가명정보 결합 및 반출 고시(안)에 대한 시민사회 공동 의견서 제출

– 개인정보보호법 및 신용정보보호법 시행령(안)에 대해
시민사회가 지적한 문제점 여전히 존재정보가 결합될수록 식별 가능성 높아, 시행령 또는 고시에 명확한 기준 있어야

6월 16일, 경제정의실천시민연합 소비자정의센터, 무상의료운동본부, 민주사회를 위한 변호사모임 디지털정보위원회, 서울YMCA 시청자시민운동본부, 연구공동체 건강과대안, 전국민주노동조합총연맹, 진보네트워크센터, 참여연대, 한국소비자연맹 등 9개 시민사회단체는 지난 6월 3일 행정예고된 「가명정보의 결합 및 반출 등에 관한 고시(안)」에 대한 시민사회 공동 의견서를 전달했다.

1. 우선 단체들은 지난 5월 「개인정보 보호법 시행령 일부개정령안」 및 「신용정보의 이용 및 보호에 관한 법률 시행령 일부개정령안」에 대한 의견서에서 가명정보 결합에 관한 조항이 개선될 필요성이 있다고 짚은 바 있다. 하지만 시민사회의 의견이 최종 시행령에 어떻게 반영되었는지에 대한 답변은 아직 받은 바 없으며, 이번에 예고된 고시(안)에 비추어 보건대 시민사회가 우려한 문제점은 여전히 존재하는 것으로 보인다.

2. 정보는 결합되면 결합될수록 식별 가능성이 높아진다. 그러나 고시(안)은 여전히 결합 신청 목적이 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 목적’에 부합하는지 판단하는 절차, 연구자의 자격 요건을 검증하는 절차, 결합 데이터 반출에 대한 기준, 해당 결합과 관련된 제반 정보 공개 등 투명성 원칙 등 전반적인 데이터 거버넌스 체제 구축이 제대로 반영되지 않았다. 개인정보보호법 개정안에 가명정보 결합과 관련된 기준이 제대로 마련되지 않은 만큼 시행령이나 고시에서라도 명확한 기준을 세워 철저하게 관리할 필요가 있다.

3. 시민사회가 지난 개보법 시행령(안)에 대한 의견서에서부터 지속적으로 지적해 온 내용은 다음과 같다.

첫째, ‘가명정보의 결합 및 반출 실적 보고서’를 개인정보보호위원회에 제출하는 것 외에 결합전문기관의 홈페이지 등에서 결합에 관련한 최소한의 정보를 공개해 과학적 연구 등 해당 목적에 맞게 가명정보 결합이 이루어지고 있는지 등에 대해 사회적 감독을 받아야 함.

둘째, 개정법에 따르면 전문기관의 가명정보 결합은 가명정보 결합은 “통계작성, 과학적 연구, 공익적 기록보존 등을 위”한 목적으로 수행되어야 한다고 정하고 있음. 그러나 시행령(안)이나 고시(안)에 목적 부합 여부에 대한 심사 여부가 명확하지 않기 때문에, 단순히 결합신청서의 형식적 요건만 충족하면 모든 신청에 대해 결합을 허용할 위험이 있음. 따라서 결합전문기관 내에 (가칭)연구평가위원회를 구성해 해당 결합 신청이 목적에 부합하는지, 더불어 해당 목적을 달성하기 위한 최소한의 데이터만 사용하는지 심사하는 절차를 둘 필요가 있음.

셋째, 시민사회는 지난 의견서에서 이미 “결합에 필요한 연계정보를 생성하는 ‘신뢰할 수 있는 제3자’ 역할을 한국인터넷진흥원이 수행하는 것으로 되어 있으나 시행령에서는 “특정 개인을 알아볼 수 없도록 하는데 필요한 지원업무”로 표현되어 있어 명확하지 않”다고 지적한 바 있음. 고시(안)에서는 ‘결합키관리기관’을 정의하고 있는데, 시행령에서 이를 규정하는 것이 바람직할 것임.

