• Legalinsight
  • Legaledu
  • 법률신문 법률정보

  • 상시채용
  • 기사제보
  • 연구논단

    데이터 경제시대의 바람직한 개인정보 보호 및 활용 방안

    김진환 변호사 (김앤장 법률사무소) 입력 :
    글자크기 : 확대 최소
  • 인쇄
  • 메일보내기
  • 기사스크랩
  • 스크랩 보기
  • 157215.jpg

    I. 들어가며

    데이터 경제의 의미에 대해서는 여러 견해가 있을 수 있으나, '정보 활용'과 그로 인한 '가치 창출'을 핵심으로 한다는 점에 대해서는 이론이 없다. 특히 고도로 기술화된 사회에서 개인정보 데이터 분석을 통한 예측과 대응은 필수적이므로 산업적 관점에서 개인정보의 중요성은 부언을 요하지 않을 정도이다. 이런 개인정보에 관해서는 '개인정보 이용론'과 '개인정보 보호론'이 첨예하게 대립해왔다. 그러나 데이터 경제가 산업의 주류로 성장해가고 있는 현실과 무형의 IT산업을 중심으로 국가경제 발전을 도모해야 하는 우리나라의 실정에 비추어 보면, 다소 진부하게 들릴지 모르겠지만 사회공동체가 공감할 수 있는 합리적 기초 위에서 이용과 보호의 조화로운 최적점(最適点)을 발견하는 것이 우리의 당면 과제가 아닐까 한다. 이에 개인정보에 관한 주요 기존 해석례들을 기본, 이용, 보호라는 세 가지 관점에서 살펴보면서 바람직한 개인정보 보호와 활용 방안을 고찰해본다.



    II. 제1관점 기본: 사회적 상식의 달성

    대법원 2017. 4. 13. 선고 2014도7598 판결은, 모 대학 학과장인 피고인이 대자보를 통해 자신의 명예가 훼손되었다며 학생회 간부인 피고소인을 고소하면서 비상연락망에 기재된 그의 이름, 주소, 휴대전화번호를 고소장에 기재하여 제출한 행위에 대한 것이다. 원심과 대법원은 피고인의 행위는 그 수집·이용 목적의 범위를 초과하여 개인정보를 이용한 행위이고, 동의의 예외를 규정한 개인정보보호법 제15조 제1항 제6호(개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선한 경우)에 해당하지 않으며, 나아가 긴급성, 보충성의 요건을 갖추지 못해 정당행위에도 해당하지 않는다고 보아 유죄로 판단하였다.


    이러한 판단에 따르자면, 어느 고소인이든 이미 보유하고 있는 피고소인의 주소, 연락처 따위를 고소장에 기재하려면 미리 피고소인으로부터 고소 제기라는 목적에 대해 별도 동의를 받거나, 고소장에 주소, 연락처 등의 개인정보를 기재해서는 안 되고 수사기관이 다른 수단을 통해 이를 밝혀내도록 해야 한다는 결론에 이르게 된다(참고로 제1심은 피고소인의 '이름'을 기재한 행위도 유죄로 인정하였으나 그 후 공소장 변경을 통해 이름 부분은 제외되었다).


    과연 이러한 결론이 타당한가? 사견으로서는, 이러한 결론은 불과 최근 몇 십 년간 개인정보자기결정권이라는 비교적 최신의 보호법익이 가지는 중요성을 강조해온 경향 때문에 종래 수천 년 이상 개인정보가 어느 개인을 특정하기 위한 사회적 공동도구로서 활용되어온 본래의 기능을 극적으로 간과한 결과가 아닌가 한다. 개인정보는 공동체 내에서 일정 부분 공기(公器)의 역할을 하고, 자신의 권리를 보장하기 위한 법적 조치를 취하기 위해 이를 이용하는 것이 불법이 될 수는 없기 때문이다.


    혹자는 위 판결의 결론이 현행 개인정보보호법이 동의의 예외를 매우 좁은 범위에서만 인정하는 데 따른 불가피한 결과라고 할 수도 있다. 그러나 아무리 좁은 예외라 하더라도 합리적 해석을 통해 사회적 상식을 달성할 여지는 존재한다. 이는 개인정보의 이용과 보호라는 대립되는 관점과는 무관하고 사회적 상식이 달성되느냐 않느냐의 문제이다. 같은 맥락에서 현행 개인정보보호법에는 사회적 상식의 관점에서 보완되어야 할 부분이 적지 않은데 특히 개인정보의 수집·이용 및 제3자 제공에 관한 적법 처리요건을 정한 제15, 17, 18조를 충실히 보완하는 것이 시급하다.



    III. 제2관점 이용: 상대적 개인정보 개념의 확립

    수원지방법원 2018. 4. 12. 선고 2017노7275 판결(확정)은, 모 병원 직원이 검사 후 폐기대상인 환자들의 혈액검체를 그 동의 없이 진단기기 제조업체에 제공하고, 당시 제공된 혈액검체를 담은 용기에는 바코드, 검체번호 등이 인쇄된 라벨지가 붙어 있어서 해당 병원 내에서만 이용 가능한 프로그램에 검체번호를 입력하는 경우 환자 이름 등의 추가 개인정보를 파악할 수 있는 사안에 대한 것이다. 이 사건의 쟁점은 라벨지에 기재된 정보가 개인정보에 해당하는지 여부이었다.


