메타 67억 과징금 불복 소송에
개보위 대리해 1심·2심 완승
개인정보 ‘제3자 제공’ 주체 두고 치열한 공방
“AI 시대 중요한 판결”
김경환(왼쪽부터) 법무법인 민후 대표변호사와 최주선 법무법인 민후 파트너 변호사가 지난 10월 헤럴드경제와 인터뷰에 앞서 사진을 촬영하고 있다. [박지영 기자] |
[헤럴드경제=박지영 기자] “기업이 법을 지킬 때 이용자는 기업을 더욱 신뢰하고, 더 많은 정보를 맡겨도 되겠다는 믿음을 갖게 됩니다. 개인정보 보호가 불편한 규제가 아닌 신뢰의 기반이라는 인식의 전환이 필요합니다.”
IT 전문 로펌 민후의 최주선 파트너 변호사는 지난 10월 헤럴드경제와의 인터뷰에서 이같이 말했다. 최근 개인정보보호위원회가 메타와 벌인 2차례 소송전을 ‘완승’으로 이끈 주역이다. 최 변호사를 만나 개보위-메타 소송의 의의와 인공지능(AI) 시대 기업과 개인정보 보호의 관계에 대해 들었다.
김경환 법무법인 민후 대표변호사. [민후 제공] |
민후는 2011년 김경환 대표변호사가 설립한 IT 전문 로펌이다. ‘국민을 살 찌운다(民厚)’라는 뜻이다. 2011년 7월 싸이월드·네이트 개인정보 유출 사건에서 이용자들을 대리해 집단 소송을 제기하면서 본격적인 활동을 시작했다. 무려 3500만명 회원의 개인정보가 유출된 대형사고였다. 최종적으로는 이용자가 패소했지만 ‘기업은 고시에 정해진 기술적·관리적 보호조치 이상의 개인정보 보호조치를 취해야 할 의무가 있다’는 대법원 판례를 남겼다.
김 대표는 “당시만 해도 변호사가 IT 법을 전문으로 하는 것이 매우 생소했다. 로펌이 IT 관련 서비스를 제공하지도 않았던 때”라며 김 대표는 “제가 가진 공학 지식과 법률 지식으로 시너지를 일으키면 승산이 있겠다 싶었다”고 했다. 김 대표는 서울대 전자공학과를 졸업한 뒤 공과대학원 석사 학위를 받고 사법고시에 합격했다.
예상은 적중했다. 김 대표는 “특히 IT 기업을 하는 분들의 수요가 컸다. 다른 로펌들은 서비스 개념부터 설명해야 했는데 저희는 의사소통이 잘 됐다”고 했다. 민후는 약 10년 만에 변호사 16명, 전체 직원 30여명 상당의 ‘강소 로펌’으로 성장했다. IT 기업 자문, 송무 뿐만 아니라 블록체인, AI 등 미래 기술과 관련해서도 전문성을 갖춘 로펌으로 인정 받는다.
최 변호사는 민후 초창기부터 함께한 개국공신이다. 네이트·싸이월드 집단소송 1심 막바지에 합류했다. 로그기록을 하나하나 뒤져보며 해커가 어떤 식으로 개인정보를 유출 했는지, 기업의 책임은 없는지를 연구했다. 최근에는 ‘개보위 마크맨’으로 활약하고 있다. 개보위를 대리해 여러 소송을 수행할 뿐만 아니라 개보위 아동·청소년 개인정보 보호 연구반, 과징금 부과기준 연구반, 제2기 개인정보 법령해석 자문단원 등 개보위 자문 업무도 다양하게 맡고 있다.
최주선 법무법인 민후 파트너변호사. [민후 제공] |
개보위는 2011년 개인정보보호법이 시행되면서 공식으로 출범했다. 2020년 8월 행정안전부, 방송통신위원회, 금융위원회 등으로 분산되어 있던 개인정보 보호·감독 기능을 통합해 중앙행정기관으로 격상됐다.
개보위는 2020년 11월 메타가 소셜로그인 서비스를 제공하며 페이스북 이용자의 동의 없이 제3자에게 개인정보를 제공했다며 67억4800만원의 과징금과 시정명령을 내렸다. 새롭게 출범한 개보위가 기업에 부과한 첫번째 제재였다. 메타는 이에 불복해 소송을 제기했다. 법원은 지난해 10월 1심, 지난 9월 2심 모두 개보위의 손을 들어줬다.
민후와 메타는 ‘개인정보 제공 주체가 누구냐’를 두고 치열하게 대립했다. 개보위는 메타가 이용자 동의 없이 제3자에게 친구의 개인정보를 제공했다고 판단했다. 친구의 이름, 나이, 성별, 연애·결혼 유무, 정치관, 위치정보, 좋아요를 누른 게시글의 수 등 종류도 다양했다. 메타측은 친구의 개인정보를 넘긴 주체는 ‘이용자’라고 주장했다. 이용자가 소셜 로그인 기능을 사용하면서 친구 정보 제공에 ‘허가하기(Allow)’를 눌렀기 때문이다.
