전통적으로 개인정보는 서면으로 수집한다. 예컨대 핸드폰 개통을 할 때 서면에 개인정보를 적어 대리점 등에 제출하는 방식으로 개인정보를 수집한다.
이러한 오픈라인 방식에서는 개인정보가 담긴 서면을 기업담당자에게 건네는 순간 기업 입장에서는 개인정보를 수집하게 된다. 이 경우 수집은 기업 담당자가 건네받는 순간으로 보면 될 듯하다.
하지만 온라인에서는 개인정보의 수집이 웹페이지 입력부터 시작되는데 웹페이지에 개인정보를 입력하고 동의 버튼을 누르는 순간 입력된 개인정보는 서버의 메모리에 일시적으로 저장되었다가 서버의 하드디스크(DB)에 영구적으로 저장된다.
그렇다면 이 경우 1)입력을 마친 순간, 2)동의 버튼을 누른 순간, 3)메모리에 일시적으로 저장하는 순간, 4)하드디스크(DB)에 영구적으로 저장되는 순간 중에서 언제를 수집으로 보아야 하는가? 이 문제는 오프라인 방식의 수집과 온라인 방식의 수집이 다른 방식으로 이루어지기 때문에 발생하는 문제이다[사례 A].
생각하건대, 오프라인적으로 보면 수집이란 ‘정보주체의 개인정보를 수집자가 최초 취득했을 때(수집자의 측면) 또는 수집자의 지배영역에 정보주체의 개인정보가 최초 도달했을 때(개인정보의 측면)’를 가리키는 것으로 보는 것이 타당할 듯하다.
이것을 온라인 상황에 대입해 보면, 온라인에서의 개인정보 수집은 ‘정보주체의 개인정보를 수집자가 최초 저장했을 때(수집자의 측면) 또는 수집자의 지배영역에 정보주체의 개인정보가 최초 생성되었을 때(개인정보의 측면)’를 가리킨다고 보아야 한다.
정보주체와 수집자 사이에 중간 영역에 있는 경우를 수집으로 보는 것은 규범적으로 타당하지 않고 이런 경우까지 수집자에게 과도한 책임을 부담시키는 것은 부당하기 때문에 최초 취득시(=최초 도달시) 또는 최초 저장시(=최초 생성시)로 보아야 한다.
위 사례에서 1)과 2)의 단계에서는 아직 개인정보가 수집자의 영역에서 저장이나 생성되었다고 보기는 어려울 것 같다. 4)는 수집자 영역에서의 저장이나 생성에 이르렀다고 볼 수 있지만, 문제는 3)의 경우인데 일시적 저장도 저장이라고 볼 수 있고 이 상태라도 수집자의 의도에 따라 데이터 처리가 가능하다기 때문에 3)의 상태도 수집자 영역에서의 저장이나 생성에 이르렀다고 볼 수 있는바 이 경우도 수집이 이루어진 것으로 봄이 타당할 듯하다.
이번에는 다른 예를 들어보자. 예컨대 비식별화 목적을 가진 수집자가 공개된 개인정보를 크롤링(Crawling)한 다음 메모리에 일시적 저장을 하고, 즉시 비식별화 처리를 해 비식별화가 완료된 상태에서 하드디스크(DB)에 영구적 저장했다면 이 경우에도 일시적 저장의 상태를 수집으로 보아야 하는가?[사례 B]
만일 일시적 저장을 수집으로 본다면 수집 이후 비식별화가 일어난 것이고, 반대로 영구적 저장을 수집으로 본다면 비식별화된 이후 수집이 일어나는 것이다. 전자로 보면 정보주체의 동의를 얻어야 하고, 후자로 보면 정보주체의 동의를 얻지 않아도 된다.
결론부터 이야기하면, 사례 A와 달리 사례 B의 경우는 일시적 저장이 아닌 그 다음 단계인 영구적 저장 단계를 수집으로 보아야 한다. 그 이유는 이러하다.
