가명처리 정지 요구권과 금지 요구권의 차이점 [알아야 보이는 법(法)]

“‘전승재’라는 이동통신 가입자가 2021. 6. 2. 10:00 서울 대치동 바른빌딩에 위치한 4G 기지국에 접속했다”는 정보는 ‘개인정보’이다. 이와 달리 “2021. 6. 2. 10:00 바른빌딩 기지국에 접속한 가입자는 321명이었다”라고 통계를 내면 이것은 ‘익명정보’가 된다.

한편 위 개인정보를 “6a8b20d8 가입자가 2021. 6. 2. 10:00 바른빌딩 기지국에 접속했다”라고 바꾸면 일정한 요건 하에서 ‘가명정보’가 된다. 이 일정한 요건을 충족하려면 첫째 ‘전승재’라는 식별자를 대체한 ‘6a8b20d8’라는 암호문을 가지고 원문을 역산할 수 없어야 한다. 해시(hash) 함수를 쓰면 그러한 일방향 암호문을 쉽게 만들어낼 수 있다.

둘째 가명처리(암호화)를 하는 사람과 가명정보를 활용하는 사람의 데이터 접근 권한이 분리되어 있어야 한다. 즉 가명정보 활용자는 암호화되기 전 원문에 접근할 수 없어야 하고, 암호를 쉽게 깨지 못하도록 안전장치가 되어 있어야 한다. 예컨대 식별자 원문이 주민등록번호이고 그 해시값이 가명정보 활용자에게 전달되어 있다면 무차별 대입 공격(brute force attack)을 통해 원문을 찾아낼 수 있다. 전달받은 주민등록번호의 해시값과 ‘000000-0000000’부터 ‘999999-9999999’까지 최대 10조개(10의 13승·다만 생년월일에 들어가지 못하는 숫자를 제외한 실제 경우의 수는 이것보다 작다)의 숫자를 차례대로 같은 해시 함수로 암호화한 값 중 무엇이 일치하는지 대조해보면 된다. 이를 막으려면 가명처리를 할 때 원문에 솔트(salt)값을 붙여서 해시 처리(salted-hash)를 하고 그 솔트값을 비밀로 하는 방법이 있다. 이렇게 하면 솔트값을 모르는 이는 똑같은 해시값을 만들어내지 못하기 때문에 무차별 대입 공격이 통하지 않게 된다.

셋째 가명처리한 식별자를 제외한 나머지 속성값(attribute)만으로는 그 개인을 알아보거나 추론(이른바 ‘신상털이’)을 할 수 없어야 한다. 위 사례에서 ‘2021. 6. 2. 10:00’ 및 ‘바른빌딩 기지국’이라는 속성값만으로는, 그 시각 그 기지국에 접속한 이가 워낙 많기 때문에 데이터 원문에 나온 한 명의 개인이 누구인지 콕 집어낼 수 없다. 한편 만약 무인도에 위치한 어느 기지국에서 특정 시각에 접속한 사람이 단 1명밖에 없다면, 속성값만으로 개인을 추적할 여지가 생긴다.

가명정보는 ‘6a8b20d8’과 같이 비록 개인을 알아볼 수 없는 암호문이기는 하지만 개인별 고유값이 남아있다는 점에서 익명정보와 다르다. 예컨대 “‘6a8b20d8’ 가입자가 2021. 6. 2. 10:05 삼성역 기지국에 접속했다”는 정보가 추가로 주어지면, 가명정보 활용자 관점에서 위 ‘6a8b20d8’에 해당하는 개인이 누구인지는 모르지만 이 사람이 바른빌딩에서 5분 후 삼성역으로 이동했다는 사실을 알 수 있다. 이러한 교통·동선 흐름 통계는 익명정보로는 얻기 어렵고 가명정보로만 얻을 수 있다. 이것이 가명정보의 유용성이다.

본론으로 들어가 보자. 가명처리 ‘정지‘ 요구권이란 이미 가명처리가 끝나 이것을 활용하는 자에게 “내 가명정보를 쓰지 말라”고 요구하는 것이다. 가명처리가 제대로 되었다면 이 요구는 실현될 수 없다. 왜냐하면 가명정보 활용자가 예를 들어 전승재로부터 가명처리 정지 요구를 받더라도 이 개인이 ‘6a8b20d8’라는 사실을 알 수 없기 때문이다. 이러한 이유로 개인정보 보호법 제28호의 7은 가명정보에 대해서 처리정지 요구권이 인정되지 않는다고 규정한다.

이와 비교하여 가명처리 ‘금지’ 요구권이란 가명처리가 되기 전에 “향후 내 개인정보를 가명처리하지 말라”고 미리 요구할 수 있는 권리다. 이 요구는 기술적으로는 실현될 수 있다. 따라서 우리 법률에서 정보 주체에 가명처리 금지 요구권을 부여하고 있는지, 또는 개인정보 처리자로 하여금 가명처리 금지 요구에 응할 의무를 부여하고 있는지에 관한 법 해석은 의미가 있다.

