지난 3월 24일 새누리당 강석훈 의원은 ‘지역전략산업육성’이라는 명목으로 개인정보보호 관련 법률 적용을 배제하는 특례조항이 포함된 「지역전략산업육성을 위한 규제프리존의 지정과 운영에 관한 특별법」( 이하 「규제프리존 특별법」)을 대표발의 했습니다. 경실련, 진보네트워크센터, 참여연대는 헌법에서 보호하고 있는 기본권인 개인정보의 자기결정권을 ‘지역전략산업육성’이라는 명목 하에 제한하는 「규제프리존법 특별법」 제정을 강력히 반대합니다.
「규제프리존 특별법」은 ▲자율주행전자장비가 수집한 개인정보 및 위치정보(「위치정보의 보호 및 이용 등에 관한 법률」), ▲영상정보 자동처리기기로 수집된 개인정보(「개인정보보호법」), ▲사물인터넷을 기반을 통해 수집된 개인정보(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」)를 ‘비식별화’ 하면 관련 법률의 적용을 배제시켜 기업들이 이용자의 동의 없이 마구잡이로 사용할 수 있도록 하고 있습니다. 이는 기업의 이득을 위해 디지털 시대 중요한 인권으로 주목받고 있는 개인정보에 대한 자기결정권을 중대하게 침해하고 있는 법안입니다.
원칙적으로 개인정보의 수집・이용・제공 등은 정보주체의 동의를 받는 것이 국제규범 및 우리 헌법이 보장하고 있는 개인정보 자기결정권의 본질적인 내용입니다. 이러한 관점에서 암호화 등 ‘비식별화’는 ‘익명화’와 달리 ‘재식별화’하여 개인을 특정할 수 있어 정보주체의 동의 없이 개인정보를 처리하는 것은 현행 개인정보 보호법제와 대치됩니다.
박근혜 정부가 빅데이터 산업과 관련하여 ‘익명화’와 다른 ‘비식별화’의 법정화를 추진하는 것은 국제적으로 강화되는 개인정보 보호 추세에 어긋날 뿐만 아니라 유사 입법례도 찾을 수 없습니다.
유럽연합은 빅데이터 시대에 대비하기 위해 프로파일링 거부권 등 개인정보에 대한 정보주체의 권리를 강화하는 「일반 개인정보 보호 규정」(GDPR)을 제정을 통해 개인정보 보호 권리를 강화하고 있습니다. 반면 우리나라의 경우 반복적인 개인정보 대량 유출과 주민등록번호의 무분별한 사용으로 국민 한사람 한사람의 개인정보에 대한 식별성이 매우 높은 상태로 국제적으로 우리 국민의 개인정보가 암암리에 거래되는 매우 위태로운 형편입니다.
빅데이터 시대에는 개인정보에 대한 자동화된 처리가 더욱 급증할 것으로 예상됩니다. 이에 대한 국가의 책무는 빅데이터 시대 국민의 개인정보를 더욱 안전하게 보호할 수 있는 방안을 마련하는데 있습니다. ‘지역전략산업육성’의 명목으로 기존에 잘 작동해온 개인정보 보호 법제의 적용을 오히려 배제하는 것은 시대적 요구와 국민적 기대를 역행하는 처사임을 분명히 알아야 합니다.
정부와 국회는 불과 2년 전에 발생한 카드3사 사건에서 국민의 개인정보 보호를 강화하고 ‘정상화’하겠다고 국민 앞에 약속한 바 있습니다. 일부 산업의 이득을 위해 국민의 개인정보에 대한 동의권을 박탈하는 것은 국민과의 ‘약속’을 저버리는 행위로 사회적 반발과 논란을 야기할 것입니다.
개인정보 ‘비식별화’는 어떠한 사회적 논의와 합의 없이 여전히 논란의 중심에 있습니다. 정부는 위험성을 제기하는 여러 목소리를 무시하고 강행할 것이 아니라,시민사회와 유기적으로 협력하여 개인의 자유와 권리를 침해하지 않도록 노력해야 합니다.
