연구보고서
Ⅰ. 배경 및 목적
□ 연구의 배경
○ 빅데이터란 무엇인가?
- 빅데이터란 한마디로 말해 인터넷을 통하여 또는 기타의 방법으로 수집, 처리되어 활용되는 거대한 정보집합체를 의미한다고 정의할 수 있음
- 그러한 정보의 많은 부분은 이른바 ‘개인정보’에 해당하며, 본래의 수집맥락에서 벗어나 임의의 목적(예컨대 통계적 경향을 파악하기 위하여) 이용될 수 있음
○ 오늘날 빅데이터는 우리의 복잡한 세상에서의 생활관계를 개선하는데 기여할 수 있는 새로운 사회적, 경제적, 과학적 인식을 대표하는 새로운 기회를 의미하기도 함
- 그러나 빅데이터는 그 조작, 차별 또는 억압을 통한 정보적 힘의 남용의 가능성이 상존한다는 점에서 새로운 위험이기도 함. 즉, 만약 대량의 정보가 사적 또는 공적 기관에 의하여 수집되면 그러한 정보적 채굴행위는 인간의 정보적 기본권의 중대한 침해를 야기하고 그에 따라 자유권적 기본권의 위협을 초래하게 될 것임. 금융거래, 지불능력, 의료처치, 사적 소비, 직업활동 등에 관한 자료가 인터넷이용이나 전자적 카드와 스마트폰 및 비디오/통신감시 등에 의하여 수시로 오고가기 때문에, 사실상 모든 정보는 다른 모든 정보와 결합가능하고 또한 활용가능한 상황임.
- 글로벌 기업인 구글, 애플이나 페이스북 또는 경찰, 과세관청이나 정보기관, 또는 병원, 고용주, 보험회사, 은행 등 인간에 의하여 일상적으로 발생되는 정보에 대한 접근과 이용은 정당한 법에 의하여 이루어져야 함. 특히 이러한 것들이 개인적인 평가, 추적 또는 프로파일링 등에 활용될 때에는 더더욱 그러하다. 동시에 정보투명성에 관한 규칙이 도출되고 확정되며 반영될 필요가 있음.
- Lorence Lessig가 2000년에 말한 바와 같이 오늘날 정보사회에 있어서 현대적 가치와 전통의 중심성과는 정보보호, 즉 기본권으로서의 정보의 자기결정권임. 이 기본권은 오늘날 정보기술적으로 고도로 발전한 자유민주주의의 기본적 조건이다. 따라서 디지털 인권헌장(Codex Digitalis Universalis)의 포기할 수 없는 구성요소에 해당함.
○ 빅데이터를 논함에 있어서는 이러한 기회이자 위험으로서의 성격과 정보의 자기결정권이라는 정보보호법제의 기본적 조건과 밀접하게 연관되어 있음을 항상 염두에 두고 접근할 필요가 있다.
○ 널리 알려진 대부분의 빅데이터 관련 논의와는 달리 빅데이터에 있어서 개인정보보호만이 문제되는 것은 아님.
- 특히 대량으로 쏟아져 나오는 사물(기계)정보 및 날씨정보의 수집 및 처리는 개인에 대한 아무런 관련성이 없음에도 불구하고 예방적 예고 등의 분야에서 경제적으로 엄청난 가치와 의미를 가지고 있음이 간과되고 있기 때문이다. 그러나 정치, 산업, 법률가 및 정보보호전문가들은 빅데이터와 관련하여 전세계적으로 다양한 원천으로부터 수집되는 실시간정보를 법적으로 취급가능하게 만들고 국내법과 국제조약을 통해 정보의 수집 및 활용에 관하여 정부의 권한이 점점 더 포괄적으로 커지는 것을 국가안보라는 이름하에 통제하고 공고히 하여야 하는 도전에 직면하고 있다. 아직 각국에서는 통일된 관련 법제를 만들거나 체계화한 것 같지는 않고, 다만 관련 법적 문제에 관한 공론화 과정 중에 있는 것으로 파악됨
□ 연구의 목적
○ 본 연구에서는 특히 독일의 관련 법적 논의들을 정리하여 그로부터 시사점을 도출하여 국내 빅데이터 관련 법제적 대응에 참조자료를 제공하는 것을 목표로 삼고자 함
Ⅱ. 주요 내용
□ 독일의 빅데이터 관련 법제
○ 빅데이터는 일종의 거대한 정보집합체로서 그 법적 규율도 정보보호법에 의한 규율이 1차적인 규범체계가 됨
○ 독일은 정보보호법제를 구성함에 있어서 특히 사업자와 소비자(이용자)의 양측면을 공히 고려하는 기본적 시각에 터잡고 있음
