들어가며

매해 연말이 되면 특정 분야의 이슈를 ‘OO 분야 이슈 Top 10’ 등의 제목으로 모아보는 것은 다소 진부한 형식이지만, 이러한 방식이 지속적으로 생명력을 유지하는 것은 그 나름의 이유가 있다. 특히 올해는 전 세계를 휩쓴 코로나19라는 이슈의 개미지옥이 그 외의 모든 사회적 이슈의 잔해까지 모두 삼켜버린 상황을 고려할 때, 일정한 주기마다 발생한 주요 이슈를 놓치지 않고 기록으로 남기는 것만으로도 의의는 작지 않다 할 수 있을 것이다.

올해 발생한 개인정보 관련 주요 이슈를 모아본다.

1월. 데이터 3법의 국회 본회의 통과

데이터 3법이 1월 9일 국회를 통과했다. 더 이상 데이터 3법의 이름에서 각 한 글자를 따와 ‘개망신법’이라는 자조 섞인 표현으로 이들 법을 칭하지 않아도 될 것이라는 안도와 더불어 데이터 활용에 대한 기대가 한껏 부풀어 올랐다. 소위 ‘데이터 경제’가 현실화될 것이라는 전망이 쏟아졌다. 개인정보를 가공하여 원래의 정보주체를 알아볼 수 없게 만든 ‘가명정보(pseudonymized data)’의 개념을 도입하는 동시에, 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 경우라면 정보주체의 동의 없이 가명정보를 처리할 수 있게 한 점이 데이터 경제를 촉진할 요인으로 꼽혔다. 전문기관을 통한 가명정보 결합이 허용된 점도 기대를 모았다. 유럽연합에서는 개인정보를 보호하기 위한 보호조치(security measures)의 하나로 가명정보를 인식하고 있지만, 우리나라는 이를 ‘보호조치가 된 정보이기 때문에 활용의 폭을 넓혀줄 수 있는 정보’라고 해석했다. 가명정보 도입과 더불어 ‘목적합치의 원칙’도 도입했다. 가명정보에 가려져 많이 주목받지 못하고 있으나, 개인정보 활용의 폭을 대폭 넓힐 수 있는 가능성이 있다. 개정 개인정보보호법 제15조 제3항, 제17조 제3항은 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령이 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용·제공할 수 있게 하였다. 이와 같은 ‘목적 합치 원칙’으로의 전환에 대해 한 학자는 “합리적이고 적절하다.”라고 평가했는데, 구체적으로 다음과 같은 사유를 제시했다.⁽¹⁾

마이데이터 제도의 도입으로 인해 진정한 데이터 경제가 가능해질 것이라는 기대가 모였다. 그러나 제도가 본격 시행되는 것은 법 통과 후에도 1년 남짓 더 기다려야 하며, 그 사이에 발생한 ‘거래내역’을 둘러싼 이커머스 업계와 금융당국의 힘겨루기는 과연 정보주체의 ‘자기정보통제권’을 보장하려는 것인지, 일단 데이터를 쓰고 보자는 것인지 혼란을 주고 있다. 여전히 갈 길은 멀고, 평탄화 할 길도 짧지 않다는 점을 상기하게 되었다.

데이터 3법 통과로 가장 크게 주목을 받은 변화는 개인정보 보호(그리고 활용)를 둘러싼 거버넌스의 정비라 할 수 있다. 개인정보보호 분야에 있어 개인정보보호위원회로 거버넌스가 통합되었다. 그러나 이는 ‘미완의 통합’에 그쳤다. 개인정보 가운데 중요한 영역을 점하고 있는 위치정보에 대한 거버넌스는 방송통신위원회에, 금융기관 등에 대한 거버넌스는 금융위원회에 귀속된다. 개인정보보호위원회가 이와 같은 파편화된 거버넌스를 어떻게 조율할 것인지에 더욱 관심이 모아지는 이유다.

