개인정보처리시스템은 '데이터베이스(DB)시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템'을 의미한다. 쉽게 말하면 개인정보처리시스템은 보호해야 할 개인정보가 모여 있는 핵심적 체계로, 개인정보처리자가 안전성 확보 조치 의무를 이행해야 할 범위를 결정하는 중요한 개념이다.
개인정보처리시스템은 보호해야 할 개인정보가 모여 있는 핵심 체계이기 때문에 개인정보 보호는 개인정보처리시스템 중심으로 행해진다. 예컨대 개인정보처리시스템에 대한 접근 권한은 사유가 발생할 때마다 지체 없이 관리돼야 하고, 개인정보처리시스템에 대한 접근은 불법적인 접근이나 침해사고 방지를 위해 안전하게 통제돼야 하며, 개인정보처리시스템 접속기록은 위·변조나 도난·분실되지 않도록 안전하게 보관돼야 하며, 개인정보처리시스템을 관리하는 단말기에 대해서는 엄격한 안전조치가 취해져야 한다.
개인정보처리시스템이 개인정보 보호의 중심이다 보니 시대 상황 또는 기술 발전에 따라 개인정보처리시스템을 어떻게 이해해야 하는지 논쟁이 끊이지 않았다.
예컨대 2010년대 초 웹에 의한 개인정보 처리가 일반화하고 웹 경로에 의한 개인정보 유출이 빈번하다 보니 개인정보처리시스템에 웹서버 또는 웹페이지가 포함되는지에 대해 법정 분쟁이 있었지만 지난해 대법원이 “개인정보처리시스템은 개인정보의 생성·기록·저장·검색·이용과정 등 DB시스템 전체를 의미하는 것으로, DB와 연동돼 개인정보의 처리 과정에 관여하는 웹서버 등을 포함한다고 봄이 타당하다”고 판시함으로써 일단락됐다. 개인정보처리시스템 개념과 범위가 웹 시대에 부합하게 규명된 것이다.
한편 과거 '규모의 경제' 달성을 위해 생산시설과 공급망을 구축하는 것이 초점이던 산업화 시대를 지나 인터넷·컴퓨팅파워 확산, 모바일 보급에 기반한 디지털경제 시대로 전환되고 이 디지털경제 시대에 출현한 비즈니스 모델로서 온라인 플랫폼은 산업과 혁신 주체로 등장해서 어느덧 대세가 됐다.
플랫폼 시대 이전의 개인정보처리시스템은 하나의 개인정보처리자에 의해 관리되고 그 안의 개인정보는 그 개인정보처리자에 의해 단일한 처리 목적으로 처리되는 게 일반적이었고, 하나의 개인정보처리시템에 다수의 개인정보처리자가 접근해서 다수의 처리 목적으로 그 안의 개인정보를 처리하는 것은 상대적으로 특수한 현상이었다.
하지만 온라인 플랫폼이 대세가 되면서 개인정보처리시스템 역시 플랫폼 형태를 띠게 됐다. 즉 과거 특수한 현상이던 하나의 개인정보처리시템에 다수의 개인정보처리자가 접근해서 다수의 처리 목적으로 그 안의 개인정보를 처리하는 형태는 이제는 일반적 현상이 됐다.
하나의 플랫폼 중심으로 이해관계자들이 모이듯이 플랫폼 기업의 개인정보처리시스템에 다수의 이해관계자들이 접근해서 각각의 처리 목적을 가지고 그 안의 개인정보를 처리하는 현상이 일반화된 것이다. 이런 현상으로 다수의 이해관계자들은 플랫폼 기업의 개인정보처리시스템 형성과 발전에 기여하게 됐다.
민간뿐만 아니라 공공 영역에서도 이런 현상이 두드러지고 있다. 예컨대 정부 부처가 개인정보처리시스템을 운영하기는 하지만 이 개인정보처리시스템에 공공기관이나 지자체 등이 접근해 인허가 업무, 과태료 부과 업무, 위임 받은 업무 등을 처리하는 경우도 빈번하게 발견된다.
이런 이유로 플랫폼 시대에 부합하게 개인정보처리시스템에 대한 보호와 보상은 이해돼야 한다.
먼저 보호 측면에서 보면 현재 규정으로도 플랫폼 시대의 개인정보처리시스템 보호가 가능하지만 좀 더 세밀한 보호 규정이 필요해 보인다. 하나의 개인정보처리시스템에 다수의 개인정보처리자가 접근해서 다수의 처리 목적으로 그 안의 개인정보를 처리하는 형태라면 개인정보처리시스템에 접근하는 이해관계자가 증가함에 따라 개인정보 유출 등 사고의 위험이 증대하게 되고, 개인정보 유출 등 사고가 발생한 경우 책임 범위도 모호하게 되는 위험도 발생하기 때문에 현재의 포괄적인 규정에 더해 하나의 개인정보처리시스템에 다수의 개인정보처리자가 접근해서 다수의 처리 목적으로 그 안의 개인정보를 처리하는 형태를 특별히 전제한 규정들을 안전성 확보 조치 기준 등에 추가해야 할 것이다.
보상 측면에서 보면 하나의 개인정보처리시스템에 다수의 개인정보처리자가 접근해 다수의 처리 목적으로 그 안의 개인정보를 처리하는 형태에서 플랫폼 기업은 개인정보처리시스템에 대한 유일하고 온전한 기여자로 볼 수 없다. 개인정보처리시스템은 이에 접근하는 다수의 개인정보처리자의 기여 결과라 할 수 있다. 각각의 개인정보처리자에 기여에 대한 적절한 보상이 인정되어야 할 것이다.
지난해 대법원 판결에 의해 개인정보처리시스템은 웹 활용에 부합하게 해석됐지만 여기서 더 나아가 이제는 플랫폼 시대를 고려한 이해가 필요할 것으로 보인다. 하나의 개인정보처리시스템에 다수의 개인정보처리자가 접근해서 다수의 처리 목적으로 그 안의 개인정보를 처리하는 형태를 전제한 세밀한 보호·책임 규정과 보상 정책 도입으로 개인정보 보호의 심장이라 할 수 있는 개인정보처리시스템의 내재적 진화를 모색할 때가 됐다고 생각한다.
김경환 법무법인 민후 대표변호사·최주선 변호사 oalmephaga@minwho.kr
-
김현민 기자기사 더보기