이진규 ([email protected])

네이버주식회사 개인정보보호책임자 (이사)

들어가며

개인정보는 그 유형이나 범위가 매우 다양하고 폭넓다. 이름, 전화번호, 주소 등과 같이 일상생활에서 널리 사용되는 인적사항에서부터 특정 개인에 대한 사회적 평가나 사회적 지위를 가늠할 수 있는 소속 및 소득정보, 그리고 현대 사회에서 타인과의 의사소통을 위해 사용하거나 자동으로 생성되는 이메일 주소, 통화 내역, 로그인 기록 등의 통신정보까지 개인정보에 해당한다. 단독 또는 2가지 이상의 정보가 쉽게 결합하여 살아있는 자연인을 특정하거나 식별할 수 있을 때, 그 낱낱의 정보를 모두 개인정보로 본다. 따라서 개인정보의 범주를 한정 짓는 것은 결코 용이한 일이 아니다. 기술의 발전에 따라 개인 식별 가능성이 높아지고 있는 점도 개인정보의 범주를 결정하는 것을 어렵게 만든다.

아래 [그림 1]에서 확인할 수 있듯, 정부가 제시하는 개인정보의 유형은 매우 다양하다. 여기에서 제시된 항목들은 단지 예시에 불과하며, 실제 법적으로 개인정보에 해당하는 것으로 평가되는 정보는 훨씬 방대하다.

다양한 개인정보를 일정한 기준에 따라 분류하는 것은 가능하겠지만, 가장 일반적으로는 그 속성상 여타 개인정보에 비해 정보주체에게 보다 민감하게(sensitive) 느껴지는 ‘민감정보’와 일반 개인정보로 구분할 수 있을 것이다. 우리나라 개인정보보호법 제23조(민감정보의 처리 제한)는 민감정보의 종류를 열거하고 있지만, 그 정의를 제시하고 있지는 않는다. 이는 정보통신서비스제공자 등에게 개인정보보호에 필요한 규율을 제공했던 (구)정보통신망법(2020년 8월, 소위 ‘데이터 3법 시행’ 이전의 것을 의미)에서도 마찬가지였다. 민감정보를 정의하는 경우, 민감정보의 유형이나 종류를 한정하기 어렵게 되며, 자칫 특별한 보호를 필요로 하는 민감정보를 지나치게 확대하게 되는 상황을 초래할 것을 우려했기 때문에 별도의 정의를 제시하지 않은 것도 개인정보보호법이 민감정보의 정의를 제공하지 않는 배경의 하나로 이해된다.

민감정보는 그 속성상 처리로 인해 발생할 수 있는 위험이 일반 개인정보보다 높은 것으로 이해되며, 그에 따라 일반 개인정보에 비해 높은 수준의 보호조치 대상이 된다. 민감정보는 원칙적으로 처리가 금지되며, 예외적으로 ‘정보주체의 동의’에 기반하여 처리를 할 때에 일반 개인정보의 처리와 별도로 동의를 받도록 요구하는 것, 이용자에게 동의를 받을 때 ‘중요한 내용’으로 강조처리하여 동의를 받아야 하는 것, 민감정보를 처리하는 개인정보처리시스템의 접속 기록을 일반 개인정보처리시스템의 접속기록보다 오랫동안 보존해야 하는 의무 등 일반 개인정보와 차별성 있는 보호조치를 요구한다. ⁽¹⁾)

그런데, 코로나19 팬데믹(pandemic)으로 인해 방역 목적으로 국민의 이동 경로나 건강에 관한 정보를 정부가 처리하면서, 정부가 이를 통해 국민에 대한 ‘방역 감시’를 하는 것이 아닌가 하는 주장이 다수 제기되었다. 국민의 민감한 정보를 법적 근거 없이 처리하거나, 그러한 개인정보 처리에 ‘사회적 합의’가 이미 존재하는 것으로 간주하여 별 다른 문제가 없다는 식으로 공무를 처리해왔다는 주장이 사회 곳곳에서 제시된 것이다. 그런데, 이와 같은 주장이 유의미한 사회적 논의가 되려면 과연 민감한 개인정보는 무엇인지, 그러한 개인정보를 처리할 법적 근거가 존재하는 것인지, 아직 법적 근거가 마련되지 않았다면 어떤 논의를 통해 사회적 합의를 이끌어내야 하는 것인지 등에 대한 신중한 논의는 좀처럼 찾아보기 어렵다.

