박경신 오픈넷 이사는 2025년 11월 21일, 공개 데이터와 프라이버시 간의 긴장 지점(flash point)과 민주주의로 나아가기 위한 전략에 대해 발표했다. 그는 다음의 세 가지 주요 쟁점을 설명했다.
1. 한국의 억압적인 ‘데이터 소유권’ 법제 – ‘잊혀질 권리’
한국의 고위 공직자들은 보도 대상이 되는 공직자의 개인정보를 동의 없이 사용했다는 이유만으로 기자와 내부고발자를 형사처벌하려 하면서, 국내 독특한 개인정보보호법 조항을 근거로 대고 있다. 이는 한국 개인정보보호법이 GDPR과 유사한 본문 구조를 가지고 있음에도 불구하고, 통상적인 예외 조항(saving provisions) 없이 정보 이용을 제한하는 독특한 조항을 포함하고 있기 때문이다.
구체적으로, 한국 개인정보보호법에서는 ‘정당한 이익(legitimate interest)’이나 ‘공익(public interest)’이 적법한 개인정보 처리 사유로 인정되지 않는다. 또한 한국 법에는 전례 없는 추가 조항인 제59조가 존재하는데, 이 조항은 개인정보 처리의 적법 근거를 따지지 않고 모든 정보 이전을 형사처벌 대상으로 삼고 있다. 이로 인해, 이름을 언급하는 것과 같은 비동의적 개인정보 언급 자체가 개인정보보호법 위반으로 처벌될 위험을 안게 된다.
이처럼 한국 특유의 억압적인 조항이 없더라도, 일반적인 개인정보보호법을 기계적으로 적용할 경우 다른 나라에서도 공개 데이터가 위축될 수 있다. 이는 아래에서 설명할 한국의 정보공개 거부 사례와 법원의 판결문 비공개 사례에서 확인할 수 있다. ‘잊혀질 권리’는 적법한 방법으로 이미 공개된 정보에 적용되어서는 안 된다.
‘개인정보 소유권’, 즉 “나는 나에 대한 정보를 소유하므로 나에 관한 모든 발언을 통제할 수 있다”는 인식은 이러한 기계적 적용의 배경이 된다. 그러나 이런 개념은 정보주체에게 통제권을 되돌려주어야 한다는 점을 강조하기 위한 은유에 불과하다. 이는 GDPR이 비동의적 개인정보의 적법한 처리 근거를 여러 가지 인정하고 있다는 점에서도 확인된다.
2. 개인정보보호법을 근거로 한 정보공개청구(FOIA) 거부
한국 정부는 정보공개청구의 약 30%가 개인정보보호법을 이유로 거부하고 있으며, 그 정보가 정부 기록의 일부인 경우에도 마찬가지다. 한국 개인정보보호법을 포함한 개인정보보호 법제는 법률에 근거한 허가(statutory permission)를 개인정보 처리의 적법 근거 중 하나로 인정한다. 정보공개법(FOIA)은 바로 이러한 법률상 허가에 해당한다.
따라서 특정한 비밀 보호에 관한 명시적 법률 규정이 없는 한, 특별한 기밀 유지 필요성이 존재하지 않는 경우 정보공개청구는 받아들여져야 한다. 그럼에도 불구하고, 다수의 정보공개 청구가 단순히 식별 가능한 개인정보가 포함되어 있다는 이유만으로 거부되고 있다.
3. 판결문 데이터베이스와 과도한 가명처리 규칙
별도의 정보공개청구 없이도 공개되어야 할 대표적인 정보 중 하나가 바로 판결 정보이다. 판결문에는 당사자와 증인을 포함한 다수의 개인정보가 포함되어 있다. 설령 독일의 사례처럼 이들 당사자와 증인에게 개인정보 보호 권리를 부여해야 한다고 가정하더라도, 공개 데이터와 프라이버시 간의 긴장을 해소하는 방법은 익명화(anonymization)다. 그러나 익명화에 대한 과도한 보호주의는 오히려 억압적으로 작용할 수 있다.
한국 대법원은 판결문 열람에 건당 1,000원의 요금(다운로드나 복사 없이 단순 열람만 해당)을 받고 있으며, 이로 인해 단 하나의 판례를 찾기 위해서도 수십만 원을 지불해야 하는 상황이 발생하고 있다. 대법원은 이러한 유료화를 익명화 비용을 충당하기 위한 것이라고 정당화해 왔으며, 오류율을 이유로 거의 무료에 가까운 즉각적인 AI 익명화 기술도 받아들이지 않고 있다. 그러나 이러한 과도한 보호주의는 개인정보보호법이 본래 지향하는 균형성에 부합하지 않는다.
이와 같은 익명화에 관한 과도한 보호주의는 오히려 프라이버시권을 침해하는 결과를 낳고 있다. 한국 개인정보보호법은 어떠한 예외도 없이 가명정보의 재식별을 절대적으로 금지하고 있으며, 그 결과 개인정보처리자가 정보주체의 다른 권리들(예: 열람권, 처리정지권)을 보장하는 것이 불가능해졌다. 이미 가명처리된 데이터 풀에서 개인정보를 다시 분리해내기 위해서는 재식별이 불가피한데, 이 자체가 법적으로 금지되어 있기 때문이다.
0 Comments