첫째, 일시적 저장 단계를 수집으로 보게 되면 비식별화된 정보의 수집 자체를 막는 결과가 된다. 수집자는 비식별화된 정보를 수집하는 경우에도 항상 정보주체의 동의를 받아야 하는 결과가 되는 바, 비식별화된 정보의 수집과 식별정보의 수집 사이에 전혀 차이가 없게 된다. 결국 비식별화 처리된 정보의 수집이라는 것이 공학적으로나 규범적으로도 의미가 없게 되는 현상이 발생하게 된다.
둘째, B의 경우 일시적 저장에서의 데이터 처리는 오로지 비식별화 처리인바, 통상적인 A의 경우와 달리 정보주체의 개인정보자기결정권이 침해될 여지가 전혀 없다. 통상적인 A의 경우는 일시적 저장 상태에서 식별정보의 처리가 가능하고 예상 가능하지만, B의 경우에는 이러한 처리가 불가능하고 예상 가능하지도 않다는 점에서 근본적인 차이가 있다. 다시 말하면 B의 경우는 A의 경우와 달리 일시적 저장이 독립적인 경제적 가치가 없다.
셋째, 수집자의 의도를 봐도 명백하다. 통상적인 A의 경우는 식별정보를 수집하겠다는 의도가 명백하지만, 비식별화 목적의 B의 경우는 수집자에게 식별정보를 수집하겠다는 의도가 전혀 없다. 단지 컴퓨터 데이터 처리과정에서 불가피하게 발생하는 일시적 저장 과정 때문에 식별정보가 수집자의 지배 영역에 일시적으로 저장되는 것이다. 이처럼 A의 경우와 B의 경우는 수집자의 의도에 있어 근본적인 차이가 있다.
이처럼 A의 경우와 B의 경우는 유사하게 과정을 밟지만 이는 컴퓨터의 데이터 처리 과정에서 불가피하게 발생하는 과정이 유사해서 그렇게 보이는 것이고 규범적으로는 명확하게 달리 취급해야 형평의 원칙에 부합하는 것이다.
정리하면, 원칙적으로 개인정보의 일시적 저장은 수집으로 볼 수 있지만, 예외적으로 ‘오로지’ 비식별화 등의 목적으로 ‘짧은 시간’에 휘발성 매체에 개인정보가 일시적으로 저장되는 경우는 수집으로 보아서는 안 된다는 것이다. ‘오로지’ 비식별화 등의 목적인 경우는 일시적 저장시가 아닌 영구적 저장시가 수집에 해당한다는 것이다.
여기서 ‘오로지’라는 요건이 들어간 것은 비식별화 등의 목적 외에 다른 목적이 혼합되어 있는 경우는 예외사유로 보기 어렵다는 것이고, ‘짧은 시간’의 요건이 들어간 것은 시간적 한계를 설정함으로써 일시적 저장으로 인한 개인정보 오·남용을 막아보자는 취지이다.
예외적인 경우를 아예 수집의 개념에 포섭시키지 않든지 또는 수집의 개념에는 포섭하되, 면책되는 경우로 보든지 무방하지만 어쨌든 이를 결과적으로 본래 의미의 수집으로 포섭하는 것은 부당한 결과를 가져올 수 있기 때문에 주의해야 한다.
일시적 저장이라는 것은 컴퓨터 데이터 처리 기술이 일반화됨에 따라 발생한 불가피한 기술적 현상이다. 때문에 이를 규범적으로 이해할 때는 수집의 전체 과정을 고찰하여 사회통념에 맞추어 판단해야 할 것이다.
이런 의미에서 ‘오로지’ 비식별화 등의 목적으로 ‘짧은 시간’에 휘발성 매체에 개인정보가 일시적으로 저장되는 경우는 수집으로 포섭하지 않는 것이 적절하다고 본다.
* 법무법인 민후 김경환 대표변호사 작성, 보안뉴스(2014. 12. 10.), 블로그(2014. 12. 11.) 기고.
