의장 윤종수 : [“안녕하십니까. 「2022-2023 개인정보 미래포럼」제7차 회의를 시작하겠습니다.
올 한 해 새해 복 많이 받으십시오. 빈말로 말씀드리는 것이 아니라 진짜 복들 많이 받으시고 하시는 일 잘되고 건강하시기를 바랍니다.
오늘이 벌써 일곱 번째인데 많은 분들이 참석해 주셨고 우리 위원장님을 비롯해서 개인정보 보호위원회에서도 많은 분들이 함께해 주셨습니다.
온라인으로는 오병일 위원, 송승재 위원, 윤영미 위원, 최성진 위원 이렇게 참석을 하셔서 진행하도록 하겠습니다.
우선 지난 미래포럼 결과보고를 하기 전에 2023년 개인정보 보호위원회 연도 업무보고 소개를 먼저 해 드리는 시간을 가지도록 하겠습니다. 그래서 지난 12월 28일에 대통령 업무보고에서 고학수 위원장님께서 하신 영상을 보신 후 강대현 혁신기획담당관께서 2023년 업무보고 설명을 해 주시겠습니다.”]
( 2023년 개인정보 보호위원회 업무보고 동영상 상영 )
혁신기획담당관 강대현 : [”영상에 이어서 나눠드린 책자 중심으로 보충적인 내용들을 설명드리도록 하겠습니다.
앞에 위원장님께서 말씀하셨듯이 작년 12월 28일에 올해 연도 업무보고를 대통령께 보고드렸고 과기부, 원안위와 함께 ‘과학기술 디지털 정책’이라는 주제로 업무보고를 시행하고 국민들께 설명드렸고 저희 미래포럼 위원님들께도 관련사항을 세부적으로 설명드리도록 하겠습니다.
나눠드린 책자를 보시면 앞부분에 PT가 있고 그 PT 내용을 중심으로 위원장님께서 업무보고를 진행해 주셨고, 한글본 파일 중심으로 제가 보충적인 설명을 간략하게 드리도록 하겠습니다.
1페이지 추진성과와 평가입니다. 설명을 드리기에 앞서 저희 1기 포럼과 작년에 이어 2기 포럼에서 해 주신 내용들을 최대한 업무보고에 많이 반영했습니다. 그래서 올해도 해 주신 내용들을 저희가 발전시키고 다듬어서 업무집행이나 내년도 업무계획에도 계속적으로 같이 반영하도록 하겠습니다.
추진성과는 위원님들도 잘 아시겠지만 디지털 혁신 생태계 조성을 위한 개인정보 안전 활용으로 1페이지를 보시면 크게 세 파트입니다. 그리고 개인정보보호 강화, 글로벌 수준에서의 개인정보 체계인데 5개 분야의 정책성과를 저희가 거뒀습니다.
대표적으로 가명정보 활용 확산이라든가 신기술 R&D를 작년에 처음 본격적으로 시작하였고, 구글·메타의 과징금 1,000억 부과를 계기로 엄정한 법 집행에 대한 경각심을 부여했습니다. 특히 아동·청소년, 공공기관 기본계획을 수립하여 개인정보 사각지대 해소하기 위해서 노력했다는 말씀을 드리고, EU에 이어 영국도 적정성 결정을 작년 말에 완료한 바 있습니다.
아마 위원회 출범 이후 만 2년이 지난 3년차쯤에 평가를 해 보면 개인정보의 출범으로 우리 사회나 공공부문에서의 개인정보 보호·활용체계의 기반은 마련했지만 여전히 급속한 디지털 전환에 대한 체계적인 대응과 불확실성 해소가 시급하다는 평가를 하게 되었습니다.
특히 기술변화의 빠른 속도에 대응한 법·제도의 변화라든지 공공부문에서 지속적으로 발생하는 개인정보 유출로 인한 국민피해에 대한 신속한 대응이 사회적으로 요구되고 있습니다.
다음 페이지입니다. 추진 여건 및 방향은 크게 디지털 전환과 글로벌한 패권경쟁에 대응하여 우리 위원회와 우리나라가 개인정보 보호·활용체계의 패러다임을 새롭게 혁신하고 개인정보위가 명실상부한 개인정보 컨트롤타워로서 역할을 할 수 있도록 하는 내용을 업무계획에 담았습니다.
큰 틀의 방향성만 먼저 말씀드리면 데이터 경제 시대로의 본격 전환과 기술변화에 대응하여 개인정보의 신뢰 기반으로 데이터 경쟁 시대를 선도하는 것과 주요 선진국의 데이터 활용지원과 입법체계 정비 추세에 맞춰서 우리나라와 개인정보위가 글로벌 질서 재편성 과정에서 주도적 리더십을 확보할 수 있는 데 업무계획의 초점을 맞췄습니다.
세 번째로는 공공·민간부문의 다양한 유·노출에 대응하여 엄정한 법집행을 기반으로 국민 일상의 개인정보 신뢰사회를 구현하는 데 업무계획의 초점을 두었습니다.
다음 페이지입니다. 3페이지를 보시면 국민 신뢰 기반의 디지털 대전환 선도로 3대 정책방향을 설정했는데 마이데이터로 한 차원 도약하는 데이터 경제 시대, 글로벌 규범을 주도하는 개인정보 선도국가 실현, 세 번째로는 공정하고 엄정한 법집행으로 국민 개인정보 신뢰사회 구현입니다. 그 5+1 과제는 5개 정책과제와 규제혁신인데 규제혁신은 부처 공통과제 성격이 되겠습니다.
추진 기반으로는 개인정보 보호법 2차 개정과 디지털 시대에 개인정보위의 컨트롤타워 역할을 강화하는 것을 기반으로 삼았습니다.
4페이지 설명드리겠습니다. 전 국민 마이데이터 시대의 본격 개막입니다. 앞서 위원장님께서 영상을 통해 업무보고를 설명드린 바와 같이 국민·기업·사회의 새로운 임팩트와 변화를 초래할 수 있는 마이데이터 계획을 올해부터 본격적으로 추진하고자 합니다.
로드맵 수립에 이어서 개인정보 보호법 개정을 기반으로 개인정보 전송요구권이라든지 전문기관의 여러 운영체계 등을 새롭게 제도적으로 정립하도록 하겠습니다.
데이터 이동을 위한 인프라 구축을 위해서는 데이터 형식 및 전송체계 표준화 외에도 가이드라인 마련과 올해 ISP 예산이 반영된 것을 토대로 내년부터는 여러 분야가 함께 사용할 수 있는 플랫폼 구축과 다양한 부처가 함께 참여해서 협업하고 제도개선을 추진하는 「범정부 마이데이터 추진단」도 법 개정 시점에 맞춰 조속히 설치하여 마이데이터 정책을 본격적으로 개인정보위 주도로 추진하도록 하겠습니다.
5페이지 신기술·신산업 지원 개인정보 활용 기반 강화입니다. 민간의 자율적인 개인정보 활용 역량 강화를 위해서는 ‘민관합동 개인정보 규제 혁신단’을 구성하여 기업의 고충을 빠르게 듣고 해소하도록 하겠고, 작년에 R&D 사업을 첫 시작했는데 올해는 가시적인 성과나 변화가 나타날 수 있도록 인공지능, 자율주행 분야에 대해서 표준화 등을 추진하도록 하겠습니다.
두 번째 가명정보 활용을 데이터 3법 개정에 따라 도입하고 정착시키고 확산해 나가고 있습니다. 올해는 비정형 데이터를 중심으로 활용규정을 좀 더 명확히 하고 활용지원센터도 종합적으로 개편하는 한편 권역별 특화지원센터나 스타트업과 연계한 지원체계도 강화해 나가도록 하겠습니다.
특히 저희가 자율주행을 포럼에서 논의할 때 직접적인 개인정보 처리에 대한 애로사항들을 업계에서 많이 제기해 주시고 또 공감대를 이뤘었는데 창의적 데이터 혁신을 선도할 ‘개인정보 안심구역’도 올해 구상과 시범사업을 도입해 보려고 합니다. 인공지능, 자율주행 연구에서 개인정보를 좀 더 직접적으로 처리할 수 있고 또 안전한 환경 하에서 연구할 수 있는 개인정보 안심구역 도입을 올해 하반기에 추진하고 또 개인정보 활용지원센터나 결합전문기관을 중심으로 시범적으로 운영해 보도록 하겠습니다.
6페이지입니다. 데이터 기반의 글로벌 질서 재편성에 대응할 리더십 확보는 위원장님께서 상세하게 설명해 주신 대로 국제규범 형성에 앞장 서기 위한 선진정책과 경험·사례를 공유하고, 올해 GPA 총회 2025년 유치를 추진하여 하반기에 확정할 수 있도록 하겠습니다. OECD나 선진국과 함께 개인정보의 다양한 조사·처분 내역 등을 DB화시키고 우리나라가 허브 데이터베이스를 구축해서 공유할 수 있도록 별도의 정보공유체계를 구축하도록 하겠습니다. 이 밖에도 유관부처와 함께 디지털통상협정이나 개인정보 이슈에 주도적으로 대응하도록 하겠습니다.
마지막으로는 국외이전되는 민감 개인정보에 대해서도 국외이전 실태에 대해 점검하고 국내 대리인 제도도 내실 있게 개선하도록 하는 것을 업무계획으로 삼았습니다.
네 번째 예방부터 피해구제까지 신속 대응체계 구축입니다. 공공 분야에 대해서는 저희가 작년 7월에 유출방지대책을 세웠고 올해 세부적인 분야에서 집행과 보완을 하도록 하겠습니다. 그리고 영상에서 보신 대로 1,500개의 시스템을 선정해서 집중적으로 관리하고 공무원의 고의적인 유출에 대한 원스트라이크 아웃(One-Strike Out)제도도 올해 1월 초부터 바로 시행이 되었습니다.
이밖에도 2차 법 개정안에 포함된 공공기관 관리수준 진단을 ‘보호수준 평가제’로 개편하는 것과 함께 법령에 대한 단기적 정비도 이루어집니다. 진단을 개편하는 것과 함께 법령에 대한 단계적 정비도 함께 이루어집니다.
그리고 조사국에서 올해 초 별도로 발표했는데 다크패턴, 애드테크와 같은 신산업 분야에 대해서는 7개 분야를 선정해서 선제적으로 예방점검하고 불명확한 분야에 대한 가이드라인 제공도 병행하도록 하겠습니다. 특히 2차 피해방지와 신속한 피해구제를 위해서 유·노출 웹사이트에 대한 정비라든지 분쟁조정제도 내실화, 프라이버시 One포털들도 원스톱으로 이용할 수 있도록 개선하고자 합니다.
8페이지입니다. 사각지대 없는 디지털 개인정보 보호체계 구축은 작년에 저희가 논의한 바 있는 아동·청소년과 관련해서는 알파 세대의 맞춤형 잊힐 권리를 보장하기 위한 삭제권 지원사업을 올해 4월부터 본격적으로 추진하게 됩니다. 그간 논의된 내용을 바탕으로 「아동·청소년 개인정보 보호법」제정안 마련을 추진하도록 하겠습니다.
그리고 국민생활의 프라이버시 해소를 위한 ‘개인정보 보호 중심 설계 인증제’ 시범도입과 그간 여러 차례 산업계, 시민단체 등과 함께 논의한 「맞춤형 광고 개인정보보호 가이드라인」개정도 상반기 중에 마무리하도록 하겠습니다. 이밖에 개인정보 보호법 개정안에 반영된 자동화된 의사결정에 대한 ‘거부권·설명요구권’과 ‘개인정보 처리방침 평가제’, 개인정보보호의 날 법정화 등 다양한 기반들도 함께 마련해 나가도록 하겠습니다.
9페이지 디지털 전환을 가속화하는 개인정보 규제혁신입니다. 보호법 개정을 통해 온·오프라인으로 중복된 규제를 해소하는 한편 민관협력 자율규제를 올해는 5개 분야인 주문배달, 구인·구직, 부동산, 숙박, 병·의원 예약접수 분야로 확대하여 성장속도가 빨라 새로운 규율체계가 필요한 분야에 대해서는 민간 스스로 규약을 마련하고 정부가 승인하는 자율규제를 보다 본격적으로 확산하도록 하겠습니다.
마지막으로 모빌리티·메타버스 등 신산업 분야에 대응한 「개인영상정보법」제정안을 연내에 마무리 짓고 저희 포럼에서 논의된 바 있는 메타버스, 클라우드 환경에 대한 가이드라인도 명확하게 만들어서 불확실성을 해소하도록 하겠습니다.
저희가 그간 포럼에서 논의한 내용들을 업무계획에 가급적 많이 반영시켰고, 위원장님께서도 조속하게 업계나 불확실성을 해소하고 국민들이 신뢰할 수 있는 내용으로 업무계획을 잘 다듬었습니다. 그래서 이런 내용들을 저희가 위원님들 의견을 들어서 충실하게 반영하고 있다는 것을 설명드리고, 올해도 여러 조언과 제언해 주시면 집행과정이나 내년도 업무계획에 저희가 새로운 내용으로 반영할 수 있도록 실무적으로 지원하도록 하겠습니다. 이상 설명을 마치겠습니다.“]
의장 윤종수 : [”자세한 설명 고맙습니다. 그야말로 개인정보 보호위원회가 개인정보의 컨트롤타워, 더 나아가서 데이터 거버넌스의 컨트롤타워로서의 역할을 할 수 있는 다양한 업무내용인 것 같습니다. 앞으로 여기 위원님들께서도 많이 도와주시면 고맙겠습니다.
이제 본격적으로 미래포럼을 진행하도록 하겠습니다. 먼저 지난번 제6차 미래포럼 결과보고를 최경진 혁신지원단장께서 해 주시겠습니다.“]
위원 최경진 : [”안녕하십니까. 전차 개인정보 미래포럼 논의결과에 대해서 보고드리도록 하겠습니다.
지난번에 2개의 발제가 있었는데 첫 번째 발제의 경우에는 초대규모 AI 생태계의 현재와 미래라는 주제로 발표가 있었습니다. 여기에서 초대규모 AI 현상에 대해 자세하게 설명을 들었고, 이러한 초대규모 AI의 유용성에 대해서 자세한 설명을 들으면서 앞으로 더 주목받을 수 있겠다는 인사이트를 얻을 수 있었습니다.
마찬가지로 그 과정에서 초대규모 AI 기반의 생태계가 만들어지는 과정에서 윤리문제뿐만 아니라 개인정보 이슈라든가 지적재산권 이슈들이 더 크게 불거질 수 있겠다는 문제제기도 있었습니다. 이것이 아마 우리가 주목해야 할 부분 중 하나였던 것 같습니다.
두 번째는 서비스로봇의 현황과 미래에 대해 설명을 들었습니다. 기본적으로 지난 전차는 저희가 미래이슈에 대해서 관심을 가지고 발표를 들었는데 서비스로봇의 현황과 미래와 관련해서 현재 주로 활용되는 서비스로봇에 대한 설명을 들었습니다. 특히 서빙로봇 같은 것들에 대한 설명을 듣고 이런 로봇이 운영되는 과정에서 다른 무엇보다 개인정보 처리에 관련된 이슈들이 많이 제기되고 있고 로봇이 발전하기 위해서는 개인정보 이슈가 해결되지 않으면 보다 더 고도화된 로봇을 활용할 수 없다는 문제의식도 들을 수 있었습니다.
