글쓴이 : 고정욱
  • 변호사
  • 법무법인(유) 세한
연락처 : 02-560-5100
이메일 : jugo@joowonlaw.com
홈페이지 : www.sehanlaw.com
주소 : 서울 강남구 삼성로 511 골든타워 20층
소개 :

이 포스트는 0명이 in+했습니다.

    목록이 없습니다.

    개인정보, 팔 수 있을까?

    0

    1. 들어가며

    올해 초, 국내 한 유명 대형마트는 약 3년 6개월 동안 11차례 진행한 경품행사에 응모한 고객의 개인정보 약 712만건을 총 7개의 보험사에 건당 1,980원, 합계 148억원에 판매하였다는 개인정보보호법위반죄 혐의에 대해 무죄를 선고받았다. 이에 따라, 일각에서는 개인정보를 파는 사업을 하는 것도 가능한 것이냐는 의문이 제기되고 있다.

     

    2. 적법하게 판매가 가능한 경우 – 정보주체의 동의

    물론, 「개인정보 보호법」 제17조 제1항 1호는 개인정보처리자는 정보주체의 동의를 받은 경우 그 정보주체의 개인정보를 제3자에게 제공할 수 있다고 규정하고 있으므로, 개인정보 판매에 관하여 정보주체로부터 동의를 받은 경우에는 당연히 제3자에게 그 정보주체의 개인정보를 판매할 수 있을 것이나, 실제로 자신의 개인정보를 판매하겠다는 점에 관하여 동의하는 정보주체는 많지 않을 것이다.

    위 대형마트 또한 응모권에 수집된 개인정보가 판매될 것이라는 점은 기재하지는 않았고, 1mm 크기로 ‘보험사 마케팅용 정보 제공’이라고만 기재하였을 뿐인데, 「개인정보 보호법」 제17조 제2항은 개인정보처리자가 정보주체로부터 개인정보의 제3자 제공에 관한 동의를 받을 때 ① 개인정보를 제공받는 자, ② 개인정보를 제공받는 자의 개인정보 이용 목적, ③ 제공하는 개인정보의 항목, ④ 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간, ⑤. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용 등 5가지 사항만을 정보주체에게 알리도록 규정하고 있어, 개인정보를 제공하는 자인 대형마트의 개인정보 이용 목적인 ‘판매’는 고지의무 대상에 포함되지 않는다는 이유로 무죄를 선고받은 것으로 보인다.

    다만, 만일 1심 법원의 판단과 같이 1mm 크기의 기재도 고지의무를 다한 것이라고 보더라도, 「개인정보 보호법」 제15조 제2항은 개인정보처리자가 정보주체의 동의를 받아 개인정보를 수집할 때에는 ① 개인정보의 수집·이용 목적, ② 수집하려는 개인정보의 항목, ③ 개인정보의 보유 및 이용 기간, ④ 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용을 알려야 하고, 이를 위반한 경우 3천만원 이하의 과태료에 처해지므로, 대형마트의 개인정보의 수집·이용 목적인 ‘판매’도 고지의무 대상에 포함되는 이상, 개인정보 판매 여부를 고지하지 않으면 과태료 부과 대상이 될 위험이 여전히 남는다.

     

    3. 개인정보의 비식별화 조치 – 비식별 정보

    위와 같이 정보주체의 동의를 받아 판매하는 경우 외에도, 행정자치부, 방송통신위원회, 금융위원회, 미래창조과학부, 보건복지부, 국무조정실 관계부처 합동으로 최근 발간된 ‘개인정보 비식별 조치 가이드라인’에 따라 비식별화 조치 후 판매하는 경우를 들 수 있다. 위 가이드라인에 따르면, 개인정보에 비식별화 조치를 취한 ‘비식별 정보’는 더 이상 개인정보가 아닌 것으로 추정되므로, 이를 판매하더라도 그것이 특별히 다른 사람의 영업비밀 등 지적재산권을 침해한다면 해당 규제에 저촉됨은 별론으로 하고, 개인정보 관련 규제에 위반되지는 않을 것으로 보인다.

    개인정보의 비식별화 조치는 다음과 같은 4단계로 이루어진다.

     

    I. 사전 검토 단계

    해당 정보가 개인정보에 해당하는지 여부를 검토하여, 개인정보가 아닌 것이 명백한 경우 법적 규제 없이 자유로게 사용할 수 있다. 여기서 「개인정보 보호법」에 따른 개인정보란, 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함)를 말한다.

     

    II. 비식별 조치 단계

    비식별 조치란 정보집합물(Data Set)에서 개인을 식별할 수 있는 요소를 전부 또는 일부 삭제하거나 대체하는 등의 방법을 활용하여 개인을 알아볼 수 없도록 하는 조치로서, 정보집합물에 포함된 식별자(주민등록번호, 성명, 전화번호, 주소, 이메일 주소 등 개인 또는 개인과 관련한 사물에 고유하게 부여된 값 또는 이름을 말함)는 원칙적으로 삭제 조치하되, 데이터 이용 목적상 반드시 필요한 경우에는 가명처리, 총계처리, 데이터 삭제, 데이터 범주화, 데이터 마스킹(Masking) 등의 여러 가지 기법을 단독 또는 복합적으로 활용한다.

