이통3사의 비식별조치가 개인정보 ‘이용’현황 아니라는 법원 판결 유감

이통3사의 비식별조치가 열람 청구 대상인 개인정보 ‘이용’현황 아니라는 법원 판결 유감

정보주체의 열람권 보장 취지에 반하는 협소한 해석론 제시

식별 가능성이 없다는 통신3사 주장도 그대로 받아들여

 

서울중앙지방법원 제21민사부(재판장 김상훈 판사)는 지난 2/18(목) 통신3사를 상대로 자신의 개인정보를 다른 기업의 고객정보나 신용정보와 결합하기 위해 동의 없이 처리하거나 제3자 제공했는지 여부 등을 알려달라는 이용자들의 열람청구소송을 기각했다.

 

통신 3사가 수행한 ‘비식별조치’는 개인정보의 ‘처리’에는 해당하지만 구 정보통신망법 제30조 제2항에 따라 정보주체가 열람·제공을 구할 수 있는 개인정보의 ‘이용’현황에는 해당하지 않고, 비식별조치를 수행한 이후의 정보는 더 이상 특정 개인을 식별할 수 없는 상태에 이르러 개인정보에 해당하지 않는다는 것이 판결 요지다.

 

이번 판결은 최근 들어 그 보호 중요성이 커지고 있는 정보인권에 대한 법원의 낮은 인식수준을 보여준다. 정보주체의 ‘열람권’은 정보처리의 적정성을 확인하고 오남용에 대한 권리구제를 도모하기 위한 핵심적인 권리임에도, 법원은 개인정보를 ‘처리’한 것은 맞지만 ‘이용’한 것은 아니라며 정보주체의 권리를 매우 협소하게 해석하였다. 개인정보를 오로지 이익창출과 산업발전의 도구로만 여기는 기업과 정부의 질주 속에 개개인의 정보인권이 위협받고 침탈당하고 있는데도 법원마저 기본권 보호와 권리 구제의 방어벽이 되지 못한다는 사실이 개탄스럽다. 항소심에서는 정보주체의 권리보호에 보다 충실한 판결을 기대한다. 

 

이번 열람청구 소송의 배경은, 지난 2017년 국회 정기국정감사 과정에서 드러난 기업들의 고객 정보 무단 결합, 제공이다. SK텔레콤이 한화생명 및 서울신용평가정보 주식회사와, 엘지유플러스는 KB국민카드, KT는 나이스평가정보 주식회사와 각기 보유한 개인정보를 결합하였다는 사실을 알게 된  통신3사 이용자인  원고들은 1) 자신의 개인정보도 위와 같은 개인정보 무단결합에 이용되었는지, 2) 어떤 항목이 어떻게 처리되어 제공되고 결합되었는지를 알려달라고 요청하였다. 구 정보통신망법 제30조 제2항은 개인정보를 ‘이용’하거나 ‘제3자에게 제공’한 현황에 대해 정보주체가 열람할 권리를 보장하고 있기 때문이다. 그러나 통신3사는 개인정보 결합과정에서 개인정보를 비식별조치하였기 때문에 더 이상 개인정보가 아니라며 원고들의 개인정보 처리여부 및 처리결과에 대해 구체적인 답변을 하지 않았고, 이에 이용자들은 소송을 통해서라도 통신3사가 자신들의 어떤 개인정보를, 어떤 목적으로 동의 없이 결합, 제공했는지를 확인하고자 한 것이다. 

 

재판부는 통신3사가 수행한 비식별조치가 ‘개인정보’를 대상으로 한 것임은 명백하고, 비식별조치가 구 정보통신망법 제25조 제1항이 규정한 개인정보의 ‘처리’ 중 ‘수집, 생성, 연계, 연동, 가공, 편집, 검색, 출력, 파기’ 등에는 해당될 수 있어도 ‘대상을 필요에 따라 이롭게 쓴다’는 의미로서 열람권 행사 대상인 ‘이용’에는 해당한다고 보기 어렵다고 판단하였다. 이러한 재판부의 해석론에 따르면 정보주체가 열람을 구할 수 있는 개인정보의 ‘이용’은, ‘수집, 생성, 가공, 편집, 출력 등’ 법에서 열거한 수많은 개인정보 처리의 행위태양을 포괄적으로 배제한 채 다른 처리태양에 구체적으로 포섭될 수 없는 협소한 범위로 줄어들게 된다.

 

이는 정보주체의 기본권인 개인정보자기결정권을 구체화하는 구 정보통신망법 제30조 제2항의 열람권의 내용을 그 보장취지에 반해 축소시키는 위헌적인 해석론이고, 개인정보의 ‘수집, 이용’에 대해 규율하고 있는 다른 조항들과의 체계적 해석에도 반하는 것이다. 더욱이 통신3사가 수백만건에서 천만 건이 넘는 고객 개인정보를 비식별조치한 목적은 다른 기업의 고객정보와 결합한 뒤 이를 분석하여 서비스, 상품 개발 등을 하기 위한 것임에도, 그 비식별조치가 개인정보를 필요에 따라 이롭게 쓴다는 ‘이용’에 해당하지 않는다는 판단은 상식적으로 납득하기 어렵다.

