가명정보 결합 및 반출 고시(안)에 대한 시민사회 공동 의견서 제출

– 개인정보보호법 및 신용정보보호법 시행령(안)에 대해
시민사회가 지적한 문제점 여전히 존재정보가 결합될수록 식별 가능성 높아, 시행령 또는 고시에 명확한 기준 있어야

6월 16일, 경제정의실천시민연합 소비자정의센터, 무상의료운동본부, 민주사회를 위한 변호사모임 디지털정보위원회, 서울YMCA 시청자시민운동본부, 연구공동체 건강과대안, 전국민주노동조합총연맹, 진보네트워크센터, 참여연대, 한국소비자연맹 등 9개 시민사회단체는 지난 6월 3일 행정예고된 「가명정보의 결합 및 반출 등에 관한 고시(안)」에 대한 시민사회 공동 의견서를 전달했다.

1. 우선 단체들은 지난 5월 「개인정보 보호법 시행령 일부개정령안」 및 「신용정보의 이용 및 보호에 관한 법률 시행령 일부개정령안」에 대한 의견서에서 가명정보 결합에 관한 조항이 개선될 필요성이 있다고 짚은 바 있다. 하지만 시민사회의 의견이 최종 시행령에 어떻게 반영되었는지에 대한 답변은 아직 받은 바 없으며, 이번에 예고된 고시(안)에 비추어 보건대 시민사회가 우려한 문제점은 여전히 존재하는 것으로 보인다.

2. 정보는 결합되면 결합될수록 식별 가능성이 높아진다. 그러나 고시(안)은 여전히 결합 신청 목적이 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 목적’에 부합하는지 판단하는 절차, 연구자의 자격 요건을 검증하는 절차, 결합 데이터 반출에 대한 기준, 해당 결합과 관련된 제반 정보 공개 등 투명성 원칙 등 전반적인 데이터 거버넌스 체제 구축이 제대로 반영되지 않았다. 개인정보보호법 개정안에 가명정보 결합과 관련된 기준이 제대로 마련되지 않은 만큼 시행령이나 고시에서라도 명확한 기준을 세워 철저하게 관리할 필요가 있다.

3. 시민사회가 지난 개보법 시행령(안)에 대한 의견서에서부터 지속적으로 지적해 온 내용은 다음과 같다.

첫째, ‘가명정보의 결합 및 반출 실적 보고서’를 개인정보보호위원회에 제출하는 것 외에 결합전문기관의 홈페이지 등에서 결합에 관련한 최소한의 정보를 공개해 과학적 연구 등 해당 목적에 맞게 가명정보 결합이 이루어지고 있는지 등에 대해 사회적 감독을 받아야 함.

둘째, 개정법에 따르면 전문기관의 가명정보 결합은 가명정보 결합은 “통계작성, 과학적 연구, 공익적 기록보존 등을 위”한 목적으로 수행되어야 한다고 정하고 있음. 그러나 시행령(안)이나 고시(안)에 목적 부합 여부에 대한 심사 여부가 명확하지 않기 때문에, 단순히 결합신청서의 형식적 요건만 충족하면 모든 신청에 대해 결합을 허용할 위험이 있음. 따라서 결합전문기관 내에 (가칭)연구평가위원회를 구성해 해당 결합 신청이 목적에 부합하는지, 더불어 해당 목적을 달성하기 위한 최소한의 데이터만 사용하는지 심사하는 절차를 둘 필요가 있음.

셋째, 시민사회는 지난 의견서에서 이미 “결합에 필요한 연계정보를 생성하는 ‘신뢰할 수 있는 제3자’ 역할을 한국인터넷진흥원이 수행하는 것으로 되어 있으나 시행령에서는 “특정 개인을 알아볼 수 없도록 하는데 필요한 지원업무”로 표현되어 있어 명확하지 않”다고 지적한 바 있음. 고시(안)에서는 ‘결합키관리기관’을 정의하고 있는데, 시행령에서 이를 규정하는 것이 바람직할 것임.

