4.

개인정보 분야 글로벌 동향과 사례

• 새 탭 열기
• 작성 이력 보기

1. 개인정보 분야 글로벌 동향의 중요성

글로벌 비즈니스를 운영하는 경우에는 여러 법역 내에서 파트너 관계를 보유하게 되므로 각국의 개인정보 법제들을 비즈니스 운영 절차에 반영할 필요가 생긴다. 특히 비즈니스 과정에서는 데이터 전송과 저장이 필수이고 글로벌 비즈니스를 영위하면 당연히 국경 간 데이터 이동이 잦아지게 된다. 이런 상황에서 글로벌 비즈니스 도중 개인정보 관련 이슈가 발생하면, 단순히 기업의 이미지와 신뢰에 영향을 미치는 것을 넘어 벌금, 법적 처벌 등 법적 제재를 받는 경우도 발생한다. 

따라서 개인정보에 대한 글로벌 동향을 추적하는 것은 글로벌 비즈니스 운영시 필수라 할 수 있다.

그리고 설령 국내 비즈니스만 운영하는 경우라 하더라도, 개인정보 분야의 경우에는 정보의 국경 없는 이동이 상시적으로 일어나는 분야 자체의 특성상, 해외의 개인정보 규제가 국내 법률에 영향을 미치고 종래에는 국내 법제와 해외 법제가 수렴하는 경향도 있기 때문에, 이러한 규제 영향력 측면에서도 꾸준히 살펴볼 필요가 있다.

2. 프라이버시와 통상 갈등

한편 개인정보보호 문제는 통상 갈등으로 이어지기도 한다. 예컨대 페이스북과 틱톡 같은 인기 앱들의 개인정보 이슈가 국제적 갈등으로 비화되기도 하고, EU는 유럽 내 정보주체의 프라이버시 침해를 우려하며 EU와 사뭇 다른 개인정보보호 기준을 적용하고 있는 미국과 중국 기업들의 데이터 이전을 제한하면서 데이터 존중 및 엄격한 점검을 요구하고 있다. 그리고 미국에서는 국가 안보 및 사용자 개인정보 보호를 이유로 여러 주에서 틱톡 사용 금지 조치가 제기되고 있는바, 관련하여 법적 논쟁이 벌어지고 있다.

3. 통상이 이끈 프라이버시법의 발전

가. 글로벌 보호체계 구축

원활하면서도 안전한 통상을 위한 노력은 프라이버시법을 발전시켜 온 동력이기도 한다. OECD 프라이버시 가이드라인(1980년)과 유럽평의회의 개인정보보호협약(1981년)은 프라이버시와 무역의 균형을 모색하여, 국가 간 데이터 이동을 허용하되 개인정보 보호 기준을 충족해야 한다는 원칙을 제시하였다. 특히 OECD 프라이버시 가이드라인은 데이터 이동에 대한 중대한 기준을 설정하며, 국제적 협력과 조화로운 법체계 구축을 장려하였다.

나. EU의 단일시장 구축

EU는 역내 데이터 이동의 자유와 개인정보 보호를 동시에 추구한다. EU의 데이터 보호 지침(1995년)은 회원국 간 데이터 이동을 보장하면서 개인정보의 안전한 관리와 처리 규정을 설정하였는바, 데이터의 자유로운 이동으로 기업은 글로벌 시장에서 경쟁력을 유지하는 동시에 소비자는 개인정보 보호를 확보할 수 있도록 하였다. 

EU는 이러한 강력한 데이터 보호 기준을 통해 국제적으로 데이터 존중을 촉구하고, 다른 국가와의 협정에도 이를 반영할 것을 요구하였다.

다. 전 세계로의 확장

EU의 개인정보 적절성 결정 제도는 EU 밖 국가들도 개인정보 보호법을 도입하고 발전시키는 동인이 되었다. EU는 무역협정에서도 개인정보 보호 조항을 포함시켜 데이터 이동과 프라이버시 보호의 균형을 모색하였으며, 무역협정에 포함된 개인정보 보호 조항은 상대국의 데이터 보호 기준을 준수하도록 요구할 수 있는 근거가 되었다. 