 

재판부는 또 2016년 비식별조치 가이드라인에 따라 비식별조치를 수행하여 더이상 개인정보가 아니라는 통신3사들의 주장을 그대로 받아들였다. ‘비식별조치’라는 개념 자체가 익명화뿐 아니라 여전히 개인의 식별가능성이 있는 가명화를 포함한 광의의 개념이고, 당시 법령에 근거를 둔 개념도 아니며 2020. 8. 5. 시행된 개정 개인정보보호법에서는 ‘가명처리’ 개념을 도입함으로써 비식별조치가 익명화와 동일한 개념이 아님은 이미 사회적으로 정리된 것이다. 또 원고들은 재판과정에서 통신3사가 일부 밝힌 비식별조치의 항목과 처리방법 등에 따르더라도 특정 개인이 식별될 수 있는 가능성이 합리적으로 존재한다는 점을 자세히 구체적으로 주장하였고, 피고들이 예시로 들었던 데이터에서 개인의 성명이나 생년월일을 밝혀내기도 하였음에도, 법원은 원고들의 주장, 입증에 대해서 충분히 판단하지 않은 채 막연히 통신3사가 정부에서 제시한 가이드라인을 따랐고, 비식별조치된 정보를 제공받은 전문기관에게 암호화 알고리즘을 알려주었다는 것을 인정할 자료가 없다는 등의 이유로 손쉽게 비식별조치된 정보를 기본권의 행사범위에서 추방시켜 버렸다. 

 

무엇보다 개인정보보호법에서 명시한 정보주체 권리에 대한 재판부의 인식은 개탄스럽다. 재판부는 원고들이 열람청구의 근거로 제시한 개인정보보호법 제4조에 열거된 개인정보 처리에 관한 정보를 제공받을 권리, 개인정보 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리, 개인정보 처리여부를 확인 후 열람을 요구할 권리 등을 단순히 ‘추상적인 선언’일 뿐, 정보주체의 열람, 제공의무가 이 규정에서 곧바로 도출되지 않는다고 했다. 뿐만 아니라 개인정보보호법은 일반법이고 다른 법률과 경합할 때 특별법인 정보통신망법이 우선하므로 정보통신망 제30조 제2항의 열람청구 대상이 아니라는 점과 이통사와의 계약관계에서 파생하는 권리로도 인정하지 않았을 뿐 아니라, 소비자보호법 제4조에 열거된 소비자의 알권리 역시 개인정보보호법 제4조와 마찬가지로 추상적 선언에 불과함으로 이것에서 곧바로 열람, 제공의무가 도출되지 않는다고 못박았다. 마찬가지로 헌법 제10조, 제17조에 의해 인정되는 기본권인 개인정보자기결정권에 근거하여 이번 사건에서 청구한 정보내역 공개를 구할 수도 없다는 것이다.

 

자신에 대한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리인 개인정보자기결정권을 구체화한 개인정보보호법상의 권리가 다만 추상적이라 이를 근거로 바로 소를 제기하지도 못한다면, 그렇지 않아도 데이터의 비동의 무한 활용의 길을 터준 개정 개인정보보호법에서 정보주체의 열람권, 처리정지권, 삭제권 등이 대폭 후퇴한 현실에서 정보주체가 자신의 기본권을 보장받을 수 있는 길은 없다고 법원이 선언한 것이나 다름없다. 

 

재판부의 이번 판결은 최근 급속히 디지털사회로 이행하는 과정에서 국민의 정보가 데이터로 축적되고 기업이 이를 무작위로 이용해 부가가치를 창출하려는 시도가 전방위로 이루어지고 있는 상황에서 개인정보보호는 이제 추상적이고 선언적 권리 수준의 문제가 아니라 구체적이고 현실적인 문제라는 사실을 간과한 것이다. 디지털사회가 필연적으로 직면할 수밖에 없는 개인정보, 정보인권 침해는 이전의 양상과 다르다는 점에서 현실을 법실무가 따라가지 못하고 있음을 보여주는 것이기도 하다. 1심 재판부의 시대를 반영하지 못한 판단, 국민의 정보인권보다는 기업편향적 판단을 항소심 법원이 바로잡기를 바란다

 

원문보기/다운로드

[참고] 통신3사 상대로 기업간 고객정보 무단결합 열람청구 소송 제기 2018-08-22 

정부지원금 0%, 회원의 회비로 운영됩니다

참여연대 후원/회원가입