넷째, 안전을 위해서는 데이터 반출이 극히 예외적으로만 허용되어야 하고, 그 기준이 명확해야 함. 그런데 개정법에도 기준이 나와있지 않고 시행령(안)에서도 다시 ‘고시’로 구체적인 판단 기준을 위임하고 있음. 그러나 이번 고시(안)에서도 반출 심사 과정에서의 고려 사항만 규정하고 있을 뿐 반출을 해야만 하는 불가피한 이유에 대한 판단은 하지 않고 있음. 어떤 경우가 가명정보 또는 익명정보로 반출이 가능한지 구체적으로 정하되 원칙적으로 익명정보로 반출하도록 하되 예외적인 사유에 한해(즉, 익명처리를 하면 연구가 불가능할 경우) 가명정보로 반출하도록 제한해야 함. 또한 재식별 가능성이 매우 높기 때문에 최소한 익명처리하지 않는 이상, 원래의 개인정보처리자에게는 반출할 수 없도록 규정하는 것이 보다 명확할 것임.

다섯째, 가명정보의 분석 또는 반출 이후 결합전문기관이 관련 정보를 파기해야 할 의무는 규정하고 있지만, 결합된 데이터를 반출한 경우의 해당 데이터를 반출한 기관이 목적 달성 후에 파기하도록 의무화하는 조항이 없음. 결합된 데이터는 목적 달성 후에 파기되어야 하며, 이에 관한 규정이 시행령 혹은 고시에 포함되어야 함.끝

▣ 붙임1 : 가명정보 결합 및 반출 고시(안)에 대한 시민사회 의견서

가명정보 결합 및 반출 고시(안)에 대한 시민사회 공동 의견서

[개인정보보호위원회 1주년 논평]

개인정보보호위,

정보인권의 수호자로서 본연의 임무에 집중하라

가명정보의 결합과 활용에만 신경쓰는 보호위, 정보주체의 권리 보호는 방치

보호위, 법에서 위임한 대로 자신의 활동 방향을 재설정해야

8월 5일, 개인정보보호위원회(이하 보호위)가 출범한 지 1주년이 되었다. 그동안 조직 체계와 개인정보 보호지침들을 정비하고, 법을 위반한 기관이나 기업에 제재처분을 내렸으며, EU와 적정성 결정을 위한 협상을 진행하고, 개인정보보호법 2차 개정을 준비하는 등 나름대로 바쁜 1년을 보냈을 것이다. 이제 1년 된 조직의 성과를 따지는 것은 성급한 일일 수도 있다. 그러나 보호위가 제대로 된 방향을 설정하고 있는지는 반드시 짚어볼 필요가 있다. 보호위가 법에서 위임한 임무와 역할에 충실한 사업들을 해오고 있는지, 그리고 한국 사회의 개인정보보호라는 핵심적인 임무를 제대로 수행하고 있는가를 보면 좋은 점수를 주기는 어렵다.

안타깝게도 보호위가 지난 1년 동안 수행해 온 핵심 사업 중 하나는 ‘가명정보 결합과 활용의 활성화’이다. 이는 보호위 홈페이지의 공지사항과 보도자료만 보더라도 쉽게 알 수 있다. 출범하자마자 ‘가명정보의 결합 및 반출 등에 관한 고시’를 의결하고 결합전문기관 지정을 추진하였으며 최근에는 가명정보 결합·활용 성과 및 규제혁신 보고회를 개최하기도 했다. 과기정통부 행사였으면 차라리 그러려니 했을 것이다. 이미 여러 부처에서 데이터 이용 활성화에 앞다투어 나서고 있는 판이다. 과연 이것이 한정된 자원을 갖고 있는 보호위의 우선 순위 사업이어야만 하는지 개탄스러울 따름이다.

반면, 한국 사회에서 특히 정보 인권이 취약한 지점들, 그래서 독립된 개인정보 감독기구로서 보호위가 앞장서 해결해 주기를 바라던 문제들은 거의 다뤄지지 않았다.

