“자율주행차의 인공지능(AI) 알고리즘 개선을 위해 내 자동차 번호판 정보를 동의 없이 활용하는 건 개인정보 침해일까, 아닐까?”
개인정보보호위원회가 지난달 자동차 번호판에 대해 “일반적인 경우 그 자체만으론 개인정보에 해당하지 않는다”는 해석을 내놓은 뒤 시민사회계의 반발이 이어지고 있다. 새로운 기술 개발과 사업을 위해 개인정보를 적극 활용해야 한다는 기업들의 요구와 개인정보 자기결정권 침해를 우려하는 시민단체의 반대가 충돌하고 있는 것이다.
과학기술정보통신부는 자율주행 업계의 건의사항을 반영해 올해 1~4월 우아한형제들·뉴빌리티·카카오모빌리티·포티투닷 등 관련 기술을 개발하는 4곳에 차량 번호판 정보를 모자이크 처리 없이 활용할 수 있도록 실증특례를 승인했다. 현행법은 자율주행차 등 이동형 기기에 탑재한 카메라로 수집한 차량번호 정보를 비식별(모자이크) 처리해야만 쓸 수 있는데, 실증특례 지정에 따라 법 적용의 예외를 인정받게 된 것이다. 이들 기업은 자동차 번호판이나 사람 얼굴을 모자이크 처리한 데이터의 경우 인식률이 낮아 자율주행 기술 개발에 어려움이 있다며 원본 정보의 사용을 요구해 왔다.
개보위는 여기서 한발 더 나아가 최근 번호판의 개인정보 여부에 대한 새 판단 기준을 내놓았다. 차량등록번호 자체는 사람이 아닌 차량을 식별하기 위해 부여한 일련번호로, 일반인의 경우 다른 정보와 쉽게 결합해 소유주 등을 알아볼 수 있는 게 아닌 만큼 개인정보가 아니라는 것이다. 다만, 특수한 경우에는 여전히 개인정보로 인정해 관련 규제를 적용한다. 예를 들어, 공공기관이나 차량 소유주와의 계약·동의 등을 통해 그 정보를 알 수 있는 민간기업처럼 개인정보처리자가 차주의 정보를 결합할 수 있는 경우엔 여전히 개인정보다.
개보위는 2020년 8월 개정된 개인정보의 정의 규정을 반영해 자동차 번호판에 대한 해석을 기존보다 명확히 한 것이라고 설명한다. 개정 이전엔 해당 정보만으로 특정 개인을 알아볼 수 없다고 해도 ‘다른 정보와 쉽게 결합해 알아볼 수 있는’ 경우라면 개인정보로 봤다. 하지만 법 개정 이후 특정 개인을 알아볼 수 있는데 필요한 추가 정보를 얻는데 드는 ‘시간·비용·기술 등을 합리적으로 고려해야 한다’는 조건이 추가됐다. 개인정보의 범주를 좀더 좁게 설정한 셈이다. 이런 법의 변경에 따라 해석도 달라질 수밖에 없다는 게 개보위의 판단이다. 개정 개보법에 추가된 이 내용은 ‘유럽연합 일반 개인정보보호법(EU GDPR)’ 전문에도 포함돼 있다.
일부 전문가들과 시민사회에선 개보위의 이런 설명에 고개를 갸웃거린다. 같은 내용의 조항이 담겨 있는데도 유럽에선 여전히 자동차 번호판을 개인정보로 해석하고 있기 때문이다. 최호웅 변호사(민주사회를위한변호사모임 디지털정보위원회)는 “‘유럽연합 일반 개인정보보호법(EU GDPR)’을 적용받는 국가와 감독기관에선 (개인) 식별 가능성이 있는 정보 그 자체로도 개인정보에 해당한다고 판단한다”며 “(개보위 해석대로라면) 에스엔에스(SNS)에 올린 사진 등에 우연히 노출된 (다른 사람의) 자동차 번호판 정보로 인해 문제가 생길 가능성에 대한 책임 의무·주의가 전혀 필요 없게 된다”라고 말했다.
이런 까닭에 개보위의 해석 변화가 개인정보의 보호보다 개인정보를 토대로 한 산업진흥에 좀 더 무게중심이 쏠려 있기 때문이라는 의심의 목소리도 나온다. 오병일 진보네트워크센터 대표는 “개보위가 산업 진흥을 위해 개인정보를 지나치게 협소하게 해석하고 있다. 개인의 자기결정권이 침해될 위험이 있다”고 주장했다.