4차 산업혁명 시대에 맞춰 개인과 기업이 정보를 활용할 수 있는 폭을 넓히기 위해 2020년 1월 9일 국회에서 이른바 ‘데이터 3법’이 통과되었다. 이번 개정법에서 특히 주목할만한 부분은 ‘가명처리’를 통해 생성된 ‘가명정보’의 활용에 대한 법적 근거를 마련하였다는 점이다. 익명뿐만 아니라 가명처리를 통해 개인정보의 식별성을 낮춤으로써 개인정보의 활용을 막고 있는 규제의 완화를 도모하겠다는 것이 핵심이다. 이러한 입법적 조치는 우리나라에서 처음 시작된 것이 아니라 유럽연합(EU), 미국, 일본 등 국제적인 흐름에 보조를 맞춘 것이다.
<br>그러나 제3자에 의해 개인정보가 다양하게 활용될수록 그만큼 인격권이 침해될 위험은 커지게 된다. 그렇다고 하여 이제 와서 개인정보 보호만을 강조하거나 빅데이터 시대 이전의 상태로 되돌릴 수도 없다. 오히려 바람직한 빅데이터 활용을 도모하면서도 개인의 인격권 침해를 최소화하고 역기능을 억제하도록 법적으로 대응해 나가는 것이 필요하다. 이 점과 관련하여 민법학에서는 개인정보를 활용하는데 있어 어느 경우에 불법행위책임을 인정할 것인지 그 판단기준을 제시할 필요가 있다. 이러한 문제의식에서 이 연구에서는 EU의 GDPR(General Data Protection Regulation)과 미국 캘리포니아주의 CCPA(California Consumer Privacy Act)를 비교법적으로 검토하면서 익명처리나 가명처리 등으로 개인정보를 활용하여 다른 사람에게 침해가 발생할 경우에 있어서의 불법행위책임을 중심으로 한 민법상 과제에 대하여 논해 보았다.
<br>데이터 3법의 개정이 국제사회의 흐름에 맞춰 다양한 비식별정보를 폭넓게 이용할 수 있도록 하는 산업발전 측면에 무게를 두다 보니, 우리가 많이 참고한 GDPR에 비해 개인정보 침해에 대한 방어조치에 있어서는 미흡한 감이 있다. 향후 입법적 보완이 이루어질 것으로 기대되나, 현재로서도 익명처리 또는 가명처리를 하였더라도 그것이 재식별화되지 않도록 얼마나 최선을 다했는지에 따라 불법행위책임 유무가 달라질 수 있을 것으로 판단된다. 또한 재식별화 금지조치와 관련하여 중요한 것이 무분별한 온라인 행위추적을 규제하는 것인데, 현행법 하에서도 정보주체의 동의를 얻지 않은 행위추적이나 이미 이루어진 행위추적에 대해 거부했음에도 불구하고 계속되는 행위추적은 위법하다고 본다.
