CCTV 원본 영상, 개인정보일까 데이터의 보고일까[혁신의창]

(서울=뉴스1) 구태언 코리아스타트업포럼 부의장(변호사) = 디지털 시대의 도래와 함께 CCTV를 비롯한 영상 데이터의 활용도가 크게 증가하고 있다. 특히, CCTV 원본영상은 재난 예방과 인공지능(AI) 개발을 위해 매우 중요하다. 이러한 변화 속에서 개인정보보호 규제는 그 어느 때보다 중요한 이슈로 부각되고 있다. 본 칼럼에서는 CCTV 원본영상 활용에 있어서의 개인정보보호 규제의 현황과 문제점을 살펴보고, 이를 해결하기 위한 구체적인 방안을 제안하고자 한다.

개인정보보호위원회는 CCTV 영상이 개인정보에 해당한다고 규정하고 있다. 이는 CCTV 영상에 포함된 차량등록번호나 등장인물이 특정 개인을 식별할 수 있는 정보로 보기 때문이다. 따라서 원본영상의 활용은 원칙적으로 불가하며, 정보주체의 동의를 필요로 한다. 그러나 이러한 규제는 CCTV 영상을 효과적으로 활용하는 데 큰 장애물이 되고 있다.

개인정보보호 규제의 현재 상태를 좀 더 자세히 들여다보자.

우선 개인정보보호위원회는 CCTV 영상에 포함된 차량등록번호가 개인정보에 해당한다고 본다. 이는 차량등록번호가 단독으로는 특정 개인을 식별할 수 없으나, 차량등록원부와 결합할 경우 식별이 가능하기 때문이다. 이러한 관점은 일반적으로 차량등록번호를 포함한 모든 CCTV 영상을 개인정보로 간주하게 만든다.

또한 CCTV 영상에 등장하는 인물이 근접 촬영되어 얼굴이 식별 가능한 경우, 해당 인물의 개인정보가 될 수 있다. 따라서 이러한 영상은 원칙적으로 정보주체의 동의 없이 활용할 수 없다.

이러한 개인정보보호 규제는 다음과 같은 문제점을 초래한다.

첫째, 차량등록번호와 등장인물이 포함된 모든 CCTV 영상의 활용이 제한된다. 이는 공공안전 및 범죄 예방을 위해 CCTV 영상을 효과적으로 활용하는 데 큰 장애물이 된다.

둘째, 개인정보보호법의 엄격한 규제는 데이터 활용을 가로막아 인공지능(AI) 개발 및 데이터 기반의 혁신을 저해할 수 있다.

어떻게 해결하면 될까.

차량등록번호의 경우 개인정보보호위원회는 차량등록번호가 단독으로는 특정 개인을 식별할 수 없으나, 차량등록원부와 결합할 경우 식별이 가능하므로 개인정보로 간주하고 있다. 그러나 차량등록원부는 일반인이 쉽게 입수할 수 없으므로, 일반적인 경우에는 개인정보로 보지 않을 수 있다. 이에 대해 명확한 해석 기준을 마련하여 경찰관이나 구청 등 조회 권한이 있는 사람에게만 개인정보로 간주하는 방안을 제안한다.

등장인물의 경우, 근접 촬영되어 안면 인식이 가능한 수준의 인물이 포함되지 않은 CCTV 영상은 특정 개인을 식별할 가능성이 매우 낮다. 따라서 이러한 경우 개인정보로 간주하지 않는 명확한 해석 기준을 마련해야 한다. 또한, 안면 인식이 가능한 수준을 판별하는 기준도 명확히 해야 한다.

개인정보보호법 제2조 제2호 처리의 해석을 변경함으로써 해결할 수도 있다.

현행 개인정보보호법은 개인정보의 정의에 해당하기만 하면 이를 다루는 모든 행위를 ‘개인정보의 처리’로 보고 있다. 이는 특정 개인을 식별하지 않는 처리까지 모두 엄격한 규제를 받게 함으로써 데이터 활용을 가로막는 결과를 초래한다. 따라서 개인정보의 처리를 특정 개인을 식별할 목적으로 하는 행위로 제한함으로써, 인공지능 학습을 위한 정보 처리가 허용될 수 있도록 해야 한다.

