과거 새누리당이 구청이 보유한 주민명부를 빼내는 등 불법적으로 유권자정보를 수집해 선거운동에 활용하는 일이 비일비재했다는 관련자 폭로가 나왔다. 2011년 서대문갑 지역 유권자 수만 명의 이름, 주소, 주민번호 앞자리, 전화번호, 휴대전화번호가 엑셀파일로 공유된 증거도 제시되었다. 백군기 현 용인시장도 지자체 공무원으로부터 관할지역 주민들의 개인정보를 넘겨받아 선거에 활용했다는 의혹을 받고 있다. 국민의 개인정보를 안전하게 보호, 관리해야 할 공무원들이 불법행위를 저지른 것이다. 이것이 현실이다.
이는 우리 개인정보 보호시스템이 한 개인의 일탈을 막아내지 못하고 있다는 것을 의미한다. 그래서 범죄행위를 저지른 공무원 개인의 문제로 보면 해결책을 마련할 수 없다. 구조적인 문제가 있다. 개인정보 보호수준이 세계최강이라고 주장하기 전에 우리 개인정보 보호시스템의 구조적 취약점을 진단하고 이를 개선해야 했는데 이를 외면하고 미룬 결과다. 그런데도 그동안 정부, 국회, 산업계가 개인정보 보호시스템 개선이 아니라 개인정보 보호 수준을 완화할 궁리만 해 왔으니 개인정보보호가 제대로 될 리 없었다.
국가나 공공기관은 건강정보, 전과기록, 가족관계 등 각종 민감한 정보들도 국가의 행정목적 수행을 위해 개별적 동의 없이도 장기간에 걸쳐 축적하고 있다. 개인의 내밀한 사생활이 그대로 드러날 수 있는 정보들이 유출되면 개인의 프라이버시는 한순간에 무너질 수밖에 없다. 그래서 공공영역에서 수집, 관리되는 개인정보에 대한 국민적 이해관계는 매우 강력하다 . 그런데 이번에 드러난 유권자 정보 불법유출사례는 지방자치단체의 개인정보 관리실태가 얼마나 부실한지 여실히 드러낸다. 권력에 대한 의지 앞에서 정보주체의 권리 따위는 쉽게 무시되었다.
한국사회에서 개인정보 유출과 무단활용은 하루이틀의 일이 아니다. 약학정보원은 2011년부터 2014년 사이 전국 약국과 병원에서 수집한 국민 4천4백만 명의 진료정보, 처방 내역 등 47억 건을 동의 없이 다국적 기업인 IMS 헬스에 판매했다. 건강보험심사평가원은 2014년부터 2017년 사이 민간보험사와 민간보험연구기관에게 6,420만명 분에 해당하는 개인건강정보를 판매했다. 2016년 정부가 법적근거 없는 비식별조치가이드라인을 만들자마자 기업들은 거센 위법성 논란에도 3억 4천만 건의 개인정보를 동의 없이 과감하게 상호 결합시켰다. 이렇게 반복되는 개인정보 유출과 무단활용은 영리 목적으로 개인정보를 활용하려는 기업들의 강력한 동기가 법적 규제, 기술적 관리적 조치들까지도 쉽게 무력화시킨다는 것을 보여준다.
개인정보의 활용에 있어 가장 중요한 전제조건인 개인정보 보호에 대한 신뢰는 이미 추락할 대로 추락했다. 이런 상황에서 산업활성화를 위해 국가가 공적 목적으로 수십년간 축적해온 개인정보를 사기업에 넘기거나 사기업의 정보와 결합하는 걸 제도화하겠다는 것은 현실을 전혀 모르거나 무시하는 것이다. 이런 데도 데이터 산업을 활성화하겠다는 미명 하에 문재인 정부는 개인정보의 실질적 보호를 위한 정책은 추진하지 않은 채 규제완화만 밀어붙이고 있다. 무모하다고 해야 할 지 무심하다고 해야 할 지 모를 일이다. 바야흐로 빅데이터 시대에 정부가 해야 할 일은 데이터를 좀더 안전하게 활용할 수 있는 환경을 조성하는 것이다. 난맥상을 보이는 개인정보에 관한 규범체계를 정비하고 실질적이고 일원화된 감독시스템을 구축하는 것이 필요하다. 또, 정보주체가 자신의 정보에 대해 실질적으로 동의권을 행사할 수 있도록 동의제도를 개선하고, 개인정보 처리여부와 과정에 대해 정보주체가 열람, 처리중지 요구 등의 통제장치를 제대로 마련하는 등 정보주체가 자기 정보를 실질적으로 통제하고 관리할 수 있는 제도를 마련해야 한다. 그런데 보호는 뒷전이고 규제만 풀어주면, 지금도 무법천지나 다름없는 데이터시장에서 합법적인 데이터거래, 유통을 조장하는 것이다. 이것이 빅데이터 산업 활성화라는 이름으로 자행되고 있다.
