빅데이터와 정보, 그리고 개인정보 (2)

2020년 12월 21일 업데이트됨


필자의 이번 글은 서울대 한국행정연구소가 주최한 ‘창조경제를 위한 스마트 거버넌스 포럼’에서 발표된 것으로서, 빅데이터 산업 발전을 위한 법제도적·정책적 제언이라 할 수 있다.

개인정보의 보호 범위 개선

정보는 어떻게 생산되는가? 정보는 당연히 물건과 사람이 생산하고 있다. 철학적인 관점에서는 사람의 인식만이 정보를 생산할 수 있다고 보는 것이 더 자연스러울 수 있겠으나, 이러한 원리적 측면과 별개로 법학적·법률적으로는, 정보는 물건과 사람의 존재, 그 상태의 변경 등이 있을 때에 지속적으로 생산된다고 보는 것이 법체계에 부합한다.

예컨대 사람은 태어나서 죽을 때까지 끊임없이 정보를 생산하고 있다. 엄밀하게 이야기하면 죽어서 물건에 준하는 상태가 된 다음에도 정보를 생산하고 있다. 어제는 누굴 만났고, 오늘은 어떤 음식을 먹었다는 등 사람의 움직임 전부가 정보가 되는 것이고, 생전에 어떤 사람이었다는 평가도 정보로서 계속 생산되는 것이다.

그런데 사람이 만들어내는 정보는 그 사람의 인격과 밀접한 관련이 있다. 어제 누굴 만났고, 예전에 어떤 경험을 했고, 누구를 좋아하고 누구를 싫어하며, 어떤 아픔이 있었는지 등의 정보는 그 사람의 정체성과 관련이 있다. 나아가 사람은 사회적 관계 속에서 자신의 정체성을 찾아가는 존재이기 때문에 본능적으로 자신의 정보에 대하여 스스로 통제하려고 하고 있다.

즉 사람은 자신에 관한 정보를 노출할 것인지, 노출하면 어느 정도 노출할 것인지, 일단 노출했더라도 다시 수거를 할 수 있는지 등에 대하여 스스로 결정권을 가지기를 원하고 있다.

이런 인간의 본능적 특성은 자신의 정체성과 인격과 밀접한 관련이 있으므로 법적으로 보호되고 있다. 이를 개인정보 자기결정권 또는 개인정보 자기통제권이라고 한다. 경우에 따라서는 프라이버시라고도 표현할 수 있다.

여기서 개인정보에 대해 개념정리를 하고자 한다. 자동차가 빨간색이라는 것은 물건의 정보이지만, 어떤 사람의 이름이 ‘김철수’라는 것은 사람의 정보이다. 개인정보는 사람의 정보에서 출발하는데, 사람의 정보 중에서 그 정보로써 그 사람인지를 식별할 수 있는 정보를 특히 개인정보라 한다.

예컨대 ‘김철수’라고 하면 분명 사람의 정보이지만 특정인을 식별할 수 없기에 개인정보가 아니지만, ‘서울 서초구 서초대로 200에 사는 김철수’라고 하면 누구인지 식별할 수 있기 때문에 개인정보가 되는 것이다.

이러한 개인정보는 그 사람의 인격권과 밀접한 관련이 있으므로, 타인이 그 정보를 보유하고 있더라도 본래의 개인을 정보주체로 인정하고 그 정보주체가 스스로 통제할 수 있는 권리를 보장해 주고 있다. 특히 처리자가 개인정보를 수집하는 경우 원칙적으로 정보주체의 동의를 얻도록 하고 있다.

이것이 <물건의 정보·개인정보가 아닌 사람의 정보>와 <개인정보인 사람의 정보> 사이에 존재하는 가장 큰 차이이다. 후자인 개인정보는 법적으로 보호되고 수집부터 파기까지 법적인 규율을 받는 반면, 물건에 관한 정보·개인정보가 아닌 사람의 정보는 그러한 규율을 받지 않고 있다.

빅데이터 관점에서 보면, 물건에 관한 정보·개인정보가 아닌 사람의 정보는 원칙적으로 수집과 분석에 제약이 없지만, 개인정보는 수집부터 제약이 따르게 된다.

그런데 법적으로 보호받는 개인정보의 범위가 절대적으로 정해져 있는 것은 아니고 각 나라마다 다르다. 빅데이터 사이언티스트 입장에서는 개인정보의 범위가 넓을수록 사실상 수집상의 제약이 커지게 된다. 빅데이터 사이언티스트 입장에게는 다소 부정적인 이야기겠지만, 우리나라의 개인정보 범위는 다른 나라보다 넓게 해석될 여지가 있다.

이처럼 세상에는 개인정보·물건에 관한 정보·개인정보가 아닌 사람에 관한 정보가 존재하고 개인정보 외에는 원칙적으로 법적 규율을 받지 않아 빅데이터 사이언티스트 입장에서는 수집부터 처리까지 자유롭다고 할 수 있지만, 여기에도 또 예외가 있다. 물건에 관한 정보 중에서도 물건의 위치정보는 법적으로 보호를 받고 있기 때문이다. 이렇게 넓은 법적 보호 범위는 빅데이터 사이언티스트에게는 피로감의 원인이 될 수 있다.

개인의 인격과 밀접한 관련이 있는 개인정보는 보호받아야 마땅하지만 그 범위를 지나치게 넓게 설정하는 것은 바람직하지 않다. 특히 우리나라의 경우 법조문 형식에서부터 개인정보의 범위가 과도하게 넓게 해석될 여지가 있기에 이를 개선할 필요가 있다.

예컨대 우리나라 개인정보보호법은 개인정보의 개념을 ‘살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)’라고 정의하고 있는데, 개인정보의 개념 = 보호범위라는 구도로 되어 있다.

하지만 이러한 구도는 일부 선진국의 입법례에 부합하지 않고, 과도한 개인정보 범위 설정으로 오히려 이미 모든 사람에게 공개되어 있는 법인등기부상의 개인정보, 모든 사람에게 공개되어야 하는 공무원의 직무상 개인정보 등까지 보호되는 문제가 있다.

특히 ‘다른 정보와 쉽게 결합하여 알아볼 수 있는 것(결합용이성)’에 관해 현실적인 결합용이성에서 벗어나 잠재적인 결합용이성까지를 포함하게 되면 개인정보 범위는 더 넓게 설정될 수밖에 없다.

이러한 개인정보의 개념은 2단계로 수정할 필요가 있다.

1단계로 폭넓게 개인정보의 개념을 정하여 각종 개인정보에 포섭하되 모호한 결합용이성이라는 요건을 제거하고, 2단계로 보호의 필요성이 없는 개인정보(예컨대 공무원의 직무상 개인정보 등)를 제거해 가는 방식으로 개선해 간다면, 적절한 보호범위 설정의 가능성이 열리게 될 것이며 과잉보호로 인한 여러 가지 부작용도 해결할 수 있을 것이다.

‘개인정보의 개념 = 보호범위’라는 기존 틀을 깨고, ‘개인정보의 개념 > 보호범위’의 틀로 개선하는 것이 필요하다.

* 법무법인 민후 김경환 대표변호사 작성, 블로그(2014. 12. 8.), 보안뉴스(2014. 11. 10.) 기고.

HOT 게시물