[AI요약] 개인정보 유출 등의 문제는 최근까지 국내외를 막론하고 빈번하게 발생하고 있다. 글로벌 빅테크인 구글, 메타 등은 우리나라를 비롯해 세계 각국에서 개인정보보호법 위반 등으로 수천억에 달하는 과징금과 과태료 처분을 받거나 소송에 시달리고 있다. 이렇듯 큰 기업조차 위반 소식이 심심지 않게 들리는 개인정보보호법을 위반하지 않을 수 있는 방법은 무엇일까? 또 초기 플랫폼 비즈니스를 구상하고 있는 사업자가 꼭 알아야할 사항은 무엇이 있을까?
인터넷 기술 고도화에 따른 디지털 서비스가 폭발적으로 증가하는 한편 IoT(사물인터넷) 시대를 맞아 디바이스 역시 PC, 스마트폰을 넘어 다양화되는 상황에서 기업들은 저마다 고객 데이터 확보에 열을 올리고 있다.
특히 데이터에 기반한 개인화 광고, 타겟팅 광고를 진행하는 디지털 마케팅이 일반화되며 온라인 플랫폼 기반 서비스를 진행하는 기업 혹은 사업자의 경우, 얼마나 많은 고객 데이터를 확보하느냐에 따라 매출이 좌우되는 상황을 맞이하고 있다.
문제는 그 과정에서 심각한 개인정보 유출, 남용 문제가 발생할 수 있다는 점이다. 그러한 사례는 최근까지 국내외를 막론하고 빈번하게 발생하고 있다. 가장 최근의 사례는 글로벌 게임사인 에픽게임즈가 아동 개인정보보호법 위반 등에 따른 소송에서 미연방거래위원회(FTC)로부터 패소한 것을 꼽을 수 있다. 이에 따라 에픽게임즈는 6000억원가량의 막대한 벌금과 환불금을 내야하는 상황이 됐다.
우리나라에서도 같은 상황은 반복되고 있다. 이달 14일 개인정보보호위원회는 현대백화점, 교보문고, 교촌, G마켓을 포함한 총 9개 업체에게 개인정보 안전조치의무 위반, 유출통지·신고 의무 위반 등을 이유로 최대 3억원이 넘는 과징금과 300만원~660만원에 달하는 과태료를 부과하고 시정조치 명령을 내렸다.
이 외에도 글로벌 빅테크인 구글, 메타 등은 우리나라를 비롯해 세계 각국에서 개인정보보호법 위반 등으로 수천억에 달하는 과징금과 과태료 처분을 받거나 소송에 시달리고 있다.
그렇다면 이렇듯 큰 기업조차 위반 소식이 심심지 않게 들리는 개인정보보호법을 위반하지 않을 수 있는 방법은 무엇일까? 또 초기 플랫폼 비즈니스를 구상하고 있는 사업자가 꼭 알아야할 사항은 무엇이 있을까?
이러한 고민을 해소하기 위해 지난 21일 드림플러스 강남 메인홀에서 개최된 ‘슬기로운 법률 세미나’에서는 올해 마지막 순서로 ‘플랫폼 사업자가 알아야 할 개인정보보호법의 모든 것’을 주제로 한 온오프라인 세미나가 진행됐다. 특히 이날 세미나에서는 법무법인 디라이트 지현진, 김동환 변호사와 더불어 영국 로펌 ‘Bird&Bird’의 Gabriel Voisin(이하 가브리엘) 변호사가 온라인 연결을 통해 발표를 진행하며 관심을 모으기도 했다. 테크42는 이들이 이야기하는 국내외 개인정보 위반 사례와 반드시 지켜야 하는 개인정보보호 준수사항을 소개한다.
법 규제에 대응하기 위한 첫 단계… ‘개인정보’가 무엇인지 확실히 아는 것
‘2022년 개인정보 관련 판결/결정 분석’을 주제로 첫 발표에 나선 지현진 변호사는 “개인정보보호법에서 적용되는 규제를 알기 위해서는 먼저 개인정보가 무엇인지 특정이 되야 한다”며 “플랫폼 서비스에서 개인정보를 주고 받는 과정에 유의해야 할 점, 개인정보 처리자 입장에서 개인정보를 안전하게 보호하기 위해 필요한 조치 등에 대해 이야기해 보겠다”고 말문을 열었다.