Google은 향후 2년 이내에 서드파티 쿠키(3rdpartycookie)를 Chrome에서 더 이상 지원하지 않겠다고 밝혔다. ‘19년 말 기준으로 전 세계 브라우저 시장의 56%를 점유하고 있는 Chrome의 지위를 고려할 때, 온라인 광고생태계에 미치는 영향이 거대할 것이라는 점을 미루어 짐작할 수 있는 부분이다. 그런데, 이와 같은 Google의 발표는 표면적으로 이용자 프라이버시 보호를 내세운 것이지만, 실제 속내는 광고 생태계에서 Google의 지위를 더욱 확고하게 하기 위한 것이라는 비판을 받기도 했다. 제3자 쿠키를 Chrome과 같은 영향력 있는 브라우저가 지원하지 않는다면 결국 이용자의 웹 행태를 여러 사이트에 걸쳐 추적(소위 ‘cross-site tracking’)할 수 있는 Google과 같은 거대 기업의 광고 생태계 영향력이 더욱 확고해지기 때문이다. Google, Facebook, Apple과 같이 이용자를 자사 서비스에 로그인 시켜 여러 사이트에서의 활동을 추적하거나, 기기에 대한 통제권을 보유하는 등 강력한 영향력을 통해 이용자 데이터를 확보할 수 있는 기업과 그렇지 않은 기업간의 ‘힘의 불균형’이 영속화 되는 것이다. 이용자 데이터를 확보할 수 있는 다양한 채널을 구축한 Google이 소위 ‘사다리 걷어차기’를 한 것이라는 평가가 잇따랐다. 서드파티 쿠키의 지원을 중단하면 이용자를 보다 은밀하게 추적하기 위한 ‘핑거프린팅(fingerprinting)’기술이 더 많이 사용될 것을 우려하는 목소리도 나왔다. ‘빅 테크’보다 더욱 거대한 ‘빅 플랫폼’의 서비스 정책 변경이 얼마나 큰 파장을 낳을 수 있는지 살펴볼 수 있는 기회라는 평가도 있다. 특정 국가의 법과 정책이 온라인 생태계에 미치는 영향보다 빅 플랫폼의 정책 변경이 미치는 파급이 더 클 수 있다는 점을 보여준 것이다.

2월. 코로나19에 따른 감염자 이동경로 공개와 프라이버시 침해

코로나19로 인한 감염자 이동경로(동선) 공개에 따른 프라이버시 침해 이슈가 국내에서 크게 불거졌다. 어떤 경우엔 ‘코로나19 감염보다 동선 공개가 더 두렵다.’라는 말이 나올 정도였다. 업소녀, 불륜남 등 오해와 억측에 의한 낙인 찍기 현상도 문제가 되었다. BBC 등 해외 매체들도 이와 같은 현상에 관심을 보일 정도였다. 이러한 현상은 2015년도 6월, 감염병의 예방 및 관리에 관한 법률(감염병예방법) 개정안이 국회를 통과함에 따라 확진자 동선, 이동수단, 방문지 이름과 시간대까지 시민들이 알 수 있게 되었기 때문이다. 정부가 감염자로부터 수집할 수 있는 정보는 ▲ 성명, 주민등록번호, 주소 및 전화번호 등 인적사항 ▲ 처방전 및 진료기록부 ▲ 출입국관리기록 ▲ 신용카드·직불카드·선불카드·교통카드 사용명세 ▲ CCTV 등에 수집된 영상정보 ▲ 감염병환자 등 감염이 우려되는 사람의 위치정보(경찰이 통신사 등에 요청) 등이고, 이를 감염병예방법 제34조의2에 따라 보건복지부장관이 공개한 것을 각 지자체가 확산시켜 사회적 혼란을 일으켰다. 코로나19로 인해 사회적으로 매우 다양한 영역에서 프라이버시 침해 사안이 발생했지만, 이동경로 추적을 위한 광범위한 정보 수집과 동선 공개 이슈는 2020년 한 해를 관통하는 대표적인 프라이버시 침해 이슈라 할 수 있다. 사회적으로 ‘어떤 가치에 중점을 두고 법제를 설계해야 할지’라는 질문이 ‘가치들 사이의 어떠한 균형을 고려하여 법제를 설계해야 할지’라는 질문으로 바뀌는 계기가 되었다. 현재까지도 이동경로 공개와 관련한 사회적 논의는 지속되어오고 있다. 3T(Trace – Test – Treat)으로 널리 알려진 우리나라의 방역체계와 더불어 감염자 추적에 활용되는 정보의 수집 등 처리와, 이동경로 공개 등과 관련한 개인정보의 활용 등으로 인해 불거진 사회적 논의 또한 전 세계의 논의를 리딩할 수 있는 지점이 되었다. 우리 경험을 세계에 공유하고, 경험과 교훈을 나눌 수 있을 것이다.

유럽연합 집행위원회(European Commission)는 “European Strategy for Data(유럽연합 데이터 전략)”, “White Paper on Artificial Intelligence: a European approach to excellence and trust(인공지능 백서: 신뢰와 탁월을 위한 유럽의 방식)”을 발간했다. 전자의 문서를 통해 유럽연합 집행위원회는 “기업들로 하여금 데이터를 공유하도록 유인할 법제적 행동에 나설 필요를 탐색할 것이다.”라는 입장을 숨기지 않았다. 심지어 데이터를 영업기밀로 분류하는 제도를 제거하는 내용을 담아 EU directive를 개정하는 것 까지도 검토안에 포함할 것을 밝혔다. 이는 소위 ‘data advantage’로 인해 발생하는 높은 시장 지배력이 데이터에 대한 일방적 접근을 가능하게 한다는 문제의식에 기반한 것이다. 기업과 연구소, 공공기관 등이 자유롭게 데이터에 접근할 수 있는 데이터 단일시장을 구축하겠다는 목표도 함께 밝혔다. 개인정보 보호 측면에서 GDPR을 전 세계에 수출한 유럽연합이 데이터 분야에서 유럽의 방식을 또 다시 ‘표준화’하겠다는 속내를 드러낸 것이다. 기술이 아니라면 법제로 세계를 리딩할 수 있을 것이라는 믿음에 기반한 것으로 보인다.

