[box type=”note”]
통신3사는 그간 가명처리된 정보라는 이유로 가입자의 개인정보가 어떻게 활용되었는지를 공개하지 않고, 이를 중단해달라는 요구도 수용하지 않아왔습니다. 자신의 정보가 어떻게 처리되었는지 알수 없었던 이용자들이 정보공개청구 및 향후 가명처리와 무단활용을 하지 말아달라고 요청했지만, SKT는 거절했습니다. 이에 이용자들은 법원에 소송을 제기했고, 법원은 이용자들의 손을 들어주었습니다. 정보주체의 가명처리정지권 보장의 중요성을 인정한 이번 판결에 대해 김보라미 변호사(법률사무소 디케)가 비평했습니다.
- 광장에 나온 판결: 229번째 이야기
- SKT를 상대로 한 개인정보 가명처리정지권 이행 소송 1심 판결
- 서울중앙지방법원 제29민사부 한정석(재판장), 강석규, 김소연 판사 2023. 01. 19 선고. 2021가합509722 [판결문 보기]
[/box]
「개인정보보호법」이 2020년 2월 4일 통과된 이후 “가명정보”라는 개념이 도입되었다. 「개인정보보호법」 법 제2조 정의에서 가명처리에 대하여는 “개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아 볼 수 없도록 처리하는 것”이라고 정의(법 제2조 제1의2호)하고, 가명정보에 대하여는 “개인정보를 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보”(제2조 제1호 다목)라고 정의하고 있다. 위 정의에서 “가명정보”는 “추가정보”를 보유하고 있는 개인정보처리자 입장에서는 언제든지 특정 개인을 알아볼 수 있는 정보이기 때문에 개인 정보라는 점이 강조되어 있다.
한국식 가명정보? 귤이 회수를 건너면 탱자된다!
우리 법에 ‘가명처리’의 정의는, EU GDPR의 가명처리(pseudonymisation, 제4조 제5호)와 동일한 정의규정을 가져와 유사하게 제정한 것이나, 정작 GDPR에서 가명처리는 안전조치의 하나로 도입되었을 뿐이라는 점에서 큰 차이가 있다. EU GDPR에서는 가명처리는 개인들의 권리행사를 배제하거나 기타 개인정보보호조치를 배제시키려는 의도로 도입된 것이 아니다(전문 제28조).
[box type=”info”]
가명정보란?
개인을 식별할 수 있는 정보를 일부 제거해서 그 자체로는 개인 식별이 불가능하지만, 다른 정보과 결합해서 개인 식별이 가능한 정보를 가명정보라고 한다. 가명처리된 정보를 어디까지 이용할 수 있느냐가 가장 중요한 이슈다. 정부는 가명 처리를 하면, 기업의 내부적인 R&D 등 신상품 개발을 위해서도 가명정보를 활용할 수 있다고 말하고, 반면에 우리(시민사회단체)는 학술연구나 통계의 목적으로 가명정보 이용을 제한해야 한다고 말한다. 기업이 학술연구를 상업적으로 활용할 수는 있지만, 사적인 목적을 위해서는 개인정보주체의 이익을 희생할 수 없고, 그럴 그럴 이유도 없다. (오병일, ‘진보넷 20년, 디지털 봉건주의를 넘어서’ 중에서)
유럽(GDPR)은 가명정보를 정의하고 있지 않으며, 유럽기본권청이 발간한 ‘유럽의 개인정보 보호법률 핸드북’에서는 유럽 법률에는 ‘가명정보(pseudonymised data)’라는 개념이 없다고 설명한다. 즉, 유럽에서는 가명정보라는 특정한 상태나 그 방법이 정해져있는 것이 아니라, 개인정보 침해 위험을 줄이기 위한 암호처리 등 여러 ‘안전조치’의 하나로서 가명처리를 인식하고 있으며 다양한 방식과 수준의 가명처리가 가능하다고 보고 있다. (진보넷, 대한민국 발명품 ‘가명정보’, 그것이 문제로다 중에서)
EU 일반 개인정보보호법
EU GDPR은 EU 일반 개인정보보호법(General Data Protection Regulation)의 약자다. 2016년 공포된 유럽의회 통합 규정으로 유럽 시민의 개인정보 보호를 강화하기 위해 시행됐다. 유럽 연합 시민의 데이터를 활용하는 경우 이 규정을 준수해야 한다. 개인정보 유출에 대한 심각성이 강조되면서 유럽뿐 아니라 전 세계적으로 채택되거나 이와 유사한 법제가 도입되고 있다.
