최근 개인정보보호위원회가 발표한 ‘개인정보 처리 통합 안내서’가 논란에 휩싸였다. 시민사회단체는 해당 안내서가 개인정보의 정의와 해석에서 정보주체의 권리를 침해할 우려가 크다고 지적했다. 특히 유럽연합(EU)과 비교했을 때, 한국의 개인정보 보호법 해석은 상대적으로 협소하다는 비판이 제기되고 있다.
한국의 개인정보 해석 논란
지난 12월 공개된 개인정보 처리 통합 안내서는 「개인정보 보호법」 제2조의 개인정보 정의에 대해 “해당 정보를 ‘처리하는 자’의 입장에서 판단한다”는 내용을 담고 있다. 예를 들어, A기업이 B기업에 자동차등록번호를 제공할 경우, A기업은 이를 통해 개인을 식별할 수 없기 때문에 개인정보로 간주되지 않는다는 설명이다. 하지만 B기업이 이를 기존 데이터와 결합해 특정 개인을 식별할 수 있다면 개인정보로 판단된다.
시민사회단체는 이러한 해석이 개인정보 보호의 본질을 훼손한다고 주장한다. 이들은 “특정 개인과 지속적으로 연관된 정보, 예를 들어 자동차등록번호, IP 주소, 광고식별자 등은 개인정보로 간주되어야 한다”며 “현재 해석은 개인정보처리자의 관점에서만 판단하여 정보주체의 권리를 약화시킬 수 있다”고 지적했다.
유럽연합, 객관적 판단 기준 적용
EU는 GDPR(General Data Protection Regulation)을 통해 개인정보의 정의와 보호를 광범위하게 규정하고 있다. GDPR은 개인정보를 판단할 때 처리자뿐만 아니라 ‘다른 사람이 알아볼 가능성’까지 고려해야 한다는 점에서 한국의 법률과 차이를 보인다. 이러한 접근은 정보주체의 권리를 보다 강력히 보호하기 위한 것이다.
미국·일본과의 비교
미국 캘리포니아주는 강력한 개인정보 보호법을 보유하고 있다. 「캘리포니아 소비자 프라이버시법(CCPA)」과 2023년 시행된 「프라이버시 권리법(CPRA)」은 민감정보의 제3자 제공 제한 등 강력한 규제를 도입했다. 일본은 2003년 「개인정보 보호법」 제정 이후, 2017년 개정법을 통해 개인정보의 해외 이전 및 제3자 제공을 엄격히 규제하고 있다.
개인정보보호위원회의 역할과 과제
개인정보보호위원회는 안내서를 통해 개인정보 처리 체계의 개편 내용을 쉽게 이해할 수 있도록 돕고자 했다. 그러나 시민사회의 비판이 이어지며, 개인정보 정의와 해석 기준을 재검토할 필요성이 제기되고 있다. 특히 유럽과 같은 포괄적 보호 기준을 도입할지 여부는 앞으로의 과제가 될 전망이다.
정보주체의 권리를 보호하면서도 산업계 요구를 균형 있게 반영하기 위한 정책 방향이 요구되는 시점이다.
댓글 남기기