로고

한국 CPO 포럼
회원가입 로그인
  • Let’s Privacy
  • Privacy Column
  • Let’s Privacy

    Privacy Column

    Leader's Opinion

    회원사들의 개인정보보호 관련 컬럼 으로 구성됩니다.


    아날로그적인 개인정보성 판단과 디지털적인 법준수의무의 부조화

    페이지 정보

    profile_image
    작성자 박광배
    작성일Date 22-06-07 10:50

    본문

    "아날로그적인 개인정보성 판단과 디지털적인 법준수의무의 부조화"
    - 법무법인(유) 광장 박광배 변호사


    데이터활용을 통한 4차산업 발전을 도모하려는 업계의 기대 하에 2020년8월 개정시행된 현행 개인정보보호법(이하 “법”)에는 그 동안 경직되고 까다롭기 그지없는 동의제도를 보완하는 새로운 제도가 도입되었다.  구체적으로는 가명정보/가명처리의 개념, 수집목적과의 합리적인 관련성이 인정되는 경우에 있어서의 이용/제공 동의 면제가능성의 도입이고, 이로서 동의 획득의 길이 없어 데이터를 활용할 수 없는 기업들에게 새로운 가능성을 열어주었다. 그러나, 개정법 시행후 벌써 2년가까이 지났지만, 기대만큼 새로운 제도가 효능을 발휘하지는 못하는 느낌이다. 왜 그럴까? 보는 이에 따라 서로 다른 이유, 다른 처방을 제시하겠지만, 필자는 현행 법이 기본적으로 프라이버시침해 위험성에 대한 개별적 고려없이 획일적 규율을 지향하는 규정기반접근법(rule-based approach)을 취함에 따라 실질적인 위험에 상응하는 규율을 추구하는 위험기반접근법(risk-based approach)의 장점을 활용하지 못한 점이 가장 큰 이유라고 생각한다.  


    흔히 우리 법의 기본 접근법은 규정기반접근법이라고 한다. 그 대표적 것이 개인정보 처리와 관련한 엄격한 사전고지 및 복잡하고 까다로운 사전동의 의무사항이다. 또한 안전성확보조치/기술적ㆍ관리적 보호조치, 개인정보 처리방침, 개인정보책임자 지정, 개인정보유출신고/통지, 가명정보결합의 필수적 전문기관 경유, 이용내역 통지, 국외이전 개인정보에 대한 보호조치 등 많은 의무사항들이 구체적인 프라이버시 침해 위험 여부/정도에 대한 고려없이 획일적으로 적용되도록 하고 있다. 다만, 2020년에 개정된 법은 다행이 위험기반접근법을 취한 규정도 일부 도입하였는데, 가명처리(법 제28조의2), 합리적관련성에 기초한 이용/제공의 허용(법 제15조제3항, 제17조제4항)이 그 대표적인 내용이다.  그러나, 이는 GDPR과는 확연히 다르다.  GDPR도 일부 의무사항에 대해서는 우리와 비슷하게 획일적으로 규율하지만, 위험을 고려한 적절한 기술적ㆍ관리적 보호조치 (GDPR 제32조), 정보주체에 대한 위험여부를 고려한 유출신고 및 통지의무 부과(제33조, 제34조), 개인정보영향평가(제 35조), DPO 임명(제37조), 적절한 안전조치에 따른 역외이전(제46조) 등 개별 항목별로 위험에 상응하여 의무 부과 내지 그 정도가 달라질 수 있음을 인정하고 있다. 


