개인정보 보호 정책, 유럽과 한국의 차이는?

[사진-픽사베이]

​

[이코리아] 개인정보보호위원회가 지난 12월에 공개한 ‘개인정보 처리 통합 안내서’가 잘못됐다는 지적이 제기됐다.

​

22일 민주사회를 위한 변호사모임 디지털정보위원회, 정보인권연구소 등 시민사회단체는 “개인정보의 범위에 대해 개인정보보호위원회의 해석이 잘못되어 있다”라며 “개인정보의 정의에서 “‘알아볼 수 있는’의 의미는 해당 정보를 ‘처리하는 자’의 입장에서 판단해야 한다면 관련된 정보주체의 권리를 침해하게 될 우려가 크다”라고 말했다

​

개인정보보호위원회는 “2023년 개인정보 처리 체계가 전면 개편되어 개인정보 처리와 관련한 개편내용에 대하여 현장에서 이해하기 쉽도록 사례를 중심으로 체계적인 안내가 필요한 상황”이라며 “‘개인정보 보호 법령 및 지침·고시 해설’과 ‘개인정보 보호법 및 시행령 개정사항 안내’를 중심으로 개인정보 처리의 전반적인 내용을 담은 안내서를 마련했다”라고 설명한다. 2025년 1월 31일까지 개인정보 처리 통합 안내서에 대한 일반·전자우편 및 팩스로 의견수렴을 받고 있다.

​

안내서는 「개인정보보호법」 제2조의 ‘개인정보의 정의’에 대해 “개인정보는 살아있는 개인에 관한 정보여야 하고, 그 정보를 통해 개인을 알아볼 수 있어야 한다. ‘알아볼 수 있는’의 의미는 해당 정보를 ‘처리하는 자’의 입장에서 판단해야 한다.”라고 설명하고 있다. 특정 개인을 알아볼 수 있는 개인정보에 해당하는지를 판단할 때에는 ‘처리하는 자’ 입장에서 ‘개별 사건의 상황적 특수성’을 고려하여 해당 정보가 개인정보인지를 판단해야 한다는 것이다.

​

안내서는 그에 대한 예로 “A기업이 B기업에게 자동차등록번호와 같은 개별 정보를 제공하는 경우에는 정보를 제공하는 A기업과 제공받는 B기업 각각의 입장에서 ‘알아볼 수 있는지’ 여부를 판단해야 한다.”라고 말한다. 자동차등록번호 정보만 제공하는 A기업 입장에서 자동차등록번호는 개인정보가 아니다. 그러나 자동차등록번호 정보를 제공받은 B기업이 기존에 보유하고 있는 정보와 자동차등록번호가 결합하여 특정 개인을 알아볼 수 있다면 개인정보보호법상 개인정보가 되는 것이다.

​

시민사회단체는 이 부분에 대해 우려를 표명했다. 개인을 식별할 수 있는 기술은 향후에 지속해서 발전할 수 있고, 식별가능성 여부를 확정적으로 판단하기 힘들다는 점에서 ‘개인을 알아보는 데 걸리는 시간, 비용, 기술 등을 합리적으로 고려’하는 것은 필요하지만, 이것이 반드시 개인을 알아보는 주체를 개인정보처리자로 전제하는 것은 아니라는 주장이다. 즉, 개인을 알아보는 주체는 비단 개인정보처리자 뿐만 아니라 다른 사람이 알아볼 수 있는지 여부도 고려해야 한다는 것이다.

​

유럽연합의 「개인정보 보호법」의 경우 ‘ 모든 객관적 요소를 고려’한다. 다른 사람이 알아볼 가능성까지 고려하지 않을 경우, 이는 개인정보가 아닌 것으로 간주되고, 정보주체의 개인정보 자기결정권을 침해할 수 있기 때문이다. 이는 우리나라의 「개인정보 보호법」이 ‘개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려’하도록 규정한 것보다 더 광범위하다.

​

시민사회단체는 안내서의 예시에 대해 잘못되어 있다고 지적한다. 시민사회단체 관계자는 “특히 자동차등록번호, IP 주소, 휴대전화의 IMEI 번호, 휴대전화의 광고식별자(ADID) 등과 같이 특정 개인과 일정하게 지속적으로 결부되어 있는 기기식별자의 경우 개인정보로 간주되어야 한다.”라며 “안내서는 ‘자동차등록번호를 일반적으로는 개인정보가 아니’라고 설명하고 있다. 그러나 어떤 처리자가 자동차등록번호와 관련된 사람의 신원을 직접 보유하고 있지 않다면 (예컨대) 특정 자동차등록번호의 이동경로를 수집, 공개해도 무방할 것이며 이는 결국 해당 차주의 프라이버시를 심각하게 침해하는 결과를 초래하게 된다.”라고 지적했다.

​

이어 “이는 2020년에 도입한 가명처리 제도와도 상충되는 해석”이라며 “개인정보보호위원회가 개인정보의 자유로운 처리를 요구해 온 산업계의 이익을 우선하여 정보주체의 권리 보호에 소홀히 한면, 그 존재 의의를 스스로 훼손하는 것이다. 잘못된 해석을 반드시 바로잡아야 한다”라고 말했다.

​

주요국은 개인정보 보호에 관련된 법제들을 정비하고 있다. 다만 나라별로 개인정보의 범위가 다르다.

​

미국은 캘리포니아주가 가장 강력한 개인정보보호법을 가지고 있다. 캘리포니아주 「프라이버시 권리법」은 「소비자 프라이버시 보호법」에 나오는 정보주체의 권리 내용과 사업자의 준수 의무를 강화한 법안으로, 2023년부터 본격 시행되었다. 캘리포니아 주민의 개인정보를 처리하는 경우 적용되며, 캘리포니아 소비자의 프라이버시 관련 권리와 사업자의 의무 등을 규정하고 있고, 미국 최초로 프라이버시 분야를 담당하는 규제기관의 설립의 근거를 마련했다는 점에 의의가 있다.

​

캘리포니아주 내에 사업장을 두고 있는지 여부와 관계없이 캘리포니아주 내에서 사업을 수행하는 주민의 개인정보를 처리하고 있다면▲연간매출이 2,500만 달러 이상에 해당되는 경우, ▲100,000건 이상의 소비자 등에 대한 개인정보를 보유한 경우 ▲ 개인정보 판매 및 공유에 따른 매출이 기업의 총 매출의 50%이상을 차지하는 경우 적용대상이 된다.

​

또한 특정 상황에서 사업자가 민감정보를 제3자에게 제공하는 것을 제한하는 등 민감정보 처리에 대해 강력한 권리를 가진다. 사회보장번호, 운전면허번호, 주(State)ID번호, 여권번호 등이 그 대상이다.

​

일본은 「개인정보 보호법」을 2003년 5월에 처음 제정되었다. 이후 IT 기술의 발전으로 개인정보를 해외로 이전하는 경우가 증가하는 등 환경이 변화하자 개인정보의 국외 이전 및 개인정보의 제3자 제공을 엄격화하는 내용을 담은 개정된 「개인정보 보호법」이 2017년 시행되었다.

 

 

 

유호경 기자

저작권자  이코리아 무단전재 및 재배포 금지

 

더 많은 기사는 '이코리아'(http://www.ekoreanews.co.kr/)