오픈넷, 정부의 개인정보 비식별조치 가이드라인을 입법화하려는
정보통신망법 개정안(강길부 의원안)에 대한 반대의견 제출
- 빅데이터 시대의 개인정보보호는 대규모 개인정보 처리환경에서 개인정보처리자의 “투명성”과 “책임성” 강화 논의부터 시작되어야
- 비식별화만 거치면 제한 없이 동의 의무를 면제하려는 시도나 비식별화가 모든 문제를 해결할 것이라는 비식별화 만능주의 프레임을 지양해야
- 정부의 개인정보 비식별조치 가이드라인(2016)은 폐기하고 비식별화 적정성 평가단이 아닌 개인정보보호위원회가 컨트롤타워 역할을 해야 함
- 논의과정의 투명성 부족과 조급증도 문제- 이해당사자가 모두 참여하는 협의체를 구성하여 논의를 본격화해야
강길부 의원이 대표발의한 정보통신망 이용촉진 및 정보보호 등에 관한 법률 개정안 (이하 강길부 의원안: 첨부1)은 비식별화라는 개념을 추가하면서 비식별화한 개인정보를 이용자의 동의 없이 이용하거나 제3자에게 제공할 수 있도록 하고 있다. 오픈넷은 지난 2017. 1. 14. 아래와 같은 이유로 강길부 의원안 입법예고에 반대의견을 제출하였으며, 더불어 지난 2016년에 정부가 제정한 개인정보 비식별조치 가이드라인(이하 “가이드라인”)에 대해서도 폐기 의견을 함께 제시한다.
빅데이터 시대의 개인정보보호는 대규모 개인정보 처리환경에서 개인정보처리자의 “투명성”과 “책임성” 강화 논의부터 시작되어야
EU 개인정보보호감독관의 빅데이터 의견서(첨부2)에서 타당하게 결론 내린 것처럼 빅데이터의 진정한 위험 요소와 도전 과제는 대규모 개인정보 처리에 대한 “투명성 부족”과 “정보의 불균형”으로 인해 “개인정보보호 핵심원칙”이 위협에 빠진다는 것이다. 즉 빅데이터 시대에서 “알 수 없는 알고리즘”을 통해 정보주체에 대한 충분한 고지나 동의 획득 없이 개인정보 처리가 대규모로 이루어진다면 개인정보 처리에 관한 정보는 더욱 불균형해질 것이며 이로 인해 개인정보자기결정권은 형해화할 것이다.
우리나라의 경우 식별성이 가장 높은 주민등록번호가 여전히 이동통신사 등 사적 주체에 의해 행정 목적 외에도 널리 활용되고 있으며, 법령상 상존하는 각종 본인확인 의무로 인하여 비식별화를 거치더라도 결합을 통해 개인이 재식별될 위험성은 매우 크다. 특히 주민등록번호를 수집할 수 있는 본인확인기관에 개인정보가 고도로 집중되어 있다는 점도 재식별화 위험성을 가중시키고 있다.
요컨대 빅데이터 시대의 개인정보보호는 개인정보처리자의 “투명성”과 “책임성” 강화가 가장 중요한 고려 요소가 되어야 한다.
비식별화만 거치면 제한 없이 동의 의무를 면제하려는 시도나 비식별화가 모든 문제를 해결할 것이라는 비식별화 만능주의 프레임을 지양해야
(1) 비식별화 만능주의 프레임 지양해야
강길부 의원안은 개인정보처리자의 투명성과 책임성 강화에 대한 진지한 고민 대신, 비식별화 그 자체에만 천착하고 있다는 것이 핵심적 문제이다. 강길부 의원안은 대통령령이 정하는 비식별화 적정성 평가단(안 제28조의2 제2항, 이하 “평가단”)의 적정성 평가나 기술적 관리적 보호조치(안 제28조의5)의 구체적인 내용은 전혀 정하지 않았다. 막연히 추후에 제정될 대통령령에 의해 개인정보 보호가 충분히 이루어질 것이고, 비식별화만 이루어지면 빅데이터 산업이 부흥할 것이라는 소박한 믿음에 기초하고 있는 것이다.
