[로이슈 진가영 기자] 최근 특정 SNS를 통하여 미성년자 성 착취 영상 등이 불법 유통되었고 익명성에 기댄 많은 사람들이 돈을 지불하고 이러한 영상을 구매하는 등 범죄행위에 가담한 사건이 밝혀져 큰 충격을 주고 있습니다.

더욱더 충격적인 사실은 이러한 범죄 과정에서 공익근무요원 등이 가담하여 자신들의 개인정보 조회 권한을 이용하여 피해자들의 개인정보를 불법조회하고 이를 협박의 수단으로 사용하였다는 점입니다. 피해자들은 범죄자들이 자신의 주민등록번호, 집 주소 등을 알고 있다는 사실 자체로 엄청난 무력감과 공포를 느낄 수밖에 없습니다. 이 사건은 개인정보취급자에 대한 관리가 실패할 경우 얼마나 무서운 결과를 초래할 수 있는지 보여주는 사례이기도 합니다.

현행 개인정보보호법 상 개인정보취급자는 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 직접 개인정보에 관한 업무를 담당하는 자와 그 밖에 업무상 필요에 의해 개인정보에 접근하여 처리하는 모든 자를 말합니다. 개인정보취급자는 개인정보 처리 업무를 담당하고 있는 자라면 정규직, 비정규직, 하도급, 시간제 등 근로형태를 불문하고 특별히 고용관계에 있을 것을 요구하지도 않습니다. 따라서 위 사건의 공익근무요원 역시 개인정보처리자가 지휘감독하여야 하는 개인정보취급자에 해당합니다.

개인정보처리자가 개인정보취급자에게 개인정보에 대한 무분별한 접근권한 부여할 경우 개인정보의 접근 및 유출, 오남용이 발생할 수 있으므로 개인정보가 안전하게 관리될 수 있도록 개인정보취급자에 대하여 적절한 관리감독 활동을 하여야 합니다.

구체적으로 적절한 관리감독이란 1회적인 관리행위를 말하는 것이 아니며 관리·감독을 위한 조직과 체계를 구축하는 것을 의미합니다. 또한, 개인정보취급자 수 자체를 업무에 필요한 최소한으로 제한하여야 하며 접근 권한 등을 업무에 필요한 최소한의 범위를 정의하고 업무별로 차등 부여해야 합니다. 개인정보취급자가 변경될 경우 접근권한 변경을 즉시 시행할 수 있는 체계 마련 역시 적절한 관리감독에 필수적 요소입니다. 개인정보취급자 개인으로부터 보안서약서 징구 역시 중요한 관리 사항입니다.

소위 “n번방” 사건의 경우에도 군 복무를 대신하여 투입된 공익근무요원에게 개인정보 취급 권한을 부여한 행위가 위와 같은 적절한 관리감독 하에 이루어졌는지 여부가 확인되어야 하며, 만일 적절한 관리감독이 이루어지지 않은 것으로 밝혀지는 경우, 유출행위를 한 공익근무요원뿐만 아니라 지휘감독 책임이 있는 해당 기관 역시 손해배상 등의 법적인 책임을 피할 수 없을 것으로 보입니다.

문제는 앞으로 관련 법률의 개정으로 빅데이터 활용이 활성화되면서 개인정보취급자에 대한 관리·감독의 중요성이 더욱더 커질 것이라는 것입니다. 빅데이터 활용은 피할 수 없는 시대의 흐름이지만 대량의 개인정보(가명정보)가 집적되는 만큼 개인정보취급자 관리 실패로 인한 피해 규모는 지금과 비교되지 않을 정도로 심각해질 수 있기 때문입니다.

일견 빅데이터 활용에 대한 법령 근거가 마련되었으므로 빅데이터에 대하여 기존 개인정보보호법상의 개인정보취급자에 대한 지휘감독과 같은 고강도의 보호조치가 필요한 것인지 의문을 제기할 수 있습니다.

