동의하기 힘든 '개인정보동의'...누굴 위한 건가?

김영란 한국인터넷기업협회 기획국장

매월 마지막 주 평일 중 하루, 오전 8시에 열리는 클럽이 있습니다. 클럽 이름은 ‘굿인터넷클럽’. 삼성동에 위치한 한국인터넷기업협회에서 열리는 이 간담회는 인터넷 산업과 관련해 현 시점에서 가장 뜨거운 이슈를 분야의 전문가들이 논의하는 자리입니다. 이 따끈한 논의를 그대로 옮겨 담아 ‘핫사이트’(현 시점에서 가장 뜨거운 통찰)란 코너에서 지디넷코리아 독자들과 함께 공유해보고자 합니다.

암호화폐부터, 모빌리티, 간편결제 등 인터넷 산업의 긍정성을 주제로 함께 생각하고 논의하는 자리로 마련된 이 클럽은 지난 26일자로 어느새 56회째를 맞이했습니다. 이번 56회 클럽은 ‘개인정보 동의제도 개선의 필요성’을 주제로 진행됐습니다. 여기저기서 날아오는 이메일에 우리가 습관적으로 클릭하던 동의에 대해 다시금 생각해보는 자리였습니다.

■ 보호도 활용도 하지 못하는 사전동의제도

왼쪽부터 성균관대 김민호 교수, 중앙대학교 이인호 교수, 한국소비자연맹 정지연 사무총장. 구태언 변호사, 서울과기대 김현경 교수.

김민호 교수(성균관대): 오늘 이 자리는 개인정보 동의제도가 개선이 필요한가? 만약에 개선한다면 어떤 방향으로 개선하는 것이 바람직할까에 대해 논의를 해보고자 모인 자리입니다. 우리나라는 일반정보, 민감정보, 고유식별정보까지 단계별로 동의하게끔 복잡하고 형식적인 동의제도가 정착하고 있습니다.

빅데이터, 4차 산업의 시대를 맞이하는 지금 이런 동의제도가 개인의 정보를 실질적으로 보호하고 있는 것인지 논의가 필요한 것 같습니다. 먼저, 제도에 현황과 문제에 대해 들어보고 싶습니다.

이인호 교수(중앙대): 먼저, 제가 초기에 개인정보 관련해서 글도 좀 쓰고 그랬는데... 개인정보자기결정권을 제가 잘못 소개한 것 같아요.(웃음)

지금 돌이켜보면 제가 설계한건 아닙니다만, 우리나라에서는 이 개인정보자기결정권에 대해 오해를 하고 있는 것 같습니다. 동의는 개인이 갖는 자유의사입니다. 이 동의에 대한 철회 역시 우리는 언제든지 할 수 있습니다. 동의는 철회를 합법화 시켜주는 하나의 요소일 뿐입니다.

개인정보자기결정권, 유럽에서는 개인정보보호권이라 부르는 이것은 동의와는 다릅니다. 이것은 나의 관한 정보를 누군가가 처리하는 지 알 권리, 접근할 권리, 수정할 권리, 삭제할 권리를 의미합니다. 개인정보가 누구의 것이냐고 할 때, 동의한다고 해서 개인의 것이라고 할 수 없는 것이죠. 우리나라처럼 사전 동의를 원칙으로 해놓고 동의가 없으면 불법이다라는 나라는 세계 어디에도 없습니다. 일본에서는 목적을 특정하고 목적의 범위 내에서 개인정보를 자유롭게 이용하도록 돼있고요. 개인이 사후에 거부할 수 있는 것이고요. 미국도 마찬가지입니다. 우리나라에서는 설계가 잘못된 것이죠.

정지연 사무총장(한국소비자연맹): 저는 소비자 운동을 하는 사람이기 때문에 이용자 관점에서 말씀을 드려야 할 것 같아요. 우리나라의 개인정보 법제는 소비자 보호도 제대로 되지 않으면서 사업자는 사업자대로 어려움을 겪게 하는 문제가 있는 법제인 것 같습니다.

소비자 입장에서도 알지도 못하는데 막 동의하게 해놓고 동의를 했으니까 사업자가 면책이 되는, 면피용으로 사용하는 지금의 동의제도는 분명히 개선될 필요가 있다고 생각이 되기는 하는데요.

다만, 현 상황에서 동의제도 마저 사라졌을 때 소비자가 어떤 식으로 보호를 받을 수 있을지는 의구심이 들 수밖에 없거든요. 소비자 입장에서는 수많은 개인정보 침해 사고를 경험하면서 업계가 제시하는 부분에 대해 신뢰가 없는 상황이고, 저도 소송을 진행하면서 경험해보면 피해에 대해서 소비자가 적절하게 보상받을 수 있는 법적인 시스템 자체가 갖추어져 있지 않거든요. 이 부분에 대해서 우려가 있는 상황입니다.

