문재인 정부의 개인정보 규제완화 비판 기자회견
2018년 11월 21일(수) 오전 11시, 국회 정문 앞
지난 11월 15일, 개인정보 규제를 완화하려는 개인정보보호법 개정 정부안이 더불어민주당 인재근 의원안으로 대표 발의되어, 정보인권/시민사회단체는 이 개정 법률안의 문제점을 지적하고 비판하는 기자회견을 아래와 같이 진행했다.
<기자회견 순서>
사 회
윤철한 경실련 소비자정의센터 국장
법안평가
박준우 함께하는시민행동 사무처장 – 개인정보 정의 축소
오병일 진보네트워크센터 활동가 - 가명정보 활용범위 문제
서채완 민변 디지털정보위원회 변호사 – 개인정보 감독기구 한계
발 언
윤명 소비자시민모임 사무총장 – 소비자 권리 침해
김준현 건강세상네트워크 대표 – 개인 의료정보 권리 침해
기자회견문 낭독
정지연 한국소비자연맹 사무총장, 한석현 서울YMCA 팀장
<기자회견문>
개인정보 판매와 공유를 허용하는
개인정보보호법 반대한다.
지난 11월 15일, 개인정보보호법 개정안에 대한 정부안이 더불어민주당 인재근 의원안으로 대표 발의되었다. 우선 정부가 공청회와 같은 정당한 의견수렴 과정도 없이 의원입법 형식으로 법안을 발의하는 것이 옳은 것인지 의문이다. 더 나아가 정부안은 그동안 시민사회가 지적해왔던 문제들을 그대로 포함하고 있다.
정부안은 빅데이터 활성화를 명분으로 기업 간 고객정보의 무분별한 판매와 공유를 허용하는 법안으로서 심각한 개인정보 침해가 우려된다. 또한, 행정안전부와 방송통신위원회의 권한을 개인정보보호위원회로 이관했다고 하지만, 개인정보보호위원회의 독립성은 매우 제한적이며 자칫 개인정보 활용을 위한 알리바이 기구가 될 위험성을 포함하고 있다.
우리는 개인정보보호법 개정안에 대해 심각한 우려를 표하며, 국회에서 아래와 같이 독소 조항이 수정되지 않는다면 개인정보보호법 통과에 반대하지 않을 수 없다.
첫째, 정부안은 개인정보의 정의를 변경하여 개인정보의 범위를 심각하게 축소하고 있다. 휴대전화의 IMEI 번호나 IP 주소와 같이 개인정보처리자가 직접적인 개인 식별이 힘들다고 할지라도 제3자가 개인식별이 가능한 결합정보를 가지고 있다면 개인정보로 보는 것이 세계적인 추세임에도, 정부안은 개인정보처리자가 개인을 식별할 수 없으면 개인정보가 아닌 것으로 보고 있다. 이렇게 되면, 수많은 개인정보가 개인정보보호법 적용에서 배제될 수밖에 없다.
둘째, 정부안은 ‘새로운 기술․제품․서비스의 개발’까지 과학적 연구 범위로 간주하고 있으며, 서로 다른 기업의 고객정보를 공공기관이 결합한 후에 결합된 고객정보를 반출할 수 있도록 하고 있다. 기업들이 자신의 개인정보를 무상으로 다른 기업에 제공할 이유가 없다고 한다면, 이는 기업들의 고객정보 판매와 서로 다른 기업 간의 고객정보 공유를 허용하는 것에 다름없다. 예를 들어, 현재 다국적 기업 IMS 헬스는 빅데이터 분석을 목적으로 우리 국민의 처방전 정보를 구매하여 기소를 당한 바 있는데, 정부안은 이러한 개인정보 판매를 합법화시킬 우려가 있다.
셋째, 정부안은 개인정보보호위원회를 중앙행정기관으로 격상하고 기존의 행정안전부와 방통위의 권한을 이관하고 있지만, 개인신용정보 활용에 앞장서고 있는 금융위원회의 권한은 그대로 놔두고 있다. 또한, 개인정보보호위원회의 전체 업무에 대한 독립성을 보장하고 있지 않은 것은 산업 활성화를 명분으로 언제든지 개인정보보호위원회의 정책 방향을 통제하겠다는 의도이다. 나아가 개인정보보호위원회의 조직 및 업무와 관련해 현행보다 후퇴한 내용까지 포함하고 있어, 자칫 개인정보보호위원회가 정부에 대한 감독이 아니라 개인정보 활용을 위한 알리바이 기구가 될 위험성을 포함하고 있다.