미국에서는 최근 고용주가 임직원들을 대상으로 백신 접종을 강제하고, 그 결과를 의무적으로 취합할 수 있는지(소위 ‘vaccine mandate’)가 사회적으로 큰 이슈가 되었다. 일부 백신에 대해 미국 FDA가 ‘긴급 승인’을 넘어 공식 승인을 하자 공공 영역을 중심으로 백신 접종을 의무화하고, 그 결과에 따라 출근 가능여부나 고용유지 등을 조건으로 내거는 기업들도 생겨났다. FDA라는 공적 기관의 정식 승인에 따라 백신 접종을 강제화 하고, 그 결과를 취합하여 처리할 수 있는 사회적 합의가 마련된 것이다. 그런데, 우리나라는 백신 접종 여부를 고용주가 수집할 수 있고, 그에 따라 출근 여부를 결정하고 (더 나아가)불이익을 줄 수 있는지 등에 대해서는 사회적으로 이렇다 할 논의가 없다. 백신 접종의 필요성에 대한 사회적 공감대와 별개로 “백신 접종 여부”가 특별한 보호의 대상이 되는 민감정보에 해당하는지에 대한 본격적인 사회적 논의가 없었기 때문이다.

이에, ‘코로나19 백신 접종 여부(그리고, 접종한 백신의 종류)’는 과연 민감정보에 해당하는지, 그러한 논의가 왜 필요한지, 이러한 논의를 주도해야 하는 주체는 누구인지 등에 대해 아래에서 살펴보기로 한다.

건강에 관한 정보

앞서 간략히 언급한 바와 같이, 우리나라 개인정보보호법은 민감정보를 별도로 정의하지 않는다. 그 대신, 어떤 정보가 민감정보에 해당하는지를 나열하는 방식을 택하고 있는데, 이와 관련한 규정은 다음과 같다.

<개인정보보호법> 제23조(민감정보의 처리 제한) ① 개인정보처리자는 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 대통령령으로 정하는 정보(이하 “민감정보”라 한다)를 처리하여서는 아니 된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다. <개정 2016. 3. 29.> 1. 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우 2. 법령에서 민감정보의 처리를 요구하거나 허용하는 경우 ② 개인정보처리자가 제1항 각 호에 따라 민감정보를 처리하는 경우에는 그 민감정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 제29조에 따른 안전성 확보에 필요한 조치를 하여야 한다. <신설 2016. 3. 29.>   <동법 시행령> 제18조(민감정보의 범위) 법 제23조제1항 각 호 외의 부분 본문에서 “대통령령으로 정하는 정보”란 다음 각 호의 어느 하나에 해당하는 정보를 말한다. 다만, 공공기관이 법 제18조제2항제5호부터 제9호까지의 규정에 따라 다음 각 호의 어느 하나에 해당하는 정보를 처리하는 경우의 해당 정보는 제외한다. <개정 2016. 9. 29., 2020. 8. 4.> 1. 유전자검사 등의 결과로 얻어진 유전정보 2. 「형의 실효 등에 관한 법률」 제2조제5호에 따른 범죄경력자료에 해당하는 정보 3. 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보4. 인종이나 민족에 관한 정보