그리고 최근에는 딜리버리(Delivery)와 패트롤(Patrol) 기능 중심이지만 앞으로 좀 더 융합된 서비스가 결합되면서 로봇산업이 더 고도화될 것이라는 미래에 대한 예측도 있었습니다. 이에 대해서는 우리가 앞으로 더 많이 개인정보 이슈에 대해서 관심을 가져야 할 것 같습니다.
그러한 문제의식을 공유하면서 여기 계시는 여러 위원님께서 다양한 토론을 해 주셨습니다. 결국 로봇이든 초거대 AI든 간에 대규모 개인정보를 활용할 수밖에 없는 상황이 되기 때문에 그런 과정에서 저작권 이슈라든가 AI를 실제로 운영하는 과정에서 만들거나 실제 적용하는 과정에서의 윤리문제가 현재 문제가 되고 있고 이런 것들을 해결하기 위해서 자율적으로 윤리기준을 마련하는 작업들도 현재 진행되고 있다는 설명을 들었습니다.
그 연장선상으로 윤리적 측면에서 보면 편향성 이슈가 특히 문제가 될 수 있고 이러한 편향성 이슈를 해결하기 위해 개발하는 단계에서 편향된 정보들이 학습되지 않도록 하는 것이 중요하고 그런 데 대해서 사업자나 개발자가 주의 깊게 관심을 가져야 한다는 말씀도 있었습니다.
특히나 우리가 개인정보 미래포럼이다 보니까 개인정보 관련된 이슈가 중요하다는 말씀을 많이 하셨는데 모빌리티 로봇이라든가 이동형 로봇 같은 경우에는 반드시 카메라나 레이더들이 많이 들어가 있기 때문에 개인정보 이슈가 꾸준히 제기될 수밖에 없고, 이러한 데이터를 어떻게 안전하게 활용하게 할 것인가가 실제 로봇산업 발전에도 영향을 미치지만 다른 한편으로는 로봇과 함께 살아가야 하는 일반사람들, 정보주체들의 개인정보보호 이슈와도 매우 직결되어 있다는 말씀도 하셨습니다.
그렇기 때문에 여러 분께서 개인정보에 대한 이슈가 선결되지 않으면 다양한 미래 산업이 발전할 수 없다는 데 대해서는 공감대를 가지신 것 같습니다.
그래서 개인정보와 관련하여 세 가지 이슈를 제기해 주셨는데 첫 번째는 데이터 사용에 있어서의 정당한 권리를 확보했는지 이와 관련된 것으로서 데이터 사용에 있어서의 개인정보의 적법한 처리근거가 어떻게 인정될 것인가가 첫 번째 이슈가 될 것 같습니다. 두 번째는 결과물 내지는 생산물에서 개인정보 이슈가 발생하지 않겠는가라는 문제제기가 있었습니다.
마지막으로는 맞춤형 서비스로 제공되는 경우에 개인의 정보를 보관하거나 처리하는 등의 여러 가지 법적인 이슈가 발생하는데 이것들을 우리가 어떻게 적절히 다루고 어떠한 합법적인 처리근거를 잘 만들어줄 것인가가 앞으로 우리의 과제라는 말씀들이 있었습니다.
그리고 개인정보의 수집·이용 형태가 이러한 서비스로봇 산업이라든가 AI의 발전에 따라 수집·이용 형태가 계속 달라지고 있습니다. 특히 학습모델로 쓰기 위한 경우에는 이전의 개인정보 수집·이용 형태와 많이 달라져서 어떻게 하면 좀 더 넓게 인정할 수 있을까라는 요청이 민간에서 있는 것 같고, 산업부문에서 그것을 수용하기 위해서는 개인정보의 합법처리근거를 좀 더 확대할 필요가 있다는 말씀도 있으셨습니다.
물론 이에 대해 그와 반작용으로 데이터를 보호하기 위한 노력도 함께 필요하다는 지적도 있으셨습니다. 그래서 이러한 개인정보 보호법의 해석이 앞으로 매우 중요해질 수밖에 없다는 문제제기도 있었습니다.
또 다른 한편으로는 현재 개인정보 보호위원회가 지난번에 있었던 AI, 자율주행 목표라든가 현재 논의하는 맞춤형 광고 가이드라인의 개정작업이라든가 등등과 같이 신산업 내지는 혁신산업과 관련된 다양한 작업들을 하고 있는데 그 과정에서 개인정보 보호위원회가 실제 그것을 개발하거나 사용하거나 그 대상이 되는 정보주체인 모든 사람들의 다양한 의견을 수렴하는 것이 매우 중요하고 그런 의견수렴 과정을 통해서 가이드라인을 좀 더 잘 만들어나갔으면 좋겠다는 제언이 있었습니다.
그래서 개인정보 보호위원회에 이러한 당부를 아끼지 않으셨고, 이러한 것들을 위해서 우리 미래포럼도 아마 그런 창구 중 하나가 아닐까라는 생각이 들었습니다.
여기까지가 지난번에 저희가 논의했던 사항이고, 이에 덧붙여서 최근 개인정보 보호 3개년 기본계획이 끝나가서 새롭게 만들어야 한다고 합니다. 그래서 개인정보 보호위원회가 현재 작업을 준비 중에 있는데 그 과정에서 개인정보 보호위원회에서 중요하게 다루고 있는 이 개인정보 미래포럼에서 여러 전문가가 각계에서 오셨기 때문에 기본계획이 좀 더 다양한 아이디어를 담을 수 있게끔 여기 계신 분들께서 도와주면 좋겠다는 말씀을 하셨습니다. 그런 내용들도 함께 말씀드리면서 보고를 마치겠습니다. 감사합니다.“]
의장 윤종수 : [”고맙습니다. 마지막에 언급한 기본계획에 대한 위원님들의 참여나 도움과 관련하여 사무처장님께서 기본계획에 대해 위원님들이 어떤 식으로 참여할 수 있는지, 아니면 약간의 설명을 해 주시면 고맙겠습니다.
사무처장 이정렬 : [“사무처장입니다. 조금 전 최경진 위원님께서 말미에 말씀해 주셨는데 잘 아시는 바와 같이 기본계획은 개인정보 보호법에 따라 3년 주기로 수립하여 시행을 하게 되어 있고 ’20년에 저희 위원회가 출범할 때 만들어져서 이제 3년이 되었습니다.
그래서 올해 기본계획을 수립하면 앞으로 3년 동안 개인정보 보호의 비전과 전략, 과제를 모두 담는 아주 중요한 마스터플랜이 되겠습니다. 그래서 올해 상반기까지 기본계획을 수립하려고 하고 지금 추진단을 만들어서 용역사와 같이 하겠지만 오늘 여기 참석하신 미래포럼 위원님들의 고견을 충분히 담을 수 있도록 하겠습니다.
그중에 일부는 아마 올해 업무계획에 방향이 제시되어 있는 것이 있습니다. 이 부분을 참고하시고 올해 1년이 아니라 위원회 출범 2기, 고학수 위원장님이 오시고 나서 2기가 본격적으로 출범했으니까 앞으로 3년간 개인정보 보호와 국민의 신뢰성에 어떻게 활용할 수 있는지에 대해 고견을 주시면 저희가 적극 반영하여 위원님별로 의견을 따로 듣겠습니다. 그래서 6월까지 마련해서 공포하고 국회에도 제출해 나가겠습니다. 고견을 기다리겠습니다. 감사합니다.“]
의장 윤종수 : [”설명 고맙습니다. 위원님들의 많은 참여와 협조 부탁드리겠습니다.
이제 제7차를 진행할 것인데 지난 제6차에서 거대 AI에 대해 했는데 마침 그 후로 Generative AI에 대한 관심이 엄청나게 뜨거워지면서 저도 GPT도 해고 영상도 만들어보니까 정말 개인정보 이슈가 이전의 AI와는 다른 측면에서 계속 콘텐츠를 만들어내는 상황이어서 아주 중요한 이슈가 될 것 같다는 생각이 들었습니다. 그래서 6차에서의 논의내용이 많은 도움이 되었습니다.
앞으로 중요한 단계인 것 같아서 기본계획과 아까 업무보고에서 말씀해 주신 여러 내용이 잘 진행될 수 있도록 위원님들의 많은 협조를 부탁드립니다.
그러면 제7차 미래포럼을 본격적으로 진행하겠습니다. 지난번 제6차까지 마쳤고 제7차는 크게 나눠서 세 번째 카테고리인 ‘미래사회 변화와 국민 개인정보 안전’이라는 큰 주제로 7, 8, 9차 이렇게 세 번 이루어지겠는데 오늘 제7차는 그중에서 라이프사이클 전 과정에서의 개인정보 안심사회 구현이라는 큰 주제를 가지고 두 분께서 발표를 해 주시겠습니다.
우선 김우창 위원님께서 ‘공학자의 관점에서 본 라이프사이클 개인정보 안심사회 구현’라는 제목으로 발표해 주시고, 이어서 오병일 위원님께서 ‘노동감시 및 근로자 개인정보보호 실태 및 문제점’이라는 제목으로 아마 온라인으로 참여하신 것 같은데 온라인상에서 발표해 주시겠습니다.
두 분 각각 20분씩 발표해 주시면 될 것 같고 끝나면 지난번처럼 별도의 지정토론 없이 전체토론으로 진행하도록 하겠습니다.
그러면 먼저 김우창 위원님께서 진행해 주시면 고맙겠습니다.“]
위원 김우창 : [”안녕하십니까. KAIST 김우창 교수입니다.
오늘 제가 발제할 내용은 공학자의 관점에서 본 라이프사이클 개인정보 안심사회 구현이고 방점은 그 아래 있는 가치창출과 개인정보 보호라는 두 가지 트레이드오프(trade off) 관계에 있는 이 내용에 대해서 아무래도 이론을 만들고 그 이론을 현실에 적용하는 모델을 만들어내는 사람 입장에서 느꼈던 것을 말씀드리고자 합니다.
그래서 제가 법적인 부분은 잘 몰라서 너무 모르고 하는 이야기가 아닌가라는 생각이 드실 수도 있을 것 같은데 양해해 주시면 감사하겠습니다.
이 사진을 쓰는 것이 대단히 옳지 않다고 생각하는데 그래도 close된 위원회니까, 정인이 사건이라고 많이 알려져 있지요. 아기가 너무 예쁘지요. 그런데 저 아이가 아주 잔혹하게 죽은 일이 있었습니다.
그리고 오른쪽에 있는 것은 사회보장정보원으로 복지부 산하지요. 사회보장정보원에서 학대아동에 대한 예측모델을 이미 가지고 있었습니다. e아동이라고 부르는데 e아동행복지원시스템입니다. 그런데 기니까 e아동이라고 부르는데 제가 정인이 사건 전후로 해서 이것을 개선하는 프로젝트를 공학자로서 했습니다.
거기서 두 가지를 느꼈습니다. 첫 번째는 건보데이터가 e아동에 있었으면 정인이가 죽지 않았겠구나 하는 것이 첫 번째 생각이었고, 두 번째는 그것이 있었다고 하더라도 참 어려운 문제라는 생각을 했습니다.
그 이유는 다들 너무나 전문가이지만 혹시나 이쪽에 익숙하지 않은 분들을 위해서 일반적인 통계모델로 말씀드리겠습니다.
통계에서 1종 오류, 2종 오류라는 개념이 있지요. 그러니까 불량품을 탐지해내는 모델을 만들고 싶은데 불량품이 아닌데 불량품이라고 하는 경우, 혹은 불량품인데 불량품이 아니라고 하는 경우가 있습니다. 그런데 세상이 그렇게 생겨서 이 2개를 동시에 줄일 수는 없습니다. 둘 중에 하나를 고르는 것입니다.
예를 들면 통상적으로 생산현장에서는 불량품이 아닌 것으로 판별될 가능성을 최대한 낮춥니다. 왜냐하면 불량품이 시장에 풀리면 비용이 너무 크기 때문이지요. 예를 들어 아동학대 문제로 가면 정말 학대받는 아동이 있습니다. 보면 이것이 쫙 나옵니다. 그런데 너무나도 당연하게 실제로 학대받는 아동을 최대한 많이 우리가 판별하기 위해서는 어쩔 수 없이 행복하게 잘 살고 있는 가정에 의혹의 눈길을 던질 수밖에 없는 것 같습니다.
그런데 불량품이 아닌데 불량품이라는 것은 그냥 그 상품에 들어간 원가 정도만 손해를 보는 것인데 제가 이 과제를 하면서 지자체에 있는 공무원분들과도 인터뷰를 해 봤습니다. 행복하게 잘 살고 있는 가정에 당신 집안의 아이가 학대를 받고 있다는 의혹의 눈초리를 가지고 찾아가는 것이지 않습니까? 그러면 낫을 들고 쫓아오신다고 합니다.
그래서 이 2개의 가치가, 그러니까 우리는 정인이를 죽이거나 혹은 행복하게 잘 살고 있는 가정에 낙인을 찍거나 어딘가에서 선을 그어야만 합니다. 그래서 지금 이것이 어떻게 보면 약간 라이프사이클 개인정보보호 이전에 선결되어야 하는 이슈가 아닌가, 결국은 그쪽까지 말씀을 드릴 것인데 그런 생각을 대단히 강하게 했습니다. 그 선을 긋는데 그 선은 누가 긋는가, 그 선을 긋는 어떤 법적인 기준이 있는가라는 생각을 했습니다. 그런데 지금은 없습니다. 그런 논의의 장이 필요하다는 인식도 없는 것 같습니다.
오늘 다음 위원님은 30페이지를 준비하셨는데 저는 15분만 하는 줄 알고 10페이지밖에 하지 않아서 민망한데 오늘 하고 싶은 이야기는 여기에 대부분 다 있습니다. 정보의 취득과 보관, 기술의 발전 때문에 너무나 당연하게도 데이터를 통해서 창출할 수 있는 가치는 많이 늘어난 것 같습니다. 그리고 그 단적인 사례들이 지난 2년 반이라는 코로나 기간 동안 전 국민이 피부로 많이 느꼈지요.
그런데 오늘 이 자리의 취지인 개인정보의 침해 여지가 그만큼 늘어난 것은 사실입니다. 그런데 아까 제가 통계의 오류, Precision/Recall Trade off라는 표현에서 알 수 있는 것처럼 이 두 가지는 트레이드오프 관계에 있는 것 같습니다. 그렇게 세상이 생겨먹은 것 같습니다. 그러니까 세상에 완벽한 모델이 있으면 좋겠습니다만 나름 실제 데이터를 가지고 많이 해 보니 신이 아닌 이상 완벽한 모델은 만들기 어려운 것 같습니다. 불가능하다는 표현이 맞는 것 같습니다. 그래서 가치창출에만 방점을 찍으면 개인정보 침해는 무조건 발생합니다. 그것은 우리가 인지하고 가는 것이 맞는 것 같습니다.
제가 금융 쪽 전공인데 예를 들어 2008년 위기 이후 여러 가지 규제가 되었는데 몇 백 년에 한 번 발생할 리스크에도 “너희는 괜찮아야 된다”라는 mandate가 있었지요. 절대 하면 안 된다는 것은 불가능합니다. 다리나 댐을 만들 때도 “몇 백 년에 한 번 발생할 홍수까지는 버텨라, 그 이상은 어쩔 수 없다” 그런 식으로 우리가 합니다.
그래서 여기서 가지고 있는 함의는 라이프사이클 개인정보 보호라는 데 있어서 어디에 선을 그을 것인가라는 논의가 시작되어야지, 절대 이것도 안 되고 가치도 우리가 추구하자는 것은 불가능한 2개의 goal을 쫓는 느낌이 듭니다.