넷째, 안전을 위해서는 데이터 반출이 극히 예외적으로만 허용되어야 하고, 그 기준이 명확해야 함. 그런데 개정법에도 기준이 나와있지 않고 시행령(안)에서도 다시 ‘고시’로 구체적인 판단 기준을 위임하고 있음. 그러나 이번 고시(안)에서도 반출 심사 과정에서의 고려 사항만 규정하고 있을 뿐 반출을 해야만 하는 불가피한 이유에 대한 판단은 하지 않고 있음. 어떤 경우가 가명정보 또는 익명정보로 반출이 가능한지 구체적으로 정하되 원칙적으로 익명정보로 반출하도록 하되 예외적인 사유에 한해(즉, 익명처리를 하면 연구가 불가능할 경우) 가명정보로 반출하도록 제한해야 함. 또한 재식별 가능성이 매우 높기 때문에 최소한 익명처리하지 않는 이상, 원래의 개인정보처리자에게는 반출할 수 없도록 규정하는 것이 보다 명확할 것임.

다섯째, 가명정보의 분석 또는 반출 이후 결합전문기관이 관련 정보를 파기해야 할 의무는 규정하고 있지만, 결합된 데이터를 반출한 경우의 해당 데이터를 반출한 기관이 목적 달성 후에 파기하도록 의무화하는 조항이 없음. 결합된 데이터는 목적 달성 후에 파기되어야 하며, 이에 관한 규정이 시행령 혹은 고시에 포함되어야 함.끝

▣ 붙임1 : 가명정보 결합 및 반출 고시(안)에 대한 시민사회 의견서

가명정보 결합 및 반출 고시(안)에 대한 시민사회 공동 의견서

기업 요구만 수용한 「개인정보보호법 시행령」 재입법예고(안)

전면 재수정해야

시민사회단체, 행안부의 재입법예고안에 대한 의견서 제출

최소한의 안전장치마저 제거해 국민 사생활 침해 심각할 것 경고

1. 지난 7월 20일 진보네트워크센터, 민주사회를 위한 변호사 모임 디지털정보위원회, 참여연대, 무상의료운동본부,서울YMCA, (사)소비자시민모임, 연구공동체 건강과대안,전국민주노동조합총연맹, 전국사무금융노동조합연맹, 한국소비자연맹, 경실련 등 11개 단체들은 행정안전부에 「개인정보보호법 시행령」 재입법예고(안)에 대한 의견서를 제출했다.

2. 행안부는 지난 3월 31일 「개인정보보호법 시행령」 일부 개정령(안)을 입법예고하였고 10개 단체들은 5월 11일 의견서를 제출한 바 있다. 그런데 행정안전부가 7월 14일 개인정보 보호법 시행령 일부개정령(안)을 재입법예고 하였고 이에 대해 11개 단체들이 다시 의견을 제출한 것이다.

3. 단체들은 이번 재입법예고안은 지난 3월 입법예고안보다도 현저히 후퇴한 안이라고 지적했다. 당시 입법예고안이 발표되자 기업들은 일제히 목적 외 이용 및 제3자 제공의 요건을 완화해 달라고 하고, 서로 다른 기업간 가명정보의 결합 후 반출 및 결합 정보의 보유를 무한정 허용해 달라는 요구를 했다. 그런데 이번 재입법예고안은 기업들의 이러한 요구를 거의 다 수용했다. 반면, 단체들은 개인정보의 수집 목적 외 추가 이용 및 제공의 범위가 무한정 확대될 위험 방지를 위한 엄격한 규정이 필요하고, 특히 서로 다른 기업들이 보유한 개인정보를 가명처리해 결합할 때의 요건 강화, 식별가능성이 높아지는 결합정보의 기업 반출의 원칙적 금지 및 목적 달성 후 결합 정보의 파기 원칙 등을 요구하였으나 행안부의 재입법예고안은 이를 전혀 수용하지 않았다.

4. 이번 재입법예고안에서 가장 치명적인 문제는 가명정보 결합에 대한 규정이다. 3월 입법예고안은 서로 다른 기업간 가명정보를 결합할 때, 결합전문기관 내 ‘안전한 분석공간’에서 분석하고 반출은 ‘결합 목적을 달성하기 어렵거나 분석공간의 이용이 어려운 경우 등 제한적 범위에서 가능하였다. 그러나 재입법예고안은 아예 가명정보의 결합 후 반출을 기본으로 하고 있고 반출 후에도 무한정 보유할 수 있도록 하고 있다. 이는 학술연구 목적의 가명정보 결합조차도 ‘안전한 분석공간’에서 수행하도록 하는 유럽연합(EU) 등 해외 다른 나라들의 관행이나 추세와도 다르다. 특히 개정 개인정보보호법은 기업의 다양한 ‘내부 연구’ 조차 ‘과학적 연구’로 확대 해석해서 인정하고 있는데 이에 더해 이번 재입법예고안은 결합된 가명정보를 기업간 공유할 수 있도록 함으로써 재식별의 위험은 더욱 커졌고, 국제적 규범도 거스르고 있는 것이다.

