개인정보에 대한 논의가 필요합니다

사회와 기술이 발전하면 법과 제도에도 변화가 필요하다. 사진이 등장하기 전과 등장한 후의 법이다르고, 자동차가 등장하기 전과 등장한 후의 법이 다르다. 인공지능도 마찬가지다. 인공지능의 등장은 우리의 제도를 어떻게 바꿔나갈까? 오늘은 그 중에서도 인공지능에 대한 이야기가 필요하다는 이야기를 하려 한다.

인공지능은 기존 정보와 자료들을 모아 특정한 알고리즘/수식을 이용해 결과를 산출하는데, 지금까지 나온 인공지능들은 기존 자료들을 모방하는 수준에서 그치고 있다. 앞으로 기술이 어떻게 발전할 지는 모르겠지만 인공지능이 유기체들처럼 스스로 생각하게 하는 기술이 나오지 않는 한, 인공지능은 기존 정보를 가지고 인간의 화법을 얼마나 잘 모방해 내느냐의 싸움이 될 것이다. 문제는 (정확히 어느 정도의 비중인지는 알 수는 없지만) 기존 정보/자료의 상당히 많은 양이 개인정보라는 점이다.

인공지능과 개인정보의 관계에 있어 중요한 문제는 세 가지, 수집과 산출, 공적영역이라고 생각한다. 수집은 인공지능의 학습을 위해 수많은 정보를 수집함에 있어서 개인정보의 범위를 어디까지로 할 것이며, 개인정보를 어떻게 보호할 것인지에 대한 문제다. 산출은 인공지능이 특정인을 타겟으로 삼아 검색 기록 등을 기반으로 해 결과를 보여주는 일이 많은데 (특히 마케팅) 이 때 개인이 식별될 가능성이 얼마나 있는지에대한문제다. 공적 영역에 대한 문제는 인공지능을 사회의 안전이나 국민의 편리를 위해 사용한다고 할 때 우리는 어느 정도까지를 허용해 줄 수 있는지에 대한 논의다.

인공지능의 발전 속도는 계속 빨라질 것이다. 우리는 그 만큼 개인정보에 대한 논의도 지금보다 더 활발해져야 한다. 인공지능까지 가지 않더라도, 우리는 SNS에 올라온 사진 배경만 보고도 특정인의 동선이나 거주지를 유추할 수 있고, 이름과 다른 정보 하나(예를 들어 다니는 회사, 출신 학교 등) 정도만 알아도 검색을 통해 특정인에 대한 꽤 많은 정보를 얻을 수 있다. 인공지능은 매우 뛰어난 검색 수단이기도 하다는 점에서 인공지능의 개인 정보 수집과 개인 식별은 (정확히 어느 정도일 지는 모르지만) 인간이 하는 검색/개인 식별보다 더 뛰어난 결과를 보여줄 것이다. 그래서 우리는 개인정보의 개념, 우리가 어디까지를 보호해야 할 개인정보로 봐야할지에 대해 다소 느슨할 지라도 구체적인 범위를 설정할 필요가 있고, 이것이 유출될 경우 사업자와 개발자, 기술 그 자체를 어떻게 규제할 것인지에 대해서도 논의해야 하며, 유출된 개인정보에 대해 어떻게 사후처리, 아마도 대부분은 배상이나 삭제가 되겠지만 심각한 경우에는 치료가 필요할 수도 있는 공적인 사후처리 방식에 대해서도 논의해야 한다. 

미국의 경우, 한국과 같이 포괄적인 개인정보보호법은 없지만 공적인 영역과 민간 영역을 의료, 금융, 교육, 교통, 형사사법 등으로 세분화해서 개인정보, 알 권리를 정의하고 수집의 범위, 정보의 처리와 수정, 삭제 권리 등을 규정하고 있다. 법에 따라 다 다르지만 사업체, 서비스 제공업체, 계약업체, 개인 등이 개인정보 보호에 관한 법을 어기면 1건당 최대 7,500달러의 벌금을 매긴다. (개인정보보호 국제협력센터) 미국의 경우에는 미성년자의 개인정보 보호에 더욱 집중하고 있는 게 특징이다.

중국의 경우에는 원래 미국과 마찬가지로 민간 영역을 세분화하여 개인정보에 대해 관리/보호/규제를 해왔는데, 2021년에 처음으로 개인정보보호법(中华人民共和国个人信息保护法)이 제정/시행되었다. 이 법에서는 전자 혹은 기타 방식으로 기록된 것, 이미 식별되었거나 식별할 수 있는 자연인에 대한 정보로 익명으로 처리된 것까지를 전부 개인정보로 정의하고 있다. 개인정보와 관련해 위법행위가 위중한 경우, 혹은 법을 어겨 시정명령을 받았는데 이를 이행하지 않는 경우 최대 100만 위안의 벌금이 부여된다. 

