[개인정보 A to Z] 사라진 내 미니홈피, ‘싸이월드 추억 보호법’으로 복습해보는 GDPR & CCPA

대한민국 1세대 SNS ‘싸이월드’가 이제 역사 속으로 사라졌습니다.
사라진 건 플랫폼뿐만이 아니죠. 그 안에 저장돼 있던 사용자들의
방대한 데이터들 또한 상실되고 말았습니다. 과연 되찾을 방도는 없을까요?
싸이월드 사태 같은 일이 또 생기면 어쩌죠?
그런 경우 우리의 데이터는 누가 보호해주죠?

지난해 10월 11일, 갑자기 싸이월드 사이트가 닫혔습니다. 사전 공지 없는 접속 불가 상태였습니다. 도메인 만료에 따른 일시적 접속 불가였고, 이내 도메인 연장 조치가 이루어졌습니다. 나흘 만인 10월 15일 싸이월드 사이트는 다시 열렸죠. 운영진 측은 과학기술정보통신부에 서비스 종료 계획이 없다는 입장을 밝히기도 했습니다. 하지만 올해 5월, 국세청이 싸이월드의 사업자등록을 말소했습니다. 사유는 세금 체납. 사실상 싸이월드가 폐업한 것입니다.

 

미니홈피(싸이월드 내 사용자들의 개인 피드)에 저장돼 있던 사진, 다이어리 등 각종 게시물이 소멸될 위기에 직면했습니다. 즉, ‘추억’이 몽땅 날아가 버리게 된 것이죠. 현행법상 고객 개인정보를 보유한 기업이 파업할 경우, 모든 정보를 파기해야 합니다(정보통신망 이용 촉진 및 정보 보호 등에 관한 법률 제29조). 따라서 싸이월드 미니홈피 데이터들이 복구될 가능성은 매우 희박한 셈.

이런 배경에서 발의된 법안이 있으니, 이름하여 ‘싸이월드 추억 보호법’! 잘 들여다보면 유럽연합의 ‘일반 데이터 보호 규칙(General Data Protection Regulation, GDPR)’, 미국의 ‘캘리포니아 소비자 프라이버시법(California Consumer Privacy Act, CCPA)’과 맥락이 닿아 있다는 걸 알게 됩니다.

 

2018년 싸이월드 광고 / 출처: 싸이월드 공식 유튜브 채널

l 싸이월드 추억 보호법의 핵심, ‘이용자의 개인정보 전송 요구’

‘싸이월드 추억 보호법’으로 알려진 발의 법안의 정식 명칭은 ‘개인정보보호법 일부 개정 법률안’입니다. 말 그대로 기존의 개인정보보호법의 일부 조항을 수정하거나 새로운 조항을 신설한다는 뜻입니다. 그중에서도 신설이 예고된 조항 한 가지를 살펴볼 필요가 있습니다. 바로 ‘제39조의8 이용자의 개인정보 전송 요구’인데요. 사용자들이 아래와 같은 개인정보들을 대통령령에 따라 요구할 수 있고, 이 요구에 서비스 제공사들이 불응하면 법적 제재를 받게 된다는 것입니다.

 

---

해당 이용자와 정보통신 서비스 제공자 등 사이에서 처리된 이용자 본인에 관한 개인정보로서 다음 각 목의 어느 하나에 해당하는 개인정보일 것

가. 정보통신 서비스 제공자 등이 이용자로부터 수집한 개인정보
나. 정보통신 서비스 제공자 등이 이용자 외의 자로부터 제공받은 개인정보
다. 이용자와 정보통신 서비스 제공자 등 간의 권리·의무 관계에서 생성된 개인정보

* 개인정보보호법 일부 개정 법률안(허은아 의원 대표발의, 의안번호 2469) 내용 일부 / ‘국회입법예고’ 사이트에서 전문을 확인하실 수 있습니다. ▶ 보러 가기  

 

사이렌24 블로그 글을 유심히 보는 분들이라면, 싸이월드 추억 보호법 내용에서 EU의 GDPR(내용 보기)과 캘리포니아의 CCPA(내용 보기)를 어렵지 않게 떠올리셨을 듯합니다. GDPR과 CCPA는 세계에서 가장 강력한 개인정보호법이라 불리기도 하죠. 이 두 법의 핵심 또한 싸이월드 추억 보호법과 유사합니다. 바로 ‘정보 주권’, ‘개인정보 자기결정권’이죠.

이젠 추억이 돼버린 싸이월드 로고 / 출처: Namuwiki(이미지 클릭)

ㅣ GDPR과 CCPA, 정보 주체로서의 소비자를 정립시키다

싸이월드 추억 보호법이 소비자들의 ‘기억될 권리(right to be remembered)’를 보장한다면, GDPR은 소비자들의 ‘잊힐 권리(right to be forgotten)’를 규정하고 있습니다. ‘정보 주권’과 ‘개인정보 자기결정권’을 법제화했다는 점에서, 기억될 권리와 잊힐 권리의 맥락은 동일합니다.

---

GDPR 초안의 내용 중에서 국제적으로 큰 반향을 불러일으킨 사항이 제17조에 규정된 잊힐 권리이다. 이에 의하면, 정보 주체는 컨트롤러를 상대로 자신과 관련된 개인정보의 삭제권 및 확산 중지권(abstention from further dissemination)을 보유한다(제17조 제1항). 특히, 아동인 정보 주체의 개인정보에 대하여 그러한 권리가 보장되어야 한다. [중략] 이처럼 잊힐 권리가 인정되면 컨트롤러는 개인정보를 지체 없이(without delay) 삭제하여야 한다(제17조 제3항).

* 출처: 최경진(가천대학교 법과대학 교수), 「2016 Naver Privacy Whitepaper: 유럽 일반정보보호규정(EU GDPR)의 분석 및 시사점」, 네이버 프라이버시 센터 2016년 발행, 18쪽

결국, 나의 개인정보에 대하여 정보 주체로서 자기 결정권을 갖게 한다는 것이 핵심이죠. 기억될 권리든 잊힐 권리든, 그 행사 주체는 오로지 ‘나’라는 의미입니다. CCPA 또한 정보 주권 및 개인정보 자기 결정권에 관한 5가지 권리를 정해놓았는데요.

· 알 권리(right to know)
· 접근권(right to access)
· 삭제권(right to deletion)
· 거부권(right to opt out)
· 서비스 평등 권리(right to equal service)

소비자들은 자기 개인정보가 어떻게 쓰이는지 알 권리를 지니며, 해당 정보에 접근하거나 삭제를 요구하고 제3자에게 자기 정보가 판매되는 걸 거부할 수 있으며, 이 권리들을 행사했더라도 다른 소비자들과 차등 없는 서비스를 받아야 한다, 라는 내용이 CCPA 법안 내용의 핵심입니다.

 

GDPR과 CCPA 로고 / 출처: [위] GDPR.EU(https://gdpr.eu) / [아래] IT Jungle(https://bit.ly/3l8urTx)

싸이월드 추억 보호법은 아쉽지만 ‘싸이월드 추억’을 보호해주진 못합니다. 앞서 언급했듯, 현행법상 소비자 개인정보를 보유한 기업은 폐업 시 해당 정보들을 모두 파기해야 하기 때문이죠. 즉 싸이월드 추억 보호법은 제2의 싸이월드 사태를 막기 위해 등장한 법률안입니다. 앞으로 이 법안은 소비자들을 비롯한 여러 집단지성의 논의와 검토를 거치게 될 텐데요. 빅데이터 시대를 살아가는 우리 모두가 관심을 갖고 지속적으로 지켜봐야 할 이슈 아닐까요?