넷째, 정부안은 개인정보의 활용에만 초점을 맞추고 있고, 정보주체의 권리와 개인정보처리자의 책임성을 강화하는 조항은 미약하여 전체적인 균형을 상실하고 있다. 예를 들어, 프로파일링에 대한 정보주체의 권리, 개인정보 중심 설계 및 기본 설정(Privacy by Design, Privacy by Default), 개인정보 영향평가의 확대 등 중요한 내용이 배제되어 있다. 정보주체의 권리 및 개인정보처리자의 책임성 강화가 뒷받침되지 않는다면, 개인정보의 활용 과정에서 정보주체에 미치는 부정적 영향은 더욱 커질 것이다.
정부는 유럽의 개인정보보호규정(GDPR)을 참조하여 그에 부합하는 방향으로 제정하겠다고 하지만, 현재 발의된 정부안은 GDPR에 훨씬 미흡한 수준이다. 이는 현재 정부가 추진하고 있는 EU 개인정보 적정성 평가에도 부정적인 영향을 미칠 수밖에 없다.
정부가 4차 산업혁명 시대에 맞는 개인정보보호 체계 개선을 진정으로 원한다면, 시민과 소비자의 신뢰를 얻을 수 있는 법안을 만들어야 한다. 그러나 현재 정부안은 기업들의 고객정보 활용을 지원하는데 급급한 것으로 밖에 보이지 않는다. 정부와 국회는 기업들의 고객정보 판매와 공유를 허용하자는 입장인지 명확히 밝혀라.
무분별한 개인정보의 판매와 공유에 반대한다!
개인정보보호위원회의 완전한 독립성을 보장하라!
금융위원회의 개인신용정보 감독권한도 이관하라!
정보주체의 권리와 개인정보처리자의 책임성을 강화하라!
2018년 11월 21일
건강과 대안·경제정의실천시민연합·무상의료운동본부
민변 디지털정보위원회·서울YMCA·소비자시민모임·의료연대본부
진보네트워크센터·참여연대·한국소비자연맹·함께하는시민행동
개인정보보호법 개정안(인재근 의원 대표발의)에 대한 의견
1. 지나치게 협소한 개인정보 개념
개인정보보호법 개정안(인재근의원 대표발의)
제2조 (정의)
1. "개인정보"란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.
가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보(이 경우, 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다)
제58조의2(적용제외) 이 법은 시간·비용·기술 등 개인정보처리자가 활용할 수 있는 모든 수단을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보에는 적용하지 아니한다.
○ 정부안은 개인정보의 범위를 유럽 개인정보보호규정(GDPR) 보다 협소하게 규정하고 있음. 이에 따라 개인정보인 것이 ‘개인정보가 아닌 것’으로 간주하여 개인정보보호법의 적용을 받지 않게 됨.
○ GDPR의 경우에는 개인정보처리자 뿐만 아니라 제3자에 의해서도 식별 가능한 것은 개인정보로 규정하고 있음. 또한, 처리 시점에 이용 가능한 기술과 기술발전 역시 고려하도록 하고 있음.
GDPR recital 26
Personal data which have undergone pseudonymisation, which could be attributed to a natural person by the use of additional information should be considered to be information on an identifiable natural person. To determine whether a natural person is identifiable, account should be taken of all the means reasonably likely to be used, such as singling out, either by the controller or by another person to identify the natural person directly or indirectly. To ascertain whether means are reasonably likely to be used to identify the natural person, account should be taken of all objective factors, such as the costs of and the mount of time required for identification, taking into consideration the available technology at the time of the processing and technological developments.
가명화를 거친 개인정보는, 추가 정보를 사용하여 해당 자연인을 확인할 수 있는 경우
식별 가능한 자연인에 관한 정보로 간주되어야 한다. 자연인이 식별 가능한지 아닌지를 판단하기 위해서는, 자연인을 직간접적으로 식별하기 위해 정보처리자나 다른 사람에 의해 사용될 합리적 가능성이 있는, 개인 특정(single out) 등 모든 수단을 고려해야 한다. 어떤 수단이 자연인을 식별하기 위해 사용될 합리적 가능성이 있는지 확인하기 위해서는, 처리 시점에 이용 가능한 기술과 기술발전을 감안하여 식별에 필요한 비용과 시간 등 모든 객관적 요소를 고려해야 한다.