사전규제를 완화하는 대신 사후규제나 개인정보처리자의 책임성을 강화하겠다고도 주장하지만 이는 현실성이 없다. 개인정보를 탐내는 자들이 권력을 이용해 불법행위를 저지르고도 7년이 지나서야 폭로된 것에서도 알 수 있듯이 개인정보의 무단수집, 활용은 은밀하게 이루어져 정보주체나 감독기구로서는 이를 알아채거나 적발하기 쉽지 않다. 강력한 사후규제로 늘 얘기되는 집단소송이나 징벌적 배상은 규제실패나 규제완화를 무마하기 위한 정치적 수사로 사용되고 있다. 규제를 풀기 위해서는 적절한 보호장치를 마련하는 것이 우선되어야 한다.
대통령은 23일 빅데이터 활성화를 위한 개인정보 규제완화 관련 내용을 발표한다고 한다. 대통령은 이미 개인정보규제를 우회하기 위한 각종 규제특례법도 조속히 처리할 것을 주문했고, 여야는 8월 임시국회에서 이를 처리하겠다고 한다. 시민사회의 우려와 분노는 커질 대로 커지고 있다. 개인정보, 특히 디지털화된 개인정보가 데이터시장에 풀리는 순간 이를 돌이킬 방법은 없다. 대책을 마련해야 한다. 이런 식으로 규제를 풀어준다고 해서 산업활성화가 되는 것이 아니다. 지금이라도 늦지 않았다. 문재인 정부가 대기업의 개인정보 장사를 위해 국민들의 개인정보 보호를 희생시킨 정권으로 기록되지 않길 바란다. 시민사회의 우려와 의견을 진지하게 받아들여 개인정보의 보호와 활용을 위한 정책 전반을 재검토할 것을 요구한다. 끝.
<div class="xe_content"><h1><국회 통과를 기다리는 국정원 개혁 입법> 이슈리포트 발표 </h1>
<h2>14개 개정법률안의 주요 쟁점 분석, 개혁방향으로 ▲국정원 직무범위 세분화 및 수사권 폐지 ▲정치관여 금지, 처벌 강화 ▲국회 통제 강화 ▲예산투명성 강화 등 제시</h2>
<h2>20대 국회에서 국정원 개혁법안 반드시 처리해야</h2>
<p> </p>
<p>오늘(4/2, 화) 참여연대 행정감시센터(소장 이광수 변호사)는 <국회 통과를 기다리는 국정원 개혁 입법_14개 개정법률안의 주요 쟁점과 참여연대 의견> 이슈리포트(총 22쪽)를 발표했습니다. 현재 20대 국회에는 국가정보원(이하 국정원) 개혁을 요구하는 국가정보원법 개정법률안이 14개나 계류 중입니다. 이번 이슈리포트는 ▲직무범위 세분화 및 수사권 폐지, ▲정치관여 금지 및 처벌 강화, ▲국회통제 강화, 예산투명성 강화 등 국회에 계류 중인 국정원 개정법률안을 분석하고, 각 개혁 방향에 대한 참여연대의 의견을 담았습니다.</p>
<p> </p>
<p>국정원이 무소불위의 권력기관이 아니라 정보기관의 고유 역할을 하도록 민주적 통제를 강화해야 한다는 주장에 반대하는 사람은 없을 것입니다. 그러나 각론으로 들어가면 자유한국당과 바른미래당은 국정원이 가진 범죄수사권의 이관에 반대하고 있습니다. 더불어민주당 역시 국정원 개혁에 적극적이지 않은 모습입니다. 최근에는 선거제도 개혁과 관련된 패스트트랙법안을 협의하면서 더불어민주당은 협상카드라며 국정원개혁법안을 그 대상에서 제외하기도 했습니다. 이 상태로 20대 국회에서 국정원에 대한 제도적 개혁을 이루지 못한다면, 국정원은 정권과 집권자의 의지에 따라 언제든지 무소불위의 정권보위기관으로 회귀할 수 있습니다.</p>
<p> </p>