그러나 개인정보의 경우에도 안전성확보 조치가 암호화 등의 기술적인 조치 이외에 물리적 조치, 관리적 조치를 병행해야 하는 것처럼 비식별 개인정보의 관리 역시 식별성 제거에 있어서는 기술적인 비식별 조치가 활용하게 되지만 기술적 조치만으로는 부족합니다. 일의적이면서 영원히 유효한 비식별 조치란 존재하지 않기 때문입니다. 따라서 기술적 조치 이후에도 재식별 위험을 관리하기 위한 계속적인 관리 및 통제 활동이 병행되어야 합니다.

즉, 비식별화된 개인정보는 언제나 재식별될 수 있는 위험이 상존하는 것이라는 점을 간과해서는 안 되며, 특히 재식별 위험성이 해당 비식별화된 개인정보가 “어떤 환경에서” “이미 어떤 정보를” 가진 “누구에게” 제공되는지에 따라 크게 달라질 수 있다는 점에서 빅데이터 환경에서의 이용자를 개인정보 취급자에 준하는 것으로 간주하고 이들에 대한 지휘감독이 필수적으로 이루어져야 할 것으로 보입니다.

특히 빅데이터 활용을 위한 비식별 조치 자체는 매우 고도화되고 있으므로 기술적인 비식별 조치 그 자체의 미흡함보다는 이용자단(user end)에서 개인정보 취급자에 대하여 적절한 지휘감독이 이루어지지 않아서 문제가 발생될 가능성이 높을 것으로 예상됩니다.

다만, 빅데이터의 개인정보 취급자 및 이용자에 대한 지휘감독은 특별히 새로운 것을 요구한다기보다는 기존의 개인정보 보호 활동에서의 개인정보취급자에 대한 지휘감독과 구체적 모습만 달리할 뿐 본질적으로 동일한 내용이 될 것으로 예상되므로 개인정보 보호 활동의 연장선상에서 해당 업무를 이해하고 적용하는 것이 필요합니다.

예를 들면 빅데이터 시스템 이용자 관리감독을 위한 조직과 체계를 구축해야 하고 빅데이터 시스템의 이용자 수 자체를 필요한 범위에서 관리하고 이용 권한을 만연히 부여하는 것이 아니라 개별 분석 업무에 필요한 적정 범위를 정의한 후 개별 업무별로 차등 부여하는 것이 필요할 것으로 예상됩니다. 또한, 담당자가 변경될 경우 권한 변경을 즉시 시행할 수 있는 체계 마련 역시 적절한 관리감독에 필수적 요소가 될 것이며 개별 이용자로부터 보안서약서를 받는 것 역시 중요한 관리 포인트가 될 것으로 보입니다. 이에 대하여는 앞으로 개정될 개인정보보호 관련 하위 법규들의 내용을 주목할 필요가 있습니다.

앞으로의 빅데이터 활용이 결코 개인정보 보호와의 단절이나 무제한적인 데이터 활용을 의미하는 것이 아니며 본질적으로는 개인정보 보호 활동과 동일한 오히려 더 고도의 지휘감독 활동을 요구하는 것임을 주지하여야 합니다. 또한, 기업 등 빅데이터를 적극적으로 사용하려는 측은 새롭게 도래하는 빅데이터 활용의 시대에도 개인정보취급자 등에 대하여 적절한 지휘감독을 실행할 수 있는 조직과 체계를 갖추어야 한다는 점을 명심하여야 합니다.

오준성 변호사는 법무법인 강호의 기업자문변호사로 핀테크 업체의 컴플라이언스 팀장으로서 개인정보보호 업무를 담당한 바 있으며, 현재는 사회보장정보원의 비식별 조치 적정성평가위원으로도 활동하면서 스타트업 등에 개인정보 처리방침 수립 전략을 비롯하여 개인정보보호와 기업법률자문 수요에 최적화된 법률 서비스를 제공하고 있다.

진가영 로이슈(lawissue) 기자 news@lawissue.co.kr