○ 반면, 정부안은 입수 가능성 등 개인정보처리자의 관점에서 고려할 수 있는 수단만을 언급하고 있음. 또한, 고려해야 할 요소로 기술발전이 아닌 단지 ‘기술’만을 언급하고 있음.
○ 정부안과 같이 규정할 경우, 휴대전화 IMEI 번호나 IP 주소 등은 개인정보가 아닌 것으로 간주할 위험성이 있음. 그러나 유럽사법재판소는 개인정보처리자가 결합정보를 보유하고 있는 것이 아니라고 할지라도 개인정보라고 판결하며, 유동 IP 주소도 개인정보로 인정하였음.
○ 정부안은 “개인정보처리자 혹은 제3자가 개인을 식별하기 위해 소요되는 비용, 시간, 처리 당시 가용한 기술과 기술적 발전 등 합리적으로 예상되는 모든 수단을 고려하여 판단”하는 것으로 수정되어야 함.
2. 가명처리된 개인정보의 상업적 목적의 판매 우려
개인정보보호법 개정안(인재근의원 대표발의)
제2조(정의)
8. “과학적 연구”란 기술의 개발과 실증, 기초연구, 응용연구 및 민간 투자 연구 등 과학적 방법을 적용하는 연구를 말한다.
제28조의2(가명정보의 처리 등) ① 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다.
② 개인정보처리자는 제1항에 따라 가명정보를 제3자에게 제공하는 경우에는 특정 개인을 알아보기 위하여 사용될 수 있는 정보를 포함하여서는 아니 된다.
제28조의3(정보집합물의 결합) ① 제28조의2에도 불구하고 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 개인정보처리자간 정보집합물의 결합은 대통령령으로 정하는 기준에 따라 보안시설을 갖춘 전문기관이 수행한다.
② 결합을 수행한 기관 외부로 결합된 정보집합물을 반출하려는 개인정보처리자는 제2조제1호다목 또는 제58조의2에 해당하는 정보로 처리한 뒤 전문기관의 장의 승인을 받아야 한다.
○ 정부안은 제안이유에서 “새로운 기술․제품․서비스의 개발 등 산업적 목적을 포함하는 과학적 연구, 시장조사 등 상업적 목적의 통계작성, 공익적 기록보존 등의 목적으로도 가명정보를 이용할 수 있도록” 하겠다고 밝히고 있음. 이는 유럽연합의 GDPR보다 훨씬 폭넓게 가명정보의 이용을 허용하는 것일 뿐 아니라, 기업들에게 고객정보를 판매하고 공유할 수 있도록 하는 것에 다름 아님.
○ 제2조의 8은 GDPR의 서문(recital)의 문구 일부만 가져온 것임. GDPR은 통계 및 과학적 연구를 위한 처리의 경우 ‘유럽연합의 기능에 대한 조약(TFEU)’ 179(1)에서 규정한 유럽연합의 목적을 고려하도록 하고 있는데(GDPR recital 159), TFEU 179(1)은 다음과 같이 규정하고 있음. 이에 따르면, 연구자, 과학적(학술적) 지식 및 기술이 자유롭게 유통되는 유럽 연구 영역의 달성에 의해 과학적, 기술적 기반의 강화를 목적으로 하고 있음. 즉, 과학적(학술) 연구는 기업 내부적인 목적이 아니라, 해당 연구 영역에서 자유롭게 유통될 수 있는 지식을 의미하는 것으로 보아야 함.
GDPR recital
1. The Union shall have the objective of strengthening its scientific and technological bases by achieving a European research area in which researchers, scientific knowledge and technology circulate freely, and encouraging it to become more competitive, including in its industry, while promoting all the research activities deemed necessary by virtue of other Chapters of the Treaties.
1. 유럽연합은 조약의 다른 장의 규정에 따라 필요한 모든 과학적 행위를 증진하면서, 연구자, 과학적 지식 및 기술이 자유롭게 유통되는 유럽 연구 영역의 달성을 통해 과학적, 기술적 기반의 강화하고, 그것이 보다 (관련 산업을 포함하여) 경쟁적이 될 수 있도록 촉진하는 것을 목적으로 해야 한다.