결국 통상과 프라이버시의 조화는, 글로벌 데이터 보호를 위한 공동의 노력을 강조하는 방향으로 진행되고 있다.

라. 특히 대부분의 국경을 넘는 디지털 무역 규범은 자유무역협정을 통해 이루어지고 있는 점, 2000년 이후 체결된 모든 무역 협정의 절반 이상이 디지털 규정을 포함하며, 그 중 일부는 디지털 규범에 대한 별도의 장을 포함하고 있는 점은 주목할 만 하다.

마. 이러한 디지털 협정의 주요 아젠다로는, 

• 국경간 자유로운 데이터 이전
• 데이터 설비 현지화 요구 금지
• 소스코드, 알고리즘 공개 요구 금지
• 개인정보, 소비자 보호 및 관리 강화

등이 있으며, 

최근 몇 년 새, 

• Fintech, AI Governance 등 새로운 이슈에서의 협력

이 추가되고 있다.

4. 미국의 규제 변화

한편 미국의 프라이버시 규제에도 변화가 일어나고 있으며, 이는 개인정보와 관련된 일련의 사건들과 관련되어 있다.

먼저, 일명 CA스캔들이라 불리는 캠브리지 애널리티카 사건을 보면, 이는 페이스북에서 2007~2014년까지 사용자 동의 없이 데이터를 제3자 앱에 넘긴 사건으로서, 캠브리지 애널리티카는 제3자 앱에 제공하는 이 API 기능을 통하여 데이터 기반 심리 검사 앱을 빌미로 데이터를 수집하였고, 데이터 주체들의 성격특성도(Psychographic Profiles)에 따라 성격 및 정치 성향을 도출하였다. 이러한 일련의 개인정보 수집 과정에서는 거짓/속임수로 동의를 확보하는 작업이 이루어졌으며, 이렇게 하여 부적절하게 확보한 개인정보 및 확보 데이터로부터 산출된 작업물(알고리즘 등)에 대해서는 삭제 명령이 내려졌다.

다음으로 에버앨범 사건을 보면, 사진 앱 개발업체인 에버앨범(Ever album)은 2015년 화상 인식 기술 기반의 사진 공유 앱을 출시하고, 비활성화된 사용자의 사진, 비디오를 수집 및 영구 저장하는 동시에 생체 정보도 생성하고, 수집된 사진과 공개 데이터로 화상 인식률을 높이는 데 활용하였다. 이에 대해 미 FTC는 부적절하게 확보한 데이터 기반 얼굴 임베딩 결과물, 그에 영향 받은 결과물(모델 및 알고리즘)을 삭제하라고 명령하고 패널티를 부여하였다.

또한 WW International & Kurbo 사건을 보면, 아동 체중 관리 서비스인 Kurbo Inc. 및 그 모회사인 WW International Inc.는 2022년 비만 관리 앱 서비스를 출시하면서 음식 섭취, 일일 활동 및 체중 변화 추적, 체중 관리 기능을 제공하였지만 13세미만 아동 데이터를 부모 동의 없이 수집 및 민감정보 생성, 영구 저장한 점이 COPPA(아동온라인프라이버시보호법) 위반으로 지적되었다. 이에 대해 미 FTC는 동의없이 확보한 개인 및 민감정보와 관련 알고리즘 및 모델을 삭제하라고 명령하고 패널티를 부여하였다.

이러한 사건들에서 주로 쟁점이 된 내용은 부적절하게 수집된 개인정보를 넘어서 이에 영향을 받은 알고리즘까지 삭제하라는 명령 부분이었다. 

