[이성엽의 IT프리즘]개인정보의 법리에 대한 오해와 진실
(서울=뉴스1) 이성엽 고려대 기술경영전문대학원 교수/기술법정책센터장 = 지금부터 10년 전인 2014년 KB국민·NH농협·롯데카드 등 신용카드 3개사 약 2,000만명, 8000만 건의 성명, 휴대전화번호, 신용등급 등 최대 19개 개인정보가 유출된 사건 이후 한동안 잠잠하던 대량의 개인정보 유출 사고가 최근 다시 세간의 이목을 끌고 있다.
하나는 지난 5월 국내 최대 메신저 업체에서 운영하는 오픈채팅방 개인정보 유출사건이다. 오픈채팅방을 해킹한 해커는 오픈채팅방의 취약점을 이용해 이곳에 참여한 이용자 정보(임시 ID)를 알아내고, 메신저의 '친구 추가' 기능 등을 통해 일반채팅 이용자 정보(회원 일련번호)를 파악했다.
이후 이들 정보를 '회원 일련번호'를 기준으로 결합해 개인정보 파일로 생성했고, 이를 텔레그램 등에 판매했다. 회원 일련번호는 메신저 회사 내부에서만 관리를 목적으로 쓰이는 정보로, 주민등록번호나 사원증 번호처럼 개인에게 부여된 고유 번호와 유사한 개념으로 개인정보에 해당한다는 것이 규제기관인 개인정보보호위원회 입장이다. 다만, 메신저 업체는 회원 일련번호와 임시 ID는 그 자체로 어떠한 개인정보도 포함하고 있지 않으며, 이것으로 개인 식별이 불가능하다면서 개인정보성을 부정하고 있다.
또한 최근 국내 간편결제업체가 4천만 명이 넘는 고객들의 개인신용정보를 중국의 글로벌 결제사업자에게 넘긴 것에 대한 불법 논란이 일고 있다. 이 사건을 조사한 금융당국은 동의 없는 제3자 제공이라고 보고 있음에 반해, 해당 업체는 본건 관련 정보제공이 사용자의 동의가 필요 없는 업무 위수탁 관계에 따른 처리위탁에 해당한다는 입장이다.
이처럼 개인정보의 개념과 범위, 개인정보의 제3자 제공과 위탁의 구별에 대한 법리적 논쟁이 진행되고 있는데, 이에 대한 기준을 어떻게 봐야 하는 것일까. 우선 개인정보의 개념에 대해 살펴보자. 개인정보보호법에 따르면 “개인정보”란 살아 있는 개인에 관한 정보로서 1) 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보, 2) 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다. 3) 1)과 2)를 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보이다.
즉, 개인정보의 표지는 ① 살아있는 개인에 관한 정보, ② 특정 개인과의 관련성, ③ 식별가능성 ④ 결합용이성이라고 할 수 있다. 특정 개인과의 관련성이란 성명, 주민등록번호, 생일, 주소, 바이오 정보 등과 같이 특정 개인의 정체성을 구별하거나 밝혀낼 수 있고 나아가 특정 개인의 과거와 현재의 상황이나 상태를 나타낼 수 있는 것, 예컨대, 교육 상황, 재정 상황, 진료 및 건강 상태 등을 의미한다. 다음 식별가능성은 개인을 알아볼 수 있는 정보 부분에 대응하는 것으로 결국 다른 사람과의 구분 또는 구별 가능성과 상통한다.
문제는 “다른 정보와 쉽게 결합하여 알아볼 수 있는 것”이라는 결합용이성과 관련된 것이다. ‘쉽게’라는 표현은 비록 과학적으로 정보주체의 식별이 가능하다고 하더라도 식별을 위해 불합리할 정도로 많은 시간, 노력, 비용이 투입되어야만 한다면 결합용이성이 없다는 의미이다. 위 사건과 같이 현실에서 개인정보 여부가 다투어지는 것은 대부분 해당 정보만으로 특정인을 알아볼 수 있는 경우가 아니고 다른 정보와 결합하거나 조합해야만 특정인을 식별할 수 있는 경우 즉, 정보의 “결합가능성” 또는“조합가능성”이 이슈이다.
위 사건 임시 일련번호는 해당 정보만으로 식별가능성이 없지만 결합용이성이 있는지에 대한 판단을 해야 하는데, 이에 대해서는 해당 정보의 처리목적, 처리 및 보유기간, 정보의 처리방식, 정보처리자와 정보주체의 이해관계 등을 종합적으로 고려하여 판단해야 할 것이다.
다음 개인정보의 제3자 제공과 처리위탁이다. 양자 모두 개인정보가 제3자에게 이전되는 것을 동일하다. 다만, 제3자 제공은 정보주체가 당초 예상하지 못했던 제3자의 이익을 위해 개인정보가 이전되는 것으로 개인정보의 관리, 감독의무와 손해배상 책임도 제3자인 제공받는 자에게 이전된다, 절차적으로 개인정보 제공목적 등 고지 후 정보주체의 동의를 획득해야 한다. 그러나 위탁은 정보주체가 사전적으로 예측가능한 범위 내에서 위탁자 이익을 위해 제3자인 수탁자에게 개인정보가 이전되는 것으로 개인정보의 관리, 감독의무는 여전히 위탁자가 부담한다. 절차적으로 위탁 사실을 공개하거나 고지해야 한다.
예컨대, 대형마트에서 수집한 개인정보를 보험사에 제공하는 것은 보험사의 보험마켓팅이라는 이익을 위해 개인정보가 이전되는 것으로 제3자 제공에 해당되어 동의를 받아야 하지만, 인터넷 쇼핑몰에서 물건 배송을 위해 배송업체에게 개인정보를 이전하는 것은 쇼핑몰의 이익을 위해, 쇼핑몰을 대신하여 배송처리를 위한 정보제공이기 때문에 위탁에 해당하고 따라서 동의는 필요하지 않다. 이처럼 위탁에 대해 동의를 요건으로 하지 않는 것은 위탁자의 업무를 대신하는 다는 점과 개인정보 관리, 감독 의무가 여전히 위탁자에게 존치하므로 개인정보보호에 관한 새로운 위험이 발생하지 않는다고 보기 때문이다.
다만, 현실에서는 위 개인신용정보 사례와 같이 제3자 제공인지 아니면 처리위탁인지가 애매한 경우가 많다. 이런 경우에는 개인정보의 취득 목적과 방법, 대가 수수 여부, 수탁자에 대한 실질적인 관리·감독 여부, 정보주체 또는 이용자의 개인정보 보호 필요성에 미치는 영향 및 이러한 개인정보를 이용할 필요가 있는 자가 실질적으로 누구인지 등을 종합하여 판단하여야 한다는 것이 법원의 입장이다(대법원 2017. 4. 7. 선고 2016도13263 판결).
현재 이슈가 되고 있는 사안의 경우 개인정보인 여부, 개인정보 처리위탁에 해당하는지 여부가 상당히 불분명하다. 이에 따라 치열한 법리 논쟁이 예상되며 또한 규제당국의 결론은 물론 법원의 판단까지 상당한 시일이 소요될 것으로 보인다. 아무쪼록 이번 사건을 계기로 개인정보의 활용과 보호를 균형적으로 고려하는 합리적인 법 해석 기준이 마련되기 바란다.
Copyright ⓒ 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용금지.