"우리나라는 법제는 개인정보를 보호하는 방향으로 갔는데 법령상 개인정보를 수집해야 하는 의무가 난립한 상황입니다."

개인정보는 보호받아야 마땅하나, 과잉 보호를 받는 건 문제가 있다는 목소리가 모였다. 김희정 새누리당 국회의원은 개인정보보호법 개정을 위한 토론회를 3월21일 국회도서관 대강당에서 열었다. 이 토론회는 이인호 중앙대학교 법학전문대학원 교수, 문재완 한국외국어대 법학전문대학원 교수, 구태언 테크앤로법률사무소 대표변호사, 김기창 고려대학교 법학전문대학원 교수가 참석해 개인정보보호법의 문제점과 허점을 짚고 대안을 제시하는 형식으로 진행됐다.

개인정보를 보호하는 게 문제라니. 과잉 보호를 해도 모자람이 없는 게 바로 개인정보가 아닐까. 문재완 교수는 우리나라에서 개인정보가 "무엇을 의미하고 어떻게 보호하는지에 관하여 충분히 논의되지 않은 채 법으로 강요받는다"라며 국가가 수집하고 이용하는 개인정보와 민간에서 개인정보는 다르다며 이를 뒤섞어 쓰는 것은 바람직하지 않다고 보았다.

개인정보보호법제 토론회
▲ 개인정보보호법제 토론회

개인정보, 어디까지가 보호 대상인가

"공공부문은 프라이버시의 최대 보장이 목적이고, 불가피한 사정으로 프라이버시를 제한하더라도 그 피해를 최소화해야 합니다. 민간부문에서는 이와 달리 프라이버시 최대 보장이 목적이 될 수 없으며, 프라이버시와 다른 자유를 비교해 덜 중요한 자유를 제한하는 게 목적이 돼야 합니다."

문재완 교수의 문제제기에는 국가가 과도하게 개인정보를 수집하는 걸 막는다는 발상이 기업이 소비자나 고객의 정보를 수집해 혜택을 주는 걸 막거나 또는 이 단계에서 어려움을 겪는 현실이 깔린 것으로 보인다. 예컨대, 국가가 빅브라더가 되는 걸 견제하는 것과 기업이 소비자에게 혜택을 주기 위해 개인정보를 이용하는 건 다른 문제인 게다.

위 발상은 개인정보보호법으로 이어져, 기업이 이용자 맞춤 서비스를 제공하는 데 제동이 걸렸다. 구태언 변호사는 "공공영역과 민간의 프라이버시가 다른데, 구분없이 사용되며 문제가 생겼다"라고 기업의 어려움을 발표했다. 먼저 개인정보보호법이 말하는 개인정보의 의미부터 살피자.

개인정보보호법은 개인정보를 "살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)"라고 정의한다. 여기에서 괄호 안의 설명이 기업의 골치를 아프게 하는 부분이다. 이 설명에 따르면 주민번호나 여권번호, 외국인등록번호와 같이 번호만으로 누구인지를 알 수 있는 정보 말고 전화번호와 같이 누구의 것인지 모르는 정보도 보호 대상이다.

위와 같은 정의 때문에 이런 현상이 빚어진다. 구태언 변호사의 설명이다. 기업이 신규 고객을 유치하려고 e메일을 보내거나 전화를 할 방법이 없다. 기업은 사전 동의 없이 개인정보인 전화번호나 e메일 주소로 연락을 취할 수 없는데, 신규 고객에게 무슨 방법으로 사전 동의를 구할 것인가. 동의를 구하려고 연락을 취하는 것도 개인정보를 사전 동의 없이 수집하거나 이용한 셈이 되는데 말이다.

법을 제대로 지키면 위와 같은 옴싹달싹 못하는 상황이 벌어지는 것이다. 게다가 개인정보보호법 위반은 형사처벌 대상이다. 구태언 변호사는 "개인정보보호법이 개인정보를 광범위하게 정의한 까닭에 개인정보의 공적인 이용과 경제적 이용을 막는 결과를 초래했으며, 덕분에 정보의 유통을 막는 정보 쇄국 상태에 빠졌다"라고 진단했다.