이러한 알고리즘의 삭제가 1) 규제 수단으로 적절한지, 즉 대규모 투자와 노력의 산물인 알고리즘을 삭제하도록 하는 것이 적절한 규제인지, 산업 경쟁력을 지나치게 저하시키는 것은 아닌지 논쟁이 있었고, 2) 개인정보보호 규제로서의 효과가 존재하는지, 즉 핵심 자산의 삭제로 개인정보보호 시스템 구축 및 환경 조성 효과가 있다는 견해와 알고리즘 그림자 등 실질적 효과가 없다는 견해가 충돌하였다. 또한 3) 삭제의 기술적 완료성과 관련하여, 알고리즘 전체를 삭제하여야 하는 것인지, 아니면 불법 데이터로부터 영향 받은 작업물의 범위까지만 삭제하여야 하는 것인지, 후자라면 이를 기술적으로 확정하는 것이 가능한지가 논란이 되었고, 4) 삭제 이행여부의 확인 가능성과 관련하여, 삭제 명령 이행 여부에 대한 규제기관의 기술 전문성이 부족하고 집행력 확보가 곤란하다는 점이 문제되었다.

AI 기술 패권 경쟁도 미국의 프라이버시 규제에 지대한 영향을 미치고 있다. 기존에 미국은 데이터 중개, 제3자 공급업체와의 계약, 고용 및 투자 계약 등의 데이터 이전을 자유롭게 허용하는 경향이었으나, AI 기술 패권을 두고 미국의 국가 안보에 심각한 위협을 초래한다는 인식으로 데이터에 대한 접근을 차단하려는 움직임이 강해지고 있는 것이다.

'외국 적대세력에 의해 통제되는 애플리케이션으로부터의 미국인 보호법(PAFACAA)'이, 미국 영역 내에서 앱 스토어 또는 유사 마켓플레이스를 통해 '외국 적대세력에 의해 통제되는 애플리케이션'(바이트댄스사, 틱톡 및 이들이 직간접적으로 통제하는 기업의 애플리케이션 등)을 제공하거나, 인터넷 호스팅 서비스를 통해 해당 애플리케이션을 배포 또는 업데이트하는 행위 또는 이를 가능하게 하는 행위 등을 금지하는 것, '외국 적대세력으로부터의 미국인의 정보 보호법(PADFA)'이 데이터 브로커가 미국 개인(미국에 거주하는 자연인)의 개인 식별이 가능한 민감 데이터를 '외국 적대세력' 국가(북한, 중국, 러시아, 이란 또는 해당 국가들이 통제하는 단체)에 판매, 라이선스 제공, 임대, 거래, 이전, 공개, 접근 제공 또는 기타 방식으로 이용 가능하게 제공하는 것을 금지하는 것^[1]이 그 대표적인 예시이다.

5. 라인 야후, 틱톡의 내국 기업화 시도

라인 야후와 틱톡의 내국 기업화 시도도 프라이버시에 대한 글로벌 규제 동향과 맞물려 있다. 일본에서는 라인 야후를 일본 기업으로, 미국에서는 틱톡을 미국 기업으로 만들기 위한 작업이 진행되어 왔다.

일본 국회는 2024년 5월 10일 '중요경제안보정보의 보호와 활용에 관한 법률'을 통과시켰고, 미국 바이든 대통령은 2024년 4월 14일 일명 '틱톡 금지법'이라 불리는 '외국 적대세력에 의해 통제되는 애플리케이션으로부터의 미국인 보호법'에 서명했다.

일본의 '중요경제안보정보의 보호와 활용에 관한 법률'은 외환법(경제제재,안보 무역관리), 경제안전보장추진법(공급망 안정성 관리 및 기반 인프라 안정성 신뢰성 확보), 특정비밀보호법(방위, 외교, 스파이 방지, 테러지즘 방지 등 정보규제)과 함께 일본의 경제안보를 위한 핵심 법안으로서, 기밀정보/기술 해외 유출을 막기 위해 중요정보를 취급하는 민간인을 국가가 지정하는 내용을 담고 있다. 이는 민간기업의 정보관리에 대한 구체적인 지침의 성격을 가지고 있으며, 정보관련 임직원에 대한 적성 평가 등 인사노무 관여, 기업 거버넌스 차원(중요시설 내국화)의 지분 재조정 등의 이슈가 노출되었다.