이를 기반으로 개인정보보호법 해설서는 민감정보를 다음 5가지 유형으로 구분한다.⁽²⁾

• 사상·신념에 관한 정보: 개인의 가치관을 기초로 하여 형성된 사유체계 등을 가리키는 것으로 각종 이데올로기, 사상적 경향, 종교적 신념 등에 관한 정보
• 정치적 견해에 관한 정보: 정치적 사안에 대한 입장이나 특정 정당의 지지 여부 등
• 노동조합·정당의 가입·탈퇴에 관한 정보: 노동조합이나 정당의 가입 탈퇴 사실 외, 그에 관한 간접적 정보(노동조합비 또는 정당 회비 납입내역 등 가입 여부를 확인할 수 있는 정보)도 포함
• 건강, 성생활 등에 관한 정보: 개인의 과거 및 현재의 병력(病歷), 신체적·정신적 장애(장애등급 유무 등), 성적 취향 등에 관한 정보 (※혈액형은 민감정보에 해당하지 않음) ⁽³⁾
• 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보: 해석의 여지가 크기 때문에 법 시행령에 위임하여 그 범위를 한정하였는데, 다음과 같은 것들이 있음
  i) 유전자 검사 등의 결과로 얻어진 유전정보
  ii) 벌금 이상의 형의 선고·면제 및 선고유예, 보호감호, 치료감호, 보호관찰, 선고유예의 실효, 집행유예의 취소, 벌금 이상의 형과 함께 부과된 몰수, 추징, 사회봉사명령, 수강명령 등의 선고 또는 처분 등 범죄경력에 관한 정보
  iii) 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보
  iv) 인종이나 민족에 관한 정보

“건강에 관한 정보”가 개인정보보호법상 민감정보에 해당하는 것은 법 구문상 명확하지만, 건강에 관한 정보에 어떤 것들이 존재하는지는 구체적으로 제시되어 있지 않다. 법 해설서는 다음과 같은 예시를 제시한다.

그러나 개인정보보호법 해설서가 제시하는 건강에 관한 정보의 예시는 장애인에 관한 개인정보, 노인장기요양 등급을 받은 사람의 개인정보 등에 관한 것이어서 건강에 관한 정보는 객관적으로 입증 가능하며, 매우 제한적으로 해석되어야 한다는 인상을 주는데 그친다.

법 해설서 외, 민감정보인 ‘건강에 관한 정보’의 예시를 보다 상세히 확인할 수 있는 것으로는 <보건의료 데이터 활용 가이드라인(개인정보보호위원회, 보건복지부, 2020. 9.)>가 있다. 해당 가이드라인은 다음과 같은 건강 정보의 예시를 제시한다.

위 보건의료 데이터 활용 가이드라인에서 특히 눈길이 가는 것은 6번째 예시인데, “일반적으로는 건강정보로 보기 어렵지만, 질환의 진단, 치료, 예방, 관리 등을 위해 사용되는 정보는 건강정보로 봄”이라는 문구가 바로 그것이다. “질환의 예방, 관리”라는 목적으로 사용되는 정보라면 일반적으로는 건강정보로 보기 힘든 개인정보라 할지라도 건강정보에 해당하는 것으로 보아야 한다는 것이다. 특정 맥락 하에서는 건강에 관한 정보의 범주가 확장될 수 있다는 것을 의미하기 때문이다.

코로나19 백신 접종 여부, 그리고 세계 각국의 시각

코로나19 백신 접종 여부를 일반 개인정보로 볼 것인지, 또는 민감정보로 판단할 것인지 여부는 각국 개인정보 법제에 따라 그 상황이 다른 것으로 확인된다. 최근 한 조사결과에 따르면, 코로나19 백신 접종 여부를 어떤 유형의 개인정보로 볼 것인지는 정보주체가 어떤 지위에 있는지에 따라서도(임직원 vs. Gig Economy 노동자 vs. 방문자 등) 달리 판단되는 것으로 확인된다.⁽⁴⁾

[표 1] 국가별 백신 접종 여부 질의 가능성 (출처: bird&bird)

