검색
전승재 변호사의 IT 인사이트

[전승재 변호사의 IT 인사이트] 데이터 3법 시행령 개정안의 ‘민감정보’

[ 2020.05.22. ] 



2020. 3. 31. 데이터 3법 시행령이 입법예고됐다. 그 중 본고에서 살펴보는 것은 '민감정보'에 관한 개정안이다.


법률상 개인정보는 프라이버시보다 더 넓은 개념이다. 개인을 식별할 수 있는 정보(그 정보 자체로 개인 식별이 가능한 이름과 얼굴 등뿐만 아니라, 다른 정보와 결합하여 개인을 식별할 수 있는 정보)라면 개인정보에 해당한다. 예컨대 지문이나 개인별 부여된 각종 고유번호 등은 그 자체로는 프라이버시의 영역에 속하지 않지만 개인식별성이 있기 때문에 개인정보로 분류된다.


민감정보는 개인정보의 한 유형으로, '사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 대통령령으로 정하는 정보'로 법률에 정의되어 있다. 즉, 개인정보라는 집합 중 프라이버시 성격이 강한 일부를 민감정보라는 부분집합으로 묶을 수 있다.


민감정보의 범위는 대통령령(개인정보 보호법 시행령)을 통해 보충된다. 위 법률에 열거된 것 이외에 현행 시행령은 '유전자 정보'와 '범죄경력정보'를 민감정보에 포함시키고 있었다. 이번 입법예고된 시행령 개정안은 생체인식정보("개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보") 및 인종·민족에 관한 정보를 추가하고 있다.


그런데 생체인식정보를 신설한 부분에 대해서는 논란이 일 것으로 예상된다. 일단 분류체계상 이질감이 있다. 기존의 민감정보는 주로 프라이버시에 해당하는 반면, 생체인식정보는 그 자체로 프라이버시는 아닐 수 있기 때문이다. 좀더 나아가서 보면, 기존의 민감정보는 대개 이미 식별된 개인으로부터 얻어지는 정보, 즉 개인의 속성(attribute)을 드러내는 정보이다. "홍길동이 코로나에 걸렸다", "임꺽정에게 폭행 전과가 있다"는 정보를 예로 들어 보면, '홍길동' 및 '임꺽정'으로 주체가 특정됨으로 인해 개인정보로 분류되고, 그렇게 특정된 개인에게 '코로나' 및 '폭행 전과'라는 속성값이 붙음으로써 민감정보가 된다. 이와 달리, 생체인식정보, 예컨대 지문, 홍채, 인식된 얼굴 등은 속성값이라기 보다는 그 자체로서 개인이 특정되는 식별자(key)에 가깝다.


가명처리 또는 익명처리를 하는 것도 문제다. "홍길동이 코로나에 걸렸다"는 민감정보는 "###번 확진자가 코로나에 걸렸다"라고 가명처리를 하거나, "OO시에 사는 남성이 코로나에 걸렸다"라고 익명처리를 함으로써 이 데이터를 활용(수집 목적 외 이용)할 수 있다. 한편, 생체인식정보는 가명/익명처리를 하려면 그 값의 대부분을 삭제하는 것 이외에 다른 방법이 과연 허용될지 의문이다. 생체인식정보를 풀어볼 수 없도록 암호화 등을 하더라도 여전히 시행령 정의규정상 '일정한 기술적 수단을 통해 생성한 정보'에 포섭되기 때문이다(물론 "특정 개인을 알아보지 않을 목적으로 암호화 등을 했으므로 시행령상 민감정보 요건에 해당 안 되도록 했다"라고 말할 수도 있겠지만 그러한 주관적 요건은 불명확하기 때문에 대개 논란이 된다). 지문처럼 인식기술이 완성된 생체정보라면 마땅히 활용에 앞서 이것을 삭제해야겠지만, 예컨대 걸음걸이와 같이 인식기술이 아직 표준화되어 있지 않고 개발이 진행중인 생체정보라면 이렇게까지 규제하는 것이 과도할 수 있다.


데이터 3법 시행령 입법예고 자료는 "생체인식정보는 유출 시 되돌릴 수 없는 피해가 발생할 위험이 크다"는 점을 개정이유로 제시하고 있다. 그러나 그 취지는 유출 시 처벌 또는 손해배상의 정도를 상향하는 것으로 달성할 수도 있는데, 굳이 분류체계에 맞지 않는 '민감정보'로 분류하여 사전규제까지 해야만 할까.



전승재 변호사 (seungjae.jeon@barunlaw.com)

리걸에듀

관련 법조인