다음으로 미국의 '외국 적대세력에 의해 통제되는 애플리케이션으로부터의 미국인 보호법'은 해외적대세력(중국)이 통제하는 애플리케이션의 거래를 금지하는 내용을 담고 있으며, 대통령이 정하는 적격 요건 충족(Qualified Divestiture – 적격매각) 시 예외적으로 거래가 가능하도록 하였다. 여기서는 틱톡의 개방형 메시징시스템의 아동온라인개인정보보호법 위반 가능성, GPS 정보, IP 주소, SIM카드 기반 위치정보, 단말기 정보, 주소록, 문자 메시지 등 동영상 서비스와 무관한 정보까지의 과다한 수집 및 중국 전송 가능성 이슈가 노출되었다. 

6. ChatGPT 접속 차단 - AI와 프라이버시 규제

이탈리아는 2023. 3. 31. 이탈리아에서의 ChatGPT 접속을 일시 금지하였다. EU GDPR 개인정보 보호규정 위반, 가입 시 나이 확인 절차 부재(18세 미만 부모 동의 필요), 알고리즘 학습을 위한 대량의 개인 데이터 수집하는 법적 근거 부재가 그 이유였다. 

이에 오픈 AI는 아래의 조치를 취하였고, 이에 따라 2023. 4. 말경 차단조치가 해제되었다. 

• 오픈 AI 웹사이트에 AI모델 교육 알고리즘을 위해 처리되는 개인데이터에 대한 설명과 모든 사용자가 데이터 처리를 거부할 권리가 있음을 공지
• 사용자가 자신의 개인 데이터 처리 거부를 요청하는 양식 게시
• 만 18세 또는 만 13세 이상임을 확인하고 부모 또는 보호자의 서비스 이용 동의를 얻었는지 확인 요청하는 버튼 추가

이는 AI 역시 개인정보보호(프라이버시) 규제에서 자유로울 수 없음을 보여주는 단적인 예였다. 

ChatGPT와 같은 생성형 AI(Generative AI) 회사는 프라이버시 부문에서 공통적인 문제를 안고 있다.

첫째, AI의 학습데이터를 어떻게 적법하게 수집하고 학습에 이용할 수 있을까의 문제이다. AI 학습데이터 중 인터넷에서 스크래핑한 데이터는 수집이용 동의가 없다는 점에서 ChatGPT처럼 Black Box AI를 다루는 기업의 입장에서 이 부분은 가장 어려운 문제이다. 이에 대해 대개는 GDPR의 개인정보 처리 적법근거 중 '정당한 이유'(GDPR 제6조 제1항 (f))를 근거로 삼고 있다.

둘째, 정보주체의 권리를 어떻게 보장할 것인가의 문제이다. 개인정보처리자는 정보주체의 권리 공지와 실행 체계 구축 의무를 이행해야 하므로, AI 회사는 데이터 소유자에게 데이터 접근권, 삭제권, 설명 요구권이 있음을 공지하고, 권리를 실행할 수 있도록 해야 한다. 그러나, 수백만, 수천만의 데이터 소유자에게 권리를 공지 및 실행하는 체계를 갖추는 것은 간단한 문제가 아니다.

셋째, 미성년자 연령 인증의 문제이다. 13세 미만 아동에게 개인정보를 처리하는 서비스를 제공하려면 부모 사전 동의를 확보하여야 한다. ChatGPT는 13세 미만 아동도 쉽게 사용할 수 있는 서비스 App으로 사전에 부모의 동의를 얻어야 하나, 불특정 다수로부터 개인정보를 수집하고 불특정 다수에게 서비스를 제공하는 AI 회사 입장에서는 이를 실행해 내는 것 역시 쉬운 일이 아니다.