2014년 신용카드사의 개인정보 유출 사태는 3대 신용카드사(국민 · 농협 · 롯데)로부터 역대 최다 규모인 1억 400만여건, 2000만명의 개인정보가 유출된 사고로, 카드사들에 대한 집단소송, 금융당국의 규제 도입, 개인정보 보호법 개정을 촉발하여 사회 전반에 큰 영향을 미쳤다. 위 개인정보 유출로 인한 손해배상소송은 현재도 진행 중으로, 지난 9월 12일 서울서부지방법원은 농협은행과 코리아크레딧뷰로(KCB)에게 개인정보 유출 피해자 5500명에게 1인당 10만원씩을 배상하라는 판결을 내리기도 하였다.

올 4월, 페이스북 창업자인 마크 저커버그도 제3자가 페이스북 이용자 8700만명의 개인정보를 선거 컨설팅에 부적절하게 활용했다는 스캔들 때문에 미국 의회 청문회에 불려 나가서 의원들로부터 호된 질문 공세를 받았다.

1인당 10만원씩 배상 판결

개인정보의 특성상 한 번 유출되고 나면 피해의 회복이 사실상 불가능하다는 점에서 선제적인 대응책을 마련해야 한다는 목소리가 높다. 또한 개인정보 보호는 신용카드사나 은행 등과 같은 금융기관에게만 문제가 되는 것이 아니라 개인정보를 취급하는 모든 기업들에게 마찬가지로 제기되고 있는 문제이다.

개인정보 보호법은 개인정보의 "처리"를, '개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그 밖에 이와 유사한 행위'로 폭넓게 정의하고 있다. 또한 "개인정보처리자"를, '업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등'으로 정의하고 있다. 이와 같은 광범위한 정의로 인하여, 개인정보를 취급하는 거의 모든 주체는 영리, 비영리를 불문하고 개인정보처리자로서 최소한 개인정보 보호법상의 의무를 준수해야만 한다.

이에 따라 개인정보를 취급하는 많은 기업들이 IT인력을 확충하고 보안에 투자하고 있으며, 개인정보 보호법 준수를 위한 개인정보처리방침 제정, 보완 및 약관 개정을 실천하고 있다.

1. 법적 규제의 틀

개인정보와 관련된 법률들은 여러 가지가 있다. 우선 일반법으로서 기능하고 있는 '개인정보 보호법'이 있다. 이 밖에 해당 분야의 특수성을 고려하여 제정된 일종의 특별법들이 여럿 있다. '신용정보의 이용 및 보호에 관한 법률', '정보통신망 이용촉진 및 정보보호 등에 관한 법률', '위치정보의 보호 및 이용 등에 관한 법률', '전자상거래 등에서의 소비자보호에 관한 법률' 등이 그것들이다. 이 법률들에는 개인정보 등의 처리 및 보호에 관한 규정들이 있으므로 각 조문별로 개인정보 보호법에 우선하여 적용되는지 여부를 검토해야 한다.

조문별 우선 적용 여부 검토해야

관련 소관부처도 제각기이다. 개인정보 보호법은 행정안전부, '신용정보의 이용 및 보호에 관한 법률'은 금융위원회, '정보통신망 이용촉진 및 정보보호 등에 관한 법률'은 방송통신위원회 및 과학기술정보통신부, '위치정보의 보호 및 이용 등에 관한 법률'은 방송통신위원회, '전자상거래 등에서의 소비자보호에 관한 법률'은 공정거래위원회가 각각 소관부처이다.

실무에서 개인정보 보호에 관한 업무를 처리하면서 겪는 어려움 중의 하나가 관련 법률이 많아서 여러 법률을 찾아봐야 하고 그러다 보니 법률에 따라서 여러 부처에 문의를 해 봐야 한다는 점이다. 그래도 개인정보 보호법이 일반법적인 성격을 지니고 있으므로 행정안전부가 개인정보 보호에 관해서 기본적인 문의를 처리해 주고 있는 것 같다. 이들 부처 외에 개인정보보호위원회도 설치되어 있다.

"신용정보"란 금융거래 등 상거래에 있어서 거래 상대방의 신용을 판단할 때 필요한 정보로서, 신용정보주체를 식별할 수 있는 정보, 신용정보주체의 거래내용, 신용도, 신용거래능력을 판단할 수 있는 정보, 기타 이와 유사한 정보를 말한다. 대출이나 보증 등에 관한 정보, 연체 등에 관한 정보, 개인의 직업이나 재산 등에 관한 정보 등이 포함된다. 신용정보의 이용 및 보호에 관한 법률에서는 또한 신용정보 중 개인의 신용도와 신용거래능력 등을 판단할 때 필요한 정보로서 "개인신용정보"라는 개념도 사용하고 있는데 개인정보보호법상의 개인정보와 거의 유사한 개념이다.

