[Tech & Law] 가명처리를 사전에 정지할 권리가 있을까

이성엽 고려대 기술경영전문대학원 교수

지난 2020년 8월 데이터 3법이 개정되면서 개인정보보호법과 신용 정보법에 도입된 가명 처리(pseudonymisation)는 “개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것”을 말한다.

가명으로 처리해 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보를 가명 정보(pseudonymised data)라고 한다. 당장의 정보만으로는 그 정보가 귀속될 살아 있는 개인이 누구인지 알 수 없도록 하는 것이 가명 처리다. 이름, 주민등록번호, 주소 등 여러 개인정보가 제시되는 경우 정보 중 일부를 삭제하거나 대체함으로 더는 정보주체를 곧바로 알 수 없게 하는 것이다.

유럽연합(EU)의 개인정보보호 규정(GDPR)에서 정의하는 가명 처리는 기본적으로 개인정보의 안전한 관리를 위한 기술·관리적 보호 조치의 하나다. 가명 처리는 그 자체로 특별한 법률적 효과를 발생시키지도 않는다. 가명 처리의 수준에 따라 목적 제한 등의 일부 규정의 적용을 완화할 수 있을 뿐이다. 반면 한국에서 가명 처리는 동의 요건을 배제하는 효과를 가진다. 개인정보처리자는 통계 작성, 과학적 연구, 공익적 기록 보존 등을 위해 정보주체의 동의 없이 가명 정보를 처리할 수 있다.(개인정보보호법 제28조의 2)

당초 가명 처리 조항은 빅데이터 시대 신성장 동력인 데이터 활용에 대한 시대적 요구를 반영해 정보주체의 동의 없이도 기존에 개인정보처리자가 보유하고 있는 데이터를 안전하고 유용하게 활용할 수 있기 위해 도입됐다. 이미 보유 중인 개인정보의 경우 당초 수집 목적과 다르게 이용하기 위해서는 다시 동의를 받아야 한다. 그런데 이는 사실상 불가능하기 때문에 가명 처리를 하면 통계, 연구 등의 제한적 목적으로 활용할 수 있게 한 것이다.

이렇게 가명 처리된 개인 정보에 대해서는 수집 출처의 고지, 영업양도 등의 정보주체에의 고지, 개인정보 유출통지 등의 개별 정보주체에 대한 통지 내지 고지, 보유기간 경과 후 파기, 정보주체의 열람·정정·삭제·처리 정지 등의 조항의 적용이 배제된다.(개인정보보호법 제28조의 7) 이는 가명 처리를 한 결과 가명 정보에 대하여 정보주체를 추적하기 어렵기 때문에 실제 개인정보처리자가 위 의무를 이행하기 곤란하다는 점을 고려한 것이다.

그런데 지난해 2월 8일 시민단체가 한 통신사를 대상으로 첫째 통신사가 보유하고 있는 본인의 개인정보를 해당 통신사 혹은 제3자의 과학적 연구·통계·공익적 기록 보존의 목적으로 가명 처리한 사실이 있는지. 둘째 만일 가명 처리했다면 그 대상이 된 본인 개인정보 일체의 열람 및 향후 가명 처리정지를 요구하는 소송을 제기했다. 피고 통신사는 가명 처리는 정보주체를 특정해 처리하지 않기 때문에 원고의 개인정보가 가명 처리된 정보에 포함돼 있는지 확인할 수 없으며, 개인정보보호법 제28조의 2, 제28조의 7을 근거로 가명 정보에 대해서는 개인정보 열람 및 처리정지권이 제한된다며 해당 요구를 거절했다.

이 사건에서 논점은 가명 처리가 된 정보, 즉 가명 정보에 대해서는 처리정지권을 행사할 수 없다는 점은 법문상 명확한데, 과연 가명 처리 자체를 사전에 정지할 수 있는 권리도 인정되는 것이냐는 것이다. 지난 1월 19일 1심 법원은 먼저 ‘가명 처리’ 행위는 ‘개인정보의 처리’에 해당하므로 원고는 개인정보보호법 제37조(개인정보의 처리정지 등) 제1항에 따라 가명 처리 정지를 요구할 수 있고, 피고는 향후 가명 처리를 하지 아니할 의무가 있으며, 제37조의 규정을 적용하지 않는다는 제28조의 7은 가명 정보를 대상으로 적용될 뿐, 개인정보의 가명 처리에는 적용되지 아니하므로 개인정보 가명 처리에 대한 처리정지 요구를 법 제28조의 7을 이유로 거절할 수 없다고 봤다.

