국외에서는 개인정보, 한국에서는 비개인정보?
-지나치게 협소한 개인정보 정의, 정보주체의 권리 위협한다
-개인정보 처리 통합 안내서(안)에 대한 시민사회 의견서 제출
1. 오늘(1/22) 민주사회를위한변호사모임 디지털정보위원회, 정보인권연구소, 진보네트워크센터, 참여연대 등 시민사회단체는 개인정보보호위원회가 지난 2024년 12월 31일 공개한 ‘개인정보 처리 통합 안내서(안)’에 대한 의견서를 개인정보보호위원회에 제출하였습니다.
2. 이번 안내서(안)에서 가장 큰 문제는 ‘개인정보’의 범위에 대한 개인정보보호위원회의 해석입니다. 안내서(안)는 개인정보의 정의에서 “알아볼 수 있는”의 의미는 해당 정보를 ‘처리하는 자’의 입장에서 판단해야 한다고 있습니다. 예를 들어, 자동차등록번호를 처리하는 자가 해당 자동차등록번호와 연결된 차주에 대한 정보를 가지고 있지 않을 경우, 자동차등록번호를 개인정보가 아닌 것으로 본다는 의미입니다. 그러나 이렇게 되면 자동차등록번호와 연결된 여러 정보(예컨대, 해당 자동차의 위치)를 자유롭게 처리, 공유할 수 있게 되고, 이는 관련된 정보주체의 권리를 침해하게 될 우려가 큽니다. 예컨대, 특정 자동차등록번호의 이동경로가 정보주체의 의사와 무관하게 처리, 공유될 수 있다는 것입니다. 자동차등록번호 뿐만 아니라, IP 주소, 휴대전화의 IMEI 번호, 휴대전화의 광고식별자(ADID) 등과 같이 특정 개인과 일정하게 지속적으로 결부되어 있는 기기식별자의 경우 다른 나라에서처럼 개인정보로 간주되어야 합니다.
3. 개인정보보호위원회의 이러한 해석은 유럽연합 개인정보보호법(GDPR)의 해석과도 다르고, 2020년 개인정보보호법에 도입한 가명처리 제도와도 상충합니다. 무엇보다 개인정보의 범위를 좁게 해석하는 것은 실제 개인정보를 개인정보가 아닌 것으로 간주함으로써 정보주체의 개인정보 자기결정권이 침해될 위험에 놓이게 됩니다. 개인정보보호위원회의 개인정보의 자유로운 처리를 요구해 온 산업계의 이익을 우선하여 정보주체의 권리 보호에 소홀히 한다면, 그 존재 의의를 스스로 훼손하는 것입니다. 개인정보보호위원회는 안내서(안)을 공표하기 전에 잘못된 해석을 반드시 바로잡아야 할 것입니다. 끝.
▣ 붙임. 인공지능 법안에 대한 시민사회 의견서
개인정보처리 통합 안내서(안)에 대한 의견서
지난 2024년 12월 31일, 개인정보보호위원회가 공개한 ‘개인정보 처리 통합 안내서(안)’에 대해 아래와 같이 의견을 제출합니다.
1. ‘개인정보’ 정의의 해석 문제
안내서(안)은 개인정보보호법 제2조의 개인정보 정의에서 “‘알아볼 수 있는’의 의미는 해당 정보를 ‘처리하는 자’의 입장에서 판단해야 한다.”고 설명하고 있다.(pp 2~3) 그러나 이는 개인정보의 범위를 매우 좁게 해석하는 것으로, 개인정보를 개인정보가 아닌 것으로 간주함으로써 정보주체의 개인정보 자기결정권이 침해될 위험에 놓이게 한다.
안내서(안)은 “2020년 법 개정으로 다른 정보와 쉽게 결합할 수 있는지 여부를 판단할 때에는 “다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려”하도록 하여 ‘처리하는 자’를 기준으로 함을 명확히 하였다”고 설명하고 있지만, 이는 논리적이지 않다. 개인을 식별할 수 있는 기술은 향후에 지속적으로 발전할 수 있고, 그래서 식별가능성 여부를 확정적으로 판단하기 힘들다는 점에서 ‘개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려’하는 것은 필요하지만, 이것이 반드시 개인을 알아보는 주체를 개인정보처리자로 전제하는 것은 아니다.
이 문구는 유럽연합 개인정보보호법(GDPR)에서 가져온 것인데, GDPR 서설 26(recital 26)은 “자연인이 식별 가능한지 아닌지를 판단하기 위해서는, 자연인을 직간접적으로 식별하기 위해 개인정보 처리자나 다른 사람(either by the controller or by another person)에 의해 사용될 합리적 가능성이 있는, 개인 선별(single out) 등 모든 수단을 고려해야 한다. 어떤 수단이 자연인을 식별하기 위해 사용될 합리적 가능성이 있는지 확인하기 위해서는, 처리 시점에 이용 가능한 기술과 기술 발전을 감안하여 식별에 필요한 비용과 시간 등 모든 객관적 요소를 고려해야 한다.”고 하고 있다.
