<글 : 최경진 가천대학교 법과대학 교수>

20대 국회에서는 데이터 경제와 관련한 다양한 이슈가 논의되었다. 그 중에서도 가장 뜨거운 논란을 불러왔던 이슈는 단연 개인정보보호 관련 규제를 개선하자는 것이었고, 실제 개선을 위하여 관련 법규정을 개정하려는 법안도 다수 계류 중이다.

특히, ‘개인정보 보호법 개정’은 데이터 경제 논의와 가장 밀접한 관련을 가지는 중요한 핵심 사안이다. 현재 계류 중인 개인정보 보호법 개정안들을 살펴보면, 8가지 정도로 그 내용을 요약할 수 있다. (1) 개인정보보호위원회의 위상 강화, (2) 개인정보 개념 정의를 명확화 하거나 가명정보의 활용 근거를 마련하는 것, (3) 영상정보처리기기에 대한 규제 강화, (4) 영상정보 처리 근거의 확대, (5) ‘개인정보 보호법’과 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’의 통합, (6) 정보주체의 권리 강화, (7) 생체인식정보 또는 민감정보의 보호 강화, (8) 개인정보보호를 위한 제재 강화 등이다.

각 내용을 놓고 보면, 모두 다 그 필요성에 공감하지 않을 수 없다. 데이터가 대량으로 집적되고, 대량으로 처리되고, 대량으로 광범위하게 유통될 수 있는 환경에 다가갈수록 데이터에 담긴 개인정보의 보호는 더더욱 중요해질 수밖에 없다.

누구도 개인정보에 대한 보호의 필요성을 부인하지는 못할 것이다. 그런데 개인정보보호의 필요성이 곧 개인정보의 처리에 대한 금지나 과도한 제한으로 이어지는 것도 바람직하지 않다. 또한 개인정보처리의 위험성에 대한 막연한 두려움으로 인해서 개인정보 보호규제를 지나치게 강화하는 것도 바람직하지 않다. 그러면 개인정보에 대한 규제는 어떠해야 하는가?

출발점은 개인정보에 대한 인식의 전환이다. 개인정보는 사람에 관한 정보여서 개인과의 관련성은 불가피하지만, 현대의 일상생활 속에서 처리되지 않고는 경제나 사회활동, 국가의 작용이 이루어질 수 없다. 무조건적으로 개인정보의 처리를 막거나 제한한다면, 데이터 경제 시대에는 그만큼 사람의 활동반경도 줄어들 수밖에 없고 사람들에게 주는 편익도 줄어들 수밖에 없다.

이는 또 다른 문제를 낳을 수 있다. 우리가 걱정해야 하는 것은 합리적 범위를 넘어선 과도한 개인정보의 처리, 집적, 유통, 남용 등이고, 그에 합당한 범위의 규제를 가하면 된다. 그럼 지금의 법제는 어떨까? 현행 ‘개인정보 보호법’만을 보면, 수집·이용, 제3자 제공, 목적외 이용·제공으로 구분하여 각각의 경우에 적법한 처리 근거를 두고 있다.

그러나 실제에 있어서는 특별한 경우의 예외적 처리 사유들을 제외하면, 결국 공통적으로 남는 것은 정보주체의 동의만이 사실상 유일한 적법 처리 사유이다. 게다가 현행법을 엄격하게 해석하는 입장에 의하면, 개인정보의 범위가 매우 넓어져서 사실상 개인정보에 대한 통제 범위는 매우 넓게 되고, 적법하게 처리할 수 있는 개별적·구체적인 규정을 두지 않는 한 개인정보의 처리는 쉽지 않다. 게다가 현행법은 폭넓은 형사처벌 규정을 두고 있어서 개인정보의 처리에 대한 구체적 타당성을 꾀하는 것은 더더욱 어렵다.

