가명처리 가이드라인에 대한 의견
8월 5일부터 시행한 개정 개인정보보호법은 정보주체의 권리 보호 관점에서 많은 문제점을 가지고 있을 뿐만 아니라 해석상 모호한 규정들을 다수 포함하고 있음. 그동안 법적 규범력을 가지고 있지 않음에도 기업들의 요구에 따라 행정안전부가 가이드라인을 제작, 배포해 사실상 유권해석처럼 여겨져 온 것은 문제가 있었음. 특히 기업들은 법에서 정한 개인정보 보호 규정과 절차에 따라 관련 조치를 취하고 그에 따른 책임을 지면 됨에도, 행안부가 제작 배포한 가이드라인에 따랐다며 사실상 면책의 근거로 악용해 왔음. 2016년 과 같이 법령 위반의 소지가 있는 가이드라인이 발표될 경우, 오히려 사회적인 혼란을 확대할 가능성이 큼.
이번 개인정보보호법은 해석상 모호한 규정이 다수 있는 등 개정의 여지가 다분하고 따라서 시급히 개정이 필요한 법률에 근거해 급박하게 가이드라인을 제작하는 것은 문제가 있음. 더구나 이번 가이드라인은 정보주체의 권리를 오히려 제한하는 방향으로 법령을 해석하고 있어, 향후 기업들이 가이드라인에 따랐을 뿐이라며 면책사유로 주장할 우려가 큼. 이런 식의 가이드라인이라면 차라리 제정하지 않는 것이 바람직하며, 보호위원회는 “개인정보 보호 기본계획, 법령 및 제도 개선 등”의 역할을 수행해야 하는 설치 이유에 충실하게 현행 법령의 문제를 해결하는 것이 우선 순위가 되어야할 것임. 특히 다음과 같은 문제는 지적하지 않을 수 없음.
1. 개인정보를 지나치게 협소하게 규정하고 있음
개인정보는 특정 개인을 ‘알아볼 수 있는’ 정보인데, 그 주체가 누구인지가 문제가 됨. 관련하여 가이드라인은 ‘개인정보 처리자’의 관점에서 판단하는 것으로 규정하고 있음.
가명처리 가이드라인 – 개인정보에 대한 판단기준은 가명정보처리자가 보유한 정보 또는 접근 가능한 권한 등 상황에 따라 달리 판단하여야 함 (가이드라인 3p) – 개인을 ‘알아볼 수 있는‘의 판단기준은 해당 정보를 처리하는 자(정보의 제공 관계에 있어서는 제공받은 자를 포함) (가이드라인 18p) |
그러나 이처럼 개인정보 처리자 관점에서 개인정보인지 여부를 판단하게 된다면, 개인정보 처리자가 알아볼 수 없는 경우에는 개인정보가 아닌 것으로 규정이 되므로 개인정보보호법이 적용되지 않으며, 이에 따라 개인정보처리자는 해당 정보를 자유롭게 공개해도 무방할 것임. 이렇게 되면 개인 식별에 필요한 다른 정보를 가지고 있는 제3자가 공개된 정보를 통해 개인을 식별할 수 있게 될 위험이 있음.
이러한 해석은 개정 개인정보보호법의 취지와도 맞지 않음. 개정 개인정보보호법의 애초 발의안(인재근 의원 대표발의)은 개인정보처리자의 관점에서 개인정보 여부를 판단하였으나 국회를 통과한 개정 개인정보보호법은 해당 문구를 삭제하였음.
제58조의2(적용제외) 이 법은 시간·비용· 기술 등 개인정보처리자가 활용할 수 있는 모든 수단을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보에는 적용하지 아니한다.제58조의2(적용제외) 이 법은 시간ㆍ비용ㆍ기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보에는 적용하지 아니한다. |
이러한 해석은 한국 정부가 현재 적정성 결정을 추진하고 있는 유럽연합의 개인정보보호법(GDPR)의 규정과도 상충함. 유럽연합의 경우 개인정보처리자 뿐만 아니라 제3자의 관점에서도 식별 가능한지 여부를 기준으로 하고 있음.
