정부의 유럽연합(EU) 개인정보 보호수준 적정성 평가 추진에 대한 시민사회 의견서

유럽연합에서 2018년 5월 25일부터 일반개인정보보호규정(GDPR)이 시행되었다. 기존의 95년 개인정보보호지침과 달리 GDPR은 EU 역내에서 법과 같이 직접적인 구속력을 가진다. GDPR은 EU의 법률이지만 한국을 비롯한 전 세계 기업에게 영향을 미친다. EU 내에서 사업장을 운영하는 기업은 물론, EU 시민에게 재화나 서비스를 제공하는 기업이라면 모두 적용 대상이 되기 때문이다. 이에 따라 개별 기업 차원의 GDPR 대응도 필요하지만, 한국 정부도 유럽에 진출하는 국내 기업의 지원을 위해 EU 적정성 평가를 추진하고 있다.

시민사회는 EU 적정성 평가 추진이 국내 개인정보 보호수준을 국제적인 규범에 맞게 개선하는 계기가 될 수 있다고 생각하며, 한국 정부의 EU 적정성 평가 추진을 기본적으로 환영하는 바이다. 그러나 현재 한국 정부가 추진하는 부분 적정성 결정 추진은 오히려 국내 개인정보 보호법제 개선의 발목을 잡을 수 있다. 그 보다는 국내 개인정보 보호법제를 국제 규범에 맞게 개선한 후, 전체 적정성 결정을 추진하는 것이 보다 효과적이며 한국의 국제적 위상을 높이는 데에도 기여할 수 있다고 생각한다.

이에 한국 정부의 EU 적정성 평가 추진과 관련하여 다음과 같이 시민사회의 의견을 밝힌다.

1. 상향된 개인정보 국제규범 형성의 계기

EU는 자국 시민의 개인정보가 유럽 역외로 이전되는 경우, 원칙적으로 개인정보를 이전받는 제3국이 적정한 개인정보 보호수준을 보장할 것을 요구하고 있다. EU의 법제와 동일할 필요는 없지만, EU에서 보장하고 있는 것과 ‘실질적으로 동등한’ 수준으로 개인의 자유와 권리를 보장해야 한다는 것이다. 이에 EU 집행위원회는 제3국의 요청에 의해 해당 국가의 개인정보 보호수준을 평가하고 적정성 결정을 내린다. 물론 개별 기업 차원에서는 적절한 안전조치의 제공 등 유럽 시민의 개인정보를 자국으로 이전할 수 있는 또 다른 방법이 있지만, 국가 차원에서 적정성 결정을 받을 경우 해당 국가의 기업은 추가적인 조치 없이도 개인정보를 이전할 수 있다.

세계화된 디지털 정보 사회에서 재화나 서비스의 제공을 위한 개인정보의 수집과 이전은 피할 수 없다. 그러나 제3국으로 개인정보가 이전될 경우 본국보다 개인정보 보호수준이 낮은 나라로 이전될 경우에 정보주체의 권리가 침해될 가능성이 높아진다. 따라서 개인정보의 국외 이전 문제는 비단 EU 시민만의 문제가 아니며, 우리 국민의 개인정보가 제3국으로 이전될 때에도 안전하게 보호될 수 있도록 우리 역시 관련 법제를 정비할 필요가 있다.

개인정보의 국제적 이동이 활발해지면서 각 국의 개인정보 보호법제의 상호운용성이 중요해지고 있다. 즉, 개인정보의 보호를 위한 국제적인 규범이 형성되고 있으며, 이는 각 국의 개인정보 보호수준을 향상하는 계기가 될 수 있다. 그렇지 않으면, 개인정보가 추가적으로 이전되면서 개인정보 보호에 허점이 발생할 수 있고, 오히려 개인정보를 보호하지 않는 기업이나 국가가 이익을 볼 수 있기 때문이다. EU 집행위원회도 EU는 세계적으로 높은 수준의 상호 호환가능한 개인정보 보호 표준 증진을 위해 국제파트너와 논의를 지속할 것임을 밝히고 있다.[1]

우리는 EU 적정성 평가 신청을 계기로 한국의 개인정보 보호수준을 한단계 높이는 계기가 되기를 바란다. 다행히 한국 정부는 우리나라 국민의 개인정보가 제3국으로 이전하는 것과 관련하여 해당 국가의 개인정보 보호수준이 적정한 수준이어야만 한다는 내용으로 개인정보보호법 개정도 추진하고 있다고 한다. 시민사회는 정부가 EU 일반개인정보보호규정에 의한 적정성 평가를 추진하고, 우리 개인정보보호법제에 ‘적정성 평가’ 신설을 추진하는 것을 적극 환영한다.

