충정 기술정보통신팀 변호사들이 말해주는 ‘혁신 기술과 법’ 이야기

개인정보는 최근 일반 사람들과 법조인들 모두가 관심을 가지는 주제 중 하나이다. 개인정보는 일반적으로 특정 개인을 식별할 수 있는 정보 그 자체와, 다른 정보와 결합하여 개인을 식별할 수 있는 정보를 의미한다. 인터넷 검색을 통해 하나의 정보(검색어)로 연관된 수 많은 정보들을 취득할 수 있는 상황에서 점차 ‘쉽게’ 개인을 식별할 수 있는 정보가 무엇이냐에 대한 기준이 모호해지고 있다. 우리나라 법률과 개인정보와 관련하여 현재에도 중요하게 다루고 있거나 미래에는 어쩌면 더욱 중요해질 수 있는 사실들에서 알아보자.
우리나라에서는 위치정보를 위치정보보호법으로 규율하고 있다
개인정보보호법은 개인정보에 대한 일반법의 역할을 하며, 특정 정보에 대해서는 다른 특별법(정보통신망법, 생명윤리법 등)으로 규율하고 있다. 미국, 일본, EU는 위치정보보호법을 별도로 두지 않고 개인정보보호법으로만 규율하고 있는 것과 달리, 우리나라의 경우 위치정보보호법으로 위치정보를 따로 규율하고 있다는 점은 시사하는 바가 크다. 우리나라는 위치정보를 개인정보 중에서도 특별히 중요하게 인정하고 있으며, 위치정보를 이용하는 사업자들은 위 법에 따라 허가와 신고를 득해야 한다는 점을 유의해야 한다.
위치정보가 스마트폰을 통해서 손쉽게 수집될 수 있다는 점, CCTV와 건강정보 등과 관련될 경우 강한 규제가 필요로 한다는 점에서 우리나라가 선제적으로 위치정보에 대해 따로 규율하는 것은 타당하다고 본다. 다만 위치정보보호법의 허가와 신고 제도는 자칫하면 관련 산업의 발전을 억제할 수 있다는 점에서 자유와 규제 사이에 적절한 균형점을 유지해야 할 필요가 있다. 특히 스마트기기를 이용하는 외국 회사가 우리나라에서 사업을 진행하려고 할 때에, 외국과 다른 우리나라 고유의 위치정보보호법 체계를 유념해야 한다.
빅데이터 활용에 따른 개인정보의 범위가 확장되고 있다
개인정보는 앞서 말한 것과 같이 다른 정보와 결합하여 “쉽게” 개인을 식별할 수 있는 정보이다. ‘쉽게’라는 의미가 빅데이터와 AI기술로 인해서 점차 범위가 넓어지고 있다. 마트에서 장본 상품들의 품목이 개인정보일까? 일반적으로는 위 정보만으로는 쉽게 개인을 식별하기 어렵기에 현행법 상 개인정보로 말하기는 쉽지 않다.
하지만 위 품목들로 장을 본 사람의 대략적인 나이, 성별, 관심사, 재력 정도 등을 유추할 수 있는 것은 어렵지 않을 것이며, 거기에 장을 보기 시작한 시각, 마트에 머문 시간, 한달 동안 장을 본 회수 등의 정보와 결합하게 되면 장본 사람의 범위가 좁혀질 수 있다. 이에 더해 인터넷에 공개된 정보들과 결합하면 개인을 특정하는 것은 어려운 일도 아닐 것이다. 미국 대형마트인 ‘타깃’에서 고교생이 장을 본 품목들에 대한 빅데이터 분석을 통해 임신 사실을 가족보다 먼저 발견하여 쿠폰을 보낸 사례는 더 이상 특별한 사례가 되지 않을 가능성이 크다. 개인정보의 범위는 점차 넓어지고 있다고 보는 것이 타당하며 이런 점에서 개인정보주체들의 개인정보 관리와 빅데이터와 AI를 이용하여 정보를 생성해내는 사업자들의 각별한 주의가 필요하다.
개인정보 처리에는 암호화 조치가 필요하다.
근래에 가장 회자되는 용어 중 하나는 ‘암호화’일 것이다. 암호화 기술을 응용한 시스템인 블록체인과 관련된 새로운 가상자산을 ‘암호화폐’로 불렸던 사실은, ‘암호화’의 의미에 대해 궁금증을 자아낸다. ‘최선민’이라는 이름을 규칙없이 ‘A’로 익명화하여 표현할 수 있지만, ‘해쉬함수’라는 특별한 일방향 함수를 이용해서 특정 길이의 문자열 ‘fe1lakd2456…’으로 표현한다면 ‘암호화’ 됐다고 할 수 있다. 해쉬함수는 ‘최선민’이라는 이름으로 고유한 문자열을 형성해내며, ‘최선민1’을 넣는다면 ‘ekdj135d….’과 같이 완전히 다른 해쉬값이 형성된다. 해쉬값을 다시 ‘최선민’이라는 이름으로 복호화하는 것은 아주 어렵다. 이러한 특성을 활용한다면 암호화를 통해 개인정보보호법에 위배되지 않는 개인정보 처리가 가능해진다.
개인정보보호법 상 민감정보, 고유식별정보, 주민등록번호와 같은 개인정보의 암호화조치에 대한 요구는 사업자들에게 부담이 될 수 있지만, 최근 하급심 판례 중 개인정보를 일방향 암호화한 값(해쉬값)은 개인정보로 볼 수 없다는 판시를 고려해볼 때, 암호화조치를 어떻게 취하느냐에 따라 제약이 심한 개인정보처리에 활용될 수 있는 길이 열린 것으로 평가할 수 있다. 아직 아이디어에 불과하지만, 블록체인 시스템에서 모든 정보가 공개되며 지울 수 없다는 특성과 개인정보보호법의 규제 사이에서 위 하급심 판례가 논의를 진전시킬 실마리가 될 수도 있다.
‘개인’이라는 사적인 영역과 공개되어 활용된다는 의미를 가지는 ‘정보’의 합성어인 개인정보라는 말 자체가 법률적 관점에서 개인정보를 다루는 어려움을 나타내고 있다. 개인정보를 다루는 기준은 모호하고 애매한 기준들로 구성되는 것이 어쩌면 당연할지도 모른다. 개인정보와 관련하여 법률적 관점과 기술적 관점을 아우를 수 있는 젊은 법조인들의 새로운 시각이 미래 사회에서 중요한 역할을 할 수 있을 것으로 기대해본다.