[/box]
그러나 우리 법문 제3절에서는 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 처리 근거로서 EU GDPR 제87조를 차용하였으면서도, 완전히 다른 법체계로 조문이 구성되었다. 이렇게 된 이유는 우리 법에서는 가명처리가 안전조치로 고려되지 않았기 때문이었다. 정의에서 언급된 가명처리는 더 이상 (안전조치로도) 언급되지 않고, ‘가명정보’만 과거 사회적 논란속에서 사라져간 「개인정보 비식별조치 가이드라인」(2016. 6. 30. 공표)에서의 ‘비식별조치’와 유사한 맥락으로 활용되고 있다.
가명정보는 개인정보인가 아닌가 (정의와 모순적인 특례)
특히 현행 개인정보보호법는 ‘가명정보’일 경우 개인정보주체의 동의없이 활용할 수 있는 특례를 허용해 주면서도 다음과 같은 개인의 기본적 권리 행사를 모두 불가능하게 규정(법제28조의7)했다는 점에서 그 문제가 심각하다.
- 별도의 조건이나 제한 없이 수집출처 등 고지의무(제20조)
- 개인정보 파기의무(제21조)
- 영업양도 등에 따른 사전 통지의무(제27조)
- 개인정보 유출 통지의무(제34조)
- 열람권(제35조)
- 정정・삭제에 관한 권리(제36조)
- 처리정지 요구권(제37조)
- 정보통신서비스 제공자의 개인정보 수집·이용에 관하여 이용자로부터 동의 등을 받을 의무(제39조의3)
- 개인정보 유출통지 및 신고의무(제39조의4)
- 개인정보 파기의무(제39조의6)
- 동의 철회에 관한 권리(제39조의7) 등
위 규정대로라면 ‘가명정보’는 개인정보라고 강조하며 정의하고 있는데, 제3절의 가명정보의 처리 특례를 통해 ‘개인정보’가 아닌 것처럼 역할하고 있는 것이다.
SKT 사건 판결(2023) 의미: 가명정보 특례 문제 지적, 기본권 침해 평가
헌법재판소는 개인정보자기결정권에 대해서 헌법 제10조 제1문에서 도출되는 일반적 인격권, 헌법 제17조의 사생활의 비밀과 자유에 근거하여 독자적인 기본권으로 인정하여 왔다(헌재 2005. 5. 26. 자 99헌마513 등). 이러한 개인정보자기결정권에는 개인이 개인정보 처리에 관하여 동의할 수 있는 권리, 동의 범위 등을 선택하고 결정할 수 있는 권리, 열람을 요구할 수 있는 권리, 개인정보의 처리 정지, 정정·삭제 및 파기를 요구할 권리가 실질적으로 구현되어야 한다. 이러한 권리가 구현되지 않는 개인정보자기결정권은 존재하지 않는 것과 같다.
개인정보자기결정권은 개인정보를 식별가능한 상태로 처리함으로써 개인의 사생활이 침해된다는 것에 대해 방어할 수 있는 권리에 그치는 것이 아니라, 개인이 자신의 정보흐름에 대해 주도권을 가지지 못하고 배제됨으로써 겪는 인격권 침해를 막고 적극적으로 참여할 수 있도록 하는 권리이기도 하다. 그러므로 “개인이 행사하여야만 하는 헌법상 기본권”을 처리의 목적 달성 여부나 필요성, 최소 침해성 여부 등을 전혀 고려하지 않고 전면 배제하여 통제권을 유명무실한다면 이는 헌법상 과잉금지원칙 위반이라고 해석될 수 있다.
이번 SKT 사건 판결은, 개인정보보호법에서 가명정보 특례 조항들이 가지고 있는 문제를 본격적으로 짚었을 뿐만 아니라, 개인정보자기결정권이라는 기본권을 침해 여부에 대한 헌법적 평가까지 함께 했다는 점에서 의미가 크다. 판결문에서는 명시적으로 언급되지 않았으나, 우리 법에서 명확하게 규정하지 않은 식별가능한 개인정보가 가명정보화되는 처리과정 및 처리근거에 대한 문제제기 역시 같은 맥락에서 검토될 수 있다.
해당 판결에서는 가명정보의 특례를 통해 개인들의 권리행사가 부당하게 제한되고 있다는 점에 대하여 ① 개인들의 권리행사가 왜 필요한가라는 측면(필요성), ② 개인들의 권리행사를 전면 배제하는 것의 과잉침해성(최소 침해성) 등을 언급하며 “부당하다”고 평가하고 있다.