2. EU 적정성 평가에 비추어 본 국내 개인정보 보호체계 개선 과제

한국의 개인정보 보호법제는 강하다고 알려져 있지만, 시민사회단체인 우리가 보기에는 많은 한계를 가지고 있다. 사회 전반을 관할하는 개인정보보호법과 더불어 정보통신망법, 신용정보법, 위치정보법 등 개별 영역을 관할하는 법이 존재하는데, 중복되고 유사한 조항들이 다수 존재하여 수범자의 혼란을 야기하고 있다. 무엇보다 독립적이고 적절한 권한을 가진 개인정보 감독기구의 부재는 큰 문제이다.

개인정보보호위원회를 비롯하여 행정안전부, 방송통신위원회, 금융위원회 등 다수의 감독기구가 있지만, 개인정보보호위원회는 정책의 심의, 의결 권한 및 분쟁조정을 관할하고 있을 뿐 인사권, 예산권이 없어 독립성이 없고 감독기구로서 필요한 집행권한도 없다. 행정안전부는 집행권한을 가지고 있지만 정부부처이기 때문에 독립성이 없고, 방송통신위원회와 금융위원회는 주된 업무가 해당 분야의 산업 발전과 규제를 동시에 담당하고 있어 종종 산업 발전을 명분으로 개인정보의 보호를 약화시킨다. (최근 <개인정보 비식별조치 가이드라인>이 대표적인 사례이다.)

또한, 감독기구가 분산되어 있기 때문에, 각 감독기구는 전문성을 갖기 힘들고 효율적인 집행에 한계가 있다. 우리 시민사회는 오래 전부터 개인정보보호위원회의 독립성을 보장하고 감독기구로서 필요한 권한을 부여함으로써, 개인정보보호위원회로 감독기구를 일원화할 것을 요구해왔다. 사실 한국정부는 이미 오래 전에 EU 적정성 평가를 추진한 바 있지만, 개인정보 감독기구의 독립성 문제로 EU로부터 부적격 통지를 받은 바 있다.

정보수사기관의 개인정보 접근 문제도 필요성과 비례성 요건을 갖추고 있지 못하고 있다. 예를 들어, 공공기관이 보유한 개인정보와 통신사들이 보유한 이용자의 가입자 정보가 영장없이 수사기관에 제공되고 있다. 특정 기지국에 접속한 이용자의 개인정보가 무분별하게 제공되거나 실시간 위치추적이 허용되는 등 통신사실확인자료에 대한 보호도 충분하지 않다. 정보수사기관의 개인정보 수집에 대한 독립적인 감독기구의 감독은 제대로 이루어지고 있지 않다. 유엔 시민적 정치적 권리규약 위원회(UN Human Rights Committee)도 한국정부에 영장없는 통신자료 제공, 기지국 수사, 국정원의 감청과 이에 대한 불충분한 규제 등에 대한 개선을 권고한 바 있다.

빅데이터 산업 활성화를 명분으로 법적 근거 없이 <개인정보 비식별조치 가이드라인>에 따라 (일부 비식별조치 된) 개인정보가 기업 간에 공유되고 있다. 개인정보보호법은 개인정보의 국외 이전 시 정보주체의 동의를 받고 있지만, EU의 적정성 결정과 같이 개인정보 보호수준이 한국보다 미흡한 국가로 개인정보가 이전되지 못하도록 규제하지는 않고 있다. 또한, 개인정보보호법은 프로파일링이나 자동화된 결정과 관련된 규정을 포함하고 있지 않다.

이와 같이 많은 문제점들로 인해 국내 개인정보 보호법제는 EU 적정성 평가를 통과하기 힘들다. 그러나 비단 EU 적정성 결정을 위해서가 아니라, 우리 시민들의 개인정보 보호를 위해서 국내 개인정보 보호법제는 국제적인 개인정보 보호규범에 맞게 개선될 필요가 있으며, 우리 시민사회는 이를 지속적으로 요구해왔다.

3. 부분 적정성 평가의 문제점과 한계

앞서 언급한 바와 같이, 한국 정부는 이미 EU 전체 적정성 평가를 추진한 바 있으나 감독기구의 독립성 문제로 EU로부터 부적정 통보를 받은 바 있다. 이에 한국 정부는 정보통신망법 중심의 부분 적정성 평가를 추진하고 있다. 그러나 이 역시 여러가지 문제점을 안고 있어서 EU로부터 적정성 결정을 받을 수 있을지도 의문이지만, 설사 적정성 결정을 받더라도 그 적용이 매우 제한적이라는 한계를 가질 수밖에 없다.

