개인정보보호위원회가 카카오 개인정보 유출과 관련해 역대 최대 과징금을 부과하며 논란이 불거지고 있다.
27일 학계와 법조계에 따르면 개보위의 카카오에 대한 과징금 판단이 개인정보법 개정 취지에 역행한다는 지적이 제기됐다. 개인정보법의 주된 개정 취지가 '개인정보의 안전한 활용을 통해 IT 기업을 성장시키겠다'는 것이었기 때문이다.
실제 2020년 초 일부 개정된 개인정보보호법은 이전 법에 비해 개인정보의 정의를 세분화했다. 개인정보의 개념이 무한정 넓어질 수 있다는 IT 업계의 의견을 반영해 2조 정의에 '다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려해야 한다'는 문구를 신설했다. '합리적', '입수 가능성' 등의 단어를 추가함으로써 개인정보 범위를 좁힌 것이다.
그러나 지난 23일 개보위가 역대 최대인 151억원의 과징금을 카카오에 부과하자 이 같은 취지가 무색해졌다는 지적이 나오고 있다. 아울러 개인정보 활용의 안전성 제고를 위해 오히려 규제 샌드박스와 같은 제도를 통해 사업을 활성화해야 한다는 의견도 나오고 있다.
김승주 고려대 교수는 “우리나라 개인정보보호법이 너무 강해 기업이 안전히 활용할 수 있는 길을 열어줬으나, 이 같은 판단이 지속된다면 법 개정의 취지가 무색해지는 것”이라며 “개보위가 나서 규제 샌드박스를 활성화하고 기업이 다양한 실증 프로젝트를 진행할 수 있게끔 지원해야 개인정보보호에 대한 구체적이고 실효성 있는 논의가 진행될 수 있을 것”이라고 강조했다.
이에 따라 개보위의 역할과 기능을 다시 살펴봐야 한다는 의견도 제기된다. 개보위의 주요 기능이 과징금 부과뿐만이 아닌 기업의 개인정보보호 역량 강화도 있는데, 이번 사례로 과징금에만 초점이 맞춰졌다는 것이다. 추후 소송 등을 통해 개인정보 유출이 아니었다는 최종 판단이 나온다고 하더라도 대중은 '카카오 개인정보 유출 사건'으로만 기억할 수 있다는 우려다.
과징금을 과도하게 부과했을 때 향후 법 위반 사례가 줄어들 것인지에 대한 의문도 나온다. 처벌이 아닌 기업의 개인정보보호 수준을 끌어올리기 위한 고민을 해야 할 시기라는 것이다.
한 IT 전문가는 “개보위의 역할은 전문성을 가지고 개인정보보호 역량이 떨어지는 기업의 수준을 올리는 것”이라며 “과징금을 세게 부과한다고 법 위반에 대한 경각심이 올라갈 것인지에 대한 논리가 충분한지는 돌아봐야 한다”고 비판했다.
이와 함께 이번 카카오 오픈채팅 이슈는 개인정보 유출로 보기 어렵다는 지적도 제기된다. 개인정보법 상 '유출'의 의미를 적용하기 어렵다는 설명이다.
이경호 고려대 교수는 “개인정보보호법 2조 정의에 '쉽게 결합하여'라는 문구가 있는데, 쉽게라는 것을 어떻게 판단할지가 핵심”이라며 “합리성 기준은 법의 원리로, '통상적'이라는 말 자체가 상식에 기반한 통용되는 상식이기에 그런 측면에서 쉽냐, 쉽지 않냐를 봐야 한다”고 밝혔다. 또 “카카오의 경우 해커가 이용자 가상 ID와 개인이 직접 모은 데이터베이스를 일일이 연결하는 과정에서 상당한 노력이 필요한 것으로 보여 쉽다는 부분은 개보위가 입증을 해야 할 사안”이라고 덧붙였다.
학계와 법조계는 카카오 오픈채팅 개인정보 이슈가 다양한 IT 기업과 로펌에서 주목하는 판례가 될 것이라 내다봤다. 앞으로의 IT 기업 성장이 이번 판단에 달려있기 때문이다.
IT 전문가는 “이번 이슈는 개보위의 바람직한 역할을 생각해 볼 수 있는 사안”이라며 “기업을 옭아매는 과도한 규제에서 벗어나 실효성 있는 개인정보보호법을 만드는 시금석이 돼야 할 것”이라고 말했다.
손지혜 기자 jh@etnews.com