<p>20대 국회에 계류 중인 국정원법 개정법률안을 분석하여 그 세부적인 내용을 살펴봤습니다. 총 14개의 국정원법 개정법률안을 분석한 결과 ▲직무범위 세분화 및 범죄수사권 폐지 내용을 담은 법안은 총 5개(진선미, 천정배, 박홍근, 김병기, 노회찬 의원안), ▲정치관여 금지, 처벌 강화 내용을 담은 법안은 총 8개(진선미, 천정배, 이원욱, 박홍근, 김병기, 노회찬, 이완영, 이은재 의원안)로 확인되었습니다. 또 ▲국회 통제 강화 방안을 담은 법안은 총 10개(김수민, 박찬대, 진선미, 천정배, 박홍근, 김병기, 노회찬, 이완영, 장제원, 이은재 의원안), ▲예산투명성 강화 방안을 담은 법안은 총 9개(김수민, 진선미, 천정배, 김성태, 박홍근, 추미애, 노회찬, 이완영, 이은재 의원안)로 확인되었습니다. </p>
<p> </p>
<p>분석결과 국정원 개혁의 필요성에는 여야가 모두 공감하고 있다는 것을 확인할 수 있었습니다. 다만 국정원의 범죄수사권 이관 또는 폐지에는 이견이 있었습니다. 그러나 첫째, 국정원의 직무범위를 축소·세분화하고 둘째, 국정원의 정치관여를 금지하고 처벌을 강화하며 셋째, ‘감찰관’을 신설하고, 국회의 자료제출요구권을 강화하여 국정원 외부 통제를 강화하고, 넷째, 예산을 총액으로 요구하지 못하도록 하는 등 국정원 예산의 투명성을 강화하는 방향에는 일정한 공감대가 형성되어 있었습니다. 이제 국회에 주어진 시간은 1년여입니다. 오랜 논의를 통해 제출된 국정원 개혁법안들이 사장되지 않도록 논의를 서둘러 20대 국회에서 국가정보원 개혁입법을 처리해야 합니다.</p>
<p> </p>
<p>▶이슈리포트 <a href="https://docs.google.com/document/d/1hCP9j_nv2ryhSeoYZujANbxITXv2kjIDpBM…; rel="nofollow">[보기/다운로드] 국회통과를 기다리는 국정원 개혁입법_14개 개정법률안의 주요쟁점과 참여연대 의견</a></p>
<p>▶보도자료 <a href="http://bit.ly/2HRuDGb" rel="nofollow">[원문보기/다운로드]</a></p>
<p> </p>
<p><iframe src="//e.issuu.com/embed.html#2952507/68841707" style="border:none;width:100%;height:450px;"></iframe></p>
<p> </p>
<div> </div></div>
<div class="xe_content"><h1>참여연대, <국회 통과를 기다리는 국정원 개혁 입법> 이슈리포트 발표 </h1>
<h2>14개 개정법률안의 주요 쟁점 분석, 개혁방향으로 ▲국정원 직무범위 세분화 및 수사권 폐지 ▲정치관여 금지, 처벌 강화 ▲국회 통제 강화 ▲예산투명성 강화 등 제시</h2>
<h2>20대 국회에서 국정원 개혁법안 반드시 처리해야</h2>
<p> </p>
<p>오늘(4/2, 화) 참여연대 행정감시센터(소장 이광수 변호사)는 <국회 통과를 기다리는 국정원 개혁 입법_14개 개정법률안의 주요 쟁점과 참여연대 의견> 이슈리포트(총 22쪽)를 발표했습니다. 현재 20대 국회에는 국가정보원(이하 국정원) 개혁을 요구하는 국가정보원법 개정법률안이 14개나 계류 중입니다. 이번 이슈리포트는 ▲직무범위 세분화 및 수사권 폐지, ▲정치관여 금지 및 처벌 강화, ▲국회통제 강화, 예산투명성 강화 등 국회에 계류 중인 국정원 개정법률안을 분석하고, 각 개혁 방향에 대한 참여연대의 의견을 담았습니다.</p>
<p> </p>
<p>국정원이 무소불위의 권력기관이 아니라 정보기관의 고유 역할을 하도록 민주적 통제를 강화해야 한다는 주장에 반대하는 사람은 없을 것입니다. 그러나 각론으로 들어가면 자유한국당과 바른미래당은 국정원이 가진 범죄수사권의 이관에 반대하고 있습니다. 더불어민주당 역시 국정원 개혁에 적극적이지 않은 모습입니다. 최근에는 선거제도 개혁과 관련된 패스트트랙법안을 협의하면서 더불어민주당은 협상카드라며 국정원개혁법안을 그 대상에서 제외하기도 했습니다. 이 상태로 20대 국회에서 국정원에 대한 제도적 개혁을 이루지 못한다면, 국정원은 정권과 집권자의 의지에 따라 언제든지 무소불위의 정권보위기관으로 회귀할 수 있습니다.</p>