유럽연합 집행위원회는 AI 기술에 대한 정확하고 신뢰성 있는 평가를 위해 ‘적합성 평가기준’을 조만간 제정하기로 했다. 특정 AI 기술이 적합성 평가기준을 충족하지 못하는 경우 제재에 나설 수 있다는 것이다. 다만, 논란이 되고 있는 안면인식(facial recognition)에 대해서는 특별한 언급이 없이 어물쩍 넘어갔다는 비판도 받았다. 이와 같은 유럽연합의 태도는 데이터에 대한 정보주체의 권리를 인격권으로 접근하지만, “현실적으로 미국, 중국 등 기술선진국과 맞서 싸우기 위해서는 어느 정도의 이슈는 일단 묻어두고 넘어가야 한다.”는 상인의 감각을 떠올리게 한다.

3월. n번방 사건과 공공개인정보처리시스템에서의 개인정보 처리

스타트업얼라이언스가 규제 분석 보고서를 발표했다. 가장 첫 번째로 “핀테크 기업의 망분리 규제 이슈”를 다뤘다. 소위 망분리 규제로 대표되는 ‘도메인 중심의 보안정책’이 4차 산업혁명 시대에도 여전히 적합한 것인지에 대한 논의였다. 해외에서는 망분리 도입 여부와 범위를 자체적으로 설정하며, 유출 사고 발생 시 기업이 책임을 지는 사후규제 방식을 채택하는 것이 일반적이지만 우리나라 공공과 금융업계에는 법에 의해 일방적으로 강제되는 망분리가 전격 도입된 것이 현재의 왜곡된 상황을 만들어 냈다는 비판이 제기되었다.

해외의 데이터 중심 보안정책 vs 우리나라의 도메인 중심 보안정책 비교
[출처: 스타트업얼라이언스]

코로나19 상황에서 원격 근무를 수행하지 못하게 하는 주요 원인으로 망분리가 지목되었다. 일부에서는 재택근무를 가로막는 ‘대못 규제’라는 표현까지 할 정도였다. 금융위원회는 금융회사들이 재택근무를 상시 수행할 수 있는 방안을 9월에 내놓았지만, 망분리에 대한 근본적 이슈를 해결한 것은 아니라는 비판이 지속적으로 제기되고 있다. 정보통신망법에 도입되었다가 개인정보보호법에 특례규정으로 목숨을 부지하고 있는 망분리 규제는 제대로 논의되지도 못했다. 데이터 경제로 나아가야 할 때 반드시 논의되어야 할 주제임에도 여전히 추동력을 충분히 얻지 못하고 있다.

텔레그램 n번방으로 인한 사회적 파장은 엄청났다. 텔레그램에서 ‘박사’로 불린 20대 남성 조씨가 각종 커뮤니티 사이트를 통해 현역 공익요원들을 신상정보 캐내기 목적으로 모집하였고, 이 과정에서 공익요원들이 국가 행정전산망을 이용한 것이 확인되었다. 공익요원들이 주민등록번호를 조회할 권한이 없음에도 공무원들이 업무상 제공받은 접속권한을 공익요원들에게 전달하여 자신들의 업무를 대신하게 한 것이 결국 n번방이라는 끔찍한 결과로 이어진 것이다. 사회복무요원들의 복무에 대한 이슈가 사회적으로 문제제기 되었고, 국방부까지 나서 이에 대한 대책을 내놓았다. 그렇다고 하여 현장에서 모든 문제가 해결되었을 것으로 보기는 어렵다. 일부 언론은 n번방 사건 이후에도 사회복무요원들이 여전히 주민등록번호를 조회하는 업무를 수행하고 있음을 확인해서 일부 매체가 보도하기도 하였다. 국가가 관리하고 있는 개인정보가 제대로 관리되고 있는지에 대한 의문이 제기되었다. 민간과 공공을 구분하지 않고 개인정보처리자에게 공통으로 적용되는 개인정보보호법을 공공 vs. 민간에 차등적으로 적용되는 체계로 바꾸어야 한다는 목소리가 나왔지만, 사회적으로 유의미한 결과로 이어지진 않았다. 정부의 신속한 대응으로 인해 이슈가 소멸한 것인지, 이슈를 일단 ‘카펫 밑으로 쓸어 넣은 것’인지 알 수는 없다.

