최근 개인정보위원회는 데이팅앱 ‘골드스푼’ 사업자에게 과징금 1억 2979만 원을 부과하고 수사기관에 고발하였다. 해당 앱을 해킹한 피의자는 불법수집한 민감정보들로써 이용자들을 강요하고 해당 사업자에게도 25억 원을 요구하는 등 추가범죄를 저질렀다. 관련 업계 1위인 해당 사업자는 법령상의 기본적인 의무사항조차 이행하지 않았고, 감독기관 또한 이렇게나 많은 민감정보를 처리하는 앱에 대해서도 사전적인 감독권을 행사하지 못했다. 그 피해는 고스란히 정보주체인 국민들이 받았으며, 그 피해는 성질상 사후금전배상으로 전보될 수 없기에 더욱 안타까운 사건이다.

실제로 증권시장의 IT 유관기관에서 사내 변호사로 근무하다 보면 현업의 강력한 항의에 자주 부딪히고는 한다. ‘지킬 거 다 지키면 어떻게 경쟁에서 살아남을 수 있느냐. 변호사님이 책임지실 거냐’ 이는 원칙론만 앵무새처럼 되뇔 수 밖에 없는 법무 조직원의 풀리지 않을 번뇌일 것이다. 현실적으로 감독기관의 감독권은 대기업에게는 엄격하게 행사되지만, 중소·벤처기업에게는 사실상 거의 행사되지 못하고 있다. 감독기관의 자원이 태부족하기 때문일 것이다. 대부분의 중소·벤처기업 역시 그렇게 큰 비용을 부담할 여력이 없는 것이 현실이다. 개인정보위원회가 2022년 3월 3일 ‘알기 쉬운 개인정보처리 동의 안내서’와 ‘개인정보 처리방침 작성지침’을 공개한 것 등, 관련 법령과 행정규칙은 해당 업무를 담당하고 있는 변호사조차 전부 파악하기 힘들 정도로 나날이 엄격해지고 복잡해지고 있다.

우리 사회가 4차산업혁명·벤처 신사업 육성 등에 사용하고 있는 예산을 활용하여, 개인정보의 수집·저장·처리에 관한 공공데이터센터 및 공공 open API의 도입을 검토해볼 때가 되었다. 중소·벤처 사업자들이 저렴한 가격으로 클라우드 저장공간을 활용할 수 있어야 하며, 그들이 개인정보를 수집하고 저장하고 처리하는 과정에서 자동화된 솔루션을 지원받음으로써 법령상 의무를 쉽게 준수할 수 있어야 한다. 예를 들어서 민감정보임에도 동의가 결여된 수집이라는 점을 시스템이 실시간으로 지적해주거나, 1년 이상 미사용 이용자의 개인정보가 자동적으로 파기 또는 분리보관 되도록 설정된 Open API 방식의 솔루션을 생각해볼 수 있다.

우리 사회가 사실은 지켜질 수 없음을 알면서도 그럴듯한 규제정책만 늘어놓고 있는 것이라면, 우리 사회 역시 유출피해의 책임에서 벗어날 수 없을 것이다. 우리 형사법에서는 책임비난요소인 기대가능성에 관한 법리로서 ‘할 수 있었음에도 하지 않았음‘을 들고 있다. 우리 사회가 중소·벤처기업의 현실은 무시한 채 ‘할 수 없는 일을 하지 않았다’고 비난하고 있지는 않은지 생각해봐야 한다. 오히려 비용-편익의 관점에서 부담 가능한 수준의 인프라임에도 불구하고 제공하고 있지 않은 우리 사회에게는, 기대가능성이라는 책임조각사유가 존재하지 않는 것으로 보인다.

/이지훈 변호사

(주)koscom 경영기획부