공공부문과 주요 민간부문에서 여전히 뿌리 깊은 주민등록번호를 기반으로 한 시스템, 그리고 주민등록번호와 연동된 연계정보(CI)를 통해 확대되고 있는 실명기반 온라인 환경은 한국 사회에서 개인정보 자기결정권과 프라이버시권을 위협하는 고유한 문제임에도 불구하고 보호위는 이에 대한 관심조차 보이지 않았다. 이용자가 가입한 사이트 가입 내역을 알려주는 서비스가 무려 ‘e프라이버시 클린서비스’라는 이름으로 부끄러운지도 모르고 보호위 홈페이지에 링크되어 있다.

거대 인터넷 사업자들조차 기본적인 정보주체의 권리를 보장하고 있지 않는 것이 현실임에도, 보호위가 정보주체의 권리가 어느 정도 보장되고 있는지 실태조사라도 한 적이 있는가. 더불어 개인정보 침해신고센터는 권리구제기관으로서 제 역할을 하고 있는가. 개보위에 대한 감시와 비판이 주된 역할인 시민단체 활동가의 침해신고조차 제대로 처리해주지 못하는데, 과연 일반 정보주체들의 개인정보 침해 문제를 침해신고센터가 잘 해결해줄 수 있을거라 기대할 수 있을까 의문이다.

정부로부터 독립적인 기구라면서 국가정보원의 국민 사찰에 대해서 보호위는 제대로 조사하고 있는가. EU 적정성 결정을 추진하면서, 보호위가 국가정보원에 대해서도 감독 권한이 있다고 떳떳하게 얘기하려면, 당장 지금 문제가 되고 있는 불법적인 국민사찰 문제부터 팔을 걷어붙이고 나서야 하지 않는가.

노동자 개인정보 문제, 노동 감시의 문제도 특히 방치되고 있는 이슈 중 하나다. 불평등한 노사간의 권력 관계에서 정보주체인 노동자들이 자신의 권리를 행사할 수 있도록 보호위는 제 역할을 하고 있는가. 여러 개인정보 보호지침들이 정비되고 있지만, 2017년에 국가인권위원회가 제안한 <개인정보보호 가이드라인(인사, 노무편)>은 우선 순위에서 여전히 밀려나 있다.

소위 빅테크의 독점과 개인정보 남용 문제는 현재 정보자본주의의 핵심적 문제다. 전 세계 개인정보 감독기구 역시 빅테크의 개인정보 침해 문제에 적극적으로 대응하고 있다. 보호위도 페이스북의 개인정보 침해를 다루긴 했지만, 이는 기존 방통위에서 시작한 사안을 매듭지은 것일 뿐이다. 과연 보호위는 국내외 빅테크의 개인정보 남용에 대응하기 위해 어떠한 준비를 하고 있는가.

이러한 문제들 하나하나가 쉽지 않은 것들이다. 그러나 개인정보 감독기구가 감당하지 않으면 안 되는 문제이다. 개인정보보호법 제정 이전인 2000년대부터 시민사회는 독립적인 개인정보 감독기구의 설립을 주장해왔고, 그렇기에 비록 ‘데이터 3법’ 추진의 맥락 속에서 탄생하기는 했으나, 보호위에 대한 시민사회의 기대는 적지 않았다. 1년밖에 되지 않은 보호위에 많은 성과를 바란 것은 아니지만, 여전히 보호위의 행보는 제 갈 길을 잃은 듯하여 매우 실망스럽다. 보호위 설립 1년을 맞아, 보호위가 ‘정보인권의 수호자’로서 자신의 임무를 절실하게 되새길 것을 다시 한번 촉구한다. 끝.