기존 개인정보보호 위원회의 입장도 법원과 유사하다. 개인정보보호법령 지침·고시 해설서에 따르면 개인정보보호법 제28조의 7의 법 제37조(개인정보의 처리정지 등) 배제 규정은 가명 정보에 대한 처리정지권을 배제한 것으로, 가명 정보 처리 이전의 개인 정보에 대한 가명 처리 정지를 배제한 것은 아니라고 보고 있다.

다만 다른 의견도 있다. 첫째 개인정보 처리정지 규정은 특정한 개인정보 ‘항목’에 대한 처리정지 요구권을 보장한 것일 뿐, 개인정보를 특정 ‘목적’으로만 처리하고 다른 목적(예컨대 가명 처리)으로 활용하지 말라고 요구할 권리를 보장한 것이 아니라는 것이다. 개인정보보호법에 따르면 광고 목적 개인정보 처리 동의는 선택 목적으로 반드시 구분해 일부 동의권을 보장해야만 한다. 그런 특별규정이 없는 일반적인 개인정보 처리 목적에 대해서는 정보주체가 원하는 것만 선택하여 동의할 법적 권리는 없다는 것이다.

둘째 법률상 별도 조항으로 “가명 처리(개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것)”와 “개인정보의 처리(개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위)”를 구분하고 있는 이상 가명 처리와 개인정보의 처리는 달리 볼 수 있다. 또한 법률의 전체적 취지를 고려하면 가명 처리에 대한 정지권도 인정되지 않는다고 보는 것이 타당하다는 입장이다. 만약 이를 허용하면 동의 없이 식별 가능 정보를 가명 처리함으로써 안전한 데이터 활용을 하도록 한 가명 처리 조항의 도입 취지를 유명무실하게 할 우려가 있다는 것이다.

결국 이 문제는 가명 처리 여부에 대해서도 정보주체에게 선택권을 부여함으로써 개인정보 자기결정권을 두텁게 보호할 것인지, 아니면 기존에 기업이 보유하고 있는 개인 정보에 대해 동의 없이도 빅데이터 분석을 가능하게 함으로써 데이터 경제의 편익을 정보주체도 누리게 할 것인지에 대한 가치 선택에 관한 것이다.

다만 이미 가명 처리에 대해서 프라이버시 침해를 방지하기 위해 목적 제한, 제3자에게 제공하는 경우에는 특정 개인을 알아보기 위하여 사용될 수 있는 정보의 포함금지, 추가 정보를 별도로 분리해 보관 등 안전성 확보에 필요한 기술·관리적 및 물리적 조치 의무, 가명 정보의 처리 내용에 대한 관련 기록을 작성해 보관할 의무, 특정 개인을 알아보기 위한 목적으로 가명 정보를 처리 금지 및 위반 시 과징금 부과, 가명 정보를 처리하는 과정에서 특정 개인을 알아볼 수 있는 정보가 생성된 경우에는 즉시 해당 정보의 처리를 중지하고, 지체 없이 회수·파기할 의무 등 엄격한 의무를 부과하고 있다.

이런 상황에서 또다시 개인정보 자기결정권을 보호하기 위해 가명 처리 사전 정지 청구권까지 인정하는 것이 입법자의 의사라고 볼 수 있을지, 향후 상급 법원의 입장을 지켜볼 필요도 있지만 필요하면 법 해석 논란이 생기지 않도록 입법을 통해 해결하는 방안도 고려할 필요가 있을 것이다.

이성엽 고려대 기술경영전문대학원 교수·기술법정책센터 센터장

- Copyright ⓒ 조선비즈 & Chosun.com -