5월 28일 헌법재판소는 주민등록증 발급시 열손가락 지문날인을 강제하는 주민등록법 시행령이 헌법에 위반되지 않는다고 결정했습니다. 이에 참여연대와 함께 했던 다른 단체들 및 청구인들은 아래와 같이 공동 논평을 발표했습니다

이번 헌법소원의 청구인 김아무개씨 등 3인은 ‘주민등록증 지문날인은 위헌’이라고 생각하고 주민등록증 발급연령에 도달한 만17세에 지문날인을 거부하고 주민등록증을 발급받지 않았습니다. 청구인들은 이 때문에 일상생활의 신분 증명에서 갖은 불이익을 받다가 지난 2011년 이번 헌법소원을 청구한 바 있습니다.

 이 소송은 천주교인권위원회 유현석공익소송기금(아래 ‘기금’)의 지원으로 진행되었습니다. 기금은 평생을 실천하는 신앙인으로서, 의로운 인권변호사로서, 약자들의 벗으로서의 한결같은 삶을 살다 2004년 선종하신 故유현석 변호사님의 유족이 고인의 뜻을 기리고자 출연한 기부금을 바탕으로 구성되었습니다. 천주교인권위는 유족의 뜻을 받아 2009년 5월 유현석 변호사님의 5주기에 맞춰 기금을 출범시키고, 공익소송사건을 선정하여 지원하고 있습니다

헌법재판소 지문날인 제도 합헌결정에 대한 공동 논평

그럼에도 불구하고 우리는 여전히 국가의 지문날인 강제가 위헌이라고 믿는다

오늘(5/28) 헌재는 지문날인 헌법소원 사건(2011헌마731 주민등록법 시행령별지 제30호 서식위헌확인)에 대해 6:3으로 합헌결정을 내렸다. 지난 2005년 지문날인 사건에 대한 6:3 합헌결정에서 한발자국도 나아가지 못하고 헌재가 국민의 개인정보자기결정권에 대한 국가의 침해행위를 정당화해준 것이다. 우리는 헌재의 오늘 결정에 대하여 깊은 유감을 표하며 규탄하는 바이다.

이 사건은 지난 2011년 11월 21일 지문날인과 주민등록증 발급을 거부한 청소년들이 주민등록증발급신청서에 좌우 열 손가락의 지문을 찍어 주민등록증 발급신청을 하도록 한 주민등록법시행령이 헌법에 위반된다는 취지로 헌법소원을 제기한 것이었다.

1962년 박정희 군사독재정권에 의해 제정된 주민등록법과 주민등록제도는 50여년 간 견고하게 존재해 왔다. 특히 만17세에 도달한 전 국민에 의무적으로 국가신분증을 발급하면서 강제적으로 지문을 날인하도록 한 주민등록증 제도는 끊임없는 인권침해 논란을 불러 왔다. 청구인들은 “주민등록증 지문날인은 위헌이다”라고 믿고 주민등록증 발급연령에 도달한 만17세부터 현재까지 지문날인을 거부해 왔으나, 일상 생활의 신분증명에 있어 많은 불이익을 받아 왔다.

특히 디지털 시대 개인에게 고유한 생체정보의 보호 필요성이 그 어느때보다 중요해지는 때, 오늘 헌재의 결정은 매우 실망스러운 것이었다. 지난 2005년 구체적인 법적 근거 없이 전국민의 지문 정보를 경찰청장이 수집·보관·이용하는 것이 합헌이라고 결정한 이후 역시 구체적인 법적 근거 없이 국가가 전국민의 열손가락 지문날인을 강제하는 제도 그 자체에 대해서도 헌재가 면죄부를 부여한 것이다.

우리는 여전히 국가의 지문날인 강제가 위헌이라고 믿는다. 이와 같은 사실은 3인 재판관의 반대의견으로도 확인되었다. 법률에 뚜렷한 근거를 두지도 않고 수사편의를 위해 만17세 이상 전국민을 대상으로 국가가 지문정보를 수집하는 것은 개인정보 자기결정권을 과잉하게 침해하고 있는 것이다.

우리는 수사편의를 위해 국민의 정보인권 침해를 외면한 헌재의 오늘 결정을 규탄한다. 국가의 전국민 지문날인 강제가 합헌이라는 결정에 도저히 승복할 수가 없다. 오늘의 결정에도 불구하고 우리는 앞으로도 국가의 개인정보 자기결정권 침해를 묵과하지 않을 것이며 지문날인 제도가 마침내 사라질 때까지 도전을 멈추지 않을 것이다.

2015년 5월 28일

인권교육센터 들, 인권운동사랑방, 전북평화와인권연대, 진보네트워크센터,
참여연대, 천주교인권위원회, 청소년인권행동 ‘아수나로’, 함께하는시민행동
지문날인 헌법소원 청구인들

참여연대 “경찰에 통신자료 무단제공한 네이버 상대 손배소송 대법원 판결”에 대한 기자회견 개최

일시 및 장소 2016.3.10.(목), 오전 10시 대법원 선고 직후, 대법원 앞

1. 취지와 목적

 - 참여연대 공익법센터는 내일(3/10) 오전 10시 대법원 앞에서 회원의 신상정보(통신자료)를 경찰에 무단으로 제공한 네이버 상대 손해배상소송의 대법원 판결 선고 직후 이에 대한 기자회견을 개최함. 기자회견에는 박경신 참여연대 공익법센터 소장(고려대 교수)와 이 사건 대리인 박주민 변호사, 양홍석 변호사가 참석할 예정임. 
- 기자회견에서 대법원 판결의 의미, 향후 대응 방안 및 테러방지법 통과 이후 고조된 국민사찰 문제와의 관계 등에 대한 설명과 질의응답이 있을 예정.

