사생활 침해 방지 위한 ‘개인정보 보호 강화’, 과도한 규제로 골든타임 놓칠 수도

재난상황 및 범죄상황 해결에 유용한 개인정보 무분별한 개인정보 수집에 관리 미흡하면 2차범죄로 이어질 수 있어 개인정보 보호법 강화 요구↑, 문제 상황 발생 시 해결 늦출 수도

160X600_GIAI_AIDSNote

개인정보, 우리 사회에서 중요하게 다뤄지는 주제 중 하나다. 개인정보는 금융, 헬스케어, 모빌리티, 재난 대응, 긴급구조, 범죄 수사 등 다양한 영역에서 활용 가능성을 주목받고 있다. 하지만 개인정보가 말 그대로 개인의 사생활인 만큼 개인정보 보호에 관한 이슈도 부상하는 상황이다.

국회입법조사처(이하 조사처)는 ‘재난 상황에서 개인정보 보호의 향후 과제’의 현안 분석을 통해 “개인정보의 활용도와 보호 필요성이 증가함에 따라 다양한 국면에서 개인정보가 오·남용될 위험을 확인하고 이를 방지하는 것이 중요”하다고 강조했다. 급박하고 무질서한 재난 상황에서는 빈번하게 피해자 등의 개인정보가 정보 주체의 의사와 상관없이 무분별하게 수집·유포되는 상황이 발생하기 때문이다. 조사처는 “재난 상황에서 개인정보가 어느 정도의 유용성을 갖는지, 현행 법체계는 개인정보 규율에 관해 어떤 한계를 갖고 있는지, 이를 보완하기 위한 향후 방향성은 어떻게 되는지 제시하고자 한다”고 밝혔다.

재난 상황에서 개인정보 활용의 양면성

재난 상황에서 피해자 등의 개인정보는 재난의 확산을 막고 피해 복구를 돕는 등 재난 대응을 위해 유용하게 활용될 수 있다. 대표적으로 피해자 수색 과정에서 활용할 수 있는데, 특히 스마트폰이나 스마트워치 등을 통해 수집된 개인위치정보가 피해자의 이동 경로 및 소재 파악을 원활하게 해 피해 피해자에 대한 조속한 구조를 가능하게 한다. 현행법은 긴급구조를 목적으로 일정한 조건 하에 긴급구조기관과 경찰 등이 개인위치정보의 제공을 요청할 수 있도록 규정하고 있다. 피해자의 신원을 확인하는 과정에도 개인정보가 활용될 수 있는 만큼, 그동안 많은 사람이 희생된 대규모 재난 현장에서 피해자를 촬영한 사진 등이 신원확인에 중요한 역할을 해왔다. 재난의 확산을 방지하는 데에도 개인정보는 활용될 수 있으며, 특히 감염병으로 인한 재난 상황에서 그 중요성이 부각된다. 개인정보는 최근 코로나19 예방 및 대응 과정에서도 활용된 바 있다. 지난 2020년 코로나19 발생 초기, 전국적으로 확진자가 증가하자 지방자치단체들은 감염병의 확산을 막는 차원에서 확진자들의 동선 정보를 자치단체 공식 누리집에 공개한 사례가 대표적이다.

하지만 때에 따라 재난 피해자의 개인정보 보호에 중대한 위협을 가할 수도 있다. 일례로 각종 매체에 의해 정보 주체의 권리가 침해된다는 우려가 제기되던 ‘이태원 참사’ 사건을 참고할 수 있다. 참사 현장을 지나는 일반 시민이나 기성 언론 등에 의해 무분별하게 피해자의 개인정보가 유포되고, 이후 SNS를 비롯해 각종 온라인 매체로 빠른 시간 안에 많은 사람에게 번졌기 때문이다. 이는 피해자의 인격적 이익 침해와 인간적 존엄 훼손을 넘어서 유족이나 지인의 추모 감정 형성에도 부정적인 영향을 미칠 수 있다.