이 점에서 해외의 사례를 살펴볼 필요가 있다. 글로벌 데이터 경제를 이끌고 있는 미국의 경우에는 개인정보에 대한 규제가 우리처럼 까다롭거나 적법 처리 근거를 매우 엄격하게 법에 정해놓고 있지는 않다는 점은 이미 널리 알려져있다. 미국과 대비하여 상대적으로 더 엄격한 개인정보보호 법제 수준을 갖추고 있는 EU의 경우에는 GDPR을 제정함으로써 EU 회원국 모두에 공통으로 강화된 개인정보보호 수준을 꾀하고 있다.

GDPR과 우리 법제를 하나하나 비교하여 어느 법제가 더 까다롭고 개인정보보호수준이 높은가를 판단하는 것은 쉽지 않지만, 주요 규정만을 비교해보더라도 EU GDPR은 적어도 개별적 구체적 사건에 있어서의 합리적 타당성을 꾀할 수 있는 장치는 열어놓고 있음을 알 수 있다.

또한 개인정보보호의 필요성을 아무리 강조하더라도 합리적 범위에서의 개인정보의 처리 근거를 법으로 보장하고 있는 점도 우리는 주목해야 한다. 단적인 예로 우리 ‘개인정보 보호법’은 특별한 보호가 필요한 개인정보 유형으로서 ‘민감정보’, ‘고유식별정보’, ‘주민등록번호’에 대한 별도의 엄격한 보호 규정을 두고 있다.

민감정보의 경우에는 정보주체의 별도의 동의를 받거나 법령에서 민감정보의 처리를 요구하거나 허용하는 경우에만 예외적으로 처리 가능하다. 반면 GDPR은 제9조(2)에서 10가지 예외적 처리 근거를 마련하고 있다. 그 중에는 정보주체가 명시적으로 공개한 개인정보의 처리라든가, 목적 제한적 처리·권리보장을 위한 안전조치 등의 제한을 받긴 하지만 공익적 기록 보존, 과학적·역사적 연구 또는 통계 목적의 처리에 필요한 처리의 경우에는 민감정보라고 하더라도 처리할 수 있는 근거를 규정한다.

또 다른 예를 들어보면, 우리가 그토록 엄격하게 해석하는 개인정보의 개념에 대하여도 외국의 경우에는 기술적 식별 가능성에만 집착하지 않고 규범적 판단을 통하여 맥락(context)을 바탕으로 합리적 판단을 통한 보호의 노력이 이루어지는 것을 어렵지 않게 찾아볼 수 있다. 개인정보 처리의 합법성 판단에 있어서도 ‘양립가능성’ 판단을 통하여 개인정보의 보호 범위를 합리적으로 설정한다.

GDPR이나 미국의 예를 들지 않더라도, 우리 법제는 개인정보의 합법적 처리를 할 수 있는 여지를 너무 좁게 규정하고 있다.

개인정보를 남용하거나 불법적으로 처리하거나 개인의 자유와 인권을 침해하는 형태로 처리하는 경우에는 그에 맞는 법적 책임을 져야한다는 점은 누구도 소홀히 해서는 안 된다. 그러나 개인정보를 처리할 필요성은 셀 수 없이 많고, 그것들에 대한 사회적 평가를 통하여 필요한 범위의 개인정보 처리는 합법적 처리 영역으로 가지고 올 수 있는 법적 근거는 마련되어야 한다.

개인정보의 개념 정의를 명확히 하는 것으로부터 시작하여, 개인정보의 안전한 활용을 위한 적법한 처리 근거를 만들 필요가 있다. 이제는 우리의 현행 법제가 개인정보의 합법적 처리를 위한 ‘숨통’을 열어두고 있는지 깊이 있게 되새겨 보아야 할 때이다.

데이터 경제는 생각보다 훨씬 빨리 변화하고 발전하고 있다. 데이터 경제 시대의 글로벌 경쟁에서 우리가 살아남을 수 있으려면 한시라도 빨리 안전한 활용을 통한 개인정보의 보호에 적합한 방향으로 법제도적 정비가 이루어져야 할 것이다.