개인정보보호원칙(Fair Information Practice Principles, FIPPs)은 프라이버시 내지 개인정보 보호에 관하여 국제적으로 인정되어 있는 일련의 규칙이다. Westin 교수는, 프라이버시를 ‘개인, 단체 또는 기관이 자신들에 관한 정보가 언제, 어떻게, 어느 정도로 타인에게 전달되는가를 결정할 권리’라고 하여, ‘통제(control)’를 프라이버시의 핵심적인 요소로 정의하였다. 이후 개인정보 주체에 의한 통제는 프라이버시 보호의 기본적인 틀이 되어 왔는데, 개인정보보호원칙은이를 잘 반영하고 있다. 개인정보보호원칙은 1973년 미국 보건·교육·후생부(HEW)의 보고서에 처음 등장한 이후, 1980년의 OECD 가이드라인, 1995년의 유럽연합의 개인정보보호지침, 2018년 5월 발효할 개인정보규범(Regulation, 이하 GDPR), 한국의 개인정보보호법제(개인정보보호법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 위치정보의 보호 및 이용 등에 관한 법률, 신용정보의 이용 및 보호에 관한 법률 등) 등 대부분의 국가의 입법에 반영되어 왔으며, 개인정보를 보호하는데 있어서 핵심적인 역할을 해 왔다. 개인정보보호원칙은 개인정보 내지 프라이버시 보호와 정보의 자유로운 흐름이라는 서로 경쟁하는 기본적인 가치를 균형시키고자 하는 것이다. 개인정보보호원칙은 여러 개의 버전이 나와 있고 입법에 반영되는 내용에 있어서도 차이가 있으나, 대체로 수집제한의 원칙, 정보의 질적 적정성의 원칙, 목적 명확성의 원칙, 이용제한의 원칙 등을 포함하고 있다. 개인정보보호원칙의 기본적인 구도는 ‘통지 및 동의(notice and consent)’를 바탕으로 하는 것으로서, 개인정보 주체가 자신에 관한 정보가 처리되는 것에 대한 근거나 목적 등을 고지받은 후, 처리를 인지하고(informed) 이에 대하여 동의하는 것을 내용으로 한다. 이러한 구도는 자신이 적절하다고 생각하는 바에 따라 개인이 자신의 정보에 대한 권리를 행사할 수 있도록 하는 매우 합리적인 것으로 여겨졌고, OECD 가이드라인이 채택되었던 1980년대에는 개인정보를 보호하고 유통시키기 위한 적절한 접근방법이 될 수 있었다. 그런데 개인정보보호원칙은 실제에 있어서 개인정보를 보호하거나 데이터를 새로이 사용하여 가치를 만들어낼 수 있도록 하지 못하였고, 최근 사물인터넷(internet of things)이나 빅데이터(big data)에 있어서는 개인정보보호원칙이 사실상 그 역할을 수행하지 못하고 있으며 이를 엄격히 적용시키기도 매우 어려운 형편이다. 예컨대 사물인터넷 및 빅데이터 환경에 있어서는 데이터를 수집하고 사용하는 것이 점점 더 광범위해지고, 데이터를 분석하여 데이터로부터 새로운 가치를 찾아낼 뿐만 아니라 수집시에 예상하지 못했던 가치까지 찾아낼 수 있게 되어, 목적명확성의 원칙이나 수집제한의 원칙 등을 의문시할 수밖에 없게 된다. 또한 엄청난 양의 데이터가 수집되어 개인이 자신에 관한 정보가 처리되는 것을 추적할 수 없고 데이터가 새로이 사용되어 새로운 가치를 창출할 수 있기 때문에, 데이터 수집 시에 데이터 처리를 통지하고 이에 대하여 동의를 받는 것이 매우 어렵게 된다. OECD 가이드라인 등에 반영되어 있는 개인정보보호원칙은 대부분 개인정보가 수집되는 방식을 규율하는 것에 초점을 맞추고, 이에 따라 개인으로 하여금 자신의 정보처리에 대한 상황을 인식하고 결정할 수 있도록 하려는 것이다. 그런데 사물인터넷 및 빅데이터 환경에서의 현실은 개인정보보호원칙이 추구하고자 했던 취지를 벗어날 뿐만 아니라 개인정보를 보호하고 정보를 자유로이 유통시키기 위한 최적의 방법이 되지 못하도록 하고 있다. 개인정보보호원칙을 빅데이터 및 사물인터넷환경에서 적용하는 경우, 개인은 개인정보 처리에 대한 제한된 정보만을 가지고 복잡한 결정을 강요당함으로써 프라이버시를 제대로 보호받지 못하게 되고, 개인정보처리자는 형식적으로 이루어지는 통지 및 동의에 의하여 개인정보 보호에 대한 책임을 벗어날 수 있는 문제점이 발생한다. 또한 개인정보보호원칙을 엄격하게 적용한다면, 데이터 사용과 기술발전에 대한 혁신(innovation)이 저해되어 우리 사회가 이들 기술이 가져다주는 혜택을 누리지 못하게 된다. 사물인터넷 및 빅데이터와 같이 기술발전으로 인하여 데이터 보호에 대하여 새로운 접근방법이 요구되고 개인정보보호원칙을 어떻게 적용시킬 것인가에 대한 논의를 필요로 하는 이유가 바로 여기에 있다. 이 글은 개인정보보호원칙이 현재의 상황에서 그대로 적용될 수 없다면 어떻게 적용되어야 할 것인지에 대한 방안을 제시하고자 한다. 곧 개인정보 처리에 대한 동의 외에 목적명확성 및 최소한 수집의 원칙을 중심으로, 빅데이터 및 사물인터넷 환경에서 개인정보보호원칙을 적용함에 있어서 발생하는 문제점을 분석하고, 한국의 개인정보보호법제에 포함되어 있는 개인정보보호원칙이 사물인터넷 및 빅데이터에 어떻게 적절하게 적용시킬 것인가에 대한 방안을 제시하고자 한다.

The Fair Information Practice Principles(FIPPs) are a set of internationally recognized rules of privacy. These principles first appeared in the US Department of Health, Education and Human Services (HEW) report in 1973, and have since been published in the OECD Guidelines, EU Directive and GDPR, and Korea’s privacy regulation. They have been reflected in legislation in most countries and have played a key role in protecting privacy. FIPPs are is to balance the competing fundamental values of the protection of personal information and the free flow of information. In general, they include purpose specification principle, collection limitation principle, and use limitation principles. When the FIPPs are applied to the big data and internet of things environments, data subjects are forced to make complex decisions with only limited information on personal information processing, privacy is thus not protected properly. If we strictly apply the FIPPs, innovation in data use and technology development will be hampered and our society will not be able to benefit from these technologies. This is why a new approach to data protection is required. It suggests how FIPPs should be applied if they can not be appropriately applied in the current situation. It analyze the problems that arise when applying the FIPPs in big data and IoT environments, focusing on the purpose specification principle and collection limitation principle.