<p> </p>
<p>20대 국회에 계류 중인 국정원법 개정법률안을 분석하여 그 세부적인 내용을 살펴봤습니다. 총 14개의 국정원법 개정법률안을 분석한 결과 ▲직무범위 세분화 및 범죄수사권 폐지 내용을 담은 법안은 총 5개(진선미, 천정배, 박홍근, 김병기, 노회찬 의원안), ▲정치관여 금지, 처벌 강화 내용을 담은 법안은 총 8개(진선미, 천정배, 이원욱, 박홍근, 김병기, 노회찬, 이완영, 이은재 의원안)로 확인되었습니다. 또 ▲국회 통제 강화 방안을 담은 법안은 총 10개(김수민, 박찬대, 진선미, 천정배, 박홍근, 김병기, 노회찬, 이완영, 장제원, 이은재 의원안), ▲예산투명성 강화 방안을 담은 법안은 총 9개(김수민, 진선미, 천정배, 김성태, 박홍근, 추미애, 노회찬, 이완영, 이은재 의원안)로 확인되었습니다. </p>
<p> </p>
<p>분석결과 국정원 개혁의 필요성에는 여야가 모두 공감하고 있다는 것을 확인할 수 있었습니다. 다만 국정원의 범죄수사권 이관 또는 폐지에는 이견이 있었습니다. 그러나 첫째, 국정원의 직무범위를 축소·세분화하고 둘째, 국정원의 정치관여를 금지하고 처벌을 강화하며 셋째, ‘감찰관’을 신설하고, 국회의 자료제출요구권을 강화하여 국정원 외부 통제를 강화하고, 넷째, 예산을 총액으로 요구하지 못하도록 하는 등 국정원 예산의 투명성을 강화하는 방향에는 일정한 공감대가 형성되어 있었습니다. 이제 국회에 주어진 시간은 1년여입니다. 오랜 논의를 통해 제출된 국정원 개혁법안들이 사장되지 않도록 논의를 서둘러 20대 국회에서 국가정보원 개혁입법을 처리해야 합니다.</p>
<p> </p>
<p>▶이슈리포트 <a href="https://docs.google.com/document/d/1hCP9j_nv2ryhSeoYZujANbxITXv2kjIDpBM…; rel="nofollow">[보기/다운로드] 국회통과를 기다리는 국정원 개혁입법_14개 개정법률안의 주요쟁점과 참여연대 의견</a></p>
<p>▶보도자료 <a href="http://bit.ly/2HRuDGb" rel="nofollow">[원문보기/다운로드]</a></p>
<p> </p>
<p><iframe src="//e.issuu.com/embed.html#2952507/68841707" style="border:none;width:100%;height:450px;"></iframe></p>
<p> </p>
<div> </div></div>
주민 의견을 존중하고 현장 소통 행정을 실천하여 마을 민원의 중재자가 되겠습니다. 각종 규제완화를 위한 조례를 만들어 주민의 편의를 도모하겠습니다. 보조사업 지원 확대, 고부가가치 농업, 고령화에 맞춘 농업으로 농업경쟁력을 강화하고 농가소득을 안정화시키겠습니다. 전원마을, 친환경·휴양마을을 조성하여 외부인이 찾아오고 주민이 편안한 전원도시로 가꾸어 나가겠습니다. 노인일자리, 경로당, 노인복지시설, 의료시설에 대한 지원 확대로 노인복지를 확대하겠습니다. 생활체육활성화를 위해 시설확충 및 운영비 지원을 확대하여 군민 건강을 증진하겠습니다. 군위사랑상품권 등 지역화폐 사용 확대로 지역경제를 활성화하겠습니다. 행정에 대한 견제와 감시에 충실하여 예산낭비 없는 군위를 만들겠습니다.