- 즉 사업자의 측면에서는 빅데이터가 가지는 막대한 경제적 가치가 주안점이 될 것이고, 소비자의 측면에서는 개인정보와 관련한 인격권의 보호가 주안점이 될 것임
- 그리하여 디지털 사회에 있어서 정보보호법제의 형성에 있어서는 사업자와 소비자(이용자)간의 공정성(Fairness)이 보장되어야 함을 강조함
- 이러한 중요성은 독일 국내법에 있어서는 물론 유럽연합 차원의 법체계에 있어서도 마찬가지임
○ 정보보호의 수준이 유럽연합 전체에 걸쳐 균일한 것은 아니지만 그러한 속에서도 독일의 높은 수준의 정보보호 수준이 잘 준수될 수 있도록 고려하는 입장을 견지하고 있다고 평가됨
○ 독일 국내법으로는 정보보호에 관한 일반법인 연방정보보호법(BDSG)이 있고, 방송을 제외한 ICT영역의 두 가지 기본축에 해당하는 통신법(TKG)과 텔레미디어법(TMG)에 각각 정보보호에 관한 특별법이 규정되고 있음
- 독일에서는 전자를 통신정보보호(Telekommunikationsdatenschutz)라고 부르고, 후자를 텔레미디어정보보호(Telemediendatenschutz)라고 부르고 있음
- 기업을 통한 정보보호에 대한 감독은 통신 영역의 예외를 제외하면 디지털 사회에 있어서 각 주가 수행하여야 할 과제임
- 연방의 각 주에서는 이를 실현하기 위하여 각각의 조직법적 조치들을 만들어내고 있음
○ 이러한 독일 국내 정보보호법제에 대해서는 유럽연합의 일반 정보보호지침(95/46/EC)이 주요한 기본방향을 제시해주고 있음
○ 독일 통신법(TKG)상 정보보호에 대해서는 제7장 제2절에서 제91조부터 제107조 사이에 규정되고 있음
○ 이들 규정의 규율대상은 통신에 참여한 관련인의 개인정보호를 서비스제공자의 수집 및 사용행위로부터 보호하는 것임
○ 이러한 방법으로 연방헌법(GG) 제2조 제1항 및 제1조 제1항에 따른 정보적 자기결정권을 통신영역에서 보장되도록 하고 있음
○ 이러한 통신정보보호법에서는 일반 정보보호법인 연방정보보호법 제4조에서와 마찬가지로 허가유보부 금지가 규정되고 있음
- 개인정보의 수집 및 사용을 위해서는 모든 경우에 관련인의 명시적인 허가(동의) 또는 법률상의 수권이 필요함
○ 한편 텔레미디어법에서는 동법 제11조에서 15조 사이에 정보보호에 관한 규정을 두고 있음
- 이들 규정은 텔레미디어 영역에 특별한 규율로서 이들 규정을 통해 일반 정보보호법인 연방정보보호법상의 일반규정을 보완하도록 하고 있음
○ 그밖에 빅데이터 관련해서는 정보보호 영역 이외에 저작권법, 특허법, 민사계약법, 형사법 등의 관련 법규정들이 적용될 여지가 있음
○ 이렇듯 독일의 빅데이터 관련 주요 법제 체계는 연방헌법(GG)상의 기본권인 정보적 자기결정권을 최상위 법원으로 하여, 그 이하 법률로서 연방정보보호법(BDSG)이 있고, 정보보호에 관한 일반법인 연방정보보호법 이외에 ICT영역을 규율하는 기본적인 법제인 통신법(TKG)과 텔레미디어법(TMG)상의 정보보호 관련 규정들이 기본적인 법제도를 구성하고 있음
○ 독일의 빅데이터 관련 법제는 별도의 단행 법제가 존재하는 것이 아니고 기존의 (방송을 제외한) ICT법제의 근간을 이루는 통신법과 텔레미디어법과 관련하여 정보보호 이슈를 중심으로 빅데이터 논의를 진행시키고 있으며, 특히 정보보호 관련 일반법인 연방정보보호법(BDSG)의 적용 여부가 매우 중요한 이슈로 논의되고 있음
○ 이상 개관한 바를 표로 정리하면 다음과 같음
□ 독일 정부의 스마트 데이터 전략
○ 전세계적으로 빅데이터가 향후 가까운 미래의 디지털산업 분야를 이끌어갈 화두가 되는 신산업으로 각광을 받는 가운데, 독일 연방정부는 이를 이른바 ‘스마트 데이터(Smart Data)’라는 새로운 신조어로 바꾸어 부르면서 나름대로의 디지털정책의 한 축으로 이끌어가고 있는 모습을 볼 수 있음