2. 사건 개요

 - 이 사건의 시작은 지금으로부터 5년 전인 2010년 3월로 거슬러 올라감. 이른바‘회피연아’ 동영상을 자신의 개인 커뮤니티에 올린 네이버 회원이 유인촌 전장관으로부터 명예훼손죄로 고소당했다는 사실을 종로경찰서 모 경사에게 휴대전화를 통해 통지받게 됨. 닉네임을 사용해 올린 동영상 게시물을 보고 어떻게 자신의 전화번호와 이름까지 알게 되었는지 물어보자 네이버로부터 제공받았다는 사실을 알게 됨. 즉,네이버가  자신에게 동의도 구하지 않고 또한 제공사실을 알려주지도 않고 수사기관에 가입할 때 제공한 신상정보 일체를 제공한 것임.

- 참여연대는 이 네티즌의 제보를 받아 네이버가 회원약관에 명시한 개인정보보호의무를 위반하였고 이로 인해 익명표현의 자유와 사생활의 비밀과 자유를 침해하여 손해배상을 할 의무가 있다는 취지의 소송을 2010년 7월 15일 제기함. 
- 1심 법원에서는 손해배상의 책임을 인정하지 않았으나 서울고등법원은 2012년 10월 개인정보의 자기결정권, 익명표현의자유 등 침해를 인정하여 네이버 측에 50만원의 손해배상하라고 판결함. 이후 주요포털사들은 수사기관이 영장없이 통신자료를 요구할 때는 응하지 않기로 선언함.
- 이후 네이버는 대법원에 상고하였고 대법원은 햇수로 4년만인 내일 3월 10일 오전 10시 판결 선고를 하는 것임.

○ 문의 : 참여연대 공익법센터 02-723-0666 

헌법의 가치보다 기업의 이익을 우선시 하는 「규제프리존 특별법」에 반대한다!

 ‘지역전략사업육성’ 명목 하에 일방적인 비식별화 법정화 시도 중단해야-

 정부와 국회는 국민의 개인정보 보호를 강화하고 ‘정상화’ 하겠다는 약속 지켜야

 개인정보 보호 관련 특례 조항에 반대하는 시민사회 공동 의견서 국회 제출

지난 3월 24일 새누리당 강석훈 의원은  ‘지역전략산업육성’이라는 명목으로 개인정보보호 관련 법률 적용을 배제하는 특례조항이 포함된  「지역전략산업육성을 위한 규제프리존의 지정과 운영에 관한 특별법」( 이하 「규제프리존 특별법」)을 대표발의 했습니다. 경실련, 진보네트워크센터, 참여연대는 헌법에서 보호하고 있는 기본권인 개인정보의 자기결정권을 ‘지역전략산업육성’이라는 명목 하에 제한하는 「규제프리존법 특별법」 제정을 강력히 반대합니다.

「규제프리존 특별법」은 ▲자율주행전자장비가 수집한 개인정보 및 위치정보(「위치정보의 보호 및 이용 등에 관한 법률」), ▲영상정보 자동처리기기로 수집된 개인정보(「개인정보보호법」), ▲사물인터넷을 기반을 통해 수집된 개인정보(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」)를 ‘비식별화’ 하면 관련 법률의 적용을 배제시켜 기업들이 이용자의 동의 없이 마구잡이로 사용할 수 있도록 하고 있습니다. 이는 기업의 이득을 위해 디지털 시대 중요한 인권으로 주목받고 있는 개인정보에 대한 자기결정권을 중대하게 침해하고 있는 법안입니다.

원칙적으로 개인정보의 수집・이용・제공 등은 정보주체의 동의를 받는 것이 국제규범 및 우리 헌법이 보장하고 있는 개인정보 자기결정권의 본질적인 내용입니다. 이러한 관점에서 암호화 등  ‘비식별화’는  ‘익명화’와 달리  ‘재식별화’하여 개인을 특정할 수 있어 정보주체의 동의 없이 개인정보를 처리하는 것은 현행 개인정보 보호법제와 대치됩니다.

박근혜 정부가 빅데이터 산업과 관련하여  ‘익명화’와 다른  ‘비식별화’의 법정화를 추진하는 것은 국제적으로 강화되는 개인정보 보호 추세에 어긋날 뿐만 아니라 유사 입법례도 찾을 수 없습니다.

유럽연합은 빅데이터 시대에 대비하기 위해 프로파일링 거부권 등 개인정보에 대한 정보주체의 권리를 강화하는 「일반 개인정보 보호 규정」(GDPR)을 제정을 통해 개인정보 보호 권리를 강화하고 있습니다. 반면 우리나라의 경우 반복적인 개인정보 대량 유출과 주민등록번호의 무분별한 사용으로 국민 한사람 한사람의 개인정보에 대한 식별성이 매우 높은 상태로 국제적으로 우리 국민의 개인정보가 암암리에 거래되는 매우 위태로운 형편입니다.