5. 또한 단체들은 재입법예고안이 ▶개인정보의 추가적 이용 제공 기준이 3월 입법예고안의 당초 수집목적과 “상당한 관련성”이 있을 것에서 당초 수집목적과 “관련성”이 있는지 여부를 고려하여야 한다로 후퇴한 점, ▶중립성과 안전을 책임져야 할 결합전문기관으로 민간결합전문기관이 지정됨으로써 스스로 결합신청자가 되지 못하도록 하는 등의 안전성 확보가 없는 점, ▶가명처리 목적 달성 후 가명정보 파기 규정을 삭제함으로써 무한정 기업이 가명정보를 보유할 수 있게 한 점, ▶침해사고 예방 대응 등을 위해 중앙행정기관의 장에게 공동 대응을 요청하여 이에 따르도록 한 안을 삭제하는 등 보호위원회의 권한을 약화시킨 점 등을 심각한 문제로 지적했다.

6. 단체들은 이번 재입법예고안은 국민의 개인정보를 동의 없이 데이터화해 기업이 상업적으로 무한정 활용하도록 하기 위해 2016년 박근혜 정부가 만든 ‘개인정보 비식별조치 가이드라인’ 수준으로 사실상 회귀한 것이라고 평가했다. 문재인 정부는 항상 개인정보의 ‘안전한’ 활용을 강조해왔지만, 이번 재입법예고안을 통해 안전한 활용은 허구임이 드러났다고 비판했다. 국민의 사생활 침해 위험이 그 어느 때보다도 커지고 있는데도 이에 대한 정책적 고려가 전혀 보이지 않는 이번 재입법예고안은 전면 수정되어야 할 것이다. 끝.

▣ 붙임1 : 「개인정보보호법 시행령」 재입법예고(안)에 대한 시민사회 2차 의견서

2020년 7월 27일

경실련, 무상의료운동본부, 민주사회를 위한 변호사 모임 디지털정보위원회, 서울YMCA, (사)소비자시민모임, 연구공동체 건강과대안, 전국민주노동조합총연맹, 전국사무금융노동조합연맹, 진보네트워크센터, 참여연대, 한국소비자연맹

첨부파일 : 20200727_보도자료_기업 요구만 수용한 「개인정보보호법 시행령」 재입법예고(안) 전면 재수정해야.hwp
첨부파일 : 20200727_보도자료_기업 요구만 수용한 「개인정보보호법 시행령」 재입법예고(안) 전면 재수정해야.pdf

문의 : 경실련 정책국(02-766-5624)

시민사회단체, 국회 과방위에

「데이터기본법」제정 반대 의견서 제출

– 국민 개개인 정보 모은 ‘데이터’ 경제적 재화로만 인식해선 안돼 –

– 개인정보보호 체계 혼란, 개인정보 보호위원회 무력화 등 문제

광범위한 이해관계자와 합의 거쳐야 –

1. 오늘(11/27) 노동·의료·소비자·시민사회단체들은 국회 과학기술정보통신방송위원회에 「데이터 생산, 거래 및 활용 촉진에 관한 기본법 (이하 데이터 기본법)」 제정 반대 의견서를 제출했다. 이는 지난 11월 25일(수) 과학기술정보통신부와 더불어민주당 과학기술정보방송통신위원회 의원 등이 「 데이터 기본법」 제정 공청회를 개최하고 오는 30일 더불어민주당 조승래 의원이 법안을 대표 발의하겠다고 밝힌 데 따른 것이다. 단체들은 발의 예정 데이터기본법은 한마디로 국민 개개인의 개인정보의 집합이자 총화인 데이터를 경제적 재화로만 바라보는 편향된 관점에 기반하고 있을 뿐만 아니라, 정보주체의 권리를 침해하고 개인정보 보호체계를 훼손한다고 지적하고, 이에 발의 예정인 데이터 기본법안을 철회하고 다양한 이해관계자와의 협의를 통해 처음부터 다시 논의할 것을 요구하였다.