소양강댐·소양호 관광레저 거점화 및 관광수익 주민 환원 구조 마련 신북·샘밭 먹거리 산업 클러스터 조성 및 청년창업 거점화 항공대 이전 추진 및 복합산업지구 조성 (e-Sports, 축구장, 미래산업지구 등 활용) 농지 규제 완화와 재산권 회복 및 농촌활력촉진지구 등 규제 개선 북산면 4계절 산림관광 거점 조성 및 벚꽃길 주차난 해소 북산면 물로리·조교리 생활교통 인프라 정비 (교행구간, 위험도로, 제설 인프라 우선 정비) 북산면 행복콜버스·100원 마을택시 도입으로 어르신 이동권 보장 동면 강원중학교 학급 증설 및 교육여건 개선 동면 수열에너지 클러스터 성공 지원 (데이터센터·첨단기업 유치, 공공 데이터센터 우선 입주) 동면 상권·문화·생활편의시설 확충 및 장학부영 분양 문제 지원 동면 너울숲·만천천 생활환경 개선 (노후 숲 리모델링, 산책로 정비 및 연장) 시민 참여형 지역성장 펀드 조성 (시민 투자 및 성과 공유를 통한 지역 상생 구조 마련) AI·미래산업 대응 과학기술진흥기금 조성 (지역 과학기술·AI 산업·청년 창업 분야 투자)
통신3사는 그간 가명처리된 정보라는 이유로 가입자의 개인정보가 어떻게 활용되었는지를 공개하지 않고, 이를 중단해달라는 요구도 수용하지 않아왔습니다. 자신의 정보가 어떻게 처리되었는지 알수 없었던 이용자들이 정보공개청구 및 향후 가명처리와 무단활용을 하지 말아달라고 요청했지만, SKT는 거절했습니다. 이에 이용자들은 법원에 소송을 제기했고, 법원은 이용자들의 손을 들어주었습니다. 정보주체의 가명처리정지권 보장의 중요성을 인정한 이번 판결에 대해 김보라미 변호사가 비평했습니다.
「개인정보보호법」이 2020년 2월 4일 통과된 이후 “가명정보”라는 개념이 도입되었다. 「개인정보보호법」 법 제2조 정의에서 가명처리에 대하여는 “개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아 볼 수 없도록 처리하는 것”이라고 정의(법 제2조 제1의2호)하고, 가명정보에 대하여는 “개인정보를 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보”(제2조 제1호 다목)라고 정의하고 있다. 위 정의에서 “가명정보”는 ”추가정보“를 보유하고 있는 개인정보처리자 입장에서는 언제든지 특정 개인을 알아볼 수 있는 정보이기 때문에 개인 정보라는 점이 강조되어 있다.
우리 법에서 ”가명처리“의 정의는, EU GDPR1)의 가명처리(pseudonymisation)(제4조 제5호)2)와 동일한 정의규정을 가져와 유사하게 제정한 것이나, 정작 GDPR에서 가명처리는 안전조치의 하나로 도입되었을 뿐이라는 점에서 큰 차이가 있다. EU GDPR에서는 가명처리는 개인들의 권리행사를 배제하거나 기타 개인정보보호조치를 배제시키려는 의도로 도입된 것이 아니다(전문 제28조)3).
그러나 우리 법문 제3절에서는 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 처리 근거로서 EU GDPR 제87조를 차용하였으면서도, 완전히 다른 법체계로 조문구성이 되었다. 이렇게 된 이유는 우리 법에서는 가명처리가 안전조치로 고려되지 않았기 때문이었다. 정의에서 언급된 가명처리는 더 이상 (안전조치로도) 언급되지 않고, ”가명정보“만 과거 사회적 논란속에서 사라져간 「개인정보 비식별조치 가이드라인」(2016. 6. 30. 공표)에서의 ”비식별조치“와 유사한 맥락으로 활용되고 있다.
