Privacy by design제도에 대한 규범적 고찰

A normative Study on the “Privacy by Design” principle

‘개인정보 자기결정권(right to self-determination of personal information)’이라 함은 “자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고, 또 이용되도록 할 것인지를 정보 주체가 스스로 결정할 수 있는 권리”, 또는 “정보 주체가 개인정보의 공개와 이용에 관하여 스스로 결정할 권리”를 의미한다. 최근 국내·외에서는 다음과 같이 2가지의 개인정보 보호문제가 새로이 제기되고 있다. 첫째, 정보 주체(data subject)의 권리 강화와 둘째, 개인정보에 대한 사전적 보호장치(Privacy by design and default, 이하 PbD)의 마련이다. PbD 정책은 각국의 개인정보보호 규제 체계에 따라 다르게 나타난다. 예를 들면 미국 FTC는 상품과 서비스 개발에서 개인정보보호를 고려하는 것이 필수적임을 정책의 기본 원칙으로 도입하여 운용 중이며, 시장 자율적인 행동강령을 도입하도록 권고하고 있다. 이 원칙은 모든 상업적 주체에 적용되는데 만일 상업적 주체가 연간 5,000명 미만의 소비자로부터 중요하지 않은 데이터를 수집하고 제3자와 데이터를 공유하지 않는 경우에는 적용에서 배제된다. 반면, EU GDPR은 PbD를 개인정보보호의 원칙으로 바라보는 관점에서 더 나아가 보다 구체적으로 PbD를 “적절한 기술 및 관리조치”로 정의하고, 이를 법제화하여 정보처리자의 의무로서 명확히 하였으며 정보처리자가 PbD 이행 의무를 행동강령과 인증에 의해 입증하도록 규정하였다. 즉, EU에서는 PbD를 사전적 이행의무로 명확히 규정함으로써 규제 당국의 개입 근거를 마련하고 있다. PbD는 정보기술 및 시스템 설계, 상품 개발이나 서비스 기획 단계에서부터 프라이버시의 보호와 강화 조치를 확립하는 포괄적인 절차를 의미한다. PbD는 개인정보보호를 실행하는 절차 또는 원칙에서 출발해 빅데이터 기술과 관리전략으로 구체화되어 오다가, 최근 EU GDPR에 법제화되면서 그 법적 의미가 “개인정보 처리와 관련한 법 요건 충족을 위해 준수해야 할 적절한 기술 및 관리조치”로 구체화되었다. EU GDPR의 적용 범위는 광범위하여 향후 우리나라의 PbD의 성립과 의미 해석에 있어 참고가 될 수 있다. 우리나라에서는 그동안 IoT 정책의 일환으로 “보안이 내재화된 IoT 기반 조성(Security by Design)”의 형태로 도입되어, 홈가전, 의료, 교통, 환경, 재난, 제조, 건설 등 IoT 분야에서 보안을 내재화하여야 한다는 정책을 추진해 왔다. 아직 우리나라에서는 PbD가 일반 개인정보보호의 원칙으로 규범화되어야 한다는 논의로까지 발전하고 있지는 않지만 향후 PbD의 적용 방식은 개인정보보호 체계에 따라 변모할 가능성도 있으므로 이에 대한 구체적인 논의와 연구가 필요하다.

The General Data Protection Regulation of EU(GDPR) brings lots of important changes in 2018, and organisations have a lot to do to remain compliant. One such change is the need for ‘Privacy by Design(PbD)’. PbD includes internal projects, product development, software development, IT systems, and much more. Until today, tagging security or privacy features on at the end of a long production process would be fairly standard. According to the ‘PbD principle’ governments should take into account the state of the art, the cost of implementation and the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for rights and freedoms of natural persons. Moreover the controller shall implement appropriate technical and organisational measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed. And controller should follow some principles such as pseudonymisation, which are designed to implement data-protection principles, such as data minimisation, in an effective manner and to integrate the necessary safeguards into the processing in order to meet the requirements of this Regulation and protect the rights of data subjects. Up to now korean government has not legalized this principle. But in the future perhaps we should consider legalize PbD for the foreseeabe future.