문의하기 팔로우 @BCInfoPrivacy LinkedIn RSS
고급 검색

데이터 보호 및 개인 정보 보호의 근간을 다지다

으로 - Guest Blogger

By 마틴 에이브람스

2015년 12월, 유럽 데이터 보호 감독관인 지오바니 부타렐리는 빅데이터 시대에 맞게 데이터 보호를 재창조해야 한다는 의견을 발표하며, 원칙을 타협하는 것이 아니라 빅데이터가 사람들을 위해 사용될 수 있도록 보장해야 한다고 주장했습니다.

프라이버시와 데이터 보호는 서로 다른 개념이지만 인간의 공통된 욕구로 연결되어 있습니다. 프라이버시는 자신과 자신의 친밀한 범위에서 타인의 감시와 판단으로부터 자유로운 공간을 의미합니다. 이는 물리적 프라이버시의 개념을 확장한 것입니다.

앨런 웨스틴의 획기적인 저서 '프라이버시와 자유'는 모든 문화권에서 사람들이 어리석은 짓을 하고, 다른 생각을 하고, 규범과 다른 행동을 표현할 수 있는 공간이 필요하다는 것을 확립했습니다. 이 사적인 공간은 결코 완벽하지 않았고, 항상 엿보거나 험담하는 사람들이 있었습니다. 유럽 법에서 이는 자율성과 가족 생활에 대한 기본권으로 해석됩니다.

하지만 데이터 보호는 항상 개인 및/또는 커뮤니티의 필요에 부응하기 위해 정보로 변환된 데이터를 현명하게 사용하는 것이었습니다. 2014년 논문에서 피터 휴스틴스가 설명했듯이 데이터 보호는 프라이버시를 넘어 정보 처리로 인해 영향을 받는 모든 기본권을 포괄합니다. 데이터 보호는 본질적으로 조직이 데이터를 보유하고 처리할 때 발생할 수 있는 부적절한 권한에 대한 견제입니다.

데이터 보호의 필요성은 고대 수메르에서 문자가 발명된 역사적 기록의 생성에서 시작되었습니다. 정보 수집, 집계, 조작 기술은 권력자들이 빠르게 소유하게 되었습니다. 고대 수메르의 서기관들은 권력자들을 위해 일했습니다. 그들이 만든 데이터는 권력자들이 권력을 유지하는 데 사용되었습니다.

하지만 기술은 시간이 지나도 누구에게도 유리하지 않습니다. 기술은 권력자를 흔들 수 있습니다. 글쓰기는 새로운 생각을 전파하고 관심을 모으는 데 사용될 수 있습니다. 정보 기술의 사용은 새로운 시장을 창출하고 기존 시장을 대체하는 데 사용될 수 있습니다. 그리고 이러한 경제적 창조와 파괴의 속도는 더욱 빨라지고 있습니다.

이제 개인정보 보호법의 진화를 살펴보겠습니다.

영어권 세계 법체계의 근간이 된 대헌장(Magna Carta)은 사람들이 고독을 기대할 수 있는 공간을 정의했습니다. 개인의 집은 개인의 성입니다. 개인은 자신의 집과 그 집에 있는 서류에 대한 접근을 통제합니다. 기록은 그 공간의 연장선상에 있습니다. 집에서 일어나는 행동은 해당 집주인의 초대를 받은 경우에만 관찰할 수 있습니다.

한 사람이 공공장소에서 다른 사람들과 함께 한 행동은 누구나 관찰할 수 있었습니다. 함께 참여한 다른 개인이나 공공장소에 있는 다른 사람들이 기록할 수 있었습니다. 이러한 관찰의 사용과 공유를 다루는 사회적 규범과 법률도 항상 존재해 왔습니다.

제2차 세계대전은 컴퓨터의 발명을 가져왔습니다. 1960년대에는 마그나 카르타를 넘어설 필요가 있다는 것이 분명해졌습니다. 60년대의 연구는 1970년대에 개인정보 보호 및 데이터 보호법으로 이어졌고, 이는 다시 OECD 개인정보 보호 가이드라인으로 이어졌습니다.

