메타의 개인정보 강제 제공 동의를 둘러싼 논란이 확산하는 가운데 필수정보 입증책임이 모호한 현행법 체계에선 유사 논란이 이어질 가능성이 크다는 지적이다. 개인정보 처리자가 필수정보를 스스로 입증하도록 하는 법률(개정안)이 발의됐지만, 국회 공회전으로 입법이 지연되고 되고 있다.
◇메타, 필수 정보 논란 초래
메타는 최근 △개인정보의 수집·이용 △개인정보 제공 △개인정보 국가간 이전 △위치정보 서비스 약관 △개인정보처리방침을 업데이트한다고 밝혔다.
이용자의 휴대폰 기종, 방문 웹사이트, 위치 등 다양한 정보가 '필수'로 제공해야 하는 정보로 규정됐다. 이에 동의하지 않으면 서비스를 사용할 수 없다고 공지했다.
메타가 서비스 이용 금지를 조건으로 개인정보 수집 동의를 요구하자, 과도한 조치라는 비판이 이어졌다. 개인정보보호위원회가 위법 여부 판단에 착수했다.
개인정보보호법은 이용자가 최소한의 개인 정보 이외 다른 정보를 제공하지 않는다는 이유로 정보통신서비스 제공자가 서비스 제공을 거부해선 안 된다고 규정하고 있다. 이를 근거로 제재가 성립되면 과도한 개인정보 수집 관행에 제동이 걸린다. 반대로 제재가 이뤄지지 않으면 개인정보보호법 실효성 관련 논란이 벌어질 가능성이 높다.
최경진 가천대 법학과 교수는 “개보위의 메타에 대한 처분이 개인정보 수집 정책과 관련해 전반적 가이드라인이 될 정도로 파급이 크다”며 “제재 여부에 따라 서비스 제공자의 정보 수집 관행, 개인정보법 개정 등 다양한 논의가 촉발될 것”이라고 내다봤다.
◇국회 늑장에 논란만 확산
현행 개인정보보호법은 정보통신서비스 제공자에게 필수정보 책임 입증을 명확하게 부여하지 않고 있다. 개인정보보호법에서 정보통신서비스 사업자는 특례를 우선 적용받는다. 일반 조항에선 개인정보처리자에게 필수정보 책임 입증을 지우고 있지만 특례에선 이를 명확하게 규정하지 않았다. 서비스 제공자가 서비스와 무관한 내용을 필수정보로 수집해도 이를 제재하기가 쉽지 않을 수 있다는 의미다.
기업 관계자는 “일반 규정의 필수정보 입증책임을 정보통신서비스 사업자에게도 똑같이 적용할 수 있다는 게 일반적 해석이지만, 서비스 사업자는 특례를 근거로 반박할 수 있다”며 “만약 소송으로 비화하면 이를 두고 다툼이 이어질 수 있다”고 예상했다.
대안으로 필수정보 입증책임을 정보통신서비스 사업자에게 명확하게 부여한 근거 개정안이 발의됐지만 입법 논의가 이뤄지지 않고 있다.
정부는 지난해 9월 개인정보보호법 개정안을 발의, 정보통신서비스 제공자에 대한 특례를 정비했다. 모든 개인정보처리자에 대해 동일 행위에 동일 규제를 적용할 수 있도록 종전 특례 규정을 삭제한 것이 골자다. 정보통신서비스 사업자도 개인정보처리자에 포함되고 필수정보에 대한 입증책임을 지게 된다. 개정안에는 이와 함께 개인정보 처리방침의 평가·권고개선 근거도 담겼다.
이병남 개인정보위 과장은 “개인정보가 필수 정보임을 입증하기 위해선 개인정보 수집, 활용, 유통 전 과정을 공개하고 적정성을 입증해야 해서 사업자가 무리한 정보수집을 할 여지가 줄게 된다”고 설명했다.
개정안이 처리되면 개인정보 동의 관련 논란이 상당 부분 해소될 것으로 보이지만 요원하다. 지난해 9월 정부 입법이 이뤄진 이후 지금까지 국회 논의가 제대로 이뤄지지 않았다.
최 교수는 “개인정보보호법 개정안은 정보통신서비스 사업자에 대한 규제 기준 현실화에 초점을 맞추고 있다”며 “급변하는 서비스 환경에 부합하는 기준을 제시하기 위해선 개정안처리가 시급하다”고 강조했다.
최호기자 snoop@etnews.com