<규제프리존 - 비식별화 관련 의견서>
「지역전략산업육성을 위한 규제프리존의 지정과 운영에 관한 특별법안」(강석훈의원 대표발의) 관련 의견서
- 개인정보 보호 관련 특례 조항에 반대함 -
1. 취지 및 배경
강석훈의원이 2016. 3. 24. 대표발의하였고 여야가 합의하였다고 알려진 「지역전략산업육성을 위한 규제프리존의 지정과 운영에 관한 특별법안」(이하 ‘규제프리존 법안’)에는 개인정보 보호 관련 법률의 적용을 배제하는 특례 조항들이 포함되어 있음
지역전략산업육성이라는 명목으로 「위치정보의 보호 및 이용 등에 관한 법률」, 「개인정보 보호법」과 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에 대한 특례 규정을 두어야 할 불가피성은 찾을 수 없는 반면, 지역전략산업육성의 명목으로 헌법이 보호하고 있는 국민의 기본권을 일방적으로 제한하고 있음
특히 위치정보법이나 정보통신망법에 대한 특례 조항의 경우 암호화 등 ‘비식별화’ 처리를 하면 기업들이 개인정보를 이용하거나 제공할 때 이용자의 동의 절차를 배제할 수 있도록 함. ‘비식별화’는 ‘익명화’와 다른 개념으로서 익명화되지 않은 정보를 자유롭게 사용할 수 있도록 허용하는 것은 관련 기업의 이익을 위하여 정보주체의 개인정보에 대한 자기결정권을 중대하게 침해함
오늘날 개인정보 이용이나 제공은 수집·이용·제3자 제공은 물론 판매(홈플러스 사건, IMS헬스코리아 사건)를 포함하는 개념임. 이 과정에서 동의권을 박탈하는 내용의 입법은 정보주체인 국민의 반발과 사회적 논란을 야기할 것이며 건강한 미래 산업의 육성 또한 위태롭게 할 것이 분명함
2. 디지털 정보 및 정보통신을 통한 서비스와 관련된 규제의 완화는 일정 지역에서 규제를 완화한다는 취지에 부합할 수 없음
규제프리존 법안에서 지역 전략산업 육성을 위해 완화하는 규제는 거의 모두 해당 지역 안에서만 규제가 완화되는 효과가 나타나게 할 수 있는 것들임. 예를 들어 규제프리존 지역에서 자율주행자동차 임시운행 허가, 무인기 비행전용공역 지정, 미래창조과학부장관의 승인을 받지 않은 통신기기 제조업 영위 등이 그러함
그런데 디지털 정보가 활용되는 서비스, 정보통신 기술을 이용하는 서비스의 경우는 권역이 무의미하기 때문에 규제 완화의 효과를 규제프리존 안으로만 제한할 수 없음
그래서 만약, 정보통신 기술 업체들이 새로운 분야의 사업을 신기술 기반사업으로 신청하여 개인정보보호법을 어기는 방식으로 사업을 추진하는 경우 전국적으로 혼란이 확장될 것임
3. ‘개인정보 관련 규제’가 사업상 어떤 어려움을 야기하고 있기에 완화가 필요한지 불분명함
규제프리존에서 완화할 수 있는 규제는 건강한 사업환경 조성 등을 위해 부정적인 측면을 걷어내는데 초점을 맞추어야 함. 이를 통해 일부 산업이 초기 산업을 정상적으로 궤도에 이끌어 올릴 수 있도록 지원하는 역할을 하도록 해야 함
그런데 개인정보 관련 규제는 전혀 성질이 다름. 해당 규제를 일정 지역 안에서 통제할 수 있는 것도 아니고, 해당 규제 때문에 기술 발전이 막혀 있는 것도 아님
개인정보 관련 규제완화는 기업들이 이익을 추구하기 위해 개인정보 주체의 권리를 침해하면서 개인정보를 처리하려는 욕구의 발현에 다름 아님
4. 비식별화 개념의 법정화
원칙적으로 개인정보에 대한 수집 등 처리는 정보주체의 동의를 받아야 하는 것이 국제규범 및 우리 헌법이 보장하고 있는 개인정보 자기결정권의 본질적인 내용임. 다만 더이상 개인이 식별되지 않는 ‘익명’ 정보의 경우 개인정보 관련 법률들의 적용대상이 되지 않음. 즉, 개인정보 보호법 등 국내외 개인정보 보호 규범은 (1) 개인정보인 경우 동의권 등 정보주체의 권리 보장 (2) 다만 익명인 경우 적용예외를 인정하는 구조로 되어 있음.
