[ET단상]코로나19와 개인정보법 과제

코로나19가 기승을 부리고 있다. 지난 1월 20일 국내에서 첫 확진자가 발생했고, 3월 12일 세계보건기구(WHO)가 팬데믹(세계 대유행)을 선언했다.

코로나19 사태가 장기화하면서 국민의 일상을 바꾸고 있다. 재택 근무가 증가하고 각종 회합이 주는 등 비대면 분위기가 늘고 있다. 코로나19 퇴치를 위해 위치정보를 포함한 개인정보 이용도 마찬가지다. 코로나19가 야기한 사회 변화가 개인정보 환경에 미치는 영향과 법·제도 개선에 대해 살펴본다.

첫째 방역을 위한 개인 위치정보, 개인정보의 이용 및 한계에 관한 것이다. 감염병의 예방 및 관리에 관한 법률 제76조의2에는 방역 당국이 관계있는 법인·개인 등에 감염병 환자의 성명, 주민등록번호, 주소, 처방전, 진료기록부 등 개인정보와 이동 경로 등 위치정보를 요청할 수 있는 근거가 마련돼 있다. 또 제34조의2에서는 감염병 환자의 이동 경로, 이동 수단, 진료 의료기관 및 접촉자 현황 등 정보를 공개할 수 있는 법률 근거를 두고 있다.

그럼에도 확진자 이동 경로를 시간대별로 상세하게 공개하면 방역 목적을 벗어나 사생활 침해의 위험이 있다. 방역 당국이 확진자와 접촉이 일어난 장소 및 이동 수단으로 범위를 제한하고 증상, 마스크 착용 여부, 노출 기간 등을 고려해 공개 여부를 판단하기로 한 것은 바람직한 결정이다. 감염병 환자에 대한 지나친 정보 요구와 개인정보 공개는 사생활 침해뿐만 아니라 유증상 국민의 자진 신고 및 방역 참여를 꺼리게 하는 부작용이 있다는 점에서 앞으로도 세심한 입법 조치가 요구된다.

둘째 코로나19 장기화는 업무 형태도 변화시키고 있다. 재택 근무가 그것이다. 그동안 기업의 근무 형태는 사무실 상근이 원칙이고, 개인정보처리 등 업무 시스템도 사무실 중심으로 구축돼 있다. 이에 따라 갑작스러운 재택 근무 증가는 고객 등 개인정보 보호에 새로운 위협이 될 수 있다. 재택 근무 직원이 편의상 보안 조치가 안 된 개인 컴퓨터 또는 이메일로 회사 자료를 내려받거나 저장하는 등 업무를 처리할 수 있고, 민감한 자료를 집으로 가져갈 수 있으며, 해커의 손쉬운 침입 경로가 되기도 한다. 기업은 재택 근무에 맞게 고객정보를 보호할 수 있는 보안 기술과 시스템을 갖추고, 직원을 교육할 수 있는 매뉴얼을 갖춰야 한다. 정보보호 조치 의무에 관한 고시 개정에 충실히 반영하는 게 좋다.

셋째 사회적 거리 두기로 회합이 줄고, TV홈쇼핑·모바일·인터넷·배달주문 등 온라인 거래가 늘고 있다. 언어에 의한 상세한 설명을 할 수 없는 비대면 거래에서는 오프라인에서 복잡한 개인정보 동의 원칙이 지켜지기 어렵다. 개인정보 수집이나 이용 및 제3자 제공을 위한 고객 동의를 받음에 있어 명확한 표현을 사용하고, 고객이 쉽게 이해하고 동의 여부를 결정할 수 있도록 방법과 절차 등 제도를 끊임없이 고민하고 개선해서 입법에 반영해야 한다.

넷째 마스크 등 감염병 예방에 중요한 생필품 판매에서 중복 구입을 막기 위해 건강보험심사평가원의 업무 포털을 이용해 중복 구매 여부를 확인하고 있다. 이 경우 구매자, 주민등록번호, 구매 이력 등을 수집하게 되는데 이때 개인정보 보호법에 따른 엄격한 동의 방식을 취하고 있지 않다. 다만 개인정보보호법 제15조에 따라 감염병 예방을 위해 마스크를 골고루 공급하려는 공공 이익이 동의에 관한 정보 주체의 이익보다 우선하는 경우로 그 예외를 인정받을 수 있을 것이다. 또는 개인정보보호법 제58조에 따라 공중위생 등을 위해 긴급하게 일시 처리되는 개인정보로, 개인정보보호법 적용의 예외라 할 수도 있다. 그럼에도 마스크 등 재난 필수품에 대해서는 개인정보 수집 등 동의의 예외 인정을 명시하되 개인정보를 남용하는 일이 없도록 입법 조치가 필요해 보인다.

다섯째 감염병 예방 및 치료 활동을 통해 수집된 개인정보 등 데이터는 또다시 동종 유사의 바이러스가 나타날 경우의 방역을 위해 연구개발(R&D) 목적으로 활용될 필요가 있다. 개인정보보호법 개정으로 가명 처리 방식의 R&D 활용이 가능해졌지만 감염병 대응이라는 국가 차원의 목적을 위해서는 규제가 완화될 필요가 있다. 방역을 위한 R&D 외에도 백신, 치료제 등 신약 개발을 위해 활용될 필요가 있기 때문에 필요한 범위에서 법령 반영도 고민해야 한다. 물론 관련 데이터는 기술·관리·물리 형태의 입법 조치를 통해 안전하게 처리돼야 한다.

코로나19가 개인정보의 보호 및 이용에 관한 패러다임을 바꾸고 있다. 그러나 재난을 일시 막기 위한 개인정보 이용이 상시 감시 체계로 작동되면 안 된다. 형식 성격의 동의 방식에 의존해 개인정보 활용을 무조건 차단하기보다 과감하게 활용의 문을 열되 정보 주체의 자기 정보 통제권을 구체화하는 실질 보호 조치 마련이 중요하다. 어려운 시절 묵묵히 방역 활동을 이어 가고 있는 정부와 국민에게 찬사를 보낸다.

이상직 법무법인 태평양 변호사 sangjik.lee@bkl.co.kr