2. 대표 발의하겠다는 조승래 의원에 따르면 법안 발의 주요 취지는 디지털뉴딜 정책의 체계적 추진을 위한 법적 근거를 마련한다는 것이다. 이를 통해 민간의 데이터 경제를 가속화할 수 있다는 설명이다. 그러나 여기서 빠진 것이 있다. 정작 ‘국민’이 빠져 있다. 환영사에서 강병원 국회의원이 표현한 대로 거의 모든 국민이 “일상으로 사용하는 인터넷 경험이 데이터로 수집, 축적”된다는 것은 곧 데이터는 국민 개개인의 개인정보의 집합일 뿐 아니라 경험의 축적물이라는 뜻이다. 그럼에도 이번 공청회에 이와 같은 국민 개인정보라는 관점에서 법제정의 효과를 진단하려는 시도는 없었다. 공청회에 초청된 인사들은 모두 기업측 전문가들 일색이었다는 점이 이를 방증한다.

3. 단체들은, 우선 데이터 기본법의 문제는 데이터를 경제적 재화로만 바라보는 편향된 관점에 기반하고 있다는 점이라고 지적했다. 1조 목적, 2조 정의 등에서 데이터를 아예 ‘경제적 부가가치 창출을 위한 재료’로 규정하고 국가와 지자체가 데이터를 재화로 인식하여 시장중심으로 의사결정을 하도록 요구하는 등 산업주의적 편향된 인식을 노골적으로 드러내고 있다. 그러나 데이터는 국민 개개인의 개인정보가 모여서 이루어지는 것이며 개인정보는 개인의 존엄성과 인권에 영향을 미치는 요소이다. 국가와 지자체가 공공정책을 펼치기 위해 수집 보관하는 공공정보는 민간의 시장적 요구와 충돌할 수도 있으며 이 때 국가와 지자체는 국민 보호라는 관점에서 정책을 수집하고 공공데이터 정책을 펴는 것이 기본적 책무일 것이다. 따라서 목적부터 정의, 기본원칙부터 산업 편향적으로 만들어진 이 법안은 근본적으로 정당성을 상실하여 폐기하고 처음부터 다시 논의되어야 할 것이다.

4. 단체들은 의견서에서, 개인정보 보호의 일반적 원칙을 제시하는 개인정보보호법을 무력화 할 수 있다는 점, 개인정보 보호법에서 규정해야 할 사항들이 이 법안에 포함되어 있어 개인정보보호법의 존재 이유를 축소시키고 있다는 점, 개인정보 보호체계의 혼란과 중복 규제를 해소하고 일원화하려는 흐름에 역행한다는 점, 산업육성 부처인 과학기술정보통신부가 개인데이터 이동권이나 공개된 개인정보 등 개인정보 문제를 다루는 등 감독기구인 개인정보 보호위원회의 역할을 반쪽자리로 만드는 등을 데이터기본법안의 문제로 지적했다.

5. 문재인 정부가 추진 중인 디지털뉴딜 정책들은 국민의 개인정보를 팔아 산업 육성을 하겠다는 것이라는 비판을 받아왔는데 이번 데이터기본법 제정은 그 법적 근거를 마련하겠다는 것이다. 이처럼 편향된 정책방향으로 비판을 받는 상황이라면, 헌법에서 보호하는 개인정보자기결정권이라는 기본권과 균형을 맞추려는 노력은 기울여야 함에도 여당은 오로지 경제적 가치로만 환원시켜 그나마 있는 보호장치를 거의 무장해제의 수준으로 제거한 가명정보 특례를 도입한 개인정보보호법을 통과시킨 데 더해 아예 개인정보법을 우회하여 개인정보 활용지상주의로 나가겠다는 선언을 하고 있는 것이다. 데이터가 단순한 재화가 아니라 개개인의 인격에 관한 것이란 점을 간과한 이번 데이터 기본법제정안은 철회하고 다시 처음부터 논의를 시작할 것을 촉구한다. 끝.