그러면 이것을 위해서 연구자의 입장에서 혹은 저는 공대에 있으니까 기업들과 어찌어찌하다 보니 이따 말씀드리겠습니다만 복지부와 아까 말씀드린 아동학대 문제라든가 이런 일을 많이 하게 되었는데 여러 가지 선결과제가 있겠습니다만 제가 느끼기에 아직은 본격적으로 논의되지 않은 두 가지의 의제가 있지 않을까라는 생각을 해 봤습니다.
첫 번째는 밸류 프라이버시(Value-privacy) 사이에는 트레이드오프가 있는데 그것을 개선시킬 수 없는 것은 아닙니다. 그것에 대해서 말씀을 드리고 싶고, 두 번째는 그럼에도 불구하고 선을 그어야 합니다. 그러니까 이런 것이지요. 정인이 한 명을 살리려면 100가구 정도의 무고한 집에 “너는 네 아이를 괴롭히고 있다”라는 낙인을 찍어야 합니다. 그러면 1:100은 괜찮은지 1:50은 괜찮은지 이 선을 누군가는 그어줘야 합니다.
그렇지 않으면 아무리 기술이 좋아도 결국 그것은 사회적인 가치판단이 될 수밖에 없기 때문에 아무 곳으로 못 가는 것이지요. 매우 강한 상업적인 함의도 있는데, 저는 창업을 두 번 해 봤는데 두 번 다 시원하게 말아먹어서 자랑할 것은 아닙니다만 창업하는 사람들 입장에서 가장 큰 리스크는 뭐냐 하면 뭔가 연구하고 모델을 만들 때 안 된다는 것을 알면 그것은 리스크가 아닙니다.
그런데 이것을 정말 없는 돈으로 연구해서 투자받고 빚내서 모델을 만들고 상업화 직전 정부에 갔는데 주관부서에서 “이거 안 되겠는데요” 그러면 망합니다. 그러면 안 좋은 일이 발생하는 것이지요. 그러니까 데이터와 관련된 사업을 하기 위해서는 처음 단계부터 사업하는, 특히나 스타트업 입장에서는 어느 정도의 감을 잡을 수 있도록 단계별로 이것을 줘야 하는데 그런 것이 없이 내 입장에서는 완벽하게 만들었다고 생각했는데 마지막 순간 주무부처에 갔더니 “안 돼요” 하면 주저하게 되는 것이지요.
그래서 그 두 가지 말씀을 간단하게 드리고자 합니다. 첫 번째로 저 같은 사람들이 기업체와 과제를 하면 요구받는 것이 뭐냐 하면 저 그래프를 왼쪽 위에 있는 것으로 올려달라는 것이 저 같은 사람들이 주로 기업체 과제를 받으면 하는 일입니다. 뭐냐 하면 왼쪽은 True Positive, 그러니까 불량품인데 불량품이라는 케이스이고, 아래쪽 축은 False Positive 불량이 아닌데 불량이라는 것입니다. 그러니까 완벽한 모델이라고 한다면 불량은 불량이라고 하고 불량이 아닌 것은 불량이 아니라고 하면 되겠지요. 그런데 그런 것은 존재하지가 않습니다. 그래서 여기 대각선으로 있는 것은 랜덤하게 이야기하는 것입니다. 그러니까 저기가 아무것도 하지 않았을 때 베이스라인이고 마치 내가 신과 같은 권위가 있어서 모든 것을 완벽하게 할 수 있다면 왼쪽 위로 올라가는 것입니다.
그래서 저 같은 사람들이 해야 하는 주 업무, 연구, 개발은 저것을 왼쪽 위로 올릴 수 있는 모델을 만들어내는 것이지요. 간단한 회귀일 수도 있고 복잡한 인공지능일 수도 있습니다.
그런데 저것이 갖는 함의가 뭐냐 하면 아까 제가 그런 말씀을 드렸지 않습니까? 정인이 1명을 살리기 위해서 몇 백 집의 아이들을 무고하게 낙인을 찍어야 하는가라는 말씀을 드렸지 않습니까? 저것이 위로 올라가면 올라갈수록 정인이 1명을, 정인이라는 표현은 이제 그만 쓰겠습니다. 학대받는 아이 1명을 판별해내기 위해 무고하게 낙인찍히는 집안의 수가 줄어든다는 것을 의미합니다. 좋은 모델이 갖는 함의는 그런 것 같습니다.
그런데 문제가 이것입니다. 제가 최근에 쓴 논문 2개를 가지고 왔는데 위에 것은 지난달에 accept가 되어서 인공지능으로 생명보험 개인화된 추천모델을 만드는 것입니다. 그런데 모 금융지주사와 데이터 3법 이전에 위·수탁계약을 해서 실제 데이터를 가지고 분석한 결과입니다. 굉장히 좋은 결과가 나와서 accept가 되었습니다.
아래 것은 뭐냐 하면 똑같은 이야기로 증권사와 한 과제인데 개인화된 주식추천모델을 만들어봤습니다. 그런데 한 발 물러서 생각하면 저도 그렇게 생각했는데 제가 그 당시에 매우 많은 정보를 받았습니다. 아래 과제를 수행할 때는 제가 전해 듣기로는 데이터 3법 이후에 최초로 금융 분야에서 개인데이터 통합을 한 사례가 제가 처음이라고 전해 들었습니다. 그러니까 굉장히 정확도가 높은 데이터를 볼 특권이 생겼는데 결론만 말씀드리면 위에 과제를 먼저 수행하고서 굉장히 성공적인 결과가 나와서 아래 과제를 할 때 생명보험이나 주식이나 똑같으니까 똑같이 하면 되겠다는 생각을 했습니다.
그런데 해 보니까 생명보험은 내가 몇 살이고 어디에 살고 직업이 무엇인지 Demographic Information(인구통계학정보)이 매우 중요했습니다. 그런데 주식은 그것과 상관없습니다. 완전히 똑같아 보이는데 주식은 이 사람이 과거에 어떠한 거래를 했는지 그것만이 의미 있는 미래예측이 가능했습니다.
그런데 가만히 생각해 보니까 생명보험은 필수재 같은 느낌이 있습니다. 한 마흔 살쯤 되면 여기저기 아프니까 ‘나 뭐 어쩌지?’ 암보험을 하고 그런 전형적인 것인데 주식은 대단히 선호에 가까운 이야기인 것을 나중에 깨달았습니다.
이 두 가지 제가 해 본 사례에서 무엇을 느꼈느냐면 지금 개인정보보호와과 관련된 여러 가지 법률, 저는 법을 잘 모르니까 제가 경험한 법률은 뭐냐 하면 연구단계든 상업화단계든 같은 잣대로 이것이 주어진다는 느낌을 받았습니다.
그런데 제가 앞 페이지에서 드린 말씀은 뭐냐 하면 모델링을 할 입장에서는 컨트롤이 가능한 상황이 아닐까라는 생각을 해 봅니다. 그러니까 저 과제를 할 때 저와 박사과정 대학원생들과 서울에 있는 모 금융사에 완전히 인터넷이 연결되지 않은 방에 들어가서 거기서만 작업을 했습니다.
물론 제가 이것을 보고 어떤 사람이 무엇을 했다고 이야기할 수 있습니다만 개인정보 침해의 가능성은 연구단계에서는 대단히 낮지요. 그런데 제가 두 번째 과제를 하면서 데이터 3법 이후 최초로 가명정보 통합을 한 사례라고 전해 들었다고 했는데 시간이 너무 오래 걸리고 돈이 너무 많이 드니까 엄두가 안 났습니다.
무슨 이야기냐면 좋은 모델을 만드는 것은 어떻게 보면 어쩔 수 없이 새로운 가치창출과 개인정보 보호라는 두 가지 가치를 동시에 달성할 수 있는 유일한 가치중립적인 방법인데 지금은 이 데이터를 활용해서 가치를 창출하는 전체 라이프사이클상에서 똑같은 규정이 적용되고 있기 때문에 학대아동 1명을 구하기 위해 10가구만 낙인을 찍어도 되는데 그것이 불가능하니까 100가구를 낙인찍고 있는 것이 아닐까라는 생각을 해 봤습니다.
그러니까 핵심은 데이터 관련해서, 특히 전통적인 econometrics 기반의 이런 것은 감을 많이 따라가는 것 같은데 인공지능으로 표시되는, 그러니까 그 이후 방법론을 해 보면 정말 해 보기 전에는 모르겠습니다.
그러면 최소한 연구단계에서 개인정보 침해의 여지가 상당히 적고 컨트롤이 가능한 영역에서는 조금 많은 것을 보여주고 성공적인 모델이 나왔다면 개인정보를 점점 빼보고 시간이 지날수록 최후 상업화가 될 때가 된다면 조금은 그런 것이 필요하지 않을까라는 생각이 들었습니다.
그래서 데이터 기반 가치창출은 연구-개발-구현-상용화의 순서로 진행이 됩니다. 그런데 개인정보 침해 임팩트는 당연히 후반으로 갈수록 커집니다. 저와 대학원생이 아무리 개인정보 침해를 하려고 해도 거기에 들어가면 다 놓고 가고 종이에 숫자 몇 개를 적을 수밖에 없습니다. 그런데 상용화가 된 후에는 굉장히 임팩트가 커지는 것이지요. 그런데 지금 같은 잣대로 적용해서 역설적으로 우리가 라이프사이클단에서 더 큰 가치로 더 적은 개인정보 침해를 하면서 할 수 있지 않을까 싶습니다.
그래서 여기에 교수님들이 많으시니까 이런 협조문을 각 기관·학교에서 받으셨을 것 같은데 KAIST에서는 매달 월말이면 오는 이메일인데 여기 보면 생명윤리심의위원회라고, 이것이 뭐냐 하면 예전에 황우석 전 교수님 스캔들 이후로 생긴 것이 아닐까 싶은데 인간을 대상으로 하는 실험을 하기 위해서는 매 건별로 생명윤리심의위원회를 열고 이것은 해도 된다, 이것은 하면 안 된다는 것을 심의합니다. 그러니까 이것이 있기 때문에 만약 하나의 절대적인 선이 있었다면 인간과 관련된 연구는 아마 전혀 하지 못했겠지요.
그런데 여기에서는 이 연구가 가지는 함의, 이 연구가 얼마만큼 인권에 대한 침해가 있는지를 종합적으로 판단해서 연구단계에서는 약간은 융통성을 주는 식으로 진행합니다. 그리고 이것이 약으로 개발되어서 1상, 2상, 3상에 가면 매우 엄격한 기준이 적용되는 것이지요. 그런데 그 가능성조차 탐지할 수 없는 것이 현재 우리나라에서의 개인정보 활용에 대한 것이 아닐까 싶습니다.
그런데 이미 이것이 굉장히 잘되고 있습니다. 이런 것을 하나의 절대적인 룰이 있으면 좋겠습니다만 합의하기도 어려우니까 어떤 법률 하에서 세부적인 것들을 건별로 위원회를 만들어서, KAIST에서 얼마나 많이 연구를 하겠습니까? 그런데 그것이 매 건별로 일어나는 것이 가능한 것을 보면 이것도 가능하지 않을까 싶습니다.
이런 국가위원회에서 케바케(Case by Case)라는 표현을 써서 대단히 죄송한데 정말 case by case인 것 같습니다. 그런 판단이 일어날 수 있지 않나, 그러니까 개인정보 침해가 조금은 발생하더라도 그것이 창출할 수 있는 사회적 가치가 굉장히 크다면 다른 판단이 나올 수 있는 여지가 있지 않을까 싶습니다.
그래서 첫 번째 Operation Warp Speed 같은 경우에는 코로나 백신을 만들기 위해서 기존에 있던 regulation을 트럼프 대통령이 lift를 해 버린 것이지요. 왜냐하면 그러한 가치가 있기 때문이지요.
오른쪽에 있는 조두순 씨의 개인정보는 전 국민에게 공개가 되어 있지요. 평범한 사람은 말도 안 되는데 우리는 너무 당연하다고 생각하지요. 그러니까 개인정보 활용이라는 것이 그 이면에 있어서 어떤 가치를 전달하는가라는 판단이 필요하고 절대적인 선이 언젠가는 나오기를 바라지만 그것이 없다면 이러한 사회가 쌓이고 쌓이다 보면, 제가 법률가는 아닙니다만 판례가 생기면 어떤 법이 생기는 것처럼 우리가 그런 것을 만들어갈 수 있지 않을까라는 생각을 해 봤습니다.
그러면 역설적으로 이러한 기술들이 개인정보 침해를 예방하는 것으로 생각해 볼 수 있지 않을까, 특히 지난 시간에 제가 참여를 못 했습니다만 이미 그런 이야기가 나온 것 같은데 예를 들어 연합학습이라는 이야기는 많이 들으셨을 것 같습니다. 이것이 제가 아까 e아동, 학대아동을 탐지하는 과제를 하면서 매우 안타까웠던 것인데 여러 가지 이유로 사회보장정보원에서는 건보데이터를 볼 수 없으니까, 연합학습이라는 개념은 예를 들어 건보데이터는 건보데이터 안에 모델이 있어서 locally 학습이 됩니다. 그리고 사회보장정보원 데이터는 그렇게 학습이 되고, 그러면 거기에서 오는 파라미터를 가지고 어떤 통합된 모델을 만드는 것입니다.
그러면 개인정보 침해냐 아니냐 이것이 아주 미묘하기는 한데 이것이 인공지능 영역에서는 굉장히 중요하고 핫한 것입니다. 물론 아직까지는 이론적으로 약간의 문제는 있습니다만 이런 것을 우리가 한번 생각해 볼 수 있지 않을까 싶습니다.
이제 두 페이지 남았습니다. 금방 끝내겠습니다. 다음의 사례를 보면 굉장히 많은 공학 분야에서의 논의가 있겠습니다만 두 가지만 들고 왔는데 그 두 가지를 이야기하기 전에 인공지능이라는 것이 어떻게 빨리 성장하고 발전했는지 가만히 생각해 보면 결국은, 아주 좋은 번역을 찾지 못해서 영어로 적었는데 Open data, Open competition, Open collaboration, Open something으로부터 시작한 것이 아닐까 싶습니다.
요즘 공대에 새롭게 임용되는 교수님들을 보면, 그러니까 통상 교수가 되기 위해서는 어느 대학을 나와서 어디에 유학을 가고 이런 것이 있지 않습니까? 물론 여전히 그런 분들이 대부분입니다만 특히 공대의 경우에는 그것이 많이 깨졌습니다. 소위 학벌이라는 것이 더 이상 중요치 않습니다.
왜냐하면 성과를 내면 되기 때문이지요. 그런데 그 성과를 낸다는 것은 모든 사람이 볼 수 있는 데이터가 있습니다. 그리고 이제까지 가장 잘한 것이 무엇인지 공개가 되어 있습니다. 공개적으로 경쟁을 하고 공개적으로 협업을 합니다.
그래서 하나의 문제에 대해서 이 사람이 한국에 있는 사람이든 중국에 있는 사람이든 같이 경쟁을 하는 것입니다. 그리고 매우 객관적으로 같은 데이터로 같은 문제를 풀기 때문에 누가 더 잘했는지 전 세계에 있는 모든 사람이 같은 라인에서 내가 S대를 나왔든 K대를 나왔든 상관없이 경쟁해서 잘하면 그 사람이 state of the art를 차지하는 것입니다.
그러면 사업적으로 대단히 큰 함의가 있으니까 돈도 따라오고 명예도 따라오고, 그러니까 절대적으로 많은 젊은이들이 뛰어들어서 AI가 rise를 했다고 생각합니다.
