Home > 전체기사
[이슈칼럼] 확진자 동선정보는 개인정보일까? 가명정보일까?
  |  입력 : 2020-04-10 11:02
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
개인정보보호법 개정안, ‘가명정보’ 활용해 과거 논란 해소될 듯

[보안뉴스=전승재 법무법인 바른 변호사] 코로나19 바이러스에 감염되는 것도 무섭지만, 확진자에게 가해지는 사회적 낙인효과 또한 무섭다. 이 바이러스의 전례 없이 강한 전염력을 고려할 때 확진환자의 이동경로, 진료의료기관 및 접촉자 현황 등을 국민들에게 알리는 것은 당연히 필요하다. 다만, 공개된 정보로부터 확진자 개인이 ‘특정’되어 버리면 그 당사자가 주변으로부터 받는 시선, 이로 인한 프라이버시 침해를 어떻게 감당할 것인가. 이 문제와 관련하여, 이번 칼럼에서는 현재 질병관리본부 및 지자체들이 공개하고 있는 확진자 동선정보를 과연 법률상 ‘개인정보’로 볼 수 있는지 살펴본다.

[이미지=iclickart]


검토에 앞서 개인정보 보호법(이하 ‘법’)의 체계를 간략히 살펴본다. 현행법상 개인정보란, 해당 데이터 자체로부터 또는 다른 데이터와 쉽게 결합하여 특정 개인을 알아볼 수 있는 정보를 뜻한다(참고로 개인정보와 프라이버시는 서로 별개 개념으로 이들의 범위가 일치하는 것은 아니다). 개인정보에 해당되면 그 개인(정보주체)의 사전 동의를 받고 개인정보를 수집, 이용 및 제3자에게 제공을 할 수 있음이 원칙이다. 예외적으로, ①다른 법률의 특별한 규정이 있는 경우(법 제15조 제1항 제2호, 제18조 제2항 제2호, 제23조 제1항 제2호 등), ②공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리되는 경우(법 제58호 제1항 제3호) 등에는 정보주체의 동의를 받지 않아도 된다.

참고로 확진자 동선정보의 경우 감염병예방법 제34조의2 제1항(‘주의’ 이상 위기경보 발령 시 정부가 환자 이동경로 등을 공개해야 한다는 취지)이 ①의 근거규정이 되고, 같은 맥락에서 ②에도 일견 해당되므로, 설령 개인정보라 하더라도 지금처럼 공개되는 것이 법위반은 아닐 것이다. 그럼에도 개인정보 해당여부를 검토하려는 이유는, ①의 감염병예방법은 정부의 데이터 처리 근거법률일 뿐 정부의 데이터를 받아서 처리하는 민간인들에게까지 적용되는 것은 아니고, ②는 ‘긴급히 필요한 경우’ 및 ‘일시적으로 처리’라는 요건이 불확정개념 형식으로 규정되어 있어 다르게 해석될 가능성을 열어 두어야 하기 때문이다.

현재 공개된 확진자 정보는 크게 세 유형으로 구분해볼 수 있다.

첫째, 확진자 번호, 확진일, 나이, 성별, 거주하는 동이나 아파트단지 이름 등과 함께 동선이 추상적으로(예: 사무실, 마트, 약국, OO역 O번 출구, OO보건소 선별진료소) 기재된 유형이다.

둘째, 직장명, 의료기관 방문 경위가 된 기존 병명, 여행목적, 방문한 상가의 상호 등까지 공개되어, 가족, 친지, 동료 등 가까운 사람이라면 그 확진자가 누구인지 알 수 있는 유형이다.

셋째, 특이한 인적사항(예: 국가대표선수)이 포함되어 불특정 다수의 타인이 그 확진자를 특정할 수 있는 유형이다.

첫 번째 및 두 번째 유형의 정보는 그 자체로 확인자가 누구인지 알아보기는 어렵지만, ‘다른 정보와 결합’하면 개인을 특정할 수 있다. 여기서 ‘개인을 알아보기 위해 결합해야 하는 다른 정보’(이하 ‘결합정보’)란, 첫 번째 유형의 경우 ‘확진자 번호와 해당 개인을 대응시켜주는 정보’인데, 이것은 해당 확진자를 진료한 의료기관과 정부가 가지고 있다. 두 번째 유형의 경우 이것을 정부뿐만 아니라 그 확진자의 측근들도 가지고 있다. 세 번째 유형의 경우 이것을 인터넷을 통해 찾을 수 있다.

