독자 중에 최근 발생한 옥션이나 하나로텔레콤의 개인정보 유출 피해자가 있으신가? 몇몇 분들은 화제가 자자한 손해배상 소송에도 참여하셨을 것이다.

옥션 회원 1천81만 명의 개인정보 유출 사고에 이어 업계 2위의 하나로텔레콤이 600여만 명의 고객정보 8천530여만 건을 유출한 것으로 드러났다. 특히 하나로텔레콤은 본사 차원의 조직적 지시로 텔레마케팅 업체 등으로 개인정보를 유출하였다는 점에서 지금까지의 사건들과 또 다른 충격을 주고 있다.

그러나 이 사건들은 우발적으로 일어난 것이 아니다. 정보사회에서 개인정보 유출은 필연적이다. 수기로 기록이 이루어지고 수집되던 과거와 달리 디지털화된 정보는 대규모로 수집되고 집적될 수 있다. 가공하여 이용하기에도, 제3자에게 제공하기에도 훨씬 용이한 형태이며 그에 따른 권리 침해 또한 일상적으로 일어날 수밖에 없다. 개인정보 유출이 해킹이나 실수로 이루어지건, 아니면 의도적으로 팔아넘겨지건, 개인정보 유출, 무단이용, 조작이 대규모로 이루어질 수 있는 기술적 환경이 갖추어져 있는 것이다. 정보사회에서 개인정보 문제가 심각해지는 이유가 여기에 있다.

또한 온라인화에 따른 비대면 접촉이 늘어나면서 원격 거래와 원격 행정이 발달하고, 이는 곧 개인정보를 매개로 한 신원확인 요구가 사회적으로 증가한다는 것을 의미한다. 타인의 개인정보에 대한 수요 역시 과거보다 급증한다.

개인정보 확보, 기업 경쟁력의 주요 요소가 된 사회

특히 주목할 만한 점은 개인정보의 상업성이다. 기업들은 불특정 다수를 대상으로 한 대중 마케팅의 한계를 넘어 개인별 특성에 맞춘 마케팅 기법(데이터베이스 마케팅)을 개발해 왔으며, 여기서 개인정보가 매우 중요한 구실을 한다. 주소, 전화번호, 이메일 주소뿐 아니라 직업, 계층, 구매 이력, 취향 등 특성별로 분류한 고객의 개인정보를 보유하고 있으면, 고객관리(CRM : Customer Relationship Management)와 정교한 타겟 마케팅이 가능하다. 따라서 개인정보의 상업적 가치는 급증해 왔으며 개인정보의 확보는 기업 경쟁력의 주요 요소로 간주한다.

기업들은 개인정보를 토대로 소비자의 구매 능력을 평가하고 그 결과를 시장에 적용한다. 구매력이 있는 고객은 집중하여 관리하지만, 반면에 구매력이 없는 이들은 배제하는 것이다. 미국의 어떤 회사는 자사의 고객 데이터베이스에서 흑인이나 남미계, 그리고 기타 외국 출신을 ‘소수집단’으로 분류하고 노골적으로 배제하여 논란을 빚기도 하였다. 기업들 입장에선 당연한 조치일 것이다. 어차피 있는 사람의 돈을 철저하게 짜내는 일만이 그들의 관심이고, 정보 기술은 이런 기업의 욕구를 뒷받침해주는 방식으로 발달하고 있다.

이런 사회경제적 배경이 종합적으로 개인정보의 수집과 이용, 그에 따른 유출을 유발하는 요인이 되고 있는 것이다. 그리고 정보사회에서 개인정보의 수집과 이용을 방관한다는 것은, 그 정보에 기초한 사람의 분류, 낙인, 차별을 고착화시킨다는 말에 다름 아니다. 당신은 구매력이 있는 소비자인가 아닌가. 당신은 자본주의 사회에서 가치가 있는 인간인가 아닌가.