그는 아이디나 전화번호, 쿠키, 맥어드레스 등과 같이 정보 하나로는 해당 정보의 주인이 누구인지 알 수 없는 건 개인정보로 보지 않았다. 이러한 정보를 활용하는 것만으로도 형사처벌을 받는 건 과하다는 설명이다. 다만 이 정보를 조합해 주민번호와 같이 해당 정보의 주인을 알아내는, 개인을 식별하는 행위는 법 위반으로 볼 수 있다는 설명을 덧붙였다.

012-3456-7890는 이게 김 아무개인지 박 아무개인지 알려주지 않는다. 전화번호는 언제든지 바뀔 수 있고, 숫자를 조합하면 누구의 것인지 모르지만 휴대폰 번호를 얻을 수 있다. 이게 전화번호는 개인식별정보가 아니라는 주장의 바탕이다.

이용자 "내용도 모르고 약관에 동의", 기업 "일단 동의부터 받고"

약관의 동의
▲ 약관의 동의

▲동의 단추를 누르지 않으면 아예 진행이 안 되는데도 동의여부를 받는다. 동의를 받아야 개인정보를 수집・이용케하는 개인정보보호법 때문이다.


그럼 전화번호도 보호 대상이 되면서 이용자가 겪는 불편은 무엇일까. 카카오톡을 보자. 카카오톡은 전화번호 기반으로 무료 문자를 전송한다. 카카오톡이 이용자에게 수집하는 정보라곤 휴대폰 번호가 전부였다. 해커에게 카카오톡이 해킹 당해도 해커 손에 남는 이용자 정보는 10~12개 숫자 조합에 불과하다. 지금 카카오톡은 이 전화번호를 수집하기 위해 개인정보 취급방침과 약관 동의를 받고 있다.

전화번호 하나를 줄 때도 동의 단추가 등장하는 환경은 이용자에게 또다른 악영향을 미친다. 김기창 교수는 "이용자는 이제 단추만 나오면 오케이한다"라며 개인정보 수집・활용 단추가 남발되는 현상을 꼬집었다.

"동의를 안 하고도 서비스를 받을 수 있는 항목이 무엇인지 확인을 못하기 때문에 이용자는 모든 동의 단추를 누릅니다. 덕분에 기업은 동의를 쉽게 받아내는 효과를 누립니다. 이는 개인정보보호의 중요한 대원칙, 최소 수집 원칙을 무력화합니다."

회원가입할 때마다 '동의' 단추가 보이는데 그때마다 약관을 꼼꼼하게 읽어볼 이용자가 얼마나 있겠는가. 그리고 동의를 하지 않으면 해당 서비스를 쓸 수 없으니 동의 단추를 누르는 건 필수다. 김기창 교수는 "동의 여부를 체크하게 하는 것 자체가 틀렸다"라며 "소비자에게 예측 가능한 수준으로 설명을 잘 하면 되는 것이며, 최소 수집 범위를 넘어서 개인정보를 수집할 때만 체크 박스를 제시해야 한다"라고 "그래야 이용자는 체크 박스가 나오면 동의하지 않아도 된다는 걸 알게 된다"라고 주장했다.

이인호 교수는 "보안과 개인정보는 분리해야 한다"라며 "보안을 강조하다 강력한 개인정보보호법제를 낳았는데 개인정보 처리자가 수집하고 이용・처리하는 과정을 지나치게 규제하는 것 자체는 문제"라고 말했다.

korean_privacy_law_201303_2
▲ korean_privacy_law_201303_2
▲'약관에 동의'는 삼성생명의 말처럼 "동의를 거부할 권리가 있으나, 서비스 제공을 위한 필수 사항이므로, 약관에 동의하지 않으면 회원가입이 불가능"하다. 약관에 동의하지 않고도 서비스를 이용할 방도가 없는데 동의 여부를 묻는 게 지금 상황이다.

저작권자 © 블로터 무단전재 및 재배포 금지