그런데 약간 다른 점이 뭐가 있느냐면 지금 AI가 가장 잘 작동하는 부분은 Computer Vision 쪽입니다. 이미지 프로세싱 쪽인데 그쪽은 상대적으로 개인정보 침해 여지가 적기 때문에, UC 얼바인(UC Irvine)에 머신러닝 repository이라고 있는데 모든 사람이 그것을 씁니다.
그런데 제가 관심이 있는 금융 분야라든가 복지 분야에서 그런 사례가 많지 않습니다. 왜 사례가 없는지 가만히 생각해 보면 모든 사람이 같이 놓고 경쟁할 수 있는 데이터가 존재하지 않기 때문입니다. 예를 들어 아까 말씀드린 e아동 같은 경우 KAIST의 팀이 그럭저럭한다더라, 그래서 저 같은 사람에게 매우 짧은 시간 안에 과제를 주는 것이지요. 그러면 그 안에 들어가서 이만큼 하고 그것은 공유가 안 됩니다. 그래서 어디가 state of the art인지 알 수 없습니다. 그렇다고 해서 국민들의 개인정보를 모두 풀 수 있는 것은 아니니까 생성모델을 아까 말씀하셨는데 지난번 발제 때 충분히 논의가 되었을 것 같은데 이러한 추정에 있습니다.
이제까지는 학습을 하기 위해서 개인정보 혹은 raw data를 써야 했는데 3∼4년이 지나면 인공지능학습을 위해서 실제 데이터를 쓰는 일은 굉장히 많이 줄어들 것이다. 대부분은 생성모델로 먼저 학습을 시키고 그 생성모델이 모든 데이터는 실제 데이터가 아닙니다. 그러니까 프라이버시 여지가 없느냐고 하면 수학적으로 그것은 아닙니다. 그렇지만 대단히 낮지요.
그래서 아까 말씀드린 e아동 개선의 경우 raw data를 뿌릴 수 없지요. 얼마나 민감한 데이터입니까? 정말 말도 안 되는 데이터들이 있는데 그것을 가지고 생성모델을, 게임 같은 것을 학습시켜서 그것을 가지고 저렇게 딥페이크(Deepfake) 느낌으로 데이터를 만들고 그것을 풉니다.
그러면 이것은 실제 데이터는 아니지만 그것을 가지고 어떠한 방법론을 어떻게 적용하면 낙인효과 없이 아이들을 구할 수 있는지 사람들이 경쟁하는 것입니다. 그 정도의 가치라면 저는 전 세계에 있는 모든 저 같은 사람들, 학생들, 기업들이 달려들 것이라고 봅니다. 돈이 덜 들겠지요. 물론 생성모델을 만드는 데 돈이 들겠습니다만 굉장히 빨리 문제가 해결될 수 있지 않을까 감히 생각해 봅니다.
그래서 결언입니다. 맨 처음에 자료를 만들면서 라이프사이클이라는 표현이 들어가서 이것을 어떻게 할지 고민하다가 제가 나름 실제 데이터를 많이 만져보고 갑질도 당해보고 욕도 먹어보고 또 같이 ‘아, 데이터 너무 빡센데’ 이렇게 고민하면서 느꼈던 부분을 말씀드리는 것이 아마도 이 위원회에서 저를 초대해 주신 취지에 맞지 않을까 싶어서 이런 말씀을 드려봅니다.
데이터를 통한 가치창출은 개인정보 침해를 가정한다는 것을, 기본적으로 그런 일은 있을 수밖에 없다는 것을 인정하는 것이 조금은 필요하지 않나 싶습니다. 그렇다면 첫 번째로 그 비율이 있는 것이지 않습니까? 그 비율을 줄이는 것은 좋은 모델, 그러니까 연구자들에게 다양한 시도를 해 볼 수 있도록 하는 것인데 현재는 그것이 연구단계이든 상업화단계이든 같은 잣대로 적용되고 있기 때문에 역설적으로 침해를 없앨 수는 없지만 침해를 줄일 수 있는 부분을 우리가 방치하고 있는 것이 아닌가라는 생각을 해 봤습니다.
그러면 아무리 연구자라도 모든 것을 줄 수 없기 때문에 단계적으로 여기까지는 봐도 된다는 어떤 판단이 필요할 텐데 그런 판단을 해 주는 건별 심의위원회가 있으면 어떨까 싶습니다.
그런데 그것은 이미 생명과학 쪽에서는 굉장히 오랫동안 모든 사람들이 익숙하게 잘 작동하는 모델이 있으니 거기에 준해서, 그러니까 개인정보보호를 위해서 파일럿으로 뭔가를 해 보면 어떨까, 그리고 한 발 더 나아가서 새로운 기술이 우리에게 어려운 질문을 던졌지만 역설적으로 저희 같은 기술자들도 ‘이것을 해서 돈 벌어야지’ 이러고서 끝나는 것은 아닙니다. 고민을 많이 합니다. 그래서 이러한 기술 활용에서 뭔가 할 수 있지 않을까 싶습니다.
마지막으로 약간 off-topic인 것 같아서 적지는 않았습니다만 제가 이 회의 끝나고 가는 다른 회의가 고독사방지위원회인가 국무총리께서 주관하시는, 아직 위촉장도 못 받았습니다. 거기를 가는데 그런 생각이 들었습니다. e아동 개선을 하면서 아쉬웠던 지점을 고독사 때는 하지 않으면 좋겠다는 생각을 했습니다.
어떻게 보면 학대받는 아동의 수는 굉장히 적습니다. 그런데 고독사는 사회적 지위나 재산을 떠나서 모든 사람에게 두려운 일일 수 있을 것 같습니다. 그렇다면 예를 들어 아까 말씀드린 그런, 지금 제가 상상의 나래를 펼쳐보면 빤하게 진행될 것 같습니다. 자문회의를 가는 것인데 자문회의를 하고 어떤 기술이 어쩌고저쩌고 이야기하고 어디에 RFP를 띄워서 용역을 주고 개선했는데 이만큼 개선되고, 그럴 것 같습니다.
그런데 같은 돈이면 아마 생성모델을 만들어서 굉장히 민감한 정보를 어찌됐든 연구자들은 보여주고 생성모델을 만들어서 그 생성모델에서 나온 Synthetic 데이터를 공개해서 경쟁을 시키고 좋은 것이 있으면 실제 데이터에 꽂아서 받아보면 우리가 원하는 가치가 상대적으로, 100%는 아닙니다.
하지만 상대적으로 덜 침해가 되면서도 빠르고 싸고, 이것은 어떻게 보면 많은 분들이 공감해 줄 수 있는, 아까 위원장님께서도 대통령님 보고 때 말씀하신 복지라든가 이런 부분이니까 그런 것을 한 번 정도 고민해 보시면 어떨까라는 말씀으로 원래 계획보다 훨씬 길게 제 발제를 마치겠습니다. 감사합니다.“]
의장 윤종수 : [”김우창 위원님 발제 고맙습니다.
가장 중요한 딜레마인 밸류와 프라이버시 트레이드오프에 관해서 말씀을 해 주셨고, 다음은 오병일 위원님께서 ‘노동감시 및 근로자 개인정보보호 실태 및 문제점’이라는 제목으로 발표해 주시겠습니다. 온라인으로 접속하신 것 같은데 연결해 주시기 바랍니다.“]
위원 오병일 : [”저도 오늘 전체 주제와 맞는지 잘 모르겠는데 지금까지 잘 조명되지 않았던 이슈들을 다루고 싶습니다.
한 정보주체가 개인정보 처리자와의 전형적인 관계가 세 가지 있을 텐데 제일 대표적인 것이 소비자와 기업의 관계가 있을 것이고 국민과 국가의 관계, 정부나 시민의 관계가 있을 것이고, 또 하나가 노동자와 근로자와 기업의 관계가 있을 텐데 다른 두 관계에 비해서 이 세 번째 관계 속에서의 개인정보 처리문제는 지금까지 많이 연구되거나 다뤄지지 않은 것 같습니다.
오늘 이 부분을 말씀드리고 싶은데 이것은 최근 기사입니다. 최근 1∼2년 사이 기사인데, 특히 코로나19 상황에서 재택근무가 증가하면서 보스웨어(Bossware)라고 하지요. 여전히 노동감시 이슈가 많이 제기되고 있고 심지어 키보드 입력이나 마우스 움직임, 온라인회의 때의 얼굴정보까지 감시 모니터링이 되고 있습니다.
여전히 CCTV는 가장 많이 사용되는 감시설비이고, 더 나아가서 모바일 환경이 되면서 MDM이라고 하지요. 여러 가지 위치정보라든가 핸드폰 사용을 모니터링할 수 있는 다기능 소프트웨어 앱이 개발되고 있습니다.
특히 감시기술이 고도화되면서 더 은밀한 감시 혹은 전면적인 감시가 가능해지고 있는데 왼쪽 상단의 설명은 어떤 한 소프트웨어의 소개입니다. 여기서 노골적으로 완전 스텔스 모드, 실시간 원격 모니터링이 가능하다, 이런 것들로 이제는 노동감시를 할 수 있다고 홍보하고 있습니다.
또 해외에서는 생체칩을 노동자의 몸에 이식하는, 마치 우리가 지문인식과 얼굴인식을 통해 출입통제를 하듯이 아예 생체칩을 이식해서, 그런데 통제한다고 이식이 일어나지는 않지요. 이것들이 다 편리하다, 그러니까 카드라든가 이런 것 없이 자동적으로 출입통제가 가능하다는 명분으로 도입이 되고 있습니다.
그리고 플랫폼이나 인공지능이 보편화되면서 노동의 배분이나 업무의 배분, 노동과정에 대한 통제가 알고리즘을 통해 자동화된 방식으로 이루어지는 경우가 증가하고 있고, 노동자들 사이에서의 효율성·성과 이런 것들이 직접적으로 데이터화되기 때문에 서로 경쟁에 내몰리고 있습니다.
예를 들면 크로노스(Cronos) 알고리즘 같은 경우 날씨 변화라든가 손님의 증감을 데이터 분석을 통해 자동적으로 직원들의 근무시간표를 배정하는 것인데 이런 것들을 효율성 측면에서는 아주 많이 증가시킬 수 있지만 노동자 입장에서는 정말 자신의 삶 자체가 불안정해지는 결과를 야기하기도 합니다.
본격적인 쟁점으로 들어가기 전에 제가 최근에 했던 실태조사를 말씀드리고자 하는데 한국에서 디지털 노동감시에 대한 실태조사가 과거에 이루어진 바가 있습니다. 저희도 참여했는데 2003년에, 상당히 오래되었지요. 벌써 20년 전인데 이 노동자감시 근절을 위한 연대모임에 저희도 참여를 했었고 민주노총 같은 노동조합도 참여했는데 당시 노동조합을 대상으로 한 설문조사를 통해 처음으로 실태조사를 한 바가 있고, 그 이후 2005년, 2013년에 국가인권위원회에서 연구보고서를 발표하면서 실태조사를 포함한 바가 있습니다.
보시다시피 지금까지는 이 노동감시 문제를 노동부라든가 최근에 설립된 개인정보 보호위원회보다는 주로 국가인권위원회에서 많이 소관을 해 왔습니다. 실제 침해를 받는 노동자들이 국가인권위원회에 인권침해를 호소하는 사례가 많았습니다.
그런데 2013년 인권위 보고서 이후 그 사이에 실태조사가 없었습니다. 그래서 시간도 상당히 많이 흘렀기 때문에 다시 한번 이런 실태조사를 하는 것이 의미가 있겠다는 판단을 했고, 또 그 이후 기술적인 측면에서나 제도적인 측면에서 여러 가지 변화가 있었던 것도 고려를 했습니다.
그래서 저희가 2021년 이 디지털 노동감시 실태조사 및 보고서를 냈는데 이때 온라인을 통해 1,000명 이상의 설문조사를 시행했습니다. 물론 한계가 있는 부분은 이것은 실제 기업체를 상대로 한 것이 아니기 때문에, 저희가 할 여건이 되지 않아서 온라인 설문조사로 진행할 수밖에 없었는데 그렇다 보니 실제 답변하는 사람이 자기가 일하는 기업에서의 상황을 100% 정확하게 알 수 없는 것이지요. 그러니까 실제 노동자들이 인지하고 있는 인식에 대한 설문조사라고 볼 수 있겠습니다.
몇 가지 실태조사 결과를 간략하게 말씀드리면 오른쪽 표에서 보시다시피 CCTV가 여전히 가장 보편적으로 사용되는 설비였고, 물론 이 CCTV 성능은 갈수록 고도화되고 있지요. 하지만 여전히 가격도 싸고 쉽게 설치할 수 있다는 점 때문에 소규모 사업장에서도 쉽게 설치할 수 있으니까 가장 보편적으로 활용되고 있었고 새로운 다른 여러 가지 감시기술도 도입되고 있었습니다.
저희가 2013년 설문과 비교해 보기 위해 여기 감시기술의 종류라든가 이런 것들을 새로 추가한 것도 있지만 당시의 구분을 그대로 유지하여 질의했는데 이 <표>를 보시면 아시겠지만 전반적으로 도입비율이 증가하고 있음을 알 수 있습니다.
그리고 전자기술 설치 및 운영 관련 고지 측면인데 우선 저희가 설문을 할 때 ‘감시기술’ 이렇게 하면 질문 자체에 편향성이 있을 수 있기 때문에 ‘디지털 전자기술’이라는 표현을 사용했습니다. 그런데 설치 전에 고지가 미흡한 것으로 나타났습니다. 35∼50% 정도는 고지 없이 설치가 되었고, 더 나아가서 협의한 비율은 10% 내외였습니다.
이 설문조사를 하신 분 중에 53.8%는 30인 이상 사업장 근로자인데 근로자 참여법에 따르면 감시설비를 설치할 때 노사협의의 협의 사항으로 규정을 하고 있습니다. 즉, 이 법 자체가 거의 지켜지지 않고 있다는 것을 알 수 있는 것이지요.
다음으로 디지털 전자설비로 무엇을 하는지 모른다, 물론 CCTV가 설치되어 있는 것을 알 수 있고 지문인식이 설치되어 있는 것을 알 수 있지만 구체적으로 어떠한 개인정보가 수집되어서 어떻게 처리되고 얼마나 오랫동안 보관되는지 이런 자세한 내용들에 대해서는 잘 모르고 있는 비율들이 높았습니다.
그리고 소비자 개인정보 처리방침은 대다수 기업들의 홈페이지에 공개하고 있지만 이 근로자 개인정보 처리방침은 존재한다는 답변이 40%에 불과했습니다. 한 60%는 존재하지 않는다, 혹은 모르겠다고 했는데 모르는 것도 문제인 것이지요. 있어도 이제는 거의 존재 자체가 알려져 있지 않은 것이나 마찬가지입니다.
그리고 전자기술 도입의 여러 가지 형태로 노동통제, 그러니까 근무에 대한 압박이나 상사에 대한 눈치라든가 이런 노동통제로 이어진다는 답변들이 일부 있었고, 노동조합 설립에 영향을 준다는 답변도 있었습니다.
디지털 전자기술 관련 분쟁을 경험한 비율은 한 13.1%였는데 이 <표>를 보시면 개인정보 침해신고센터나 분쟁조정위원회로 간 경우는 12% 정도, 노동부 쪽으로 간 경우는 10% 정도로 공공기관의 역할은 크지 않다는 것을 알 수 있습니다.