빅데이터 시대에는 개인정보에 대한 자동화된 처리가 더욱 급증할 것으로 예상됩니다. 이에 대한 국가의 책무는 빅데이터 시대 국민의 개인정보를 더욱 안전하게 보호할 수 있는 방안을 마련하는데 있습니다. ‘지역전략산업육성’의 명목으로 기존에 잘 작동해온 개인정보 보호 법제의 적용을 오히려 배제하는 것은 시대적 요구와 국민적 기대를 역행하는 처사임을 분명히 알아야 합니다.

정부와 국회는 불과 2년 전에 발생한 카드3사 사건에서 국민의 개인정보 보호를 강화하고 ‘정상화’하겠다고 국민 앞에 약속한 바 있습니다. 일부 산업의 이득을 위해 국민의 개인정보에 대한 동의권을 박탈하는 것은 국민과의 ‘약속’을 저버리는 행위로 사회적 반발과 논란을 야기할 것입니다.

개인정보 ‘비식별화’는 어떠한 사회적 논의와 합의 없이 여전히 논란의 중심에 있습니다. 정부는 위험성을 제기하는 여러 목소리를 무시하고 강행할 것이 아니라,시민사회와 유기적으로 협력하여 개인의 자유와 권리를 침해하지 않도록 노력해야 합니다.

경실련, 진보네트워크, 참여연대는 시민들의 안전과 개인정보 보호를 위해 관련 특례에 대한 공동 반대 의견서를 국회 해당 상임위에 제출하고, 적극적인 대응을 지속할 것입니다.

<규제프리존 - 비식별화 관련 의견서>

 

「지역전략산업육성을 위한 규제프리존의 지정과 운영에 관한 특별법안」(강석훈의원 대표발의) 관련 의견서
-    개인정보 보호 관련 특례 조항에 반대함 - 

 

 

1.    취지 및 배경

 

강석훈의원이 2016. 3. 24. 대표발의하였고 여야가 합의하였다고 알려진 「지역전략산업육성을 위한 규제프리존의 지정과 운영에 관한 특별법안」(이하 ‘규제프리존 법안’)에는 개인정보 보호 관련 법률의 적용을 배제하는 특례 조항들이 포함되어 있음 

지역전략산업육성이라는 명목으로 「위치정보의 보호 및 이용 등에 관한 법률」, 「개인정보 보호법」과 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에 대한 특례 규정을 두어야 할 불가피성은 찾을 수 없는 반면, 지역전략산업육성의 명목으로 헌법이 보호하고 있는 국민의 기본권을 일방적으로 제한하고 있음

특히 위치정보법이나 정보통신망법에 대한 특례 조항의 경우 암호화 등 ‘비식별화’ 처리를 하면 기업들이 개인정보를 이용하거나 제공할 때 이용자의 동의 절차를 배제할 수 있도록 함. ‘비식별화’는 ‘익명화’와 다른 개념으로서 익명화되지 않은 정보를 자유롭게 사용할 수 있도록 허용하는 것은 관련 기업의 이익을 위하여 정보주체의 개인정보에 대한 자기결정권을 중대하게 침해함

오늘날 개인정보 이용이나 제공은 수집·이용·제3자 제공은 물론 판매(홈플러스 사건, IMS헬스코리아 사건)를 포함하는 개념임. 이 과정에서 동의권을 박탈하는 내용의 입법은 정보주체인 국민의 반발과 사회적 논란을 야기할 것이며 건강한 미래 산업의 육성 또한 위태롭게 할 것이 분명함

 

2. 디지털 정보 및 정보통신을 통한 서비스와 관련된 규제의 완화는 일정 지역에서 규제를 완화한다는 취지에 부합할 수 없음

 

규제프리존 법안에서 지역 전략산업 육성을 위해 완화하는 규제는 거의 모두 해당 지역 안에서만 규제가 완화되는 효과가 나타나게 할 수 있는 것들임. 예를 들어 규제프리존 지역에서 자율주행자동차 임시운행 허가, 무인기 비행전용공역 지정, 미래창조과학부장관의 승인을 받지 않은 통신기기 제조업 영위 등이 그러함

그런데 디지털 정보가 활용되는 서비스, 정보통신 기술을 이용하는 서비스의 경우는 권역이 무의미하기 때문에 규제 완화의 효과를 규제프리존 안으로만 제한할 수 없음

그래서 만약, 정보통신 기술 업체들이 새로운 분야의 사업을 신기술 기반사업으로 신청하여 개인정보보호법을 어기는 방식으로 사업을 추진하는 경우 전국적으로 혼란이 확장될 것임

 

3.    ‘개인정보 관련 규제’가 사업상 어떤 어려움을 야기하고 있기에 완화가 필요한지 불분명함

 

규제프리존에서 완화할 수 있는 규제는 건강한 사업환경 조성 등을 위해 부정적인 측면을 걷어내는데 초점을 맞추어야 함. 이를 통해 일부 산업이 초기 산업을 정상적으로 궤도에 이끌어 올릴 수 있도록 지원하는 역할을 하도록 해야 함

그런데 개인정보 관련 규제는 전혀 성질이 다름. 해당 규제를 일정 지역 안에서 통제할 수 있는 것도 아니고, 해당 규제 때문에 기술 발전이 막혀 있는 것도 아님

개인정보 관련 규제완화는 기업들이 이익을 추구하기 위해 개인정보 주체의 권리를 침해하면서 개인정보를 처리하려는 욕구의 발현에 다름 아님

 

4.    비식별화 개념의 법정화

 

원칙적으로 개인정보에 대한 수집 등 처리는 정보주체의 동의를 받아야 하는 것이 국제규범 및 우리 헌법이 보장하고 있는 개인정보 자기결정권의 본질적인 내용임. 다만 더이상 개인이 식별되지 않는 ‘익명’ 정보의 경우 개인정보 관련 법률들의 적용대상이 되지 않음. 즉, 개인정보 보호법 등 국내외 개인정보 보호 규범은 (1) 개인정보인 경우 동의권 등 정보주체의 권리 보장 (2) 다만 익명인 경우 적용예외를 인정하는 구조로 되어 있음. 