○ 또한, GDPR은 가명처리를 하면 과학적 연구나 통계 목적으로 무조건 이용할 수 있는 것이 아니라, 개인정보처리자의 정당한 이익이 정보주체의 기본권 침해보다 클 경우에 한정하며, 과학적 연구 목적으로 제공할 경우에도 ‘데이터 최소화’ 등의 원칙을 지키도록 하고 있는데 정부안에는 다른 기업에 가명처리된 개인정보가 제공될 경우 이러한 원칙들이 준수되는지 감독할 수 있는 메커니즘이 없음.
■ GDPR 89조의 안전조치는 비단 가명처리 및 보안 조치뿐만 아니라, 제공 목적의 적절성, 가명처리의 적절성, 제공되는 개인정보의 범위 등을 판단할 조직적 조치를 포함하는 것으로 보아야 함.
■ 해외에서는 주로 공공기관의 개인정보가 가명처리 등 안전조치를 전제로 연구자에게 제공되고 있는데, 이 경우에도 해당 연구가 과학적(학술적) 가치가 있는지, 제공되는 정보는 연구에 필요한 최소한의 정보인지 등을 평가하고 있는데, 국내에서는 그러한 메커니즘이 존재하지 않음. 이러한 상황에서 학술 연구를 넘어 다른 기업에게 가명처리된 개인정보를 제공하는 것은 개인정보의 판매와 공유를 부추기는 것에 다름 아님.
○ 학술 연구 및 통계 목적의 범위가 넓고 안전장치에 관한 규정 역시 미흡한 상황에서 민간 기업의 데이터 결합마저 허용한다면 개인정보 자기결정권에 미치는 위협이 더욱 커짐. 정부는 GDPR에서도 데이터 결합을 허용하고 있다고 주장하지만, 유럽에서는 연구자에게 공공 데이터를 엄격한 조건 하에 제한적으로 접근할 수 있도록 할 뿐이며, 정부안처럼 공공기관이 민간 기업의 고객정보를 결합해주고, 심지어 결합된 고객정보의 반출까지 허용하는 경우는 없음. (정부 역시 구체적인 사례를 들지 못하고 있음) 해외에서는 서로 다른 공공기관의 개인정보를 연구자에게 제공할 경우에도, A기관, B기관, 연계기관이 다른 기관의 개인정보에 접근할 수 없도록 엄격히 제한하고 있음. (분리의 원칙)
○ 누군가 자신의 행위를 ‘연구’라고 지칭한다고 무조건 허용하는 것이 아니라, 과학적 방법을 사용하고 과학적 가치가 있는 것이어야 함. 예를 들어, 연구 결과물의 공개 등을 통한 과학적, 기술적 기반 확대라는 사회적인 기여가 인정되어야 할 것임. 학술 연구나 통계작성을 위해 일정하게 정보주체의 권리를 제약하는 것은 그에 상응하는 사회적인 가치와 기여가 있기 때문임. 반면, 순전히 사적인 이익을 위한 개인정보 활용을 위해 정보주체의 권리가 왜 제약되어야 하는지 이해하기 어려움.
개인정보보호법 개정안(인재근의원 대표발의)
제15조
③ 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위 내에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령이 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용할 수 있다.
제17조
④ 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위 내에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령이 정하는 바에 따라 정보주체의 동의 없이 개인정보를 제공할 수 있다.
○ 합리적 범위 내에서 개인정보의 목적 외 처리를 허용하는 제15조, 제17조 역시 GDPR의 규정보다 폭이 넓음. GDPR은 제6조 4호에서 수집 목적과 양립 가능한 경우 추가적인 처리를 허용하고 있으나, (a) 수집 목적과 의도된 추가처리 목적 간의 연관성 (b) 특히 개인정보주체와 개인정보처리자 간의 관계와 관련해서 등의 개인정보가 수집된 상황 (c) 특히 제9조에 따른 특정 범주의 개인정보가 처리되는지 여부 또는 제10조에 따른 범죄경력 및 범죄행위와 관련한 개인정보가 처리되는지 여부 등 개인정보의 성격 (d) 의도된 추가처리가 개인정보주체에 초래할 수 있는 결과 (e) 암호처리나 가명처리 등 적절한 안전조치의 존재 등 여러 요소를 고려하도록 되어 있음. 그러나 정부안은 이보다 추가 처리 시 고려해야 할 요소가 제한적임. 기업들이 자의적으로 목적 외 활용 범위를 확대하지 않도록 엄격히 규정할 필요가 있으며, 이러한 고려 요소들을 시행령에 위임할 것이 아니라 법에서 명확히 규정할 필요가 있음.