특히 현행 「개인정보보호법」는 ”가명정보“일 경우 개인정보주체의 동의없이 활용할 수 있는 특례를 허용해 주면서도 별도의 조건이나 제한 없이 수집출처 등 고지의무(제20조), 개인정보 파기의무(제21조), 영업양도 등에 따른 사전 통지의무(제27조), 개인정보 유출 통지의무(제34조), 열람권(제35조), 정정・삭제에 관한 권리(제36조), 처리정지 요구권(제37조), 정보통신서비스 제공자의 개인정보 수집・이용에 관하여 이용자로부터 동의 등을 받을 의무(제39조의3), 개인정보 유출통지 및 신고의무(제39조의4), 개인정보 파기의무(제39조의6), 동의 철회에 관한 권리(제39조의7) 등의 개인의 기본적 권리 행사도 모두 불가능하게 규정(법제28조의7)했다는 점에서 그 문제가 심각하다.
위 규정대로라면 ”가명정보“는 개인정보라고 강조하며 정의하고 있는데, 제3절의 가명정보의 처리 특례를 통해 ”개인정보“가 아닌 것처럼 역할하고 있는 것이다.
헌법재판소는 개인정보자기결정권에 대해서 헌법 제10조 제1문에서 도출되는 일반적 인격권, 헌법 제17조의 사생활의 비밀과 자유에 근거하여 독자적인 기본권으로 인정하여 왔다.(헌재 2005. 5. 26. 자 99헌마513 등) 이러한 개인정보자기결정권에는 개인이 개인정보 처리에 관하여 동의할 수 있는 권리, 동의 범위 등을 선택하고 결정할 수 있는 권리, 열람을 요구할 수 있는 권리, 개인정보의 처리 정지, 정정·삭제 및 파기를 요구할 권리가 실질적으로 구현되어야 한다. 이러한 권리가 구현되지 않는 개인정보자기결정권은 존재하지 않는 것과 같다.
개인정보자기결정권은 개인정보를 식별가능한 상태로 처리함으로써 개인의 사생활이 침해된다는 것에 대해 방어할 수 있는 권리에 그치는 것이 아니라, 개인이 자신의 정보흐름에 대해 주도권을 가지지 못하고 배제됨으로써 겪는 인격권 침해를 막고 적극적으로 참여할 수 있도록 하는 권리이기도 하다. 그러므로 ”개인이 행사하여야만 하는 헌법상 기본권“을 처리의 목적 달성 여부나 필요성, 최소 침해성 여부 등을 전혀 고려하지 않고 전면 배제하여 통제권을 유명무실한다면 이는 헌법상 과잉금지원칙 위반이라고 해석될 수 있다.
이번 SKT 사건 판결은, 「개인정보보호법」에서 가명정보 특례 조항들이 가지고 있는 문제를 본격적으로 짚었을 뿐만 아니라, 개인정보자기결정권이라는 기본권을 침해여부에 대한 헌법적 평가까지 함께 했다는 점에서 의미가 크다. 판결문에서는 명시적으로 언급되지 않았으나, 우리 법에서 명확하게 규정하지 않은 식별가능한 개인정보가 가명정보화되는 처리과정 및 처리근거에 대한 문제제기 역시 같은 맥락에서 검토될 수 있다.
해당 판결에서는 가명정보의 특례를 통해 개인들의 권리행사가 부당하게 제한되고 있다는 점에 대하여 ① 개인들의 권리행사가 왜 필요한가라는 측면 (필요성), ② 개인들의 권리행사를 전면 배제하는 것의 과잉침해성 (최소 침해성) 등을 언급하며 ”부당하다“고 평가하고 있다.
판결문 제9쪽 내지 제10쪽
가명정보가 … (중략)… 동일한 정보주체에 관한 여러 가명정보가 사용・결합되거나 그 밖에 이와 유사한 상황이 발생할 경우에는 정보주체에 대한 식별이 가능하게 될 위험이 존재하고 … (중략)… 개인정보가 정보주체의 의사와 무관하게 유출되는 경우에는 정보주체에게 심각한 피해가 초래될 가능성이 높고 그로 인하여 정보주체에 발생한 피해는 사후적으로 금전적 보상 또는 배상이 이루어지는 것만으로 회복될 수 있는 성질의 것이 아닌 이상 정보주체가 개인정보처리자에 대하여 식별가능정보에 대한 가명처리 내지 가명정보에 대한 처리에 관한 결정권을 충분히 자유롭게 행사할 수 있도록 할 필요성이 존재한다고 할 것이다.