코로나19로 인해 가장 큰 이익을 본 서비스인 화상회의 어플리케이션 Zoom은 프라이버시 침해 논란의 중심에 서게 되었다. 소위 ‘Zoombombings’ 논란이 일었다. Privacy Settings이 적절히 설계되지 않아, 의도하지 않은 사람이 회의에 난입하여 음란한 영상을 노출하거나, 회의 및 참가자 정보를 엿보는 등의 문제가 발생했다. Zoom의 파일 전송 기능이 default on으로 되어 있는 점을 악용하여 멀웨어를 전송하고, 개인정보를 유출하는 사건도 확인되었다. 다른 회의 참가자가 회의에 집중하고 있는지를 방 개설자가 확인할 수 있는 기능도 도마에 올랐다. Zoom은 결국 3월 말에 “향후 90일간 보안과 프라이버시 강화에만 집중하겠다.”는 성명을 발표하고, 기능 개선에 나섰다. 최근 FTC와의 합의(settlement) 결과를 통해 Zoom이 제공한다 약속했던 완전한 종단간 암호화 기능(E2EE)은 ‘거짓말’이었다는 점도 밝혀졌다. 그럼에도 전 세계에서 코로나19의 수혜를 가장 크게 받은 서비스가 되었다. 연초 $100 이하였던 주식 가격은 연중 최대 $600에 가깝게 상승했다. 시가 총액이 엑슨모빌을 위협했다. 코로나19는 Zoom에게 더 이상 좋을 수 없는 기회가 되었다.

Zoom이 3월 말에 공개한 Zoom의 프라이버시/보안 개선 약속
[출처: Zoom Blog]

4월. 데이터 3법 시행령 논란

데이터 3법 시행령의 모호한 규정에 대한 비판 여론이 크게 일었다. 개인정보의 추가 이용 및 제공 기준에 관한 개인정보보호법 시행령 제14조의2에 대한 산업계측의 반발이 제기된 것이다. ▲당초 수집 목적과의 ‘상당한 관련성’ ▲수집정황 및 처리 관행에 비춘 예측 가능성 등의 요건이 명확하지 않다는 목소리가 나왔다. IT업계는 “모호한 시행령에 근거해 개인정보를 활용했다가 매출 3% 이하의 과징금, 5년 이하의 형사처벌에 처해질 수 있다”며 “지금으로서는 데이터 활용을 활성화하는 게 아니라 기업들에게 리스크와 입증책임을 떠넘기는 것”이라는 주장을 제기했다. 의료계에서는 “데이터 3법이 개정됐지만 생명윤리법과 의료법 등 의료관계법과 관계가 정리되지 않아 반대 측에서 고발 등 법적 조치 가능성도 존재한다”면서 “가명정보 활용, 개인정보 처리 범위의 합리화 등으로 데이터 활용 범위가 확대됐지만 의료데이터와 관련해 활용 가능 범위가 명확하지 않아 법적 완결성을 갖추기 위한 추가적 개선 검토가 필요하다”는 볼멘 소리가 나왔다. 가명정보 결합 절차에 대해서도 신용정보법과는 달리 반출을 허용하지 않는다는 이의가 제기되었다.

시행 2년을 눈 앞에 둔 GDPR이 ‘실패로 점철되고 있다.’는 지적도 제기되었다. 프라이버시 브라우저로 널리 알려진 “Brave” 제공 기업의 CPO인 Johnny Ryan은 유럽연합 회원국의 개인정보 감독당국(DPAs)이 GDPR의 집행(enforcement)에 실패하고 있다며, 이와 관련한 객관적 데이터를 분석하여 리포트로 공개했다. 이 리포트에서 공개된 주요 문제점은 다음과 같다. ▲6개 DPA(개인정보감독당국)만이 10인 이상의 기술 조사 전문인력을 보유하고 있다. ▲7개 DPA는 2인 이하의 기술 조사 전문인력을 보유하고 있다. ▲전체 DPA의 1/2이 각국 정부로부터 부족한 규모(5백만 유로 이하)의 연간 예산을 제공받고 있다. ▲Irish DPC는 Google과 Facebook에 대한 ‘선임 감독당국’에 해당하지만, complaints 증가분에 비해 예산 및 인력 증가분은 상대적 감소했다. ▲UK ICO는 가장 거대하고 비용을 많이 사용하는 조직임에도, 오직 조직구성원의 3%만이 기술 전문인력이다. ▲DPA 예산은 GDPR 적용(’18. 5월) 시점에 최대치를 기록, 그 이후 증가치가 감소하고 있다. ▲거의 1/3(29%)의 모든 유럽연합 기술 전문인력이 독일의 Lander 및 연방 DPA에 근무하고 있으며, 기타 국가들은 독일에 뒤쳐져 있다.⁽²⁾

Brave의 “Europe’s governments are failing the GDPR” 보고서 주요 내용
[출처: Brave]

