이태원 희생자 명단공개…조명 받는 ‘정보보호법 17조와 18조’

최근 인터넷 매체의 이태원 참사 사망자 명단 공개가 '개인정보보호법'을 위반했는지를 둘러싸고 논쟁이 벌어지고 있다. 관계법령상 사망자의 정보는 원칙적으로 개인정보로 볼 수 없다. 다만 사망자와 유족간 관계를 명확히 알 수 있는 경우 유족의 개인정보에 해당돼 위법 소지가 다분하다는 해석도 나와 법조계 내에서도 대립 분위기가 팽팽하다.

17일 경찰에 따르면 서울경찰청은 이태원 참사 사망자 명단을 공개한 온라인 매체 '민들레'와 시민언론을 표방한 '더탐사'에 대한 고발 사건을 반부패·공공범죄수사대에 배당했다. 이는 이종배 국민의힘 서울시 의원이 지난 15일 민들레 등을 개인정보보호법 위반 혐의로 고발한데 따른 조치다.

이종배 의원은 "개인정보보호법 제17조 및 제18조를 위반했다"며 "유족 동의 없이 희생자의 실명을 공개한 것은 극악무도한 인격살인이자 명백한 2차 가해"라고 규탄했다.

앞서 민들레는 지난 14일 홈페이지에 '이태원 참사 희생자 명단 공개합니다'는 제목의 게시물을 올리고 지난달 29일 발생한 이태원 참사 사망자 실명을 공개했다.

민들레는 "명백한 인재이자 행정 참사인데도 사고 직후부터 끊임없이 책임을 회피하며 책임을 논하는 자체를 금기시했던 정부 및 집권여당의 태도와 무관치 않다"며 "희생자들의 실존을 느낄 수 있게 해주는 최소한의 이름만이라도 공개하는 것이 진정한 애도와 책임 규명에 기여하는 길"이라는 주장을 폈다.

희생자 명단 공개, 개인정보보호법 위반 여부는?

개인정보보호법은 개인 정보의 처리와 보호에 관한 사항을 다루고 있다. 이법 제17조는 개인정보의 제공이 가능한 경우를 설명하고 있으며, 제18조는 개인정보의 목적 외 이용·제공이 제한되는 경우를 풀이하고 있다.

제18조 제1항에서는 개인정보처리자는 개인정보를 동법 제15조제1항 및 제39조의3 제1항, 제2항에 따른 범위를 초과하여 이용하거나, 동법 제17조 제1항, 제3항에 따른 범위를 초과하여 제3자에게 제공해서는 안 된다고 규정한다. 동법 제2항에서는 다른 법률에 특별한 규정이 있는 등 일정한 경우에는 개인정보를 목적 외의 용도로 이용하거나, 제3자에게 제공할 수 있다고 규정하고 있다.

제17조와 제18조에 해당하는 개인정보 공개 위법 여부를 따지려면 먼저 개인정보가 무엇인지를 다루는 제2조를 주목할 필요가 있다. 개인정보보호법 제2조 제1항은 개인정보를 '살아 있는 개인'에 관한 정보라고 설명하고 있다. 즉 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보이더라도 사망자이면 개인 정보에 해당되지 않는다는 이야기다.

명단 공개가 가능하다는 쪽에서는 이를 근거로 "사망자는 개인정보보호법 대상이 아니므로 문제가 되지 않는다. 이태원 참사 희생자 명단 공개는 위법이 아니다"라는 논리를 내세우고 있다. 익명을 요구한 한 대학의 교수는 "개인정보보호법상 대상은 살아있는 자로 한정해놨기 때문에 사망자의 정보를 공개한 사안에 대해서는 형사적 책임을 묻기는 어렵다고 보여진다"고 판단했다.

그런데 개인정보보호위원회가 2020년 10월 발간한 '개인정보 보호법령 및 지침·고시 해설'을 주목해볼 필요가 있다.

이 해설서는 '개인정보 보호 법령상 개인정보는 살아 있는 자연인에 관한 정보이므로 사망했거나 실종선고 등 관계 법령에 의해 사망한 것으로 간주되는 자에 관한 정보는 개인정보로 볼 수 없다고 설명하고 있다. 다만 사망자의 정보라고 하더라도 유족과의 관계를 알 수 있는 정보는 유족의 개인정보에 해당한다'고 설명하고 있다.

해설서의 법리 적용에 따르면 이번 이태원 참사 사망자의 경우 유가족과의 관계가 명확히 알려져있기 때문에 유가족의 동의 없이 명단을 공개한 행위는 위법 사례가 된다. 이종배 의원은 "한마디로 유가족과의 관계가 명백할 경우 사망한 자녀 명단은 부모의 신상이 된다"고 설명했다.

개인정보보호법 유권해석 내릴 기관들 '손놓고 있어'

이태원 희생자 명단공개를 둘러싼 개인정보보호법 적용 여부에 대한 의견이 엇갈린 가운데 관련 기관이 유권해석을 명확히 내려야 한다는 지적이 나오고 있다. 개인정보보호위원회, 과학기술정보통신부, 금융위원회 등이 개인정보보호법과 연관된 기관들이지만 사안이 있을 때마다 책임을 떠넘기며 회피 논란이 일고 있다.

2020년 8월 국무총리 산하 중앙행정기관으로 새롭게 출범한 개인정보보호위는 사실상'반쪽짜리 컨트롤타워'라는 오명을 받고 있다.

방송통신위원회와 행정안전부에서 맡던 개인정보 보호 업무를 통합해 정부 부처로 승격했는데 이 과정에서 금융위, 과기정통부 등은 포함되지 않았다. 금융위가 신용정보법을 개정할 때나 과기정통부가 데이터기본법을 추진할 때 개인정보위의 패싱 논란이 제기됐다.

그러나 과기정통부와 금융위가 개인정보보호법의 소관 부처가 아닐 뿐 개인정보와 무관한 부처는 아니라는 지적이다. 과기정통부 제2차관 산하 네트워크정책실에는 정보보호기획과, 정보보호산업과, 사이버침해대응과 등이 개설돼있다. 금융위는 개인정보와 불과분의 관계인 신용정보법의 소관부처다.

이종배 의원은 "개인정보보호위, 과기정통부, 금융위 등 개인정보보호법과 연관된 기관들이 이번 이태원 희생자 명단공개 사태에 대한 정확한 유권해석을 내려야 할 필요가 있다"며 "국민 생명과 직결됐으나 법리적으로 애매한 부분의 판단을 위해 공신력 있는 국가기관이 나서줘야 할 일"이라고 촉구했다.