○ 정부안은 기업 간 개인정보의 판매와 공유를 활성화시킬 것이 우려됨.
■ 기업 A가 기업 B의 시장분석이나 소비자 기호 분석 목적으로 기업 B에게 가명처리된 개인정보를 <과학적 연구>라는 목적으로 판매(공유)할 수 있도록 한다면, 이는 개인정보가 기업 간에 무한대로 공유되는 상황을 초래할 것임.
■ 한 기업이 ‘과학적 연구 및 통계’ 목적이라는 명분으로 자신의 고객정보를 가명처리하여 무상으로 다른 기업에 제공할 것으로 기대하기 힘듦. 즉, 고객정보를 (금전, 혹은 비금전적 방법으로) 다른 기업에 판매할 가능성이 큼.
■ 행정안전부는 고객정보의 판매를 금지한다고 하지만, 이를 규제하기 위한 법적 근거가 없음. (개인정보보호법에서는 유상, 무상 여부를 규제하고 있지 않음)
■ 이에 더해 공공기관이 기업 간 고객정보를 결합하여 반출할 수 있도록 한다면, 통신, 포털, 금융, 의료 기업 간 고객정보 공유를 허용하겠다는 것임.
3. 개인정보 감독기구의 독립성과 권한 제한적
개인정보보호법 개정안(인재근의원 대표발의)
제7조(개인정보보호위원회) ① 개인정보 보호에 관한 사무를 독립적으로 수행하기 위하여 국무총리 소속으로 개인정보 보호위원회(이하 “보호위원회”라 한다)를 둔다.
② 보호위원회는 「정부조직법」 제2조에 따른 중앙행정기관으로 본다. 다만, 다음 각 호의 사항에 대하여는 「정부조직법」 제18조를 적용하지 아니한다.
1. 제7조의8제1항에서 정하는 소관사무 중 제3호 및 제4호의 사무
2. 보호위원회의 심의·의결 사항 중 제1호에 해당하는 사항
○ 정부안에서 기존에 행정안전부와 방송통신위원회가 보유하고 있던 개인정보 감독 권한을 개인정보보호위원회로 이관하고, 개인정보보호위원회를 중앙행정기관으로 격상하여 재정 및 인사권의 독립성을 부여한 것은 환영함.
○ 그러나 이번 조직 개편에서 개인신용정보의 감독을 맡은 금융위원회의 권한은 개인정보보호위원회로 이관되지 않았으며, 위치 정보에 대해서는 여전히 방송통신위원회의 권한을 인정하고 있어 여전히 감독기구의 분산에 따른 문제점을 가지고 있음. 특히 금융위원회의 경우에는 개인신용정보의 활용을 앞장서서 추진하고 있는 기관으로서 개인정보 감독기구의 역할을 제대로 수행할 수 있을지 우려됨. 신용정보법도 개정하여 금융위원회의 개인정보 감독 권한을 개인정보보호위원회로 이관해야 함.
○ 개인정보보호위원회의 독립성도 제한적임. 정부안 제7조 2항은 일부 권한에 대해서만 국무총리의 지휘, 감독권을 배제하고 있으며, 개인정보의 보호와 관련된 법령의 개선, 정책·제도·계획 수립·집행 등 다른 업무는 국무총리가 행정감독권을 행사할 수 있도록 하고 있음. 이는 개인정보보호위원회의 독립성에 대한 중대한 침해이며, 기본 정책 방향에 대해서 정부의 기조에 따라 통제하겠다는 것이나 다름없음.
○ 이는 개인정보 감독기구에 대한 국제적인 규범과 배치됨. GDPR은 “각 감독기관은 본 규정에 따른 업무를 수행하고 권한을 행사할 때 완전히 독립적으로” 활동할 것을 보장받고 있으며(GDPR 52조 1항), 유럽사법재판소 역시 완전한 독립성을 강조해왔음.