당시의 핵심 개념은 데이터는 나로부터 나온 것이며, 데이터와 관련된 명확한 규칙에 따라 나로부터 다른 사람에게 데이터를 전송해야 한다는 것이었습니다. 사용의 성격은 문제가 되지 않았습니다. 데이터와 관련된 통제권의 이전이 문제였습니다.

그러나 데이터 생성에는 종종 둘 이상의 당사자가 관여한다는 인식도 있었습니다. 또한 공공 기록은 항상 존재했지만 먼지가 많은 지하실에서 메인프레임 컴퓨터로 이동하면서 훨씬 더 눈에 잘 띄게 되었습니다. 따라서 미국 법률은 신용 보고 데이터와 같은 데이터의 공정한 사용을 다루기 시작했습니다. 이는 통제보다는 힘 있는 위치에 있는 대출 기관과 고용주의 공정한 적용에 관한 것이었습니다. 적절한 사용이라는 개념은 유럽 법률에 반영되어 데이터 처리를 위한 법적 근거의 시초가 되었습니다.

이제 기술의 발전과 개인정보 및 데이터 보호에 미치는 영향을 생각해 보세요. 문자가 발명된 후 인쇄기가 발명되기까지 수천 년이 걸렸습니다. 그리고 인쇄기에서 브라우니 카메라로 넘어가는 데는 수백 년이 걸렸습니다. 그 다음에는 카드 분류기에서 메인프레임 컴퓨터로 발전했습니다. 1970년대에는 데이터베이스 기술이 등장했습니다. 1980년대에는 대규모의 광범위한 데이터 세트에 대한 분산 처리 및 통계 분석 기술이 가속화되었습니다. 1990년대 초반은 통신 및 처리 비용의 감소와 소비자 인터넷의 등장, 그리고 관측 세계의 진정한 탄생이 이어진 시기였습니다. 2000년에는 공통 모듈(Y2K의 산물)로 처리하는 시대가 도래했습니다. 처리 및 통신 비용은 계속 하락하여 개인용 정리기에 이어 스마트폰이 등장했습니다. 만물인터넷과 함께 빅 데이터도 등장했습니다. 정보 기술은 몇 천 년에서 몇 십 년, 몇 년, 몇 분으로 느껴질 정도로 빠르게 변화하고 있습니다.

기술만 변한 것이 아니라 권력의 성격도 변했습니다. 2000년에 국가 정보는 국가를 중심으로 이루어졌습니다. 2001년에는 분산된 권력이 되었습니다. 위협은 더 이상 스파이가 아니라 인터넷을 통해 수업을 받는 폭탄 제조자가 되었습니다.

따라서 개인 정보 보호와 데이터 보호는 매우 복잡해졌습니다. 1972년 법에 포함된 단순한 개념으로는 2016년의 거버넌스 과제를 모두 담아낼 수 없습니다.

변하지 않는 것은 인간의 본질적인 욕구입니다:

  • 다른 사람이 보거나 듣거나 알지 못하도록 결함이 있거나 완벽할 수 있는 공간을 갖기 위해서는 프라이버시가 필요합니다.
  • 데이터로 사고하는 것이 사람들의 필요에 부합하는 것이지, 권력을 장악한 사람들의 권력을 강화하는 것이 아니라는 것을 보장해야 합니다.
  • 우리는 안전을 지키고, 더 경쟁력 있는 시장을 만들고, 의료 서비스를 개선하고, 더 나은 교육을 제공하고, 더 많은 기회를 제공하기 위해 정보가 필요합니다.
  • 우리는 정보의 부당한 사용이나 오만한 통찰력으로 인해 상처받는 것을 원하지 않습니다.
  • 우리는 예측에 의해 우리의 미래가 결정되는 것을 원하지 않습니다.

우리는 자신을 위한 공간을 갖기 위해 프라이버시가 필요하지만, 기술은 계속해서 대중의 공유를 확대하고 데이터의 활용을 훨씬 쉽게 만들어줍니다. 또한, 데이터를 활용하고 처리하여 우리의 요구를 충족한다는 것은 의료, 교육, 경제 참여, 더 나은 쇼핑을 개선할 수 있는 새로운 인사이트를 발견하는 것을 의미합니다. 개인과 커뮤니티의 요구를 해결하려면 데이터로 사고해야 합니다. 데이터로 사고하는 것이 바로 최신 분석입니다.