GDPR recital 26 가명화를 거친 개인정보는, 추가 정보를 사용하여 해당 자연인을 확인할 수 있는 경우 식별 가능한 자연인에 관한 정보로 간주되어야 한다. 자연인이 식별 가능한지 아닌지를 판단하기 위해서는, 자연인을 직간접적으로 식별하기 위해 개인정보처리자나 다른 사람에 의해(either by the controller or by another person) 사용될 합리적 가능성이 있는, 개인 특정(single out) 등 모든 수단을 고려해야 한다. |
어떤 수단이 자연인을 식별하기 위해 사용될 합리적 가능성이 있는지 확인하기 위해서는, 처리 시점에 이용 가능한 기술과 기술 발전 을 감안하여 식별에 필요한 비용과 시간 등 모든 객관적 요소를 고려해야 한다.개인정보 자기결정권의 수호자가 되어야 할 개인정보보호위원회의 첫번째 가이드라인에서 이처럼 개인정보의 개념을 협소하게 규정하여 정보주체의 보호 범위를 제한하려고 하는 것은 납득하기 힘든 일임. 개인정보처리자 뿐만 아니라 제3자에 의해서도 식별 가능할 수 있다면 개인정보로 규정되어야 함.
2. 과학적 연구의 범위 모호함
가이드라인은 과학적 연구에 대해 여전히 포괄적으로 서술하고 있을 뿐, 어떤 연구가 과학적 연구에 포함되고 어떤 것이 되지 않는지 구체적으로 설명하고 있지 않음. 과학적 방법을 적용하지 않는 연구를 거의 상상할 수 없다는 점에서, 가이드라인에 따르면 ‘연구’라고 주장하는 모든 활동에 가명정보를 활용할 위험이 있음. 그렇게 되면 그나마 ‘통계작성, 과학적 연구, 공익적 기록보존 등’에 한정하여 동의없이 가명정보를 처리할 수 있도록 한 법률 규정의 취지조차 법적 구속력도 없는 가이드라인이 무력화할 수 있음.
과학적 연구 : 과학적 연구는 기술의 개발과 실증, 기초연구, 응용 연구 및 민간 투자 연구 등 과학적 방법을 적용하는 연구를 의미 – 과학적 연구에는 자연과학적인 연구뿐만 아니라 과학적 방법을 적용하는 역사적 연구, 공중보건 분야에서 공익을 위해 시행되는 연구 등은 물론, 새로운 기술ㆍ제품ㆍ서비스의 연구개발 및 개선 등 산업적 목적의 연구 포함코로나19 감염자의 생활패턴 분석을 통해 개개인에 대한 위험 경고를 해줄 수 있을 것으로 가설하고, 해당 위험경고를 해 줄 수 있는 App개발을 위해 감염자의 생활습관, 위치, 감염증상, 성별, 나이, 감염원 등을 가명처리하여 활용하는 경우 |
GDPR의 경우 한국의 개인정보보호법과 달리 ‘과학적 연구(scientific research)’를 정의하고 있지 않음. GDPR이 과학적 연구를 학계(academy) 내의 연구로 제한하지 않고 있는 것은 사실이나, 그렇다고 ‘연구’라고 불리는 모든 활동으로 확대해석하고 있지 않음. 2020년 1월, 유럽개인정보보호감독관(EDPS)는 에서는 “개인정보처리자가 단지 과학적 연구 목적이라고 주장하는 것으로는 충분하지 않다”, “대학의 연구뿐만 아니라 비영리 단체, 정부기관, 영리 기업도 과학적 연구를 수행할 수 있다. 공통된 전제는 과학적 연구가 전체 사회에 유용하고 과학적 지식은 증진하고 지원해야 할 공공재라는 것이다”라고 언급하고 있음. 더불어 “GDPR은 인간에 관한 연구를 규율하는, 오래동안 수용되어 온 윤리적이고 전문적인 규범의 존재를 전제로 한다”고 함.
영국의 개인정보감독기구인 ICO는 GDPR 해설을 위한 홈페이지에서 “과학적 연구는 시장 조사 혹은 고객만족도조사와 같은 상업적 연구 목적의 개인정보 처리에는 적용되지 않는다”고 언급하고 있음. 한국의 개인정보보호법에 따른 ‘과학적 연구’는 유럽 GDPR의 과학적 연구 범위와 다른 것인지, 다르다면 어떻게 다른 것인지 명확하게 제시할 필요가 있음.
개인정보보호법 및 가이드라인이 인정하고 있듯이 “가명정보도 개인정보에 해당”하며 정보주체의 동의없는 개인정보(가명정보)의 활용 및 제3자 제공은 정보주체의 권리를 일정하게 제한하는 것임. 따라서 그러한 제한을 합리화하기 위해서는 상응하는 공공의 이익이 존재해야 함. 그러나 시민사회가 비판해왔듯이, 사회적인 지식 기반 확대에 기여하는 학술 연구와는 달리 기업 내부적인 연구는 해당 기업의 사적 이익에 도움이 될 수는 있어도 공익적 가치는 없기 때문에, 과학적 연구의 범위를 기업 내부적인 연구로까지 확대하는 것은 부당함.