구태언 변호사(법무법인 린): 저는 보통 개인정보 활용론자로 잘못 알려져 있는데, 사실 굉장한 보호론자입니다.(웃음) 특히, 개인정보도 제대로 보호하지 못하면서 이 빅데이터의 시대에 경제산업 발전 역시 기여하지 못하는 두 가지 실패, 이중실패에 빠져있는 것이 개인정보보호법이라고 생각합니다.

생각해보면 사유재산권도 개인의 자유를 보장할 것 같지만 굉장히 제약이 많습니다. 예로 자동차도 공해가 심해지면 2부제 운행으로 정부가 강제를 합니다. 부동산도 보유나 거래까지 제한을 합니다. 개인정보는 개인의 것인 것 같지만 사회적 자산이거든요. 개인의 것이기도 하지만 사회가 함께 활용해야 하는 것이기도 하거든요. 이런 양면적인 점을 이해하지 못하고 개인정보자기결정권이라는 이름으로 잘못 설계한 것 자체가 문제라고 생각합니다.

말씀드린대로 동의제도의 문제는 개인의 사전 동의로 모든 것을 통제하게 하는 것 즉, 개인에게 모든 부하를 걸어놓은 것에 있다고 생각합니다. 99년 2000년에 개인정보보호법을 실행했을 때만 해도 1년에 사이트 3~4개만 가입하면 됐습니다. 개인정보동의를 할 게 별로 없었어요. 그런데 지금은 4차산업혁명 시대잖아요. 아무리 적게 잡아도 1천개 이상의 서비스가 여러분을 둘러쌓고 있을 겁니다. 이 서비스에 대해서 일일이 동의권을 행사한다는 게 말이 됩니까? 결론적으로 정부가 일정 기여를 해야 한다고 생각합니다. 공정거래법처럼 표준약관을 배포하는 등 책임을 맡은 부서가 적절한 활약을 통해 문제를 해결하는 방식을 지향해야 된다고 봅니다.

김현경 교수(서울과기대): 사전에 질문지를 받고 열심히 준비했는데 앞에서 좋은 이야기를 다하셔서(웃음) 몇 가지만 말씀드리면 지금 개인정보보호법 개정이 국회에 계류돼 있고, 통과도 불투명하죠. 정부는 이 공을 국회 탓으로 돌리기 좋은 상황입니다. 만약 국회에서 통과되면 이 법이 효과를 바로 나타낼까요? 저는 한계가 있다고 생각합니다.

우리나라가 보면 2013년부터 빅데이터 계획이 수립되고 공표돼 왔는데요, 그런데도 기업 기관의 활용률은 10%도 안 됩니다. 이 수치는 사실 정책에 있어서 정부가 책임져야 하는 부분입니다. 왜 이렇게 되었을까? 정부는 개인정보보호법 때문에 그렇다라고 말씀을 하시는데 그 핵심이 그 사전동의에 있는 것 같습니다. 실태조사를 해보면 그 깨알 같은 글씨를 읽고 동의하는 게 30% 정도라고 나와 있습니다. 이 동의에다가 모든 개인정보의 책임을 묻는다면 이것은 보호도 활용도 아닙니다. 또, 이것은 반쪽자리 규범입니다. 우리나라 기업에게만 적용된다는 거죠.

정지연 사무총장님이 말씀하셨던 대안에 대해서는 저는 정부와 자율적인 의사결정기구 같이 작동할 필요가 있다고 생각합니다. 정부와 기구가 인증한 정보 처리자와 기업에 대해서는 포괄동의를 허용하는 것이 바람직하다는 것이죠. 현재는 필수동의, 선택동의 이렇게 나눠서 정부의 가이드라인을 따르고 있습니다. 개인정보보호 방법이 반드시 그것만 있는 것은 아닌데 기업이 부담을 느끼면서 지킬 수밖에 없는 상황인거죠. 이로 인해 글로벌 기업과의 역차별이 일어난 상황입니다. 그래서 인증 받은 기관에 대해 포괄동의를 가능하게 하고 차츰 확장하는 것이 현실적인 방안이 아닐까합니다. 물론 이 개인정보 규범이 글로벌 수준에 부합해야 해외 사업자에게도 준수하라고 할 수 있을 것입니다.