단 이 법은 국가와 공공기관에는 해당되지 않는다. 어떤 사람들은 중국이 이미 안면인식기술과 인공지능을 통해 사실상 디지털 독재를 시행하고 있다고 평가하기도한다. 도시의 감시카메라들은 무단횡단이나 노상방뇨, 대중교통 무임승차, 쓰레기 불법 투기 같은 경범죄까지 전부 잡아내고 불이익을 줄 수 있다. (中华人民共和国个人信息保护法)

일본은 2003년에 <개인정보 보호에 관한 법률(個人情報の保護に関する法律)>을 제정했다. 이 법에서는 개인정보를 ‘생존한 개인에 관한 정보’로 성명, 생년월일과 그것이 기록된 문서, 전자기록, 음성과 동작, 기타 방법을 이용해 표시된 일체의 개인적 사항으로 규정하였다. 개인정보에 관한 법률을 어길 경우 최대 100만 엔의 벌금형에 처해질 수 있다. (個人情報の保護に関する法律) 

일본의 경우에는 개인정보 보호의 일원화 문제가 계속해서 제기되고 있다. 일본은 원래 국가와 지방, 민간이 각자 다른 방식으로 개인정보를 보호/관리하고 있었다. 이것을 2014년에 발족한 개인정보보호위원회(個人情報保護委員会)로 일원화하는 것을 두고 지방자치 발전 문제, 개인정보와 중앙-지방의 권력 균형 간의 관계, 국가와 민간의 관계 등 여러 관점에서 논의가 이루어지고 있다.

한국은 어떨까?

한국의 경우, 기업, 특히 스타트업을 중심으로 개인정보보호법을 완화해 줄 것을 요구하고 있다. 

개별 스타트업의 책임으로 돌릴 수는 없다는 업계의 볼멘 목소리도 나온다. 법 위반 여부가 확실한 경우엔 재발 방지책을 마련하고 사과해야 하지만, 스타트업의 신규 사업 영역이 기존 법으로 정의할 수 없는 경우가 많아 유권해석에 따라 다르게 해석될 여지가 크다는 것이다. (한경.2022.11.16.)

강병원 의원은 개회사를 통해“현행 개인정보 규제로는 혁신을 이끄는 스타트업 기업의 성장이 저해되고 글로벌 경쟁력도 저하될 우려가 높다”고 지적하며 “시대적 흐름에 맞추면서 정보 주체의 기본적인 권리를 침해하지 않고 개인정보에 대한 보호의 실효성을 높이는 실질적인 방법들을 고민할 때이기 때문에 이 토론회를 개최하게 됐다”라고 밝혔다. (대한뉴스.2023.03.30.)

경제신문들은 잊을만 하면 개인정보보호법이 스타트업을 덮쳤다거나 스타트업의 성장을 막는다는 헤드라인을 뽑아내고 있다. 이들은 개인정보 보호가 기술의 발전을 막는다고 말하지만 사실은 상행위를 규제하고 있다는 점에서 이익과 관련이 있다고 할 수도 있을 것이다. 과도한 개인정보 수집이나 개인정보 유출에 대한 불안을 호소하는 입장과는 대치되는 이야기라고 할 수도 있다. 왜 이런 문제가 발생할까? 한국의 법률은 개인정보를 다음과 같이 정의하고 있다.

개인정보보호법 2조

1. “개인정보”란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.

 가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보

 나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다.

 다. 가목 또는 나목을 제1호의2에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 “가명정보”라 한다) (이상 개인정보보호법)

한국의 개인정보에 대한 제도적 정의는 자의적인 해석 가능성이 상당히 넓어 보인다. 보호해야 할 범위 자체를 넓게 잡는 것은 의미가 있겠지만 특정인이 명시되지 않은 경우에는 합리적 고려에 의해 명시 가능성을 판단한다고 되어 있다. 완벽한 제도야 있기 어렵지만 그렇다고 해도 ‘합리적으로 고려해야 한다’는 말은 이래저래 다툼의 소지가 너무 많다.

법률의 발전은 대체로 사회의 발전보다 느리다. 그런 점을 감안한다고 해도, 인터넷 강국이고 IT 강국을 자랑처럼 이야기하는 대한민국의 개인정보에 관한 논의는 다른 나라와 비교했을 때 많이 늦다. 사업자도, 개인도 그 누구도 만족시키지 못하는 개인정보보호법은 공론의 부족 때문이 아닐까 싶은 생각도 든다. 지금도 늦지 않았다. 보호해야 하는 개인정보의 범위에 대해 지금이라도 논의해보자.