5월. 광고 식별자에 대한 법적 도전(legal challenge)의 개시

유럽 프라이버시 권리단체인 noyb는 Google을 대상으로 한 GDPR complaint를 Austria DPA에 접수했다는 사실을 밝혔다. Google이 유효한 법적 근거 없이 “Android Advertising ID”를 이용하여 이용자를 추적했다는 점을 complaint 제기의 배경으로 설명했다. 해당 tracking ID를 통해 수집된 정보는 여러 사업자들에게 전달되는데, 정보주체는 이에 대한 통제권을 제대로 행사할 수 없다는 점을 지적했다. Google이 tracking ID를 생성하기 전에 유효한 옵트인(opt-in) 동의를 받지 않는 점을 문제 삼은 것이다. Google은 tracking ID를 변경하는 통제권을 제공하긴 하지만, 이를 생성하지 않는 통제권을 부여하진 않고 있다. noyb는 11월에 Apple을 상대로 IDFA(Apple의 광고 식별자) 이용에 대한 complaint를 제기했다. Google을 대상으로 한 고발과 맥락을 같이 한 것으로 이해된다. Online identifier 사용의 프라이버시 침해 이슈가 본격 수면으로 올라온 것으로 평가할 수 있다. 광고 생태계뿐만 아니라, 사업자가 ‘이용자에게 부여하는 식별값’ 전체에 대한 적법성 이슈로 확대될 가능성도 배제할 수 없다. 온라인 식별자에 대한 법적 도전이 본격 개시된 것이다.

6월. 한발 더 앞서 나간 Apple의 Privacy 노력

Apple이 WWDC 2020에서 4가지 원칙을 중심으로 한 프라이버시 보호 기반을 발표 했다. data minimization(개인정보 최소화), on-device intelligence(디바이스 인텔리전스), security(보안), transparency and control(투명성과 통제권) 등 4가지 원칙이 바로 그것이다. 이를 기반으로 Apple은 iOS14/iPadOS14/MacOS Big Sur를 통해 “approximate location(대략적 위치)” 기능을 추가할 예정임을 밝혔다. 위치정보의 정확도를 낮춤으로서 정보주체의 프라이버시를 보호할 수 있다는 것을 서비스로 보여줄 수 있음을 발표했다. 또한, iOS14/iPadOS14에선 앱에도 intelligent tracking prevention기능을 추가하여 앱이 이용자 동의 없이 ‘cross-tracking’하는 것을 막는다고 밝혔다. 앱이 클립보드(pasteboard)에 접근하는 것을 막을 예정임을 밝혔는데, 이로 인해 국내에서도 일부 앱들이 ‘복사 및 붙여넣기’ 기능을 위해 클립보드에 접근했다가, 경고문구가 노출이 되어 크게 이슈가 되기도 하였다. 가장 큰 충격을 준 것은 IDFA 이용 제한이었다. 기존의 광고 생태계에 적용되는 규칙을 근본부터 흔들어 놓는 것이다. Google의 서드파티 쿠키 제한에 이어 Apple의 IDFA 사용 제은 더 이상 기존과 같은 방식으로 이용자들을 온라인에서 추적할 수 없음을 의미하는 것인데, 시장은 이에 대한 준비가 되지 않았다. Privacy 보호를 내세워 경쟁을 배제하는 빅 플랫폼의 행태에 대한 비판이 제기되는 배경이다.

Apple은 31개의 카테고리로 표현 가능한 “nutrition label for apps(앱 영양 라벨)”을 적용할 예정을 밝혔는데, 이는 특정 앱이 어떤 개인정보를 처리하는지를 간단한 방식으로 보여주는 것이어서 ‘투명성’ 원칙을 구현하는 가장 효과적인 방법으로 평가되기도 하였다. Apple은 오는 12월 8일부터 앱 영양 라벨을 모든 앱에 의무화한다고 밝혔다.

App Privacy Prompt로 알려진 앱 영양 라벨 화면
[출처: ZDNet]

독일 연방 사법법원은 “Facebook이 이용자 데이터를 불법적으로 거두어 들여 소셜 미디어 분야에서의 지배적 지위를 남용했다.”고 결정했다. 독일 경쟁당국은 WhatsApp, Instagram 등 다른 플랫폼 및 외부 웹사이트 등에서의 이용자 정보를 수집, (Facebook 데이터와) 결합한 것이 경쟁법을 위반한 것이라는 창의적 접근을 한 것으로 평가되었는데, 이로 인해 Privacy와 Antitrust의 영역이 합쳐지는 결정적 순간을 맞이하게 되었다. 전세계적으로 이 영역의 통합이 만들어낼 반향에 대한 기대와 우려가 크다. 빅 플랫폼을 규제할 기회가 될 것인지, 향후 안정적 기반을 마련할 ‘실패가 예정된 논의’로 이끌 것인지 관찰할 필요가 있다.