가이드라인의 예시는 의료정보를 포함한 개인정보를 일개 앱 제작업체에 제공할 수 있다고 해석하고 있음. 이는 개인의 의료정보를 목적 외로 활용한 것으로 의료법 위반일 뿐만 아니라, 이런 식으로 병원이나 공공기관이 보유한 의료정보가 민간기업에게 제공될 경우 정보주체에게 미칠 해악이 매우 큼. 또한 민감정보를 정보주체의 별도의 동의 혹은 법령의 근거가 있는 경우 외에 애초 수집 목적 외로 활용하는 것은 근거법인 개인정보보호법 위반 소지가 있음.
만일 개인정보보호법이 개인정보처리자가 스스로 과학적 연구라고 주장하는 모든 활동에 대해서 허용하고자 하는 것이 아니라면, 무엇이 과학적 연구이며, 무엇이 과학적 연구가 아닌지에 대한 보다 구체적인 기준과 사례를 제시할 필요가 있음.
3.가명정보의 파기
가명정보도 개인정보이고 모든 개인정보는 개인정보 처리원칙의 적용을 받아야 함. 개인정보 처리원칙은 모든 개인정보를 특정한 수집 목적에 필요한 한도 내에서 적법하게 처리하고 처리 목적이 다한 경우 파기하도록 하고 있음.
개인정보보호법 시행령 제29조의5에서, 2020년 3월 31일 입법예고된 시행령(안)에 있었던 “③ 개인정보처리자는 가명정보의 처리 목적이 달성되거나 가명정보 보유 기간이 경과한 때에는 그 가명정보를 지체 없이 파기하여야 한다.”는 조항을 삭제한 것은 가명정보를 영구적으로 활용할 수 있도록 한 것은 아닌지 매우 우려스럽지만, 비록 시행령에서 명시적으로 규정되어있지 않더라도 개인정보 보호원칙에 비추어 가명정보 역시 처리 목적이 달성된 경우 파기해야한다고 해석하는 것이 올바를 것임.
가이드라인에서 “개인정보처리자는 가명정보를 처리하고자 하는 경우 가명정보의 처리 목적, 처리 및 보유기간, 제3자 제공 시 제공받는 자, 추가정보의 이용 및 파기 등에 관한 사항을 작성하여 보관하여야 함”(가이드라인 28p)을 명시한 것은 긍정적이지만, 혼란을 방지하기 위해 목적 달성 후 가명정보 파기를 보다 명확하게 강조할 필요가 있음.
4. 정보주체의 권리
가이드라인은 가명처리 및 가명정보에 대한 정보주체의 권리와 관련하여 다음과 같이 짧게만 언급하고 있음. (가이드라인 30p) 개인정보보호위원회의 가이드라인에서 이런 식으로 정보주체의 권리에 대해 신경쓰고 있지 않다는 것은 매우 실망스러움.
○ 가명정보는 적법하게 수집된 개인정보를 법에서 정한 목적 범위 내에서 가명처리하여 활용하는 것으로, 가명정보에 대한 정보주체의 열람, 정정 삭제, 처리정지권에 대한 규정(제35조~제37조)은 적용되지 않음 ※ 가명정보 처리 목적을 제한하고 있으며, 가명정보 특성상 어떠한 정보주체에 대한 정보인지 확인할 수 없음 |
이미 가명처리된 정보를 통해서는 정보주체를 식별하기 힘들다고 하더라도, 개인정보처리자는 누구의 개인정보를 대상으로 가명처리를 하는지 쉽게 알 수 있음. 따라서 최소한 가명처리와 관련한 정보주체의 권리가 어떻게 보장되는지 보다 구체적으로 설명할 필요가 있음. 예를 들어, 정보주체는 자신의 개인정보가 어떠한 목적으로 가명처리되었는지, 가명처리된 후에 누구에게 제공되었는지, 자신의 개인정보를 가명처리해서 활용하는 것을 거부할 권리가 있는지 등에 대해 알 필요가 있으며, 만일 정보주체의 권리를 제한한다면 그 이유가 설득력있게 제시될 필요가 있음.
2020년 8월 27일
경제정의실천시민연합, 민주사회를 위한 변호사모임 디지털정보위원회,서울YMCA 시청자시민운동본부, 전국민주노동조합총연맹, 진보네트워크센터, 참여연대