• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[보안칼럼] 내 개인정보를 내가 통제 가능한가? 2011.07.01

고객의 개인정보를 귀중한 자산으로 인식해야

내 개인정보를 내가 통제하는 것 자체가 현실적으로 가능한 것일까? 우리가 살고 있는 스마트워크 사회에서 개인정보의 본인 스스로의 통제권은 거의 실행 가능성이 없고 개인의 통제 자체가 불가능한 상태에서 시작된다.


자기정보 통제권

내 개인정보를 내가 통제하는 것 자체가 현실적으로 가능한 것일까? 스마트기기의 발달과 다양화에 따라 개인정보가 네트워크상에 노출될 기회가 비약적으로 증가하고 있고 최근 급격히 발달한 스마트워크 사회에서 “자기정보는 본인의 것이므로 본인 스스로 통제할 권리를 가져야 한다”는 생각은 현실성이 없어 보인다.

다시 말해서 우리가 살고 있는 스마트워크 사회에서 개인정보의 본인 스스로의 통제권은 거의 실행 가능성이 없어 보이며 개인의 통제 자체가 불가능한 상태에서 시작되는 것 같다. 결과적으로 ‘개인정보보호권리’(또는 프라이버시)은 주체인 개인 자체 스스로 보호가 실행되지 않게 되며 이에 대한 책임은 누가 질 것인가? 의문을 던져 본다.


스마트워크 사회 구성원인 우리는 많게 또는 적게 개인정보를 다른 사람이나 내가 거래하는 거래처 또는 거래회사 등 다양한 사회 체계에서 맡겨지고 위탁되어서 이용되고 있다. 특히 우리나라 같은 경우는 주민등록번호를 요구하는 곳이 너무 많아서 그런 것 같으며 최근 주민등록번호 대체로 아이핀을 도입했지만 그것도 활성화가 잘 되지 않는 것 같다.

나의 개인정보를 인터넷에서 검색해 보면, 몇 십 건 나오는데 그 내용도 각양각색이다. 그럼 이 모든 것이 정신적 또는 물질적으로 피해를 입는 내용이라고 할 수는 없으며 오히려 도움이 되는 것도 극소수지만 일부 있다고 생각한다. 이것들의 정보를 모두 자기 자신이 통제하는 것은 물리적으로 불가능하기 때문이다. 그럼 불가능하기 때문에 손을 놓고 있으라는 것인가?


개인정보보호 권리와 프라이버시

1987년 콜럼비아대학의 알란 웨스틴(Alan F.Westin) 교수가 저술한 ‘프라이버시와 자유’ 중에서 개인정보보호권리란, “개인, 그룹 또는 조직이 자기에 관한 정보를, 언제 어떻게, 또한 어느 정도로 타인에게 전달하는가를 스스로 결정할 수 있는 권리이다”라고 말한 것이 계기가 되어 “개인정보보호 권리는 자기정보를 통제할 권리”라는 사고방식이 정의처럼 거의 이용되었다.

그 후 개인정보보호에 대한 논쟁이 가열되며 정리된 것이 “단순히 타인이 자기에 관해서 정보를 갖지 않는다는 상태”를 말하는 것이 아니라 “타인이 자기에 관해서 어떤 정보를 갖고 어떤 정보를 얻을 수 있는지를 통제할 수 있는 권리”라고 말하고 있다.

최근 개인정보보호권리를 정의한 것을 살펴보면 “자기정보를 통제한다”라는 것은, 프라이버시를 보호하는 방법·수단이며 그 달성목표 대상인 프라이버시 그 자체는 아니다. 결국 프라이버시를 주장하여 보호받기 위해서는, 확실히 “자기정보를 통제한다”는 것은 필요한 경우가 많지만 그것은 일정한 정의이며 규정되는 개인정보보호권리을 실현하기 위한 ‘수단’으로서 필요하다는 것에 지나지 않는다. 보호하는 수단을 자기 목적화하는 것은 목적과 수단이 바뀌어서 혼용되는 것 같다.