실제 유럽에선 국가별로 유사한, 또는 상이한 내용의 가이드를 제시하고 있다. 벨기에, 프랑스, 독일, 이탈리아, 네덜란드, 아일랜드 등은 고용주로 하여금 임직원들에게 백신 접종 여부를 묻는데 필요한 “유효한 법적 근거가 부재”하다며 이를 묻지 않도록 하는 가이던스를 제시한 바 있다. 네덜란드와 이탈리아 등 일부 국가는 임직원이 사업장 근무 의사(occupational health physicians)에게 백신 접종 여부를 알리는 경우, 해당 의사는 일부 제한된 상황에서만 그 정보를 처리할 수 있고 ‘전문가로서의 기밀준수 의무’에 따라 고용주에게 그 사실을 밝혀서는 안 되는 경우도 있다. 이와는 달리, 호주, 핀란드, 스페인, 영국 등은 고용주가 임직원의 건강 정보를 수집 및 처리할 수 있는데, 그 범위는 “근무지의 안전을 보장하기 위해 필요한 정도”까지로 제한된다. 백신 접종 여부라는 개인정보의 처리가 가능한 경우는 그 법적 근거를 GDPR 제9조 제2항 b호에서 찾고 있는데, 이에 의하는 경우 민감정보라 할지라도 “고용 영역에 있어 컨트롤러나 정보주체의 특정한 권리를 행사하고 의무를 이행하기 위한 목적”에서는 그 처리가 허용되기 때문이다.⁽⁵⁾

<Article 9(2)(b), GDPR>   processing is necessary for the purposes of carrying out the obligations and exercising specific rights of the controller or of the data subject in the field of employment and social security and social protection law in so far as it is authorized by Union or Member State law or a collective agreement pursuant to Member State law providing for appropriate safeguards for the fundamental rights and the interests of the data subject;

미국에서의 백신 접종 여부에 관한 질의는 상당 부분 민간 자율에 맡겨졌었다. 일부 주(state)나 시(city) 단위에서는 식당 출입을 위해 백신 접종 여부를 확인할 수 있도록 하는 법이나 행정규칙을 제정하여 코로나19 상황에서도 공공의 안전과 일상생활의 편의를 조화롭게 하려는 시도가 있었으나, 많은 수의 고용주들은 자칫 시민이 누려야 할 자유가 침해될 수 있다는 사실, 그리고 백신 접종 여부에 대한 질의가 소송으로 이어질 수 있다는 우려 등으로 인하여 백신 접종 여부를 확인하지 못하는 경우도 다수 있었다.⁽⁶⁾

이와 같은 분위기는 지난 9월 9일 Joe Biden 대통령의 소위 “백신 명령(Vaccine Mandate)”으로 인해 크게 바뀌었는데, 100인 이상이 종사하는 모든 사업장을 대상으로 임직원의 백신 접종을 강제하거나 주(week) 단위의 감염 검사를 진행하도록 하였기 때문이다. 개별 기업들도 임직원을 대상으로 한 백신 접종 강제조치를 취할 수 있고, 법원에서도 이와 같은 조치의 합법성을 인정한 바 있으나 일부 기업들은 여전히 임직원들의 조직적 반발이나 이탈을 우려하던 상황에서 대통령의 백신 명령은 기업들이 임직원의 백신 접종 여부를 공식적으로 확인하고, 사업장의 안전을 지키기 위한 기반이 되었다.