2021년 08월 05일

경제정의실천시민연합, 무상의료운동본부, 민주사회를 위한 변호사모임 디지털정보위원회, 서울YMCA 시청자시민운동본부, 전국민주노동조합총연맹, 진보네트워크센터, 참여연대, 한국소비자연맹

첨부파일 : 20210805_개인정보보호위원회 1주년 공동논평.hwp

첨부파일 : 20210805_개인정보보호위원회 1주년 공동논평.pdf

 
문의 : 경실련 정책국(02-766-5624)

가명처리 가이드라인에 대한 의견

8월 5일부터 시행한 개정 개인정보보호법은 정보주체의 권리 보호 관점에서 많은 문제점을 가지고 있을 뿐만 아니라 해석상 모호한 규정들을 다수 포함하고 있음. 그동안 법적 규범력을 가지고 있지 않음에도 기업들의 요구에 따라 행정안전부가 가이드라인을 제작, 배포해 사실상 유권해석처럼 여겨져 온 것은 문제가 있었음. 특히 기업들은 법에서 정한 개인정보 보호 규정과 절차에 따라 관련 조치를 취하고 그에 따른 책임을 지면 됨에도, 행안부가 제작 배포한 가이드라인에 따랐다며 사실상 면책의 근거로 악용해 왔음. 2016년 <개인정보 비식별조치 가이드라인>과 같이 법령 위반의 소지가 있는 가이드라인이 발표될 경우, 오히려 사회적인 혼란을 확대할 가능성이 큼.

이번 개인정보보호법은 해석상 모호한 규정이 다수 있는 등 개정의 여지가 다분하고 따라서 시급히 개정이 필요한 법률에 근거해 급박하게 가이드라인을 제작하는 것은 문제가 있음. 더구나 이번 가이드라인은 정보주체의 권리를 오히려 제한하는 방향으로 법령을 해석하고 있어, 향후 기업들이 가이드라인에 따랐을 뿐이라며 면책사유로 주장할 우려가 큼. 이런 식의 가이드라인이라면 차라리 제정하지 않는 것이 바람직하며, 보호위원회는 “개인정보 보호 기본계획, 법령 및 제도 개선 등”의 역할을 수행해야 하는 설치 이유에 충실하게 현행 법령의 문제를 해결하는 것이 우선 순위가 되어야할 것임. 특히 다음과 같은 문제는 지적하지 않을 수 없음.

1. 개인정보를 지나치게 협소하게 규정하고 있음
개인정보는 특정 개인을 ‘알아볼 수 있는’ 정보인데, 그 주체가 누구인지가 문제가 됨. 관련하여 가이드라인은 ‘개인정보 처리자’의 관점에서 판단하는 것으로 규정하고 있음.

그러나 이처럼 개인정보 처리자 관점에서 개인정보인지 여부를 판단하게 된다면, 개인정보 처리자가 알아볼 수 없는 경우에는 개인정보가 아닌 것으로 규정이 되므로 개인정보보호법이 적용되지 않으며, 이에 따라 개인정보처리자는 해당 정보를 자유롭게 공개해도 무방할 것임. 이렇게 되면 개인 식별에 필요한 다른 정보를 가지고 있는 제3자가 공개된 정보를 통해 개인을 식별할 수 있게 될 위험이 있음.
이러한 해석은 개정 개인정보보호법의 취지와도 맞지 않음. 개정 개인정보보호법의 애초 발의안(인재근 의원 대표발의)은 개인정보처리자의 관점에서 개인정보 여부를 판단하였으나 국회를 통과한 개정 개인정보보호법은 해당 문구를 삭제하였음.

이러한 해석은 한국 정부가 현재 적정성 결정을 추진하고 있는 유럽연합의 개인정보보호법(GDPR)의 규정과도 상충함. 유럽연합의 경우 개인정보처리자 뿐만 아니라 제3자의 관점에서도 식별 가능한지 여부를 기준으로 하고 있음.

어떤 수단이 자연인을 식별하기 위해 사용될 합리적 가능성이 있는지 확인하기 위해서는, 처리 시점에 이용 가능한 기술과 기술 발전 을 감안하여 식별에 필요한 비용과 시간 등 모든 객관적 요소를 고려해야 한다.개인정보 자기결정권의 수호자가 되어야 할 개인정보보호위원회의 첫번째 가이드라인에서 이처럼 개인정보의 개념을 협소하게 규정하여 정보주체의 보호 범위를 제한하려고 하는 것은 납득하기 힘든 일임. 개인정보처리자 뿐만 아니라 제3자에 의해서도 식별 가능할 수 있다면 개인정보로 규정되어야 함.