(2) 비식별화만 거치면 어떠한 제한도 없이 동의를 면제 – 재식별 위험이 매우 큰 정보라는 점을 간과
강길부 의원안은 어떠한 방법으로든 비식별화가 이루어지면 어떠한 제한도 없이 개인정보보호법의 기본 원칙인 “동의 요건”을 광범하게 면제해주고 있어 문제이다. 이는 김병기 의원이 대표 발의한 개인정보보호법 개정안이 현행법과 같이 비식별화를 거친 정보라도 “정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 없을 경우”에만 동의 요건을 면제하고 있는 것과 비교된다. (첨부3: 김병기 의원안)
그러나 우리나라처럼 재식별 위험이 매우 큰 상황에서 비식별화한 정보에 어떠한 제한도 없이 이용 및 제3자 제공을 허용할 지 여부에는 매우 신중한 검토가 요구된다. 완벽한 비식별화 기술이란 존재하지 않으며, 평가단의 검증을 거쳤다고 비식별화의 적정성이 담보되는 것도 아니다.
한편 EU의 GDPR에서 강길부 의원안이 비식별화 방법으로 예시한 가명화(pseudonymisation)는 개인정보 보호를 위해 권장되는 수단이지 가명화한 정보에 대한 개인정보 보호를 배제하려는 것이 아님을 명확히 하고 있다. (recital 28 : The explicit introduction of ‘pseudonymisation’ in this Regulation is not intended to preclude any other measures of data protection.) 최근 개인정보보호법을 개정한 일본의 경우 GDPR과 달리 익명가공정보를 개인정보와 별개로 규정하여, 이를 이용하거나 제3자에게 제공하려는 개인정보처리자에게 익명가공정보에 포함되는 개인에 관한 정보의 항목을 공표 및 취지를 명시하도록 하는 등 개인정보와 준하는 취급을 하고 있다.
(3) 개인정보 정의조항의 변경 – 정보통신망법과 개인정보보호법과의 괴리 발생
강길부 의원안은 개인정보의 정의 중 다른 정보와의 결합가능성 부분에 “해당 정보를 처리하는 자”를 판단 기준으로 제한하고 있어 이 같은 제한이 없는 개인정보보호법과 간극이 발생하게 된다. 물론 개인정보보호법 정의 조항의 합헌적 해석상 결합가능성은 해당 정보를 처리하는 처리자의 입장에서 판단되어야 한다고 볼 여지가 있다. 그러나 개인정보 정의 규정은 개인정보보호법제의 핵심을 이루는 것으로 개인정보보호법의 정의조항은 그대로 둔 채 정보통신망법의 개정으로 손쉽게 접근할 문제가 아니다.
(4) 투명성, 책임성 요건 결여 – 정보주체의 통제권한 상실, 개인정보 유통에 대한 정보불균형 심화
강길부 의원안에는 빅데이터 시대의 개인정보 보호에 가장 핵심적인 투명성과 책임성 요건이 결여되어 있어 정보주체의 실질적 통제 권한이 상실되고 개인정보 유통에 대한 정보불균형이 더욱 심화할 우려가 크다. 강길부 의원안에 따르면 정보주체는 본인의 어떤 개인정보가 어떻게 비식별화 처리되는지 전혀 알지 못한 채 개인정보처리자의 선의 또는 평가단 적정성평가의 무결성을 기대할 수밖에 없는 셈이다. 이는 아래 일본의 개정 개인정보보호법이 익명가공정보에 포함되는 개인에 관한 정보의 항목을 공표하게 하는 등 최소한의 투명성과 책임성 요건을 갖춘 것과 비교해보아도 그러하다.