이처럼 ‘결합정보’에 대한 접근성이 높을수록 ‘개인정보’에 가까워진다. 그렇다면 법률상 개인정보와 非개인정보의 경계는 어디인가. 즉, ‘누구의 관점에서’ 접근을 할 수 있으면 개인정보에 해당하는가.

이 문제에 대해 당초 우리나라에서는 ‘결합정보가 존재하기만 하면 이것을 구하기 쉬운지 어려운지와는 상관없이 개인정보에 해당한다’는 견해가 지배적이었다. 이 견해에 따르면 위 유형 모두 개인정보가 된다. 적어도 정부의 손에는 결합정보가 있기 때문이다. 다만, 예컨대 정부가 결합정보를 외부에 공개하지 않아 민간에서는 결합정보에 접근할 가능성이 사실상 없다면 어떨까. 이 경우에도 여전히 개인정보라는 해석을 관철하면 개인정보의 범위가 매우 넓어져 데이터의 산업적 활용이 제약된다.

최근에는 ‘당해 개인정보처리자의 관점에서 합리적 노력을 통해 결합정보를 입수할 수 있어야만 개인정보에 해당한다’는 견해가 설득력을 얻고 있다. 이 견해에 따르면 확진자 동선정보와 해당 개인의 결합정보를 정부가 공개하지 않으면 이는 민간의 관점에서는 非개인정보로 판단될 여지가 있다. 한편, 이 견해에 따르더라도 정부의 관점에서 이 데이터는 여전히 개인정보이다. 즉, 개인정보처리자가 누구냐에 따라, 상황에 따라 개인정보 해당 여부가 달라질 수 있는 것이다.

이상과 같은 이유로 확진자 동선정보가 현행법상 개인정보에 해당하는지 여부는 일의적으로 선을 긋기 어렵고, 상황에 따라 유동적일 수 있다.

한편, 오는 8월 5일 시행되는 개정 개인정보 보호법(이하 ‘개정법’)을 적용하면 어떨까. 개정법에서는 ‘가명정보’ 개념이 신설된다. 가명정보란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체해 그 자체로는 개인을 알아볼 수 없도록 가공하되, 해당 개인과의 1:1 대응관계, 즉 Matching Table을 남겨두어 이것을 가지고 해당 개인을 다시 식별할 수 있는 정보를 말한다. 가명정보도 개인정보의 일종이다. 다만, matching table이 법률상 또는 계약상 비밀로 유지된다는 전제 하에, 정보주체의 동의 없는 산업적 활용이 허용되는 특례가 적용된다.

확진자 동선정보의 경우, 확진자 번호가 개인별 고유번호라는 전제 하에 이는 ‘가명정보’로서 광의의 개인정보에 해당할 것이다. 이 때 matching table이 정부와 의료기관 등 매우 한정된 범위 내에서만 관리되고 이것이 철저히 비밀로 유지된다면, 확진자 동선정보를 제공 받아 서비스를 하는 민간인들은 가명정보 처리에 관한 특례규정에 따라 환자 본인의 동의 없이(누구인지 모르니 동의를 받을 수도 없다) 그 데이터를 공익적 또는 연구목적 등으로 쓸 수 있게 되는 체계이다. 이와 달리, matching table이 새어나간 데이터는 더 이상 가명정보가 아니게 되므로 개인정보에 관한 규제를 그대로 적용 받는다.

요컨대, 현행법 하에서는 데이터가 개인정보인지 非개인정보인지를 양자택일해야 하는 난감한 상황에 자주 처하는 반면, 개정법에 따를 경우 개인정보의 특수한 유형으로 ‘가명정보’라는 분류 있고, 안전장치가 충분히 된 가명정보라면 산업적 활용이 허용된다. 이것이 ‘가명정보’ 개념의 유용성이다.
[글_전승재 법무법인 바른 변호사, 해커 출신 변호사가 해부하는 해킹판결 저자]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)