법의 많은 기능은 데이터를 우리의 물리적 존재와 유사한 것으로 확장하는 데 의존했습니다. 하지만 기술의 흐름은 성을 지키는 것 이상으로 관찰을 확장하는 것이었습니다. 스마트폰과 연결된 웨어러블을 사용하면 성 안에서도 성벽과 같은 보호 장치가 없습니다.

하지만 혁신 앞에 선다는 것은 삽으로 눈사태를 막으려는 것과 비슷합니다. 하지만 혁신의 적용을 위한 채널링은 예의를 지키는 것입니다.

그렇다면 EDPS에서 제안한 대로 데이터 보호를 재창조하려면 어떻게 해야 할까요? 누가 적극적인 역할을 해야 할까요? 그 역할은 무엇이어야 할까요? 어떻게 하면 문화 간 감수성을 가지고 이를 수행할 수 있을까요? 데이터 보호를 재창조한다는 것은 데이터 사용자, 규제 기관, 일반인의 역할을 재창조하는 것을 의미합니다.

데이터 사용자부터 시작하세요. 거기서부터 책임의 개념이 확장됩니다. 책임감 있고 책임감 있는 관리자가 되어야 한다는 목표는 변하지 않지만, 관리자가 되기 위한 측면은 훨씬 더 총체적으로 바뀝니다. 특히 데이터가 합리적인 사람들의 기대를 뛰어넘어 사용될 때 더욱 그러합니다.

빅 데이터는 이에 대한 훌륭한 은유입니다. 따라서 개인정보 보호정책에 빅데이터가 목적이라고 명시되어 있더라도 빅데이터는 본질적으로 데이터의 용도 변경에 해당합니다.

먼저 빅 데이터를 두 단계로 구분해야 합니다. 빅데이터에 대한 2단계 접근 방식이라는 개념은 2013년에 폴라 브루닝, 메그 레타 존스, 그리고 제가 작성한 논문에서 살펴본 바 있습니다.[1] 첫 번째 단계는 발견이며 데이터로 사고하는 것입니다. 두 번째 단계는 적용 단계로, 데이터로 사고하여 얻은 지식을 바탕으로 행동하는 것입니다. 이 두 단계에서 개인에게 미치는 위험은 서로 다릅니다.

일단 자신이 사고하고 있는지 행동하고 있는지 이해한 후에는 처리의 이유를 이해해야 합니다. 해결하려는 문제는 무엇인가요? 문제를 이해하면 그 문제를 해결하기 위해 데이터를 사용하는 것과 관련된 문제를 이해하기 시작할 수 있습니다.

둘째, 사용 중인 데이터를 처리하는 메커니즘을 이해해야 합니다. 이는 여러 면에서 OECD 가이드라인에서 명확하게 명시한 정확성 문제와 일치합니다. 데이터 세트의 규모와 다양성은 일부에서 우려하는 것처럼 정확성 문제를 해결하는 것이 아니라, 데이터의 정확성이 솔루션과 관련된 신뢰성에 영향을 미칠지 여부를 판단하는 데 있어 더 큰 복잡성을 야기할 뿐입니다. 데이터의 적법성과 도덕성도 중요한 요소입니다. 어떤 데이터는 법에 의해, 어떤 데이터는 계약이나 약속에 의해 금지되어 있고, 어떤 데이터는 적절하지 않습니다.

셋째, 혜택과 위험을 살펴보는 것과 관련된 선형 대수학을 명확하게 이해하는 것입니다. 누가 혜택을 받고 누가 위험을 감수할까요? 위험을 부담하는 사람과 혜택을 받는 사람 사이에 불일치가 있으면 처리가 균형 있게 이루어지지 않을 가능성이 높습니다. 이러한 문제는 "빅데이터를 위한 통합 윤리적 프레임"에서 살펴봅니다.[2] 데이터 보호는 항상 기본권과 자유에 대한 모든 위험을 이해해야 하며, 통합 윤리적 프레임은 이러한 문제를 어떻게 균형 있게 다룰 수 있는지를 탐구합니다. 결국, 이는 데이터 처리가 합법적이고 공정하며 정의로운지 여부를 평가하는 것으로 이어집니다. 그렇지 않다면 그렇게 되도록 처리를 수정해야 합니다.