▣ 붙임1 : 에 대한 의견서(총4매)

첨부파일 : 20201127_보도자료_시민사회단체, 국회 과방위에 「데이터기본법」제정 반대 의견서 제출.hwp
첨부파일 : 20201127_보도자료_시민사회단체, 국회 과방위에 「데이터기본법」제정 반대 의견서 제출.pdf

2020년 11월 27일

건강과 대안, 경제정의실천시민연합, 무상의료운동본부, 민주사회를위한변호사모임 디지털정보위원회,
서울YMCA 시청자시민운동본부, 전국민주노동조합총연맹, 전국사무금융노동조합연맹, 진보네트워크센터, 참여연대

문의 : 경실련 정책국(02-766-5624)

전자금융거래법 개정안 개인정보 침해 및 개인정보보호법 적용 배제 우려

개인정보·민감 거래정보 한곳에 집중, 수집내용·목적, 처리과정 등은 법에 불문명

– 소비자가 이용한 네이버·카카오 등 빅테크 기업 거래정보 모두 수집해 데이터집중 –

– 소비자의 개인정보에 대한 권리행사 쉽지않아 자기결정권과 예측가능성 침해 –

금융위원회가 현재 ‘디지털 금융혁신’을 내걸고 추진 중인 전자금융거래법 개정안이 수집하는 개인정보의 내용이나 목적 등과 관련 근거 규정 없이 예측할 수 없는 상황에서 개인정보보호법의 적용은 배제하고 있다. 이는 소비자가 개인정보자기결정권을 행사할 수 없도록 하면서도 그 목적이 명확하지 않아 디지털 금융혁신과 어떤 관계인지 알 수 없고 소비자의 권리를 과도하게 침해하게 될 것이 분명하다.

이번에 개정되는 전자금융거래법안은 그 적용대상을 전자금융거래의 범위를 거래 일부가 전자적 방식으로 처리되는 거래까지 대폭 확대하고, 전자금융업을 유형별로 라이센스를 구분하여 부여해 금융위원회의 감독권을 전면적으로 재정립하고 있다. 또한 일정한 전자금융업자가 행하는 전자지급거래에 관하여 전자지급거래 청산기관을 통하여 청산할 의무를 부여하는 등의 내용을 담고 있다.

이 개정법안에서 가장 크게 우려되는 부분은, 빅테크 업체를 포함하여 모든 전자지급거래에 대해 전자지급거래청산기관에서 의무적으로 청산하도록 하는 부분이다. 과도한 데이터의 집중에 대한 문제와 함께 이러한 수집과 활용의 근거가 법에 충분하게 담겨있지 않고 추가로 개인정보보호법의 적용까지 배제하고 있어 소비자의 예측가능성, 자기결정권 등 관련 소비자보호에 있어 심각한 문제가 발생할 가능성이 있다는 점이다.

개정안 제36조의9는 일정한 전자금융업자에 대하여 외부에서 청산할 의무를 부여하는데, 이러한 의무청산대상인 전자지급거래에는 ‘지급인과 수취인의 거래상대방이 같은 전자금융업자인 전자금융거래를 포함한다’고 하고 있다. 이러한 일정한 전자금융업자는 전자지급거래의 빈도, 화사 또는 법인의 규모 등을 고려하여 시행령으로 정해지게 된다. 개정안에 따르면 일반 상거래회사 내부에 적립된 포인트(현금상당)나 일반 상거래 회사 내부 자금으로 고객과 전자지급거래를 하는 경우에는 이를 외부의 전자지급거래청산기관으로 보내어 청산을 할 ‘의무’를 부여하고 위반시에는 위반 수익등의 50% 이내에서 과징금을 부여하여 이를 강제하는 내용을 신설하고 있다.

금융결제원을 통해 정보가 지나치게 집중되는 부분에 대한 우려와 함께 이렇게 수집된 소비자의 개인정보와 거래정보가 한곳에 모여 영리목적으로 활용될 가능성이 있는데 이 경우 소비자는 자신의 정보가 왜 수집되었고 어떻게 활용될 지에 대해 전혀 알 수 없다. 이 과정에서 소비자가 예상하지 못한 결합처리등의 정보처리과정 역시 쉽게 예상할 수 있다.

개인정보보호법 제18조의 배제도 이해할 수 없는 일이다. 목적 외 이용 및 제3자 제공 시 법적근거, 목적 및 범위 등의 공개의무 및 안전성 확보 조치의무(개인정보보호법 18조제4항 및 제5항)도 적용되지 않아 개인정보보호 법체계를 무너뜨릴 우려가 있다. 또한 개정안은 ‘이용자에 관한 정보’와 ‘전자지급거래에 관한 정보’를 제공할 수 있도록 되어 있으나 구체적인 내용을 모두 대통령령에 위임해 헌법 제75조에 따른‘포괄위임금지 원칙’에 위배되고, 제공정보에 개인의 사생활에 관한 정보까지 포함될 수 있어 헌법 제17조의 사생활의 비밀과 자유 및 개인정보자기결정권도 침해할 수 있다.