또 재난 대응 과정에서 수집된 개인정보가 각종 범죄 목적에 악용될 수 있다는 우려도 제기된 바 있다. 당초의 수집 목적과 달리 개인정보가 유통되어 신원 도용이나 보험 사기 등에 악용될 수 있다는 것이다. 실제로 지난 2004년 인도양 지진해일 대응 과정에서 기부를 명목으로 한 사기 행위에 피해자의 인적 사항 등 개인정보가 악용된 사례가 있었다. 나아가 재난 상황에서 피해자의 개인정보 유출이 사회적인 차별이나 혐오의 원인이 될 수 있다는 지적도 있다. 코로나19 감염병 사태 당시 확진자 정보가 공개될 때 특정 인종이나 성별 혹은 성적 지향, 특정 지역의 피해 사례가 부각된 일을 두고 전문가들은 확진자에 대한 낙인(stigmatization) 효과가 발생하여 사회적 혐오나 차별이 유발될 수 있다며 우려를 표하기도 했다.

기술 발달했지만, 법은 그대로? CCTV보다 심각한 드론·스마트기기 침해 문제

한국인터넷진흥원은 30~40대 직장인의 하루 평균 CCTV 노출 현황 조사를 실시한 결과, 출근부터 퇴근 후 자기 계발·여가 활동, 그리고 귀가까지 총 98회 정도 노출된다고 전했다. 이는 2019년 조사 결과로, 현재 설치된 CCTV 개수가 더 늘어난 만큼 하루 평균 98회 이상 노출될 가능성이 커졌음을 추론할 수 있다. 일각에서는 CCTV가 치안을 유지하고 범죄를 억제하며, 사람들의 도덕적인 행동을 유도한다며 유용하다고 말하지만, 너무 많은 CCTV로 인해 개인의 사생활이 침해되고, 매번 누군가가 어디서 보고 있을 수 있다는 불안감을 유발하는 등 악용될 가능성도 무시할 수 없다고 주장한다. 통계청은 지난 2015년 73만9,232대였던 공공기관 CCTV 설치·운영 대수가 2021년 145만8,465대로 약 2배가량 증가했다고 밝혔으며, 한국인터넷진흥원은 2014년 민간기관과 공공기관을 포함해 CCTV 설치 대수는 807만 대였으나, 매년 10% 증가를 기준으로 했을 때 2021년 말 약 1,600만 대로 추정할 수 있다고 전했다.

우리 시대는 자율주행 자동차, 드론, 스마트 기기 등 영상정보처리기기를 통한 영상 촬영이 대중화되고 보편화됐다. 일반적인 개인정보 수집·처리와 비교할 때 영상정보처리기기를 통해 수집되는 개인정보는 식별성이 강해 개인의 자유와 권리가 침해될 소지가 크다. 나아가 이런 개인 영상정보가 최근 발전된 ‘얼굴 인식 기술’과 결합된다면, 특정 개인에 대한 추적이나 감시가 보다 용이해져 정보 주체의 사생활 보호에 대한 중대한 위협이 될 수 있다. 재난 상황에서도 개인정보의 보호가 필요한 것은 마찬가지다. 하지만 현행 ‘개인정보 보호법’은 영상정보처리기기에 의한 개인정보 침해를 방지하는 데 미흡하다. 현행법에서 영상정보처리기기의 설치·운영을 일부 제한하는 규정을 두고 있지만 일반 개인정보와 구별되는 개인 영상정보의 특수성을 충분히 반영하지 못하고, 적용 범위도 제한되어 있기 때문이다. 또 CCTV와 같은 고정형 영상정보처리기기만 적용되며 드론이나 자율주행 자동차, 스마트 기기 등과 같은 ‘이동형 영상정보처리기기’에는 적용되지 않는다는 문제점도 있다.

