“개인정보보호법, 사용자 보호 지나쳐”

“고지와 동의로 해결할 수 없는 세상이 다가옵니다. 위치정보도 마찬가지죠. 훌륭한 서비스는 이용해보면 굉장히 편리하기 때문에 아무리 개인정보나 사생활 침해 문제를 민감하게 생각하는 분도 관대해질 겁니다. 스스로 원하는 서비스를 쓸 때는 침해받는다고 생각하지 않는다는 점을 보면, 우리나라 법이 일률적으로 동일한 고지와 동의 의무를 요구하는 게 꼭 옳은지 생각해 봄직합니다.”

▲구태언 테크앤로 대표 변호사

구태언 테크앤로 대표변호사는 모든 사용자에게 똑같이 서비스 약관을 일일이 확인받고 동의를 받도록 못박은 개인정보보호법이 과도하게 사용자를 보호한다고 꼬집었다. 구태언 변호사는 행정자치부가 2월6일 오후 서울 중구 포스트타워에서 연 ‘개인정보 보호 토론회’ 기조 발표를 맡았다.

구 변호사는 국내 개인정보보호법이 사용자 보호에 너무 치우친 탓에 사용자에겐 불편함을 주고, 기업은 페이스북 같은 서비스를 내놓을 가능성을 빼앗는다고 지적했다. 구태언 변호사는 “서비스에 가입할 때마다 동의하라고 하는 게 해답이 아니라고 생각한다”라고 말했다.

구태언 변호사는 크게 2가지 문제를 지적했다. 개인정보를 너무 넓게 규정해 IT산업이 빅데이터를 활용하기 어렵게 한 점과, 사용자에게 실질적인 편의를 가져다주지 못하는 일률적인 동의 의무다.

일률적인 고지·동의 의무가 자기결정권 강화하나

“(국내 개인정보보호법은) 모든 사람을 잠재적인 범죄자로 보고 고속도로를 막고 음주단속을 벌이는 것과 같아요. 또는 모든 건물에 공항 검색대 같은 보안을 해서 백화점 갈 때도 신발 벗게 하는 게 아닌가 생각해볼 필요가 있어요.”

구태언 변호사는 일률적으로 개인정보 사용 내역을 고지하고 동의받도록 한 점이 사물인터넷(IoT) 시대에는 맞지 않다고 주장했다. “자동으로 정보가 교환되는 게 IoT 시대 현상인데, 그 과정에서 개인이 동의한 범위 안인지 일일이 판단할 수 도 없습니다.”

서비스를 가입할 때 약관을 모두 보고 일일이 동의해야 하니 겉보기에는 사용자가 자기 개인정보가 어디에 활용될지 결정하는 것 같다. 하지만 사용자는 길고 복잡한 약관을 일일이 고지받는 일을 피곤하게 여긴다. 2013년 안전행정부 조사에 따르면 개인정보 제공 요청을 받아도 83%가 약관을 제대로 확인하지 않는다. 내용이 많고 어려우며 일일이 확인하는 게 번거롭기 때문이다. 이런 상황에 약관을 더 자주 읽고 더 자주 동의하게 하는 개인정보보호법이 얼마나 실효성을 갖는지 의문이라고 구태언 변호사는 주장했다.

▲출처 : 개인정보보호위원회 ‘2014 개인정보보호 연차보고서‘ 22쪽

개인정보 접근 방식, 시장 경쟁력 차이 낳아

구 변호사는 개인정보 활용 여부를 사용자가 일일이 확인하고 동의토록 한 방식(옵트인·Opt-In)이 국내 인터넷 서비스의 경쟁력을 약화한다는 지적도 덧붙였다. 그는 큰 인터넷 기업이 유럽에는 없고 미국에는 많은 이유가 개인정보 보호 때문이라고 풀이했다.

유럽연합(EU)과 미국은 여러모로 대비된다. 미국은 연방 규제를 만들기 힘들다. 50여개 주가 합의를 봐야 하기 때문이다. 그래서 미국 연방법에는 개인정보보호를 못박는 규제가 없다고 구태언 변호사는 설명했다. 청소년 보호 등 민감한 정보만 연방법 차원에서 규제한다는 설명이다. 반면 EU는 왕정과 독재체제를 극복하며 인권과 자유를 확보해 온 역사 때문에 잊힐 권리 등 개인정보보호에 관한 논의가 더 활발하다. 절대적인 보호 수준이 미국이 낮고 EU가 높다는 뜻은 아니다. 개인정보 보호 문제에 접근하는 방향이 다르다는 얘기다.

구태언 변호사는 이런 차이가 미국에서만 큰 인터넷기업이 나오는 이유라고 설명했다. “법 제도에 대한 접근 방식 차이가 경제 전장에서 차이를 낳는 듯합니다. 우리는 EU를 따르고 있습니다. 2010년 개인정보보호법을 만들어 기본적으로 옵트인, 사전에 동의를 받으라고 합니다. 형사처벌까지 규정해서 국가가 원칙적으로 개인정보를 강하게 보호하는 나라라고 평가받습니다.”