- 독일연방정부의 이러한 계획과 추진내용은 연방경제기술부가 2013년 11월에 발간한 “스마트 데이터 ? 정보로부터의 혁신”이라는 책자에 잘 나타나 있음
- 이에 의하면 독일정부는 빅데이터 기술의 발전을 크게 4가지 기본 방향에서 진흥하는 것을 목표로 삼음
- 그 네 가지 기본방향은 ① 의사결정의 지원 및 자동화, ② 분석과 예측, ③ 정보의 조직 및 관리, ④ 안정적인 인프라 등임
○ 향후 빅데이터 기술의 발전을 이러한 4가지 요소를 중심으로 이끌겠다는 것이며 이를 통해 정보로부터의 혁신이 국가와 사회 전반에 영향을 미칠 수 있도록 하겠다는 의미에서 빅데이터를 이제는 스마트 데이터로 격상시키려는 전략으로 풀이됨
○ 이러한 빅데이터 기술의 발전과 정보로부터의 혁신을 통한 스마트 데이터의 진흥은 법제도의 측면과 경제적 잠재력의 뒷받침이 동원되어야 하는데, 특히 법제도 측면은 별도의 빅데이터 또는 스마트 데이터 관련 단행 법률을 제정하는 것은 아니지만 빅데이터와 관련하여 중요한 내용을 담고 있는 연방정보보호법(BDSG), 텔레미디어법(TMG), 통신법(TKG) 및 EU정보보호지침 등의 정보 관련 기본법제를 통한 안정적인 제도틀의 마련을 기반으로 삼고, 여기에 제조업을 중심으로 탄탄한 독일 경제의 잠재력을 가미하여 경제발전의 수준을 종전보다 한 단계 더 업그레이드한다는 전략이 깔려있는 것으로 해석됨
○ 그리고 이러한 전략은 크게 4가지 개별영역에 빅데이터 기술이 접목되도록 하여 ICT 산업의 융합을 촉진하고 미래 디지털 경제의 발전을 견인한다는 목표를 제시하고 있음. 그 네 가지 개별영역이란 산업, 이동성, 에너지 및 건강 분야를 지칭함
- 산업의 경우 빅데이터 기술에 의한 정보기술이 접목될 경우 종전 전통적인 산업의 한계를 뛰어넘어 자동화되고 가상화된 스마트 공장을 실현함으로써 생산성을 획기적으로 극대화하는 것을 목표로 함
- 에너지 영역의 경우는 스마트 미터 또는 스마트 그리드 전략과 접목하여 전력산업에서의 발전을 산업전반과 가정에까지 확대하여 미래사회의 환경을 전반적으로 혁신하는 것을 목표로 삼음
- 건강 영역에서는 의약기술, 건강관리 및 바이오기술이나 의학연구 영역에 빅데이터 기술을 접목하여 건강한 미래사회의 기반을 조성하고자 하는 취지임
- 마지막으로 이동성 분야는 도로와 교량과 같은 인프라요소와 그 위를 달리는 이동수단, 특히 Car2Car 등 사물인터넷을 가미한 빅데이터 정보기술과의 접목을 통해 편리한 미래사회의 기반을 구축하기 위한 기초를 제공하는 목적을 설정하고 있음
○ 현재 우리나라의 빅데이터 정책은 최근에 있은 금융분야에서의 보안사고의 경험 때문에 모든 정부정책의 방향이 정보보호와 보안의 방향으로 집중되어 빅데이터 산업이 발전하기 위한 기본적인 환경과 추진력 양자를 동시에 상실하고 그 방향성 부터 찾아야 하는 상황에 놓여있다고 보여짐
○ 반면에 독일의 경우는 위 스마트 데이터 정책에서 보는 바와 같이 빅데이터 기술의 단순한 발전에만 그치는 것이 아니라 그것을 활용하기 위한 중요한 영역으로 산업, 이동성, 의료, 에너지 등 주요 핵심적 적용영역을 정부가 선택하여 집중적으로 진흥함으로써 해당 분야의 집야약적인 발전이 가능하고 그 효과가 국가사회 전반에 미치도록 하여 전체 국가경제가 동반하여 발전할 수 있는 토대를 마련하고 있다는 점에서 매우 긍정적으로 평가할 수 있다고 봄
○ 향후 우리나라의 빅데이터 정책 및 전략을 수립할 때 참조할 수 있는 대목이라고 평가됨
□ 동위 위주에서 책임 위주로의 전환 모색
○ 앞서 독일의 정보보호법제에서 살펴본 바와 같이 독일 연방정보호법이 빅데이터에 대해 적용되는 것은 이것이 이 법상 개인정보와 관련될 때임(연방정보보호법 제3조 제1항).
