책임소재, 피해구제, 비식별정보 규제, 공공·민간의 분리규율 이슈   

[보안뉴스=법률사무소 민후 김경환 대표변호사] 개인정보보호법은 개인정보처리자에 대한 강한 책임을 규정하고 있어 외견상 개인정보처리자의 개인정보보호법 위반은 대단히 중대한 사안으로 인식되는 듯하나, 사실상 개인정보보호법을 위반한 개인정보처리자가 강한 처벌을 받은 사례는 거의 없었다. 그 이유는 국민의 위반자에 대한 법감정이나 비난의 정도가 처벌규정에 따르지 못한 것도 있지만, 비현실적인 규율과 불합리한 운용이 더 큰 문제로 작용했기 때문이다.

3. 개인정보처리자의 책임 및 개인정보주체의 피해구제에 대한 보완

현행 개인정보보호법은 기업의 규모에 상관없이 기업이 취해야 할 기술적·관리적 안전성 확보조치의 최소한만을 규정하고 있어 실제로 발생하는 거대한 유출사고에 대해 오히려 대기업에게 면죄부를 주고 있다.

한 대기업은 무려 수천만 명의 개인정보가 유출됐음에도 불구하고 이렇다 할 책임을 지지 않고 있으며, 이 기업은 오히려 자신은 법이 정한 기술적·관리적 안전성 확보 조치를 다했으므로 자신에게 법적 책임을 부과하는 것은 부당하다고 항변하고 있다. 또한, 융통성 없이 제정되어 시행되고 있는 기업이 취해야 할 기술적·관리적 안전성 확보조치는 오히려 중소기업에게는 큰 부담이 되고 있어 그 부작용도 만만치 않다.

실제 개인정보를 유출당한 피해자가 법원에 가서 피해배상을 요구하는 과정도 만만치 않다. 일단 정보가 구조적으로 기업에 편중되어 있어 기업의 정보 개시가 법적으로 보장되지 않는 한 정보주체의 노력만으로는 구체적인 피해사실 입증이 곤란함에도 불구하고 실무적으로 이러한 점이 보장되어 있지 않다. 더욱이 법원은 과거와 달리 최근에 대규모 개인정보 유출에 대한 손해배상 의무 인정을 주저하는 경향이 있어 피해자들의 피해배상은 점점 멀어져가고 있는 것이 현실이다.

개인정보처리자에 대한 책임을 묻는 방법이나 피해자들의 피해배상 방법도 대단히 경직되어 있어 현실적인 피해구제가 되지 않는 것에 일조하고 있다. 안전성 확보 조치를 다하지 못한 기업에 대해 과징금을 부과하고 보안투자에 대한 약속을 받는 등의 다양하고 유연성 있는 제도의 도입과 함께 일단 유출이 됐다는 사실이 인정되면 행정부의 명령에 의하여 피해구제를 유도하는 제도나 피해자들의 손해액 산정의 곤란 해소를 위한 법정손해배상 제도의 도입도 고려해볼 만하다.

4. 비식별정보에 대한 규제 필요

개인정보보호법 제2조 제1호는 개인정보의 개념에 대하여 설명하고 있다. 즉, 개인정보에 대해 개인정보보호법은 “살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다”라고 규정하고 있어 개인정보보호법의 적용범위를 제시하고 있다. 즉, 식별성 있는 개인의 정보라면 개인정보보호법이 적용되지만, 식별성이 없거나 사물의 정보라면 개인정보보호법이 적용되지 않는 것이다.

그런데 최근에는 오히려 쿠키파일이나 로그파일과 같은 비식별정보에 대한 문제점이 크게 부각되고 있어 식별정보에만 적용범위를 한정하는 개인정보보호법이 과연 타당한지에 대한 의문이 제기되고 있다. 실제로 기업들은 엄격한 개인정보보호법의 적용을 피하고 여러 가지 규제 요소를 제거해 자유로운 정보 활용을 달성하고자, 되도록 데이터의 비식별성이나 익명성을 유지하려고 노력하고 있다.

하지만, 비식별정보가 다수 쌓이고 결합된다면 그 원래의 비식별성이나 익명성이 유지되지 않는다는 것이 문제이다. 이러한 현상을 많은 학자들이 지적했고 현실적으로도 이러한 현상은 다수 발생하고 있다. 이러한 상황에서 개인정보호보법의 적용범위를 기존과 같이 식별정보로 한정하는 것이 타당한가의 검토가 필요하다고 본다. 다만 이 과정에서 언제부터 비식별정보가 식별성을 띠게 되는지에 대해 굉장히 풀기 어려운 과제가 남아 있다.

5. 공공분야와 민간분야의 분리 규율

현행 개인정보보호법은 공공분야와 민간분야를 같이 규율하고 있다. 규율의 일관성 측면에서 바람직하지만 이렇게 같이 규율해야 할 필요성은 크지 않다고 본다. 미국의 경우에도 공공분야에 대해서는 옵트인 제도로 까다로운 절차 등을 통해 엄격하게 규율하지만 민간분야에 대해서는 옵트아웃의 인정, 자율규제의 추세, 그리고 데이터의 자유로운 이용 등을 보장하고 있어 공공분야와는 다른 차원에서 접근하고 있다.

공공분야의 경우 기본적으로 재정충당이 쉽기 때문에 안전성 확보조치를 충분히 달성할 확률이 크지만, 민간분야의 상당부분을 차지하고 있는 중소기업의 경우 보안투자에 대하여 의식이 없는 경우도 허다해 현실적으로 중소기업 중 몇 퍼센트나 개인정보보호법이 정한 안전성 확보조치를 이행하고 있는지 의문이다.

가장 중요한 것은 데이터에 대한 관점이 다르다는 것이다. 공공분야의 경우 데이터의 보관 및 처리목적은 공익 달성이 주목적이므로 이윤 창출이나 자유로운 이용 측면에서 접근하고 있지는 않지만, 민간분야의 경우 데이터의 보관 및 처리목적은 공익 달성이 아닌 기업의 이윤 창출 및 자유롭고 창의적인 이용이 주된 목적이므로 개인정보보호 규율에 대한 접근법도 공공분야와는 상이할 수밖에 없어야 한다.

그럼에도 불구하고 현행 개인정보보호법은 두 개의 서로 다른 성격의 데이터 활용목적을 한 통 속에 밀어 넣고 규율하고 있기에 향후 부작용이 발생할 것으로 예상되며, 이러한 형태의 규율이 IT 산업 발전을 오히려 저해할 수도 있을 것이다.

특히, 이러한 통합 규율이 민간 분야에서 발생하고 있는 현상 즉 데이터 활용방법의 다양화, 자율규제의 필요성 증대 현상에 얼마나 잘 대응할 수 있을지도 의문이다. 현행 개인정보보호법이 기여하고 있는 민간분야에 대한 개인정보보호 의식제고 및 기업의 보안투자 유도가 충분히 달성되는 즈음에는 오히려 공공분야와 민간분야의 규율을 분리하는 것이 장점이 더욱 많을 것이다. 

[글_ 법률사무소 민후 김 경 환 대표변호사(hi@minwho.kr)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>