2. 과학적 연구의 범위 모호함
가이드라인은 과학적 연구에 대해 여전히 포괄적으로 서술하고 있을 뿐, 어떤 연구가 과학적 연구에 포함되고 어떤 것이 되지 않는지 구체적으로 설명하고 있지 않음. 과학적 방법을 적용하지 않는 연구를 거의 상상할 수 없다는 점에서, 가이드라인에 따르면 ‘연구’라고 주장하는 모든 활동에 가명정보를 활용할 위험이 있음. 그렇게 되면 그나마 ‘통계작성, 과학적 연구, 공익적 기록보존 등’에 한정하여 동의없이 가명정보를 처리할 수 있도록 한 법률 규정의 취지조차 법적 구속력도 없는 가이드라인이 무력화할 수 있음.

GDPR의 경우 한국의 개인정보보호법과 달리 ‘과학적 연구(scientific research)’를 정의하고 있지 않음. GDPR이 과학적 연구를 학계(academy) 내의 연구로 제한하지 않고 있는 것은 사실이나, 그렇다고 ‘연구’라고 불리는 모든 활동으로 확대해석하고 있지 않음. 2020년 1월, 유럽개인정보보호감독관(EDPS)는 <개인정보보호와 과학적 연구에 대한 사전 의견서>에서는 “개인정보처리자가 단지 과학적 연구 목적이라고 주장하는 것으로는 충분하지 않다”, “대학의 연구뿐만 아니라 비영리 단체, 정부기관, 영리 기업도 과학적 연구를 수행할 수 있다. 공통된 전제는 과학적 연구가 전체 사회에 유용하고 과학적 지식은 증진하고 지원해야 할 공공재라는 것이다”라고 언급하고 있음. 더불어 “GDPR은 인간에 관한 연구를 규율하는, 오래동안 수용되어 온 윤리적이고 전문적인 규범의 존재를 전제로 한다”고 함.
영국의 개인정보감독기구인 ICO는 GDPR 해설을 위한 홈페이지에서 “과학적 연구는 시장 조사 혹은 고객만족도조사와 같은 상업적 연구 목적의 개인정보 처리에는 적용되지 않는다”고 언급하고 있음. 한국의 개인정보보호법에 따른 ‘과학적 연구’는 유럽 GDPR의 과학적 연구 범위와 다른 것인지, 다르다면 어떻게 다른 것인지 명확하게 제시할 필요가 있음.
개인정보보호법 및 가이드라인이 인정하고 있듯이 “가명정보도 개인정보에 해당”하며 정보주체의 동의없는 개인정보(가명정보)의 활용 및 제3자 제공은 정보주체의 권리를 일정하게 제한하는 것임. 따라서 그러한 제한을 합리화하기 위해서는 상응하는 공공의 이익이 존재해야 함. 그러나 시민사회가 비판해왔듯이, 사회적인 지식 기반 확대에 기여하는 학술 연구와는 달리 기업 내부적인 연구는 해당 기업의 사적 이익에 도움이 될 수는 있어도 공익적 가치는 없기 때문에, 과학적 연구의 범위를 기업 내부적인 연구로까지 확대하는 것은 부당함.
가이드라인의 예시는 의료정보를 포함한 개인정보를 일개 앱 제작업체에 제공할 수 있다고 해석하고 있음. 이는 개인의 의료정보를 목적 외로 활용한 것으로 의료법 위반일 뿐만 아니라, 이런 식으로 병원이나 공공기관이 보유한 의료정보가 민간기업에게 제공될 경우 정보주체에게 미칠 해악이 매우 큼. 또한 민감정보를 정보주체의 별도의 동의 혹은 법령의 근거가 있는 경우 외에 애초 수집 목적 외로 활용하는 것은 근거법인 개인정보보호법 위반 소지가 있음.
만일 개인정보보호법이 개인정보처리자가 스스로 과학적 연구라고 주장하는 모든 활동에 대해서 허용하고자 하는 것이 아니라면, 무엇이 과학적 연구이며, 무엇이 과학적 연구가 아닌지에 대한 보다 구체적인 기준과 사례를 제시할 필요가 있음.