정부의 개인정보 비식별조치 가이드라인(2016)은 폐기하고 비식별화 적정성 평가단이 아닌 개인정보보호위원회가 컨트롤타워 역할을 해야 함
한편 지난 2016년 정부 각 부처는 개인정보 비식별조치 가이드라인을 제정하였는데, 가이드라인은 한 걸음 더 나아갔다. 비식별조치를 취하면 동의 요건을 아무런 제한 없이 면제하고 있을 뿐 아니라 반증이 없는 한 개인정보가 아닌 것으로 추정하는 등 법 개정 없이 고지와 동의(notice and consent)라는 개인정보보호의 기본 원칙의 변경을 꾀한 것으로 즉시 폐기되어야 한다.
더욱이 가이드라인은 법적 근거 없이 전문기관에 의해 비식별조치의 적정성을 판단하도록 하고 있어 문제인데, 강길부 의원안은 비식별화 적정성 평가단을 입법화하면서 가이드라인의 전문기관에 법적 근거만 부여하려는 시도와 다름아니다.
그러나 평가단 신설로 생겨날 “관치 보안”의 문제는 차치하더라도 이는 개인정보보호위원회가 수행해야 할 이른바 컨트롤타워 역할을 무력화하는 시도와 다름아니다. 일본의 경우 개인정보보호위원회가 컨트롤타워로서 익명가공에 요구되는 기술적, 관리적 조치를 종합적으로 규율하도록 하고 있는 것과 비교된다.
논의과정의 투명성 부족과 조급증도 문제 – 이해당사자가 모두 참여하는 협의체를 구성하여 논의를 본격화해야
일본의 경우 개인정보보호법을 개정하기 위하여 다양한 이해당사자가 참여하는 협의체를 구성하여 2년에 걸친 광범한 논의를 거쳤다. 그러나 2016년 가이드라인의 경우 세부논의 내용과 초안을 비공개하는 등 폐쇄적인 방법으로 제정되었다. 정보주체를 대변하는 시민사회는 가이드라인의 초안이 대부분 결정된 뒤 단 1회 시행된 내부 간담회 외에는 논의에 제대로 참여할 수 없었다.
따라서 가이드라인의 주요 내용을 그대로 입법화하는 강길부 의원안은 정보주체를 대변하는 이해당사자의 의견 수렴을 전혀 거치지 않은 것과 다름없어 원점에서 다시 검토되어야 한다. 늦었지만 지금부터라도 국회를 중심으로 모든 이해당사자가 참여하는 협의체를 구성하여 빅데이터 시대의 개인정보 보호를 위한 논의를 진지하게 시작해야 할 것이다.
일본의 개정 개인정보보호법 중 익명가공정보 해당 부분 발췌 – 번역 “개인정보보호위원회”
➈ 이 법률에서 “익명가공정보”라 함은 다음 각 호에 열거된 개인정보의 구분에 따라 당해 각 호에서 정하는 조치를 취하여 특정 개인을 식별할 수 없도록 개인정보를 가공하여 얻어지는 개인에 관한 정보로서, 당해 개인정보를 복원할 수 없도록 한 것을 말한다.
1. 제1항 제1호에 해당하는 개인정보 – 당해 개인정보에 포함되는 記述 등의 일부를 삭제하는 것 (당해 일부의 記述 등을 복원할 수 있는 規則性을 갖지 않는 방법에 의해 다른 記述 등으로 치환하는 것을 포함한다)
2. 제1항 제2호에 해당하는 개인정보 – 당해 개인정보에 포함되는 개인식별부호의 전부를 삭제하는 것 (당해 개인식별부호를 복원할 수 있는 規則性을 갖지 않는 방법에 의해 다른 記述 등으로 치환하는 것을 포함한다)
➉ 이 법률에서 “익명가공정보취급사업자”라 함은 익명가공정보를 포함하는 정보의 집합물이면서 특정의 익명가공정보를 전자계산기를 이용하여 검색할 수 있도록 체계적으로 구성한 것으로서 政令으로 정하는 것(제36조 제1항에서 “익명가공정보데이터베이스 등”이라고 한다)을 사업용으로 이용하는 자를 말한다. 다만, 제5항 각 호에 열거된 자를 제외한다.
