 제공
통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태
로 개인정보를 제공하는 경우에는 정보주체의 동의 없이도 가능 (개인정보보호법 제18조 제
2항 제4호)
통계작성 및 학술연구를 비영리로 한정하는 것이 다수의 견해
특정 개인을 알아볼 수 없는 형태가 가명처리인지 아니면 익명처리인지 정립이 되지 않음
따라서 빅데이터 분석 조문으로서 효용이 매우 떨어짐
39. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr
39
우리나라의 빅데이터 조문
4. 프로파일링 등에 반대할 수 있는 권리 또는 개입할 권리
정보주체는 처리정지권을 행사함으로써 프로파일링 등의 처리를 금지시킬 수 있음
그러나 정보주체가 인적 개입을 요구할 수 있는 권리 등은 인정되지 않음
* 정리
• 빅데이터 활용 조문뿐만 아니라 빅데이터 관련 개인정보 보호 조문도 매우 빈약함
• 처리자는 혁신적 빅데이터 분석을 제대로 하지 못하고, 정보주체는 빅데이터 분석에 대하여
자신의 권리를 지킬 방도도 없는 상황임
41. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr
41
결어
핵심 원리는 정보주체와의 신뢰를 바탕으로 한 빅데이터 가치의 공유
신뢰 투명성의 확보 및 정보주체의 권리 보장
가치 빅데이터의 윤리성 확보 및 침해적 알고리즘의 배제
공유 빅데이터의 사회성의 인식
우리나라의 경우 혁신과 개인정보 보호를 위하여, 빅데이터 입법이 시급함
42. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr
42
감사합니다.
oalmephaga@minwho.kr