사람들은 개인정보보호법이 그 자체로 특정 개인을 알아볼 수 있는 개인 관련 정보만을 보호하는 것이라고 생각할 것이다. 개인정보보호위원회는 개인정보의 범위를 최대한 넓히는 것이 개인정보를 보호하는 것이라 생각하고, 개인과 관련된 정보는 최대한 개인정보로 포섭하는 입장을 취해 왔다. 그리고 그 정보들을 정부와 기업이 활용하려면 사전에 해당 개인의 동의를 구해야만 하는 사전동의제도를 통해 개인정보를 보호할 수 있다고 굳게 믿어 왔다. 개인정보보호법은 개인정보를 악용해 개인의 인권을 침해하는 행위를 규제하기 위한 것이므로 보호의 목적은 개인정보가 아니라 개인임에도 주객이 전도되어 개인정보를 신주단지 모시듯 하는 것도 문제다. 인공지능을 장착한 개인화 서비스가 우리 주변을 점점 둘러싸고 있는 4차산업혁명의 시대에 과연 이러한 법제도가 국민을 제대로 보호할 수 있는가? 앞으로 3번에 걸친 기고문을 통해 하나씩 짚어보고자 한다.
개인정보보호법상 개인정보는 크게 세 가지로 나뉜다. 첫째, 그 자체로 특정 개인을 식별하는 정보(식별개인정보), 둘째, 그 자체로는 개인을 식별할 수 없으나 개인을 식별하기 쉬운 상태에 있는 정보(비식별개인정보), 셋째, 이 두 가지 정보를 가명처리한 정보(가명정보) 등이다. 모순은 개인정보보호위원회가 두 번째 비식별개인정보의 범위를 과다하게 넓혀서 개인과 관련된 정보는 그 식별가능성의 높낮음에도 불구하고 대부분 개인정보라 보는 데 있다.
대표적인 불합리한 사례가 차량등록번호다. 차량등록번호는 일상생활에서 많이 사용되는 정보이면서 그 자체로는 특정 개인을 알아볼 수 없는 정보다. 한데, 개인정보보호위원회는 차량등록번호는 차량등록원부를 결합하면 특정 개인을 알아볼 수 있으므로 개인정보라 의결했다. 일반인의 경우에 타인의 차량등록원부를 어떻게 구한단 말인가? 도처에 차량등록번호를 인식해 주차요금을 징수하는 시스템이 설치돼 있는데 이들 주차장은 모두 개인정보를 처리하고 있는 셈이다. 그러나 정부의 관리감독은 없다. 이렇게 과잉보호할 것이 아니고 경찰관이나 공무원같이 차량등록원부를 조회할 수 있는 권한을 가진 사람에게만 차량등록번호가 개인정보이고, 일반적으로는 개인정보가 아니라고 하면 된다. 같은 정보라도 개인정보로 볼 경우와 아닌 경우를 잘 가려 주는 것이 개인정보보호위원회의 할 일이 아니겠는가.
이러한 불합리한 정부 입장이 개인을 보호하는 데 어떻게 실패하는지 살펴보자. 한 스타트업이 주유소에서 혼유사고(디젤과 가솔린을 바꿔 주유하는 사고)를 해결해 보고자 했다. 주유소에서 혼유사고로 차량을 파손하는 일이 잦아 차주와 주유소가 큰 손해를 종종 입기 때문이다. 이 스타트업은 주유소에 차량의 번호판을 인식해 도로교통안전공단에서 해당 차량의 유종을 회신받아 맞지 않는 주유기를 차단하고자 했다. 그러나 차량번호가 개인정보라는 정부 입장 때문에 결국 이 사업은 시작도 해보지 못했다. 이 서비스에 무슨 개인정보침해가 있는가? 이런 사례는 부지기수다.
문제는 비식별정보의 과다한 보호는 실제 개인을 보호하지도 못하고 데이터도 활용하지 못해 인공지능을 만들어 내지 못하는 최악의 상황을 발생시키고 있다는 것이다. 개인을 보호하려면 비식별정보를 악용해 개인을 추적하는 프로파일링을 금지하면 될 일이다. 개인정보보호법은 개인정보를 맹목적으로 보호하는 것이 아니라 개인을 보호하는 것이 목적이어야 한다. 개인정보보호법의 이름을 '정보처리에 있어서 개인보호법'으로 이름을 바꾸기를 제안한다.