김서안 / 법학과 박사
개인정보 보호법제 패러다임의 변화
■ 개인정보이동권은 기존의 개인정보에 관한 권리와 어떤 차이가 있는지
전통적으로 개인정보처리에 관한 합법적인 접근 권한은 정보처리자(Data Controller)에게만 주어졌고, 정보주체(Data Subject)는 자신의 정보가 어느 범위까지 수집되는지, 수집된 정보가 정확한지 등을 확인하기 위해 소극적으로 열람을 청구할 수 있었고, 만일 정보가 정확하지 않은 경우 이에 대한 방어로 처리의 중지나 정지, 삭제 등을 요청할 수 있을 뿐이었다.
그런데 디지털 사회가 고도로 발전되면서 디지털 사회의 중심이 기술에서 개인, 즉 정보주체로 전환됐다. 이에 따라 다양한 온라인 플랫폼에서 활동하는 정보주체의 디지털 라이프 연속성을 위해, 개인정보를 플랫폼 간에 옮길 수 있도록 시스템 간의 ‘이동성(Portability)’을 보장하는 개인정보이동권이 2018년 「일반개인정보보호규정」 제20조에 새롭게 창설됐다. 이 권리를 통해 정보주체가 자신의 개인정보에 대한 전송요청권한과 수령권한을 인정받아 통제권을 갖게 된 것이다.
정리하면 기존의 개인정보보호권이 개인정보처리에 관해 열람·중지·정지·삭제 등을 요청할 수 있는 수동적이고 방어적인 권리라고 한다면, 개인정보이동권은 정보주체가 자신의 의사에 따라 개인정보를 전송·수령·활용할 수 있는 자율적이고 적극적인 권리라는 점에서 구별된다.
■ 한국이 개인정보이동권 도입에 선진적이지 못했던 이유는
우리나라는 그간 다른 나라에 비해 개인정보를 활용하는 것보다 보호하는 쪽에 치우친 개인정보 보호법제를 가지고 있었다. 2018년 유럽연합의 「일반개인정보보호규정」이 발효된 후, 제20조에 규정된 개인정보이동권에 대한 연구도 당시 국내에서 진행되고 있었다. 개인정보에 대한 보호를 중요시했던 우리나라는 개인정보이동권을 일반법인 「개인정보 보호법」에서 규정하는 것보다 금융이나 의료 분야처럼 ‘일정한 사항이나 사람 및 장소 등에 제한을 두는’ 특별법에서 규정하는 방향으로 관련 정책을 논의했다. 그리고 실제로 2020년 특별법인 「신용정보법」에서 개인정보이동권을 처음으로 도입하게 됐다.
사회적 거리두기가 장기화되면서 디지털 세계가 비약적으로 확대돼 경제와 사회 구조에 변화를 가져왔고 이에 따라 데이터 경제의 중요성이 더욱더 커지게 됐다. 우리나라에서도 일반법인 「개인정보 보호법」에 개인정보이동권을 도입하는 개정안을 입법예고했다. 즉, 우리나라는 상대적으로 개인정보의 보호에 주력했기 때문에 다른 주요국보다 개인정보이동권의 도입이 선진적이지 못했던 것이다. 하지만 코로나19의 장기화로 인해 사회·경제 구조가 변화하면서 데이터 경제 활성화를 위해 개인정보이동권의 도입을 서두르게 된 것이다.
■ 개인정보에 관한 권리에 대해 계획 중이거나 진행 중인 후속 연구가 있는지
궁극적으로는 개인정보를 보호하면서도 활용할 수 있는 방안에 관한 다양한 연구를 하고 싶다. 디지털 사회는 이미 우리의 삶에서 분리될 수 없고 앞으로도 더욱 고도화될 것이다. 이에 따라 개인정보에 대한 보호만을 주장할 수 있는 시기는 이제 지나갔다고 판단되는 바이다. 하지만 개인의 프라이버시를 보호하는 것은 국민의 헌법상 권리로서 여전히 가장 중요하다. 따라서 안전하게 개인정보를 활용할 수 있는 보안체계를 구축할 필요가 있다. 이를 위해서는 기술적 이해가 선행돼야 한다고 판단해 가명처리와 익명처리 기술과 프라이버시 보호모델에 관한 연구를 진행 중이다. 또한 현재 개인정보이동권은 글로벌 이슈로 해외에서 다양한 논의가 계속되고 있기 때문에 그간 연구해 온 내용에 추가로 연구한 내용을 정리하고 취합해 해외 저널에 투고할 예정이다.