즉, ‘개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려’하는 것은 필요하지만, 개인을 알아보는 주체는 비단 개인정보처리자 뿐만 아니라 다른 사람이 알아볼 수 있는지 여부도 고려해야 한다는 것이다. 다른 사람이 알아볼 가능성까지 고려하지 않을 경우, 이는 개인정보가 아닌 것으로 간주될 것이고, 그렇다면 개인정보보호법의 적용을 받지 않고 자유롭게 처리됨으로써 정보주체의 개인정보 자기결정권을 침해할 수 있기 때문이다. 더욱이 한국의 개인정보보호법은 문구 상으로 이미 EU GDPR보다 개인정보를 더 좁게 해석하고 있다. 즉, 한국의 개인정보보호법은 ‘개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려’하도록 하고 있는데 반해, EU GDPR의 경우에는 ‘처리 시점에 이용가능한 기술’ 뿐만 아니라 ‘기술 발전’도 고려하도록 하고 있으며 ‘모든 객관적 요소를 고려’하도록 하고 있기 때문이다. 그럼에도 불구하고, 개인정보 처리자의 관점으로만 이를 해석하는 것은 식별가능성의 판단 범위를 지나치게 제한하는 것이다. 유럽에서는 보호받을 수 있는 정보주체의 권리를 왜 한국의 개인정보보호위원회는 보호하지 않으려고 하는가.
특히 자동차등록번호, IP 주소, 휴대전화의 IMEI 번호, 휴대전화의 광고식별자(ADID) 등과 같이 특정 개인과 일정하게 지속적으로 결부되어 있는 기기식별자의 경우 개인정보로 간주되어야 한다. 안내서(안)은 자동차등록번호를 예시로 들면서 “해당 장치ㆍ기기에 대한 정보는 사물을 식별하기 위해 부여된 정보이므로 그 목적 범위 내에서는 일반적으로는 개인정보가 아니”라고 설명하고 있다. 그러나 어떤 처리자가 자동차등록번호와 관련된 사람의 신원을 직접 보유하고 있지 않다는 이유로 이를 개인정보가 아니라고 한다면, 그는 (예컨데) 특정 자동차등록번호의 이동경로를 수집, 공개해도 무방할 것이며 이는 해당 차주의 프라이버시를 심각하게 침해하는 결과를 초래하게 된다. 이때 공개된 자동차등록번호와 이동경로에 특정인의 신원을 연결시킨 처리자만 개인정보 처리에 대한 책임을 지고, 애초에 자동차등록번호와 이동경로를 수집하고 공개한 처리자는 아무런 책임이 없는 것인지 묻고싶다.
자동차등록번호나 IP주소와 같이 특정 기관이 기기식별자와 개인을 연결하는 데이터베이스를 가지고 있을 경우에는 더욱 개인정보로 간주될 가능성이 커진다. 예를 들어, 수사기관은 자동차등록번호와 IP주소를 획득할 경우 쉽게 개인의 신원을 특정할 수 있다. 수사기관의 개인정보 처리가 정당한지와 별개로, 수사기관에 의한 개인의 추적가능성은 개인정보 권리에 대한 제한임이 분명하다. 이처럼 쉽게 개인을 특정하고 추적할 수 있는데 개인정보가 아니라는 것은 어불성설이다.
개인정보보호위원회의 이러한 해석은 가명처리 제도와도 상충한다. 예를 들어, A가 보유하고 있는 개인정보를 가명처리하여 과학적 연구 목적으로 B에게 제공하는 상황에서, 가명처리된 개인정보를 원래의 개인정보로 복원할 수 있는 추가정보를 보유하고 있지 않은 B 입장에서는 자신이 제공받는 정보가 가명정보가 아니라 익명정보로 해석된다. 그렇다면, B는 개인정보보호법에 구애받지 않고 자유롭게 제공받는 ‘가명처리된 개인정보’를 활용할 수 있는데, 이는 정보주체의 권리를 심각하게 침해하게 될 것이다.
어떤 개인을 ‘알아본다’는 것은 철학적으로 그 수준이 매우 다양할 수 있다. 예컨데, 특정인에 대해서 어느 정도까지 알아야 그 사람을 식별한다고 볼 수 있을까. 그러나 개인정보보호법이 자신의 개인정보가 자신이 통제하지 못하는 방식으로 자신에게 부정적 영향을 미치지 않도록 정보주체를 보호하기 위한 것이라면, 개인정보보호법 맥락에서는 ‘특정 개인을 다른 개인과 구별(single out)할 수 있으면, 개인정보로 간주해야 한다. 즉 알아볼 수 있는 것으로 보아야 한다.