7월. Schrems II 판결에 따른 EU-US Privacy Shield의 무효화

미국 행정부가 TikTok 내에서 발생하는 아동 프라이버시 침해 문제를 내세우며 미국 내 금지를 검토하고 있다는 발표를 했다. FTB 국장도 따라 나섰다. 중국이 미국 대선에 영향을 미치려 한다며, 가장 큰 장기적 위협이라는 표현도 서슴지 않았다. 이 이슈는 결국 TikTok의 사용을 금지하는 대통령 행정명령까지 이어졌다. 미국과 중국의 대립 구조가 선명하게 맞서게 되었다.

그러나, 이와 같은 소식은 유럽연합의 소위 “Schrems II” 판결에 비하면 그 파장이 크다고 말하기조차 어렵다. 유럽연합사법법원(CJEU)은 7월 16일자 판결을 통해 the EU-U.S. Privacy Shield에 대한 부적정(not adequate) 결정을 내렸다. Privacy Shield 조약에 의해 유럽에서 미국으로 전송되는 데이터에 대한 보호가 ‘실질적으로 동등한 보호수준(essentially equivalent level of protection)’을 보장하지 못한다는 점을 문제 삼은 것이다. 가장 크게 문제가 된 것은 미국 정부의 데이터 감시체계 및 이를 지원하는 미국의 법제이다. 결국, 미국이 법을 개정하기 전까지는 Privacy Shield에 기반한 데이터 전송은 모두 무효가 되는 결과가 야기되었다.

이에 대해 미국 상무부는 기존의 Privacy Shield 프로그램을 유지하기 위해 유럽연합 당국과 협의할 예정이라며, 기존에 접수된 Privacy Shield program의 운영은 지속된다 밝혔다. 유럽연합은 새로운 데이터 전송 메커니즘을 미국과 협의하고 있다고 하지만, 미국의 법률이 개정되지 않는 이상 더 이상의 협약은 의미가 없다는 지적이 제기되고 있다. 그러나, 여전히 데이터는 불법을 무릅쓰고 유럽에서 미국으로 흐르고 있다.

Shrems II 판결로 인해 무효화된 Privacy Shield의 영향
[출처: iapp]

홍콩보안법 시행의 불똥이 국내로 튀었다. 네이버의 개인정보 홍콩 백업이 위법한 동시에, 홍콩보안법으로 인해 중국으로 전송될 수도 있다는 문제가 국회에서 제기된 것이다. 네이버는 홍콩 서버는 백업용일뿐이라 주장하며, 외부의 제3자가 이에 접근하는 것은 불가능하며 법에 규정된 모든 요구사항을 준수하였다고 설명하였으나, 정치권은 확인되지 않은 우려만으로 비판을 멈추지 않았다. 네이버는 데이터를 싱가포르로 이전하여 이에 긴급히 대응하는 등 홍역을 치렀다.

개인정보보호법 시행령이 7월 말 국무회의를 통과했다. 당초 우려가 제기되었던 ‘개인정보의 추가적 이용 및 제공’에 관한 요건이 완화되었다. 신용정보법 시행령도 개정되었다. 통합 개인정보보호위원회의 첫 수장으로 윤종인 행정안전부 차관이 내정되었다. 개인정보 보호 체계가 점차 모양을 갖추었다.

8월. 개인정보보위원회 공식 출범과 개인정보보호법의 시행

개인정보보호위원회는 기존에 여러 부처에 분산되어 있던 개인정보보호 기능을 일원화해 관련 정책 수립과 감독을 총괄하는 장관급 중앙행정기관으로 5일 공식 출범하게 되었다. 개인정보보호위원회는 데이터 3법 개정 취지를 반영해 향후 안전한 데이터 활용, 자율 보호, 신기술 대응 등과 관련된 정책 기능을 대폭 강화할 방침임을 밝혔다. 시민사회는 8월 5일부터 “개인정보 도둑법”이 시행된다며 공동성명을 발표하기도 했다. 시민사회는 데이터 3법을 개인정보 도둑법으로 명명하는 동시에, ▲가명정보의 과학적 연구 목적 활용 확인장치 부재 ▲가명정보 판매 제지수단 부재 ▲가명정보 목적 달성 후 삭제요건 부재 ▲목적 외 이용 및 제공 범위 확대 등에 대한 문제를 지적했다. 이들은 통합 개인정보보호위원회가 기본권의 수호자 역할을 해야 한다며, 보호규범을 제대로 수립하고 이행을 감독할 것을 촉구하는 동시에, (1) 현행 법의 문제를 알리고, 정보주체 권리 인식을 위한 캠페인 착수, (2) 의료법상 진료기록을 환자 동의 없이 가명화 하여 활용하는 것 고발, 정보주체 권리 미보장 기업 고발/소송, 개인정보보호법 독소조항 헌법소원 심판제기, (3) 개인정보보호법과 신용정보보호법 추가 개정, (4) 보호위원회 활동 감시 등을 계획하고 있다고 밝히기도 했다.