유럽사법재판소 2010년 판결(Commission v. Germany 판결, C-518/07)
개인정보보호기관은 그 활동이 객관적이고 불편부당하게 이루어지기 위한 전제조건으로 ‘정부’(government)로부터 분리되어야 한다. 왜냐하면 ‘정부’는 그 자신이 ‘한 쪽의 이해당사자’(itself be an interested party)가 될 수 있고, 정부 자신의 다른 기능들(특히, 과세 혹은 법집행)을 수행하기 위한 목적에서 개인정보보호법을 무시할 수 있기 때문이다.
유럽사법재판소 2012년 판결(Commission v. Austria 판결, C-614/10)
오스트리아 DSK는 다음의 세 가지 점에서 '완전한 독립성' 부족
① DSK의 상임위원은 반드시 연방수상청 소속의 공무원이 되어야 하는 것은 아니지만, 그러나 계속 그러하여 왔고, 그리하여 위원회의 업무는 사실상 연방공무원에 의하여 관리되어 왔으며, 그는 그의 임명권자가 내린 지시에 구속을 받고 감독을 받는다. DSK의 상임위원과 연방수상청이 업무상 서로 연결되어 있다는 사실은 DSK의 독립성에 영향을 미치고 있다. 상임위원의 임명이 DSK의 자율적 결정에 의존한다는 사실만으로는 DSK의 독립성을 보장해주지 못한다.
② DSK의 사무국은 연방수상청의 부서들과 조직상 통합되어 있다. 그리고 DSK의 모든 직원들은 연방수상청의 권한 하에 있으며 그 감독을 받고 있다. DSK의 직원들이 연방수상청의 감독을 받고 있는 이상, 독립성의 요건을 충족하지 못한다.
③ 연방수상은 DSK의 업무 전체에 대해 보고를 받을 권한을 가지고 있다. 이것은 DSK가 편파성의 의심 없이 자율적으로 기능을 수행하는 것을 방해한다.
○ 또한, 현재 개인정보보호위원회는 대통령 소속이고, 현재 국회에 계류되어 있는 다른 개인정보보호법 개정안들도 대통령 소속으로 하고 있음. 정부안에서 이를 국무총리 소속으로 격하시킨 것은 개인정보 보호정책의 방향을 정부가 통제하겠다는 의도임. 개인정보보호위원회는 높은 독립성이 필요한 만큼, 현재와 마찬가지로 대통령 소속을 유지하고 제7조 2항을 개인정보보호위원회의 업무 전체에 대해 「정부조직법」 제18조를 적용하지 않는 것으로 하거나, 국가인권위원회와 같이 독립기구화 해야 함.
개인정보보호법 개정안(인재근의원 대표발의)
제7조의2(보호위원회의 구성 등) ① 보호위원회는 상임위원 2명(위원장 1명, 부위원장 1명)을 포함한 7명의 위원으로 구성한다.
② 보호위원회의 위원은 개인정보 보호에 관한 경력과 전문지식이 풍부한 다음 각 호의 사람 중에서, 위원장과 부위원장은 국무총리의 제청으로 대통령이 임명하고 그 외 위원은 위원장의 제청으로 대통령이 임명 또는 위촉한다.
1. 개인정보 보호 업무를 담당하는 3급 이상 공무원(고위공무원단에 속하는 공무원을 포함한다)의 직에 있거나 있었던 사람
2. 판사·검사‧변호사의 직에 10년 이상 있거나 있었던 사람
3. 공공기관 또는 단체(개인정보처리자로 구성된 단체를 포함한다)에 3년 이상 임원으로 재직하였거나 이들 기관 또는 단체로부터 추천받은 사람으로서 개인정보 보호 업무를 담당하였던 사람
4. 개인정보 관련 분야에 전문지식이 있고 「고등교육법」 제2조제1호에 따른 학교에서 부교수 이상으로 5년 이상 재직하고 있거나 재직하였던 사람
○ 개인정보보호위원회의 구성에 있어서도 현행보다 후퇴함. 현행 개인정보보호법 제7조는 개인정보보호위원회 위원으로 위촉할 수 있는 대상으로 ‘1. 개인정보 보호와 관련된 시민사회단체 또는 소비자단체로부터 추천을 받은 사람’을 포함하고 있으나, 이 조항이 삭제됨. 반면, ‘개인정보 보호 업무를 담당하는 3급 이상 공무원(고위공무원단에 속하는 공무원을 포함한다)의 직에 있거나 있었던 사람’이 추가되었음. 이는 시민, 소비자단체를 배제하고 현직 공무원이나 공공기관의 임원을 중심으로 위원을 구성하겠다는 것은 아닌지 우려됨. 또한, 정부안은 모든 상임, 비상임 위원을 대통령이 임명하도록 함으로써 독임제적 성격을 강화할 우려가 있음.