규제프리존 법안은 ‘비식별화’라는 별도의 개념을 만들어 개인정보보호규제 면제의 조건으로 삼았는데, 암호화 등 ‘비식별화’는

‘익명화’와 달리 궁극적으로 한 개인을 다른 개인과 식별하여 개인정보를 처리하는 방법 중 하나로서 그 결과물은 개인정보 자기결정권의 행사 대상임. 예를 들어, 처음부터 정보주체를 식별할 수 없는 상태에서의 원본정보를 수집하는 것과는 달리 개인정보 수집을 한 이후에 식별자제거, 범주화, 총계화, 데이터마스킹이 된 사본을 만드는 것은 원본을 이용하여 개인정보를 복원할 수 있다는 면에서 익명화라고 할 수 없는데 이 법안은 이 경우에도 자유롭게 사용할 수 있게 허용하고 있음.    

정부는 “미국, 영국 등 해외에서는 빅데이터 활용을 위하여 개인정보 비식별화 지침을 마련하여 활용 중”이라고 홍보하고 있으나, 이는 사실과 다름. 유럽연합은 오히려 빅데이터 시대 프로파일링 거부권 등 개인정보에 대한 정보주체의 권리를 강화하는 <일반 개인정보 보호 규정>(GDPR)을 제정하였음(4월 14일 유럽의회 최종 통과). 

미국에서도 개인정보 비식별화가 입법으로 규율되고 있는 것이 아니라 가이드라인 수준으로 업계 자율에 맡겨져 있으며 미국의 취약한 개인정보 보호 환경이 유럽 등과 국제 분쟁의 대상이 되고 있다는 점에서 모범 사례로 보기 어려움. 영국의 경우 엄밀히 말해 개인정보 감독관(Information Commissioner’s Office)이 발행한 가이드라인 은  비식별화(de-identification)가 아닌 <익명화(Anonymisation)>에 대한 가이드라인으로서, 익명화하여 처리하면 개인정보 보호규범에서 제외된다는 원칙적 내용을 소개하고 있음. 나아가 재식별될 위험성에 대해 경고하고 재식별되는 경우 개인정보에 대한 보호 원칙을 보장해야 한다는 점을 명시하고 있음.

박근혜 정부와 빅데이터 기업들이 ‘익명화’와 다른 ‘비식별화’의 법정화를 추진하는 것은 국제적으로 강화되는 개인정보 보호 추세에 어긋날 뿐 아니라 유사 입법례도 찾을 수 없음

최근 다국적 통계회사 IMS헬스 코리아가 전국 약국과 병원에서 총 4,400만 명에 해당하는 국민 건강정보 47억 건을 빅데이터 처리하여 판매한 사건으로 형사기소되어 재판을 받고 있음. 약학정보원 등 피고는 암호화로 주민등록번호를 ‘비식별화’ 처리를 하였다며 개인정보 판매에 대한 무죄를 주장하여 국민들에게 충격을 주고 있음. 비식별화를 입법하면 향후 모든 산업에서 유사한 피해 사례가 확산될 것이 명약관화함. 

 

5.    조항별 문제점 및 의견

 

(1)    제36조 : 반대

제36조(「위치정보의 보호 및 이용 등에 관한 법률」등에 관한 특례) 규제프리존 내 지역전략산업과 관련된 자율주행자동차 전자장비의 인터넷 주소를 이용하여 자동수집장치 등에 의해 개인정보 및 위치정보를 수집하고 수집한 개인정보에 대하여 데이터 값 삭제, 총계처리, 범주화, 데이터 마스킹 등을 통하여 개인정보의 일부 또는 전부를 삭제하거나 대체함으로써 특정 개인을 식별할 수 없도록 하는 조치(이하 “비식별화”라 한다)를 한 경우에는 「위치정보의 보호 및 이용 등에 관한 법률」및 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」을 적용하지 아니한다.

 

암호화 등 비식별화를 하는 경우 위치정보법과 정보통신망법 등 기존 개인정보 보호법제의 적용을 배제하는 것은 기업이 국민의 개인정보를 무분별하게 수집하고 이용, 나아가 판매하는 결과를 야기할 것임. 

반면 자율주행자동차 산업 육성을 위해 동의권 등 국민의 개인정보 자기결정권을 제한해야 할 불가피한 사정이 보이지 않음. 해외 어디에도 자율주행자동차 산업 육성을 위해 정보주체의 동의 없는 개인정보 처리를 허용하는 입법례를 발견할 수 없다는 점에서 이는 과잉 제한에 해당함

오히려 유럽자동차공업협회(The European Automobile Manufacturers’ Association, ACEA)는 빅데이터 처리로부터 개인정보 보호를 강화한 GDPR의 통과를 환영하는 성명을 발표하며 업계의 개인정보 보호 원칙으로서 ① 투명성(transparency) ② 소비자 선택권(customer choice) ③ 프라이버시 중심 설계(privacy by design) ④ 정보 보안(data security) ⑤ 비례적 정보 이용(the proportionate use of data)을 제시하였음 .

