한국데이터산업진흥원이 발간한 ‘2023 데이터 백서(2023.10.31)’에 따르면 AI를 중심으로 하는 디지털 변혁(Digital Transformation) 시대에는 빅데이터를 강조하는 것을 넘어 인공지능 학습용 데이터의 중요성이 커지고 있다. 데이터 중심 사회가 형성되면서 데이터에 대한 윤리적 요구 사항은 여러 영역에서 다양하게 표출되고 있다. 민간영역에서 개인정보와 관련된 데이터의 올바른 수집과 활용을 위해 윤리적 기준을 시급히 마련해야 한다는 주장이 제기되고 있다. 데이터의 책임 있고 지속가능한 사용을 위해 데이터의 수집 및 처리 과정부터 결과까지 활용 전반에 걸쳐서 준수할 윤리 원칙을 수립하고, 이에 근거하여 데이터 윤리 가이드라인에 대한 사회적 합의가 요구된다.
기술의 발전은 생활에 윤택함을 주지만 기술이나 수집된 데이터가 부패 행위, 사이버 범죄 등에 활용되기도 하기 때문이다. 최근에는 사이버 범죄집단이 회사의 이사 목소리를 복제하여 3,500만 달러를 사기 계좌로 이체하도록 승인한 사례도 있었다.
세계경제포럼(World Economic Forum)은 ‘Technology Policy Responsible Design Flourishing World(2024.10)’ 백서를 발간하여 기술의 기반이 되는 책임있는 정책 설계 원칙과 사례를 제공한다. 정책은 기술이 책임과 신뢰성있는 방식으로 설계되도록 하는 중요한 메커니즘이다. 이번 행동하는 윤리경영에서는 개인정보 보호에 대한 부분을 중심으로 책임있는 기술 정책 설계 방안을 알아보고자 한다.
책임있는 기술정책와 개인정보 보호
세계경제포럼의 보고서에 의하면 ‘기술 정책’은 신흥 기술 정책과 규정을 설계, 개발 및 시행할 때 공통적으로 고려해야 할 '기술 정책 이정표' 8가지가 있다고 소개한다. 그 중 기업이 참고할 만한 내용을 정리하면 다음과 같다.
<기술 정책 이정표 - 5가지>
| 이정표 | 설명 | 적용 방안 |
|---|---|---|
| 1. 혁신 및 경제 성장 | 기업 혁신을 촉진하고 시장에서의 경쟁력을 강화하는 방향으로 기술 정책 설계해야 함 | R&D 투자 확대, 신기술 상용화 촉진, 기술 기반 산업의 경쟁력 제고. |
| 2. 소비자 보호 및 피해 완화 | 기술은 사용자에게 안전하고 사용자가 신뢰할 수 있도록 설계되어야 하며, 소비자 보호를 최우선으로 고려해야 함. | 데이터 보호 강화, 개인정보 유출 대응 체계 마련, 신속한 피해 보상 시스템 구축. |
| 3. 선택과 경쟁 | 기업은 시장 내에서 경쟁력을 강화하고 다양한 선택을 제공하여 고객 만족도를 높여야 함. | 독점 방지 정책 수립, 상호운용성 강화, 중소기업과의 협력 확대. |
| 4. 책임, 윤리, 개인정보 보호 | 책임 있는 데이터 관리 및 윤리적 기술 사용을 통해 신뢰를 구축해야 함. 개인정보 보호는 필수적인 원칙으로 유지되어야 함. | 개인정보 보호법 준수, 데이터 윤리 원칙 확립, 내부 직원 윤리 교육 강화. |
| 5. 위험 기반 접근방식 | 기술 사용으로 인한 위험을 사전 파악하고, 리스크를 관리하는 시스템을 구축해야 함. | 개인정보 보호 영향 평가 도입, 잠재 위험 요소 식별 및 대응 방안 마련. |
[출처: WEF, Technology Policy Responsible Design Flourishing World(2024.10)]
한편, 물리적 세계와 디지털 세계가 점점 더 융합됨에 따라 개인정보 침해부터 주요 인프라를 표적으로 삼는 사이버공격까지 다양한 위협으로 인해 개인, 조직, 사회를 보호하기 위한 효과적인 정책의 필요성이 커지고 있다. 디지털 생태계에 대한 더 큰 신뢰와 확신을 위해서는 처음부터 기술의 설계 및 구현 단계에 개인정보 보호와 보안조치를 통합하는 것이 중요하다. 다음은 개인정보보호위원회가 개인정보 영향평가 수행 안내서(2024.4)에서 개인정보 영향평가 항목 중 개인정보 보호 관리체계에 대한 부분을 발췌한 내용이다.
개인정보 영향평가는 개인정보파일을 운용하는 새로운 정보시스템을 도입하거나 기존에 운영 중인 개인정보 처리시스템의 중대한 변경 시 시스템의 구축·운영·변경 등이 개인정보에 미치는 영향(impact)을 사전에 조사·예측·검토하여 개선방안을 도출하고 이행여부를 점검하는 체계적인 절차를 말한다. 이를 통해 개인정보 처리가 수반되는 사업을 추진할 때 해당 사업이 개인정보에 미치는 영향을 사전에 분석하고 이에 대한 개선방안을 수립하여 침해사고를 사전에 예방할 수 있다.
