요즘과 같은 디지털 네트워크 시대에 신용카드나 휴대폰을 사용하지 않거나 이런 저런 인터넷 사이트에 가입하지 않고 살기란 쉽지 않다. 일상생활 상의 편익 포기라는 대가를 치러야 하기 때문이다.
그런데 이런 디지털 기기의 이용은 우리의 일거수일투족을 기록하고 분류하고 추적하는 관행과 밀접하게 연결되어 있어 프라이버시 침해 문제가 늘 뒤따른다. 그래서 만들어진 것이 ‘개인정보자기결정권’이라는 정보인권 관념이다. 이 권리는 개인이 자신에 관한 정보가 언제 어떻게 얼마나 사용될 수 있는지를 스스로 결정할 수 있어야 한다는 취지에서 입법되었다.
다소 길긴 하지만 이를 뒷받침하는 법률조항들을 일부 나열하면 다음과 같다. 동의 없는 개인정보 수집 금지, 과도한 수집 금지, 고지·명시한 범위를 초과한 목적 외 이용 혹은 제3자 제공 금지, 개인정보 처리 위탁시 고지 의무, 목적 달성 후 개인정보 파기 의무, 개인정보 보호를 위한 기술적·관리적 조치 실행 의무, 동의철회, 열람 또는 정정 요구 수용 의무 등이 그것이다.
최근에 잇따라 발생한 개인정보 유출 사건은 카드번호, 결제계좌, 주민등록번호 등과 같은 민감한 신용정보가 털렸다는 사실 못지않게, 우리 자신에 관한 정보 통제권이 정말로 우리 손에 있는가라는 근원적인 회의감을 불러일으켰다는 점에서도 사회적 파장은 만만치 않다. 사실, 이번에 유출된 회원 개인정보는 그간 금융사를 포함한 수많은 기업들이 소비자들로부터 일상적으로 수집하고 활용했던 정보와 크게 다르지 않다. 유일한 결정적 차이는 개인정보 수집에 관한 우리의 동의 여부 정도이다.
불법과 합법의 경계는 거기에 있지만, 우리 자신에 관한 개인정보가 불법적으로든 합법적으로든 언제 어떻게 얼마나 수집되고 관리되고 사용되는지를 우리가 제대로 알지 못한다는 사실은 변함없다. 기업의 소비자 회원으로 가입하는 순간, 우리에 관한 정보가 해당 기업의 계열사를 포함하여 수백 개 제휴 업체들에 의해 공유되고 판촉 자료로 활용된다. 그리고 우리의 전화기와 메일함은 이들 회사들이 보낸 광고와 홍보 메시지로 넘쳐난다. 여기에 불법적으로 취득한 개인정보가 활용되고 있다고 한들, 소비자 회원의 입장에서는 그게 그거다.
개인정보 유출 사건과 관련하여, 금융감독원 관계자는 “금융기관 검사를 나가도 해당 회사에서 규정대로 지킨다고 하면 사고가 나지 않는 이상 외부 감독기관이 일일이 알 수가 없다”고 말했다. 금융감독 기관의 책임 회피 뉘앙스가 엿보이긴 하지만, 이 말은 현재의 개인정보자기결정권이 지닌 한계를 고스란히 드러내고 있기도 하다.
개인정보에 관한 정보의 비대칭성은 개인정보 처리 위탁시 고지 의무, 개인정보 관리책임자 지정 의무, 개인정보 보호를 위한 기술적·관리적 조치 실행 의무 등 기업 내부 상황과 관련한 문제에서 특히 두드러진다. 또한 서비스 이용을 위해서는 반드시 서명해야만 하는 개인정보 수집과 활용 동의는 기업에게 회원의 개인정보를 사실상 거의 마음대로 사용할 수 있는 면허증을 주는 장치로 보일 지경이다.
독자들의 PICK!
우리와는 달리, 일부 북유럽 복지국가들은 개인정보를 처리하는 모든 주체들로 하여금 개인정보 시스템의 성격, 내용, 목적 등을 밝히고 등록한 주체에게만 개인정보 처리 자격을 부여한다. 또는 개인정보 수집·저장·이용·처리 허가증을 발부하여 정보 시스템을 끝까지 추적하고, 개인정보 처리 현황을 공공기관이 훤히 들여다 볼 수 있도록 하는 장치를 운영하는 나라도 있다.
개인정보자기결정권이 이빨 빠진 종이호랑이가 되지 않으려면 사후 처벌이 아니라 사전 예방에 초점을 맞추는 방향으로 우리의 개인정보 정책을 바꾸어야 한다.