해외 여러 국가들이 백신 접종 여부를 확인하는데 있어 동일한 입장을 취하고 있지 않다는 점은 분명하다. 그러나, 다음과 같은 공통점이 있다는 것을 어렵지 않게 확인할 수 있다. (1) 대다수 국가들은 백신 접종 여부를 건강에 관한 정보로서, 민감정보(sensitive data or special categories of data)로 취급하고 있다. (2) 법적으로 이의 수집을 제한하는 국가도 있고, 수집을 허용한다 하더라도 제한적 범위와 목적 하에 이를 사용하도록 하는 엄격한 규정을 가지고 있다. (3) 법적으로 이를 수집 등 처리할 근거가 명확하지 않는 경우, 백신 접종 여부의 확인으로 인해 발생할 수 있는 위험(특히, 사회적 차별의 위험)을 인식하고 이에 대응하기 위한 조치를 취하고 있다. (4) 백신 접종 여부 수집의 대상이 되는 정보주체의 유형을 구분하고, 유형별로 그 수집 및 처리를 적절히 허용하거나 제한하고 있다.

우리나라의 경우

우리나라에선 백신 접종 여부가 일반 개인정보에 해당하는지, 민감정보에 해당하는지 여부는 여전히 명확하지 않은 상황이다. 개인정보보호법이 민감정보의 하나로 제시하는 ‘건강에 관한 정보’가 코로나19 백신 접종 여부를 포함하는지를 확인할 수 있는 공신력 있는 정보를 정부가 제시하지 않기 때문이다.

다만, 백신 접종 여부가 <보건의료 데이터 활용 가이드라인>이 제시하는 건강정보의 예시로 제시된, “일반적으로는 건강정보로 보기 어렵지만, 질환의 진단, 치료, 예방, 관리 등을 위해 사용되는 정보는 건강 정보로 봄”이라는 문구에 비추어 코로나19 백신 접종 여부는 코로나바이러스감염증-19(COVID-19)의 예방, 관리 등을 위해 사용되는 정보라는 점에서 건강정보에 해당한다는 문언적 해석을 할 수 있을 것으로 보인다.

이와 같은 문언적 해석과는 달리 전문가들의 견해는 일부 갈리는 것으로 확인이 된다. 우선, 법 문언상 ‘건강에 관한 정보’에 포섭이 되고, 다른 의료정보 또한 대체로 민감정보로 취급이 되며, 코로나19 백신 접종을 했는지 여부에 따라 사회적 차별을 야기할 우려가 있는 점 등을 고려하여 민감정보에 해당된다고 보는 견해(제1설)가 있는데 반해, 개인정보보호법 해설서는 과거 및 현재의 병력(病歷), 신체적·정신적 장애(장애등급 유무 등)’를 가리킨다고 설명하고 있는 바, 이에 따르면 코로나19 감염여부는 병력에 관한 정보로서 민감정보에 해당되는 반면, 코로나19 백신 접종 여부에 관한 정보는 병력에 관한 정보는 아니므로 민감정보에 해당하지 않는다는 견해(제2설)도 있다. 특히, 제2설과 관련해서는, GDPR의 경우 민감정보는 제9조(processing of special categories of personal data)에 따라 그 처리 근거를 확보할 여지가 존재하는 반면, 우리나라 개인정보보호법은 이와 같은 근거가 부재하므로 오직 정보주체의 동의 내지 법령의 처리요구나 허용에만 기반하여 그 처리가 가능하므로 현실적으로 백신 접종 여부의 수집 등 처리를 지나치게 제약하므로 민감정보에 해당하지 않는 것으로 보아야 한다는 의견도 있다. 특히, 사적 영역에서 고용인이 피고용인의 정보를 동의 없이 확보하려면 ‘정당행위’ 요건을 모두 충족해야 하는데, 이러한 것이 현재의 사회적 상황에서 적절한 것인지도 고민이 필요하다는 것이다.⁽⁷⁾