그런데 개정된 개인정보 보호법은, … (중략)… 식별가능정보를 가명처리하여 생성된 가명정보에 대하여는 ①개인정보처리자의 정보주체 이외로부터 수집한 개인정보의 수집출처 등 고지의무(제20조), 개인정보 파기의무(제21조), 영업양도등에 따른 사전 통지의무(제27조), 개인정보 유출 통지의무(제34조)와 ②정보통시서비스 제공자의 개인정보 수집・이용에 관하여 이용자로부터 동의 등을 받을 의무(제39조의3), 개인정보 유출통지 및 신고의무(제39조의4), 개인정보 파기의무(제39조의6) 및 ③정보주체의 열람권(제35조), 정정・삭제에 관한 권리(제36조), 처리정지 요구권(제37조), 동의 철회에 관한 권리(제39조의7) 등의 적용을 모두 배제함으로써(제28조의7) 정보주체의 가명정보의 처리에 대한 결정권을 상당하게 제한하고 있다.
그렇다면 개정된 개인정보보호법 제28조의7에서 처리정지 요구권의 적용을 배제하고 있는 ‘가명정보’에 식별가능정보를 가명처리하는 것까지 포함된다고 해석할 경우 정보주체가 개인정보처리자에 대하여 가명정보에 대한 개인정보자기결정권을 행사할 수 있는 방법이 원척적으로 봉쇄되는 부당한 결론에 이르게 된다.
또한 해당 판결에서는 가명정보로 처리되기 전에 자신의 식별정보에 대한 가명처리정지를 요구할 수 있다는 점에 대하여 ‘개인정보 보호 법령 및 지침・고시 해설’ 등의 유권해석을 근거로 판단하고 있는데 더하여, 헌법적 평가를 시도하고 있다. 즉, ”식별가능정보의 가명처리에 대한 정보주체의 처리정지 요구권의 행사를 원천적으로 제한함으로써 침해되는 정보주체의 사익이 그로 인하여 얻을 수 있는 공익에 비하여 결코 작다고 단정할 수 없다“고 판단한 것이다. 이러한 판단은 향후 유사한 ”개인“들의 권리행사에 있어서도 다른 공익과의 비교형량의 중요 기준으로 활용될 수 있는 근거로서 검토될 수 있을 것이다.
오늘날 저장장치 및 빅데이터와 강력한 기계학습알고리즘 등의 발전으로, 인간의 눈에는 식별할 수 없는 것처럼 보이더라도 개인으로부터 파생되거나 추론되는 데이터들이 쉽게 민감한 데이터로까지 추론되는 시대를 살고 있다. 비루해 보이는 토끼굴이 사실은 석·박사들이 포진한 데이터처리회사라는 이상한 나라까지 쭉 연결되는 것처럼 말이다.
EU GDPR을 중심으로 세계적으로 개인정보보호법제가 디지털 시대에 개인정보주체에게 보다 적극적인 통제권을 부여하고, 개인의 인권을 침해하는 개인정보처리를 제한하는 방향으로 변화되고 있다. 관련된 캘리포니아 주 법은 이에 영향을 받아 두 차례에 걸쳐 개정되었으며, 미 연방 개인정보보호법안도 발의된 바 있다.
이번 판결에서 문제가 된 「개인정보보호법」 제3절 가명정보의 특례는 개인정보보호법 전체 맥락과 견주어 보아도 어떤 개인정보처리규정과도 연결점이 없이 갑자기 툭 튀어나온 모습이다. ”활용”과 ”데이터 결합”을 위해 보호법에 특별한 특혜규정을 열어준 것이다. 지금이라도 법체계내에서 ”가명정보“라는 개념은 폐기하고, 가명처리를 안전조치의 일종으로 검토하여 개인정보보호법의 본래적 목적에 맞는 법개정이 이루어져야 한다. 또한 근본적으로 헌법상 개인정보자기결정권을 실질화하는 개인의 권리를 복원해야 한다.
1) EU GDPR(General Data Protection Regulation, EU 일반 개인정보보호법). 2016년 공포된 유럽의회 통합 규정으로써 유럽 시민들의 개인정보 보호를 강화하기 위해 시행된 규정으로 유럽 연합 시민의 데이터를 활용하는 경우 준수해야 한다. 개인정보 유출에 대한 심각성이 강조되면서 유럽뿐 아니라 전세계적으로 채택되거나 이와 유사한 법제가 도입되고 있다.