정보통신망 이용촉진 및 정보보호 등에 관한 법률은 "정보통신서비스 제공자"를 법률의 주된 수범자로 하고 있다.

"개인위치정보"란 특정 개인의 위치정보를 말하는데, 최근 개인의 위치정보를 활용한 어플리케이션 서비스 등 위치정보사업이 점차 활발해지면서 개인위치정보의 보호도 더욱 중요해지고 있는 상황이다.

전자상거래 등에서의 소비자보호에 관한 법률에 따라 전자상거래에 관여하는 사업자는 전자상거래 및 통신판매에서의 표시 · 광고, 계약내용 및 그 이행 등 거래에 관한 기록을 상당한 기간 보존할 의무가 있다. 원칙적으로 개인정보보호법상 개인정보는 보유기간이 경과하거나 개인정보의 처리목적 달성 등 보유가 불필요하게 되었을 때 즉시 파기하여야 하나, 특별법인 위 전자상거래법 규정에 따라 예외적으로 사업자는 개인정보를 포함한 거래기록을 보존할 수 있다.

2. 개인정보의 정의

"개인정보"란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함)를 말한다. 다만, 사망자의 정보라고 하더라도 유족과의 관계를 알 수 있는 정보는 유족의 개인정보에 해당한다.

법인 · 단체 정보는 개인정보 아니야

개인정보의 주체는 자연인이어야 하며, 법인 또는 단체에 관한 정보는 개인정보에 해당하지 않는다. 따라서 법인 또는 단체의 이름, 소재지 주소, 대표 연락처(이메일 주소 또는 전화번호), 업무별 연락처, 영업실적 등은 개인정보에 해당하지 않는다. 또한 개인사업자의 상호명, 사업장 주소, 전화번호, 사업자등록번호, 매출액, 납세액 등은 사업체의 운영과 관련한 정보로서 원칙적으로 개인정보에 해당하지 않는다.

그러나 법인 또는 단체에 관한 정보이면서 동시에 개인에 관한 정보인 대표자를 포함한 임원진과 업무 담당자의 이름 · 주민등록번호 · 자택주소 및 개인 연락처, 사진 등 그 자체가 개인을 식별할 수 있는 정보는 개별 상황 또는 맥락에 따라 법인 등의 정보에 그치지 않고 개인정보로 취급될 수 있다.

3. 개인정보처리자의 정의

위에서 언급한 바와 같이, 개인정보 보호법은 개인정보의 "처리"를, '개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그 밖에 이와 유사한 행위'로 폭넓게 정의하고 있다. 또한 "개인정보처리자"를, '업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등'으로 정의하고 있다. 결과적으로 개인정보처리자는 상당히 광범위하게 정의되고 있는 셈이다.

4. 개인정보의 수집 등에 관한 동의

개인정보처리자는 다음의 경우 개인정보를 수집할 수 있고 수집 목적의 범위에서 이용할 수 있다(개인정보 보호법 제15조).
1. 정보주체의 동의를 받은 경우
2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
5. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.

동의 방법 · 범위 중요

일반 사기업이 개인정보를 처리하는 경우에는 2호 이하에 해당하는 경우가 거의 없기 때문에 1호에 기재된 바처럼, 정보주체로부터 미리 동의를 받고 개인정보를 수집하는 절차가 일반적이다. 이에 따라 실무에서는 주로 동의를 받는 방법, 동의의 범위가 문제된다. 예를 들면 개인정보를 수집할 때, 수집된 정보를 제3자에게 제공할 때, 수집된 개인 정보를 목적 외 사용할 때는 각각의 단계에서 별도로 동의를 받아야 한다.

또한 민감정보(예를 들면, 건강정보, 유전정보, 범죄경력자료, 정당이나 노동조합 가입에 관한 정보 등이 있다)나 고유식별정보(주민등록번호, 여권번호, 운전면허번호 등이 대표적이다)의 경우에는 다른 일반 개인정보와는 구별하여 따로 동의를 받아야만 한다. 다만, 주민등록번호의 경우에는, 법령 등에서 주민등록번호의 처리를 요구하거나 허용하는 경우(일반인으로서는 은행업무 처리할 때를 생각해 볼 수 있을 것이다), 또는 급박한 경우(예컨대 의식을 잃은 환자를 병원에서 급히 치료할 필요가 있는 경우) 외에는 정보주체의 동의를 받더라도 처리가 불가능하다. 자금세탁방지법 준수 등을 위하여 내국인들의 주민등록번호를 필요로 하는 외국 고객들로부터 많은 질의를 받고 또 불평도 듣고 있는 부분이기도 하다.