정보통신망법은 영리를 목적으로 한 ‘정보통신망 서비스제공자’가 수집하는 이용자의 개인정보로 그 관할 범위가 제한된다. 예를 들어 유럽 시장에 진출한 국내 정보통신서비스 제공자가 유럽의 피고용인의 개인정보를 수집하여 국내에서 통합 처리하는 경우, 오프라인 매장을 통해 수집한 고객정보의 처리, 보건의료나 금융 서비스 목적의 개인정보 수집 등도 정보통신망법의 적용을 받지 않는다.

또한, 정보통신망법에 관련 규정이 없어 개인정보보호법이 적용되거나(예를 들어, 개인정보보호법 제24조는 고유식별정보의 처리 제한을 규정하고 있는데, 정보통신망법에는 관련 규정이 없다), 국세청, 수사기관 등 정보통신망 외로 개인정보가 제공될 경우, 방송통신위원회는 감독권한을 행사하는데 한계가 있다.

또한, 우리는 부분 적정성 평가가 이루어질 경우 현재의 복잡한 개인정보 보호체계가 고착화되지 않을지 우려한다. 방송통신위원회가 부분 적정성 평가가 진행되고 있음을 명분으로 개인정보보호법으로의 법제 일원화나 개인정보보호위원회로 자신의 권한을 이양하는 것을 거부할 수 있기 때문이다. 부분 적정성 평가는 사실상 EU의 적정성 결정을 인정받기 힘들 뿐만이 아니라, 국내 개인정보 보호법제의 신속한 개선에도 장애가 될 수 있다.

4. 결론

따라서 한국의 시민사회단체는 한국 정부가 부분 적정성 평가를 추진하는 것보다 개인정보 보호법제를 개선한 후 전체 적정성 평가를 추진하는 것이 바람직하다고 생각한다. 우리는 한국과 유럽연합이 상호 전체 적정성 결정을 하고 함께 전 세계적으로 개인정보 보호수준의 향상과 표준화를 위해 기여할 수 있기를 바란다.

[1] European Commission, Digital Single Market – Communication on Exchanging and Protecting Personal Data in a Globalised World Questions and Answers, 2017.1.10
<끝>