 

(2)    제39조 : 반대

제39조(「개인정보 보호법」에 관한 특례) 규제프리존 내 지역전략산업과 관련하여 역내사업자는 영상정보를 수집하여 특정개인을 알아볼 수 없도록 조치하는 경우에는 「개인정보 보호법」제25조제1항에도 불구하고 시·도에서 정한 조례에 따라 영상정보처리기기를 설치·운영할 수 있다.

 

개인정보 자기결정권의 보호대상이 되는 개인정보는 개인의 신체, 신념, 사회적 지위, 신분 등과 같이 개인의 인격주체성을 특징짓는 사항으로서 그 개인의 동일성을 식별할 수 있게 하는 일체의 정보라고 할 수 있고, 반드시 개인의 내밀한 영역이나 사사(私事)의 영역에 속하는 정보에 국한되지 않고 공적 생활에서 형성되었거나 이미 공개된 개인정보까지 포함함(헌재 2005. 5. 26. 99헌마513 등). 또한 우리 개인정보 보호법 뿐 아니라 개인정보 보호에 관한 국제규범에 따르면 ‘개인정보’란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는(identified) 정보 뿐 아니라 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는(identifiable) 것도 포함함

따라서 영상정보 자동처리기기를 이용하여 공개적으로 수집되었고 직접적일 뿐 아니라 간접적으로 특정개인을 알아볼 수 있는 경우에는 마땅히 국민의 개인정보 자기결정권의 행사 대상임. 개인정보 보호법의 경우 영상정보 자동처리기기의 특수성을 감안하여 그 설치와 운영의 목적을 제한하고 있으나(제25조) 목적외 이용과 제3자 제공 등에 대해서는 일반적인 개인정보 보호 규정의 적용을 받음

국민의 기본권에 속한 개인정보 자기결정권을 제한하기 위해서는 구체적이고 명확한 ‘법률’적 근거가 충족되어야 하며, 특정 지역이라는 이유만으로 국민이 그 권리의 행사를 포기하도록 포괄적으로 규정하는 것은 위헌적임. 반면 이 조항에 따르면 개인정보 처리에 대한 동의권의 행사가 헌법 및 개인정보 보호법에서 보장하고 있는 영상정보의 수집과 이용에 관한 규정을 무시하고 시도 조례에 의해 제한받도록 함

디지털 네트워크의 특성상 특정지역에서 수집된 영상정보라 하더라도 가공하여 다른 지역, 나아가 다른 국가에서 이용 혹은 판매될 가능성을 감안해 볼 때 특정지역을 이유로 영상정보 보호 규정의 적용을 배제하는 것은 불합리함

 

(3)    제40조 : 반대

제40조(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에 관한특례) ① 규제프리존 내 지역전략산업과 관련하여 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」제2조제3호에 따른 정보통신서비스 제공자 중 역내사업자에 대하여는 규제프리존 내 설치된 사물인터넷 기반을 통하여 수집한 같은 법 제2조제6호에 따른 개인정보에 대하여 비식별화를 하는 경우에 같은 법 제24조 및 제24조의2를 적용하지 아니한다.

② 제1항에 따른 역내사업자는 비식별화 정보를 이용하는 과정에서 개인정보가 생성되는 경우 이를 지체없이 파기하거나 추가적인 비식별화 조치를 하여야 한다.
③ 제2항을 위반한 자에게는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」제24조 및 제24조의2를 적용한다.
④ 제1항부터 제3항까지에서 규정한 사항 외에 역내사업자의 지정방법, 관리방법 및 기타 절차에 관한 사항과 비식별화의 수준 및 방법 등 필요한 사항은 미래창조과학부장관과 방송통신위원회가 협의하여 정하는 바에 따른다.

 

사물인터넷 환경에서는 오히려 광범위하고 자동적인 개인정보의 수집과 이용이 많아지면서 그로부터 국민의 개인정보 자기결정권을 보장하기 위한 국가적 조치가 필요함. 반면 이 조항은 사물인터넷 환경에서 암호화 등 ‘비식별화’ 처리를 하면 정보통신망법상 개인정보의 이용 제한(제24조) 및 제공 동의(제24조의2) 절차를 생략할 수 있도록 하였음

암호화 등 비식별화를 하는 경우 정보통신망법 등 기존 개인정보 보호법제의 적용을  배제하는 것은 기업이 국민의 개인정보를 무분별하게 수집하고 이용, 나아가 판매하는 결과를 야기할 것임. 특히 개인정보를 비식별화하였다가 재식별화하는 경우 개인정보 처리에 정보주체의 동의를 받거나 즉시 ‘처리 중단’하는 것이 아니라 선택적으로 ‘추가적인 비식별화’를 하겠다는 것은 결국 기업이 비식별화 정보가 재식별된 후에도 계속 이용하는 것을 보장하고 있음

무엇보다 ‘역내사업자’라고는 하지만 정보통신망법상 정보통신서비스 제공자의 경우 정보통신망을 통한 서비스 대상이 역내에 그치지 않고 전국, 혹은 전세계에 걸쳐 있음. 결국 이 조항은 지역전략산업을 이유로 국민의 개인정보에 대한 자기결정권을 전국 혹은 전세계에 걸쳐 무력화하는 효과를 불러올 것으로 보임