규제프리존 법안은 ‘비식별화’라는 별도의 개념을 만들어 개인정보보호규제 면제의 조건으로 삼았는데, 암호화 등 ‘비식별화’는
‘익명화’와 달리 궁극적으로 한 개인을 다른 개인과 식별하여 개인정보를 처리하는 방법 중 하나로서 그 결과물은 개인정보 자기결정권의 행사 대상임. 예를 들어, 처음부터 정보주체를 식별할 수 없는 상태에서의 원본정보를 수집하는 것과는 달리 개인정보 수집을 한 이후에 식별자제거, 범주화, 총계화, 데이터마스킹이 된 사본을 만드는 것은 원본을 이용하여 개인정보를 복원할 수 있다는 면에서 익명화라고 할 수 없는데 이 법안은 이 경우에도 자유롭게 사용할 수 있게 허용하고 있음.
정부는 “미국, 영국 등 해외에서는 빅데이터 활용을 위하여 개인정보 비식별화 지침을 마련하여 활용 중”이라고 홍보하고 있으나, 이는 사실과 다름. 유럽연합은 오히려 빅데이터 시대 프로파일링 거부권 등 개인정보에 대한 정보주체의 권리를 강화하는 <일반 개인정보 보호 규정>(GDPR)을 제정하였음(4월 14일 유럽의회 최종 통과).
미국에서도 개인정보 비식별화가 입법으로 규율되고 있는 것이 아니라 가이드라인 수준으로 업계 자율에 맡겨져 있으며 미국의 취약한 개인정보 보호 환경이 유럽 등과 국제 분쟁의 대상이 되고 있다는 점에서 모범 사례로 보기 어려움. 영국의 경우 엄밀히 말해 개인정보 감독관(Information Commissioner’s Office)이 발행한 가이드라인 은 비식별화(de-identification)가 아닌 <익명화(Anonymisation)>에 대한 가이드라인으로서, 익명화하여 처리하면 개인정보 보호규범에서 제외된다는 원칙적 내용을 소개하고 있음. 나아가 재식별될 위험성에 대해 경고하고 재식별되는 경우 개인정보에 대한 보호 원칙을 보장해야 한다는 점을 명시하고 있음.
박근혜 정부와 빅데이터 기업들이 ‘익명화’와 다른 ‘비식별화’의 법정화를 추진하는 것은 국제적으로 강화되는 개인정보 보호 추세에 어긋날 뿐 아니라 유사 입법례도 찾을 수 없음
최근 다국적 통계회사 IMS헬스 코리아가 전국 약국과 병원에서 총 4,400만 명에 해당하는 국민 건강정보 47억 건을 빅데이터 처리하여 판매한 사건으로 형사기소되어 재판을 받고 있음. 약학정보원 등 피고는 암호화로 주민등록번호를 ‘비식별화’ 처리를 하였다며 개인정보 판매에 대한 무죄를 주장하여 국민들에게 충격을 주고 있음. 비식별화를 입법하면 향후 모든 산업에서 유사한 피해 사례가 확산될 것이 명약관화함.
5. 조항별 문제점 및 의견
(1) 제36조 : 반대
제36조(「위치정보의 보호 및 이용 등에 관한 법률」등에 관한 특례) 규제프리존 내 지역전략산업과 관련된 자율주행자동차 전자장비의 인터넷 주소를 이용하여 자동수집장치 등에 의해 개인정보 및 위치정보를 수집하고 수집한 개인정보에 대하여 데이터 값 삭제, 총계처리, 범주화, 데이터 마스킹 등을 통하여 개인정보의 일부 또는 전부를 삭제하거나 대체함으로써 특정 개인을 식별할 수 없도록 하는 조치(이하 “비식별화”라 한다)를 한 경우에는 「위치정보의 보호 및 이용 등에 관한 법률」및 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」을 적용하지 아니한다.
암호화 등 비식별화를 하는 경우 위치정보법과 정보통신망법 등 기존 개인정보 보호법제의 적용을 배제하는 것은 기업이 국민의 개인정보를 무분별하게 수집하고 이용, 나아가 판매하는 결과를 야기할 것임.
반면 자율주행자동차 산업 육성을 위해 동의권 등 국민의 개인정보 자기결정권을 제한해야 할 불가피한 사정이 보이지 않음. 해외 어디에도 자율주행자동차 산업 육성을 위해 정보주체의 동의 없는 개인정보 처리를 허용하는 입법례를 발견할 수 없다는 점에서 이는 과잉 제한에 해당함
오히려 유럽자동차공업협회(The European Automobile Manufacturers’ Association, ACEA)는 빅데이터 처리로부터 개인정보 보호를 강화한 GDPR의 통과를 환영하는 성명을 발표하며 업계의 개인정보 보호 원칙으로서 ① 투명성(transparency) ② 소비자 선택권(customer choice) ③ 프라이버시 중심 설계(privacy by design) ④ 정보 보안(data security) ⑤ 비례적 정보 이용(the proportionate use of data)을 제시하였음 .