경실련, 서울 YMCA, 소비자시민모임, 진보네트워크센터, 한국소비자연맹, 함께하는시민행동

<div class="xe_content"><h1>문재인 정부는 ‘개인정보보호’를 포기한 정부로 기억되려는 것인가?</h1> <p> </p> <h2>유영민 장관의 ‘보호’를 뺀 ‘개인정보위원회’ 주장을 규탄한다</h2> <h2> </h2> <p>지난 4일 유영민 과학기술정보통신부 장관이 국회 4차산업혁명특위 업무보고 자리에서 “ '개인정보보호위원회'에서 '보호'라는 이름을 빼는 것에 대해 행정안전부 등과 협의하겠다"고 밝혔다. 개인정보의 보호가 데이터의 상업적 활용을 할 수 없게 발목잡고 있다는 유 장관의 인식은 경악스럽다. 법을 준수하고 집행해야 할 장관이 법이 정한 원칙을 부정하고 기업들의 상업적 이익을 위해 국민의 정보인권을 헌신짝 버리듯 한 것이다. 과학기술정보통신부 장관은 4차 산업혁명을 주관하고 있는데 이런 초법적 발상을 공공연하게 드러내는 것을 보면, 문재인 정부가 앞으로는 개인정보보호 운운하면서 뒤로는 전 국민의 정보인권을 특정 사기업들의 상업적 이익을 실현하기 위한 불쏘시개로 쓰려는 것은 아닌가 의심스럽다. 정부는 유영민 장관의 발언이 문재인 정부의 공식적인 정책방향인지 밝혀야 한다. 이제는 진실을 말할 때다. </p> <p> </p> <p>유 장관의 인식과 달리 지금 우리 사회에서 국민의 개인정보는 큰 위험에 처해 있다. 대규모 개인정보 유출이 끊이지 않았고 이에 기생한 보이스피싱 등 각종 범죄로 국민들은 괴롭다. 초연결사회로 나아간다는데 국민의 프라이버시, 인권 따위는 예전보다 더 못한 취급을 받고 있다. 정부가 이러니 공공기관과 기업들은 국민들이 믿고 맡긴 정보를 팔기 위해서 혈안이 되어 있다. 전국 약국과 병원에서 환자 4천3백만 명의 처방전 50억 건이 미국 빅데이터 업체에 팔렸다. 건강보험심사평가원은 보험사들의 보험료 ‘연구’를 위해 환자데이터셋 수천만명 분을 팔아넘겼다. </p> <p> </p> <p>박근혜 정부는 몇가지 비식별조치를 취하면 개인정보가 아닌 것으로 ‘추정’해 주겠다는 황당한 정책을 추진했고 공공기관이 나서 기업들의 고객정보를 결합해 주었다. 이건 더이상 미래의 일이 아니다. 당장 우리가 직면한 위험이다. 내 정보가 나의 의지와 무관하게, 때로는 나의 의사에 반해서 전세계에 팔려나가는 것이다. 이런 정보장사에 국민들은 속수무책이다.  그런데 문재인 정부의 검찰까지 비식별조치 기업들과 공공기관을 무혐의로 처리하였다. 이제는 인공지능의 불투명한 개인정보 처리로 대출, 보험, 구직 등 일상생활에서 차별받는 미래가 바로 눈앞에 와있다. 국민은 대체 누구를 의지해야 하는가.</p> <p> </p> <p>정부와 기업의 개인정보 처리가 늘어나고 자동화될수록 정보주체가 자신의 개인정보 처리에 대해 제대로 알고 권리를 행사하기 어렵다. 그래서 1980년 유엔의 <전산처리된 개인정보 파일의 규제지침>을 비롯한 여러 국제규범은 개인정보 감독기구(Data Protection Authority)의 설치를 지지해 왔다. 정보주체를 보호하기 위해 개인정보보호법의 준수를 ‘감독’하는 국가기관이 필요하다는 인식이 세계적 추세에 부합한다. 정부와 기업처럼 힘있는 개인정보처리자들을 제대로 감독하기 위해서는 이들 기구의 독립성과 강력한 권한이 요구된다. 그래서 유럽사법재판소는 독립적인 개인정보 감독기구를 일컬어 ‘기본권의 수호자’라 칭하기도 하였다. </p> <p> </p> <p>우리 시민사회 또한 우리 헌법이 보호하는 국민의 개인정보 자기결정권을 보호하기 위하여 독립적이고 강력한 개인정보 감독기구의 설치를 지지해 왔다. 문재인 대통령의 개헌안에 명시된 대로, 모든 사람이 자신에 관한 정보를 보호받고 그 처리에 관하여 통제할 권리를 행사하기 위해서는 제대로 된 개인정보 감독기구가 꼭 필요하다고 생각했다. 특히 우리나라에서는 정보주체가 자신의 정보를 통제할 수단이 많지 않기 때문에 국가 차원의 개인정보보호가 개인정보보호의 유일한 안전판 역할을 해야 한다.  그런데 유영민 장관의 발언은 문재인 정부가 바로 이 유일한 안전판마저 제거하려는 신호탄은 아닌지 걱정스럽다. 정말 문재인 정부는 개인정보를 보호할 최소한의 의지도 없다는 것인가.  </p> <p> </p> <p>‘개인정보위원회’로 바꾸겠다는 유영민 장관의 발상은 독립적인 개인정보 감독기구의 본질에 대한 완전한 왜곡이다. 정부 여당이 발의한 개인정보보호법안이 단지 개인정보처리자에게 봉사하는 기구를 만들겠다는 것이라면, 차라리 없는 것이 낫다. 박근혜 정부때부터 추진해온 개인정보 규제완화 정책과 다를 바 없는 <개인정보보호법안>과 <신용정보보호법안>에 대해 한마디 못하는 개인정보보호위원회가 무슨 소용이란 말인가. 국회에서 논의중인 이 법안들은 개인정보의 무분별한 판매와 공유를 허용하고 정보주체의 알 권리와 동의권을 박탈하는 내용들로 채워져 있다.  이전의 어느 정부도 이 정도까지 드러내놓고 개인정보보호를 거추장스러워하지 않았다. 특히  ‘개인정보보호위원회의 위상 강화’와 ‘무분별한 개인정보 이용에 대한 제재 강화’를 공약과 국정과제로 내세웠던 문재인 정부이기에 그 실망이 더욱 크다. </p> <p> </p> <p>과학기술정보통신부는 허울좋은 4차 산업혁명을 빌미로 기업들의 이익과 자기 부처 먹거리만 찾아 기웃대는가. 다른 모든 정부부처와 청와대도 국민을 위해 개인정보를 보호하겠다는 약속을 저버리고 스스로 발의한 개헌안조차 부정하려는 것인가. 인권의 정부가 되기를 기대했던 문재인 정부가 ‘개인정보보호’를 포기한 정부로 기억되지 않기를 간절히 바란다. 끝.</p> <p> </p> <p style="text-align:center;"><strong>2019년 4월 5일</strong></p> <p style="text-align:center;"> </p> <p style="text-align:center;"><strong>경제정의실천시민연합, 금융정의연대, 민주사회를 위한 변호사모임 디지털정보위원회, 서울YMCA, 소비자시민모임, 진보네트워크센터, 참여연대, 한국소비자연맹, 함께하는시민행동.</strong></p> <p style="text-align:center;"> </p> <p><a href="https://docs.google.com/document/d/190Y1gwC5k-Rsyc_4wAZUKJo6XgYTiUc57Qy…; rel="nofollow">원문보기/다운로드</a></p> <div> </div></div>