반면 사물인터넷 산업 육성을 위해 동의권 등 국민의 개인정보 자기결정권을 제한해야 할 불가피한 사정이 보이지 않음. 해외 어디에도 사물인터넷 산업 육성을 위해 정보주체의 동의 없는 개인정보 처리를 허용하는 입법례를 발견할 수 없다는 점에서 이는 과잉 제한에 해당함

오히려 유럽연합 29조 개인정보 보호 작업반에서는 2014년 9월 16일 발표한 사물인터넷 관련 의견서 에서 설령 가명화(pseudonymised), 심지어 익명화하더라도 예외없이 개인정보로서 보호할 것을 권고하고 있으며 사물인터넷 환경에서는 익명인 것처럼 보였던 정보로부터 개인 식별이 충분히 이루어질 수 있다는 사실을 경고하고 있음. 유럽연합에서는 사물인터넷의 경우에도 최종 이용자(end user)의 동의권 등 정보주체의 권리를 보장해야 한다는 점을 강조하고 있음

 

6.    결론

한국의 경우 반복적인 개인정보 대량 유출과 주민등록번호의 무분별한 사용으로 인해 국민 한 사람 한 사람의 개인정보에 대한 식별성이 매우 높은 상태로, 지금도 국제적으로 우리 국민의 개인정보에 대한 판매가 암암리에 이루어지고 있는 위태로운 형편임

빅데이터 시대에는 개인정보에 대한 자동화된 처리가 더욱 급증할 것이 예견되고 있음. 이에 대한 국가의 책무는 빅데이터 시대 국민의 개인정보를 더욱 안전하게 보호할 수 있는 방안을 마련하는 데 있다고 할 것임. 지역전략산업 육성의 명목으로 기존에 잘 작동해온 개인정보 보호 법제의 적용을 오히려 배제하는 것은 시대적 요구와 국민적 기대에 역행하는 처사임

개인정보 처리에 대한 동의권 등 개인정보 자기결정권은 헌법상 기본권(헌재 2005. 5. 26. 99헌마513 등)으로서 특정지역에 거주한다는 이유만으로 국민들에게 그 행사를 입법으로 그 포기를 강요하는 것은 위헌적임

비식별화에 대한 입법은 해외에서도 그 예를 찾아볼 수 없을 뿐 아니라 빅데이터 시대 개인정보 보호를 강화하는 유럽 등 국제 추세에 역행함. 산업의 이해를 위해 비식별화 개인정보에 대한 보호를 배제하는 것은 디지털 네트워크를 통해 특정 지역에서 뿐 아니라 전국, 나아가 전세계적으로 국민의 개인정보를 위험에 빠뜨리는 결과를 낳을 것임

정부와 국회는 불과 이년 전에 발생한 카드3사 사건에서 국민의 개인정보 보호를 강화하고 ‘정상화’하겠다고 국민 앞에 약속한 바 있음. 일부 산업의 이익을 위해 국민의 개인정보에 대한 동의권을 박탈하는 것은 국민과의 “약속을 저버리는” 행위로서 국민적 반발과 사회적 논란을 야기할 것으로 보임. 나아가 건강한 미래 산업의 육성 또한 위태롭게 할 것인 바, 개인정보 보호에 대한 대책은 지역전략산업 육성의 측면에서도 결코 소홀히 할 수 없는 국가적 과제임

 

2016. 5. 3.
경제정의실천시민연합
진보네트워크센터
참여연대

「 ‘4차 산업혁명’과 정보인권 」 연속토론회2

7월 26일(수) “빅데이터 활용과 개인정보 보호, 바람직한 균형은 무엇인가”

현행 개인정보보호법제의 문제점을 짚어보고, 빅데이터 시대 개인정보 보호원칙과 정보주체의 권리를 보장할 수 있는 법제 개선 방안을 모색

일시 및 장소 2017년 7월 26일(수) 오후2시-4시, 국회 의원회관 제2세미나실

국회 미래창조과학방송통신위원회 변재일(더불어민주당, 충북 청주시청원구), 김성수(더불어민주당, 비례대표), 추혜선(정의당, 비례대표), 국회 안전행정위원회 진선미(더불어민주당, 서울 강동구갑), 권은희(국민의당, 광주 광산구을), 이재정(더불어민주당, 비례대표) 의원과 언론개혁시민연대, 정보인권연구소, 진보네트워크센터, 참여연대, 한국소비자단체협의회, 함께하는시민행동 등 시민사회단체가 공동으로 주최하는 「 ‘4차 산업혁명’과 정보인권 」 연속토론회가 5차에 걸쳐 개최되고 있습니다.
 
 국가인권위원회가 후원하는 이번 연속토론회는 문재인 정부 공약 사항인 ‘4차 산업혁명’과 ‘개인정보 보호 강화’를 조화시키고 미래 신기술로부터 국민의 정보인권을 보호할 수 있는 방안을 모색하고자 ▲정보·수사기관과 미래 신기술 ▲빅데이터 활용과 개인정보 보호의 바람직한 균형 ▲‘4차 산업혁명’ 시대 개인정보보호 컨트롤타워 ▲프로파일링 규제 등 빅데이터 시대 이용자의 권리 ▲자율주행차량, 사물인터넷 환경과 사이버 보안에 대해 논의할 예정입니다. 

