개인정보보호법은 이름, 주소, 전화번호 등 누군지 식별할 수 있는 개인정보를 지킨다. 신체, 신념, 사회적 지위 등 정보도 개인을 식별하면 개인정보다. 다른 정보와 쉽게 결합해 식별력이 생기거나 가명처리해도 식별력이 남아있으면 개인정보다. 식별력이 없게 익명처리하면 개인정보가 아니다. 그렇다. 법은 식별력을 기준으로 개인정보를 보호한다.
독일 정부는 인구조사법을 근거로 개인 습관, 교통수단, 부업, 학력 등 정보를 수집해 공유했다. 나치시대의 역사 때문일까. 연방헌법재판소는 개인정보자기결정권을 침해, 위헌이라고 했다. 우리 헌법재판소도 지문날인 등 사건에서 개인정보자기결정권을 인정했다. 정보주체는 개인정보를 누구에게 언제 어디까지 알리고 이용될 지 결정할 수 있다고 했다.
개인정보를 조사·수집·이용하려면 법령에 의하거나 정보주체의 동의를 얻어야 한다. 정부가 수집한 국민의 개인정보를 남용해 생명, 신체, 사생활 침해를 하지 못하도록 도입했다. 정보통신 발전으로 민간기업 보유 개인정보 해킹, 유출사고와 보이스피싱 범죄가 급증했다. 공공, 민간 개인정보처리자 모두에게 안전조치 의무를 부여하고 위반하면 처벌한다.
개인정보보호법이 사생활 보호법인가. 개인정보가 해킹, 유출되면 사생활 침해로 연결될 수 있지만 개인정보 그 자체가 사생활은 아니다. 개인정보처리자의 업무처리를 위해 개인을 식별함에 그친다. 개인정보가 사생활과 결합돼 있다면 사생활 보호에 관한 민·형사법을 적용하면 된다. '성춘향'은 '이몽룡' 연인의 개인정보다. 춘향전을 보지 않았다면 누구인지 어디 살고 무얼 하는지 알 수 없다. 이름만으로 식별할 수 없으나 개인정보처리자의 영역에 있다면 식별될 수 있다. 통신사는 서비스를 제공하고 요금을 청구하기 위해 개인정보로 그녀를 식별한다. 그녀의 개인정보를 처리하는 것만으론 사생활이 침해될 수 없다. '변사또' 또는 누군가 그녀의 정보를 이용해 '이몽룡'과의 통화내역을 들여다보는 등 사생활 속에 들어가야 침해가 된다.
개인정보보호법은 재산 보호법인가. 개인정보가 해킹, 유출되면 보이스피싱 등 범죄에 악용되어 재산피해를 입을 수 있다. 그러나 개인정보는 식별을 위한 정보일 뿐 재산 그 자체는 아니다. 해킹 또는 유출되지 않게 통제하는 등 부당하게 식별되지 않게 막는 것이 목적이다. 개인정보를 악용한 사기 등 재산피해는 민·형사법에 의해 규율하면 된다.
개인정보를 어떻게 보호해야 할까. 식별 위험 증가 여부를 기준으로 안전조치와 정보주체의 권한을 정해야 한다. 그것이 개인정보자기결정권의 합리적 보호 범위다. 과다 수집, 목적외 이용, 위탁, 제3자 제공, 국외 또는 타 사업자 이전은 노출범위를 넓혀 양적 식별 위험을 높인다.
마이데이터, 맞춤형 광고는 결합, 분석을 통해 취향 확인 등 질적 식별 위험을 높인다. 식별력이 높아지면 안전조치를 강화해야 한다. 익명 및 가명처리는 식별력을 없애거나 낮춘다. 안전조치 수준을 높일 필요성이 낮다. 온라인 맞춤형 광고는 질적 식별력을 높이지만 금지할 것은 아니고 안전조치 수준을 높이면 된다. 자동화된 처리에 대해선 식별력을 높이는 특징에 맞게 안전조치를 하면 된다.
정보주체에 자동화된 처리 자체를 거부할 선택권을 주는 입법은 지나치다. 개인정보 삭제, 열람청구는 좋다. 식별 위험을 낮춘다. 정정 청구는 어떤가. 주소가 잘못되었으면 청구서를 받을 수 없지만 부당하게 식별될 위험은 낮다. 개인정보자기결정권이 아니라 사적 계약을 통해 해결하면 된다. 공개된 개인정보는 이미 식별되고 있으므로 정보주체의 동의를 간주하기보다 누군가 공개된 범위와 내용을 넘어 식별력을 높이는지에 따라 위반여부를 결정하면 된다. 식별위험 통제를 넘어 개인정보자기결정권을 확대해석하거나 사생활, 재산 보호에 깊이 들어가 법의 본질을 호도해선 안된다.
이상직 법무법인 태평양 변호사('혁신과 공존의 신세계 디지털' 저자)