5. 개인정보처리의 위탁 및 개인정보의 제3자 제공

개인정보처리자가 자신의 개인정보처리업무를 제3자에게 위탁하는 경우에는 정보주체의 동의가 필요하지 않고, 인터넷 홈페이지 또는 사업장이나 관보에 위탁 사실을 공개하는 것으로 족하다. 그러나 개인정보를 제3자에게 제공하는 경우에는 각 정보주체의 개별 동의를 받아야 한다. 따라서 실무에서는 단순 개인정보처리업무의 위탁이냐 아니면 개인정보를 제3자에게 제공한 것이냐가 자주 문제된다. 이에 대하여 행정부는 개인정보의 제3자 제공과 위탁을 아래와 같이 구분한다.

위탁과 제3자 제공은 달라

업무위탁과 개인정보 제3자 제공 모두 개인정보가 다른 사람에게 이전하거나 다른 사람과 공동으로 이용하게 된다는 측면에서는 동일하지만 개인정보 이전의 목적이 전혀 다르고 이전된 개인정보에 대한 관리 · 감독 등 법률적 관계도 전혀 다르다. 업무위탁의 경우에는 개인정보처리자의 업무처리 범위 내에서 개인정보 처리가 행해지고 위탁자인 개인정보처리자의 관리 · 감독을 받지만, 제3자 제공은 제3자의 이익을 위해서 개인정보처리가 행해지고 제3자가 자신의 책임 하에 개인정보를 처리하게 된다.

판례는, 개인정보의 제3자 제공은 그 제3자의 업무를 처리할 목적 및 그 제3자의 이익을 위해서 개인정보가 이전되는 것이지만, 개인정보 처리 위탁의 경우에는 개인정보처리자의 업무를 처리할 목적으로 개인정보처리자의 이익을 위하여 개인정보가 제3자에게 이전된다는 차이가 있다(대법원 2011. 7. 14. 선고 2011도1960 판결 참조)고 설시하고 있다. 따라서 업무위탁의 경우에는 수탁자에게 개인정보가 이전되더라도 개인정보에 대한 개인정보처리자의 관리 · 감독권이 미치지만, 제3자 제공의 경우에는 일단 개인정보가 제3자에게 제공되고 나면 개인정보처리자의 관리 · 감독권이 미치지 못한다.

6. 영업양도 · 합병으로 인한 개인정보의 이전

영업의 양도 · 합병 등으로 개인정보를 다른 사람에게 이전하는 경우에는 미리 (1)개인정보의 이전 사실 (2)개인정보를 이전받는 자의 주소, 전화번호, 연락처 (3)정보주체가 이전을 원하지 않는 경우 취할 수 있는 조치와 절차를 정보주체에게 개별 고지하여야 한다. 영업양수자 역시 개인정보를 이전 받은 즉시 그 사실을 정보주체에게 개별 고지하여야 한다.

7. 개인정보처리자의 의무

개인정보처리자는 법령에서 정하는 내용을 포함한 개인정보처리방침을 정하여 자신의 인터넷 홈페이지, 홈페이지가 없는 경우에는 자신의 사업장, 관보, 일간지, 인터넷신문, 간행물 · 소식지 · 홍보지 등에 게재하여야 한다.

개인정보처리자는 개인정보의 처리에 관한 업무를 총괄하여 책임질 개인정보 보호책임자를 지정해야 한다.

개인정보처리자는 개인정보가 분실 · 도난 · 유출 · 위조 · 변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적 · 관리적 및 물리적 조치를 하여야 한다.

최근 몇 년 사이 법률 관련 국제 컨퍼런스에 참가해 보면 개인정보보호, 프라이버시 관련 이슈 등등이 가장 핫한 이슈들 중 하나이다. 바야흐로 AI와 빅데이터 시대이다. 멀지 않은 장래에 나의 음식과 음악에 대한 취향, 온갖 건강정보, 심지어 나의 기분상태에 관한 정보까지 누군가(그 누군가는 인공지능일 것이다)는 알고 있을 날이 올 것이다. 누군가의 개인정보를 처리하는 기업들이 역지사지의 심정으로 개인정보를 다루어주길 희망해 본다.

최영익 변호사(법무법인 넥서스, yichoi@nexuslaw.kr)