  ‘정보·수사기관과 미래 신기술, 어떻게 만나야 하는가’를 주제로 이호중 교수(서강대학교 법학전문대학원, 정보인권연구소 이사장)가 발제를 맡은 지난 24일 제1차 토론회는 진지한 분위기 속에 무사히 마쳤습니다.

 7월 26일(수) 오후2시 국회의원회관 제2세미나실에서 연달아 개최될 제2차 토론회는 ‘빅데이터 활용과 개인정보 보호, 바람직한 균형은 무엇인가’를 주제로 열립니다. 연구목적 개인정보 이용 관련 규정에 대하여 개선을 제안하는 등 빅데이터의 합리적 활용 차원에서 현행 개인정보 보호법제의 보완 방안을 검토합니다. 다만 일방적인 규제완화가 아니라 정보주체의 개인정보 자기결정권을 합리적으로 보호하여 빅데이터 활용과의 균형을 모색할 예정입니다.

성균관대학교 법학전문대학원 김일환 교수가 사회를 맡은 가운데, 이은우 변호사(정보인권연구소 이사)가 발제를 맡고 고학수 교수(서울대학교 법학전문대학원), 이상윤 책임연구위원(연구공동체 건강과대안) 및 개인정보보호위원회와 한국인터넷진흥원에서 토론에 참여할 예정입니다.

발제를 맡은 이은우 변호사는 우선 빅데이터와 사물인터넷 시대를 앞두고 우리나라에서 다양하게 제기되고 있는 규제완화론, 보호강화론 및 국회 제출 개인정보 관련 법률안들을 검토 및 평가하였습니다. 발제자는 현행 개인정보보호법제의 경우 △개인정보보호원칙이 실종되고 형해화된 규정만 남음 △개인정보처리자에게 치우친 감독기관 및 집행체계의 문제가 있다고 진단하고 전면적 법률 개정이 필요하다고 평가하였습니다.

즉, 개인정보주체의 통제권 강화, 이를 위한 투명성 강화, 개인정보 보호 친화적인 기술 발전, 개인정보 주체 권리구제 등을 위한 법제도의 전면적인 개편이 필요하다는 것입니다. 다른 한편으로 공익적 연구 목적의 개인정보 활용에 대한 예외 규정 도입 등 경직된 형식적인 법률 규정의 완화 필요성도 조심스럽게 제기합니다.

무엇보다 발제자는 개인정보 보호원칙을 보완 및 구체화하여 실질적인 규범력을 갖도록 하고, 개인정보 주체의 동의권을 실질적으로 보장할 것을 주장하였습니다. 더불어 프로파일링과 자동화된 결정에 대한 규정, 개인정보 이전권, 프라이버시 중심 설계 등 유럽에서 새로 도입되는 제도를 참고하여 우리나라의 개인정보보호법제를 전면적으로 개선할 것을 제안하였습니다.

보도자료 [원문/ 다운로드]

참여연대, 행안부의  ᒥ개인영상정보보호법ᒧ제정안 반대의견 제출

영상정보만 별도 입법 필요성 미비, 현행보다 개인정보보호 수준 후퇴, 위헌·불법 논란있는 통합관제시스템 합법화 등 이유로 반대 

취지와 목적 

참여연대 공익법센터(소장 양홍석, 변호사)는 오늘(10/13) 행정안전부 김부겸 장관에게  <개인영상정보보호법제정안(행정안전부공고 2017-77호)>에 대한 반대 의견서를 제출함
이번 행정안전부의 「개인영상정보 보호법」 제정안 입법예고 수정안(이하, ‘제정안’)은 2016년 12월 16일 입법예고한 「개인영상정보호호법 제정안」(행정자치부 2016-370호)(이하, ‘원안’)을 수정하여 재입법예고한 것임.
이에 참여연대와 정보인권단체 등은 검토 의견을 행안부에 제출함.

개 요

이번 제정안은 이전 원안과 크게 달라진 바 없이 재입법예고된 것임. 제정안의 다수의 조항이 여전히 개인정보보호법의 규정과 유사하거나 중복되고 있을 뿐 아니라, 일부 조항은 현행 개인정보보호법의 보호수준보다 후퇴한 내용을 담고 있음. 
즉, 제정안은 첫째, 영상정보에  대해 특별히 별도 입법을 하여 다른  개인정보와 차등을 둘 합리적 이유가 없으며, 둘째, 기술발전에 따른 새로운 영상기기에 대한 규범 미비는 현행 기준이 되는 개인정보보호법 개정으로 가능하고, 셋째 , 위헌 위법 논란이 있을 뿐 아니라 그 목적실현이 검증된 바 없는 통합관제시스템 설치의 법률적 근거 마련을  위한 것으로 보임
이에 제정안이 제정이유에서 밝힌 개인영상정보보호 원칙과 기준을 규정하려는 취지에 부합하기 위해서는 현행 개인정보보호법에서 미비한 개인영상정보 규정은 적어도 현재의 보호 수준보다 높게 설계되어야 할 것이며, 따라서 현행보다도 후퇴한 이번 제정안은 전면 재검토하거나 폐기하여야 할 것임.  