전반적으로 정리해 보면 우선 투명성이 부족하다, 그러니까 디지털 전자기술을 설치할 수 있겠으나 이런 것들이 실제 어떤 개인정보를 수집하고 어떻게 운영되는지에 대해서 잘 알려져 있지 않다. 그리고 설치과정에서 사전합의도 부족하다. 그리고 이것은 실제 근로자 참여법 위반일 수 있다는 것이지요. 그리고 공공기관인 개인정보 보호위원회와 고용노동부의 감독이나 피해구제도 아직까지는 미흡한 수준인 것 같습니다.
여기까지 실태조사에 대한 말씀을 드렸고 관련 법제를 간략하게 살펴보면 개인정보로서 규율하는 개인정보 보호법이 있을 것이고, 노동의 권리보호를 위한 노동관계법이 적용될 수 있을 것이고, 특수한 유형의 감시를 규제하는 위치정보법이나 통신비밀보호법이 적용되는 분야라든가 특정 사회의 영역을 규율하는 영유아보육법이 적용되거나 철도안전법이 적용되거나 이런 법률들이 관련될 수 있습니다.
크게 개인정보 보호법과 노동관계법에서 이 노동감시 문제를 다루는 데 있어서 어떠한 한계와 문제점이 있는지 말씀드리겠습니다. 개인정보 보호법은 앞서 보셨다시피 현행 개인정보 보호법이 이미 있음에도 불구하고 준수 자체가 잘 되지 않고 있습니다. 실제 디지털 전자기술 자체를 개인정보 보호법에 규율하고 있는 것은 아니지만 이것을 통해서 개인정보가 수집될 경우에는 이것이 어떻게 처리되는지, 예를 들면 동의를 받거나 처리내용에 대해서 고지가 되어야 하는데 그런 과정들이 잘 되지 않고 있습니다. 그리고 근로자 개인정보 처리방침이 부재하고, 특히 소규모 사업장일수록 적법하게 운영해야 한다는 인식 자체가 부족했습니다.
정부 역시 이런 가이드가 부족했는데 개인정보보호 가이드라인 중에서 인사·노무편이 있습니다. 이것이 2013년에 처음 만들어지고 2015년에 개정되었는데 2017년에, 그러니까 이 가이드라인에는 사업장 내에서, 직장 내에서 개인정보수집에 대한 내용을 포함하고 있는데 디지털 감시기술 도입과 관련해서 혹은 디지털 전자기술을 통한 개인정보수집과 관련해서 어떻게 해야 하는지에 대한 내용은 없었습니다.
그래서 2017년에 국가인권위원회가 개선했으면 좋겠다고 권고하였고 이에 대해서 노동부는 개선하겠다고 답변했지만 현재까지 개선되지 않고 있고 다행히 작년에 개인정보 보호위원회가 이 가이드라인을 업데이트하는 사업을 한 것으로 알고 있습니다. 아마 조만간 발표가 되겠지요.
그다음에 개인정보 보호위원회나 침해신고센터를 통한 분쟁해결이 미흡했고, 또 이것이 대부분 사업장 내에서 일어나다 보니까 관할부처를 개인정보 문제로 생각하기보다는 고용노동부의 문제로 인식하는 경우가 많습니다. 개인정보 보호법의 구조적인 한계도 있는데 개인정보 보호법은 개인정보처리자와 정보주체의 동등한 관계를 전제로 하지만 실제 노사관계 내에서의 권력관계는 불균형할 수밖에 없지요. 그렇기 때문에 근로자 개인의 의사표현이 제한적일 수밖에 없어서 문제가 되는 것이 동의의 유효성 문제입니다.
불균형은 권력관계 때문에 진정으로 자유로운 동의가 되기 힘들지요. 그래서 노동자 입장에서는 사업장 내에서 동의를 받았지만 이것에 자기는 동의하고 싶지 않아도 어쩔 수 없이 동의해야 한다는 문제가 있는 것이지요.
그런데 저는 고용주 입장에서도 이것이 현실의 문제라기보다는 궁극적으로 우리가 진정한 동의의 의미를 생각한다면 우리나라 법원이 어떻게 판단할지는 모르겠습니다만 고용주 입장에서도 진정으로 자유로운 동의였다고 입증할 책임이 있다고 봅니다. 그런데 과연 그런 것들을 입증할 수 있을까라는 의문이 듭니다.
물론 노사관계 내에서 동의가 있을 수 있지요. 근로자에게 이익이 되는 여러 가지 처우를, 그러니까 서비스를 제공하고 이에 필요한 개인정보를 동의 받는 경우는 동의에 기반할 수 있지만 현실적으로 대부분의 노사관계 내에서 이뤄지는 개인정보수집을 동의에 의해서 처리하는 것은 적절하지 않을 수 있습니다.
물론 노동조합 내에서 이런 한계에도 불구하고 그래도 노동자들이 자기 개인정보를 제공할 것인지 말 것인지에 대해서 선택권을 가질 수 있지 않느냐는 인식들은 있습니다.
제가 유럽연합의 어떤 의견서를 봤는데 유럽연합에서는 노사관계의 성격을 고려할 때 동의 자체가 전혀 의미가 없다고 할 수 없지만 대부분의 경우에는 진정으로 자유로운 동의라고 보기는 힘들다. 그래서 동의를 적법요건으로 사용하는 것은 신중하게 생각하도록 이야기하는 입장인 것 같습니다.
그러면 우리가 동의가 아닐 경우 혹은 계약이나 법률에 근거해서 개인정보 처리를 하지 않는 경우라면 이런 디지털 전자기술을 통해서 개인정보를 처리할 때 사용할 수 있는 적법근거가 정당한 이익이 될 텐데 우리나라 개인정보 보호법에 따르면 개인정보처리자의 정당한 이익이니까 고용주의 정당한 이익을 달성하기 위해서, 그러니까 정당한 이익이라 함은 예를 들면 영업비밀보호라든가 작업장, 근로자 안전도 일종의 정당한 이익이 될 수 있겠지요. 그리고 시설안전 이런 정당한 이익을 위해서 필요한 경우로 명백하게 정보주체의 권리보다 우선하는 경우가 될 것입니다.
다만, 위치정보도 많이 수집되는데 위치정보수집은 정보주체의 동의가 필요하지요. 그런데 동의가 진정한 동의가 되기 힘든데 동의만을 요건으로 하고 있기 때문에 이런 면에서도 위치정보법이 개인정보 보호법으로 통합될 필요가 있다고 생각합니다.
그래서 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 않는 범위 내에서 도입해야 하는데 저는 이 조항을 활용할 수밖에 없고 또 이것을 잘 해석해서 잘 적용하는 것이 의미가 있다고 생각합니다. 그것은 뒤에서 잠깐 말씀드리겠습니다.
이렇게 정당한 이익을 통해 개인정보를 처리할 때 동의를 받을 때처럼 고지해야 할 의무는 없지요. 하지만 결국 개인정보 처리방침을 통해 알려야 하기 때문에 노동자, 근로자들에게 개인정보 처리에 대해서 알려야 하고, 저는 개인정보 보호법 개정을 통해 동의 외에도 법률이나 정당한 이익에 근거해서 수집할 때도 정보주체에게 고지하도록 개정될 필요가 있다고 생각하는데 이번에 2차 개정에 들어가지 않아서 상당히 아쉽습니다.
어쨌든 이런 정당한 이익의 범위가 어디까지인지 그 적절한 범위를 규정하기 위해서 저는 노동조합이라든가 근로자대표와의 협의가 필요하다고 생각합니다.
예를 들면 CCTV를 도입할 것이냐 말 것이냐 이런 이분법적인 것이 아니라 CCTV가 어디를 비추느냐, CCTV의 성능을 얼마나 고화질로 할 것이냐, 수집된 영상정보를 얼마나 오랫동안 보관할 것이고 누가 열람하도록 할 것이냐 이런 여러 가지가 근로자 감시에 미치는 영향이 다르고 필요 이상으로 과도하게 개인정보 처리가 이루어질 수도 있기 때문에 적절한 범위를 근로자대표와 협의할 때 정당한 이익에 근거해서 처리했다는 개인정보처리자의 명분도 더 강화될 수 있지 않을까 생각을 합니다.
특히 이제 다 개발해서 사용하기보다는 외부에서 상업적으로 팔리는 다기능 감시시스템, 감시설비를 도입하게 될 텐데 이럴 경우에는 상당히 많은 필요가 없는 기능까지 포함하는 경우가 많지요.
그래서 그런 것들을 default로 사용할 경우에는 감시가 확대될 가능성이 큰데 이런 근로자와의 협의를 통해 필요 없는 기능은 끈다거나 이렇게 할 필요가 있지 않을까 싶습니다. 그랬을 때 실제 적절한 수준으로 어떻게 설치할 것인지 그런 경계가 설정될 수 있고, 적법근거로서의 명분도 더 강화될 수 있지 않을까라고 생각합니다.
또 하나 고민해야 할 지점이 집단적 협의가 필요하기는 한데 이런 것으로 일괄적으로 이야기할 수 있을까 하는 고민이 있습니다. 예를 들면 노사가 협의해서 출퇴근 지문인식기를 설치했을 때 개별노동자들은 원하지 않아도 여기에 따라야 하는가라는 문제가 있을 수 있지요. CCTV 같은 경우 개개인별로 예외처리를 하기 힘든데 지문인식기 같은 경우 대체수단 마련이 가능한 것이지요.
그래서 가능하다면 집단적 협의가 필요한 것과는 별개로 개별노동자의 선택권을 보장할 필요가 있겠다. 예를 들면 대체수단을 제공하는 것이 바람직한 방향이 아닐까 생각합니다.
노동관계법을 보면 크게 근로자 참여법과 근로기준법이 있을 텐데 근로자 참여법에서는 규정이 단순합니다. 30인 이상 사업장에 노사협의회를 두도록 하고 있고, 이것은 노동감시 문제와 별개로 그렇게 규정하고 있고 노사협의회 협의사항 중 하나로 근로자 감시설비의 설치를 두고 있습니다. 이 조항밖에 없습니다. 근로자 감시설비가 뭐냐 하는 정의규정도 없고 하지 않으면 어떻게 되느냐는 처벌규정도 없습니다. 그렇기 때문에 앞서 본 바와 같이 실효성을 잃고 있다고 볼 수 있습니다.
근로기준법은 디지털 전자기기와 관련된 규정이 없습니다. 그런데 제가 보기에는 이 근로기준법이 근로조건에 해당하는 내용을 규정하고 있지 않습니까? 그리고 분명히 디지털 전자기기가 근로조건에 해당할 수 있다는 것이지요.
그럼에도 불구하고 노동부는 적극적으로 해석하고 있지 않습니다. 그래서 직장 내 괴롭힘이라든가 부당노동행위로 이어지지 않는 한 고용노동부는 이 문제에 관여하고 싶어 하지 않는 상황입니다. 그래서 여러 가지 의미에서 디지털 전자기기 도입 시 노동조합과의 협의가 필요하다는 것입니다.
유럽연합 GDPR에서는 고용 환경에서의 정보처리를 규정하면서 GDPR에서 자세히 규정하고 있지 않습니다. 법률이나 단체협약으로서 좀 더 자세한 규정을 할 수 있도록 하고, 이 경우 정보주체에게 이익을 기본권을 보호할 수 있는 대책을 포함하도록 하고 있습니다.
저희가 아까 연구보고서와 함께 강은미 의원실과 협의하여 근로기준법 개정안을 발의하기도 했습니다. 그러니까 개인정보 보호법은 보완될 필요가 있지만 이미 있는 것이고, 근로기준법에서 이 노동관계법에서도 노동감시 문제를 규정할 필요가 있다고 해서 제안했는데 감시설비에 대한 정의규정, 원칙적으로 금지하되 사업목적 달성을 위해 필요한 범위에서 노동자대표와의 합의를 통해 도입할 수 있도록 했습니다.
그리고 이 감시설비와 관련된 개인정보 처리를 근로조건으로 규정해서, 이 의미는 고용노동부가 여기에 대해서 감독할 권한과 의무가 발생한다는 것이지요. 지금도 그렇다고 보지만 이것을 좀 더 명시적으로 표현했습니다.
그리고 감시설비의 대체수단을 요구할 권리를 보장하도록 했고, 기타 당연한 이야기이기는 한데 부수적으로 더 명확하게 하기 위해서 사생활 침해가 우려되는 장소에의 설치 금지, 노동조합에 대한 감시 금지 규정을 포함했습니다.
마지막으로 새롭게 도입되는 플랫폼이나 알고리즘에 의한 노동감시 문제를 잠깐 다뤄보겠는데 저는 플랫폼은 그 자체로 감시시스템일 수 있다고 생각합니다. 왜냐하면 플랫폼을 통한 모든 소통, 활동, 거래 이런 것들이 데이터화되기 때문이지요. 다시 말하면 업무의 할당뿐만 아니라 노동과정 자체까지 플랫폼을 통해 통제할 수 있게 됩니다.
노동자는 해당 메커니즘이 어떻게 이루어지는지 잘 알기가 힘들지요. 그렇기 때문에 알고리즘의 투명성이 요구되는 것입니다. 그리고 플랫폼은 특정 사업장에 종속되지 않는 경우가 있습니다. 다시 말하면 업무의 시공간과 사적인 시공간이 분리되지 않는 것이지요.
예를 들면 배달노동자가 중간에 쉬고 있을 때 그런 쉬는 시간까지, 이것은 플랫폼에서 업무로 취급되지는 않지만 그런 것까지 다 모니터링이 될 수 있는 상황인 것이지요. 그래서 사적 공간, 기존에 아예 사업장 내에 있으면 모르겠는데 지금은 원격근무도 그렇고 사적 공간 자체가 모니터링이 될 수 있는 가능성도 커지고 있습니다.
플랫폼 노동자의 경우는 또 한 가지 문제가 지금 근로기준법이 어차피 제대로 적용되고 있지 않지만 설사 개정이 된다고 하더라도 근로기준법상 노동자로 아직 인정되고 있지 않기 때문에, 물론 개인정보 보호법은 적용되지만 노동자로서 보호하는 데 있어서는 한계를 가지고 있습니다. 이 부분도 개선될 필요가 있습니다.
그리고 인공지능이 채용부터 해서 업무 할당, 평가 등에 인공지능 활용이 증가하면서 크게 보면 개인정보 측면에서는 프로파일링, 그러니까 근로자에 대한 프로파일링과 자동화된 의사결정 문제가 있을 것이고, 이것은 현재 2차 개정안이 통과되면 개인정보 보호법에서 다뤄지게 될 것 같습니다.
그리고 인공지능 자체의 문제점입니다. 인공지능으로 인한 차별을 비롯하여 여러 가지 인권침해 문제는 별도의 규율이 필요할 것 같습니다. 예를 들어서 유럽연합 같은 경우는 지금 발의되어 있는 인공지능법안에서 고용, 근로자 관리 및 자영업에 대한 접근과 관련된 인공지능을 고위험으로 규정하고 있습니다. 그래서 이와 유사한 논의가 국내에서도 이루어질 필요가 있을 것 같습니다.
몇 가지 해외사례를 간략하게만 말씀드리면 네덜란드 암스테르담 지방법원에서 올라와 우버(Uber)라는 차량공유 플랫폼에 대해서 노동자들에게, 그러니까 라이더들이겠지요. 라이더들을 평가하는 여러 가지 알고리즘에 대한 정보들을 제공하도록 판결했고, 유사하게 이탈리아에서는 개인정보보호 감독기관이 역시 배달플랫폼인 푸디뉴의 라이더들에게 투명한 정보를 제공하지 않았다는 이유로 과징금을 부과한 사례가 있습니다.
