4월 1일 더불어민주당 민병덕 의원은 개인정보 보호법 일부개정법률안(의안번호 2109273)을 대표발의했다. 개정안의 주요 내용은 공익제보 목적의 개인정보 이용·제공을 가능하게 하고 개인정보보호법 제28조의5와 제28조의7을 개정해 가명정보에 대한 정보주체의 열람권 등을 보장하는 내용이다. 사단법인 오픈넷은 데이터3법의 통과 직후부터 제28조의7의 문제를 지적하고 민병덕 의원실과 함께 토론회를 주최하는 등 개정을 위해 노력해왔다. 이번 개정안은 그러한 노력의 결실로 다음 개인정보보호법 개정에 꼭 반영되어야 할 것이다.
개정안의 제안이유와 주요내용에 의하면 “현재 가명정보는 어떠한 경우에도 재식별화가 되지 않도록 하고 있어 정보주체가 열람권과 정정권 등을 행사하려고 할 때도 재식별화를 할 수가 없어 권리보장이 이루어지지 않는 점”이 있고, “가명정보의 재식별화가 완전히 불가능하다는 이유로 가명정보에 대해서는 정보주체의 열람권과 정정권을 제약한 것은 GDPR이 과학적 연구 등 사회적 가치가 있는 연구를 급부로 하여 정보주체의 열람권 정정권 등을 제약하려 한 것과 큰 차이”가 있다. 따라서 “통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 이용된 가명정보”에 대해서만 정보주체의 열람권 등을 제한하고, 다른 목적의 가명정보에 대해서는 정보주체의 권리를 행사할 수 있도록 제28조의7을 개정하면서, 정보주체의 권리 행사나 개인정보처리자의 의무를 이행하기 위한 경우에는 예외적으로 재식별화가 가능하도록 제28조의5를 개정하려는 것이다.
그리고 현행법 제18조 제2항은 개인정보를 목적 외의 용도로 이용하거나 제3자 제공을 할 수 있는 경우를 규정하고 있는데, GDPR과 달리 공익제보의 목적 외 이용 또는 제공을 허용하고 있지 않아 공익제보를 가로막고 있다. 이에 개정안은 “공익을 위하거나 개인정보처리자의 공무수행에 필요한 경우”와 “개인정보처리자 또는 제3자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우”를 추가하여 공익제보를 활성화하는 내용도 담고 있다. 이 또한 오픈넷에서 문제의식을 갖고 있었던 부분이다.
현행법에서 가명정보도 개인정보임에도 불구하고 가명정보에 대해서는 개인정보 열람권(제35조), 정정·삭제권(제36조), 처리거부권(제37조) 등 정보주체의 권리를 인정하지 않고 있는 것은 개인정보자기결정권에 대한 큰 침해이다. GDPR에서는 ‘과학적 연구, 통계, 공익적 기록(archiving) 등의 목적’을 위해서 이용된 경우에만 열람권, 정정권, 처리거부권 등이 제한되고 있고, 이를 위해 해석상 정보주체의 권리 보장 즉 열람, 정정, 처리거부 등을 위한 가명정보의 재식별화는 자유롭게 허용되고 있다. 가명처리가 되었다고 해서 과학적 연구 목적 등 이용에 대한 동의요건이 없어짐은 물론 모든 목적의 이용에 대한 열람, 정정, 삭제, 처리거부 등의 권리도 없어진다면 ‘가명정보도 개인정보’라는 GDPR의 대전제에 정면으로 반하는 것이다. 또한 개인정보처리자 입장에서는 가명정보의 재식별화가 예외없이 금지되어 있기 때문에 정보주체의 권리를 보장해주려고 해도 할 수 없는 상황이다. 실제로 이통사들은 동 조항들에 근거해 가명정보 처리에 관한 정보주체의 권리 행사를 거부하고 있고, 참여연대는 개인정보보호법 제28조의7에 대해 헌법소원을 제기했다.
문재인 정부의 4차 산업혁명 정책의 핵심에는 데이터 활용에 기반한 데이터 산업 육성이 있고, 데이터 관련 규제 완화 기조 하에 2020년 데이터3법의 개정이 급하게 이루어졌다. 하지만 그 과정에서 제28조의7과 같이 정보주체의 정보인권을 침해하는 내용이 들어오는 등 졸속입법의 한계가 드러났으며, 개인정보보호위원회는 데이터3법 개정이 이루어진지 1년도 안 되어 개인정보보호법 개정을 준비하고 있다. 민병덕 의원안의 내용이 반영된 개정이 이루어지도록 정부와 국회가 함께 노력할 것을 촉구한다.
2021년 4월 23일
사단법인 오픈넷
문의: 오픈넷 사무국 02-581-1643, [email protected]
[관련글]
[보도자료] 오픈넷·민병덕 의원실, “가명정보 열람권 등 정보주체 권리 보장을 위한 토론회” 개최 (12/7, 유튜브 라이브) (2020.12.01.)
[논평] 오픈넷, EU에 대한민국 GDPR 적정성 평가시 가명정보특례조항에 대한 검토 요구 (2021.03.31.)
[입법정책의견] 개인정보보호위원회의 개인정보 보호법 개정안에 대한 의견 제출 (2021.02.17.)
[논평] 개인정보보호법 가명화 도입, 입법불비부터 선결되어야 GDPR 수준의 정보보호 할 수 있다. (2020.04.06.)