필자의 생각으로는 우리 법상 가명처리 금지 요구권은 인정되지 않는다고 해석하는 것이 타당하다. 이 부분 법 해석을 위해서는 개인정보 보호법뿐만 아니라 민법 또한 함께 검토해야 한다.

예컨대 어느 온라인 서비스에서 A, B, C라는 목적으로 개인정보를 처리하고 있고, 이를 약관을 통해서 밝혔다고 하자. 사업자는 그 약관에 따른 서비스를 제공하겠다고 ‘청약’을 한 것이고, 이에 대해 이용자가 ‘승낙’을 함으로써 계약이 성립한다. 그런데 여기서 이용자가 “내 개인정보를 A 목적으로 처리하는 것은 허용하지만, B, C 목적으로 처리하지 말라”고 요구할 수 있는가. 이것은 “‘1+1’ 상품을 묶음 그대로 사지 않고 하나만 사면서 반값만 내겠다”는 요구와 다름없다. 사업자가 마련한 ‘기존 청약’을 거절하고 이용자가 원하는 ‘새로운 청약’을 한 것이므로, 사업자가 그 새로운 청약을 다시 ‘승낙’해야만 계약이 성립한다.

즉 위 사례에서 사업자는 “고객님께는 특별히 A 목적으로만 개인정보를 처리하는 서비스를 제공하겠습니다”라고 승낙할지 여부를 선택할 수 있고, “B, C 목적으로 개인정보를 처리하지 말라”는 이용자의 요구를 승낙해야 할 법적 의무는 일반법인 민법에는 없다. 특별법인 개인정보 보호법은 ‘홍보·판매 권유’ 및 ‘제3자 제공’이라는 특정 목적에 대해서 이용자의 별도 동의를 받도록(이용자가 이 목적에 한해서만 거부하더라도 사업자로 하여금 승낙하도록) 의무화하고 있을 뿐, 다른 개인정보 처리 목적에 대해서는 그러한 규정이 없다.

“개인정보를 가명처리하여 과학적 연구 등 목적으로 활용한다”는 것은 처리 약관에 기재하지 않아도 개인정보 보호법 제28조의 2 제1항에 의하여 허용된다. 즉 이용자가 ‘가명처리’라는 특정 목적으로 개인정보를 처리하지 말라고 요구하는 것은, 앞서 본 ‘일부 목적에 대한 처리 부동의’를 하는 것과 마찬가지이다. 사업자가 이용자의 그러한 요구를 승낙할지 선택할 수 있다는 것이 민법에 따른 일반 원칙이며, 가명처리 목적에 관하여 이용자에게 거부권을 주거나 사업자로 하여금 그 거부 요구에 응할 의무를 부여한 개인정보 보호법상 특칙도 없다.

따라서 정보 주체가 다른 개인정보 처리 목적은 승낙하면서 가명처리 목적만 쏙 골라서 거부할 법적 권리는 없다고 해석된다. 필자의 법 해석에 부합하는 견해로, 가명정보에 관한 법적 권리를 인정함에 있어서는 저작물의 공정 이용(fair use) 법리처럼 보호이익뿐만 아니라 활용이익 또한 균형 있게 고려해야 한다는 견해(정성연·http://www.kafil.or.kr/board/view?board_name=journal&article_no=363), 가명처리 금지 요구권을 인정하면 자칫 데이터 왜곡이 생겨 잘못된 사회적 의사결정을 이끌어낼 수 있음을 견제해야 한다는 견해(김한우·https://www.dailysecu.com/news/articlePrint.html?idxno=124806) 등이 있다.

한편 최근 시민단체에서 이동통신사들을 상대로 가명처리 금지 요구권을 행사한 바 있었다. 이에 대해서 개인정보 보호위원회는 KT에 “해당 이용자들의 개인정보를 향후 가명처리하지 말 것”을 골자로 하는 조정안을 제시했고, KT가 이를 수락했다.

생각건대 시민단체가 “가명처리 목적을 뺀 서비스를 제공해 달라”라는 새 청약을 하자 KT가 이에 대한 ‘별도의 승낙’을 한 것으로 보아야 할 것이다. 필자의 견해에 따르면 KT는 시민단체 측의 요구를 승낙할 법적 의무는 없지만 자발적으로 승낙한 셈이다.

참고로 이 시민단체는 다른 통신사를 상대로 소송을 제기하여 가명처리 금지 요구권을 행사하고 있다. 향후 화해 및 조정이 이루어지지 않고 판결 단계까지 진행이 된다면, 법원에서는 가명처리 금지 요구권이 법적 권리인지 여부, 즉 개인정보 처리자가 그 요구를 받아들여야 할 의무가 있는지 여부가 판단될 것이다. 어떤 결론이 내려질지 귀추가 주목된다.