개인정보 수집 유형별 정보 주체의 권리 행사 시나리오 [알아야 보이는 법(法)]

인터넷 서비스 제공자가 개인정보를 수집하는 형태를 크게 세가지 유형으로 구분할 수 있다.

첫째 정보주체가 서비스를 이용하기 위해서 직접 입력하는 개인정보이다. 회원가입 폼(form)에 이용자가 직접 입력하는 아이디와 비밀번호, 연락처, 주소 등이 그 예시이다.

둘째 정보주체가 서비스를 이용하는 과정에서 생성·관측된 행태정보이다. 웹 브라우저를 통한 서핑 이력과 메신저를 통해 주고 받은 대화 내용, 사회관계망서비스(SNS)에서 누른 ‘좋아요’ 정보, 위치·동선정보 등이다. 행태정보가 법률상 개인정보인 이유는 ‘이미 식별된 개인’의 속성을 관측·기록하기 때문이다. 행태정보는 개인정보로서 쓰일 수도 있고, 비식별 처리가 될 수도 있다. 전자의 예시는 당해 이용자의 다음 행동을 예측하여 맞춤형 서비스(특히 관심분야 광고)를 제공하는 것이다. 후자의 예시는 ▲데이터에서 이용자의 이름표를 떼어내거나(익명정보) ▲풀어볼 수 없는 암호문으로 대체하고(가명정보) ▲각 데이터의 내용을 누구 것인지 알아보지 못하도록 만들어서 통계를 내거나 인공지능(AI)을 대상으로 학습을 시키는 일이다. 양자의 차이점을 보면, 전자는 각 데이터가 어느 이용자의 것인지 나타내는 연결(link) 정보를 서비스 제공자가 알고 쓰는 것이고, 후자는 그러한 연결정보를 지우고 쓴다는 것이다.

셋째 정보주체 이외 출처에서 수집한 정보이다. 인터넷 크롤링 데이터가 대표적 예시이다. 크롤링 데이터에는 이것이 이용자 누구의 것인지 나타내는 연결정보가 없다. 앞서 살펴본 행태정보는 이것이 어느 이용자의 것인지 알고 수집한 것이기 때문에 개인정보인 반면 인터넷 크롤링 데이터는 그렇지 않으니 기본적으로는 개인정보가 아니어야 할 것이다. 다만 크롤링한 데이터 내용을 들여다보았을 때 개인을 추론(이른바 ‘신상털이’)할 가능성이 있다면 개인정보에 해당할 여지가 생긴다.

개인정보 처리자를 상대로 정보주체는 열람권, 정정·삭제요구권 및 처리정지요구권이라는 개인정보 보호법상 권리를 행사할 수 있다(개인정보 보호법 제35조 내지 제37조). 먼저 열람권은 데이터를 투명하게 보여 달라는 것이고, 정정요구권은 업데이트를 요청하는 것이며, 삭제요구권 및 처리정지요구권은 지워 달라는 것이다. 이 중 지워 달라는 요구(이른바 ‘opt-out’)가 주로 쟁점이 되므로, 이럴 때 위 세가지 유형별로 어떤 시나리오가 펼쳐지는지 살펴보자.

먼저 정보주체가 직접 입력한 개인정보라면 비교적 단순하다. 이것이 해당 서비스를 이용하는데 꼭 필요한 이른바 ‘컨트랙추얼 네시시티’(contractual necessity)에 해당하는 정보라면, 정보주체가 서비스 해지 및 회원탈퇴 의사를 밝히지 않는 한 개인정보 처리자는 삭제 요구에 응할 수 없을 것이다. 한편 이것이 해당 서비스에 반드시 필요하지는 않은 ‘선택 항목’이라면 삭제 요구에 응해야 한다는 것이 기본 구조이다.

다음으로 행태정보를 ‘개인정보’로서 썼다면, 즉 특정 이용자와 연결된 행태정보를 맞춤형 서비스 등 용도로 사용했을 때 정보주체는 본인의 행태에 관한 정보를 지워 달라고 요구할 수 있다. 이때 다른 법률에 데이터 보존의무(예: 전자상거래 기록 보존의무)가 규정되어 있다는 등의 예외사유가 없다면 개인정보 처리자는 삭제 요구에 응해야 한다. 한발 더 나아가 정보주체는 행태정보 자체를 지우지 않고 보존하되 이 데이터를 가지고 자신에 대한 분석을 하지 말라고도 요구할 수 있다. 이것이 ‘프로파일링 거부권’인데, 현행법에는 아직 도입되어 있지 않고, 지난 1월6일 입법예고된 개인정보 보호법 개정안에 ‘자동화 의사결정에 대한 배제 등의 권리’라는 이름으로 추가되어 있다.

