[지디넷코리아]
지인이 누군가의 전화번호를 물어보는 순간 우리는 종종 망설이게 된다. “이거 알려주면 개인정보보호법 위반 아닐까?”
개인정보 보호에 대한 사회적 경각심이 높아진 것은 분명 바람직한 변화다. 그러나 그 영향으로 법이 요구하지 않는 상황에서도 스스로를 과도하게 제한하는 장면이 적지 않다. 문제는 많은 사람들이 무엇이 실제로 금지되고 무엇이 허용되는지를 정확히 알지 못한다는 데 있다. 개인정보보호법은 몇 가지 관점만 이해해도 생각보다 훨씬 명확하게 보인다.
먼저 짚어야 할 점은, 개인정보보호법이 ‘개인정보처리자’를 중심으로 작동하는 법이라는 사실이다. 이 법은 모든 사람의 일상적 행위를 규제하기 위한 법이 아니라 개인정보를 업무 목적 아래 체계적으로 처리하는 주체에게 법적 의무를 부과한다.
예를 들어, 학원 원장이 수강생의 이름과 연락처 명단을 관리하거나, 온라인 쇼핑몰 운영자가 고객의 주소와 전화번호를 저장해 배송에 활용하는 경우가 그렇다. 이들은 개인정보를 특정한 목적에 따라 지속적· 체계적으로 처리한다는 점에서 전형적인 개인정보처리자에 해당한다.
이러한 법 구조를 전제로 보면 일반적으로 개인이 가족이나 지인과 사적으로 연락처를 교환하거나 휴대전화에 저장하는 정도의 행위에 대해서는 개인정보처리자에게 부과되는 것과 동일한 수준의 법적 의무가 적용되지는 않는다.
개인정보보호법상 각종 의무의 핵심적 부담 주체는 원칙적으로 업무를 목적으로 개인정보파일을 운용하는 개인정보처리자로 설정되어 있고 단순한 사적 주소록 관리는 보통 그 요건에 해당하지 않기 때문이다.
그렇다고 곧바로 “법의 규율 대상이 아니다”라고 단정해서는 안된다. 개인정보보호법은 기본적으로 개인정보처리자를 규율하지만 업무상 알게 된 개인정보를 누설하거나 부당하게 이용하는 행위는 개인정보처리자가 아니더라도 처벌 대상이 될 수 있다.
또한 법에서 말하는 개인정보의 ‘처리’에는 정보를 수집하거나 이용하는 것뿐 아니라 저장해 두는 행위까지 포함되므로 연락처를 휴대전화에 저장하는 행위 역시 형식적으로는 개인정보 처리에 해당할 수 있다.
물론 이러한 사적 저장이나 이용이 곧바로 위법이나 처벌로 이어지는 것은 아니다. 다만 해당 전화번호가 업무 수행 과정에서 취득되었거나 업무 목적에 따라 이용된 경우에는 개인정보처리자 여부와 관계없이 법 위반 여부를 판단해야 하는 사안이 될 수도 있다.
한편 동창회나 동호회처럼 친목 도모를 목적으로 단체를 운영하며 개인정보를 처리하는 경우, 법은 이를 전형적인 영리·업무 목적의 개인정보 처리와는 구별해 일부 규정의 적용을 배제하고 있다. 이는 해당 주체가 개인정보처리자에 해당하지 않아서라기보다는 처리 목적과 그로 인한 침해 위험의 정도를 고려해 법적 의무의 범위를 조정한 결과로 이해하는 것이 정확하다.
그래서 전화번호를 알려줘도 될까?
그렇다면 다시 처음의 질문으로 돌아가 보자. 가장 현실적이고 안전한 답은 의외로 단순하다. “번호를 전달해도 되는지 먼저 물어볼게요.” 이 한 문장은 상대방의 자기결정권을 존중하면서 불필요한 오해와 법적 위험을 동시에 줄여 준다.
개인정보보호법은 정보를 가진 사람을 통제하려는 법이 아니라 그 정보의 당사자인 정보주체에게 통제권을 보장하려는 법이다. 결국 중요한 것은 전화번호를 알려줘도 되느냐가 아니라 그 정보에 대한 결정권이 누구에게 있는지를 인식하고 존중하는 태도다. 그 점만 분명히 인식한다면 우리는 법을 과도하게 두려워할 필요도 가볍게 여길 필요도 없다.