1심 재판부는 “이용자는 간편하게 제3자 앱에 가입해 서비스를 이용하려는 것으로 친구의 개인정보까지 제3자 앱에 제공된다는 것을 예상하기는 어렵다”며 메타의 주장을 배척했다. 이용자의 일반적인 인식 수준에서 소셜로그인 시 ‘친구 정보’까지 제공할 것이라 예측하기는 어렵다는 취지다.
최 변호사는 “‘동의 만능주의’의 시대는 갔다”고 평가했다. 기존에는 약관에 ‘동의’를 했다는 이유만으로 기업의 책임이 면제됐지만 이제는 그렇지 않다는 것이다. 최 변호사는 “만약 메타의 주장이 인정됐다면 사실상 ‘다크패턴’이 허용되는 것이다. 사용자가 클릭하거나 동의 버튼을 누르게 하기만 하면 기업의 책임이 모두 정보 주체(사용자)의 책임으로 전환되는 것”이라고 했다.
그러면서 “이용자는 IT 기업을 믿고 약관에 동의한다. 합리적인 수준에서 개인정보를 이용할 것이라 ‘신뢰’하기 때문”이라며 “이를 악용해 기업이 편한대로 정보를 가져다 쓰면 장기적으로는 기업과 사용자의 신뢰관계가 훼손될 수밖에 없다. 법원이 이를 막아준 것”이라고 설명했다.
최 변호사는 이번 판결이 AI 시대에 중요한 시금석이 될 것으로 보고 있다. 법원이 ‘공개된 정보’를 동의없이 이용할 수 있는 조건을 세세하게 정했기 때문이다. 메타는 설령 메타가 개인정보 제공 주체라고 해도 ‘친구 정보’는 이미 공개된 정보라고 주장했다. 이용자의 페이스북 친구 또한 페이스북의 약관에 동의하고 스스로 게시글을 올렸기 때문에 이를 제3자에게 제공할 때 별도로 동의 여부를 확인할 필요가 없다는 뜻이다.
최 변호사는 “메타의 주장이 받아들여졌다면 공개된 정보가 AI 학습에 무분별하게 남용되는 상황이 벌어졌을 것”이라고 했다. 그는 “AI 기업에게는 가능한 한 많은 정보가 필요하다. 그중에서도 개인의 성별, 연령, 선호 등 개인정보는 고급정보”라며 “일일이 개인정보 제공 동의를 받기 어렵기 때문에 ‘공개된 정보’를 자유롭게 쓰고 싶은 욕구가 크다”고 했다.
이미 공개된 정보를 기업이 어느정도 사용할 수 있다는 대법원 판례는 이미 확립돼 있다. 이른바 ‘로앤비 판결’이다. 정보주체의 동의가 있었다고 객관적으로 인정되는 범위에 있다면 기업이 영리 목적으로 개인정보를 제공·수집할 수 있다는 내용이다.
메타-개보위 1심 소송 재판부는 ‘로앤비 판결’을 인용하면서 ‘정보주체의 동의가 있었다고 인정되는 범위’를 판단하는 기준을 더욱 구체적으로 제시했다. ▷개인정보를 제공받는 자 ▷제공받는 자의 개인정보 이용 목적 ▷제공되는 개인정보의 항목 ▷제공받는 자의 개인정보 보유 및 이용 기간 등 4가지 요소에 대해 정보주체가 인식할 수 있어야 한다고 명시했다. 즉, 정보주체가 개인정보를 공개할 때 4가지 사항과 관련해 어떤 결정을 했을지 생각해 보고 추정되는 결정 범위 내에서만 기업이 공개된 개인정보를 별도 동의 없이 제공·사용할 수 있다는 취지다.
최 변호사는 “기존 ‘로앤비 판결’은 정보주체의 공개 ‘의도’를 중시한다“며 “정보주체의 개인정보 공개 의도와 예상 가능한 최악의 시나리오는 구분돼야 한다”고 강조했다. SNS에 자신의 얼굴 사진을 올리는 경우를 예로 들었다. 최 변호사는 “‘셀카’를 올리면서 ‘딥페이크 범죄에 사용될 수도 있다’고 예상할 수는 있다. 하지만 정보주체가 이를 의도했다고 볼 수는 없다”며 “페이스북에 올린 개인정보가 자신의 친구를 통해 제3자에게 제공되는 것을 ‘의도’한 이용자는 없을 것”이라고 했다.
최 변호사는 IT 기업의 ‘선의’를 믿는다. 선의를 가지고 좋은 서비스를 만들어야 이용자로부터 선택을 받고, 기업이 성장할 수 있기 때문이다. 최 변호사는 “당국의 처분은 기업 활동을 옥죄려는 취지가 아니다. 오히려 정보주체와 기업의 조화를 고민하고 이를 통해 산업을 살리고자 한다”며 “법은 기업이 가진 본질인 이익 추구와 선의가 조화를 이룰 수 있게 만들어 주는 최소한의 기준이다. 기업이 법 준수를 통해 이용자의 신뢰를 얻는 것이 혁신의 시작”이라고 강조했다.