“가명정보가 … (중략)… 동일한 정보주체에 관한 여러 가명정보가 사용・결합되거나 그 밖에 이와 유사한 상황이 발생할 경우에는 정보주체에 대한 식별이 가능하게 될 위험이 존재하고 … (중략)… 개인정보가 정보주체의 의사와 무관하게 유출되는 경우에는 정보주체에게 심각한 피해가 초래될 가능성이 높고 그로 인하여 정보주체에 발생한 피해는 사후적으로 금전적 보상 또는 배상이 이루어지는 것만으로 회복될 수 있는 성질의 것이 아닌 이상 정보주체가 개인정보처리자에 대하여 식별가능정보에 대한 가명처리 내지 가명정보에 대한 처리에 관한 결정권을 충분히 자유롭게 행사할 수 있도록 할 필요성이 존재한다고 할 것이다.
그런데 개정된 개인정보 보호법은, … (중략)… 식별가능정보를 가명처리하여 생성된 가명정보에 대하여는 ①개인정보처리자의 정보주체 이외로부터 수집한 개인정보의 수집출처 등 고지의무(제20조), 개인정보 파기의무(제21조), 영업양도등에 따른 사전 통지의무(제27조), 개인정보 유출 통지의무(제34조)와 ②정보통시서비스 제공자의 개인정보 수집・이용에 관하여 이용자로부터 동의 등을 받을 의무(제39조의3), 개인정보 유출통지 및 신고의무(제39조의4), 개인정보 파기의무(제39조의6) 및 ③정보주체의 열람권(제35조), 정정・삭제에 관한 권리(제36조), 처리정지 요구권(제37조), 동의 철회에 관한 권리(제39조의7) 등의 적용을 모두 배제함으로써(제28조의7) 정보주체의 가명정보의 처리에 대한 결정권을 상당하게 제한하고 있다.” (판결문 제9쪽, 제10쪽 중에서)
그렇다면 개정된 개인정보보호법 제28조의7에서 처리정지 요구권의 적용을 배제하고 있는 ‘가명정보’에 식별가능정보를 가명처리하는 것까지 포함된다고 해석할 경우 정보주체가 개인정보처리자에 대하여 가명정보에 대한 개인정보자기결정권을 행사할 수 있는 방법이 원척적으로 봉쇄되는 부당한 결론에 이르게 된다.
또한, 해당 판결에서는 가명정보로 처리되기 전에 자신의 식별정보에 대한 가명처리정지를 요구할 수 있다는 점에 대하여 ‘개인정보 보호 법령 및 지침・고시 해설’ 등의 유권해석을 근거로 판단하고 있는데 더하여, 헌법적 평가를 시도하고 있다. 즉, “식별가능정보의 가명처리에 대한 정보주체의 처리정지 요구권의 행사를 원천적으로 제한함으로써 침해되는 정보주체의 사익이 그로 인하여 얻을 수 있는 공익에 비하여 결코 작다고 단정할 수 없다”고 판단한 것이다. 이러한 판단은 향후 유사한 ‘개인’들의 권리행사에 있어서도 다른 공익과의 비교형량의 주요 기준과 근거로 검토될 수 있을 것이다.
‘가명정보’ 개념 폐기하고, 본래 목적 맞는 법개정해야
오늘날 저장장치 및 빅데이터와 강력한 기계학습 알고리즘 등의 발전으로, 인간의 눈에는 식별할 수 없는 것처럼 보이더라도 개인으로부터 파생되거나 추론되는 데이터들이 쉽게 민감한 데이터로까지 추론되는 시대를 살고 있다. 비루해 보이는 토끼굴이 사실은 석·박사들이 포진한 데이터 처리 회사라는 이상한 나라까지 쭉 연결되는 것처럼 말이다.
EU GDPR을 중심으로 세계적으로 개인정보보호법제가 디지털 시대에 개인정보주체에게 더 적극적인 통제권을 부여하고, 개인의 인권을 침해하는 개인정보처리를 제한하는 방향으로 변화되고 있다. 관련된 캘리포니아 주 법은 이에 영향을 받아 두 차례에 걸쳐 개정되었으며, 미 연방 개인정보보호법안도 발의된 바 있다.
이번 판결에서 문제가 된 개인정보보호법 제3절 가명정보의 특례는 개인정보보호법 전체 맥락과 견주어 보아도 어떤 개인정보처리규정과도 연결점이 없이 갑자기 툭 튀어나온 모습이다. “활용”과 “데이터 결합”을 위해 보호법에 특별한 특혜규정을 열어준 것이다. 지금이라도 법 체계내에서 “가명정보”라는 개념은 폐기하고, 가명처리를 안전조치의 일종으로 검토하여 개인정보보호법의 본래적 목적에 맞는 법개정이 이루어져야 한다. 또한 근본적으로 헌법상 개인정보자기결정권을 실질화하는 개인의 권리를 복원해야 한다.