물론 재난 대응을 위해 공공기관이 불가피하게 방대한 양의 개인정보를 수집 및 처리할 수도 있다. 조사처는 “공공부문은 다양한 종류의 정보 시스템을 통해 공공행정 전 영역에서 총 669억 건(중복 포함)의 개인정보를 처리하고 있다”고 전했다. 특히 공공부문은 민간 부문과 달리 대다수 정보 주체의 개별적 동의가 없더라도 법령에 근거해서 개인정보를 수집·처리하는 경우가 많다. 즉 현행 개인정보 보호법이 정보 주체의 동의를 핵심으로 하는데 중대한 예외가 형성되는 것이다. 이뿐만 아니라 공공기관이 다량의 개인정보를 수집·처리할 때 관리가 미흡하다는 지적도 끊이지 않고 있다. 일례로 최근 수원시 공무원이 자동차(건설기계) 관리시스템에서 취득한 피해자의 주소를 흥신소에 유출해, 이를 취득한 가해자가 피해자의 가족을 살해한 사건이 있었다. 또한 코로나19 대응 과정에서도 한 지방자치단체 소속 공무원이 개인정보가 담긴 보고 문건(확진자의 성별, 나이, 가족관계 및 거주지, 직장 정보 등)을 촬영해 가족들에게 전송한 사안이 문제로 불거지기도 했다.

이외에도 조사처는 개인정보 보호법이 살아 있는 자의 개인정보만 규율하고, 사망자에 대해서는 침묵하고 있다는 점도 문제점으로 제기했다. 개인정보자기결정권은 일반적으로 사법(私法)상 인격권의 일종으로 인식되는데, 이때 인격권은 일신전속권으로서 상속의 대상이 되지 않아 본인의 사망과 함께 소멸하기 때문이다. 하지만 사망자의 개인정보가 온라인 혹은 오프라인상에 남겨져 후속 처리 과정에서 다양한 불확실성을 남긴다는 사실이 문제가 된다. 유족들이나 지인들의 추모 감성 형성을 위해 개인정보를 보호해야 한다는 취지와도 반하게 될 수 있다.

개인정보 보호법 보완, 법적·기술적 통제 확보해 공공기관의 효율적 관리에도 힘써야

해외에서도 얼굴인식 등 생체 정보를 비롯해 CCTV와 드론, 자율주행 자동차 등을 통해 노출되는 개인정보가 늘어나 규제를 강화하고 있다. 유럽연합(EU)은 2021년 4월 EU 집행위가 공개적으로 접근할 수 있는 장소에서는 실시간 원격 생체인식 사용을 원칙적으로 금지하는 내용의 법안을 발표했다. 단 ▲실종아동 등 범죄 피해자에 대한 수색 ▲자연인의 생명·테러 위협에 대한 구체적 실질적 위협의 예방 ▲테러·인신매매 등 32가지 범죄 용의자 또는 3년 이상 구금형 범죄 용의자의 탐지 및 식별 등의 목적 중 어느 하나를 위해 엄격히 필요한 경우에만 비례적 보호조치를 조건으로 허용했다.

미국은 2021년 4월 연방 이민 당국의 생체정보 접근을 제한하는 결의안을 통과시킨 일리노이주를 비롯해 텍사스주와 워싱턴 주 등이 생체정보(얼굴, 홍채, 지문 등) 수집 시 동의를 의무화하는 법률을 도입했다. 현재 뉴욕주를 포함한 여타 주에서도 입법을 추진 중이다. 재난이나 범죄 상황을 방지하기 위해서는 2021년 6월 국제사면위원회(Amnesty International)에서 뉴욕 경찰이 1만5,000개 이상의 카메라와 얼굴인식을 통해 특정 개인을 식별·추적할 수 있다고 발표했으며, FBI는 1999년부터 범죄자 등 1억 명 이상의 얼굴 정보, 홍채, 지문 등을 포함하는 차세대 범죄기록 검색시스템(Next Generation Identification)을 구축해 형사사법 인력만 접근을 허용하고 있다고 밝혔다. 미국 연방 차원의 개인정보보호법 제정 논의는 2018년 이후부터 계속 진행 중이다.