그리고 유럽연합 의회에서는 2021년 9월에 플랫폼 노동자를 위한 공정한 근로조건, 권리 및 사회적 보호 결의안을 채택했는데 이것은 플랫폼 노동자와 관련된 전반적인 이슈에 대한 것이지만 그중에 몇 개 조항에서 알고리즘의 투명성과 비차별성, 자신의 데이터에 대한 접근 이런 내용들을 포함하고 있습니다.
그리고 이 결의안에 기반하여 재작년 12월에 플랫폼 노동 입법지침안이 만들어지기도 했습니다. 그러니까 발의안이 발의된 것이지요. 그래서 이 발의안에도 자동화된 의사결정, 어떤 중요한 결정에 대해서는 인간이 검토할 필요성 이런 내용들이 포함되어 있습니다.
그래서 아직 국내에서는 플랫폼 노동자 자체를 보호하기 위한 여러 가지 논의나 법률안 이런 것들이 미흡하기는 하지만 개인정보와 관련해서도 새로운 기술적 흐름과 새로운 형태의 근로자에 대한 보호도 같이 고민할 필요가 있을 것 같습니다. 일단 제 발표를 여기서 마치겠습니다. 감사합니다.“]
의장 윤종수 : [”오병일 위원님 발표 감사합니다. 엄청난 양의 자료를 빠르게 발표해 주시느라 고생 많으셨습니다.
시간이 많이 지나긴 했는데 그래도 5분 정도만 쉬면서 머리를 리프레시하시고 다시 모여서 전체토론을 진행하도록 하겠습니다.“]
의장 윤종수 : [”시간이 많이 흐르기는 했는데 전체토론을 진행하도록 하겠습니다.
오늘 두 분의 발표가 어떻게 보면 김우창 위원님은 공학자의 관점이기는 하지만 전체 큰 그림에서 가장 핵심적인 밸류(Value)와 프라이버시(Privacy), 다른 말로 하면 활용과 보호의 트레이드오프(Trade off)에 관해서 문제와 본질과 그것에 대한 해결방안에 대해서 말씀해 주셨다면 오병일 위원님께서는 라이프사이클 개인정보 안심사회 중에서 근로 환경과 관련된 부분에 대해서 안심사회, 특히 거기에서의 개인정보 침해방지 문제 이런 부분에 관해서 좀 더 각론적으로 발표해 주신 것 같습니다.
그러면 전체토론을 진행하도록 하겠습니다. 두 분께서 발표하신 내용에 대한 코멘트나 질의 또는 지금 관련된 라이프사이클 개인정보 안심사회라는 부분에 대해서 의견이 있으면 자유롭게 해 주시면 좋을 것 같습니다.”]
위원 정지연 : [“오늘 두 분의 발표를 들으면서 근로자 문제의 개인정보나 이런 부분들은 제가 크게 관심을 가지지 않았는데 앞으로 그런 부분들도 굉장히 중요하겠다는 생각이 들었고, 김우창 교수님 발표를 들으면서 하고 싶은 말씀이 있어서 드리도록 하겠습니다.
김우창 교수님께서 저희가 지난해 첫 시작할 때도 학대아동 문제에 대한 부분들을 지적해 주셔서 그 이후 그것과 관련해서 한 명의 학대아동을 살리기 위해서 정부가 빅브라더(big brother)가 되는 것이 맞는가에 대한 부분들을 제 스스로 많이 고민을 했었는데 오늘도 들으면서 역시 이것이 10명의 피해가족이 생기는 것은 바람직한 방향이 아니겠다는 생각이 들었습니다.
그리고 가치창출과 개인정보 침해가 트레이드오프 관계에 있을 수 있겠지만 저는 그것이 트레이드오프 관계가 돼서는 안 된다는 생각을 가지고 있고 빅브라더 이슈에 대한 부분들을 우리가 굉장히 중요하게 고려해야 하는 것이 아닌가라는 생각을 가지고 있습니다.
지금 학대아동의 문제도 그렇고 이후에 가신다는 고독사의 문제도 그렇고 이것이 너무 쉽게 빅데이터를 활용해서 문제를 해결하려면 나타날 수 있는 문제가 저는 프라이버시 이슈일 수 있겠다는 생각이 들고, 그것 말고 이런 사건사고들이 예고가 있다고 생각합니다.
그러니까 한 번에 발생하는 것이 아니라 징후가 있기 때문에 그런 부분들을 좁혀 나가고 거기서 각각의 역할들을 다한다면 큰 프라이버시 이슈 없이 문제를 해결할 수도 있다고 생각하고 있기 때문에 아까 건강보험공단의 데이터베이스도 말씀해 주셨지만 거기에 체납한 데이터베이스들이 있습니다.
그런데 그 부분도 자세히 들여다보면 거기 문제발생의 부분들이 있기 때문에 그것은 복지의 영역에서 각자의 역할을 하고 담당이 찾아가고 살펴본다면 세 모녀 사건도 그렇고 학대아동 사건도 그렇고 그런 부분들을 각각의 역할을 다했으면 예방할 수도 있었던 부분들이기 때문에 그런 측면에서 데이터베이스를 좁히고 각각의 역할을 다하고 그런 것들을 유기적으로 하면서 예방할 수 있는 부분들로도 해결할 수 있는 것이 아닌가라는 생각이 있습니다.
그런 측면에서 이 부분을 바라본다면 가치창출이라는 부분과 개인정보 침해의 부분들을 굳이 트레이드오프의 관계로만 우리가 보지 않아도 되지 않을까라는 생각이 들어서 말씀드렸습니다. 이상입니다.”]
의장 윤종수 : [“고맙습니다. 프라이버시, 밸류가 꼭 트레이드오프 관계는 아니라는 측면에서 언급해 주신 것 같습니다. 황창근 위원님.”]
위원 황창근 : [“김우창 위원님과 오병일 위원님 발표하신 것이 아주 재미있었고 잘 들었습니다.
제가 법적으로 아주 단순화시켜서 몇 가지만 말씀드리면 김우창 위원님이 말씀하신 것 중에 전반적으로 동의하고 그중에 법적으로 눈에 들어왔던 것이 심의제도를 도입해 보자는 말씀을 하셨는데 충분히 검토해 볼만한 사안이라는 생각이 들었습니다.
심의제도라는 것이 장점이 있지요. 다수의 전문가를 활용해서 사안을 해결하고 최종권한을 가지고 있는 사람의 책임을 분산하고 경감하는 장점이 있습니다. 그런 점에서 보면 예를 들어 제15조를 기준으로 하면 제15조 제1호부터 쭉 나와 있는데 개인정보처리자가 실제 적법성 근거로 판단하기 어려운 것들이 꽤 있습니다. 제1호의 동의도 어렵습니다. 동의를 어떻게 하는지, 얼마만큼이 동의라고 볼 수 있는지도 어렵고, 제6호에 정당한 이익에 가면 굉장히 어렵습니다. 정당한 이익이 있는지를 개인정보처리자가 판단하기 굉장히 어려운데 이것을 전문가를 활용하여 심의를 거쳐서 하게 되면 상당한 장점이 있을 것 같습니다.
다만, 문제는 뭐냐 하면 심의제도를 운영하면 그 심의결과에 따른 인센티브가 있어야 합니다. 심의를 거친 경우에는 정당성이나 적법성을 인정해 주고 그 책임을 묻지 않는 식으로 체계가 만들어져야 하는데 그렇게 할 정도의 심의제도의 공정성과 신뢰성 또는 전문성을 우리가 확보할 수 있겠는가라는 의문이 있습니다.
그러려면 심의위원회가 굉장히 잘 정비되어야 하는데 개인정보처리자라는 것은 여러 업종에 걸쳐 굉장히 많은데 그 많은 개인정보처리자에게 개인정보 처리의 심의를 맡길 만한 심의기구를 어느 정도 만들 것인데 이것이 각론으로 가면 굉장히 어렵겠다는 생각이 듭니다.
또 단점은 없던 심의제도가 생기면 개인정보처리자 입장에서는 이것이 상당히 자신의 책임을 분산시키고 경감시킨다는 장점만을 생각하는 것이 아니고 새로운 규제로 인식할 우려가 있습니다. ‘뭔가 심의를 받아야 하는구나’, 그러면 반대로 심의를 받지 않는 경우에는 ‘책임문제에 있어서 나중에 자유롭지 못하겠구나’ 이런 일종의 새로운 규제로 인식될 우려가 있습니다. 장·단점이 분명히 있습니다만 그것은 충분히 검토해 볼만한 사안이라는 생각은 듭니다.
그리고 오병일 위원님이 발표하신 것도 들어보니까 굉장히 조사도 많이 하셨는데 그중에 이것은 아주 마이너한 문제이기는 하지만 근본적으로 개인정보 보호법과 특별법의 관계에서 생각해 봐야 할 문제가 있습니다.
아까 슬라이드에서 개인정보 보호법 규율의 한계를 이야기하면서 근로자나 노동조합이 고용노동부를 관할부처로 인식하는 경우가 많다, 이것이 문제점이라고 지적하셨는데 개인정보 보호법의 지위를 보면 개인정보 보호법과 특별법의 관계를 우리가 인식해야 하는데 개인정보 보호법은 잘 알다시피 일반법의 지위가 있고 나머지 중앙행정기관이 가지고 있는 개인정보 보호법제들은 특별법의 관계에서 특별법이 우선 적용되지요.
그래서 근로자 관계에 대해서 GDPR이 규정되고 있지만 우리법이 반드시 GDPR을 따라가야 하는 것은 아닙니다. 우리 법체계에서는 노동자의 근로관계 또는 근로기준과 관계되는 문제에서 개인정보보호의 문제가 생기는데 이것을 개인정보 보호법이라는 일반법에서 담아서 개인정보 보호위원회가 관할권을 행사하는 것이 적절할 것인가를 생각해 봐야 합니다.
그래서 이것은 큰 그림에서 봤을 때 일반법과 특별법의 관계이고, 또 이런 우려가 있습니다. 그런데 개정안은 고용노동부의 관할로 인정하고 있지만 만약에 이것을 개인정보 보호위원회 관할로 가져오면 자칫 노사분쟁에 있어서 아주 첨예한 현장으로 개보위가 끌려들어갈 우려가 있습니다. 그런데 개보위는 그런 아주 구체적인 분쟁에 들어가면 안 됩니다. 그래서 개인정보 보호라는 일반적인 논의를 벗어나서 구체적인 분쟁까지 해결할 문제로 가는 것은 상당히 우려스럽다는 생각이 듭니다.
또 하나는 노동관계에 있어서 노동법에 특별한 것들이 몇 개 있습니다. 이를테면 노동법에는 특별형사법 관계가 있어서 근로감독관이 수사절차를 진행하지요. 그래서 결국 개인정보 보호위원회의 문제는 뭐냐 하면 근로기준에 관한 문제이고 노동자의 권리에 관한 문제인데 침해여부를 형사법 체계가 별도로 인정되고 있는 노동부에서 떼어 와서 해야 하는 아주 민감한 문제가 생깁니다.
그래서 이 문제는 바람직하기는 하지만 GDPR은 같이 규정하고 있지만 우리법이 반드시 이것을 따라가야 할 것인지는 조금 더 신중하게 접근해야 하는 것이 아닌가, 물론 오병일 위원님이 이것을 개보위로 관할부처를 가져가야 한다고 말씀하시는 것은 아닌데 일반근로자나 노동조합이 고용노동부를 관할부처로 인식하는 경우가 많다는 것은 현실이기도 하고 이것이 오히려 타당하다는 생각이 들었습니다. 별로 중요하지는 않지만 법률가로서 법적으로 보니까 이런 문제가 있어서 잠깐 말씀을 드렸습니다. 이상입니다.”]
의장 윤종수 : [“고맙습니다. 또 추가로 말씀해 주실 분 있으십니까?”]
위원 최경진 : [“두 분 발표 너무 잘 들었습니다. 발표 들으면서 나름 고민의 여지가 생겨나는 것 같아서 아주 좋았는데 첫 번째 김우창 교수님 발표를 들으면서 개인정보 보호법 제정 당시의 취지가 떠올랐습니다. 어떤 것이냐면 개인정보 보호법이 처음 제정될 때 제일 중요한 입법 이유 중 하나가 개인정보 보호에 관한 사각지대를 없애자는 것이었습니다.
그래서 민간과 공공을 다 합쳐서 하나의 법으로 만든 것도 있고, 일반원칙을 선언함으로써 어떠한 사회변화가 생기더라도 그 변화에 대해 대응해서 대원칙 하에서 개인정보가 안전하게 보호될 수 있도록 처리하는 것이 기본적인 법의 취지였는데 사회가 너무 빨리 변하고 또 혁신산업들이 등장하면서 결과적으로는 개인정보 보호법을 그대로 다 적용하기에는 원칙을 그대로 관철하기에는 새로운 사회변화를 받아들일 수 없게 됩니다.
또 그렇다고 예외를 계속 인정하는 것도 쉬운 일이 아니어서 결과적으로는 soft flow 방식으로 가이드라인을 통해서 새로운 개인정보 처리환경에 대해서 합법화시켜 주는 노력들이 이루어지는 것인데 그것이 아까 발표하신 신영역들을 보면 결과적으로는 즉각적인 대응이 어려운 경우가 있습니다.
그러면 어쩔 수 없이 사각지대가 생겨나는데 우리가 사각지대가 생기지 않도록 만드는 방법들을 강구해야 하는데 그런 방법 중 하나로서 김우창 교수님께서 말씀하신 심사위원회들은 나름 의미가 있는 것 같습니다. 특히 기존 6개 법률 분야에서 현재 규제 샌드박스가 도입되고 있는데 거기에서 항상 신산업과 부딪히는 영역에서 반드시 생겨나는 문제가 개인정보 보호법 준수 문제가 생겨납니다. 그런데 막상 그 문제에 대해서 그와 관련된 규제 샌드박스법은 진입규제를 기본적으로 완화시켜주거나 유예시켜주는 제도이기 때문에 행위규제를 다루는 개인정보 보호법상의 규제를 완화시키는 것은 사실상 굉장히 어렵습니다.
그래서 오히려 개인정보 보호위원회가 대원칙을 관철하는 과정에서 구체적이거나 개별적인 혁신산업이라든가 신산업 R&D 관점에서 데이터 규제 샌드박스를 오히려 개보위가 제도화해서 기존에 있는 신산업과 관련된 규제 샌드박스와 연계시켜서 하나의 단일한 절차 속에서 개보위가 역할을 하는 것이 필요하지 않을까라는 생각이 들고, 그렇게 제도화함으로써 안전적인 제도변화 내지는 개인정보 보호법의 사각지대를 없애는 노력들이 필요하지 않을까 싶습니다.
그런 과정에서 보면 영국 ICO 같은 경우 최근 바이오메트릭(Biometric) 분야에서 데이터 규제 샌드박스 제도를 적극적으로 활용하려고 하는데 이것을 참조해서 유럽 차원에서는 AI Act에서 아예 AI Data Regulatory Sandbox를 도입하려고 합니다. 그런데 저는 그런 것은 신산업 영역에서의 개인정보 기본원칙을 확장시키거나 유연하게 적용시키는 아주 좋은 제도적 기반이라고 생각하기 때문에 이것을 개인정보 보호위원회가 적극적으로 추진하는 것이 필요하지 않을까라는 생각이 들었습니다.