한편, 개인정보보호위원회는 백신 접종 여부가 일반 개인정보인지 또는 민감정보인 건강정보에 해당하는지 여부를 공식적으로 밝힌 바 없는 것으로 확인된다. 그러나 개인정보보호위원회는 내부적으로 상기 제1설 및 제2설을 절충한 입장을 가지고 있는 것으로 전해지고 있다. 개인정보보호위원회는 심사총괄담당관실은 백신 접종 정보의 수집이 민감정보 처리에 해당하는지 여부에 대한 질의에 대한 회신에서 “(회사가) 직원의 백신휴가 부여를 위해 예방접종 여부 등 개인정보를 수집하는 경우 「개인정보보호법」 제15조제1항제2호부터 제6호에 해당사항이 있는 경우를 제외하고는 「개인정보보호법」 제15조제2항 각 호의 사항을 정보주체에게 알리고 동의를 받아 개인정보를 수집하는 것이 바람직할 것으로 판단”된다고 설명하면서, “다만, 예방백신 접종 여부 등이 경우에 따라 개인의 건강에 영향을 미칠 수 있는 정보로 볼 수도 있는 점을 고려하면, 사안에 따라서는 민감정보의 범위에 포함”될 수 있다고 부연한 것으로 확인이 된다.

이는 백신 접종 여부를 수집 및 이용하기 위해서는 일반 개인정보 처리에 대한 근거를 확보하는 것만으로 족하지만, “사안에 따라서는 민감정보의 범위에 포함”될 수도 있기 때문에 백신 접종 여부가 민감정보(건강에 관한 정보)에 해당하지 않는다고 단정적으로 입장을 제시하긴 어렵다는 것으로 이해된다. 그런데, 이와 같은 설명에는 한 가지 큰 맹점이 있다. 특정 개인정보가 처리되는 ‘맥락’에 따라서 민감정보 해당 여부가 결정된다면, 많은 경우 개인정보의 처리로 인해 정보주체에게 차별적 결과를 포함하는 위험(risk)이 발생한 후에 민감정보 해당 여부를 인식할 수 있게 된다는 것이다. 특히, 우리나라 법제에서 민감정보의 처리는 위에서 설명한 것과 같이 (1) 정보주체로부터 다른 개인정보의 처리와 별도의 동의를 얻거나, (2) 법령에서 민감정보의 처리를 요구하거나 허용하는 경우에 한정되는데, 특정 정보가 민감정보에 해당하는지 여부를 그 처리 맥락에 의해 사후적으로 파악할 수밖에 없는 경우라면 법적 처리근거 없이 처리를 한 것으로 평가되거나, 별도의 ‘정당행위’ 요건 해당성을 판단해야 하는 상황에 처해질 수 있는 것이다.

이러한 의미에서 백신 접종 여부가 민감정보(건강에 관한 정보)에 해당하는지 여부는 사전에 충분히 검토되어야 할 것이며, 맥락에 따라 민감정보 해당 여부가 결정되는 경우라면 일반 대중이 판단에 도움을 얻을 수 있도록 충분한 사례가 제시되어야 할 것이다.

나가며

우리나라는 코로나19라는 전대미문의 상황의 맞이하여 방역과 경제적 관점에서 전 세계의 모범이 되는 다수 사례를 만들어내고 있다. 그러나, 그러한 사례를 만들어내는데 있어 사회적으로 충분한 합의(social consensus) 절차를 거쳤는지, 법적으로 명확한 근거를 마련했는지 등에 있어서는 상충되는 의견이 제시되고 있다. 대표적으로, 대규모 감염 차단을 위한 감염 의심자를 대상으로 한 이동 경로 확인 및 공개와 관련한 제반 절차를 들 수 있다. 이태원에서의 대규모 감염 예방을 위한 정부 당국의 이동통신사 접속기록 확인에 대해서는 과도한 개인정보 처리에 대하여 법정 다툼이 진행되고 있고, 확진자 이동 경로(동선) 공개와 관련해선 지자체의 법적 근거 없는 동선 공개나 과도한 정보 공개로 인한 사회적 혼란을 야기했다. 이러한 방역 활동에 있어 충분한 법적 근거가 존재했는지, 사회적으로 합의를 이룬 수준에서 기본권 침해를 최소화하기 위한 활동만을 수행한 것이었는지 등에 대해선 여전히 논쟁이 있다.

