2024-03-29 18:40 (금)
[구글 개인정보 통합관리 문제] 구태언 변호사
상태바
[구글 개인정보 통합관리 문제] 구태언 변호사
  • 길민권
  • 승인 2012.03.27 00:50
이 기사를 공유합니다

개인정보 연계사용, 현행법상 어떻게 해석해야 하나
구글은 2012년 3월 1일부터 자사의 개인정보취급방침 및 서비스 약관을 변경한다고 발표했다. 60여개가 넘는 서로 다른 개인정보취급방침을 통합해 간결하고 읽기 쉬운 내용으로 대체하겠다는 것이다. 또 기존 보다 간단하고 사용이 쉬운 하나의 통합된 환경을 제공하고 사용자는 공유하려는 항목에 대한 선택권과 관리권한을 가진다고 밝혔다. 이를 통해 구글은 더 나은 검색결과와 광고 및 기타 콘텐츠를 이용자들에게 제공하겠다는 것이다.
 
데쉬보드를 통해 어떤 정보를 수집하고 있는지 투명하게 공개하고 사용자에게 정보가 사용되는 방식에 대한 선택권을 제공하겠다고 한다.
 
이러한 구글의 입장에 대해 세계 여러 나라들이 개인정보보호와 관련 문제제기를 하고 나섰다. 마찬가지로 한국도 개인정보보호에 대한 인식이 향상되고 개인정보보호법이 시행되고 있는 중이라 민감하게 받아들이고 있다.
 
아래 내용은 3월 26일 ‘최근 구글의 개인정보 통합관리, 무엇이 문제인가?’란 주제로 열린 개인정보보보호 리더스 포럼에서 구태언 법률사무소 행복마루 변호사가 주장한 토론문 내용이다. 


 
1. 구글 개인정보 통합관리 정책 개요 및 쟁점사항
구글은 2012. 3. 1부터 그동안 60개가 넘는 서비스마다 서로 다른 내용으로 정해져 있던 개인정보취급방침을 통합하여 이미 시행하고 있다.
 
구글의 변경된 개인정보취급방침을 살펴보면, 수집하는 개인정보의 보유·이용기간 등을 제대로명시하지 않아 개인정보 보호법 제15조 및 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정통망법’) 제22조 위반 소지 있으며, 개인정보를 제공받는 자, 제공하는 개인정보의 항목, 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간 등을 제대로 명시하지 않아 개인정보보호법 제17조, 정통망법 제24조의2 위반 소지가 있다.
 
또한 개인정보의 취급위탁과 관련하여서도 수탁자 및 위탁하는 업무의 내용을 쉽게 확인할 수 있을 정도로 구체적으로 기재하였다고 보기 어려워 개인정보보호법 제26조, 정통망법 제25조 위반 소지가 있으며, 개인정보취급방침에 포함되어야 하는 개인정보 관리책임자의 성명 또는 개인정보보호 업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처를 명시하지 않는 등 여러 가지 면에서 국내 개인정보 관련 법령 등을 위반하였다고 볼 여지가 있다.
 
구글의 다수 서비스에 이미 가입한 기존 이용자의 경우, 당해 이용자는 서비스별로 수집되는 개인정보의 항목 및 이용목적에 이미 동의하였다고 볼 수 있고, 구글이 그러한 서비스별 개인정보를 통합, 연계하여 사용한다고 하여도 추가로 수집되는 개인정보 항목 및 이용목적이 없다고 하면 이용자의 추가 동의는 필요하지 않을 수 있다. 그러나 이는 60개 서비스에서 각 수집하던 개인정보 항목 및 이용목적 등을 모두 검토하여 추가되는 항목이 없는지 여부를 개별적으로 판단하여야 할 문제이다.
 
한편, 특정 서비스에 국한하여 수집되고 이용되던 개인정보가 이제 다른 서비스에서 수집된 개인정보와 연계되어 구글의 마켓팅 등 일정 목적으로 사용되는 것은, 엄밀히 말해 개인정보의 수집·이용목적의 변경이나 추가라기 보다, 마켓팅 등이라는 일정한 이용목적을 달성하기 위한 구체적인 이용방법이라고 보여지는바, 이에 대한 추가 동의까지 요구하는 것은 개인정보의 이용방법까지 동의 받을 것을 요구하고 있지 않은 현행법 해석상 무리가 있다고 판단된다.
 
2. 잊혀질 권리와 관련한 기술적 법적 이슈
우리나라의 경우 온라인에 공개된 정보로 사생활 침해나 명예훼손 피해를 당한 사람은 삭제 요청을 할 수 있고(정보통신망 이용촉진 및 정보보호 등에 관한 법률 제44조의 2), 서비스 제공자는 30일 이내의 범위에서 정보를 차단하는 임시조치를 할 수 있으며, 개인정보처리자는 개인정보주체의 요청에 따라 개인정보의 처리를 정지하거나, 파기하여야 한다(개인정보보호법 제37조)고 규정하고 있어 잊혀질 권리를 보장하는 법제도를 이미 갖추고 있다.
 
