클라우드 서비스의 발전과 개인정보법의 해결 과제

법/정책BRIEF
2017년 8월 28일 | 조회수 1598

이창범 동국대학교 교수

1. 클라우드 서비스 이용의 제도적 장애요인

우리나라에는 기업, 공공기관, 학교, 병원, 금융회사 등이 클라우드컴퓨팅 서비스를 이용하는 데 너무 많은 장애요인이 존재한다. 이와 같은 장애요인을 최소화하기 위해 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률(이하 “클라우드컴퓨팅법”이라 한다)」 제21조는 ‘다른 법령에서 인가·허가·등록·지정 등의 요건으로 전산 시설·장비·설비 등을 규정한 경우 해당 전산시설등에 클라우드컴퓨팅 서비스가 포함되는 것으로 본다.’라고 하여 클라우드컴퓨팅 서비스의 이용에 대해서 “원칙 허용, 예외 금지”라는 이른바 네거티브 규제 원칙을 적용하고 있다.

이에 따라 다른 법령에서 전산시설 등(하드웨어 및 소프트웨어)의 구비 의무를 규정하고 있는 경우, 인·허가 등의 신청자는 해당 전산시설 등을 구입·설치하는 대신 클라우드서비스 제공자와 클라우드서비스 이용계약을 체결하는 것으로 전산시설 등의 구비 의무를 대체할 수 있다. 인·허가 등을 받아야 하는 사업자는 일시에 고가의 전산장비 및 소프트웨어를 구입하지 않아도 됨으로 막대한 초기 투자비용을 절약할 수 있어 창업이 촉진되고, 적은 비용으로 보다 다양한 최신의 정보서비스를 활용할 수 있게 되며, 전산시설 등의 노후화에 따른 교체비용도 줄일 수 있게 된다.

다만 해당 법령에서 1) 클라우드컴퓨팅 서비스의 이용을 명시적으로 금지하거나 2) 회선 또는 설비의 물리적 분리구축 등을 요구하여 사실상 클라우드컴퓨팅서비스 이용을 제한하는 경우에는 클라우드컴퓨팅 서비스로 전산설비 등의 구비 의무를 대체할 수 없다(제21조 단서).

그러나 이와 같은 시설·설비 요건에 따른 서비스 이용 제약 외에도, 개인정보보호 규제에 따른 제약도 심각하다. 클라우드컴퓨팅법 제4조는 ‘이 법은 클라우드컴퓨팅의 발전과 이용 촉진 및 이용자 보호에 관하여 다른 법률에 우선하여 적용하여야 한다. 다만, 개인정보 보호에 관하여는 「개인정보 보호법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 등 관련 법률에서 정하는 바에 따른다.’라고 하여 클라우드서비스 이용 및 제공에 있어서도 기존의 개인정보보호 관련 법령을 모두 준수해야하기 때문이다.


2. 클라우드 서비스와 개인정보 처리 위탁

클라우드 서비스의 이용에 대해서 전혀 이견(異見)이 없는 것은 아니지만, 다수의 견해는 개인정보의 처리 위탁으로 보고 있다. 처리 위탁으로 보기를 주저하는 사람들도 PaaS나 SaaS를 처리위탁으로 보는 데는 별 반대가 없는 것으로 보인다. 이와 같은 견해는 유럽연합도 마찬가지이다. 유럽연합은 클라우드서비스 제공자를 우리나라의 “수탁자”와 유사한 개념인 개인정보처리자(data processor)로 보고 있다. 클라우드서비스 제공자를 수탁자로 보는 이상, 클라우드서비스 이용자는 수탁자의 이름과 위탁하는 업무의 내용을 정보주체에게 알리고 동의를 받아야 한다.