■ 포괄적 동의는 확대, 정부 가이드는 최소화

김민호 교수: 네 분께서 적절히 시간을 안배하면서 해주셔서 감사합니다. 다음 질문에 대한 답변도 섞어서 해주셔서(웃음), 좋은 말씀들 많이 해주셨습니다. 우리는 언젠가부터 이분법적 사고가 지배하는 것 같습니다. 개인정보를 무분별하게 막 쓰자는 분은 연구자나 학자 중에 아무도 없는데 보호론자, 활용론자로 나눠서 규범화 해버리고 있습니다. 저는 활용론자로 찍혀있고요. 하지만 결코 그렇지 않습니다. 보호돼야 된다는 전제는 동일합니다. 다만 방법상의 차이가 있을 뿐입니다.

정 사무총장님께서는 동의마저 완화된다고 하면 지나치게 개인정보가 남용될 수 있을지 않을까 우려를 하셨습니다. 이것은 형식적 동의만을 안전핀으로 생각하고 접근해왔기 때문입니다. 사전동의 이외에도 제도적 장치를 충분히 만들 수 있음에도 불구하고 이 동의에 함몰돼 있다는 생각을 많이 합니다.

마지막으로 우리 동의제도를 어떻게 하면 안전하게 활용하고 또 보호할 수 있을까, 개선할 수 있을까에 대해서 발언을 먼저 하시고 싶은 분부터 말씀주시죠.

이인호 교수: 저는 사회 전체의 인식을 먼저 변화시킬 필요가 있다고 봅니다. 개인정보가 누구거냐? 라고 물으면 정보 주체 즉 개인의 것이라는 대답을 많이들 하십니다. 그런데 이 질문자체가 잘못됐다고 저는 개인적으로 생각합니다. 정보는 누구의 소유가 될 수 없는 것이고요. 그런데 많은 분들은 나의 인격의 한 요소고, 내가 조정할 수 있어야 된다고 생각하세요. 현실은 그렇지 않습니다. 모든 거래에서 정보가 상대방에게 전달됩니다. 이런 상황에서 개인정보가 개인의 것이다라는 것은 현실을 전혀 다르게 이해하는 겁니다. 정보 주체는 정보 처리자가 컨트롤하는 상황을 역으로 감시를 하는 겁니다. 그래서 개인정보보호권을 줘서 오남용 되지 않도록 하는 거지, 개인의 것이다라는 것은 현실하고 전혀 맞지 않습니다. 특히, 4차 산업에서는 더더욱 그렇고요. 그런 인식을 바꿔야 하는 데 잘 바뀌지 않습니다. 이게 유럽의 영향 같기도 한데요, 그렇더라도 유럽에도 이렇게 인식하는 것 같진 않은데요. 뭔가 잘못된 이해가 있다고 보고요.

또 동의는 개인에게 내재하는 본원적인 권리입니다. 이 동의의 의미를 잘못이해하고 있는 거죠. 동의는 해줬을 때 정보처리의 위험성을 스스로 인수, 받아들이는 거죠. 그리고 그 인수를 언제든지 거부할 수 있게 하는 겁니다. 그것은 이미 우리 법제 안에서 인정이 됩니다. 동의 자체를 없앨 수 없는 것이고요. 다만 사전동의 원칙으로 하는 제도가 문제고요. 동의는 요소일 뿐인데 그걸 전부로 생각하는 겁니다.

그 다음에는 그걸 위반했을 때는 형사처벌로 처리를 합니다. 이렇게 되면 겁이 나서 누구도 동의 없이는 활용하지 못합니다. 포괄적 동의를 인정하지 않기 때문에 사항을 변경할 때 마다 동의를 받아야 합니다. 그러니까 동의에 지나치게 부담을 지워놓고는 정보 주체를 보호할 수 있는 제도를 갖추지 못하고 있습니다. 이 형사처벌 조항을 없애야 하고요. 독일은 개인정보 오남용에 대해서 친고죄로 돼있습니다. 우리는 동의 안 받고 정보처리를 했다는 이유만으로 5년 이하 징역입니다. 이것은 4차 산업을 하지 말라는 것과 똑같습니다.

특히, 우리는 삭제, 정정 청구권이 인정이 됩니다. 여기에 요건도 없고 항변사유도 없고 예외도 없습니다. 예를 들면 해외에서는 정정권에서 틀린 정보가 있을 때라는 요건이 있는데 우리는 없습니다. 제도를 설계할 때 정밀하게 설계를 못 한겁니다. 적어도 GDPR만큼이라도 설계를 정교하게 해야 4차 산업이 가능하다고 봅니다. 동의제도 뿐만 아니라 전체 보호체계를 재점검해야 한다고 생각합니다.