잊혀질 권리의 문제를 현행 법상 개인정보의 개념을 토대로 진행하게 되면 그 논의의 범위가 ‘특정 개인을 알아 볼 수 있는 모든 정보+다른 정보와 결합하여 특정 개인을 알아볼 수 있는 모든 정보’를 포함하게 되는데, 이 경우 이러한 광범위한 개인정보의 정의를 토대로 진행하게 될 잊혀질 권리에 관한 논의가 자칫 우리의 산업과 문화의 발전을 중단시키고, ‘익명의 사회’로 변환시킬 수 있다는 점에 있다.
 
프라이버시권은 다른 기본권과 조화적 해석을 통해 제한이 가능하거나, 법률에 의해 제한이 가능한 기본권으로 이해되므로 불가침의 천부인권은 아니다. 헌법에서 규정하는 프라이버시권을 구체적으로 규정한 것이 개인정보보호 법제라고 볼 때 무제한의 개인정보를 보호대상으로 정의하고, 그러한 개인정보에 대해 처리할 때에는 사전 고지와 동의를 통해서만 처리할 수 있으며, 이를 위반할 경우에는 형사처벌까지 할 수 있도록 규정한 것은 헌법상 프라이버시권을 다른 기본권보다 지나치게 우월한 지위에 두어 위헌의 소지가 있다.
 
개인에 대한 정보는 기록된 정보의 종류에 따라 1)자신의 게시물 정보, 2)다른 사람의 게시물에 등장한 자신에 관한 정보(자신의 기록이 다른 사람에 의해 공유된 경우도 포함), 3)게시물 형태가 아닌 자신에 관한 기계적 기록으로 분류할 수 있다. 기록이 갖는 권리에 따라서는 1)타인의 권리가 결합된 기록과 2)타인의 권리가 결합되지 않은 기록으로 나눌 수 있다. 정보의 작출자에 따라서는 1)스스로 산출한 정보, 2)타인의 산출물에 대해 상속, 양도 등으로 권리를 이전받은 정보로 나눌 수 있다.
 
내용에 따라서는 1)개인을 식별할 수 있는 부분에 대한 정보(게시물의 저자를 알아볼 수 있는 부분)와 2)개인에 의해 만들어진 정보이기는 하나 개인식별을 식별할 수 없는 정보로서 개인식별정보와 결합된 정보(예: 게시물의 내용). 경우에 따라서는 게시물의 내용이 개인정보를 담고 있는 경우(예: 여러 사람과 관련된 이야기가 포함된 게시물이나 여러 사람이 함께 찍은 사진)도 있다.
 
재산권 함유 여부에 따라 1)재산권인 정보와 2)재산권이 아닌 정보로 나눌 수 있다. 이 밖에도 많은 분류가 가능할 것이다. 경제적 관점에서만 보더라도 각각의 유형에 따라 다른 사람의 권리가 발생하는 경우도 있고, 국가사회의 이해관계가 얽혀 있는 경우도 있다. 역사적 관점에서 보면 또 다른 견해들이 성립할 것이다.
 
잊혀질 권리가 권리로 정착된다면, 역사를 기록하는 행위가 중단될 수 있다. 현재 개인정보보호법에 의해서도 ‘친일인명사전’이나 사회적 부조리 고발이 조만간 반대 이해당사자에 의해 형사고발이나 민사소송을 겪는 풍조가 일반화될 것으로 필자는 예상하고 있는데, 나아가 본인이 사회생활을 겪으면서 스스로 또는 타인에 의해 산출한 정보를 전부 삭제할 권리에 대한 접근은 조심스럽다.
 
개인정보는 동시에 저작물이기도 하고, 공공기록이기도 하며, 타인의 권리의 대상이기도 하고, 재산권이기도 하다. 근본적으로 개인과 함께 한 우리 공동체의 추억과 역사이다. 역사상 잊혀질 권리가 존재했다면 호머의 일리아드나 김부식의 삼국사기를 후세가 볼 수 없었을 것이다.
 
결론적으로, 잊혀질 권리와 관련하여 이미 법제화된 정보주체의 권리를 실행할 때 다른 권리와 충돌을 해결함에 있어서는 우리 사회의 구성요소의 복잡성 만큼이나 다양한 이해관계의 주체를 고려한 복잡다단한 고찰과 접근방법이 필요하다.
[구태언 법률사무소 행복마루 변호사]
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★