2008년 옥션 1860만명, GS칼텍스 1125만명, 2011년 SK커뮤니케이션즈 3,500만명, 2012년 KT 870만명. 과거 5년간 일어났던 주요 개인정보유출사건의 피해자 규모이다. 주민등록번호는 바꿀 수 없이 평생 사용해야 하는 중요한 정보이기 때문에 이것이 유출되면 계속되는 복제를 통해 정보주체에게 평생동안, 지역을 가리지 않고 피해가 발생할 수 있다는 점에서 정보유출사고의 피해의 정도는 가늠하기조차 어렵다.
제대로 감당하지도 못할 고객의 개인정보를 무턱대고 수집해 놓고 관리도 부실하게 하여 정보유출사고를 발생시키는 기업들에게 1차적 책임이 있음은 물론이다. 문제는 정보유출사고가 발생해도 해당 기업들에게는 이렇다할 제재가 가해지지 않는다는 점이다. 2011년 1,320만명의 개인정보를 유출당한 넥슨의 대표이사에게 지난해 8월 무혐의처분이 내려진 것을 비롯해서 그동안 대규모의 정보유출사고를 발생시킨 기업들에게 형사처벌이 내려진 사례는 없다.
최근 2년 동안에만 우리나라 전체 인구수보다도 많은 6,000만명의 개인정보가 유출되어 현실적, 잠재적 피해자가 차고 넘치지만 그로 인해 처벌을 받거나 배상책임을 지는 등 책임지는 사람이 없는 희한한 일들이 반복되고 있다.
이러니 기업들이야 일단 개인정보를 무조건 많이 모아두고 보자는 생각을 할 수 밖에 없고, 그렇게 수집된 정보들을 철저하게 관리하여야 할 필요성도 크게 느끼지 못할 것이므로 같은 유형의 피해가 반복될 수 밖에 없을 것이다.
정보유출 사고를 일으킨 기업들에게 법적 책임이 면제되는 주요한 논거는 그들이 '기술적 관리적 조치를 다하지 못했다는 증거가 없다'는 것이다. 과연 해당 기업들이 현존하는 기술을 총동원해서 기술적, 물리적 조치를 다했는지 심히 의심스럽지만, 설령 그것을 인정하더라도 해킹, 내부유출 등을 통한 정보유출사고가 언젠가는 일어날 수 있다는 것을 뻔히 예상할 수 있는 것 아닌가. 이런데도 무분별하게 개인정보를 수집하고 저장해 놓은데 대한 기업의 책임은 어떻게 면제될 수 있다는 것인가. 책임지지 못할 일을 한 사람에게 응당 대가를 치르게 하는 것이 정의가 아니겠는가.
아무튼 현재 우리 법제도에서는 정보유출사고가 일어날 경우 피해자만 억울하게 될 뿐이다. 정보주체들 스스로가 자신을 방어하는 방법 밖엔 없다. 자신의 방어는 우선 내가 가진 권리를 알고 내 정보의 가치를 깨닫는 일부터 시작될 것이다.
미국의 정보인권운동가인 제프굴드는 누리꾼들이 알아야 할 기본적인 권리를 제시했다. 내 정보를 가지고 있는 상대방 기업이 나 자신에 대해 무엇을 알고 있는지를 알 권리, 상대방 기업이 가진 내 정보를 제한할 권리, 내가 상대방 기업의 추적대상이 되는지를 알 권리, 상대방 기업이 나를 추적하거나 나를 광고의 대상으로 삼지 못하도록 할 권리가 그것이다.
우리 헌법 해석상으로도 자기정보에 대한 통제권이 인정되기 때문에 이러한 권리들은 우리나라 누리꾼들의 권리이기도 하니 한번쯤 기억해 두는 것도 좋겠다.
그리고 무엇보다 내 자신의 개인정보를 너무 헐값 취급하는 일이 없어져야 기업들의 무분별한 정보수집도 막을 수 있을 것이다. 인터넷을 하다보면 뭔가를 공짜로 주겠다고 유혹해 놓고서는 그 대가로 내 정보를 요구하는 경우가 비일비재하다. 내 정보를 대가로 준다는 물건이 10만원 이상 된다면야 바꾸어 볼만 할지도 모르지만 장담컨대 그런 일은 없을 것이다. 그런데 고작 몇천원도 안되는 허접한 물건이나 서비스를 받겠다고 내 정보를 제공하는 것은 정보주체로서의 자질에도 문제가 있는 것이다.
앞으로 국민의 온갖 정보를 독점하고 있는 '빅브라더' 기업들이 일으킬 폐해는 더욱 심화될 것이므로 새정부에서도 개인정보 피해자들이 대량으로 등장할 것이다. 박근혜 정부가 야심차게 출범시킬 미래창조과학부에서 개인정보보호를 위해 어떤 혜안을 만들어 낼 것인지 지켜볼 일이다. 개인정보 유출이 없는 나라에서 살고 싶은 꿈은 이루어질 것인가.
장진영 변호사
기사 URL이 복사되었습니다.
댓글0