넷째, 데이터 사용자에 대한 견제와 균형이 중요합니다. 컨트롤러는 평가가 정직하게 수행되었음을 입증할 준비가 되어 있어야 합니다. 입증할 준비가 되어 있다는 것은 감독 기관에게 건전한 프로세스를 입증할 수 있는 수단이 됩니다. 진정한 견제와 균형을 이루고 개인의 참여를 보장하려면 데이터 사용자가 데이터 사용 방식에 대한 대중의 교육자가 되어야 합니다. 교육은 책임의 필수 요소인 개인의 참여를 위한 수단을 만들어냅니다.

개인정보 보호 집행 기관의 역할과 관련하여 규제 당국은 새로운 기술이 필요합니다. 규제 기관은 정보 발견과 적용이 모두 합법적이고 공정하며 정의로운지 여부를 판단할 수 있는 적극적인 질문을 던질 수 있어야 합니다. 즉, 규제 당국은 이 두 가지를 구분할 수 있는 의지와 능력이 있어야 합니다. 이러한 역할을 효과적으로 수행하려면 규제 당국은 처리 과정을 현장 점검할 수 있는 권한이 필요합니다.

그 다음에는 사람들의 역할이 있습니다. 데이터와 시스템이 동일했던 70년대 초반에는 사람들이 자신의 선택을 통해 데이터를 관리하는 능동적인 역할을 할 것으로 기대되었습니다. 그 시나리오에서는 햇빛이 많은 문제를 해결했습니다. 오늘날에는 햇빛만으로는 충분하지 않습니다. 아무리 잘 설명해도 처리하는 것은 사람들의 관리 능력을 넘어설 수 있습니다. 그러나 사람들은 이전에는 볼 수 없었던 방식으로 커뮤니티로서 행동할 수 있습니다. 위에서 언급했듯이, 이는 데이터 사용자가 제공하는 설명 자료의 품질에 크게 좌우됩니다. 제 동료인 피터 컬런은 IAF에서 이끌고 있는 전체론적 거버넌스 프로젝트에서 사람들의 역할을 탐구하고 있습니다.

마지막으로, 저는 실무자로서 개인정보 보호와 데이터 보호의 차이를 이해해야 한다고 제안하고 싶습니다. 법과 거버넌스의 동전의 양면은 모두 중요하지만, 이를 차별화함으로써 사회적 요구를 충족하는 효과적인 솔루션에 더 가까이 다가갈 수 있습니다. 또한, 우리는 더 이상 개인에게 고지 및 동의서 읽기를 통해 시장의 경찰 역할을 의존할 수 없습니다. 처리의 성격은 매우 복잡해졌습니다. 그렇다고 해서 데이터 사용자가 어떤 처리가 적절하고 어떤 처리가 적절하지 않은지를 결정하는 유일한 중재자가 되는 시스템으로 발전할 수는 없습니다. 아빠로서의 데이터 사용자는 공정하고 정의로운 것을 넘어선 가부장주의입니다. 즉, 사람들은 개인 또는 집단으로서 데이터 처리에 대한 규범을 설정하는 데 의미 있는 역할을 해야 합니다. 마지막으로, 규제 당국 역시 자율성과 관련된 문제와 공정하고 정의로운 데이터 사용과 관련된 문제를 구분하여 데이터 기반 솔루션에 대한 더 많은 지식과 더 나은 적용을 촉진해야 합니다.

[이 블로그는 2016년 2월 3일, 정보 및 개인정보 보호 위원장의 사무실에서 진행된 강연을 기반으로 작성되었습니다.]

에이브럼스는 연구 및 교육 비영리 단체인 정보 책임 재단(The Information Accountability Foundation)의 전무이사 겸 최고 전략가입니다 .

[1] 정보 정책 리더십 센터(2013), "빅 데이터 및 분석: 효과적인 개인정보 보호 지침을 위한 기반 모색", www.hunton.com/files/Uploads/Documents/News_files/Big_Data_and_Analytics_February_2013.pdf.

[2] 정보 책임 재단(2014), "빅 데이터 분석을 위한 통합 윤리 프레임", http://informationaccountability.org/wp-content/uploads/IAF-Unified-Ethical-Frame.pdf.

[태그] Blog

최근 게시물

카테고리