다. 제2절 익명가공정보취급사업자 등의 의무 <신설>
제36조(익명가공정보의 작성 등) ① 개인정보취급사업자는, 익명가공정보(익명가공정보데이터베이스 등을 구성하는 것에 한정한다. 이하 같다)를 작성하는 때에는, 특정의 개인을 식별할 수 없도록 그리고 그 작성에 사용되는 개인정보를 복원할 수 없도록 하기 위하여 필요한 것으로서 개인정보보호위원회규칙으로 정하는 기준에 따라, 당해 개인정보를 가공하여야 한다.
➁ 개인정보취급사업자는, 익명가공정보를 작성한 때에는, 그 작성에 사용된 개인정보로부터 삭제된 記述 등과 개인식별부호 및 전항의 규정에 의해 행해진 가공의 방법에 관한 정보의 누설을 방지하기 위하여 필요한 것으로서 개인정보보호위원회규칙으로 정하는 기준에 따라, 이들 정보의 안전관리를 위한 조치를 취하여야 한다.
➂ 개인정보취급사업자는, 익명가공정보를 작성한 때에는, 개인정보보호위원회규칙으로 정하는 바에 따라, 당해 익명가공정보에 포함되는 개인에 관한 정보의 항목을 공표하여야 한다.
➃ 개인정보취급사업자는, 익명가공정보를 작성하여 당해 익명가공정보를 제3자에게 제공하는 때에는, 개인정보보호위원회규칙에서 정하는 바에 따라, 미리 제3자에게 제공되는 익명가공정보에 포함되는 개인에 관한 정보의 항목 및 그 제공의 방법에 대하여 공표함과 더불어, 당해 제3자에 대해 당해 제공과 관련된 정보가 익명가공정보라는 취지를 명시하여야 한다.
➄ 개인정보취급사업자는, 익명가공정보를 작성하여 스스로 당해 익명가공정보를 취급함에 있어서는, 당해 익명가공정보의 작성에 사용된 개인정보와 관계된 본인을 식별하기 위하여 당해 익명가공정보를 다른 정보와 照合해서는 아니된다.
➅ 개인정보취급사업자는, 익명가공정보를 작성한 때에는, 당해 익명가공정보의 안전관리를 위하여 필요하고 적절한 조치, 당해 익명가공정보의 작성 및 그 밖의 취급에 관한 고충의 처리 및 그밖에 당해 익명가공정보의 적정한 취급을 확보하기 위하여 필요한 조치를 스스로 강구하고 또한 당해 조치의 내용을 공표하도록 노력하여야 한다.
제37조(익명가공정보의 제공) 익명가공정보취급사업자는, 익명가공정보(스스로 개인정보를 가공하여 작성한 것을 제외한다. 이하 이 節에서 동일하다)를 제3자에게 제공하는 때에는, 개인정보보호위원회규칙으로 정하는 바에 따라, 미리 제3자에게 제공되는 익명가공정보에 포함되는 개인에 관한 정보의 항목 및 그 제공의 방법에 대하여 공표함과 더불어, 당해 제3자에 대해 당해 제공과 관련된 정보가 익명가공정보라는 취지를 명시하여야 한다.
제38조(식별행위의 금지) 익명가공정보취급사업자는, 익명가공정보를 취급함에 있어서, 당해 익명가공정보의 작성에 사용된 개인정보와 관계된 본인을 식별하기 위하여, 당해 개인정보로부터 삭제된 記述 등 또는 개인식별부호 또는 제36조 제1항의 규정에 의해 행하여진 가공의 방법에 관한 정보를 취득하거나 또는 당해 익명가공정보를 다른 정보와 照合하여서는 아니된다.
제39조(안전관리조치 등) 익명가공정보취급사업자는, 익명가공정보의 안전관리를 위하여 필요하고 적절한 조치, 익명가공정보의 취급에 관한 고충의 처리 및 그밖에 익명가공정보의 적정한 취급을 확보하기 위하여 필요한 조치를 스스로 강구하고 또한 당해 조치의 내용을 공표하도록 노력하여야 한다.
2017년 1월 17일
사단법인 오픈넷
문의: 오픈넷 사무국 02-581-1643, [email protected]