해외 빅테크의 정보유출 초래한 개인정보 보호

ⓒ게티이미지뱅크

지난 회(10월 13일 자·'개인' 대신 '정보'만 보호하는 개인정보보호법)에 이어 개인정보의 또다른 과잉보호로 짚어볼 부분은 그 자체로는 특정인을 알아볼 수 없는 비식별 개인정보다. 아직 특정 개인을 알아볼 수 없는데 이를 개인정보로 보아야 할 상황은 어떤 경우일까? 정보가 처리되고 있는 맥락에 따라 정보가 의미하는 사람이 누군지 알 수 있는 경우다. 정보가 처리되는 상황을 이해할 수 있거나 맥락을 보충해 낼 수 있는 사람에게는 특정 개인을 알아볼 수 있는 개인식별정보가 될 것이고, 이를 해낼 수 없는 사람에게는 그냥 누군지 알 수 없는 익명정보일 뿐이다.

이렇게 '특정 개인을 알아볼 수 있는 능력'을 개인식별성이라고 한다. 2011년 개인정보보호법이 제정된 이래 개인정보보호위원회는 비식별 개인정보의 개인식별성을 누구에게나 공통적으로 동일한 기준으로 인정해 왔다. 예컨대 차량등록번호는 누구에게나 차량등록원부와 결합해 특정 개인을 알아볼 수 있는 정보이고, 휴대전화번호도 누구에게나 다른 정보와 결합해 특정 개인을 알아볼 수 있는 정보라는 식이다. 영상정보처리기기(개인정보보호법 제25조)에 등장하는 사람이나 차량 영상도 그 해상도 차이를 따지지 않은 채, 다른 정보와 결합해 특정 개인을 어렵지 않게 알아볼 수 있으므로 개인정보라는 식이다. 심지어 법원도 휴대전화 뒷번호 네 자릿수나 고유등록번호(IMEI)도 같은 논리로 개인정보라고 판결해 왔다.

어떤 정보를 '개인정보'라고 국가기관이 인정하는 이유는 이를 개인정보로 인정함으로써 그 정보에 개인정보보호법이라는 규제를 적용해 궁극적으로 개인의 사생활을 보호하려는 데 있다. 그럼 차량등록번호와 휴대전화번호, 영상정보를 무조건 개인정보라고 해석하는 게 개인을 보호하는 데 충분한 효과를 달성할 수 있을지 면밀한 검토를 해야 할 것이다. 문제는 이들 정보가 개인정보라고 선언된 순간 이들 정보가 포함된 데이터를 활용하는 길은 없어진다는 것이다.

개인정보를 활용하려면 정보주체의 동의를 얻어야 한다. 그러나, 위 정보들은 그 자체로는 비식별 상태에 있으므로 그 정보가 의미하는 특정 개인이 누구인지 알 길이 없다. 정보주체의 동의를 받아낼 길도 없다. 어떤 데이터 처리자가 위 정보들이 포함된 데이터를 활용하려면, 위 정보들이 의미하는 특정 개인을 알아낼 수 있는 다른 정보를 찾아내 결합해야 한다. 경우에 따라서는 이런 프로파일링에 막대한 시간과 비용이 소모된다. 정보이용 동의를 받으려고, 특정 개인을 식별하는 프로파일링을 굳이 요구해야 하는 모순에 빠지는 것이다.

그 자체로 비식별 상태인 정보는 이를 그대로 이용하게 하면 될 일이다. 누군지 모를 비식별 상태의 정보활용이 개인의 사생활을 침해할 이유도 없다. 개인정보보호법이 인공지능산업을 가로막고 있는 가장 큰 맹점이 바로 이 부분이다. 비식별 상태의 정보들을 과잉보호한 결과, 누군지도 알 수 없는 정보들의 활용까지 가로막게 된다. 비식별 상태의 개인 관련 정보는 원칙적으로 익명정보로 분류하고, 프로파일링을 철저히 금지하는 법개정을 하면 문제가 해결된다. 인공지능 개발에 필요한 학습데이터를 구할 수 없게 한 결과는 참혹하다. 해외 빅테크들이 우리 시장을 장악해 우리나라의 개인정보를 해외 서버로 이동시키고 있다. 개인정보보호의 역설이다.

구태언 법무법인 린 변호사