[리더스포럼]개인정보보호법안에 보완되어야 할 사항들

[리더스포럼]개인정보보호법안에 보완되어야 할 사항들

 전 세계적 관심과 자주 터지는 보안 사고로 인해 지난해 개인정보보호법안들이 마련됐다. 곧 국회를 통과할 것으로 예상된다.

 하지만 행정안전부, 한나라당, 민주당이 발의한 어느 개인정보보호법안도 신경 쓰지 못한 점들이 있다. 행안부가 발의한 개인정보보호법안 2조1항에 “개인정보란 생존하는 개인에 관한 정보로서 해당 정보에 의하여 개인을 식별할 수 있는 정보(해당 정보만으로는 특정 개인을 식별할 수 없더라도 다른 정보와 용이하게 결합하여 식별할 수 있는 것을 포함한다)를 말한다”고 돼 있다. 여기에 동의한다.

 그런데 법안 어디에도 식별자(identifier)로서의 개인정보와 인증자(authenticator)로서의 개인정보 구별이 없다. ‘식별’이란 다른 것과 구별해 알아본다는 뜻이고 ‘인증’이란 인정해 증명한다는 뜻이다. 예를 들어 컴퓨터에 로그인할 때 ID를 제출하는 것은 ‘식별자’를 제출하는 것이고, 패스워드를 제출하는 것은 ‘인증자’를 제출하는 것이다. 둘 다 개인정보지만 분명한 차이가 있다. 우선 식별자로 사용하기 위해서는 구별성이 있어야 한다. 개인의 이름과 같이 누구나 알고 있어도 무방한 것이다. 반면에 인증자가 될 수 있는 것은 유일성을 가지면서도 ‘그 사람만이 알고 있는 것’ ‘그 사람만이 가지고 있는 것’ 또는 ‘그 사람만의 신체적 특징’ 등이다. 즉 다른 사람도 알거나 갖고 있는 것은 인증자가 될 수 없으며, 다른 사람과 구별되지 않는 신체적 특징 역시 인증자가 될 수 없다.

 이 때문에 제정 중인 개인정보보호법안에 몇 가지 보완됐으면 하는 사항을 지적하고자 한다.

 첫째, 인증자로 사용될 수 있는 정보를 민감정보에 넣고 그들을 특별히 신경 써서 보호하도록 법안에 포함시키자. 법안 제22조에 ‘민감정보’라는 용어가 ‘사상·신념, 노동조합·정당의 가입 탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보’로 정의돼 있다. 이런 정보들이 얼마나 민감한지는 개인에 따라 무척 다를 것이다. 그러나 인증자로 사용할 수 있는 정보들이 더욱 민감하다는 것은 누구나 같은 생각일 것이다.

 둘째, 법안에 주민등록번호를 온라인상에서 인증자로 사용하지 못하도록 명시하자. 법안 제23조(고유식별정보의 처리 제한)는 ‘고유식별정보’로서 주민등록번호를 지칭하고 있고 이를 ‘민감한’ 정보 차원에서 안전성 확보 등에 많은 신경을 쓰고 있다. 하지만 이의 ‘민감’ 정도는 제22조에서 이야기하는 민감정보보다 그 정도가 훨씬 약하다. 주민등록번호의 대량 유출이 문제된 진정한 이유는 그 안에 들어 있는 민감정보 때문이 아니다. 이보다는 주민등록번호가 온라인 상에서 ‘인증자’로 사용되기 때문이다.

 셋째, 개인정보보호법과 추후 제정될 지침에서도 민감정보의 별도 분리 보관에 대해 다루자. ‘법령에 의하여 개인을 고유하게 구별하기 위하여 부여된’ 고유식별정보보다는 태어나서부터 어쩔 수 없이 가지게 되고 죽을 때까지 변하지 않는, 즉 ‘영속적 고유식별정보’의 처리에 더 신경을 써야 한다. 이러한 것의 예는 DNA, 지문 같은 바이오 정보가 있다. 이런 정보는 인증자로써 사용될 수 있어 더욱 중요하다.

 마지막으로 개인정보의 유일성이 높을수록, 그리고 영속성이 높을수록 노출 시 개인에 미치는 피해가 크다. 따라서 이러한 개인정보는 보다 엄격히 보호돼야 하며 개인정보보호법안의 제정 시 이런 점들을 추가로 고려해야 한다.

 

 이필중

 포스텍 교수·한국정보보호학회 명예회장

 pjl@postech.ac.kr