조사처는 발전된 기술과 갈수록 고도화되는 개인정보 침해에 대응하기 위해 우리나라 역시 개인정보 보호법을 보완해야 한다고 강조했다. 특별히 영상정보처리기기에 대한 법적·기술적 통제를 확보하여 일반 상황이나 재난 상황에서까지 개인정보의 무분별한 수집을 제한할 필요가 있다고 밝혔다. 다만, 영상 촬영에 관한 개인정보 보호를 강화하더라도 개인 영상정보의 활용 가능성을 과도하게 제약하는 것은 바람직하지 않다는 지적이 있어 적절한 규제안 마련이 필요할 것으로 보인다. 실제로 우리나라 개인정보 보호 법제의 규제 수준이 높아 개인정보를 비롯한 데이터의 산업적 활용이 과도하게 위축된다는 지적이 있었다.

나아가 공공기관의 개인정보 관리에 대해서도 법령 정비가 필요하며, 공공기관의 행정 목적을 달성하기 위해 필요한 최소한의 범위로 정보 수집을 제한해야 한다고 전했다. 조사처는 “향후 재난 대응 영역을 필두로 공공부문의 각 분야에서 필요 이상의 개인정보가 수집·처리되고 있지 않은지 점검하고, 필요 최소 범위에서 개인정보가 수집·처리될 수 있도록 수권 법령을 개선하여 공공부문에 의한 개인정보 유출 위험을 원천적으로 차단해 나가는 방향성이 필요하다”고 전했다. 이어 장기적인 과제로, 사망자의 개인정보(Post-mortem privacy)를 보호하는 방안에 대한 논의 역시 필요하다고 덧붙였다.

재난 대응 측면에서의 개인정보 활용 딜레마, 무엇이 ‘적절한 사용’일까?

개인정보 보호에 대한 조사처의 분석과 대안은 주목할 만하며 발전된 기술에 대응하는 좋은 지적이다. 하지만 결국 핵심은 재난 대응에 있어서 개인정보 보호를 어떻게 진행할 것인가에 대한 문제일 것이다. 정부는 이미 핸드폰 위치 추적이나 수백만 대의 CCTV를 이용해 개인의 일거수일투족을 감시할 수 있는 체계를 갖추고 있다. 평상시에는 사용하지 않지만, 범죄자 체포 시나 재난 상황이 벌어졌을 때 활용하기 위함이다.

조사처에서 공공기관의 개인정보 수집 및 처리의 양과 최소한의 범위를 지정해야 할 필요가 있다고 강조했지만, 분초를 다투는 시급한 상황에서는 오히려 개인정보 보호조치로 인해 골든타임을 놓칠 수 있다. 최근 한 유튜버는 ‘2032년 대한민국’의 모습을 담은 풍자 영상을 유튜브에 업로드해 많은 인기를 얻고 있다. 해당 영상에는 남자 학교 선생님이 여학생의 다친 손가락에 의료적 처치를 하기 위해 여학생의 부모님께 전화해 허가를 받고, 각서 및 녹취를 통해 치료의 정당성을 확보하려는 모습이 담겼다. 여학생은 피를 흘리며 고통을 호소했지만 남자 선생님은 계속해서 정당성 확보를 먼저 취한 것이다. 해당 영상이 말하고자 하는 뜻이 재난 상황의 모습과 다르지만, 결국 핵심은 과도한 규제가 쉽고 빠르게 해결할 수 있는 일을 더 어렵게 만들 수 있다는 점이다.

국가는 시민들의 안전을 위해 치안을 강화하고 개인정보를 보호할 의무도 있지만, 재난 상황에 빠진 시민들을 구하기 위해 최선을 다해야 하는 의무도 존재한다. 개인정보 보호와 이용, 이 두 가지 문제 사이에서 생기는 딜레마를 어떻게 해결할 것인지, 이 부분에 집중해야 할 것이다.

관련기사