8월 5일부터 변경된 개인정보 거버넌스 체계

데이터 3법이 시행되어 통합 개인정보보호위원회가 출범한지 얼마 되지 않아 주문내역 정보가 신용정보에 해당하는지, 그리하여 마이데이터 사업에 관여된 기업들이 이를 정보주체의 요청에 따라 제3자에게 전송해야 하는지에 대한 문제가 불거졌다. 한국인터넷기업협회와 한국온라인쇼핑협회는 19일 성명서를 내고 전자금융업체들이 마이데이터 사업자들에게 의무 전송해야 하는 정보 범위에 ‘주문 내역 정보(쇼핑 정보)’를 은근슬쩍 끼워 넣었다고 금융위를 비판했다. 현재까지도 이어지고 있는 논란의 시작이었다. 쇼핑 사업자들은 민감한 사생활을 노출시킬 수 있는 정보라며, 이의 제공을 거부했다. 금융기업들은 빅테크가 금융데이터만 받아가고, 자신들의 데이터는 내놓지 않는다고 비판했다. 각 측의 논리가 맞붙고, 협단체가 성명을 내놓고, 금융위가 나섰다. 마이데이터가 데이터 이동권의 정신을 훼손한다는 비판도 제기되었다. 여전히 이슈가 명확히 해결되지 않고 있다. 그 과정에서 정보주체의 권리는 논의의 주변에도 서지 못했다.

9월. 이동통신사의 위치정보 관리 도마에

이동통신사가 2005년 위치정보사업 허가를 받은 뒤 지금까지 15년 가까이 사업 변경 허가는 물론이고 사업 실태점검을 단 한 차례도 받지 않은 것으로 확인되었다. 위치정보법 시행 첫해(2005년)에 위치정보 사업 허가를 받은 이동통신 3사를 대상으로 지금까지 사업계획 변경 허가와 정기점검이 단 한 차례도 실시되지 않은 것인데, 이동통신 3사는 15년전 받은 허가로 아무런 점검 없이 현재까지 사업을 영위하고 있다는 것이다.

연이어, 이동통신사가 코로나19와 관련하여 감염 의심자들을 추적하기 위한 위치데이터를 정부에 제공한 것은 “목적에 필요한 수준을 넘어선 위치정보 저장을 해왔기 때문”이라는 주장도 제기되었다. 위치정보에 대한 보호 논의가 수면 위로 올라올 수 기회였으나, 이 역시 뒷심을 받진 못했다.

10월. 개인정보 일괄동의제 논의

개인정보보호위원회가 개인정보보호법상의 ‘개인정보 처리 태양별 분절화된 동의체계 개선’에 나섰다는 언론 보도가 나왔다. 해외 글로벌 사업자의 경우 필수, 선택 구분 없이 ‘일괄 동의’만을 제시하지만, 국내 사업자는 개인정보보호법 시행령 제22조 제1항 및 방송통신위원회 ‘온라인 개인정보 처리 가이드라인’에 따라 필수와 선택 동의를 구분하며, 개인정보 처리 행위 태양별 분절화된 동의를 진행하고 있어 역차별(=상호호환성 미흡)을 받고 있다는 지적이 제기되어 왔기 때문인 것으로 알려졌다.

중국은 총 70개 조항으로 구성된 개인정보보호법(PDPL, Personal Data Protection Law) 초안을 10.21자로 공개, 의견을 접수하기 시작했다. 주요 내용으로는 ▲역외 전송에 대한 명확한 기준 제시(재화나 용역 제공, 행태 평가나 분석, 법에서 정하는 경우에 해당 등) ▲PDPL 범위에 해당하는 조직이나 개인은 중국내 조직 설치 내지 대리인 지정 의무 발생 ▲개인정보처리자 책임성 명확화(수탁자 책임 언급 부재) ▲동의 외의 다양한 적법처리근거 제시 ▲동의 요건 및 방법 명확화 ▲데이터 국지화 요건 명시 및 역외전송 시, 해외전송 메커니즘 충족 및 보안 평가 수행 의무 발생 ▲개인정보 처리에 대한 정보제공 및 설명권을 포함하는 정보주체의 권리 보장 ▲개인정보보호를 위한 통합 컴플라이언스 프로그램 운영 ▲위법 발생 시, 최대 전년도 수익의 5%(또는 $7.4M)에 해당하는 벌금 부과(불법행위 관여 개인에게도 벌금 부과) 등이 포함되었다. 제정되는 경우 전 세계적인 영향을 미칠 것이 충분히 예상되기 때문에 세계가 주목하고 있다.