예를 들어, 클라우드 서비스 제공자는 고객사의 개인정보를 많이 보유하고 처리하더라도, 이는 자신들의 서버에 오른 개인정보 주체들을 식별하는 방식으로 정보 처리를 하지 않으므로 단순한 정보처리의 위수탁 문제로 볼 수 있다. 이와 같이 특정 개인을 식별하지 않는 정보 처리는 개인정보보호법의 규제를 받지 않도록 해석을 변경하는 방안이 필요하다.

예를들어 클라우드 서비스 제공자(CSP: AWS, Google Cloud, Naver Cloud 등)가 고객사에 SaaS 서비스를 제공하여 개인정보를 많이 보유처리하더라도, 이들은 자신들의 서버에 저장된 개인정보를 식별하지 않으므로 단순한 정보처리로 간주할 수 있다. 이 경우, 정보통신망법상 비밀침해죄를 구성하지 않으므로 법률로서 금지되어 있다. 또한, 우체국이 화물로서 개인정보 파일(예: 동창회 명부)을 운송하더라도 이는 단순한 화물처리로 해석할 수 있다.

반면, 고객센터 업무 수탁회사는 민원인을 식별하여 그 민원을 해결해줄 목적으로 고객 정보 데이터베이스에 접속하므로, 이는 특정 개인을 식별할 목적으로 개인정보를 이용하는 행위가 된다. 자율주행 인공지능 개발회사는 촬영된 영상 속에 들어 있는 개인들의 신원을 확인하지 않고 표정이나 시선만을 분석하는 방법으로 그 영상을 처리할 경우, 이는 개인정보의 처리가 아닌 것으로 해석할 수 있다. 이는 영상의 비식별 처리에 소요되는 많은 비용을 절감하고 원본 영상을 활용함으로써 보다 정밀한 인공지능 개발이 가능하게 만든다.

'No Action Letter' 제도의 도입도 고려해볼 만하다.

No Action Letter는 주로 미국 증권거래위원회(SEC)에서 사용되는 용어로, 특정 활동이나 거래에 대해 법률을 위반하지 않을 것이라는 사전 보증을 제공하는 공식적인 서신을 의미한다. 이와 유사하게 개인정보보호위원회가 개인정보처리자의 신청을 받아 특정 개인을 식별하지 않는 조건을 규정하고, 이를 준수할 경우 개인정보 처리가 아님을 보증하는 서신을 발행하는 제도를 도입하는 방안을 제안한다.

이를 통해 CCTV 촬영 영상의 내용 및 사업 목적, 기술적 방법 등을 조사하여 특정 개인이 식별될 가능성이 매우 낮은 경우, 해당 조건을 명시하고 다른 정보와 결합하지 않을 것 등을 조건으로 하여 서신을 발행할 수 있다. 이는 인공지능 시대에 데이터 처리의 물꼬를 터주는 적극적인 역할을 수행하게 될 것이다.

이 제도를 활용하려면 개인정보보호위원회가 개인정보처리자의 신청을 받아 해당 개인정보처리자의 정보 처리가 특정 개인을 식별하지 않을 것임을 보증하는 조건을 규정하고, 이를 준수할 경우 개인정보 처리가 아님을 명시하는 서신을 발행할 수 있다.

예를 들어, CCTV 촬영 영상의 내용 및 사업 목적, 기술적 방법 등을 조사하여 특정 개인이 식별될 가능성이 매우 낮은 것으로 판단되면 이를 명시하고, 다른 정보와 결합하지 않을 것 등을 조건으로 하여 서신을 발행할 수 있다.

CCTV 원본영상의 활용은 현대 사회에서 점점 더 중요해지고 있다. 특히, 재난 예방 및 인공지능 개발을 위해 CCTV 영상은 매우 긴요하다. 그러나 개인정보보호 규제로 인해 그 활용이 제한되고 있다.

이를 해결하기 위해서는 차량등록번호와 등장인물의 개인정보 여부에 대한 명확한 기준을 마련하고, 개인정보보호법의 해석을 변경하며, No Action Letter 제도를 도입하는 등의 방안이 필요하다.

이러한 노력을 통해 개인정보를 보호하면서도 CCTV 영상을 효과적으로 활용할 수 있는 길이 열리기를 기대한다.

esther@news1.kr