지 변호사는 우선 법적으로 규정하고 있는 개인정보를 유형별로 구분해 설명했다. 개인정보는 ‘살아있는’ 개인에 관한 정보로서 성명, 주민등록번호 등을 통해 개인을 알아볼 수 있는 정보, 특히 다른 정보와 쉽게 결합해 알아볼 수 있는 정보 또는 가명정보를 의미한다. 반면 사망했거나 실종선고 등 법적으로 살아있다고 간주되지 않은 사라의 정보는 보호 대상이 아니다.
여기서 다시 가명정보란, 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 원래 상태로 복원하기 위한 추가 정보의 사용, 결합없는 특정 개인을 알아볼 수 없는 정보로 정의된다. 그 외에는 익명정보가 있는데, 이는 시간, 비용, 기술 등을 합리적으로 고려할 때 다른 정보를 사용해도 더 이상 개인을 알아볼 수 없는 정보를 뜻한다. 지 변호사는 각각의 정의를 설명한 뒤 구체적인 사례를 통해 좀 더 명확한 설명을 이어갔다.
“개인 정보의 전 단계는 데이터라고 할 수 있어요. 어떤 숫자나 기호들로 이뤄져 아무 의미를 추출해 낼 수 없는 상태죠. 이 데이터를 조합해 개인에 관한 어떤 정보를 추출해 낼 수 있는 단계를 개인정보라고 할 수 있습니다. 또 데이터만으로도 개인에 대한 정보를 식별해 낼 수 있는 경우도 있어요. 일단 이름을 꼽을 수 있죠. 또 연락처도 마찬가지 입니다. 그 외 생년월일, 성별, 직장, 키와 같은 데이터는 개별적으로 개인정보에 해당되지 않지만 이것이 데이터베이스화 되면 그때부터는 한 개인의 이름과 생년월일, 성별, 전화번호, 직장, 신체정보 등이 다 개인정보로서 포섭이 됩니다. 특히 플랫폼 사업자의 경우 회원 정보를 이런 식으로 관리하게 되면 다 개인정보이기 때문에 이 순간부터 개인정보보호법이 적용되고, 규제에 대한 대응을 해야 합니다.”
또한 지 변호사는 “이렇게 조합된 개인정보가 반드시 사실일 필요는 없다”고 강조했다. 즉 조합된 특정인의 개인 정보 중 키가 실제 키와 다르더라도 개인정보 처리자는 정보 주체가 입력한 정보라면 개인정보로 취급해야 한다는 것이다. 더구나 이런 각각의 데이터들은 어떻게 조합되느냐에 따라 개인정보 유무가 갈린다는 점도 유념할 필요가 있다.
“직장명 같은 경우는 사실 개인정보가 아니라고 할 수도 있습니다. 사업자에 관한 정보니까요. 하지만 이 데이터가 특정 식별자의 이름과 연락처 등의 개인정보와 연결되는 순간 개인정보가 될 수 있습니다. 즉 어떤 개인정보는 하나만 있을 경우는 개인정보가 아닐 수 있지만, 다른 정보와 결합되는 순간 개인정보보호법 적용 대상이 될 수 있다는 거죠.”
이러한 관점에서 볼 때 앞서 언급된 사망자 혹은 실종선고 대상의 개인정보 자체는 보호대상이 아니지만, 유족과의 관계를 나타내는 정보가 포함될 시에는 다시금 개인정보가 되며 법 적용 대상이 될 수 있다는 점도 고려할 필요가 있다.
이렇듯 개인과 관련된 다양한 데이터들은 다른 정보와의 조합 가능성, 혹은 연계를 통해 경우에 따라 개인정보보호법의 적용을 받는 개인정보로 규정될 수 있다. 지 변호사는 그 사례를 ‘휴대전화번호 뒤 4자리’ ‘차량번호’ ‘IMEI(단말기 고유식별번호)/USIM 일련번호’ ‘이메일 주소’ ‘아이디와 비밀번호’ 등과 관련된 판례를 들어 설명했다.
개인정보, 수집과 이용 규정 꼼꼼히 챙겨야
개인정보의 정의를 확실히 파악했다고 해도 플랫폼 사업자가 해결해야 할 과제는 또 있다. 바로 개인정보를 주고 받는 과정에서 발생하는 법적 문제들이다. 대표적으로는 플랫폼 서비스가 고객의 개인정보를 수집·활용하기 전 동의를 얻는 과정이다. 지 변호사는 필수적으로 포함되야 할 내용을 강조했다.