11월. CPRA 통과, 미국 연방 프라이버시법 제정에 대한 기대

캘리포니아 소비자 프라이버시 법(CCPA)의 정보주체 권리를 강화하는 내용을 담은 CPRA(California Privacy Rights Act)가 통과되었다. 기존 CCPA의 소비자 권리를 강화하는 동시에 CCPA의 보호체계를 약화하는 시도 자체를 금지하는 내용을 담고 있다. CPRA는 ‘23년부터 본격적으로 적용될 예정인데, 이 법은 단순히 캘리포니아 주에만 영향을 미치지 않는다. 더 이상 미국에서 개별 주마다 프라이버시 법을 만들어서 온라인 시장에 혼란을 가중시키는 것을 방치할 수 없다는 목소리가 높아지고 있다. 미국 연방 프라이버시 법(Federal Privacy Law)의 제정 논의가 본격 가속화할 수 있는 분위기가 마련되었다. 민주당과 공화당 모두 연방법의 제정 필요성에는 공감하지만, 소위 ‘pre-emption’으로 불리는 ‘개별 주법 효과의 무력화’를 반영할 것인지에 대해선 의견이 나뉜다. 앞으로도 험난한 법 과정이 남았지만, 더는 미룰 수 없다는 무언의 합의가 있음은 의심의 여지가 없다.

12월. 개인정보위, 개인정보 법규 위반 통신사 및 대리점에 대한 제재 처분

개인정보위가 개인정보 법규를 위반하였다며 12월 9일 전체회의를 열고 엘지유플러스와 대리점 등 4개사에 총 7,500만원의 과징금 및 과태료를 부과했다. 이번 제재는 통신사 대리점의 개인정보 보호 규정 위반에 대해 위탁사인 통신사의 관리·감독 책임을 물어서 제재한 첫 사례라는 의미가 있다.

개인정보위는 이번 처분을 통해 기존에 다소 소홀히 관리되었던 이동통신사의 개인정보 관리체계를 종합적으로 점검할 것이라는 메시지를 던지는 동시에, 수탁자에 대한 관리감독을 소홀히 한 것을 ‘중대한 위반행위’로 보아 개인정보처리자의 개인정보 관리감독 책임을 엄격히 판단할 것이라는 점도 분명히 한 것으로 평가된다.

한편, Apple은 12월 8일자로 소위 ‘Privacy Nutrition Label’로 불리는 앱의 개인정보 처리 투명성 방안을 본격 적용했다. 앱 스토어에 등록하는 모든 앱으로 하여금 ‘App Privacy Details’라고 하는 개인정보 처리 상세를 제출하도록 하고, 이를 마치 식음료의 ‘영양 라벨’처럼 앱마다 게시하도록 한 것이다. 이와 같은 Apple의 정책은 내년 초에 앞두고 있는 IDFA 사용에 대한 동의 강제화와 더불어 전 세계 앱 생태계에 큰 영향을 미칠 것으로 예상된다.

그런데, 이와 같은 Apple의 조치에 Facebook은 “Apple이 OS, Device 등 전 생태계를 통제하는 강력한 힘을 이용하여 자사에 유리한 방식으로 비즈니스 환경을 변화시키려 한다며, 이와 같은 조치가 Small Business의 광고 시장을 파괴할 것이다.”라고 비판했다. Facebook은 Audience Network을 통해 제공하는 광고가 Apple의 정책 변화로 인해 부정적으로 영향 받게 되어, 광고 타겟 비율이 크게 낮아질 것을 걱정하고 있는 것으로 확인된다. 이와 같은 대립은 결국 Apple의 정책 변화가 Facebook의 사업에 크게 영향을 미치기 때문인 것으로 파악된다.

이와 같은 플랫폼 간의 대립은 단순히 사업 영역의 축소 이슈만으로 보기는 어렵다. “이용자 개인정보, 프라이버시 보호를 이유로 정책을 변경하여 독점적 지위를 공고히 하는 것을 어디까지 허용할 수 있을 것인가?”에 대한 논의로 이어지기 때문이다. ‘21년에는 Antitrust와 Privacy의 중첩 지점에서 어떤 정책을 제시해야 할 것인지에 대한 논의가 본격적으로 대두될 것으로 예상된다.

나가며

한 해의 이슈를 모두 톺아보는 것은 개인정보 보호에 관한 이슈를 다이제스트(digest)로 소화하는 것 이상의 의미가 있다. 이슈의 궤적을 좇아가면서 또 다른 한 해를 준비할 수 있기 때문이다. 그리고 올해 내에도 여전히 큰 이슈가 발생할, 큰 문제를 해결할 여지는 여전히 남아있다. 그 또한 기록으로 남겨야 하며, 기억해야 하며, 미래의 상황을 기속해야 할 것이다. 과거에서 아무것도 배우지 않고 앞으로만 나아갈 수 없기 때문이다.