3.가명정보의 파기
가명정보도 개인정보이고 모든 개인정보는 개인정보 처리원칙의 적용을 받아야 함. 개인정보 처리원칙은 모든 개인정보를 특정한 수집 목적에 필요한 한도 내에서 적법하게 처리하고 처리 목적이 다한 경우 파기하도록 하고 있음.
개인정보보호법 시행령 제29조의5에서, 2020년 3월 31일 입법예고된 시행령(안)에 있었던 “③ 개인정보처리자는 가명정보의 처리 목적이 달성되거나 가명정보 보유 기간이 경과한 때에는 그 가명정보를 지체 없이 파기하여야 한다.”는 조항을 삭제한 것은 가명정보를 영구적으로 활용할 수 있도록 한 것은 아닌지 매우 우려스럽지만, 비록 시행령에서 명시적으로 규정되어있지 않더라도 개인정보 보호원칙에 비추어 가명정보 역시 처리 목적이 달성된 경우 파기해야한다고 해석하는 것이 올바를 것임.
가이드라인에서 “개인정보처리자는 가명정보를 처리하고자 하는 경우 가명정보의 처리 목적, 처리 및 보유기간, 제3자 제공 시 제공받는 자, 추가정보의 이용 및 파기 등에 관한 사항을 작성하여 보관하여야 함”(가이드라인 28p)을 명시한 것은 긍정적이지만, 혼란을 방지하기 위해 목적 달성 후 가명정보 파기를 보다 명확하게 강조할 필요가 있음.

4. 정보주체의 권리
가이드라인은 가명처리 및 가명정보에 대한 정보주체의 권리와 관련하여 다음과 같이 짧게만 언급하고 있음. (가이드라인 30p) 개인정보보호위원회의 가이드라인에서 이런 식으로 정보주체의 권리에 대해 신경쓰고 있지 않다는 것은 매우 실망스러움.

이미 가명처리된 정보를 통해서는 정보주체를 식별하기 힘들다고 하더라도, 개인정보처리자는 누구의 개인정보를 대상으로 가명처리를 하는지 쉽게 알 수 있음. 따라서 최소한 가명처리와 관련한 정보주체의 권리가 어떻게 보장되는지 보다 구체적으로 설명할 필요가 있음. 예를 들어, 정보주체는 자신의 개인정보가 어떠한 목적으로 가명처리되었는지, 가명처리된 후에 누구에게 제공되었는지, 자신의 개인정보를 가명처리해서 활용하는 것을 거부할 권리가 있는지 등에 대해 알 필요가 있으며, 만일 정보주체의 권리를 제한한다면 그 이유가 설득력있게 제시될 필요가 있음.

2020년 8월 27일

경제정의실천시민연합, 민주사회를 위한 변호사모임 디지털정보위원회,서울YMCA 시청자시민운동본부, 전국민주노동조합총연맹, 진보네트워크센터, 참여연대

문의 : 경실련 정책국(02-766-5624)

자동차 에바가루 분출 사태 재조사하고,

제조사에 유리한 리콜제도 개선하라.