모두 다 개인정보? 균형점 고민해야

구태언 변호사는 빅데이터 산업 활성화를 위해 사생활 보호를 놓지 않으면서도 양쪽에 균형점을 찾으려는 EU 정책을 대안으로 제시했다. 결국 해결책은 국내 빅데이터법처럼 ‘비식별화’로 모인다. 공개된 정보에서 개인을 특정할 수 없도록 처리한 뒤에만 빅데이터 분석에 활용할 수 있게 한다는 방향은 EU와 한국 모두 같다. 개인을 특정할 수 있는 정보는 활용할 수 없다. 문제는 어디까지를 개인을 특정하는 정보로 보느냐는 것이다.

“개인정보보호법에 정의 규정은 글로벌 수준보다 강화됐다고 생각합니다. 글로벌은 ‘식별하거나 식별할 수 있는 정보’라고 정의합니다. 우리는 확장 부분, 다른 정보와 쉽게 결합해 특정할 수 있는 경우, 비식별정보도 개인과 연결성이 있으면 다 개인정보로 본다는 겁니다. 궁극적으로는 개인 식별 정보를 붙이면 모든 정보가 다 개인정보가 될 수 있는 가능성이 있는 정보입니다. 그러니 결합하기 전부터 그걸 개인정보라는 거죠. 그럼 행자부가 이 많은 정보를 다 개인정보로 보고 잘 보호해야 하는데, 어떻게 할지 심히 걱정됩니다.”

구 변호사는 다른 정보와 “쉽게 결합”한다는 표현이 너무 추상적이어서 귀에 걸면 귀걸리 코에 걸면 코걸이식 해석이 나올 수 있다고 꼬집었다. 그는 휴대폰 고유 식별 번호(IMEI)와 전화번호도 개인정보라고 보는 판결이 나와 빅데이터 활성화에 걸림돌이 된다고 지적했다.

“EU를 기준으로 삼았는데 왜 이렇게 과도하게 입법됐는지 모르겠습니다. 앞으로 IoT도 하고 개인정보도 보호해야 하는 상황에는 점점 더 고민이 필요한 상황이 될 겁니다. 위치정보보호법도 개인정보보호법을 그대로 가져와 똑같은 문제가 있습니다. 죄형법정주의 원칙에 어긋날 정도로 개인정보는 걸면 다 감옥에 보낼 수 있는 상황입니다.”

정보 민감도에 따라 차등 규제하자

구태언 변호사는 정보를 분류해 체계를 나눠 민감정보를 따로 구분하고 민감도가 낮은 서비스는 간편하게 이용할 수 있게 하자고 제안했다.

“민감정보 산업표준이라도 만들어서 유연화하든지 하는 거죠. 자동차는 에너지 효율등급이 붙어 있잖아요. 1등급에서 5등급으로. 이런 식으로 이 서비스는 민감정보를 요구한다면 5등급 표시한다든지 하면 어떨까요. 연비가 5등급인 차는 연료비 많이 못 내면 못 타겠네 하면서 소비자가 돌아서듯, 어떤 서비스는 민감성이 높다면 자세하게 내용을 고지하고 민감성이 떨어지는 서비스는 간편하게 이용할 필요가 있지 않나 생각합니다.”

구 변호사는 서비스 가입을 간편하게 하는 대신 그 서비스에서 사용자가 자기 개인정보가 어떻게 활용되는지 간편하게 확인할 수 있는 장치를 마련해 실질적인 자기정보 통제권을 돌려줘야 한다는 의견도 덧붙였다. “컴퓨터에서 ‘F12’ 단추 누르면 프로그램 정보가 보이듯 인터넷 서비스나 프로그램에서도 쉽게 내 정보가 어디서 활용되는지 확인할 수 있도록 할 수 있지 않을까요.”

구 변호사는 형사처벌을 완화하는 등 개인정보 문제에도 좀 더 유연하게 대처해야 한다고 주장했다. “형사처벌은 완화하되, 주무부처가 시정조치를 내리고 이에 불응할 때는 정도에 맞게 세분화해 형벌의 실효성과 사업 자율성에 균형을 맞춰 사업자가 시정할 수 있게 하는 겁니다. 공항에서 세관 통과할 때 부정밀수 전과자가 아니면 편하게 통과하게 해주듯, 기업도 개인정보를 잘 보호하면 법 적용을 완화하는 것도 필요하지 않을까요. 독일은 사소한 실수는 처벌하지 않습니다. 선진국 입법을 참조해 우리나라도 (개인정보 보호 규정을) 완화해야 하지 않을까 생각합니다. 그래야 글로벌 서비스는 얽매지 않는 규제 때문에 토종 기업이 재미있는 서비스를 내놓지 못하는 일이 없을 겁니다.”