백신 접종 여부가 건강에 관한 정보로서 민감정보에 해당하는지 여부는 우리나라에선 아직 명확히 정리된 사안은 아닌 것으로 보인다. 예를 들어, 고용주의 입장에선 사업장의 안전과 보상에 상응하는 노동을 제공받기 위해 백신 접종 여부의 확인은 필수적이며, 민감정보에 해당하지 않는다고 판단할 수 있을 것이다. 노동자의 입장에선 백신 접종 여부로 인해 차별적 대우를 받을 수 있다는 우려를 갖게 될 수도 있다. 특히, 계약직 노동자라면 백신 미접종 사실이 고용관계에 영향을 미칠 수 있을 것이라는 불안을 갖는 것도 무리가 아닐 것이다. 이 경우, 백신 접종 여부를 민감정보로 각별히 보호받고 싶다는 생각을 갖게 될 수도 있을 것이다. 이와 같이 정보주체가 처한 입장과 사정에 따라 특정 정보를 일반 개인정보나 민감정보로 여기는 입장의 차이가 발생할 수 있다. 이러한 상반된 견해를 모아 사회적으로 타협을 이루는 것은 사회의 안정적 기반을 마련하는데 매우 중요한 역할을 한다.

개인정보보호위원회의 중요성은 이와 같은 지점에서 매우 크게 부각된다. 특정한 개인정보 처리 활동이 법적 근거를 확보한 활동인지, 또는 그렇지 않은 활동에 해당하여 위법적인 것인지를 사후적으로 판단하는 것은 법적 안정성의 유지나 사회 활동에 기준을 제시한다는 측면에서 매우 중요하다. 그러나, 사회적으로 아직 명확한 기준이 제시되지 않았거나 정보주체간 상이한 입장에 따라 달리 해석될 수 있는 경우를 확인하거나 예상하여 ‘형성적(形成的) 결정(formative assessment or decision)’을 사전에 내리는 것도 그에 못지않게 중요하다 할 것이다. 위법성 판단에 앞서 사회적으로 어떠한 현상이 발생하고 있고, 그로 인해 야기되는 문제점이나 위험은 무엇이며, 이에 대한 적절한 통제나 보호조치가 제대로 구현되어 있는지, 만약 구현되어 있지 않은 경우라면 사회적으로 어떻게 합의를 이루어서 위험을 관리할 것인지 등에 있어 형성적 판단을 내리는 것은 우리 사회를 한 단계 더 발전시킬 것이 분명하기 때문이다.

이러한 측면에서 개인정보보호위원회가 보다 선제적으로 사회의 기준을 제시하는 노력을 경주해야 할 것이며, 이를 위해 보다 다양한 사회 각계각층의 목소리를 진지하게 들어야 할 것이다. 데이터 3법의 개정을 통해 개인정보 보호와 관련한 중앙 행정기관으로 새롭게 태어난 개인정보보호위원회의 입지를 보다 단단히 하는 것은 이 지점에서 평가될 것이기 때문이다. 영어권 속담에 “Hindsight is always 20/20.”라는 표현이 있다. 어떤 일이 발생한 후에 이를 되짚어 보는 경우 누구나 2.0의 높은 시력을 가지고 있다는 의미이다. Hindsight에 매달릴 것이 아니라, Foresight에 집중해야 한다. 이미 선진국이기 때문이다, 우리나라는.

본 원고는 KISA Report에서 발췌된 것으로 한국인터넷진흥원 홈페이지(https://www.kisa.or.kr/public/library/IS_List.jsp)에서도 확인하실 수 있습니다.

KISA Report에 실린 내용은 필자의 개인적 견해이므로, 한국인터넷진흥원의 공식 견해와 다를 수 있습니다.

KISA Report의 내용은 무단 전재를 금하며, 가공 또는 인용할 경우 반드시 [한국인터넷진흥원, KISA Report]라고 출처를 밝혀주시기 바랍니다.