(2) 제39조 : 반대
제39조(「개인정보 보호법」에 관한 특례) 규제프리존 내 지역전략산업과 관련하여 역내사업자는 영상정보를 수집하여 특정개인을 알아볼 수 없도록 조치하는 경우에는 「개인정보 보호법」제25조제1항에도 불구하고 시·도에서 정한 조례에 따라 영상정보처리기기를 설치·운영할 수 있다.
개인정보 자기결정권의 보호대상이 되는 개인정보는 개인의 신체, 신념, 사회적 지위, 신분 등과 같이 개인의 인격주체성을 특징짓는 사항으로서 그 개인의 동일성을 식별할 수 있게 하는 일체의 정보라고 할 수 있고, 반드시 개인의 내밀한 영역이나 사사(私事)의 영역에 속하는 정보에 국한되지 않고 공적 생활에서 형성되었거나 이미 공개된 개인정보까지 포함함(헌재 2005. 5. 26. 99헌마513 등). 또한 우리 개인정보 보호법 뿐 아니라 개인정보 보호에 관한 국제규범에 따르면 ‘개인정보’란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는(identified) 정보 뿐 아니라 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는(identifiable) 것도 포함함
따라서 영상정보 자동처리기기를 이용하여 공개적으로 수집되었고 직접적일 뿐 아니라 간접적으로 특정개인을 알아볼 수 있는 경우에는 마땅히 국민의 개인정보 자기결정권의 행사 대상임. 개인정보 보호법의 경우 영상정보 자동처리기기의 특수성을 감안하여 그 설치와 운영의 목적을 제한하고 있으나(제25조) 목적외 이용과 제3자 제공 등에 대해서는 일반적인 개인정보 보호 규정의 적용을 받음
국민의 기본권에 속한 개인정보 자기결정권을 제한하기 위해서는 구체적이고 명확한 ‘법률’적 근거가 충족되어야 하며, 특정 지역이라는 이유만으로 국민이 그 권리의 행사를 포기하도록 포괄적으로 규정하는 것은 위헌적임. 반면 이 조항에 따르면 개인정보 처리에 대한 동의권의 행사가 헌법 및 개인정보 보호법에서 보장하고 있는 영상정보의 수집과 이용에 관한 규정을 무시하고 시도 조례에 의해 제한받도록 함
디지털 네트워크의 특성상 특정지역에서 수집된 영상정보라 하더라도 가공하여 다른 지역, 나아가 다른 국가에서 이용 혹은 판매될 가능성을 감안해 볼 때 특정지역을 이유로 영상정보 보호 규정의 적용을 배제하는 것은 불합리함
(3) 제40조 : 반대
제40조(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에 관한특례) ① 규제프리존 내 지역전략산업과 관련하여 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」제2조제3호에 따른 정보통신서비스 제공자 중 역내사업자에 대하여는 규제프리존 내 설치된 사물인터넷 기반을 통하여 수집한 같은 법 제2조제6호에 따른 개인정보에 대하여 비식별화를 하는 경우에 같은 법 제24조 및 제24조의2를 적용하지 아니한다.
② 제1항에 따른 역내사업자는 비식별화 정보를 이용하는 과정에서 개인정보가 생성되는 경우 이를 지체없이 파기하거나 추가적인 비식별화 조치를 하여야 한다.
③ 제2항을 위반한 자에게는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」제24조 및 제24조의2를 적용한다.
④ 제1항부터 제3항까지에서 규정한 사항 외에 역내사업자의 지정방법, 관리방법 및 기타 절차에 관한 사항과 비식별화의 수준 및 방법 등 필요한 사항은 미래창조과학부장관과 방송통신위원회가 협의하여 정하는 바에 따른다.
