빅데이터를 다루는 기업에게 묻는 4가지 법적 질문

오늘날 과거의 그 어느 때보다도 방대한 양의 데이터를 사용할 수 있을 뿐만 아니라 이러한 데이터에 접근하여 분석하고 이에 근거하여 의사 결정을 하려는 기업들이 많다. 그러나 민감한 정보를 처리할 때 법적인 위험과 의무가 수반됨을 반드시 명심해야 한다.

1.  당신의 회사는 어떤 종류의 데이터를 수집하고 있습니까?

수집된 데이터들은 각 유형마다 다른 법률상 의무가 있을 수 있다. 예컨대, HIPAA (Health Insurance Portability and Accountability Act)는 미국연방법률로, 개인의 민감한 건강정보 (신체정보 및 병력 등)를 보호하기 위해 매우 엄격하게 데이터 수집을 제한한다. 이름, 사회보장번호 (SSN), 여권번호, 생년월일 등 개인의 신원을 확인 가능한 정보 또한 수집이 제한된다. 온라인 상에서 고객으로부터 결제정보를 입력받기 위해서는 고객의 금융 정보 보호를 위해 지정된 보안 조치를 모두 충족해야 한다.

따라서 단순히 CCPA (California Consumer Privacy Act) 나 GDPR (General Data Protection Regulation)만 준수하면 충분하다고 쉽게 접근할 것이 아니라, 각 기업이 수집하는 데이터의 유형을 정확히 알고 각 유형별로 요구되는 연방법 및 각 주의 법률상 의무를 개별적으로 확인하는 것이 필요하다. 

2.  당신의 회사는 어떤 방식으로 데이터를 수집하고 있습니까?

기업은 직접 또는 간접적으로 데이터를 수집할 수 있다. 이름이나 주소, 전화번호와 같은 정보는 일반적으로 고객에게 직접 제공할 것을 요구한다. 그러나 그 외의 데이터 수집은 고객의 입장에서 불필요한 정보 수집으로 인식될 가능성이 있다. 기업의 입장에서는 필요한 최소한의 정보만을 직접 수집 한다는 사실을 분명하고 투명하게 밝힐 필요가 있다.

모든 데이터 수집이 한번에 이루어지는 것은 어렵다. 시간이 지남에 따라 고객의 구매 또는 행동 패턴 등의 데이터를 조금씩 수집하는 것이 바람직하다. 단, 이 역시 수집되는 정보의 유형과 정보의 사용 목적 등을 공개하는 것이 중요하다. 

3.  당신의 회사는 어떤 방식으로 데이터를 저장 및 보관하고 있습니까?

오늘날 기업들은 수집된 데이터들을 데이터 레이크 구조 (data lake architecture)에 저장 및 보관하는 방향으로 발전하고 있다. 위 구조로 데이터가 저장됨에 따라 빅데이터를 실시간으로 분석하여 실행계획을 수립하는 것이 가능해졌다.  

데이터를 잘 저장하는 것이 끝이 아니다. 어떤 보안조치를 취하여 안전하게 데이터를 보호할 것인가가 훨씬 더 중요하다. 기업은 수집된 민감한 고객정보를 보호하기 위하여 엄격한 물리적/기술적/인사상 조치를 취해야만 하며 이를 소홀히 하여 해킹 등의 사이버 범죄에 노출이 될 경우 막대한 손해배상 (특히 집단소송의 대상이 될 수 있음을 명심)의 책임을 부담할 수 있음을 명심해야 한다.

4.  당신의 회사는 어떤 목적으로 데이터를 활용하고 있습니까?

전략적인 목적 없이 방대한 정보를 수집하는 것은 서버용량에 부담만 갈 뿐 기업에 아무런 이익이 없을 수 있다. 빅데이터를 효과적으로 활용하는 방법은 여러가지가 있다. 고객별 맞춤형 마케팅, 고객의 행동 예측, 부정행위 또는 사기 거래의 조기 탐지 등의 목적을 위해 빅데이터를 활용할 수 있다. 

기업은 데이터를 수집하기 전에 수집목적을 고객에게 공개해야 하기 때문에 수집된 데이터를 어떻게 활용할지를 사전에 고려하는 것은 중요함은 물론 개인정보를 사용하는 과정에서 데이터 수집 당시에 공개한 수집목적과 일치하는지 여부를 정기적으로 모니터링 할 필요가 있다. 사업이 확장되면서 서비스가 추가됨에 따라 이전에 수집된 데이터를 새로운 서비스에 사용하고자 하는 경우가 있을 수 있다. 

그러나 만약 공개된 수집목적과 다른 새로운 목적을 위해 데이터가 사용되었거나 사용될 예정이라면 그 즉시 개인정보 보호정책을 업데이트 해야 하고, 필요할 경우에는 정보의 주체에게 새로운 동의를 얻어야 한다. 또한 이메일, 전화, 푸시 알림 등과 같은 마케팅 목적의 동의는 사용자가 언제라도 쉽게 취소할 수 있도록 해야 한다. 

테크니들 인사이트

정리하자면, 각 기업이 수집하는 데이터의 유형을 정확히 특정하여 각 유형별로 요구되는 법률상 의무를 개별적으로 확인할 것을 추천한다. 기업은 필요한 최소한의 고객 정보만을 직접 수집하되 수집되는 정보의 유형과 정보의 사용 목적 등을 투명하게 공개해야 한다. 수집된 민감한 고객정보를 보호하기 위하여 엄격한 기술적/법적 조치를 취해야 하며, 수집 목적을 고객에게 공개해야 하므로 수집된 데이터를 어떻게 활용할지를 사전에 충분히 고려할 필요가 있다.

이미지 출처 : towards data science

Written by

한국과 미국(캘리포니아) 양국의 변호사로서, 현재 미국에서 변호사로 일하며 한국기업의 미국진출과 한-미 크로스보더 거래를 자문하고 있습니다. 주로 스타트업과 지식재산(IP)에 대해 공부하고 글을 씁니다. 이메일 sung@lawofficesung.com 홈페이지 www.lawofficesung.com