개인정보 유출에 따른 권리 침해로 주로 거론되는 것은 그로 인한 2차 피해이다. 즉 유출된 개인정보를 부정하게 이용한 명의도용이나 자격도용으로 경제적 손실이나 공공적 불이익이 발생할 것에 대한 우려이다. 이는 또한 사생활과 안전에 대한 위협으로 이어질 수 있기 때문에 중대한 문제임에 분명하다.

그러나 개인정보에 대한 인권규범은 개인정보의 유출로 인한 2차적인 권리 침해에 대한 문제에서 더 나아가, 정보주체가 자신의 개인정보에 대해 권리를 행사하는 것을 기본적인 인권으로 인정하는 수준에까지 이르고 있다.

전 국민 사분의 일 주민번호 유출, 우선 주민등록번호 변경부터 가능케 해야

2003년 우리 사회에서 큰 논란을 빚었던 교육행정정보시스템(NEIS)와 관련한 국가인권위 결정에서 볼 수 있듯이 헌법 제17조 <사생활의 비밀과 자유>의 불가침의 내용으로 자기정보접근권, 자기정보정정청구권, 자기정보사용중지청구권을 포함한 정보관리통제권, 즉 개인정보에 대한 자기결정권이 인정되고 있다.

또한 국제적으로는 1980년 <개인데이터의 국제유통과 프라이버시 보호에 관한 가이드라인(OECD가이드라인)>과 1990년 <컴퓨터화된 개인 정보파일의 규율에 관한 UN 가이드라인>이 규범적으로 잘 정립되어 있다. OECD 가이드라인과 UN가이드라인에서 모두 공통적으로 내세우고 있는 제1원칙은 ‘수집제한의 원칙’이다. 개인정보의 수집은 명확한 목적 내에서 법률에 의하거나 정보주체의 동의 혹은 고지 후에 가능하다. 이러한 조건이 충족된 후에야 수집된 개인정보를 이용하고, 보호하는 것이 정당화될 수 있다. 이는 ‘수집’이 개인정보 보호와 관련한 첫 단계이자 가장 중요한 단계라는 것을 의미한다. 따라서 개인정보로 인한 권리 침해가 일어났을 때 우리가 가장 먼저 문제를 삼아야 하는 것은 어떤 조건에서 어떤 개인정보가 수집되었으며 그것이 어떻게 정당화될 수 있는가에 관한 것이다.

즉 개인정보 보호란 개인정보 오-남용을 방지하는 것으로 충분하지 않다. 정당한 목적을 위하여 필요한 최소한도의 개인정보만이 수집 처리되고, 그렇게 하고 있는지가 상시적으로 통제, 감독되어야 하며, 이를 위한 법제도적인 대책이 갖추어져야 개인정보 보호를 논할 수 있다.

개인정보의 유출은 우발적으로 발생하는 문제가 아니며 강력한 사회경제적 요인을 가지고 있다. 따라서 보안을 강화한다거나 대체번호(아이핀)를 도입하는 등 기술적인 대책으로 해결될 문제가 아니다.

특히 전 국민의 사분의 일에 해당하는 대규모 주민등록번호가 유출된 상황이다. 주민등록번호를 이용한 신원 확인을 더 이상 믿을 수 없게 되었다. 따라서 우선적인 해결조치로 원하는 사람의 주민등록번호를 변경해주는 것이 필요하다. 또한 민간의 주민등록번호 사용을 금지하고 목적별 번호로 대체해야 한다.

더불어 개인정보를 다루는 특정 부처의 이해관계에 좌우되지 않는 독립적 개인정보보호기구의 설립과, 이를 규정한 개인정보보호법이 제정돼야 한다. 대책이 이러한 수준에서 이루어지지 않는다면, 2년 전 리니지 사건 때와 마찬가지로 대규모 유출 사건이 또다시 발생하는 사태를 지켜볼 수 밖에 없을 것이다.