두 번째는 근로자 프라이버시인데 발표를 들으면서 옛날 추억이 떠올랐는데 제가 2000년도에 우연한 기회에 근로자 개인정보보호에 관한 논문을 쓴 적이 있습니다. 그때도 해외의 다양한 법·제도를 다 조사하고 또 실제로 기업들의 문제점도 조사해서 논문을 쓴 적이 있는데 그때 결론을 내리면서 나름대로의 결론이 뭐였느냐면 이 영역은 대원칙은 정해질 수 있지만 결국 근로자와 고용주가 합의해야 하는 사항이구나 하는 생각이 굉장히 많이 들었습니다.
왜냐하면 현재 개인정보 보호법이 제정되어 있기 때문에 개인정보 보호법에 따른 기본원칙들이 근로자 영역에도 노동 영역에도 그대로 적용되어야 하는 것은 사실인 것 같습니다. 그런데 막상 구체적인 근로현장으로 들어가 보니까 굉장히 다채로운 근로현장이 있더라는 것입니다.
예를 들어 삼성전자의 반도체 사업장 같은 경우 어떻게 보면 근로자에 대한 작업감시가 매우 고도의 높은 수준으로 이루어져야 합니다. 그렇지 않은 다른 영역들의 경우 오히려 근로자의 개인정보나 프라이버시를 훨씬 더 강조해야 하는 영역들이 있는 것 같습니다. 그래서 이것은 정말 현장에 나가야만 알 수 있는 것들이라서 그렇게 현장에 나가서 구체적인 현장에 따라 어떻게 할 것인지, 물론 업종별이나 구체적인 직업별로는 나눠질 수 있을 것 같습니다.
그래서 그 당시 제 결론 중 하나가, 지금도 솔직히 같은 생각인데 개인정보 보호위원회가 대원칙을 설정하고 그것들을 실제 구체적으로 적용할 수 있는 고용노동부와 함께 대원칙을 좀 더 마이너한 세부원칙으로 만들어주는, 쪼개서 만들어주는 작업들을 해 주고 결국 이것들을 채택하는 것은 사업주와 노동자가 함께 단체협약이 아니라 노사협약을 통해 구체화시키도록 가이드를 하는 것이 그나마 현실적인 방안이 아닐까라는 생각이 들었습니다.
그래서 오늘 발표 매우 좋았는데 근로자 영역은 많은 분들이 관심을 덜 가졌지만 앞으로 관심을 많이 가지면서 이것을 정말 구체화시키는 과정이 현장에서 이루어졌으면 좋겠다는 생각이 들었습니다. 발표 잘 들었습니다. 감사합니다.”]
의장 윤종수 : [”고맙습니다. 혹시 온라인에서 코멘트나 질의 들어온 것이 있습니까? 남영준 위원님.
위원 남영준 : [“제가 교수라서 말을 하지 않고 가면 괜히 이상해서 두서없이 이야기하는데 개인적으로 김우창 선생님 말씀과 최경진 선생님 말씀에 동의하는 것 중의 하나가 저희들이 연구하다 보면 결국 어느 정도 침해를 할 수밖에 없으니까 아까 적극적으로 동의하는 것이 연구 수준에서는 제 나름대로의 연구비로 충분히 결과를 도출해낼 수 있을 것 같습니다.
그런데 상업용으로 한다거나 산업용으로 쓰겠다는 경우에는 굉장히 많은 돈을 들이든지 아니면 내가 몰래 하든지, 그래서 개인적으로 일정하게 위원회에 계속 부탁드리는 것이 최소한의 샌드박스를 어떻게든 만들어 달라, 그래서 마음 놓고 쓸 수 있게 해 달라는 것입니다. 그것을 보호하려는 이유가 활용도 똑같은 크기로 있다고 봅니다. 그래서 저는 보호와 활용이라는 것을 우리 위원회가 어떤 상황이 될지 모르겠지만 그 한계점을 어떻게든 만들어줘야 하는 것이 위원회의 고유목표라고 생각하고 있습니다.
또 하나는 위원회가 보호를 계속해서 홍보를 많이 해 달라고 말씀드리는 것이 제가 최근에 어떤 사업체를 만났는데 굉장히 성공한 사업체였습니다. 그런데 의료 쪽에서 하다 보니까 개인정보가 계속 강조되어서 원격으로 5∼10m 단위에서 이만한 레이더를 동시에 써서 체온, 맥박, 혈압, 호흡을 거의 99.9%를 탐지하게 만들어놓은 것입니다.
그래서 왜 이렇게 만들었느냐고 했더니 개인정보가 하도 강화가 되어서 자기가 거기서 벗어날 수 있는 유일한 방법이 개인정보를 식별하지 않고 할 수 있는 하나의 계기가 되었다. 참 아이러니했습니다. 그래서 나름대로 개인정보가 강화되는 측면이 나름대로의 기술을 발전시키는 또 하나의 원동력이라는 것을 새해 맞이하기 전에 위원장님에게 잘 보일 겸, 위원회에도 잘 보일 겸 많이 강화해 달라고 부탁을 드립니다. 고맙습니다.”]
의장 윤종수 : [“여러모로 고맙습니다.”]
위원 김영훈 : [“저도 한마디만 드리겠습니다.”]
의장 윤종수: [“김영훈 위원님.”]
위원 김영훈 : [“오늘 발표 잘 들었습니다. 오늘 전체 제목이 라이프사이클 전 과정에서 개인정보 안심사회 구현인데 이런 제목으로 보면 아까 김우창 교수님이 발표하신 내용에 어쨌든 활용과 보호가 서로 트레이드오프 관계가 있다는 것은 당연한데 이것이 실제로 어떤 구체적인 현장에 들어가면 구체적인 가이드라인을 정하기가 참 어렵지 않느냐는 말씀이셨지 않습니까?
그러면 그것이 결국 말씀하신 대로 케바케라면 라이프사이클 중에서 대표적으로 우리가 유년기, 그보다 조금 더 나이 들었을 때는 청소년기, 그보다 더 많은 취업기, 노년기 이렇게 대표적인 라이프사이클에 해당하는 지점을 잡아서 개보위에서 시범사업을 해서 나름대로의 상황에 맞는 트레이드오프 관계에서의 기준점을 하나씩 잡아보면 어떨까라는 생각이 들었습니다. 한 가지 제안 겸 의견을 드렸습니다.
그리고 오병일 위원님 발표하신 내용도 너무 재미있게 잘 들었는데 기업에 있는 제 입장에서는 저희 회사만 해도 아직 재택근무를 하고 있기 때문에 하루 종일 컴퓨터가 켜 있고 컴퓨터가 켜 있으면 기본적으로 접속 상태로 있으면 초록색 불이 들어와 있고 저희가 회의를 하고 있으면 빨간색 불로 불이 바뀝니다.
그리고 일정시간 접속을 하지 않으면 초록불이 꺼지고 이 친구가 현재 접속을 1시간 이상, 2시간 이상 하지 않았다는 상황이 되고 혹은 노트북으로 접속하지 않고 모바일로 접속하면 모바일로 접속하고 있다고 표시가 뜹니다. 그래서 이제 누구라도 이 친구가 사무실 책상에 앉아 있는지 길 위에 있는지 혹은 계속해서 컴퓨터를 보고 있지 않은지 정도를 알 수 있습니다.
그런데 그것을 왜 만들었느냐면 우리가 어떤 동료를 갑자기 불러서 “야 나와 이야기 좀 하자” 이런 이야기를 하려는데 빨간 불이 들어와 있으면 지금 회의 중이니까 불러도 소용없지 않습니까? 그런 것 때문에 참고하라고 만들어놓은 기능인 것 같습니다.
그런데 문제는 이것이 전부 로그기록으로 남지 않을까라는 의심을 저희도 합니다. 아마도 기술적으로는 충분히 가능할 것 같은데 회사에서는 그렇게 하지는 않는다고 합니다. 그렇게 하지 않는다고 하는데 그것을 “그럴 리가 있나, 당신들이 다 모아놨다가 언젠가는 쓸 것 아니냐?” 이렇게 따지고 들면 서로 복잡해지는 것이지요.
그런데 이것이 조금 더 가면 결국 정보보안이라는 측면에서 이것이 필요한 측면이 있습니다. 그래서 현재 이 친구가 일을 얼마나 열심히 하는지 이것보다는 현재 사용하는 시스템의 불필요한 것을 인스톨하고 있지는 않은지 혹은 불필요한 사이트에 들어가서 우리 VPN을 넘어서는 어떤 것을 하고 있지는 않은지, 이런 것을 보안 측면에서 계속 점검해야 할 필요가 있는 것이 분명합니다. 이것이 소위 말하는 정보보안과 프라이버시 간의 충돌인데 이 충돌이라는 것이 아까 말씀하신 것처럼 개인정보수집이라는 측면에서 보면 이것이 개인정보처리자의 정당한 이익에 부합하느냐, 막연히 이것이 보안상 필요하다고 이야기하면 전가의 보도처럼 다 설명되면 곤란하지 않습니까? 보나마나 그렇게 설명할 것입니다.
그러니까 이 부분에 관해서 조금 더 디테일한, 여기서 말하는 개인정보를 수집하는 것을 허용하는 이 정당한 이익이라는 것이 어느 정도 수준인지 어떤 경우에 어느 정도까지 수집해도 되는지, 아니면 동의를 구하거나 고지하는 의무를 줘야 하는 것인지 이런 부분에 관해서도 조금 더 깊이 논의해 보면 어떨까라는 생각이 들었습니다. 이상입니다.“]
의장 윤종수 : [”고맙습니다. 지금 계속 여러 분이 말씀하셨지만 제가 느낀 공통적인 것은 영어에서 말하는 One Size Fits All이라는 원칙이 이런 개인정보 이슈에서도 과연 그 부분이 맞느냐에 대한 이야기가 계속 나오는 것 같습니다.
여러 가지 구체적인 영역이든지 상황을 봤을 때 케바케라는 표현을 하지 않아도 개별적인 부분에 있어서의 아까 말한 적합한 선이든 방법론이든 솔루션이든 그것이 규제 샌드박스 형태로 나올 수도 있고, 또는 정당한 이익의 판단기준이 달라질 수도 있는 부분입니다.
또 최경진 교수님이 말씀하신 것처럼 어떤 기본적인 원칙이 있고 그것을 각 분야의 상황에 맞게 다르게 적용할 수 있는 부분 또 그런 쪽의 고민 이 이야기가 어떻게 보면 계속 반복되는데 지금 개인정보가 충돌할 때 보면 하나의 법리, 하나의 원칙으로 모든 것을 해결하려고 하니까 계속 쳇바퀴 돌듯이 되지 않는 부분이 있는 것 같습니다.
그래서 우리가 Risk Based Approach라는 것을 과연 제대로 해 봤느냐, 각 부분에서의 어떤 위험을 측정하여 그것에 대한 밸류를 측정한 후에 여기는 풀어주고 여기는 안 해 주는 것을 해 봤느냐는 부분에 대한 의문을 던지시는 것 같습니다. 그래서 일단 이런 부분과 관련해서 발제자 두 분께서 꼭 제가 정리한 내용이 아니라 여러 분이 말씀해 주신 이슈에 대해서 코멘트를 해 주시면 어떨까 싶습니다.
오병일 교수님 먼저 해 주시겠습니까?“]
위원 오병일 : [“제가 발제자로서 코멘트하기 전에 패널로서 김우창 교수님 발표에 대해서 의견을 말씀드리겠습니다.
저는 김우창 교수님 견해, 그러니까 새로운 데이터 처리, 데이터를 어떤 특정 연구 프로젝트를 위해서제공할 것이냐에 대해 전적으로 동의합니다.
제가 몇 년 전 데이터 연계 활용과 관련된 연구를 진행한 바가 있는데 그때 살펴봤던 해외 사례에서도 생명윤리위원회의 검토뿐만 아니라 개인정보를 제공할 것인지 여부에 대해서 연구목적으로 검토하는 위원회들을 상당히 많은 영역에서 두고 있었습니다. 주로는 그 개인정보를 제공하는 기관이 운영하는 것이지요.
그래서 이것을 국가적으로 단일한 하나의 시스템을 만드는 것이 아니라 각각의 개인정보를 제공하는 기관에서 과연 이 연구가 충분히 우리가 개인정보를 제공할 만한 공익성이 있는 연구인지 그리고 저 연구자가 요구하는 개인정보가 그 연구에 꼭 필요한 최소한의 데이터인지 그리고 그 연구자가 데이터를 보호할 수 있는 충분한 자격이 있는 사람인지를 이런 부분들을 검토하는 것이지요.
그런데 오히려 현재 우리나라 개인정보 보호법은 그러한 과정이 없이 법에서 정해진 원칙만 지키면 되는, 그러니까 가명처리만 하면, 이것이 과학적인 연구목적으로 다 제공할 수 있도록 열어놨기 때문에 김우창 교수님 이야기 이전에 김우창 교수님께서 말씀하신 그런 시스템보다 훨씬 더 지금 열려 있는 상황이라고 할 수 있는 것 같습니다.
이러한 부분에 대해서 하나 문제의식이 있고, 또 하나는 아까 정지연 총장님도 말씀하셨습니다만 저는 우리 사회에서 이런 사회문제를 기술로 해결하는 것이 중요하다고 생각하는데 이것을 가장 우선순위로 둔다는 것이 문제인 것 같습니다.
예를 들어 노인의 고독문제를 사회적인 문제라고 했을 때 이런 것을 위한 최선의 해결책이 인공지능 친구여야 할까요, 아니면 다른 사회적인 관계를 재구성하는 것이 필요할까요? 저는 후자가 더 근본적이고 중요한 문제라고 생각하는데 이런 것들이 국가정책으로 추진될 때 상당히 기술 중심적인 접근을 먼저 취하는 경향이 있지 않나 하는 부분에 대해서 반성이 필요하지 않을까 싶습니다.
그 부분은 제가 패널로서 말씀드린 것이고, 발제자로서 여러 분이 주신 의견에 대해서 잠깐만 답변드리면 황창근 교수님께서 좋은 의견을 주셨는데 제가 설명할 때 약간 오해가 있도록 설명한지 몰라도 저는 개인정보 보호위원회에서 노동감시 문제를 관할해야 한다고 말씀드린 것은 아닙니다.
황창근 위원님 의견처럼 법적으로도 당연히 다른 법에 특별한 규정이 있으면 그 법이 적용될뿐더러 저는 오히려 이 노동감시 문제에서 고용노동부가 아무런 역할을 하지 않고 있습니다. 그나마 개인정보 보호위원회가 적극적인 역할을 해 주고 있는 부분에 대해서 참 다행이라고 생각합니다.
그런데 장기적으로는 개인정보 보호위원회가 사회 모든 영역에 대해서 일일이 세부적으로 관여하는 것보다 예를 들어 노동감시 문제는 고용노동부가 좀 더 적극적인 역할을 하는 것이 필요하다고 생각하기 때문에 아까 강은미 의원과 근로기준법 개정안을 만들었다고 하지 않았습니까? 그런 취지도 고용노동부가 조금 더 적극적인 역할을 하라는 취지를 담고 있습니다.
그럼에도 불구하고 개인정보 보호위원회도 앞으로 여전히 계속해야 할 역할이 있을 것이고 그것은 노사 간 첨예한 분쟁에 개입하는 차원이라기보다는 거기서 개인정보 문제에 한정해서 여전히 개입할 여지는 있다고 생각합니다.
