‘자기주권 데이터’, ‘자기주권신원’ 개념, “데이터․신원, 자신이 통제․보호”
개정법률 ‘전송요구권’, ‘완전자동화 의사결정’의 한계 보완할 수도
[애플경제 전윤미 기자] 최근 ‘개인정보보호법’ 개정안을 계기로 개인정보의 중요성이 새삼 강조되면서, ‘자기주권 데이터(Self Sovereign Data)’와 자기주권신원(Self Sovereign Identity) 개념이 주목받고 있다.
이는 자신의 신원이나 데이터를 본인이 소유하면서 데이터 공개범위를 스스로 통제할 수 있다는 뜻이다. 개인의 프라이버시를 통제, 보호하는 최선의 방안으로 받아들여지고 있다.
자기주권데이터(SSD)는 개인정보 주권 개념에서 출발한 탈중앙화 본인인증 기술인 자기주권신원(SSI) 개념을 확장한 것이다. 즉, 사용자가 자신의 신원증명을 직접 관리하고, 데이터 공개 대상과 범위를 스스로 선택할 수 있는 블록체인 기반 분산형 기술이다.
개정법률, 기업이나 정보처리자의 권익에 치우쳐
이는 개정된 ‘개인정보보호법’의 허점을 메운다는 의미도 있다. 개정법률은 전송요구권을 신설, 정보주체를 강화한다는 취지를 내세우고 있다. 그 문제점을 지적한 한국소비자연맹, 참여연대, 민변 등은 “그러나 사실 마이데이터 산업 육성을 위한 것임이 명백하다”면서 “정보주체의 동의를 받는다고 하더라도 다크패턴이 확대되는 상황을 고려할 때, 정보 전송을 통해 개인정보가 악용될 위험이 크고, 그 결과에 대한 충분한 설명이 정보주체에게 제공될 것으로 기대하기 어렵다”고 지적했다.
뿐만 아니라, 이번에 명문화한 ‘완전 자동화 의사결정’의 한계를 극복하는 대안으로도 제시되고 있다. 개정법률은 정보주체의 권리조항 역시 EU에 비해 보호 수준이 미흡하다는 지적이다. EU의 경우 동의, 계약, 법률에 의한 경우를 제외하고는 정보주체에게 중대한 영향을 미치는 완전 자동화 의사결정을 원칙적으로 금지하고 있다.
그러나 “개정법률은 원칙적으로 완전 자동화 의사결정을 허용하되, 정보주체가 사후에 거부할 수 있도록 했다”면서 “하지만 개인정보 처리자가 자신의 '정당한 이익'을 주장하며 완전 자동화 의사결정을 했을 경우, 정보주체는 이에 대해 고지조차 제대로 받지 못하며, 거부권을 행사할 수 없다”는 비판이다.
“개인이 자신의 데이터와 신원정보 소유․통제”
이에 최근 SSI(Self Sovereign Identity)과 함께 SSD(Self Sovereign Data) 개념이 크게 주목받고 있다. ‘자기주권신원’으로 해석되는 SSI의 경우 개인이 자신의 디지털 신원을 제3 신뢰 기관이 아닌 본인이 직접 소유하면서, 신원정보 공개 범위도 스스로 통제하면서 개인의 프라이버시를 보호하는 개념으로 사용된다.
같은 맥락에서 이를 확대한 것이 SSD다. 이에 대해 한국지능정보사회진흥원은 최근 브리프를 통해 “SSD 개념은 데이터 유통을 활성화하고, 부작용을 최소화하기 위해 우선적으로 검토가 필요한 기술로 이해할 수 있다.”면서 “특히 ‘가명정보처리 가이드라인’은 암호기술을 통한 가명정보 처리 방안을 소개하고 있으며, 암호기술을 적절히 활용할 경우 SSD를 기술적으로 구현하는데 도움이 될 것으로 판단된다”고 밝혔다.
특히 “암호기술을 활용한 블록체인은 SSD를 실현하는데 적합하며, 추가적인 연구와 암호기술의 발전을 통해 기존의 가명정보 처리를 넘는 실효성을 기할 것으로 기대된다”는 얘기다. 다시 말해 현행 개인정보보호법을 비롯한 제도적 허점을 메꾸는 유효한 방안이 될 것으로 해석된다.
SSI를 확대한 SSD는 특히 블록체인 기반 데이터 유통의 효율적인 장치로 부각되기도 한다. 즉, 기관이 개인의 정보를 모두 보유하면서 필요한 경우 제공하는 것과는 차원이 다르다. 일단, 블록체인 탈집중화와 암호기술을 이용, 컨소시엄이 만든 전자지갑에 본인의 계좌번호 등을 발급은행의 인증을 거쳐 보유한다. 그 후 당사자의 요청이 있을 경우 본인인증 절차를 거쳐 계좌 정보를 제공하는 것이다.
‘마이데이터’ 목적의 남용 방지할 수 있어
특히 이는 개정된 법률에서 강조하고 있는 ‘의료 마이데이터’ 사업을 위한 전송요구권의 취약성을 보완할 수도 있다. 이대로라면 개인 민감정보의 악용으로 이어질 우려가 크다는게 시민단체들의 지적이다. “따라서 최소한 보건의료 정보를 포함한 민감정보와 공공분야에서의 개인정보와 관련해서는 전송요구권이 남용되지 않도록 제한할 필요가 있다”는 취지에서 SSD와 SSI를 적극 실용화할 필요가 있다는 얘기다.
앞서 이들 시민단체들은 개정법률이 전송요구권과 완전 자동화 의사결정의 요건을 크게 완화한 점을 지적한 바 있다. 즉, ‘정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우’라는 명문 조항을 ‘정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우’로 완화했다는 지적이다.
이에 “‘개인정보보호법’의 전송요구권이나 ‘완전 자동화 의사결정’ 등 정보처리 업자의 이익에 치중된 현행법의 허점을 보완하기 위한 방안으로 SSD와 SSI를 적극 구현할 필요가 있다”는 목소리가 높다.