사물인터넷과 블록체인 시대에 있어 개인정보보호법제의 최근 동향과 과제 ― 국내의 개인정보보호법과 GDPR을 중심으로 ―

Abstract

사물인터넷 및 블록체인 시대 성공을 위해서는 사회의 신뢰도 유지가 그 전제조건이다. 그 신뢰의 핵심은 개인정보법제에 있어서는 ‘개인정보의 적절한 보호조치를 통한 활용’이다. 보호원칙 중 목적구속성, 최소수집의 원칙과 정보주체의 권리는 양보할 수가 없는 영역이다. 국내 법제와 GDPR도 그런 방향이다. 사물인터넷 시대는 전환기술이 뛰어나기에 원래의 수집목적과 다른 목적으로의 처리(제공 및 공유 등) 또한 수월하다. 그런 상황을 막기 위해 국내외의 모든 법제는 규제의 정도는 다를지언정 사물인터넷의 데이터처리에 대해 제한적 허용을 하고 있다. 즉, ‘충분하고 명백한 자유로운 동의제도, 자동화된 정보처리 및 프로파일링의 제한, 자유로운 정보이동권 보장 혹은 개인정보처리자의 정당한 이익으로의 포함 혹은 최초 수집과 양립가능성이 없는 다른 목적으로의 전환은 법령의 규정이 없는 한 불가능’의 규정들을 가지고 있다. GDPR은 가명처리를 개인정보의 보호와 활용의 균형점으로 인식하고 있다. 따라서 ‘공공기록물 보존, 과학ㆍ역사연구 혹은 통계에 있어 목적범위 내에서 가명처리를 한 경우 보안조치 등을 행한 후 동의가 없이 제공 등이 가능하다. 가명처리된 정보의 경우 보안조치 등의 선행 후 처음의 목적과 연관성, 수집배경, 개인정보의 성격, 추가처리의 결과 등을 종합적으로 고려하여 동의가 없이 처리가능하다. 블록체인 생태계는 기본적으로 개인정보보호원칙과 과거 및 현재의 기술력으로 본다면 일치하기가 쉽지는 않다. 그렇다고 하더라도 블록체인 기술에 있어 개인정보 처리와 관련이 없거나 적게 하는 기술개발이 요원한 것은 아니다. 이는 기술규제 외에도 개인정보 보호기술의 촉진으로도 문제를 해결하여야 한다는 것을 의미한다. 표면적으로만 본다면 위의 상황에 대해 정보주체에 대한 침해로 볼 수도 있지만 개인정보 권리강화 목적으로 블록체인 활용이 가능하기도 하다. 따라서 블록체인과 개인정보의 보호는 상극이라고 보기는 힘들다. 여기에 개인정보와 친화적인 기술개발을 위한 특히 ‘저장 및 가명처리 기술’을 중심으로 재정적 지원도 동시에 강구해야 한다. 유럽연합이 2018년 적정성 평가 시 일본에 요구했던 추가적 보호조치 내용들, 즉, ‘민감정보 범위 확대, 정보주체의 개인정보 접근 및 수정 권리 보장장치 마련과 공공기관의 감독강화, 제3국에서 다른 제3국으로 정보의 재전송 시 보호수준 유지, 형사법 혹은 국가안보목적상의 공공기관의 접근 시 안전장치의 마련, 개인정보보호위원회의 EU 시민의 자기정보 접근 관련 민원을 조사하고 해결하는 불만처리 기구 존재’를 적극적으로 검토할 필요가 있다.