한편 ‘비식별 처리’가 된 행태정보에 대해서는 정보주체가 위 권리를 행사하지 못한다(개인정보 보호법 제28조의7, 제58조의2). 이용자의 이름표가 지워져 있거나(익명정보) 풀 수 없는 암호문으로 치환되어 있어(가명정보) 그 처리자가 특정 정보주체로부터 삭제 요구를 받더라도 어느 데이터를 지워야 하는지 찾을 수 없기 때문이다. 예외적으로 비식별 처리가 불완전하게 된 때, 예컨대 데이터에 이름표가 안 붙어 있더라도 그 내용을 보고 누구의 정보인지 추론할 수 있다면, 이것은 익명정보 또는 가명정보로서 요건을 구비하지 못하기 때문에 여전히 개인정보로 취급되어 이에 관한 규제를 받는다.

마지막으로 정보주체 이외의 출처에서 수집된 정보에 대해서는 다소 애매한 측면이 있다. 현행법상 ‘개인정보’에 해당되기만 하면 그 처리자가 이것을 개인정보로서 처리할 의도가 있든 없든, 정보주체의 삭제요구권 등을 보장해야 한다. 인터넷 크롤링 데이터는 이용자와의 연결정보가 없기는 하지만, 그 내용을 들여다보았을 때 그 사람이 누구인지 추론될 가능성이 발견되면 개인정보가 될 수 있다.

이 대목에서 쟁점이 발생한다. 예컨대 자연어 처리 AI 모델을 만드는 기업이 인터넷에 공개된 SNS 메시지를 크롤링하면서 해당 이용자의 ID를 비롯한 식별자 값을 처리하지 않았다면 그 기업은 SNS 메시지 내용으로부터 개인을 추론할 의도가 전혀 없지만, 해당 메시지의 작성자 본인은 자신이 쓴 글이라는 점(그 내용 중 본인의 속성에 관한 정보가 기재되어 있다면 이것이 개인정보에 해당한다는 점)을 알 수 있다. 해당 데이터는 비(非)개인정보로서 처리 중이었지만, 작성자 본인이 ”이것은 내 개인정보이므로 지워달라”고 요구한다면 이때부터 ‘개인정보’에 해당한다는 점을 기업이 인지하게 된다. 이 시점부터 개인정보에 관한 규제가 적용되어 삭제 요구에 응할 의무가 생긴다.

이 예시처럼 내용상 ‘개인정보’일 수 있지만 맥락상 ‘개인정보’로 처리되지 않는 데이터에 대해서까지 정보주체에 삭제요구권 등을 부여해야 할까. 그러한 삭제 요구에 응하는데 드는 비용은 상당한데 비해, 그 요구에 응함으로써 얻어지는 법익은 상대적으로 미미할 수 있다. 참고로 대법원은 ’로앤비 판결’을 통해 이미 공개된 개인정보를 수집하는 행위와 관련해 이를 금지할 때의 보호이익과 그 데이터의 처리이익을 비교·형량하여 적법 여부를 판단해야 한다고 판시한바 있다. 이러한 법익형량 법리를 수집단계뿐만 아니라 정보주체의 권리행사 단계에서도 고려할 필요가 있지 않을까.

생각건대 이 예시에서 기업에 “크롤링 데이터를 개인식별 목적으로 처리하지 마라”는 제약을 부과하는 것으로도 개인정보 보호 목적을 어느 정도 달성할 수 있을 것이다. 이는 데이터 자체를 지우라고 요구하는 것이 아니라, 그 데이터를 가지고 개인을 식별·분석하는 행위만 금지한다는 점에서, 앞서 살펴본 행태정보에 관한 프로파일링 거부권과 비슷한 제도로서 도입을 고려해봄직하다.

데이터 혁명 시대 위 마지막 유형의 분쟁 사례가 점점 더 많아질 것이다. 외국에서는 이 문제를 어떻게 해결하는지 살펴보는 것을 비롯하여 보다 체계적인 고민이 필요하다.