○ 현직 공무원을 위원으로 두는 것은 개인정보보호위원회의 독립성 훼손 우려가 있음. 인권위, 공정위 모두 현직 공무원을 위원으로 두고 있지 않으며, 방통위는 규정이 있으나(3호) 현직 공무원이 위원으로 임명되지는 않음. 현직 공무원은 ‘직간접적인 외부 영향으로부터 자유로워야 하고 누구에게서든 지시를 구하거나 지시를 받지 않아야 한다’라는 GDPR 규정에 위배됨. ‘공공기관’에 3년 이상 임원으로 재직하였거나 이들 기관으로부터 추천받은 사람으로서 개인정보 보호 업무를 담당하였던 사람(3호)을 위원으로 두기로 한 것도 그 취지가 모호하며 다른 위원회의 유사 사례가 없음. 개인정보보호위원회는 ‘정보주체인 국민의 개인정보에 대한 권리’를 보호하기 위해 설립되는 기관이라는 소임(mandate)에 충실해야 하며, 상부 기관뿐만 아니라 피규제기관(개인정보처리자)으로부터의 독립성을 유지해야 함.
○ 현행 규정(시민사회단체 또는 소비자단체로부터 추천을 받은 사람)을 유지하고, 오히려 현직 공무원과 공공기관을 배제할 필요가 있음. 그리고 국회 추천을 통해 위원 구성을 다양화하여 합의제 위원회의 특성을 살리는 것이 바람직함.
○ 위원회 소관사무(제7조의8)는 위원장에 위임하여 사무처가 독임제적으로 수행하는 사무를 의미함. 이를 심의·의결사항(제7조의9)과 나누어 규정하는 것은 이 안에 따른 개인정보보호위원회가 합의제 위원회보다 독임제 행정부처 성격이 강해진다는 것을 의미함. 위원회 소관사무와 심의·의결사항을 직무별로 명확히 구분한 방통위와 비교해 보았을 때, 정부안은 위원회 소관사무가 상당히 포괄적으로 규정되어 있으며 심의·의결사항과 중복되면서 우선순위가 분명치 않음. 독임제 사무에 대해서도 합의제 위원회 심의·의결사항에 포함하는 것이 바람직함. 특히 조사 및 처분(3호)에 관한 사항은 합의제 위원회 심의·의결사항에 포함할 필요가 있음. 국제기구 및 외국기구와 교류·협력(5호)의 경우 GDPR 적정성 평가와 관련 있는 사항으로 역시 위원회 심의·의결 대상에 포함하는 것이 바람직함.
○ 위원장 이하 사무처가 독임제적으로 수행할 사무를 규정하더라도 이를 구체적으로 규정하고 원칙적으로 더 높은 수준의 의사결정은 합의제 위원회 심의·의결을 통해 이루어지도록 규정하는 것이 바람직함.
개인정보보호법 개정안(인재근의원 대표발의)
제7조의11(위원의 제척·기피·회피) ① 위원은 다음 각 호의 어느 하나에 해당하는 경우에는 심의·의결에서 제척된다.
1. 위원 또는 그 배우자나 배우자였던 자가 해당 사안의 당사자가 되거나 그 사건에 관하여 공동의 권리자 또는 의무자의 관계에 있는 경우
2. 위원이 해당 사안의 당사자와 친족이거나 친족이었던 경우
3. 위원이 해당 사안에 관하여 증언, 감정, 법률자문을 한 경우
4. 위원이 해당 사안에 관하여 당사자의 대리인으로서 관여하거나 관여하였던 경우
제7조의12(소위원회)
① 보호위원회는 효율적인 업무 수행을 위하여 개인정보 침해 정도가 경미하거나 유사‧반복되는 사항 등을 심의‧의결할 소위원회를 둘 수 있다.