    원심과 항소심 판결은 공히 개인정보보호법의 개인정보에 관한 정의규정이 정한 바에 따라 어느 정보가 다른 정보와 쉽게 결합하여 개인을 알아볼 수 있는 개인정보인지 여부는 단순히 정보제공자를 기준으로 판단할 것이 아니라, 해당 정보가 담고 있는 내용, 정보를 주고받는 사람들의 관계, 정보를 받는 사람의 이용목적 및 방법, 그 정보와 다른 정보를 결합하기 위해 필요한 노력과 비용의 정도, 정보의 결합을 통해 상대방이 얻는 이익의 내용 등을 합리적으로 고려하여 결정해야 한다는 법리를 설시한 후, 이상을 종합해 볼 때 라벨지에 기재된 정보는 개인정보에 해당하지 않는다고 판단하였다.


    위 판결은 개인정보 여부를 판단함에 있어서 누구를 기준으로 할 것인가에 대해 통찰을 제공한다는 점에서 큰 의의가 있다. 이에 대해 종래 '절대설'과 '상대설'이 대립되어 왔다. 전자는 개인정보 여부의 판단을 전지적(全知的) 관점에서 수행해야 한다는 견해이고, 후자는 개인정보를 처리하는 자(특히, 제3자 제공의 경우에는 제공받는 자)의 주관적 관점에서 평가해야 한다는 견해이다. 위 판결은 '상대설'의 입장인데, 실상 현대 사회에서 정보의 이전, 분석 등을 통한 산업적 이용을 긍인하는 입장에서는 달리 볼 여지가 없는 타당한 결론이다.


    데이터 경제에 부응하는 개인정보의 원활한 이용을 위해서는 개인정보 개념의 상대성을 인정하는 해석을 확고히 할 필요가 있다. 방송통신위원회가 2017년 2월 우리 산업환경을 고려해 '온라인 맞춤형 광고 개인정보보호 가이드라인'을 통해 개인정보와 구별되는 행태정보의 개념을 인정하거나, 현재 국회에 계류 중인 개인정보보호법 개정안에서 유럽연합의 개인정보보호 규정(GDPR, General Data Protection Regulation)을 원용해 가명정보를 본격적으로 인정하는 입장도 이와 궤를 같이 한다.



    IV. 제3관점 보호: 형사처벌 규정 삭제와 행정제재 강화

    해킹으로 인한 개인정보 유출과 관련하여 사업자들에 부과한 과징금 등에 대한 행정처분 취소소송이 최근 적지 않게 제기되고 있다. 이때 대부분의 다툼은 정보통신망법의 하위 법령인 기술적·관리적 보호조치 기준 고시의 위반 여부에 대한 것이다. 공방 과정에서 행정기관은 개인정보 보호를 위해 고시 규정을 유연하고도 확장적으로 해석해 적용범위를 넓혀야 한다고 하고, 사업자들은 이를 엄격하고도 제한적으로 해석해야 한다고 주장한다. 이러한 대립은 개인정보보호법의 하위 법령인 개인정보의 안정성 확보조치 기준 고시(두 고시를 통칭하여 '고시')의 경우에도 다르지 않다.


    두 입장 모두 나름의 의의가 있다. 특히 전자는 발전하는 최신 IT 보안기술을 고시에 일일이 반영하는 것이 불가능하여 어느 정도 유연하고 확장적인 해석이 불가피하다는 점에 주목한다. 그러나 적어도 '개인정보를 잘 보호하기 위해' 또는 '최신 보안기술을 반영하기 위해' 고시 규정을 유연하고 확장적으로 해석해야 한다는 점에 대해서는 선뜻 동의하기 어렵다. 이는 고시의 법적 성격에 비추어 비교적 명확하다.


    고시는, 손해배상책임에 관한 주의의무의 기준이고(대법원 2018. 12. 28. 선고 2017다256910 판결 등), 과징금이나 과태료 등 행정처분의 근거이며(개인정보보호법 제75조 제2항 제6호, 정보통신망법 제76조 제1항 제3호 등), 개인정보 유출로 인한 형사처벌의 요건이다(개인정보보호법 제73조 제1항, 정보통신망법 제73조 제1호). 이처럼 고시는 민사책임과 행정처분의 기준일 뿐만 아니라 형사처벌 요건이기도 하기 때문에 죄형법정주의에 따라 엄격해석의 원칙이 적용돼야 하며, 그 성격상 유연하거나 확장적인 해석에 친할 순 없다.


    따라서 최신·최적의 보안기술로써 개인정보를 제대로 보호하려면 현행 고시의 제한적 열거주의를 포기하고 대신 IT 보안기술 관점에서 합목적적 확장 해석이나 열린 규제가 가능하도록 해야 한다. 이를 위해 확장해석이나 열린 규제에 부합치 않는 형사처벌 규정은 삭제되어야 하고 고시를 온전히 민사책임과 행정제재의 영역으로 남기는 규제전환이 필요하다. 다만, 형사처벌 규정을 삭제할 경우 개인정보에 관한 보호조치 의무 위반에 대한 제재의 효용성은 어떻게 확보할 것인가? 향후 개인정보 관련 법령상 과태료와 과징금 규정을 형사처벌 규정의 공백을 보완하는 수준으로 대폭 강화하는 데서 답을 찾을 수 있을 것이다.


    V. 마치며

    우리 개인정보 법제에 있어서는 사회적 상식을 반영하는 입법적·해석적 노력이 절실하며, 데이터 경제시대에 걸맞게 개인정보의 이용과 보호의 조화로운 해결점을 도출하기 위해 개인정보 개념의 상대성을 인정하고, 보호조치와 관련한 행정제재를 강화하되 형사처벌 규정을 삭제하는 방향의 규제전환을 적극 검토할 필요가 있다.

     

     

    김진환 변호사 (김앤장 법률사무소) 


    최근 많이 본 기사