현행 개인정보보호법상의 개인정보보호 수준보다 후퇴한 내용은 아래와 같음

사전 동의 예외 확대
목적 외 이용 및 제3자 제공 요건 확대
위헌 및 법적 논란이 있는 통합관제시스템 허용하고 있음
행정안전부 장관의 권한을 신설하여 현행 개인정보호법에 따라 설치된 개인정보보호위원회의 독립된 감독 권한을 축소하고 있음.영상정보 주체의 권리 후퇴
개인정보보호의 일관성, 효율성 침해

보도자료 원문[보기/다운로드]

*  <개인영상정보보호법제정안>에 대한 참여연대 의견서 보기
 

국무회의 통과한 개인영상정보보호법제정안 우려스럽다

위헌적인 통합관제시스템 운영의 “양성화” 로 목적 외 이용금지 원칙 훼손 등

지난 12월 19일 <개인영상정보보호 등에 관한 법률> 제정안(이하, ‘개인영상정보보호법안’)이 국무회의를 통과했다. 행안부는 보도자료를 통해, 개인영상정보 촬영과 유통 등에 대한 관리기준이 강화되었다며, 이번 법률안은  개인영상정보 침해를 예방하고 안전한 관리를 위한 각종 필수조치 사항을 법제화하였다고 밝히고 있다. 

그러나 이번 국무회의를 통과한 법률안은 우려스럽다. 이미 지난 10월 참여연대 등 시민사회는 행안부의 입법예고안에 대해 전면재검토 또는 폐기를 요구한 바 있다.  그 주요 이유는  영상정보만 특별히 별도 입법을 하여 다른 개인정보와 차등을 둘 합리적 이유가 없으며, 기술발전에 따른 새로운 영상기기에 대한 규범 미비는 현행 기준이 되는 개인정보보호법 개정으로 가능하고, 위헌 위법 논란이 있을 뿐 아니라 그 목적실현이 검증된 바 없는 통합관제시스템 설치를 합법화하는 것에 지나지 않아 보이며, 무엇보다개인정보보호의 일관성, 효율성을 침해한다는 것 등이었다. 특히 문제가 되는 것으로 ▶사전 동의 예외 확대, ▶영상정보주체의 권리가 현행 개인정보보호법에서보다 후퇴한 점, ▶목적 외 이용 및 제3자 제공 요건 확대, ▶위헌 및 법적 논란이 있는 통합관제시스템 허용,  ▶행정안전부 장관의 권한을 신설하여 현행 개인정보호법에 따라 설치된 개인정보보호위원회의 독립된 감독 권한을 축소하다는 점을 문제로 지적하였다.  

이번에 국무회의를 통과한 법률안은 입법예고 원안보다는 다소 개선되었다고는 하나 이와 같은 문제를 완전히 해소했다고 보기 어렵다. 법률안은 개인정보보호법과 다수의 조항이 유사하거나 중복되고 있어 여전히 일반규범인 개인정보보호법과 별도 법률제정을 통해 그동안 영상정보기기의 오남용 문제를 개선하겠다는 목적을 달성할 만큼의 입법 필요성이 있는지 의문이다. 

특히 영상정보는 다른 개인정보보호보다 더 엄격한 요건과 절차에 따라 수집, 이용되지 않는다면 오남용 되었을 경우 기본권 침해 정도가 더 크고 지속될 수 있다. 이에 현행 개인정보보호법에서 허용하고 있는  ‘범죄의 예방 및 수사를 위하여 필요한 경우’ 영상정보기기 설치 허용 예외 조항은 오히려 더욱 명확하게 적법절차 원리에 따라 강화되어야 한다는 요청이 컸음에도 법률안은 이를 아무런 개선없이 그대로 원용하고 있다. 

새롭게 규정된 이동형영상정보기기의 경우 촬영의 사전 동의 예외사항으로 정보주체가 아닌 정보처리자의 자의적 판단에 따라 가능할 수 있도록  “합리적인 범위를 초과하지 않는 범위”라고 단서를 달기는 하였으나 “정보주체의 권리를 부당하게 침해할 우려가 없고”라고 포괄적 규정함으로써 목적 외 수집금지 원칙을 완화하고 있다. 놀랍게도 가장 입법필요성을 강변할 수 있는 새로운 기술발전으로 규범력이 미치지 못할 가능성이 큰  ‘그밖의 영상처리기기’에 대해서는 아무런 관리 감독 기준이 없다. 

가장 우려스러운 것 중 하나는, 개인정보보호의 기본원칙인 목적 외 수집금지를 정면으로 위반한다는 지적을 받아온 통합관제 시스템 설치를 아무런 통제장치 없이 허용하고 있다는 점이다. 개인정보 영향평가를 하고 그 결과를 제출하기만 하면 운영할 수 있도록 함으로써 이를  정보주체가 감시 또는 통제할 방법이 전무하다. 법률안이 현재의 불법적 상황을 ‘양성화’하는 역할 외에 시민적 통제가 없고 자기정보결정권을 무력화한다는 지적을 받는 이유다. 또한 영상정보주체의 권리 측면에서도 법률안은 우려스럽다. 열람권 행사를 정보주체 외에 ‘정당한 이해관계가 있는 자’로 확대하는 등 정보주체의 동의나 법률적 근거 없이 수사기관이나 민간보험회사 등이 무분별하게 열람할 수 있는 근거를 두었다. 정부가 오늘 통과된 법률안을 국회에 곧 제출하겠다고 밝힌 만큼 참여연대는 이 같은 문제점을 국회 입법과정에서 바로잡을 수 있도록 필요한 활동을 할 것이다.

논평원문[보기/다운로드]