사례 돋보기
기업의 개인정보보호 위반사례와 개인정보 리스크

2020년 2월 「개인정보보호법」 개정으로 개인의 자유와 권리 보호뿐만 아니라, 데이터 기반의 신산업 육성과 이를 통한 양질의 일자리 창출이 가능하게 됐다. 반대로 4차 산업혁명으로 데이터 기반의 신산업 육성과 함께 개인정보 침해 가능성도 더욱 높아진 상태다. 기기 간 상호 연결성 속에 제공되는 새로운 서비스는 자동으로 대량 수집된 다양한 정보를 통해 제동되기 때문에, 정보주체인 개인은 개인정보 수집 여부를 인지하기 어렵다. 신기술 기반 서비스는 많은 부분 개인정보를 위탁하고 있으며, 해외 기관에 위탁한 경우 정보주체의 권리 보장에 어려움이 있다. 특히, AI 등을 활용한 서비스는 실시간으로 수집되는 개인정보를 통해 제공되는데, 개인정보 수집에 대한 동의가 쉽지 않다. 개인정보보호와 관련한 풀기 어려운 숙제가 아직도 많이 남아 있다. 즉, 기업 등 개인정보처리자의 보호장치 및 처리 프로세서를 규율하는 한편, 데이터 활용을 확대하는 방안을 동시에 마련해야 하는 것이다.



기업의 개인정보보호가 강조되는 글로벌 트렌드
기업에서 개인정보유출 사고가 발생하면 고객의 신뢰 상실은 물론 기업의 이미지 저하와 과징금 및 소송 등 법적 비용이나 손해배상금 등이 발생하여 엄청난 재무 손실이 일어난다. 따라서 기업은 고객의 개인정보에 대한 ‘선량한 관리자’로서의 역할을 다해야 하는 책임이 있다. 기업은 개인정보보호 수칙을 제정하여 예기치 않은 나쁜 선례에 휘감기지 않아야 하며, 개인정보 관련 위탁업체의 관리 감독도 철저하게 진행해야 한다.

글로벌 ICT 기업은 개인정보보호를 위한 준비를 마치고 GDPR 준수를 자신하고 있다. 페이스북은 개인맞춤형 광고를 위해 개인정보 사용을 허용할지 여부, 프로필 공개설정과 별도로 정치 성향·종교 등 민감정보를 계속 허용할지 여부, 얼굴 인식 기술 허용 여부 등의 선택 기회를 계속 제공하고 정보 접근·삭제·다운로드 도구 향상 및 10대 이용자 보호장치를 마련한 상태다. 애플은 개인정보 수집 시 해당 정보주체에게 즉각 알림 기능을 추가했고, 사용자가 직접 자기 정보를 열람·수정·삭제할 수 있는 사이트를 제공했으며, 사용자가 자기 정보의 정정·삭제·열람·이동 요청 시 대응할 수 있는 시스템을 정비했다. 하지만 여러 국가에서 글로벌 소셜 미디어 및 플랫폼에서의 개인정보 침해가 발생하면서 개인정보보호가 글로벌 트렌드로 강조되고 있다.

지난해 11월 한국 개인정보보호위원회는 페이스북이 당사자 동의 없이 다른 사업자에게 개인정보를 제공한 내용을 확인했다며 67억 원의 과징금을 부과하고 수사기관에 고발했다. 2012년 5월부터 2018년 6월까지 위반행위가 이어져 최소 330만 명 이상의 개인정보가 제공됐으며, 제공된 개인정보 내용은 학력·경력, 출신지, 가족 및 혼인상태, 관심사 등이었다. 특히, 페이스북이 거짓 자료나 불완전 자료 제출로 조사를 방해해서 개인정보보호위원회는 더욱 강력한 조치를 취한 것으로 알려졌다.
GDPR 위반사례
한국인터넷진흥원(KISA) 조사에 따르면, 2018년부터 시행된 EU GDPR 위반사례 중 가장 많은 부분을 차지하고 있는 것이 제6조 '개인정보 적법 처리 근거 부족'(60%, 219건)이다. 이어서 ‘기술·관리적 보안 조치 미흡(24%)’, ‘개인정보 처리 원칙 위반(7%)’, ‘정보주체 권리 이행 미흡(6%)’ 등의 순으로 위반사례가 나타난다. 특히, 개인정보 적법 처리 근거 부족이나 처리 원칙 위반은 과징금이 상한선 수준에서 결정될 수 있는 만큼, 그 심각성을 충분히 인식해야 한다.