혹자는 개인정보의 범위가 무한 확장되지 않을까 우려할 수 있다. 그러나 이미 개인정보보호법은 ‘개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려’하도록 하고 있기 때문에, 개인 식별의 가능성이 극히 미미한 상황으로까지 무한 확장될 가능성은 적다. 또한, 설사 개인정보로 규정되더라도 개인정보의 처리가 항상 엄격하게 제한되도록 적용되지도 않는다. 우리 개인정보보호법은 정당한 이익에 근거한 개인정보 처리, 당초 수집 목적과 합리적으로 관련된 범위에서의 추가 처리, 과학적 연구 목적의 처리 등 개인정보의 안전한 처리를 전제로 일정한 유연성을 보장하고 있다. 오히려 이와 관련된 현행 법조항(특히 제28조의2 가명정보의 처리)이 지나치게 활용의 범위를 확대하고 있는 것에 대해서 시민사회는 우려하고 있다. 이러한 상황에서 개인정보의 정의를 매우 좁게 해석하는 것은 “개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현”한다는 개인정보보호법의 취지를 훼손할 수밖에 없다.
정리하자면, “알아볼 수 있는”의 의미를 해당 정보를 ‘처리하는 자’의 입장에서 판단하는 것은 GDPR의 사례를 고려할 때 논리적으로 필연적인 것이 아니다. 또한 이렇게 해석할 경우 향후 EU 적정성 결정의 재검토 과정에서 부정적인 영향을 미칠 수 있다.
무엇보다 이러한 해석은 정보주체의 개인정보 자기결정권을 침해하는 것이다. 정보주체에 영향을 미치는 개인정보임에도 불구하고 개인정보가 아닌 것으로 간주한다면, 해당 정보주체는 개인정보 침해에 노출될 수밖에 없기 때문이다. 특히, 자동차등록번호, IP 주소, 휴대전화의 IMEI 번호, 휴대전화의 광고식별자(ADID) 등과 같이 개인과 밀접하게 연계되어 있고 특정 기관의 데이터베이스에 의해 관리되는 기기식별자는 분명하게 개인정보로 간주되어야 한다.
우리 시민사회는 최근 개인정보보호위원회의 행보가 정보주체의 권리 보호보다 산업계의 개인정보 활용을 촉진하려는 것이 아닌지 우려하고 있다. 최근 개인정보보호위원회는 자동차등록번호가 일반적으로 개인정보가 아니라는 입장을 내는가하면, 맞춤형 광고 가이드라인 협의체에서는 광고식별자가 개인정보가 아니라는 제안까지 이루어지고 있다. 정보주체의 권리를 보호할 의지가 없는 개인정보보호위원회는 존재할 가치가 없음을 명심해야 한다.
2. 기타 안내서(안)에 대한 의견
(1) 안내서(안)은 ‘공공기관의 소관 업무 인용 예시’로 “출입국 심사과정에서 수집한 안면 이미지를 출입국 관리 AI 개발에 활용하는 것은 「출입국관리법」에 따라 ‘안전한 국경관리’를 달성하고자 하는 것으로 당초 개인정보 수집·이용 목적 범위에 포함됨”을 들고 있다. (p24) 그러나 우리는 개인정보보호위원회의 이 결정이 법을 지나치게 확대 해석하여 정보주체에 대한 동의나 고지도 없이 민감한 얼굴인식 정보를 포함한 개인정보를 민간 사업자에게 제공하는 것을 정당화한 ‘부끄러운 결정’이라고 생각한다. 현재 이 사안은 헌법재판소에 계류되어 있는 바, 굳이 본 가이드에 포함하여 이와 같은 확대 해석을 증폭시킬 필요는 없다고 생각하며, 이 사례를 삭제할 것을 제안한다.
(2) 안내서(안)은 “지방자치단체가 긴급 생계지원을 위해 시설기관에 생계지원 대상 발굴에 필요한 최소한의 정보를 수집하는 경우”를 ‘정보주체 또는 제3자의 급박한 생명ㆍ신체ㆍ재산의 이익’을 위한 처리의 사례로 포함(p32)하고 있는데, 이 사례가 적절한지 의문이다. 긴급 생계지원을 위한 정보 수집은 다른 적법 근거를 통해서도 가능할 것으로 보이기 때문이다. 자칫하면 ‘정보주체 또는 제3자의 급박한 생명ㆍ신체ㆍ재산의 이익’이 너무 광범위하게 해석될 우려가 있다. 마찬가지로 p53에서도 “지방자치단체가 긴급 생계지원을 위해 생계지원 대상 발굴에 필요한 최소한의 정보를 수집하여 시설 기관에 알리는 경우”를 ‘급박한 이익의 예시’로 제시하고 있는데, 이 역시 지나친 확대 해석으로 보인다.
(3) 안내서(안)은 “시행령에 따른 민감정보는 공공기관이 법 제18조 제2항 제5호부터 제9호까지의 규정에 따라 처리하는 경우에는 민감정보에서 제외하고 있다”(p103)고 하면서도 그 근거에 대해서는 별다른 설명을 하지 않고 있다. 법에서 규정하는 민감정보와 시행령에 따른 민감정보를 달리 취급해야 할 적절한 사유가 없기 때문이다. 개인정보보호위원회는 정보주체가 납득할만한 이유를 안내서를 통해 제시해야 하며, 만일 정당한 근거를 찾을 수 없다면 해당 시행령을 개정해야 할 것이다.
2025년 1월 22일
민주사회를위한변호사모임 디지털정보위원회, 정보인권연구소, 진보네트워크센터, 참여연대