2) ‘pseudonymisation’ means the processing of personal data in such a manner that the personal data can no longer be attributed to a specific data subject without the use of additional information, provided that such additional information is kept separately and is subject to technical and organisational measures to ensure that the personal data are not attributed to an identified or identifiable natural person;
3) The application of pseudonymisation to personal data can reduce the risks to the data subjects concerned and help controllers and processors to meet their data-protection obligations. The explicit introduction of ‘pseudonymisation’ in this Regulation is not intended to preclude any other measures of data protection
참여연대 사법감시센터는 최근 판결 중 사회 변화의 흐름을 반영하지 못하거나 국민의 법 감정과 괴리된 판결, 기본권과 인권보호에 기여하지 못한 판결, 또는 그 와 반대로 인권수호기관으로서 위상을 정립하는데 기여한 판결을 소재로 [판결비평-광장에 나온 판결]사업을 진행하고 있습니다. 주로 법률가 층에만 국한되는 판결비평을 시민사회 공론의 장으로 끌어내어 다양한 의견을 나눔으로써 법원의 판결이 더욱더 발전될 수 있다는 생각 때문입니다.
![통계작성, 과학적 연구, 공익적 기록보존 등을 위한 처리근거 비교표. 우리 개인정보보호법과 유럽 GDPR을 비교하고 있다. 체계. 우리 개인정보보호법. 개인정보 처리근거와 무관하게 맥락없는 가명정보의 특례로 “동의받지 않고 활용할 수 있다”라고 구성되어 있음(제3절 가명정보의 처리에 관한 특례). 유럽GDPR. 양립가능성(제6조 제4항 본문)을 근거로 하여 공익적 기록보존 목적, 과학적 또는 역사적 연구 목적, 또는 통계 목적을 위한 추가 처리를 양립가능성 범위내로 예시함(전문 제50조, 제5조 제1항 b호 후문). 요건. 우리 개인정보보호법. 가명정보. 유럽GDPR. 가명처리는 안전조치의 하나일 뿐이지, 가명처리되었다고 하여 안전조치가 전부 충족된 것은 아니다. 정보주체의 권리 배제. 우리 개인정보보호법. 별도의 조건이나 제한없이 수집출처 등 고지의무(제20조), 개인정보 파기의무(제21조), 영업양도등에 따른 사전 통지의무(제27조), 개인정보 유출 통지의무(제34조), 열람권(제35조), 정정・삭제에 관한 권리(제36조), 처리정지 요구권(제37조), 정보통신서비스 사업자의 정보통신서비스 제공자의 개인정보 수집・이용에 관하여 이용자로부터 동의 등을 받을 의무(제39조의3), 개인정보 유출통지 및 신고의무(제39조의4), 개인정보 파기의무(제39조의6), 동의 철회에 관한 권리(제39조의7) 등 정보주체의 권리행사배제 (법 제28조의7). 유럽GDPR. - 과학적 또는 역사적 연구 목적, 통계 목적으로 처리되는 경우 일부 정보주체의 권리[제15조(열람권) , 제16조(정정권), 제18조(처리에 대한 제한권), 제21조(반대할 권리)]를 배제할 수 있으나, 이 경우에도 해당 권리가 목적의 달성을 불가능하게 하거나 중대하게 손상시키고, 그러한 배제가 목적달성에 필요한 경우에만 배제를 허용함. - 공익적 기록보존 목적일 경우에는 [제15조(열람권) , 제16조(정정권), 제18조(처리에 대한 제한권), 제19조(고지의무), 제20조(개인정보이동권), 제21조(반대할 권리)]를 배제할 수 있으나, 이 경우에도 해당 권리가 목적의 달성을 불가능하게 하거나 중대하게 손상시키고, 그러한 배제가 목적달성에 필요한 경우에만 배제를 허용함.](https://pspd-www.s3.ap-northeast-2.amazonaws.com/wp-content/uploads/2023/02/21103403/20230220_%ED%8C%90%EA%B2%B0%EB%B9%84%ED%8F%89_%EA%B9%80%EB%B3%B4%EB%9D%BC%EB%AF%B8%EB%B3%80%ED%98%B8%EC%82%AC_%ED%91%9C1.png)
시민들의 의견
댓글 달기