“개인정보를 수집할 때는 정보 주체에게 일정한 사항을 알리고 동의를 받아서 수집해야 합니다. ‘개인정보의 수집·이용목적’ ‘’수집하고자 하는 개인정보의 항목’ ‘개인정보의 보유 및 이용기간’ ‘동의 거부권 고지 및 거부에 따른 불이익의 내용’ 등이죠. 각각의 내용은 명확한 목적과 최소수집원칙을 준수해야 합니다. 특히 개인의 신념이나 건강 등에 관한 정보, 여권번호, 운전면허 번호 등 고유식별번호는 별도 동의가 필요하고 만 14세 미만의 개인정보는 더 까다로운 법정대리인 동의 확인 절차가 필요합니다. 다만 플랫폼 사업자의 경우는 특례가 적용돼 네 번째, 거부권 고지 부분은 하지 않아도 무방합니다.”
지 변호사는 “많은 플랫폼 사업자 분들이 이렇게 법에서 요구하는 수집 고지 절차를 준수하면서 이용자에게 불편을 주지 않는 UI를 고민한다”면서도 “이를 제대로 지켜야 과징금이나 과태료, 시정명령 같은 제재 처분을 받지 않는다”고 강조하며 페이스북, 넷플릭스, 구글 등의 위반 사례와 과징금 등의 제재 내용을 설명하기도 했다.
또한 지 변호사는 정보 주체가 되는 고객의 입장에서 ‘서비스 제공에 정말 필요한 정보인지’ 꼼꼼하게 확인하는 노력이 필요함을 강조했다. 특히 서비스 제공에 필요 업는 개인정보를 수집하는 것에 그치지 않고 필수 입력 항목으로 설정할 경우 ‘최소수집 원칙’ 위반으로 제재를 받을 수 있다는 것이다.
“대표적인 최소수집 원칙 위반 제재 사례로 지난해 과태료 부과 제재를 받은 ‘코빗’의 사례를 들 수 있습니다. 코빗이 한동안 이슈로 서비스를 중단했다가 재개할 때 갑자기 셀피 사진을 요구하면서 문제가 됐죠. 취지는 본인 확인을 더 엄격히 하겠다는 것이었는데, 걸 개인정보보호위원회에서는 휴면 계정을 해제하는데 필요한 정보는 아니라고 본 겁니다. 이러한 제재를 피하기 위해서는 제공하려는 서비스가 무엇인지 명확하게 설정하는 게 중요해요. 간혹 개인정보 처리 방침 등을 유사한 플랫폼에서 가져다 쓰시는 경우가 있는데 그럴 때 이런 문제들이 발생하니 꼭 유의하실 필요가 있습니다.”
그 외에도 지 변호사는 마케팅 등의 용도로 제3자에게 개인정보가 제공되는 경우에는 별도의 고지와 동의 절차가 필수적임을 강조했다. 다만 쇼핑몰 등이 상품 배송 과정에서 배송업체 등에게 업무 위탁 처리를 하는 경우는 이에 해당되지 않는다. 즉 업무위탁은 제3자 제공과 다르게 동의를 받을 필요가 없다는 것이다. 다만 업체의 정확한 상호와 어떤 목적으로 위탁하는지 등은 공개해야 한다. 또 개인정보보호법에서는 업무위탁 시 위수탁 계약서를 작성 할 것을 요구하고 있다.
지 변호사는 개인정보 보호책임자의 역할과 업무의 중요성 역시 재차 강조했다. 개인정보의 처리에 관한 업무를 총괄하는 자로서 반드시 대표자나 등기임원이 이를 수행해야 한다는 것이다. 개인정보 보호책임자는 개인정보의 유출 및 오용·남용을 방지하기 위한 내부통제시스템을 구축하고 개인정보 파일을 보호하며 관리·감독하는 의무 등을 준수해야 한다. 지 변호사는 “만약 개인정보가 유출된 상황 역시 제대로 대처해야 피해를 최소화 할 수 있다”고도 강조했다.
“개인정보 보호 조치를 한다고 했지만, 그래도 유출 될 경우는 즉시 정보 주체에게 통지를 하고 한국인터넷진흥원에 24시간 이내에 신고를 해야 합니다. 또 한국인터넷진흥원의 조사도 받으셔야하고요. 잘못이 발생할 경우 최대한 협조를 해야 제재 처분도 최소화되고 정보 주체의 피해도 최소화 할 수 있습니다. 서비스 회복도 빨리 이뤄지고요.”
그 외에도 지 변호사는 법령에 따라 보존해야 하는 개인정보와 파기해야 하는 개인정보, 파기 과정에서 이행해야 할 ‘파기의무’ 등에 대해서도 중요성을 언급하며 개인정보보호위원회의 지침을 반드시 확인하고 준수해야 한다고 강조했다.
소셜댓글