미국 ‘데이터 브로커’ 제도의 국내법적 함의
Study on the Domestic Legal Implications of US Data Broker System
김현경(서울과학기술대학교)
11권 2호, 248~268쪽
초록
기업의 인재채용, 국가의 범죄자 예측 등 빅데이터·인공지능에 기반하여 이루어지는 데이터(개인정보를 포함한)의 처리과정은 복잡한 수학적 공식에 의하므로 일반인들이 이해하기 힘들어 졌다. 이러한 처리과정의 불투명성은 정보주체가 개인정보의 처리결과에 대하여 이의를 제기하기 어렵게 만든다. 미국의 경우 이러한 현상이 인공지능이나 빅데이터로 대별되는 기술 이전에, ‘데이터 브로커’를 통해 이미 상용화 되어 왔다. 미국의 데이터 브로커 산업은 이미 개인정보 법제가 자리 잡기 이전부터 집적화된 개인정보를 자산으로 보유해 왔고 최근 빅데이터·인공지능 등 데이터 분석기술의 고도화는 이들의 개인정보 활용가치와 영역을 더욱 확대시키고 있다. 본 연구는 이러한 미국의 데이터 브로커 현황과 규율법제를 검토하고 국내의 개인정보 규율방향에 대한 시사점을 도출하였다. 우선 미국의 데이터 브로커는 우리법상 개인정보처리자에 해당된다. 그러나 우리법은 민간에서 개인정보의 처리를 위해서는 정보주체로부터 사전에 명확한 동의를 득해야 한다. 한편 미국의 데이터 브로커는 정보주체의 사전 동의 없이 거의 100년 이상 개인정보를 수집, 누적해 왔고 지금도 그러하므로 실질적으로 국내의 개인정보처리자가 미국과 같은 데이터 브로커 사업을 영위하는 것은 불가능하다. 미국은 최근 데이터 브로커에 대하여 규제하고자 하는 입법을 추진하고 있으나 최초의 규제법인 버몬트주법의 경우도 ‘정보주체의 동의’를 전제로 하는 규제보다는 후발적으로 데이터 브로커의 개인정보 처리과정에 있어서 일정한 의무를 부여하고 사업등록을 통해 정부의 관리감독을 꾀하고자 하는 방향으로 규율하고 있다. 연방차원에서 데이터 브로커를 규제하고자 하는 여러 개의 법안이 제안되었으나 지금까지 어떠한 법안도 통과되지 못했다. 아마 이미 형성되어있는 데이터 브로커 산업에 대한 부담과 4차산업혁명이라는 기술적 변혁속에서 데이터 활용의 중요성이 부각되면서 이러한 법안의 실행은 쉽지 않을 것으로 보인다. 4차산업혁명의 달성에 필요한 핵심기술과 서비스가 모두 데이터에 기반한다는 사실에 비추어 볼 때, 또한 데이터의 속성(비배타성/비배제성)으로 인해 데이터규범의 집행이 물리적 ‘국경’ 안에서 이루어지기 곤란하다는 점을 감안할 때, 집합적 데이터에 대한 규율방향의 근본적 변화를 모색할 필요가 있다. 비단 미국의 데이터 브로커를 언급하지 않아도 이미 통신, 금융, 의료 영역의 특정기업에 의해 전 국민의 개인정보가 수집되어 있다는 사실은 우리나라나 미국이나 별반 다르지 않다. 그럼에도 불구하고 현행 「개인정보 보호법」상 정보주체의 권리 보장방식은 엄격한 사전 동의, 정정·삭제 요구권 중심이다. 이미 대부분의 개인정보가 수집되어 있는 상태에서 ‘수집’ 중심의 규율체계는 정보주체의 프라이버시 보호에 취약할 수밖에 없다. 따라서 개인정보의 이용, 제공 과정에서 공정한 처리를 담보하기 위한 공익적 감독방안의 도입 등 개인정보 수집 후 처리과정에 있어서 공정성을 담보하기 위한 제도들이 강구될 필요가 있다. 편향된 데이터의 채택으로 인해 정보주체에게 발생하게 되는 불이익을 막고, 부당한 차별과 불평등한 처우를 위해 개인정보가 처리되는 것을 감독하여야 할 것이다. 또한 엄격한 사전 동의 보다는 엄정한 약관심사 등을 통해 개인정보 처리와 관련된 공정한 계약 체결이 이루어지도록 하는 것이 기업과 정보주체 간의 불평등한 관계를 감안해 볼 때 정보주체 권리 보장을 위해 더욱 현실적이다.
Abstract
The processing of data (including personal information) based on big data and artificial intelligence, such as corporate recruiting and forecasting of criminals in the country, is complicated by mathematical formulas, making it difficult for the public to understand. The opacity of this process makes it difficult for an personal information subject to object to the processing results of personal information. In the United States, this phenomenon has already become commercially available through 'data brokers' before technologies such as artificial intelligence or Big Data are introduced. The data broker industry in the United States has already held integrated personal information as an asset prior to the adoption of the Personal Information Legislation Act. Recently, the advancement of data analysis technology based on Big Data and Artificial Intelligence has increased their use of personal information. This study examines the status of data brokers in the United States and the disciplinary law, and draws implications for the direction of personal information discipline in Korea. First of all, the data broker in the United States is a personal information processor under our law. However, our law requires clear consent beforehand from the information subject for the processing of personal information in the private sector. In the meantime, US data brokers have collected and accumulated personal information for almost 100 years without the prior consent of the subject, and as such, it is virtually impossible for a domestic personal information processor to conduct a data broker business such as the United States. The United States is currently pushing legislation to regulate data brokers. However, in the case of the Vermont State Act, which is the first regulatory law, it is necessary to provide a certain obligation in the process of personal data processing of data brokers, rather than the regulation based on the consent of the information subject. Several legislative proposals have been proposed to regulate data brokers at the federal level, but no legislation has been passed so far. Perhaps it is not easy to implement such a bill because of the burden on the already established data broker industry and the importance of data utilization in the technological transformation of the fourth industrial revolution. Given the fact that all the core technologies and services required to achieve the Fourth Industrial Revolution are data-based, it is also difficult to enforce data norms within the physical "border" due to the nature of the data (non-exclusivity / non-dominance) It is necessary to seek a fundamental change in the direction of discipline on collective data. Even without mentioning US data brokers, certain companies in the telecommunications, finance, and healthcare sectors are already collecting personal information from almost everyone. In this situation, 'collecting' - based discipline system is inevitably vulnerable to the privacy of information subjects. Therefore, it is necessary to establish systems for guaranteeing fairness in the processing process after collection of personal information, such as introduction of supervision to ensure fair treatment in the use and provision of personal information. We should prevent disadvantages to the subject of information due to the processing of biased data and supervise the processing of personal information for unfair discrimination and unequal treatment. In addition, it is more realistic to guarantee the rights of information subjects to ensure fair contracts related to personal information processing through examination of strict terms rather than strict prior agreement.
- 발행기관:
- 법학연구소
- 분류:
- 법학