사물인터넷 환경에서는 오히려 광범위하고 자동적인 개인정보의 수집과 이용이 많아지면서 그로부터 국민의 개인정보 자기결정권을 보장하기 위한 국가적 조치가 필요함. 반면 이 조항은 사물인터넷 환경에서 암호화 등 ‘비식별화’ 처리를 하면 정보통신망법상 개인정보의 이용 제한(제24조) 및 제공 동의(제24조의2) 절차를 생략할 수 있도록 하였음
암호화 등 비식별화를 하는 경우 정보통신망법 등 기존 개인정보 보호법제의 적용을 배제하는 것은 기업이 국민의 개인정보를 무분별하게 수집하고 이용, 나아가 판매하는 결과를 야기할 것임. 특히 개인정보를 비식별화하였다가 재식별화하는 경우 개인정보 처리에 정보주체의 동의를 받거나 즉시 ‘처리 중단’하는 것이 아니라 선택적으로 ‘추가적인 비식별화’를 하겠다는 것은 결국 기업이 비식별화 정보가 재식별된 후에도 계속 이용하는 것을 보장하고 있음
무엇보다 ‘역내사업자’라고는 하지만 정보통신망법상 정보통신서비스 제공자의 경우 정보통신망을 통한 서비스 대상이 역내에 그치지 않고 전국, 혹은 전세계에 걸쳐 있음. 결국 이 조항은 지역전략산업을 이유로 국민의 개인정보에 대한 자기결정권을 전국 혹은 전세계에 걸쳐 무력화하는 효과를 불러올 것으로 보임
반면 사물인터넷 산업 육성을 위해 동의권 등 국민의 개인정보 자기결정권을 제한해야 할 불가피한 사정이 보이지 않음. 해외 어디에도 사물인터넷 산업 육성을 위해 정보주체의 동의 없는 개인정보 처리를 허용하는 입법례를 발견할 수 없다는 점에서 이는 과잉 제한에 해당함
오히려 유럽연합 29조 개인정보 보호 작업반에서는 2014년 9월 16일 발표한 사물인터넷 관련 의견서 에서 설령 가명화(pseudonymised), 심지어 익명화하더라도 예외없이 개인정보로서 보호할 것을 권고하고 있으며 사물인터넷 환경에서는 익명인 것처럼 보였던 정보로부터 개인 식별이 충분히 이루어질 수 있다는 사실을 경고하고 있음. 유럽연합에서는 사물인터넷의 경우에도 최종 이용자(end user)의 동의권 등 정보주체의 권리를 보장해야 한다는 점을 강조하고 있음
6. 결론
한국의 경우 반복적인 개인정보 대량 유출과 주민등록번호의 무분별한 사용으로 인해 국민 한 사람 한 사람의 개인정보에 대한 식별성이 매우 높은 상태로, 지금도 국제적으로 우리 국민의 개인정보에 대한 판매가 암암리에 이루어지고 있는 위태로운 형편임
빅데이터 시대에는 개인정보에 대한 자동화된 처리가 더욱 급증할 것이 예견되고 있음. 이에 대한 국가의 책무는 빅데이터 시대 국민의 개인정보를 더욱 안전하게 보호할 수 있는 방안을 마련하는 데 있다고 할 것임. 지역전략산업 육성의 명목으로 기존에 잘 작동해온 개인정보 보호 법제의 적용을 오히려 배제하는 것은 시대적 요구와 국민적 기대에 역행하는 처사임
개인정보 처리에 대한 동의권 등 개인정보 자기결정권은 헌법상 기본권(헌재 2005. 5. 26. 99헌마513 등)으로서 특정지역에 거주한다는 이유만으로 국민들에게 그 행사를 입법으로 그 포기를 강요하는 것은 위헌적임
비식별화에 대한 입법은 해외에서도 그 예를 찾아볼 수 없을 뿐 아니라 빅데이터 시대 개인정보 보호를 강화하는 유럽 등 국제 추세에 역행함. 산업의 이해를 위해 비식별화 개인정보에 대한 보호를 배제하는 것은 디지털 네트워크를 통해 특정 지역에서 뿐 아니라 전국, 나아가 전세계적으로 국민의 개인정보를 위험에 빠뜨리는 결과를 낳을 것임
정부와 국회는 불과 이년 전에 발생한 카드3사 사건에서 국민의 개인정보 보호를 강화하고 ‘정상화’하겠다고 국민 앞에 약속한 바 있음. 일부 산업의 이익을 위해 국민의 개인정보에 대한 동의권을 박탈하는 것은 국민과의 “약속을 저버리는” 행위로서 국민적 반발과 사회적 논란을 야기할 것으로 보임. 나아가 건강한 미래 산업의 육성 또한 위태롭게 할 것인 바, 개인정보 보호에 대한 대책은 지역전략산업 육성의 측면에서도 결코 소홀히 할 수 없는 국가적 과제임
2016. 5. 3.
경제정의실천시민연합
진보네트워크센터
참여연대
시민들의 의견
댓글 달기