# 칼 레이슨 미국 워싱턴 D.C. 검찰총장은 지난 19일 기자회견을 통해 세계 최대 SNS 업체인 페이스북을 사용자 개인정보 유출 혐의 등으로 기소했다고 밝혔다. 페이스북은 페이스북 애플리케이션을 다운로드하지도 않은 사용자 개인정보를 수집하고 이를 판매하는 것은 물론 사용자들의 페이스북 친구들 개인정보까지도 수집해 이를 케임브리지 애널리티카에 판매했다는 것이다. 이에 앞서 일부 언론들은 페이스북이 아마존 및 마이크로소프트 등에도 가입자 정보를 무단으로 제공했다는 의혹을 제기했다. 보도에 따르면 페이스북은 그 동안 아마존으로 하여금 사용자들의 페이스북 친구목록을 통해 이름이나 연락처 등의 정보를 제공받을 수 있도록 하였고, 마이크로소프트에는 사용자들의 페이스 북 친구 이름을 동의 없이 열람할 수 있는 권한을 부여했다고 한다. 심지어 넷플릭스와 스포티파이는 페이스북을 통해 페이스북 사용자들의 사적인 메시지까지 읽을 수 있었다고 한다. 페이스북은 이에 대하여 사실을 부인하고 있으나, 수사를 통해 혐의가 밝혀질 경우 최근 보안사고가 잇따르고 있는 페이스북은 치명적인 위기상황을 맞이하게 될 전망이다.

 

최근 페이스북이 개인정보보호 관리에 허점을 보이며 기업 존폐의 위기에 내몰렸다. 사실 페이스북의 개인정보보호 유출 사건은 이번이 처음은 아니어서, 이미 상당수의 이용자들이 페이스북을 믿지 못해 탈퇴한 상태지만, 미국 워싱턴 검찰의 이번 기소로 페이스북의 몰락은 더욱 가속화될 전망이다. 고객의 개인정보를 어떻게 관리하느냐가 기업의 성패를 좌우할 만큼 개인정보보호에 대한 관심과 노력은 이제 선택이 아닌 필수가 된 셈이다.

그럼에도 불구하고 우리 기업의 개인정보보호교육은 일천한 수준이다. 일정한 규모를 갖춘 기업은 정기적으로 직장 내 성희롱 예방교육(남녀고용평등법), 산업안전보건교육(산업안전보건법), 장애인인식개선교육(장애인고용법) 등을 직원들에게 이수하도록 하여야 하고 만약 이를 위반할 경우 해당 기업에 대해서는 적게는 300만원, 많게는 500만원까지의 과태료가 부과된다. 개인정보보호교육 역시 개인정보보호법 제28조에 따라 각 기업에 직장 교육으로 담당 직원들을 이수하게 할 것을 명한 필수 교육이지만, 별도의 과태료 부과 조항이 없다 보니 아무래도 기업들의 관심은 적을 수밖에 없다. 귀찮아서 혹은 비용이 들 것 같아 지금껏 개인정보보호법 교육을 미루어 왔다면, 올해가 가기 전에 개인정보보호법을 공부해 보는 것은 어떨까?

 

# 개인정보란 무엇인가?

개인정보보호법과 관련해서는 ‘개인정보’에 대한 정의가 가장 중요하다. 일상생활에서는 개인정보라는 개념은 다의적으로 쓰일 수 있지만, 개인정보보호법에서는 개인정보보호법 상의 개인정보에 해당하는 것만 규율 대상으로 삼고 있기 때문이다. 개인정보보호법상 개인정보란 “살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보로, 비록 해당 정보만으로 특정 개인을 알아 볼 수 없다 하더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다(제2조 제1호 참조).” 우선 살아 있는 개인에 관한 정보이니 생명이 없는 사물이나 법인 등에 관한 정보는 이에 해당하지 않는다. 또한 ‘성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보’를 예시하였지만, 개인이 거주하는 아파트 동, 호수와 같은 주소, 차량번호나 계좌번호 등도 특정 개인과 밀접한 관련을 갖는 한 개인정보가 될 수 있다.

조금 더 범위를 확장시켜 보면, 비록 해당 정보만으로는 개인정보에 해당하지 않지만, ‘다른 정보와 쉽게 결합하여’ 특정 개인을 알아볼 수 있다면 이 역시 개인정보에 해당한다. 가령 온라인 게임에서 이용자가 사용하는 아이디와 비밀번호도 그 자체만으로는 개인정보에 해당하지 않을 수 있지만, 컴퓨터에 관한 상당한 수준의 전문지식을 가진 사람이라면 누구라도 접근하여 이용자들의 아이디와 비밀번호를 알 수 있는 상황이므로 이를 개인정보를 유출시킨 것으로 보아야 한다고 판단한 사례도 있었다(서울중앙지방법원 2006. 4. 28. 선고 2005가단240057 판결 참조).

요즘은 빅데이터와 관련하여 개인정보의 범위를 어디까지 확장시킬 것인가에 관한 논의도 있다. 빅데이터를 분석하기 위해서는 필연적으로 방대한 량의 개인정보를 이용할 수밖에 없는데, 만약 이러한 과정에서 이용된 개인정보까지 개인정보보호법이 모두 규율한다면 사실상 빅데이터 분석은 불가능한 일이 되어 버리기 때문이다. 이에 정부는 지난 2016년 개인정보 비식별 조치 가이드라인을 발표해 ‘사전검토 단계(1단계)’로 처리하고자 하는 정보가 개인정보인지 여부를 판단하고, 만약 개인정보에 해당한다면 ‘비식별화 조치 단계(2단계)’를 거쳐 개인을 알아볼 수 없도록 일부 정보를 삭제, 대체시켜 비식별화 작업을 거치도록 하고 있다. 이후 단계인 ‘적정성 평가 단계(3단계)’에서는 비식별화 조치로 다른 정보와 결합하여 개인을 식별할 수 없는 상태가 되었는지를 평가하고, 마지막으로 정부는 ‘사후관리 단계(4단계)’에서 빅데이터를 활용하는 과정에서 이를 개인정보로 재식별화할 가능성이 있는지 지속적으로 모니터링을 한다. 개인정보를 활용한 기술의 발전과 더불어 개인정보를 보호하고 제대로 관리하려는 정부의 노력도 함께 발전해 가는 것이다.