다만, 정보통신서비스의 제공에 관한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우에는 수탁자의 이름 등을 개인정보처리방침에 공개하거나 전자우편 등의 방법으로 이용자에게 알리기만 하면 되고 고지절차와 동의절차를 거치지 아니할 수 있다(정보통신망법 제25조). 따라서 이용자의 자발적 동의가 없는 한, 다시 말해 한, 두 사람의 이용자만 위탁에 반대해도 “마케팅 목적”으로는 클라우드 서비스를 이용할 수 없게 된다. 개인정보보호법에서는 ‘재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려 주어야 한다.’고 규정함으로써(제26조) 정보주체에게 수탁자의 이름 등을 알려만 주면 되고 동의를 받을 필요는 없다. 유럽연합도 개인정보처리 위탁에 대해서 정보주체의 동의를 요하거나 수탁자의 명단 등을 공개하도록 요구하고 있지는 않다.


3. 데이터의 분산처리와 개인정보 국외이전

클라우드 서비스의 가장 도드라진 기술적 특징 중 하나는 정보통신자원의 가상 결합과 분할, 대량 정보의 분산처리이다. 그 결과 글로벌 클라우드 서비스의 경우 개인정보가 국경을 넘어서 처리되어야 하는 경우가 있다. 그러나 정보통신서비스 제공자등이 이용자의 개인정보를 국외에 처리위탁하거나 보관하려면 이용자의 동의를 받아야 한다(정보통신망법 제63조제2조). 따라서 이용자의 명시적인 동의가 없으면 “마케팅 목적” 처리를 위한 글로벌 클라우드 서비스의 이용은 제약을 받을 수밖에 없다. 그밖에 공공기관, 의료기관, 금융회사 등이 보유하고 있는 개인정보와 특정정보는 정보주체의 동의가 있어도 국외 위탁이나 보관이 금지되므로 클라우드 서비스의 이용도 제한된다.

물론 정보통신서비스의 제공에 관한 계약을 이행하고 이용자 편의 증진 등을 위하여 개인정보의 처리를 국외 위탁하거나 보관할 때에는 이전되는 국가 및 수령자의 이름, 이전되는 개인정보 항목, 수령자의 개인정보 이용목적 및 보유·이용 기간 등을 공개하거나 전자우편 등의 방법으로 이용자에게 알리기만 하면 되므로 동의를 받을 필요가 없고(정보통신망법 제63조제2조), 정보통신서비스 제공자 외의 개인정보처리자는 개인정보의 국외 위탁 및 보관에 대해서 특별한 제한을 받지 아니한다. 유럽연합은 우리나라와 달리 이용자의 동의, 계약이행 목적 외에도 국외이전을 허용하는 다양한 예외 규정(적정성 결정, BCRs, 표준계약 등)을 마련해 두고 있어 국외 이전 제한이 글로벌 클라우드 서비스 이용에 큰 장애가 되지 아니한다.


4. 개인정보 비식별조치와 인공지능 서비스

4차 산업혁명의 핵심 기술이라 할 수 있는 대량의 데이터(빅데이터) 분석과 인공지능 서비스를 개발·제공하기 위해서는 클라우드 서비스를 이용해야 하는 경우가 많다. 그러나 우리나라에서는 앞에서 살펴본 바와 같이 계약 이행을 위해 불가피하게 필요한 경우가 아니면 제3자에게 개인정보의 처리를 위탁할 수 없다. 2016년 6월 30일 정부가 합동으로 발표한 「개인정보 비식별조치 가이드라인」에 따라 비식별조치된 정보는 개인정보가 아니므로 클라우드 서비스를 이용하는데 장애가 없지만, 빅데이터 분석 및 인공지능 서비스 개발을 위해서는 비식별정보의 이용만으로는 한계가 있다. 빅데이터 분석 및 인공지능 서비스 개발을 위해서는 익명정보(Pseudonymous data)1의 활용이 불가피하나, 현행법상 익명정보의 처리 근거가 명확하지 않아 익명정보를 잘 활용하지 못하고 있다.