한국소비자연맹은 지난 2월 초 금융위원회에 전자금융거래법 개정안과 관련 제36조의9제2항 전자금융업자에 대해 전자지급거래청산기관에 개인 전자거래지급 정보의 제공을 의무화하면서 개인정보 보호를 목적으로 제정한 3개 법률(금융실명거래 및 비밀보장에 관한 법률 제4조, 신용정보의 이용 및 보호에 관한 법률 제32조 및 제33조, 개인정보보호법 제 18조)의 적용을 면제하고 있는데 개정안에서 의미하고 있는 대통령으로 정하는 전자지급거래청산기관에 제공하여야 하는 정보는 무엇이고 제공목적은 무엇인지 구체적인 내용에 대해 요청했으나 회신을 받지 못한 상황이다.

지난해 8월 5일 통합 개인정보보호위원회가 출범했지만 금융위가 담당하는 금융분야는 개인정보보호위원회 권한이 미치지 못하는 것은 아닌지 우려되고 있다. 데이터 수집과 이용이 활발하게 이루어지기 위해서는 소비자의 신뢰 환경을 만드는 것이 무엇보다 중요할 것이다. 흩어져 있는 개인정보의 문제를 일관성 있고 종합적으로 판단할 수 있도록 금융 분야 역시 개인정보보호법에서 정하고 있는 기본적인 보호 원칙에서 벗어나지 않아야 한다. 금융위원회는 전자금융거래법 개정안 관련 지적된 문제조항에 대해 즉시 개선할 것을 요청한다.

2021년 2월 26일

경제정의실천시민연합, 한국소비자연맹

첨부파일 : 20210226_공동성명_전자금융업법 개정안 개인정보 침해 우려.hwp

첨부파일 : 20210226_공동성명_전자금융업법 개정안 개인정보 침해 우려.pdf

문의 : 경실련 정책국(02-766-5624)

[개인정보보호위원회 1주년 논평]

개인정보보호위,

정보인권의 수호자로서 본연의 임무에 집중하라

가명정보의 결합과 활용에만 신경쓰는 보호위, 정보주체의 권리 보호는 방치

보호위, 법에서 위임한 대로 자신의 활동 방향을 재설정해야

8월 5일, 개인정보보호위원회(이하 보호위)가 출범한 지 1주년이 되었다. 그동안 조직 체계와 개인정보 보호지침들을 정비하고, 법을 위반한 기관이나 기업에 제재처분을 내렸으며, EU와 적정성 결정을 위한 협상을 진행하고, 개인정보보호법 2차 개정을 준비하는 등 나름대로 바쁜 1년을 보냈을 것이다. 이제 1년 된 조직의 성과를 따지는 것은 성급한 일일 수도 있다. 그러나 보호위가 제대로 된 방향을 설정하고 있는지는 반드시 짚어볼 필요가 있다. 보호위가 법에서 위임한 임무와 역할에 충실한 사업들을 해오고 있는지, 그리고 한국 사회의 개인정보보호라는 핵심적인 임무를 제대로 수행하고 있는가를 보면 좋은 점수를 주기는 어렵다.

안타깝게도 보호위가 지난 1년 동안 수행해 온 핵심 사업 중 하나는 ‘가명정보 결합과 활용의 활성화’이다. 이는 보호위 홈페이지의 공지사항과 보도자료만 보더라도 쉽게 알 수 있다. 출범하자마자 ‘가명정보의 결합 및 반출 등에 관한 고시’를 의결하고 결합전문기관 지정을 추진하였으며 최근에는 가명정보 결합·활용 성과 및 규제혁신 보고회를 개최하기도 했다. 과기정통부 행사였으면 차라리 그러려니 했을 것이다. 이미 여러 부처에서 데이터 이용 활성화에 앞다투어 나서고 있는 판이다. 과연 이것이 한정된 자원을 갖고 있는 보호위의 우선 순위 사업이어야만 하는지 개탄스러울 따름이다.

