2.1.

글로벌 개인정보 규제의 변화

• 새 탭 열기
• 작성 이력 보기

1. 데이터 프라이버시 규제 개요

데이터 프라이버시 규제의 핵심 개념은 '프라이버시'와 '데이터'이다. 

먼저 '프라이버시' 개념을 보면, 20세기 초반 "혼자 있을 권리"로 정의되었던 프라이버시 개념이 기술 발전과 함께 변화하였고, 1948년 세계인권선언에서 프라이버시권이 기본적 인권으로 명시되었다.

'데이터'의 경우에는 1980년대 OECD 개인정보 보호 가이드라인 발표 이후 꾸준히 보호규제가 발전하여 왔다. 1995년에는 EU 데이터 보호 지침(DPD)이 도입되었고, 2016년에는 EU가 GDPR을 채택하여 2018년부터 시행하였다. 특히 GDPR은 개인정보의 개념정의를 확대하고 컨트롤러와 프로세서의 규제를 강화하며 높은 수준의 벌금을 부과하면서 중요한 영향을 미치기 시작했다. 이 GDPR로 인하여 기업은 데이터 주체(정보주체)의 권리를 강화하고 기업 차원의 데이터 처리 및 보안 조치를 강화할 필요가 있게 되었다. 이후 2023년 Data Act, Data Governance Act도 이러한 데이터 보호규제 발전의 흐름 속에서 진행되었다.

2. 글로벌 '프라이버시' 규제의 흐름

글로벌 프라이버시 규제의 흐름은 크게 세 단계를 거쳐 진행되어 오고 있다.

1) 초기에는 자유방임적 정책의 성격이 강한 편이었고, 고지와 동의 만능주의가 만연하였다. 정보주체가 "클릭"행위를 함으로써 기업의 책임이 정보주체의 책임으로 모두 전환되었다. 기업에게는 개인정보보호방침 제정 및 게시 의무가 부과되었고, 정보주체에게는 이러한 개인정보 보호방침을 읽고 동의할 책임이 부과되었다.

2) 이후에는 시장 기반의 규제 방식이 확산되었다. 관리적 접근방식이 도입되었고, 기업 내부의 조직화를 통한 프라이버시 준수, CPO 등 전문가의 관리와 절차적 규정 준수에 의존하는 경향이 강하였다.

3) 최근에는 프라이버시가 개인의 영역에 국한되지 않고 사회적 가치를 가진다는 인식이 확산되고 있다. 개인정보 보호에 대한 현재의 방식이 가지는 위험을 이해한 것이다. 이에 더 나은, 공정한, 공동의 정책목표 추진을 위한 관점의 변화가 요구되고 있으며, 이러한 측면에서 특히 '어린이 보호', 'AI 책임성', '경쟁과 혁신'이 글로벌 개인정보 규제의 주요 키워드로 꼽히고 있다.

'어린이 보호'와 관련된 대표적인 글로벌 개인정보 규제는 캘리포니아 연령 적합 설계 코드(California Age-Appropriate Design Code Act)와 영국의 연령 적합 디자인 코드(Age-Appropriate Design Code)이다. 이 규제들은, 18세 이하의 사용자를 대상으로 하는 모든 온라인 서비스나 제품에 대해 적용되며, 그 주요 내용은 아래와 같다.

• 개인정보 보호 설정: 기본 설정은 개인정보를 최소한으로 수집하도록, 개인정보의 수집, 이용, 저장, 공유에 있어 최선의 보호 조치 제공(기본적으로 보호 적용)
• 연령 확인: 연령 확인 기술을 적용하거나 연령에 따른 서비스 설계 반영
• 데이터 사용 투명성: 서비스 제공자는 사용자가 이해하기 쉬운 방식으로 데이터 수집, 사용, 저장, 공유 방법을 설명. 어린이가 자신의 개인정보를 쉽게 관리할 수 있는 도구 제공

'AI 책임성'과 관련된 대표적인 글로벌 규제는 EU 인공지능법, 캐나다 인공지능 및 데이터법, 기타 미국 AI 규제들이다. 이들은 프라이버시와 관련하여 주로 아래의 내용들을 다루고 있다.

• AI 실천의 책임성: AI 기술이 새로운 제품이나 서비스를 출시하기 전에 잠재적 피해 평가, 이를 완화하기 위한 계획 수립, 필요시 규제 기관에 보고
• AI 개발자들에게  책임성 부여
• 투명성을 높이려는 국제적인 흐름

한편 '경쟁과 혁신' 키워드와 관련해 살펴보자면, 본래 경쟁 정책은 전통적으로 개인정보보호법의 범주에 포함되지 않았다. 그러나 디지털 서비스법(Digital Services Act)과 디지털 시장법(Digital Markets Act)은 데이터 프라이버시 관련 준수 의무를 부과하여 '경쟁 정책'과 '프라이버시'를 연결하였다. 이와 관련해서는 온라인 광고 목적으로 개인 데이터를 사용하는 것, 특히 민감한 개인정보 사용의 문제가 중요하게 다루어지고 있다.

3. 글로벌 '데이터' 규제의 흐름

전세계적으로 데이터 프라이버시 규제 강화는 확산되는 추세이다. 미국의 캘리포니아 소비자 프라이버시법(CCPA)이 이러한 추세를 잘 보여주고 있고, 미국은 본래 연방법으로서의 일반 개인정보보호법이 부재하지만 최근에는 연방 차원의 데이터 프라이버시법(ADPPA)이 논의되고 있다. 영국은 EU GDPR을 기반으로 영국 고유의 데이터 보호법을 제정하여 시행 중이며, EU Data Act, Data Governance Act 역시 이러한 규제 흐름을 잘 보여준다.

이러한 데이터 프라이버시 규제는 기업의 M&A에도 영향을 주고 있다. M&A 과정에서 데이터 프라이버시 이슈는 주요하게 다뤄지는 이슈 중 하나인바, 인수 대상 기업의 GDPR 준수 여부를 확인하고 데이터 보안 및 개인정보 보호 조치, 데이터 유출 사고 등을 검토하는 것은 기본이라 할 수 있다. 

데이터 규제는 기술 혁신에도 많은 영향을 준다. GDPR이 EU 디지털 경제에 미친 부정적 영향으로 모바일 앱 개발 감소, 중소기업 타격 등이 제기되고 있으며, AI 기술 개발에 대한 규제도 우려되고 있다. AI 개발을 위한 대규모 데이터 수집 필요성과 GDPR이 충돌할 수 있다는 것이다. 

이에 기술 혁신과 데이터 보호의 균형을 모색하고자 하는 시도가 계속되고 있다. 개인정보 보호와 기술 발전의 조화로운 발전 방안을 찾고자 하는 것이다. 이를 위해서는, 규제 체계의 복잡성 해소가 필요하고, 국가 간 데이터 프라이버시 규제 통일이 필요하며, 국제 데이터 프라이버시 규제 기구 설립이 검토되어야 한다.