그리고 최경진 교수님 말씀대로 근로자, 고용주가 합의해야 하는 상황임은 맞습니다. 저도 당연히 그렇게 생각하고 어떻게 보면 다른 일반적인 개인정보 처리도 마찬가지인 것 같습니다. 개인정보 보호법은 매우 일반적인 원친만 적용하고 있고 개인정보수집 최소화의 원칙이라는 것이 도대체 얼마만큼의 개인정보를 수집해야 하는 것이냐, 이것은 케이스바이케이스로 다른 것입니다.
마찬가지로 개인정보 보호법 혹은 근로기준법이 개정된다고 하더라도 법에서는 구체적인 원칙만 정해지고 궁극적으로는 예를 들면 어떤 범위에서 어떤 기술과 어떤 성능을 가지는 CCTV를 도입할 것인지 이런 것들은 구체적인 현장상황에 맞게 정해야 하는데 이 측면에서의 문제는, 이것은 개인정보보호 문제는 아닙니다만 과연 한국이 노사 간 대등한 협상을 할 수 있는 환경인가 이 부분이 문제라고 생각합니다.
예를 들면 유럽 같은 경우 산별논의가 강력하기 때문에 일정한 협상력을 가질 수 있는 반면 한국 같은 경우 대부분 기업별 노조 중심으로 협상이 이뤄지고 있기 때문에 이론적으로는 그렇게 이야기할 수 있는데 현실적으로 아직까지는 최소한 고용주의 선택대로 도입되고 있는 상황이라고 할 수 있겠습니다.
마지막으로 김영훈 위원님께서 말씀하셨다시피, 저는 아까 말씀하실 때 원격근무를 하면서 이런 불이 표시되어 있는지를 말씀하실 때 김영훈 위원님도 왜 그런 기록을 하는지 잘 모르시는 것 같습니다. 저는 그것이 문제라고 보는 것입니다. 예를 들면 로그기록을 수집할 수도 있고 혹은 정보보안 측면에서 필요할 수도 있기 때문에 도입할 수도 있다고 봅니다.
그런데 이 기능이 왜 필요해서 도입하는지에 대해서 제대로 설명도 되어 있지 않고 또 그것이 정말 필요한 것인지, 예를 들면 정보보안에 필요한 정도는 어디까지인지 이런 것에 대해서 노사 간 협의가 있어야 하는데 그런 것들이 되지 않는 상황 자체가 문제라는 것이지요.
그렇기 때문에 절대적인 기준이 있다기보다는 저도 궁극적으로 각 회사 내에서 구체적인 필요와 상황에 맞게 그런 것들이 정해질 필요가 있고 그러기 위한 노사 간 협력도 필요하고 적절한 힘의 균형도 필요하지 않느냐 이렇게 생각합니다. 이상입니다.”]
의장 윤종수 : [“김우창 위원님.”]
위원 김우창 : [“많은 위원님들께서 코멘트를 주셨는데 각각의 위원님들의 코멘트에 따로 답변드리기보다는 이런 말씀으로 제 생각을 갈음하고자 합니다.
가끔은 기술의 발전이 하기 싫은 사회적 결정을 사회에 강제한다는 생각이 듭니다. 트롤리(Trolley) 문제라고 있지 않습니까? 기차가 이렇게 있고 이것을 가만히 놔두면 4명이 죽는데 내가 선로를 바꾸면 1명이 죽는 그런 정의란 무엇인가 거기에도 나왔다고 하는, 그러니까 공학자로서 과거에는 상상하지 못했던 일들이 지금 가능해진다고 느껴집니다.
예를 들면 자꾸 좋지 않은 이야기를 해서 그렇습니다만 과거에는 불가능했을 것 같습니다. 그러니까 마치 트롤리 문제에서 우리는 선로를 바꿀 수 있는 수단이 없었던 것이고 따라서 우리는 바꾸느냐 마느냐는 선택이 강요되지 않았던 것 같습니다.
그런데 이제 저는 성공을 못 했습니다만 가능할 것도 같습니다. 무슨 이야기냐면 우리가 이것을 바꾸지 않는 것이 과거에는 선택권이 없으니까 어쩔 수 없이, 그런데 지금 이 선로를 바꾸지 않는 것은 대단히 적극적인 행위가 된다는 느낌이 듭니다.
그런데 이것이 실제 세상에 나가서, 빅브라더 말씀을 하셨는데 저도 그것이 싫습니다. 제가 금융사와 협업을 굉장히 많이 하는데 저는 싫어서 아직 금융 마이데이터에 동의하지 않았습니다.
저도 개인적으로는 싫습니다만 어쩔 수 없이 이제는 우리가 해야만 하는 의사결정이고 그 의사결정을 하지 않는 것 역시 대단히 적극적인 행위라는 상태에서 하나의 룰, 하나의 한계점, 어떻게 표현해야 할지 잘 모르겠는데 법률용어가 있을 것 같은데 역설적으로 그러한 큰 그림들이 아직 무엇이 가능한지 모르는 상태에서 그러한 큰 선 하나가 아무것도 할 수 없도록 만드는 약간은 걸림돌이 되지 않은가라는 생각을 연구자로서 많이 했습니다.
그것이 연구부터 상업화까지 가는 라이프사이클의 맥락도 있을 것이고, 혹은 context마다 이것이 복지 분야이냐 아니면 상업화 분야냐 이런 context가 있을 것 같습니다. 그래서 많은 위원님들이 동의해 주셔서 오늘 발표하면서 이것이 맞나 하는 생각을 했었는데 그래도 조금은 동의해 주셔서 제 생각이 너무 틀리지는 않았다는 생각이 든 지점은 그 누구도 선을 못 그을 것 같습니다.
다시 아까 학대아동 이야기로 돌아간다면 분석해 보면 이렇게 나옵니다. 이렇게 하면 구할 수 있는 아이를 몇 명 못 구해서 죽는다. 대신 낙인효과 받을 집 이만큼 덜한다. 반대로 조금 더 올리면 구할 수 있는 아이를 거의 다 구한다. 낙인효과를 이만큼 받는다. 이것이 나옵니다.
그러면 누군가는 그 선을 그어야 하는 상황입니다. 이제 그것을 하지 않는 것은 굉장히 적극적인 행위가 되어 버린 것 같습니다. 그러면 그것이 하나의 기준이 존재할 수 없지요. 결국 트레이드오프이고, 그 트레이드오프는 통상 경제학에서 이야기하는 것처럼 Utility Function이 있어야 하는 것이고, 그 유틸리티는 개인의 유틸리티는 있을 수 있겠습니다만 사회적으로 합의될 수 있는 지점일 것 같습니다.
그러면 역설적으로 개인정보의 보호와 활용을 모두 장려하기 위해서는 큰 원칙은 준수하되 그것이 샌드박스가 될 수도 있고 심의위원회가 될 수도 있고, 제가 거기까지는 잘 모르겠습니다만, 장관님이 주재하시는 포럼에서 케바케라는 이런 천박한 표현을 자꾸 나오게 해서 죄송합니다만 지금은 시작단계인 만큼, 이것은 우리나라에서만 있는 일은 아닌 것 같습니다. 해외도 마찬가지의 논의가 있는 것 같습니다.
그 케바케라는 부분을 인정하고 그것을 우리가 하다가 1년, 2년, 3년이 지나면 어떤 선례들이 나올 것이고 그 와중에 모순된 것이 나올 것이고 그것이 어떻게 보면 큰 선을 어느 정도 정하고 법률처럼 혹은 판례처럼 그런 작동을 할 수 있지 않을까라는 생각을 해 봤습니다. 감사합니다.”]
의장 윤종수 : [“고맙습니다. 발표자분들의 코멘트까지 들었고 오늘 좋은 키워드들이 많이 나왔는데 개인정보 보호위원회 업무에서 고려될 만한 사항들로 많이 나온 것 같습니다. 규제샌드박스, 심의위원회 형태 그리고 케바케 이런 다양한 이야기들이 나왔는데 위원장님 그 부분에 대한 코멘트 아니면 오늘 나온 이야기에 대해서 코멘트해 주시면 좋을 것 같습니다.”]
공동의장 고학수 : [“오늘 많이 배웠고 만약에 학교 세미나라면 저도 나름 할 이야기가 많이 있을 것 같은데 몇 가지 말씀드리면 오늘 이야기를 들으면서 ROC curve나 이런 것을 위원회에 제가 온 후로 몇 달 만에 처음 들어서 매우 반갑고 그런 개념이 있었다는 것을 새삼 떠올리는 기회였습니다.
케바케 또는 False Positive나 False Negative 사이에 트레이드오프가 있다고 하는 것이 너무너무 중요한 개념이기 때문에 그것을 적극적으로 고민해야 한다고 생각하는데 다른 한편 현실에서는 그 판단이 쉽지는 않다. 그래서 흔히 Risk Based Approach 이런 이야기를 많이 하는데 그것은 굉장히 이상적인 상황인 것 같고 현실은 쉽지 않은 것 같습니다.
우리가 케바케를 정말 적용하려면 원칙이 있고 원칙을 개별상황에 적용할 수 있는 적용역량, 판단역량 그리고 그 판단을 백업할 수 있는 여러 가지 노하우, 경험이 필요한데 현실적으로 그런 면에서의 경험이 굉장히 적다. 그래서 그런 경험을 많이 쌓아야 하지 않나 하는 생각을 합니다.
다른 한편으로 제가 기관장이 된 후 느끼는 것 중의 하나는 False Positive 사례가 하나만 나오면 여론, 국회 여러 군데서 온갖 난리이고 거꾸로 False Negative 사례가 하나만 나와도 난리입니다. 그러니까 그 사이에 균형을 찾아야 하는데 어느 한 맥락에서 오류 하나만 나오면 너희가 틀렸다고 하니까 그 사이에서 줄타기를 하는 것이 간단하지 않은 우리나라의 현실적인 상황이 있기는 합니다.
그런데 그것을 극복하기 위해서는 케바케다. 그리고 케바케를 정당화할 수 있는 경험과 노하우들이 축적되었다는 것을 보여줄 수 있으면 조금 더 나름의 중심을 잡아가면서 진도를 나갈 수 있을 것 같다는 정도의 생각을 합니다.
그리고 IRB 말씀을 해 주셨는데 제가 학교에 있을 때 IRB를 통해 실제 연구진행도 하고 굉장히 골치 아픈 상황도 있었는데 우리나라 개별영역을 보면 의료영역에서는 의료데이터 가이드라인에 따라서 데이터심의위원회라는 것이 이미 작년부터 운영되고 있습니다. 그래서 그런 경험이 약간씩은 축적되고 있고, 가명정보 같은 경우 가명정보 결합에 대해서 심의하고 평가하는 제도가 있어서 그것도 진행되고 있습니다.
그래서 경험이 아주 많지는 않지만 그런 맥락에서 평가하는 절차들이 몇몇 영역에 실제로 도입되어 있고 경험이 쌓이고 있기는 합니다. 그리고 당연히 그로부터 조금 더 경험을 정리해서 다른 추가적인 영역에 확대한다든가 변형을 한다든가 이런 것은 앞으로 더 해야 할 과제인 것 같습니다.
두 번째 발표 관련해서는 굉장히 많이 연구·정리해 주셨는데 잘 아시다시피 우리 위원회가 작년에 나름 애쓰고 공들여서 노무영역에 관한 가이드라인을 만드는 작업을 해서 조만간 발표가 될 것입니다.
그리고 이 영역은 이해관계자가 굉장히 다양하게 있고 각기 다른 시각들이 있어서 각기 다른 시각을 정리하고 조율하는 데 품이 꽤 많이 들었습니다. 그래서 그것이 나오고 나면 부족하다고 여겨지는 부분이 있겠지만 그래도 지난 1년 동안 여러 이해관계자들을 통해서 조율한 과정을 정리한 것입니다.
그리고 발표내용에도 일부 있었지만 플랫폼 노동이라든가 이런 몇몇, 계속 시장이 변하고 기술도 변해서 계속적으로 그런 시장 변화에 반응을 해야 합니다. 그래서 나오자마자 또 다른 업데이트 과제가 무엇이 있는지 새롭게 정리도 해 나가야 할 것 같습니다. 아무튼 조만간 그 가이드라인이 나오면 한번 봐주시고 의견을 주시면 좋을 것 같습니다.
마지막 한 가지 코멘트는 샌드박스라든가 이런 새로운 시도를 할 수 있는 어떤 장치·공간이 필요하지 않느냐는 맥락의 말씀을 몇 분의 위원님들이 주셨는데 백번 공감하고 제가 요즘 제일 고민 많이 하는 영역 중 하나입니다.
예를 들면 인공지능 트레이닝 데이터를 어떤 식으로 확보할 수 있게 방법을 찾아낼 것이냐, 또는 샌드박스라든가 세이프가드(safeguard) 같은 것을 만들어서 그 영역 안에서 뭔가 새로운 시도를 할 수 있는 장치와 절차를 조금 더 적극적으로 고민할 수 있으면 좋겠다는 생각을 하고 있습니다.
그런데 당연히 주어진 법체계 안에서 답을 찾아야 해서 그 맥락에서 고민하고 있는데 오늘 주신 말씀에 더해서 혹시라도 더 구체적인 제안이 있으면 나중에라도 저희 쪽에 말씀해 주시면 저희가 고민하는데 더 많은 도움이 될 것 같습니다. 제 말씀은 이 정도 하겠습니다.”]
의장 윤종수 : [“마무리 잘해 주셨습니다. 감사합니다. 얼마전에 단톡방에서 들은 것인데 개인정보를 전공하신 노 교수님인데 최근에 모자를 쓰고 나타나셨다고 합니다. 그래서 “모자가 잘 어울린다. 어떻게 모자를 쓰시게 됐습니까?”라고 했더니 그분이 하신 말이 “이제는 활용보다는 보호야” 이렇게 말씀하셨다고 합니다.
더 이상 머리를 활용하는 것은 힘들고 보호를 해야 한다는데 그 말을 듣는 순간 ‘머리를 따뜻하게 하면 머리가 잘 돌아가는 것이 아닌가?’, ‘모자를 벗어놓고 시원하게 해야 잘 돌아가나?’, ‘모자에 환기가 잘되게 만드나?’ 여러 가지 이야기가 도는데, 아무튼 보호와 활용의 문제는 어떻게 말하면 트레이드오프가 있을 수 있고, 또 어느 영역에서는 도움을 줄 수도 있는 부분인 것 같습니다.
그 부분에 대해서 위원장님이 말씀하신 것처럼 Risk Based Approach가 상당히 어려운 일이고, 케바케라는 것이 말은 쉽지만 상당히 어려운 부분인데 우리 위원회의 역량이나 함께하시는 전문가 분들이 힘을 합치면 그래도 뭔가 만들어나갈 수 있지 않을까라는 생각을 하면서 개인정보 보호위원회의 멋진 활약을 다시 한번 기대하면서 오늘 이 포럼은 마무리하도록 하겠습니다.
시간이 생각보다 많이 지났는데 2월 15일 오후 3시에 제8차 회의가 있고 과제는 코로나19의 교훈, 팬데믹과 개인정보 보호라는 주제이고 발제자는 추후 공지할 예정입니다.
그러면 다음번에도 아주 흥미 있는 주제의 발표가 있을 것 같은데 2월 15일에 뵙기로 하고, 오늘 「2022-2023 개인정보 미래포럼」제7차 포럼은 이것으로 마치겠습니다. 수고 많으셨습니다. 고맙습니다.“]
이 누리집은 대한민국 공식 전자정부 누리집입니다.