2019년 1월 프랑스 「국가정보자유위원회(CNIL)」는 구글이 개인정보처리방침에 투명하고 이해하기 쉬운 방식으로 관련 정보를 게시하지 않았고, 광고 개인화를 목적으로 하는 개인정보 수집에 대한 동의를 구체적이고 명료하게 받지 않았다면서 5,000만 유로의 과징금을 부과했다. 이 사건이 GDPR 위반의 대표적 사례다.

2019년 7월 영국 정보보호위원회(ICO)는 영국 항공(British Airways)이 충분한 보호조치를 취하지 않아, 고객 50만 명의 개인정보가 허위 인터넷 사이트를 통해 유출됐다면서 1억8,339만 파운드 과징금 부과 계획을 통지했다. 한편, 영국 ICO는 메리어트 인터내셔널 고객 3억 3,900만 명의 개인정보가 유출되는 사고와 관련해, 스타우드 호텔 인수 당시 보안 취약성을 충분히 실사하고 보호조치를 취하지 않았다는 이유로 메리어트 인터내셔널에 9,920만 파운드의 과징금 부과 계획을 밝혔다. 그러나 최종 과징금은 영국 항공이 2,000만 파운드, 메리어트 인터내셔널이 1,840만 파운드로 결정됐다. ICO는 과징금 경감 사유인 △적극적인 조사 협력, △개인정보 유출 사고 후 정보주체와 감독기관에 즉시 통보, △브랜드와 평판에 부정적 영향 발생, 금전적 이익이 없음, △피해 완화를 위한 신속한 사후 대처 등을 토대로 최종 결정을 내렸다.

역설적이지만, 과징금 부과 건수가 많은 프랑스·독일·영국은 감독기구가 적극적으로 활동하고 있다는 의미로도 해석할 수 있다. 이들 국가는 개인정보에 대한 국민의 인식 수준이 높아 개인정보 이동 등에 대한 민원 등을 적극적으로 제기한 측면도 있다. 아울러 산업별로 미디어·방송·통신, 고용, 교통·에너지, 숙박, 금융·보험·컨설팅 등 순으로 과징금 부과가 높게 나타났다.
기업의 개인정보 리스크관리
구글이나 페이스북이 많은 인력과 비용을 지불하면서 EU GDPR 준수를 위해 노력했지만, EU 개인정보 감독기관의 결정에 따라 많은 과징금을 부과받는 사례가 나타났다. 디지털 다국적 기업과 달리 많은 민간기업은 정보주체의 개인정보 수집·이용 시 동의 내용의 토대가 되는 “개인정보처리방침” 관리가 부실한 상태다. 기업은 개인정보 리스크관리를 위해 개인정보를 최소한, 꼭 필요한 부분만 수집하고 목적 달성 이후엔 곧바로 정보를 삭제하는 실천이 급선무다. 또한, 개인정보의 수집·관리·처리 과정을 상세하게 기록해 놓는 것도 중요하다.

개정된 개인정보보호법은 프라이버시를 침해하지 않으면서 데이터 활용이 가능한 ‘가명정보’ 개념을 새롭게 도입했다. 개인정보보호법 제28조의2제1항에 따르면, 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다. 개인정보를 가명처리하여 활용할 계획이 있거나 검토 중인 민간기업은 37.5%로 나타난다(개인정보보호위원회, ‘20.12. 「2020 개인정보보호 실태조사」). 가명정보를 통해 데이터 산업을 성장시켜야 할 기업은 가명·익명처리 기술연구 및 실증모델을 발굴하고, 데이터 결합·연계 체계 등의 국제표준을 분석해서 국내 기술의 국제표준화를 성공시켜야 한다.

법 개정을 통해 ‘개인정보보호위원회’는 중앙행정기관으로 기능이 강화됐다. 이로써 유럽연합(EU)의 「일반 개인정보보호법(GDPR)」 상 적정성 평가의 필수조건인 감독기구의 독립성 확보도 가능해졌다. 특히, ‘데이터’가 산업 전체의 발전과 새로운 가치 창출의 촉매제 역할을 하는 경제 환경에서 데이터의 안전한 활용을 감독하는 역할이 중요하다. 우리도 이제 유럽연합이 인정하는 개인정보 감독기구를 가지게 돼, 개인정보를 불법적으로 악용하는 기업은 심각한 리스크에 직면할 것이다. 기업이 건강한 데이터 산업의 개인정보관리의 책임자 역할을 할 때다.