수단이 자기 목적화 되면 논리적으로 말해서 그 수단이 적용 가능한 것은, 모든 그 실현의 현실적 가능성에 관계없이 목표달성 대상 그 자체(이 경우는 개인정보보호권리)로 살짝 바뀌는 위험성이 있다. 그렇게 되면 중요한 개인정보보호권리 자체의 내용이 매우 애매모호한 것으로 되어 버린다.

예를 들어보면 여러 종류의 프라이버시 중에서 매우 미미한, 즉 사소한 개인적인 정보가 있었다고 하자. 이것은 “자기정보를 통제한다”는 행위의 대상으로서 적용이 가능하다. 그렇다면 그 이유를 가지고 그 정보는 프라이버시 정보가 되어 버리는 것일까?

프라이버시 정보에 속하든 아니든 간에 당사자가 공개를 원하지 않는 정보인가? 아직 알려져 있지 않은 사항인가? 공개에 따라서 불쾌하게 느껴지는가? 불안의 심정을 느끼는가? 공표가 끝났는가 또는 아닌가? 등의 정보와 영역 그 자체의 속성에 따라 판단되어야 한다고 생각한다.

또한 자기정보통제는 개인정보보호 권리를 보호하는 수단의 모든 것이 아니며 그 일부에서 밖에 없다고 생각한다. 개인정보보호 권리를 보호하기 위해서 “자기정보를 통제한다”는 것은 반드시 필요 없는 경우가 있을 수 있으며 “자기정보를 통제한다”는 것이 애당초 불가능한 것으로 생각된다. 결국 개인정보보호권리와 자기정보통제권은 가치가 같은 것은 아닐 수 있다.

프라이버시에 속하는 정보에는 정보주체로서는 몇 개의 형태로 관여할 권리를 갖고 싶다는 생각을 갖는 것은 당연하며 그러한 생각은 일정의 조건하에 있다고 해도 법적으로 보호되어야 한다. 그리고 이것으로는 프라이버시의 범위가 너무 넓기 때문에 남용할 위험이 있으며 반드시 모든 종류의 자신의 개인정보라고 말하고 있는 것은 아니라고 해도 프라이버시에 속하는 것은 자기에 관한 정보가 있는 일부에 한해야 한다는 한정적인 주장이 포함되어 있지 않다고 생각한다.


개인정보, 귀중한 자산으로 인식해야

결론적으로 모든 권리는 다른 권리와 반드시 일치하지 않을 수 있으며 다른 권리와 충돌하기 때문에 그것을 조정하기 위해서는 가능한 한 한정적으로 명확하게 규정하며 그 대신에 엄격히 보호하는 방법이 좋다.

법적 권리로서 보호해야 하는 것은 모든 자기정보가 아니라, 다른 사람이 몰라야 되는 불가침적인 사적 영역에 관한 자기정보에 한해야 한다고 생각하며 이는 정보의 소유주인 각 개인의 판단에 의해서 정의될 것으로 보며 앞으로 시행되는 개인정보보호법률에서는 개인정보정의를 광범위하게 정의하는 게 맞다고 생각하며 그것을 침해하면 정신적·물리적 피해가 막대한 것에 한한다는 것을 명확하게 시행령에 넣었으면 한다.

그리고 개인정보보호권리가 인정될 것인지 인정이 안될지는 여러 주변 환경을 고려한 이익과 비교해서 최종적으로 판단되어야 할 것이다. 결국 독립한 사항의 성격과 내용만으로 결정되는 것이 아니라 그것과 주위의 사회환경, 사회의 구성, 사람들의 사고방식 등의 외부조건과의 상호 관계에서 판단되는 상대적인 것이 있다. 이것은 중요한 요소이기 때문이다.

이제 개인정보는 개인의 것이기도 하지만 국가의 자신으로 볼 수 있다고 생각하며 수평적 모바일 생태계인 요즘 시대에 이 생태계를 구성하는 국민, 정보, 단말제조사, 플랫폼사, 보안업체, 통신사업자, App. 개발사 등 모든 구성원들이 내 개인정보나 고객의 개인정보를 귀중한 자산으로 인식하고 서로 아끼며 사랑하는 마음을 갖아야 한다고 강력히 주장한다.

[글 _ 이기혁 박사·SK Telecom IT보안팀장(kevin-lee@sk.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>