    비식별조치

     

    III. 적정성 평가 단계

    다른 정보와 쉽게 결합하여 개인을 식별할 수 있는지를 「비식별 조치 적정성 평가단」을 통해 평가하는 단계로, 개인정보 보호책임자 책임 하에 3인 이상(외부전문가 과반수 이상) 외부전문가가 참여하는 「비식별 조치 적정성 평가단」을 으로 구성하여 개인식별 가능성에 대한 평가를 진행한다.

    이러한 적정성 평가 시 프라이버시 보호 모델 중 최소한의 평가수단으로서 k-익명성을 활용하는데, 필요시 추가적인 평가모델(ℓ-다양성, t-근접성)도 활용한다. k-익명성(k-anonymity) 모델은 프라이버시 보호를 위한 기본 모델로서, 데이터 집합의 일부를 수정하여 모든 레코드가 자기 자신과 동일한(구별되지 않는) k-1개 이상의 레코드를 가지도록 하여, 주어진 데이터 집합에서 같은 값이 적어도 k개 이상 존재하도록 하여 쉽게 다른 정보로 결합할 수 없도록 하는 방법을 말하며. 통상 k=3은 안전도를 보장하는 최소한의 수준, 5≤k≤10은 안전도가 높은 수준으로 평가한다.

    프라이버시 보호 모델k-익명성 

    IV. 사후 관리 단계

    비식별 조치된 정보가 유출되는 경우 다른 정보와 결합하여 식별될 우려가 있으므로, 비식별 정보 안전조치로, 비식별 정보파일에 대한 관리 담당자 지정, 비식별 조치 관련 정보공유 금지, 이용 목적 달성시 파기 등의 관리적 보호조치 및 비식별 정보파일에 대한 접근통제, 접속기록 관리, 보안 프로그램 설치·운영 등의 기술적 보호조치 등의 필수적인 사후 조치들을 이행한다.

     

    4. 비식별 정보의 판매 시 유의사항

    비식별된 정보를 제3의 기관에 제공하거나, 처리 위탁하는 경우, 아래와 같이 재식별 위험관리에 관한 내용을 계약서에 포함시키는 것이 바람직하다.

    ① (재식별 금지) 비식별 정보를 제공받거나 처리를 위탁 받은 사업자 등은 다른 정보와 결합을 통해 재식별 시도가 금지됨을 명시

    ② (재제공 또는 재위탁 제한) 비식별 정보를 제공하거나 처리를 위탁하는 자는 재제공 또는 재위탁 가능 범위를 정하여 계약서에 명시

    ③ (재식별 위험 시 통지) 재식별이 되거나 재식별 가능성이 높아지는 상황이 발생한 경우에는 데이터 처리 중지 및 비식별 정보 제공자 또는 위탁자에게 통지 의무 등 명시

     

    위와 같이 개인정보를 비식별 조치한 비식별 정보는 개인정보가 아닌 정보로 추정되어 정보주체로부터의 별도 동의 없이 해당 정보를 이용하거나 제3자에게 제공할 수 있으므로, 결국 특별한 사정이 없다면 판매도 가능할 것이다. 그러나, 새로운 결합 기술이 나타나거나 결합 가능한 정보가 증가하는 경우에는 정보주체가 ‘재식별’될 가능성이 있고, 비식별 정보를 재식별하여 이용하거나 제3자에게 제공한 경우에는 개인정보의 목적 외 이용제공에 해당하여 5년 이하의 징역 또는 5천만원 이하의 벌금형에 처해질 수 있음을 유의하여야 한다(「개인정보 보호법」 제18조 제1항, 제71조 2호).

    인터넷 등 정보통신망에서 개인정보를 수집하는 정보통신서비스 제공자의 경우 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」이 우선 적용되는데(제5조), 개인정보 보호에 관한 규제 내용은 「개인정보 보호법」과 거의 같으나, 개인정보의 목적 외 이용제공 위반행위 관련 매출액의 3% 범위 내에서 과징금이 부과될 수 있다는 점에서 차이가 있음도 유의하여야 한다(제64조의3 제1항).

     

    5. 나가며

    가이드라인은 행정안전부 등 관계부처 합동으로 제정한 것이고, 비식별 정보가 개인정보가 아닌 정보로 추정된다는 법률이나 법원의 판례는 아직까지 없는 것으로 보인다. 따라서 가이드라인에 따라 개인정보를 비식별화 했다고 하더라도 추후 법원이 가이드라인과 달리 판단할 가능성도 배제할 수는 없다는 점은 불가피한 위험요소라 하겠다.


    Comment

    You must be logged in to post a comment.

    loading..