개인정보보호법이 오히려 정보의 생산적인 유통을 가로막고 있어 보다 정교한 법적 판단이 필요할 것으로 전망된다.
3년전 '증권통'이라는 스마트폰 애플리케이션(앱)이 개인정보를 무단으로 수집했다는 혐의로 기소돼 형사처벌 받은 사건이 있었다. 증권거래 정보를 다루는 이 앱은 국제단말기인증번호(IMEI)와 범용가입자식별모듈(USIM) 번호 8만2천413건을 수집했다. 이같은 기기 관련 정보는 사용자를 직접 식별할 수 있는 정보가 아님에도 법원은 개인정보를 침해했다고 판결했다.
이 판결은 개인정보보호법이 발효된 지난 2011년 9월 이후에도 논란의 대상이 되고 있다. 단순히 기기정보수집이 처벌된다는 것은 정보통신산업 생태계의 발전을 해칠 수 있다는 우려때문이다.
판례대로라면 정부가 의욕적으로 추진하고 있는 빅데이터, 클라우드 사업은 아예 시작조차 어려울 수 있다. 정보를 수집하고 분석해야 하는 빅데이터 사업의 특성상 로그기록이나 웹브라우저의 방문기록을 담은 쿠키정보까지 모두 수집을 위해 사용자의 동의를 받아야 하기 때문이다. 클라우드 서비스의 경우에도 사업자가 개인의 클라우드 서비스 이용행태를 분석하기 위해 모든 기록된 정보에 대해 사용자의 허락을 받아야 하는 문제가 생긴다.
26일 구태언 테크앤로 대표 변호사는 빅데이터, 클라우드 시대에 현행 개인정보보호법을 적용하면 인터넷 상에 수집되는 모든 정보에 대해 사용자의 동의를 받아야 한다며 이같은 불합리를 개선하기 위해 개인식별정보와 사람 혹은 기기 정보를 구분해서 봐야 한다고 강조했다.
증권통 앱의 경우 실제로 수집한 것은 기기에 대한 일부 정보다. 이를 수집저장한 사업자가 이 정보를 통해 실제 사용자가 누군지 파악하기 위해서는 이동통신회사에 관련 정보를 저장한 데이터베이스(DB)에 접근할 수 있는 권한을 가져야 한다. 해킹이 아닌 이상 이통사에 저장된 IMEI, USIM 정보를 조회하는 것은 현실적으로 불가능하다.
현행 개인정보보호법 제2조는 개인정보를 '살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통해 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합해 알아볼 수 있는 것을 포함한다)'고 규정하고 있다. 문제는 괄호 안 규정이다. 구 변호사는 너무 광범위하게 개인정보의 범위가 설정되다보니 아예 정보통신서비스 제공 사업자들이 사업을 영위하기 어려운 지경이라고 밝혔다. 정보통신망법 제2조에서도 개인정보의 범위를 이같이 정의하고 있다.
유럽, 캐나다, 일본, 영국, 프랑스, 독일 등에서는 개인정보를 '개인식별정보'에만 한정해서 보호하고 있다. 우리나라와 같이 괄호 안 규정은 없는 것이다. 우리나라와 법이 가장 비슷한 일본의 경우에도 개인정보보호에 관한 법률 제2조에 생존하고 있는 개인에 관한 정보로서 당해 정보에 포함된 성명, 생년월일 기타 설명된 것에 의해 특정한 개인을 식별할 수 있는 것으로 한정하고 있다.
관련기사
- 빅데이터 보안, "SNS 보안분석은 안돼"2013.02.26
- 빅데이터 원년, 개인정보보호 대책은 '글쎄'2013.02.26
- 개인정보유출 손배 소송, 연이은 패소 왜?2013.02.26
- "개인정보유출, 집단소송 보다 사회적합의"2013.02.26
이에 따라 구 변호사는 개인식별정보와 사람관련정보를 구별해 사람 및 기기 관련정보(이름, 랜카드 MAC주소, IP주소, 쿠키, 로그기록)의 경우는 개인식별정보와 결합돼 실제로 그 사람이 누군지 알 수 있을 정도로 정보를 수집할 때만 사용자의 동의를 받도록 재정비할 필요가 있다고 설명했다.
이와 관련 이인호 중앙대 법학전문대학원 교수는 '현행 개인정보처리의 법적 기준에 대한 타당성 분석' 보고서를 통해 개인정보보호법의 목적은 개인정보의 안전한 이용과 유통에 있다며 무분별한 개인정보 처리에 따른 위험을 사전예방하기 위한 것이라고 밝혔다. 모든 정보 수집을 통제하는 법이 아니라는 설명이다.
