- 개인정보가 아니면 정보주체 동의없이 영리 이용, 판매도 가능
- 인공지능 산업 경쟁력이 개인정보보호 완화 이유 될 수 없다
.
최근 개인정보보호위원회(위원장 고학수)가 자동차번호 정보가 “일반적인 경우” 개인정보가 아니라는 해석을 내놓았다. 개인정보보호위원회는 지난 10월 14일 <이동형 영상정보처리기기를 위한 개인영상정보 보호·활용 안내서> 발표를 통해 이 해석을 공식화하였다. 이 안내서는 개인정보보호위원회가 인공지능에 맞추어 발표하고 있는 ‘6대 가이드라인’의 하나이다. 우리 단체들은 인공지능을 이유로 개인정보보호위원회가 개인정보보호법의 해석을 완화하는 지침을 계속 발표하는 데 대하여 깊은 우려를 표한다. 앞서 우리 단체들은 6대 가이드라인에 속하는 공개된 개인정보 안내서에 대해서도 무분별한 활용을 우려하는 입장을 발표한 바 있다.
우선 개인정보보호위원회가 “일반적인 경우” 자동차번호 정보가 개인정보가 아니라고 주장하는 근거는 2020년 개인정보보호법이 개정되었다는 데 있다. 개인정보보호법에는 “해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보”가 개인정보로 규정되어 있지만, “이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다.”는 단서가 신설된 것이 사실이다(제2조 제1항 나목). 개인정보보호위원회는 이 단서를 들어 자동차 번호 정보가 “일반적인 경우”는 개인정보가 아니고 이 정보를 처리하는 기업 등 개인정보처리자가 차주정보를 입수해서 결합하는 “예외적인 경우”에만 개인정보라고 주장한다(위 안내서 8쪽).
그러나 이러한 해석은 개인정보보호위원회가 보도자료에서 밝힌대로 “자율주행 인공지능(AI)”과 “첨단 모빌리티 산업 경쟁력 강화”만을 위한 것일 뿐, 자동차번호의 정보주체인 국민에게는 황당한 일일 수밖에 없다. 과거 개인정보보호위원회는 자동차번호가 개인정보라고 해석하면서 이를 수집하거나 활용할 때 정보주체인 해당 차량 소유자의 동의를 받아야 한다고 결정해 왔다. 이는 위 단서 추가와 무관하게 개인정보처리자 뿐 아니라 제3자 누구라도 알아볼 수 있으면 개인정보로 보았기 때문이다. “합리적으로 고려하여야 한다”는 단서는 불법적인 수단 등 극단적인 정보 입수가능성을 상정하여서는 안 된다는 취지일 뿐, 개인정보처리자가 정보주체의 성명 등 완전한 신상정보를 가지고 있지 않으면 해당 정보를 개인정보에서 배제하는 근거가 될 수는 없다.
그런데 그때는 개인정보가 맞지만 지금부터는 아니라고 본다는 것은, 앞으로 기업들이 정보주체의 동의 없이 자동차번호 정보를 제한없이 영리적으로 처리하고 판매하는 일이 가능해졌다는 의미이다. 반면 자율주행차가 함께 수집하는 얼굴정보의 경우에는 여전히 개인정보이기 때문에 정보주체의 동의를 받거나 익명화해야 한다. 자율주행차를 내세우지만 자동차번호에 대해서만 규제를 완화하는 해석인 것이다. 자동차번호 규제 완화는 그간 중고차플랫폼 등 자동차번호를 이용하는 기술 기업들이 꾸준히 요구해 온 바이기도 하다.
유럽연합 개인정보보호법인 GDPR을 비롯하여 세계 여러나라 개인정보보호법에서는 자동차번호 정보를 개인정보로 보고 있다. 왜냐하면 개인정보는 그 정보를 처리하는 개인정보처리자가 비록 지금 해당 정보주체가 누구인지 알아볼수 없더라도 제3자 누구든지(by another person) 해당 정보의 정보주체를 알아보고 결합할 수 있으면 개인정보라고 인정되기 때문이다. 예를 들어 2021년 노르웨이 개인정보보호당국은 국내 통행료 회사가 중국의 번호판 처리업체에 자동차번호를 전송한 사건에서 이 정보가 개인정보라고 확인하였으며, 그밖에도 유럽연합에는 이와 유사한 결정례들이 무수히 존재한다. 유럽 외에는 캐나다 연방개인정보보호당국인 OPC가 자동차번호 정보를 개인정보라고 해석한 바 있다.
개인정보처리자의 관점에서 지금 차주 등 정보주체를 알아볼 수 있는지를 기준으로 개인정보를 인정하겠다는 개인정보보호위원회의 해석은 자동차번호 정보의 보호만 위태롭게 하는 것이 아니다. 비슷한 번호 형태인 휴대전화번호, 단말기고유번호도 문제가 된다. 이들 정보를 처리하는 기업이 해당 번호의 정보주체 이름을 정확히 모르면 개인정보가 아니라는 말인가? 그렇다면 동의 없이 이 정보들을 처리하고, 판매하고, 심지어 유출하여도 정보주체는 보호받지 못하는 것인가? 이는 그간 법원이 개인정보의 개념을 해석하고 인정해 온 판례와도 크게 어긋나는 해석이며, 국제적인 개인정보 개념의 통용성에도 부합하지 않는다.
윤석열 정부 들어 개인정보보호위원회는 정부 국정과제를 강조하며 산업계 애로사항 해소를 장담하고 있다. 심지어 개인정보보호위원회 위원장은 윤석열 대통령을 인용하며 개인정보 ‘보호’를 빼고 데이터 정책기관으로 개편하겠다는 포부를 드러내기도 하였다. 그러나 이는 정보주체의 헌법상 기본권인 개인정보자기결정권을 보호하기 위하여 개인정보보호법을 제정하고 이를 전담하는 독립규제기관으로 개인정보보호위원회를 설립한 취지와 크게 어긋난다. 개인정보보호위원회가 정부와 피규제 기업으로부터 독립적으로 정보주체의 개인정보자기결정권을 보호해야 할 소임을 저버리려는 것인지 우리는 심각하게 우려하고 있다.
인공지능 기술과 관련 산업 경쟁력을 지원한다는 명분으로 개인정보보호법의 해석을 완화하는 일이 정당화될 수 없다. 비록 이 신기술이 공개된 개인정보 등 수많은 데이터의 활용을 필요로 하지만, 그 데이터 처리 과정에서 개인정보에 대한 기본권이 침해되지 않도록 세계 여러나라 개인정보감독기구가 최선을 다하고 있다. 우리는 개인정보보호위원회가 현 정부의 국정과제와 산업계의 이해관계를 해결하기 위한 심부름을 자처하는 경향에 대하여 엄중 경고한다. 만약 정부의 편향된 해석으로 정보주체의 개인정보가 무단으로 처리되고 유출되는 일이 발생한다면 우리는 적극적으로 공익소송을 제기하여 법원의 해석을 촉구하고 인공지능 시대에 정보주체를 보호하기 위하여 꾸준히 노력할 것이다.
2024년 10월 28일
민주사회를 위한 변호사모임 디지털정보위원회, 정보인권연구소, 진보네트워크센터, 참여연대