<개인정보 영향평가 항목 발췌>
| 평가영역 | 평가분야 | 세부분야 | No. | 평가항목 |
|---|---|---|---|---|
| 1. 대상기관 개인정보 보호 관리체계 |
1.1 개인정보 보호 조직 |
개인정보보호 책임자의 지정 |
1.1.1 | 개인정보 보호책임자를 법령기준에 따라 지정하고 있습니까? |
| 개인정보보호 책임자 역할수행 |
1.1.2 | 개인정보 보호책임자에게 법령 등에서 정하는 역할 및 책임에 관한 사항을 정책화하고, 이에 근거해 관련 업무를 수행하도록 하고 있습니까? | ||
| 1.2 개인정보 보호 계획 |
내부 관리계획 수립 | 1.2.1 | 개인정보의 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 필수 사항을 포함하는 내부관리계획을 수립·시행하고 있습니까? | |
| 1.2.2 | 개인정보 보호책임자는 접근 권한 관리, 접속기록 보관 및 점검, 암호화 조치 등 내부 관리계획의 이행 실태를 연1회 이상으로 점검·관리하고 있습니까? | |||
| 개인정보 보호 연간 계획 수립 | 1.2.3 | 개인정보 보호 교육, 실태점검 등 개인정보 보호 활동에 대한 연간 수행계획을 수립·시행하고 있습니까? | ||
| 1.3 개인정보 침해대응 |
침해사고 신고방법 안내 |
1.3.1 | 개인정보 침해사실을 신고할 수 있는 방법을 정보 주체에게 안내하고 있습니까? | |
| 유출사고 대응 | 1.3.2 | 개인정보 유출 신고·통지 절차, 긴급 연락체계, 사고 대응 조직 구성 등을 포함한 개인정보 침해사고 대응 절차를 수립하여 실시하고 있습니까? | ||
| 1.4 정보주체 권리보장 |
정보주체 권리보장 절차 수립 |
1.4.1 | 개인정보 열람, 정정·삭제, 처리정지, 수집출처 통지 등 정보주체의 권리보장과 요구에 대한 처리절차를 수립하여 실시하고 있습니까? | |
| 정보주체 권리보장 방법 안내 |
1.4.2 | 정보주체의 요구에 대한 조치에 불복이 있는 경우 이의를 제기할 수 있도록 필요한 절차를 마련하고 안내하고 있습니까? | ||
| 1.4.3 | 개인정보의 이용·제공 내역이나 이용·제공 내역을 확인할 수 있는 정보시스템에 접속하는 방법을 주 기적으로 정보주체에게 통지하고 있습니까? | |||
| 2. 대상시스템의 개인정보 보호 관리체계 |
2.1 개인정보 취급자 관리 |
개인정보 취급자 지정 |
2.1.1 | 대상시스템에 대해 업무상 개인정보 취급 범위를 최소 한으로 제한하고 업무수행에 필요한 최소한의 인원이 개인정보를 처리하도록 개인정보취급자 지정을 계획하고 있습니까? |
| 개인정보취급자 관리·감독 |
2.1.2 | 대상시스템에 대한 개인정보취급자를 대상으로 역할 및 책임 부여, 개인정보 보호 교육, 개인정보 보호서약서 작성 등 관리·감독을 계획하고 있습니까? | ||
| 2.2 개인정보 파일 관리 |
개인정보파일 대장 관리 |
2.2.1 | 대상시스템에서 개인정보파일을 신규로 보유하거나 변경하는 경우, 개인정보파일대장을 작성하거나 변경하도록 계획하고 있습니까? | |
| 개인정보파일 등록 |
2.2.2 | 대상시스템에서 개인정보파일을 신규로 보유하거나 기존파일을 변경하는 경우, 개인정보보호위원회에 등 록하도록 계획하고 있습니까? | ||
| 2.3 개인정보 처리방침 |
개인정보 처리방침의 공개 |
2.3.1 | 대상시스템에 대한 개인정보 처리방침을 수립하거나 변경하는 경우에는 인터넷 홈페이지·관보 등에 정보 주체가 알기 쉽게 확인할 수 있는 방법으로 안내하도록 계획하고 있습니까? | |
| 개인정보 처리방침의 작성 |
2.3.2 | 대상시스템의 개인정보 처리방침은 법령 등에 따라 포함하여야 할 사항을 적정하게 정하고, 알기 쉽게 작성하며 정보주체가 쉽게 확인할 수 있도록 계획하고 있습니까? |
[출처: 개인정보보호위원회, 개인정보 영향평가 수행 안내서(2024.4) (2023.6)]
참고
- 한국데이터산업진흥원, 2023 데이터 백서(2023.10.31)
- 개인정보보호위원회, 개인정보 영향평가 수행 안내서(2024.4)
- WEF, Global Risk Report 2022(2022)
- WEF, Global Risk Report 2023(2023)
- WEF, Technology Policy Responsible Design Flourishing World (2024.10)