검색
LAW&스마트

개인정보 보호법, 개인정보 도둑법

163391.jpg

유럽연합 내의 모든 국가의 개인정보보호 체계를 아우르는 통합 개인정보보호규정(GDPR)이 발효된 역사적 순간이었던 2018년 5월 25일, 이를 반기는 축포처럼 막스 슈렘스는 미국의 거대 기업들인 구글, 페이스북, 인스타그램, 왓츠앱을 상대로 GDPR 위반을 이유로 프랑스, 독일 등 개인정보 감독기관에 제소하였다. 그 후 거액의 과태료 처분이 있기도 하였지만 거대 IT기업들은 규제당국과의 지속적인 협의를 통하여 개인정보의 보호를 위하여 많은 프로세스를 개선하여 오고 있다. 

 

한편, 우리나라에서도 2017년 개인정보 비식별가이드라인에 따라 비식별처리의 위법을 주장하면서 인터넷진흥원과 비식별처리를 수행한 기업들이 형사고발된 적이 있다. 검찰은 그로부터 1년 5개월이 지나서 혐의없음 처분을 내렸다. 그 기간 동안 개인정보의 식별성을 없애는 비식별처리 작업은 제대로 진행되지 않았고, 익명화된 정보의 처리 기술과 활용 방안에 대한 논의도 거의 진전되지 못하였다. 막스 슈렘스가 EU 내 감독기관에 문제제기를 한 것이었다면 2017년 우리나라의 비식별처리를 둘러싼 분쟁은 검찰에서 형사처벌을 전제로 수사를 한 것이라는 점에 결정적인 차이가 있다. 

 

코로나19와 홍수 사태로 온 나라가 경황이 없는 와중에도 시간은 흘러 어느덧 8월 5일이 지나 개정 개인정보 보호법이 발효되었다. 잘 알려진 것처럼, 이번 법 개정의 핵심은 법과 감독체계의 통합, 개인정보의 일부로서 가명정보의 합리적 보호와 활용, 데이터 결합 처리의 명문화, 합리적 관련성 있는 범위 내에서의 개인정보의 유연한 처리의 허용, 신용정보법상 마이데이터 산업 등의 허용 등이라고 할 수 있다. 개정법에 대한 기대를 거는 의견도 있는 반면, 개인정보 보호법이 실상은 개인정보 도둑법이라면서, 특히 가명정보의 처리와 관련한 개인정보자기결정권의 침해를 심각하게 우려하는 견해도 있는 듯하다.

 

기존 법에 비해 현행 법 체계는 개인정보 보호와 활용의 균형을 꾀한 면이 있다 보니 이를 둘러싼 각 이해관계자간의 견해 차이가 초반에 어느 정도 불거질 수밖에 없어 보이기도 한다. 이에 통합된 개인정보 감독기관으로서 위상을 보유한 개인정보보호위원회의 역할이 더욱더 중요하다. 새로운 구성된 개인정보보호위원회도 이러한 중차대한 업무를 현명하게 잘 해 나갈 수 있으리라 기대한다.

 

 

강태욱 변호사 (법무법인 태평양)

미국변호사

관련 법조인