반면, 한국 사회에서 특히 정보 인권이 취약한 지점들, 그래서 독립된 개인정보 감독기구로서 보호위가 앞장서 해결해 주기를 바라던 문제들은 거의 다뤄지지 않았다.

공공부문과 주요 민간부문에서 여전히 뿌리 깊은 주민등록번호를 기반으로 한 시스템, 그리고 주민등록번호와 연동된 연계정보(CI)를 통해 확대되고 있는 실명기반 온라인 환경은 한국 사회에서 개인정보 자기결정권과 프라이버시권을 위협하는 고유한 문제임에도 불구하고 보호위는 이에 대한 관심조차 보이지 않았다. 이용자가 가입한 사이트 가입 내역을 알려주는 서비스가 무려 ‘e프라이버시 클린서비스’라는 이름으로 부끄러운지도 모르고 보호위 홈페이지에 링크되어 있다.

거대 인터넷 사업자들조차 기본적인 정보주체의 권리를 보장하고 있지 않는 것이 현실임에도, 보호위가 정보주체의 권리가 어느 정도 보장되고 있는지 실태조사라도 한 적이 있는가. 더불어 개인정보 침해신고센터는 권리구제기관으로서 제 역할을 하고 있는가. 개보위에 대한 감시와 비판이 주된 역할인 시민단체 활동가의 침해신고조차 제대로 처리해주지 못하는데, 과연 일반 정보주체들의 개인정보 침해 문제를 침해신고센터가 잘 해결해줄 수 있을거라 기대할 수 있을까 의문이다.

정부로부터 독립적인 기구라면서 국가정보원의 국민 사찰에 대해서 보호위는 제대로 조사하고 있는가. EU 적정성 결정을 추진하면서, 보호위가 국가정보원에 대해서도 감독 권한이 있다고 떳떳하게 얘기하려면, 당장 지금 문제가 되고 있는 불법적인 국민사찰 문제부터 팔을 걷어붙이고 나서야 하지 않는가.

노동자 개인정보 문제, 노동 감시의 문제도 특히 방치되고 있는 이슈 중 하나다. 불평등한 노사간의 권력 관계에서 정보주체인 노동자들이 자신의 권리를 행사할 수 있도록 보호위는 제 역할을 하고 있는가. 여러 개인정보 보호지침들이 정비되고 있지만, 2017년에 국가인권위원회가 제안한 <개인정보보호 가이드라인(인사, 노무편)>은 우선 순위에서 여전히 밀려나 있다.

소위 빅테크의 독점과 개인정보 남용 문제는 현재 정보자본주의의 핵심적 문제다. 전 세계 개인정보 감독기구 역시 빅테크의 개인정보 침해 문제에 적극적으로 대응하고 있다. 보호위도 페이스북의 개인정보 침해를 다루긴 했지만, 이는 기존 방통위에서 시작한 사안을 매듭지은 것일 뿐이다. 과연 보호위는 국내외 빅테크의 개인정보 남용에 대응하기 위해 어떠한 준비를 하고 있는가.

이러한 문제들 하나하나가 쉽지 않은 것들이다. 그러나 개인정보 감독기구가 감당하지 않으면 안 되는 문제이다. 개인정보보호법 제정 이전인 2000년대부터 시민사회는 독립적인 개인정보 감독기구의 설립을 주장해왔고, 그렇기에 비록 ‘데이터 3법’ 추진의 맥락 속에서 탄생하기는 했으나, 보호위에 대한 시민사회의 기대는 적지 않았다. 1년밖에 되지 않은 보호위에 많은 성과를 바란 것은 아니지만, 여전히 보호위의 행보는 제 갈 길을 잃은 듯하여 매우 실망스럽다. 보호위 설립 1년을 맞아, 보호위가 ‘정보인권의 수호자’로서 자신의 임무를 절실하게 되새길 것을 다시 한번 촉구한다. 끝.

2021년 08월 05일

경제정의실천시민연합, 무상의료운동본부, 민주사회를 위한 변호사모임 디지털정보위원회, 서울YMCA 시청자시민운동본부, 전국민주노동조합총연맹, 진보네트워크센터, 참여연대, 한국소비자연맹

첨부파일 : 20210805_개인정보보호위원회 1주년 공동논평.hwp

첨부파일 : 20210805_개인정보보호위원회 1주년 공동논평.pdf

 
문의 : 경실련 정책국(02-766-5624)