개인정보는 개인이 누군지 식별할 수 있는 정보다. 이름, 주소, 전화번호, 주민등록번호가 대표적이다. 의료, 건강, 생체, 영상, 사생활 등 정보도 개인을 식별한다면 개인정보다. 개인을 식별할 수 없는 정보도 다른 정보와 쉽게 결합해 식별력을 가지면 개인정보가 된다. 가명 처리된 정보는 식별력을 상실해도 개인정보로 본다. 개인정보 보호는 개인이 부당하게 식별됨으로써 자유와 권리가 침해되는 것을 막기 위한 법 제도다.
한 시대의 전문가 집단이 공통으로 받아들이는 가치관, 이론, 기술을 패러다임이라고 한다. 지금까지 개인정보 패러다임은 무엇일까. 철저한 '보호'다. 옛날 전화번호부에서 누구나 볼 수 있던 이름, 주소, 전화번호가 이젠 보호대상이다. 온라인 활성화로 개인정보 유출, 해킹 등 침해사고가 보이스피싱 등 범죄로 이어져 피해가 커진 탓이다. 범죄자를 잡기는 쉽지 않고 배상받기도 어렵다. 개인정보 처리자에게 안전조치 의무를 부과하고 법령을 위반하면 엄벌했다. 정보통신망법, 개인정보보호법 등을 통해 정보주체 동의권을 강화했다.
개인정보 패러다임은 유지될 수 있을까. 환경 변화를 봐야 한다. 초연결 지능정보사회다. 기업과 개인이 생산하는 데이터가 기하급수적으로 늘고 있다. 데이터를 인공지능(AI)으로 분석해 맞춤형 검색, 업무와 교육 지원, 질병치료, 신약개발 등 서비스가 쏟아져 나온다. 개인정보가 개인과 기업간, 기업과 기업간 끊임없이 이전되고 있다. 결합, 가공 등의 과정을 거치면 원상회복이 어렵다. 정부의 후견적 개입으로 개인정보를 보호할 수 있는 상황을 넘어섰다. 기업, 고객, 정부, 시민, 전문가 등 이해관계별 대립을 넘어 협력이 필요하다. 지능화되는 개인정보 범죄를 막고 안전하게 활용하는 선순환의 입체적 거버넌스 구축이 중요하다.
초기에 개인정보는 '침해와 보호'라는 대립구조를 설정했다. 침해를 막고 피해를 줄여 개인정보를 보호했다. 침해사고를 줄이는 데 성공하면서 대립구조는 '활용과 보호'로 옮겨갔다. 활용으로부터 어떻게 보호하느냐가 관건이었다. 이후 AI 등 4차 산업혁명 영향으로 데이터 활용 요구와 글로벌경쟁 위협이 커졌다. 자연스럽게 '안전한 보호에 기반을 둔 활용 강화' 라는 프레임으로 옮겨갔다. 이것으로 충분할까. 정리할 이슈는 무엇일까.
첫째, 현재의 동의제도는 유효한가. 개인정보가 정보주체에서 개인정보처리자로 넘어가는 최초 단계(가입단계)의 병목을 통제해 개인정보를 보호한다. 그런데 동의를 거부하면 서비스를 받지 못한다. 온라인, 모바일의 삶이 중요해지면서 동의가 서식을 채우는 형식으로 전락했다. 가입 이후 AI알고리즘이 작동하는 구간 등에서 개인정보를 보호하는 체계를 강화해야 한다.
둘째, 구매이력, 취향 등 개인정보를 동의만으로 대가없이 활용할 수 있는가. 현재론 그렇다. 음원, 논문, 영화 등 저작물을 이용하려면 대가를 주어야 한다. 개인정보만 대가없이 동의만으로 쓰려고 한다. 개인정보에 대가를 주는 것은 범죄자만 하는 일일까. 개인정보에 창작의 고통이 들어있지 않아서일까. 내 이름은 조부님이 고민해 지었으니 창작의 고통이 없다고 할 수 없다.
셋째, 정보주체의 데이터 생산에 대한 보상이다. 정보주체는 SNS, 검색 등 서비스 이용과 그 과정에서의 피드백 같은 활동을 통해 끊임없이 데이터를 공급하고 있다. 단순 소비를 넘어 생산이다. 그 데이터를 기업이 활용한다면 보상이 필요하지 않을까. 개별 보상이 어려울 수 있다. 기금, ESG, 집단 보상 등 다양한 논의가 필요하다. 넷째, 개인정보는 개인 식별에 관한 정보다. 식별을 넘어 사생활, 인격, 명예, 지식재산, 의료, 건강 등 추가 정보를 포함한다면 해당 법령에서 다루면 족하다. 개인정보 개념의 무한 확장을 경계해야 한다.
개인정보는 비용요소가 아니고 서비스를 구성하는 핵심이다. 활용과 보호는 동전의 앞뒷면처럼 합체되어 있다. 공동체가 제공한 데이터를 잘 가꾸고 공동체에 혜택을 돌려야 한다.
이상직 법무법인 태평양 변호사('혁신과 공존의 신세계 디지털' 저자) sangjik.lee@bkl.co.kr