정지연 사무총장: 저는 기술의 발전이 소비자 후생을 증진시키는 방향이어야 한다고 생각하고 있고, 데이터 경제 시대에 활용을 제대로 못한다는 것은 소비자에게 바람직하지 않은 방향이라고 생각되거든요. 시민단체들이 개인정보 활용에 대해서 걸림돌이 되는 것처럼 말씀하시지만, 사실은 법제의 현실 안에서 문제점을 지적하는 것뿐이지 활용에 있어서의 가치도 중요하게 생각하고 있습니다. 이 부분에 대해서 오해는 없으셨으면 좋겠고요.

어쨌든, 사전 규제보다 사후 규제로 전환되는 형식이 중요하다고 생각이 되고요. 아까 구변호사님과 김 교수님이 말씀하셨던 것처럼 일정 부분에 대해 포괄적 동의를 받는 것에 대해서는 좋은 대안이라는 생각이 들고 그 부분은 긍정적으로 발전시켰으면 좋겠다는 생각이 듭니다.

다만, 정부가 가이드라인을 주는 것에 대해서 우려되는 부분은 기업들이 그것까지만 하는 경향들이 있거든요. 또 법적체계를 다 고치기까지는 많은 시간이 들기 때문에 그 중간단계에 대해서는 충분히 고민하고 고려할 수 있다는 생각이 듭니다.

구태언 변호사: 동의 문제를 이야기할 때 꼭 지적하고 싶은 게 있는데요. 개인정보보호라는 용어의 함정입니다. EC 개인정보 보호지침에 대한 오해가 있는데, 논의의 핵심은 개인을 보호하자는 것인데 정보를 어떻게 처리할 것인가에 대한 문제거든요. 그런데 개인에 대한 보호는 잊고요. 정보 보호가 목적인 것처럼 착각해온 것이 지난 20년입니다.

어떤 일들이 벌어지냐면 소비자 보호를 위해선 그 정보를 처리해야 돼요. 그런데 동의가 없으니까 처리를 못해요. 아동의 보호를 위해서는 정보를 처리해야 하는데, 아동의 동의가 없다고 그 정보를 처리를 못해요. 이런 주객이 전도되는 상황이 발생하는 거죠. 예를 들어 아동이 실종되면 경찰에 신고하겠죠. 이동통신사에서는 아동을 보호하기 위해선 정보를 경찰에 줘야 되잖아요. 그런데 아동의 동의가 없으니까 줄 수 없다고 이야기를 하는 겁니다. 이런 이야기가 2년 전까지 있었습니다. 개인정보보호는 개인정보를 지키고 있어요.

다시 한 번 말씀드리면, 개인정보보호는 개인정보 처리에 있어서 목적에 따라 달라질 수 있다는 것이 포인트입니다. 예를 들면 AI 등을 활용한 비서 서비스를 제공하려면 포괄동의를 해줘야 되는 거죠. 그리고 개별적으로 봐서 부분에 대한 동의를 철회할 수 있어야 하는 거죠. 즉, 포괄적 옵트-인(Opt-In), 개별적 옵트-아웃(Opt-Out)이 결합되는 것이 가장 이상적이라고 보고요. 미국 기업들이 이렇게 진행하고 있습니다. 우리도 이런 식으로 발전해야 된다고 생각합니다.

김현경 교수: 저는 필요 최소한의 정보 수집에 대해서 이야기하고 싶습니다. 필요 최소한의 정보만 수집하라고 정부의 가이드라인이 있기 때문에 필요 최소한의 정보를 필수동의로보고, 나머지를 선택 동의로 구분하는 것이 우리나라 현실입니다. 필요최소 한의 범위에 대해서 서비스 따라 달라질 수 있고 주관적인 부분이거든요. 이런 부분에 대한 개선이 꼭 필요하다고 생각합니다.

또 우리가 고민해야 되는 부분은 공권력 남용에 대한 국민의 권리입니다. 정부가 개인정보를 제일 많이 갖고 있죠. 정부가 어떻게 쓰는지에 대해서는 국민이 관심이 없는 것 같습니다. 기업에 대한 관심 위주로 가고 있죠. 오히려 기업과 개인은 계약의 문제죠. 정부가 어떤 수단으로 개인정보를 활용하는지에 대한 논의는 쏙 들어간 것 같습니다. 예로 우리나라는 개인정보 국외이전 동의만 하면 개인정보의 국외 유출이 가능하게 돼있습니다. 과연 국민의 개인정보를 타국의 공권력에 의해서 남용되게 하는 것이 맞는지에 대한 공익적 차원의 논의가 배제된 것을 고민해야 합니다.

■ 정작 보호해야할 것은 사람