    그런데, 어떤 정보가 개인정보인 지에 대한 판단은 “시간ㆍ비용ㆍ기술 등을 합리적으로 고려”하라고 하여(법 제58조의 2), 아날로그적인 판단이 요구되는 경우가 적지않다. 이러한 정의 자체는 법상 개념으로는 타당하다고 생각되지만, 갈수록 복잡다단해져가는 데이터처리환경하에서는 개인정보 여부의 판단이 점점 더 어려워 질 수 밖에 없다. 그런데, 현재의 법은 일단 개인정보에 해당한다고 (사후에라도) 판단되면, 디지털적으로 준수해야할 제반 법적의무사항이 결정되는 구조이다. 실제, 어떠한 정보가 개인정보인 지 여부의 판단이 어려운 경우란, 대체로 개인식별정보(이름, 전화번호, 이메일주소, 주민등록번호 등)나 개인식별성정보(성별, 주소, 연령 등) 만으로는 개인을 식별할 수가 없고, 결국 ‘시간ㆍ비용ㆍ기술을 합리적으로 고려하였을 때 다른 정보와 결합하여 쉽게 개인을 식별할 수 있는 정보’(“개인식별가능성정보”)인지를 판단하여야 되는 경우이다.  그런데, 어떤 정보의 처리에 앞서 그 정보가 개인식별가능성정보에 해당하는 지를 판단하기 어려운 경우가 많다.  행여 어떤 정보가 사후적으로라도 개인식별가능성정보라고 판정되는 경우, 동의 등 개인정보처리에 적용되는 제반 법적 요건 미준수한 경우가 될 가능성이 많다. 그 결과 형사처벌, 과징금/과태료의 행정제재, 정보주체에 대한 손해배상책임 부담 등의 다양한 법적 위험 여부에 고스란히 노출되게 될 것이다. 사전에 몰랐다는 점은 구체적인 사안별로 법적 책임의 경감 사유로 고려될 수 있을 뿐이다.  따라서, 개인정보성 여부가 애매하면 일단 개인정보로 상정하고 법상 요건을 준수하도록 기업내 법무나 개인정보/컴플라이언스 부서에서 요구하는 경우가 많은 것으로 보인다. 실제 개인정보 여부가 애매하다면 프라이버시 침해의 위험도 상대적으로 낮을 수 밖에 없을 것이다. 그럼에도 개인정보로 취급될 가능성 때문에, 현실적으로 수많은 정보주체로부터 복잡다단한 동의를 얻지 못하면 빅데이터 분석이나 AI학습자료로서 그 정보를 활용할 수 없다는 한계에 부딪히게 된다. 여기에 필수동의와 선택동의의 분류가 문제를 더 어렵게 한다. 


    법 제22조 제3항의 필수동의는 개념적으로 정말 “동의”라 할 수 있는지 의문을 표시하는 분이 많은 것 같다.  서비스를 받을려는 정보주체에게 서비스 이용하려면 동의를 해야한다고 말하는 모습인데, 동의하지 않을 자유란 서비스를 받지 않을 자유의 다른 말일 뿐이다. 무리가 있는 개념이라는 점은 입법과정에서도 논의되었을 것으로 추측되지만, 그럼에도 불구하고 필수동의, 선택동의의 개념을 탄생시킨 이유는 법개정으로 사전동의 항목을 줄이거나 뺄 수는 없다는 부담, 그럴 경우 마치 개인정보자기결정권을 경시하는 법개정으로 보여지지 않을까 하는 부담때문이 아닌 가 하는 생각도 든다.  아무튼 그 덕분에 개인정보 동의서는 갈수록 복잡해져서 전세계에서 가장 복잡한 개인정보 동의서를 요구하는 법제가 된 것 같다.  때문에, 대한민국에 사는 사람들은 대체로 필수동의는 고민없이 체크하고 선택동의는 마케팅동의와 함께 원칙적으로 부동의하는 것을 개인정보 동의요구 폭탄에 대한 나름의 합리적인 대처방법으로 인식하고 있는 것 같다. 사실, 사전고지항목을 읽어볼 시간도, 의지도 없는 대부분의 개인들 입장에서는 이러한 대처법이 개인정보 동의요구 폭탄을 헤쳐나갈 수 있는 가장 빠르고 현실적인 해결책일 것 같기는 하다.  


    여기에, 필수동의로 인정되는 경우를 상당히 협소하게 해석하려는 태도가 문제를 더 악화시키는것 같다. AI, IoT 시대에 대규모로 수집, 처리되는 데이터의 분석을 통해 신규 서비스와 상품을 개발하려는 노력은, 많은 경우에 있어 선택동의항목으로 분류됨에 따라 동의획득 불능이라는 현실적인 장벽에 부딪히게 되는 것 같다.  새로운 AI챗봇서비스를 개발, 출시하였다가 규제 당국으로부터 다수의 개인정보보호법 위반사항을 지적 받은 ‘이루다’ 사건이 주는 교훈에는 여러가지가 있을 수 있지만, 그 중에는 선택동의의 문제가 신규 서비스/상품 개발을 도모하는 스타트업 회사들에게 극복하기 어려운 장애가 될 수 있다는 점도 포함되는 것 같다. 


    얽힌 실타래를 어디서부터 어떻게 풀어야 할지 길이 잘 보이지 않는다. 개인정보보호법 2차개정안이 2021년 9월 발의되었고 이러한 고충을 일부나마 해결해 보려는 내용도 포함되어 있는 것으로 보이지만 많이 부족해 보인다. 위에서 지적한 문제들은 아날로그적인 개인정보 판단기준과 디지털적인 법준수요건의 일률적 적용 간의 부조화로 인해 야기되는 측면이 많은 것 같다. 프라이버시침해 위험의 정도와 그에 상응하는 대응조치의 요구라는 접근법으로 변화한다면, 그런 내용을 적절히 구현하는 조문이 법에 추가될 수 있다면, 문제를 상당부분 해소시킬 수도 있지 않을까 하는 생각이다.