- 이를 위해서는 관련된 정보와 자연인간에 하나의 관련성을 필요로 함
- 이러한 관련성은 예컨대 관련인의 이름이 알려져 있거나 그 이름이 기존의 정보에 근거하여 그 이름을 모르더라도 식별가능할 수 있을 때 인정될 수 있다고 함
○ 이러한 관련성을 인정할 수 없을 때는 연방정보보호법의 적용영역에서 제외되는바, 원칙적으로 비식별화(익명화)의 경우가 그러하다고 함
○ 그러나 앞서에서도 설명한 바와 같이 비식별화가 항상 만능의 해결책이 될 수는 없다는 점이 독일 학계의 일각에서는 지속적으로 주장되고 있음
○ Katko/Babaei-Beigi는 빅데이터에 있어서 정보의 익명화와 관련한 문제가 특별히 제기되는 근본 이유는 처리 가능한 막대한 양의 정보가 상이한 원천으로부터의 정보와 무한히 결합가능하여 이른바 ‘재식별가능성(Reidentifikation)’을 현저히 높이기 때문이라고 함
○ Katko/Babaei-Beigi는 기존의 동의 위주의 체계에서 정보보호법제가 빅데이터 산업과 부합하지 않을 수 있는 점으로서 정보절약성원칙과의 충돌과 목적구속성 원칙과의 충돌을 들고 있음
○ Katko/Babaei-Beigi는 기존의 독일의 정보보호법제는 빅데이터와 관련하여 비식별화, 정보절약성 원칙 및 목적구속성 원칙에서 그대로 적용하기에는 일정한 문제가 있음을 주장하며, 나름 설득력 있는 것으로 생각됨
○ Katko/Babaei-Beigi는 이상과 같은 문제의식에서 출발하여 향후의 정보보호법제를 기존의 동의 위주에서 책임성 위주로 변경할 것을 제안함
- 즉, Mayer-Schonberger가 미래의 정보보호와 관련하여 ‘책임성(Accountability)’이라는 수식어하에 법률상의 규정이 제시하는 바와 동시에 정보이용자로서의 사업자의 강화된 자기통제를 혼합할 것을 제안한 것을 환기하고 이를 독일 정보보호법제에 적용할 것을 주장
- Mayer-Schonberger의 모델에 따르면 사업자는 기존의 목적에 의하여 포괄되지 아니하는 모든 새로운 정보처리에 있어서 정보보호법상의 (자기)심사를 수행해야 하며, 이 경우 특히 그 결과는 관련인을 위하여 고려되어야 하고, 동시에 특정한 사용카테고리들이 법률상 미리 정의되어 있어야 하는바, 이는 각 사용의 종류에 따라 정보보호요청 없이 또는 더 적은 정보보호요청만으로도 가능한 정보이용이 허용되는 범주를 구체화하는 것이라고 함
○ 이러함 주장은 우리나라의 정보보호법제의 개선방안으로서도 매우 좋은 시사점을 준다고 판단됨
Ⅲ. 기대효과
○ 빅데이터는 그 자체로서만 의미를 가진다기 보다 클라우드 컴퓨팅, 사물인터넷 등 다른 인터넷 신사업들과 연계하고 관련 산업에 유연하게 연계될 수 있을 때에 비로소 그 진가를 발휘하게 됨
○ 이러한 인식이 국가사회 전반에 확산되어 향후 빅데이터 기술과 제도의 연구에 긍정적인 결과가 양산되어 국민경제의 발전에 기여할 수 있을 것으로 기대됨
제1장 연구의 개요 21
제1절 연구의 목적 21
제2절 연구의 내용과 범위 23
제2장 독일의 정보보호법제 개관 25
제1절 개 관 25
제2절 독일 및 유럽연합의 정보보호법제 27
제3절 소 결 34
제3장 빅데이터 관련 개별 쟁점별 법적 검토 37
제1절 정보의 생산 측면에서의 법적 관점 37
제2절 정보의 저장 측면에서의 법적 관점 52
제3절 정보의 분석, 활용, 이전 관련 법적 관점 55
제4장 빅데이터 관련 최근 논의 동향 및 시사점 57
제1절 독일 연방정부의 스마트 데이터 정책 57
제2절 동의 위주에서 책임 위주로의 전환 모색 60
제3절 시사점 67
제5장 요약 및 결어 77
참고문헌 79