③ 소위원회가 제1항에 따라 심의‧의결한 것은 보호위원회가 심의·의결한 것으로 본다.
○ 위원의 제척·기피와 관련해서도 현행보다 후퇴하였음. 현행 개인정보보호법 시행령은 ‘1. 위원 또는 위원의 배우자, 4촌 이내의 혈족, 2촌 이내의 인척인 사람이나 그 사람이 속한 기관·단체와 이해관계가 있는 사항’에 대한 심의·의결에 참여하지 못하도록 하고 있으나, 정부안은 1. 위원 또는 그 배우자나 배우자였던 자가 해당 사안의 당사자가 되거나 그 사건에 관하여 공동의 권리자 또는 의무자의 관계에 있는 경우, 4. 위원이 해당 사안에 관하여 당사자의 대리인으로서 관여하거나 관여하였던 경우 등으로 축소하였다. 이렇게 되면 법률가와 개인정보처리자 비중이 높은 위원회 구성에서 소속 기관 및 법인의 이해관계 충돌로부터 회피할 수 있는 장치가 없게 됨. 따라서 현행 시행령 규정(위원이나 위원이 속한 공공기관·법인 또는 단체 등이 조언 등 지원을 하고 있는 자와 이해관계가 있는 사항)을 유지할 필요가 있음.
○ 소위원회의 구성 및 권한과 관련하여, 의결절차의 간이성을 꾀하더라도 개정안처럼 모호한 규정(정도가 경미하거나 유사·반복되는 사항)으로 전체위원회 의결을 완전히 생략하는 경우는 찾아볼 수 없음. ‘정도가 경미하거나 유사·반복되는 사항’은 그 기준이 모호하여 상임위원 중심 소위원회 운영의 독단과 전횡이 우려됨. 다른 위원회의 경우 유사조항을 두더라도 소위원회와 전체회의 의결사항을 명확히 구분하고 있음. 또한, 사안의 중대성에 따라 전체회의에 부의할 사항을 명시함. 소위원회 자동의결 규정은 삭제하거나 전체회의로부터 위임받아 의결하는 것으로 명확히 규정하는 것이 바람직함.
4. 개인정보주체 권리 및 책임성 조항 부재
○ EU GDPR은 가명/익명 처리된 개인정보의 일정한 활용을 허용하면서도 동시에 빅데이터, 인공지능 등 신기술에 대응하기 위해 정보주체의 권리와 개인정보처리자의 책임성을 강화하고 있으나, 현재 정부안은 그러한 균형을 갖추지 못하고 있음.
○ 빅데이터, 인공지능 시대에 정보주체는 자신도 모르게 프로파일링되거나 자동화된 결정에 따른 영향을 받을 위험성이 커지고 있음. 이에 따라 개인정보의 투명성이 강하게 요구되고 있으며, 정보주체의 입장에서는 이러한 프로파일링을 거부하거나 설명을 요구할 권리가 중요하게 대두되고 있음. 국내에서도 이러한 프로파일링 및 자동화된 처리가 광범하게 도입되고 있으나, 정부안은 이에 대응한 정보주체의 권리 강화는 도외시하고 있음.
○ GDPR은 개인정보의 보호를 위해 개인정보보호 책임자에게 강한 책임성을 요구하고 있음. 이에 따라 설계 단계에서부터 개인정보보호를 고려하도록 한 개인정보보호 중심 설계(Privacy by Design), SNS나 사물인터넷 기기 등의 기본설정을 개인정보 친화적으로 하도록 요구하는 개인정보보호 기본설정(Privacy by Default) 등을 의무화하고 있음. 또한, 개인정보 영향평가 역시 공공기관뿐만 아니라, 개인의 인권에 큰 영향을 미치는 경우 민간영역에도 적용하도록 하고 있음.
○ 또한, 민감정보는 특별한 보호해야 함. 특히, 갈수록 지문, 홍채 등 생체인식 기술이 발전하고 우리 사회에 도입되면서 생체인식 정보도 민감정보로 보호할 필요가 있으나 국내 개인정보보호법은 이를 포함하고 있지 않음. 우리 사회가 다문화 사회가 되어 가면서 인종과 민족에 관한 정보 역시 민감정보에 포함될 필요가 있음.