개인정보보호법과 신용정보법은 ‘통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우’에는 정보주체의 동의를 요구하고 있지 않으며(개인정보보호법 제18조제2항제4호 및 신용정보법 시행령 제28조제10항제7호), 위치정보법도 ‘통계작성, 학술연구 또는 시장조사를 위하여 특정 개인을 알아볼 수 없는 형태로 가공하여 제공하는 경우’에는 이용자의 동의가 필요 없다고 규정하고 있다(제21조제2호). 그러나 ‘특정 개인을 알아볼 수 없는 형태’의 의미가 명확하지 않아 해석상 이를 익명정보로 보는 견해와 비식별정보로 보는 견해가 갈리고 있으며2, 더구나 정보통신망법에는 이에 상응하는 조항조차도 없어 익명정보의 활용을 막고 있다.

또한 이들 법령의 해석에 의해서 익명정보의 활용이 허용된다고 하더라도 클라우드 서비스의 이용에는 또 다른 장애물이 존재한다. 빅데이터 분석, 인공지능 서비스 개발 등 목적의 개인정보처리는 계약 이행을 위한 개인정보처리로 보기 어려워 이용자의 명시적인 동의를 필요하기 때문이다. 이와 달리 유럽연합 일반개인정보지침(GDPR)은 ‘공익적 문서의 보존 목적, 과학적 또는 역사적 연구 목적 및 통계적 목적’을 위하여 개인정보를 익명화(Pseudonymisation) 해서 처리하는 경우에는 정보주체의 동의가 필요 없음을 명시하는 한편(제89조), 익명화의 정의를 명시함으로써 해석상 혼란을 제거하고 있다(제4조제5항)3. 또한 이와 같은 목적의 개인정보 처리위탁(국내)에 대해서는 정보주체의 동의가 필요 없다.


5. 해결되어야 할 과제

이상에서 살펴본 바와 같이 클라우드 서비스의 발전과 이용 확대를 위해서는 현행법상 개선되어야 할 점이 많다. 첫째, 계약 체결 및 이행 목적 이외의 개인정보 처리 위탁(통계작성 목적, 연구.개발 목적, 마케팅 목적 등)에 대해서도 이용자의 동의 의무를 폐지해야 한다. 둘째, 개인정보 처리 국외 위탁 및 국외 보관에 대해서 이용자의 동의를 대체할 수 있는 수단(적정성 결정, BCRs, 표준계약 등)을 마련해야 한다. 셋째, 익명화(Pseudonymisation) 또는 익명정보(Pseudonymous data)의 정의 규정을 도입하고, 익명정보의 처리 및 위탁에 대해서 동의 의무를 폐지하여야 한다.


  1. 국내에서는 실무적으로 ‘Pseudonymous Data’를 가명정보로 번역하는 경우가 대부분이나 필자는 ‘익명정보’라는 용어를 사용한다. ‘Pseudonymous Data’를 가명정보로 해석하는 것은 의미 전달이 충분하지 않기 때문이다. 많은 분들이 ‘익명’의 의미를 “이름을 숨기는 것”만을 의미하는 것으로 알고 있으나, 익명에는 “숨긴 이름이나 그 대신 쓰는 이름”의 의미도 포함되어 있다. 따라서 “실제의 자기 이름이 아닌 이름” “가짜 이름” “임시로 지어 부르는 이름”을 의미하는 가명보다는 익명이 더 정확하다고 할 수 있다. ↩︎
  2. 필자는 개인정보보호법 제18조제2항, 위치정보법 제21조제2호, 신용정보법 시행령 제28조제10항제7호는 익명정보(Pseudonymous data)를 의미하는 것으로 해석한다. 개인정보가 아닌 비식별정보를 의미하는 것이라면 굳이 법률에 이를 규정할 필요가 없기 때문이다. ↩︎
  3. 익명화란 별도로 분리 보관된 추가 정보의 사용 없이는 해당 정보가 더 이상 특정 정보주체에 귀속할 수 없는 방법으로 개인정보를 처리하는 것을 의미한다. ↩︎