– 0~2세 유아에 ‘위해’해도 ‘안전’하다는 국토교통부 –

– 무상수리 권고는 법적 근거 없어 –

2018년 6월 국토교통부는 현대·기아자동차(주)에서 제작·판매한 쏘렌토 등에서 발생한 ‘에바가루’ 분출 현상에 대해 공개‘무상수리를 권고’하였다. 에바가루는 자동차 에어컨의 표면처리 불량으로 알루미늄이 부식되어 만들어진 백색가루 수산화알루미늄
로 인체에 유해한 성분으로 알려져 있다. 그러나 「자동차관리법」상의 무상수리는 법정 품질보증제도로서 본 건과 같은 ‘결함의 시정’을 위한 제도가 아니다. 국토교통부가 제조사에 무상수리를 ‘권고’를 할 수 있는 근거가 없다는 점도 문제다. 즉 국토교통부는 자동차 에어컨 표면의 부식된 가루가 차 안에 분출되는 현상에 대해 그 결함의 여부를 확인하고 시정을 명해야 하는 본연의 책무를 수행한 것이 아닌, 법적인 근거가 없는 무상수리로 우회시켜 제조사에게 발생할 수 있는 부담을 최소화하는 결정을 한 것이다.

국회 국토교통위원회 장경태 의원이 국토교통부로부터 제공 받은 ‘무상수리 권고 현황’에 따르면, 최근 5년간 국토부는 18번 자동차 제조사에 ‘공개 무상수리 권고’를 내렸고, 이 중 8건은 결함조사 결과 ‘리콜’ 판정을 내렸음에도 무상수리를 권고했으며, 에바가루 분출을 포함한 3건은 결함조사 결과에 앞서 국토부가 자체적으로 무상수리를 권고한 것으로 나타났다.

경실련은 지난 2월 국토교통부가 제품의 결함이 확인되어 리콜을 진행하는 것이 당연한데도 소비자가 아닌 기업의 이익을 보호하기 위하여 법 규정을 위반하며 법적 근거 없는 ‘무상수리 권고’를 내렸다고 비판하였다. 더욱이 가습기살균제 사태를 통해 제품 결함에 대한 정부의 소극적 관리․감독이 소비자의 안전과 건강에 얼마나 큰 위해를 줄 수 있는지 경험한 상황에서 신체에 미치는 위해성 검증도 없이 이루어진 부당한 조치에 대해 전면 재검토하고, ‘리콜 명령’할 것을 요구한 바 있다.

그러나 국토교통부는 추가 조치를 하지 않았다. 이후 경실련은 국토교통부에 대한 정보공개 청구와 답변 과정에서 국토교통부가 무상수리를 권고한 지 6개월이 경과 한 2018년 12월에 비공개로 민간연구원에 ‘위해성 평가 용역’을 발주하였고, 이를 토대로 최종 문제가 없다고 자체 결론 내렸음을 확인했다. 이에 국토교통부의 보고서를 입수해 위해환경물질 전문가 자문을 통해 평가 내용과 방법의 적정성 등을 검토한 결과 이 역시 신뢰할 수 없다는 결론에 도달했다.

관련 내용 검토에 참여한 환경보건시민센터 운영위원인 박동욱교수(한국방송통신대학교 환경보건학과)는 “차량 공간은 쾌적해야 하는데 공정결함으로 인체에 해로운 금속먼지가 발생되고 있다는 사실을 특정 시간, 특정 차량의 측정치로 해석하는 자체가 모순이며, 발생한 먼지 등으로도 차량 이용자의 불쾌감, 심리적 불안을 야기해 안전운행에 간접적인 영향을 줄 수 있다”고 주장했다.

경실련과 장경태 의원은 국토교통부의 ‘에바가루 사태’에 대한 조치 과정 조사를 통해 재조사 및 자동차 결함을 협소하게 규정하는 현행 「자동차관리법」의 개정 필요성을 확인하였다고 밝혔다. 특히 소비자에게 건강상 안전상 막대한 피해를 끼칠 수 있는 자동차 결함을 관리․감독해야 할 정부가 법적 근거 없는 ‘무상수리’의 형태로, 또한 강제력도 없는 ‘권고’ 정도로 대응하도록 한 것은 제조사의 파렴치한 배임을 방조하는 처사로서 반드시 근절되어야 함을 강조했다. 마지막으로 국회에는 자동차리콜제도의 실효성 있는 운용을 위해 리콜 결정 프로세스를 재점검하여 관련 제도를 개선하고, 주무 부처에 대해 철저하게 감시할 것을 주문했다.

1. 조사개요

○ 정보공개청구 및 질의
– 2020. 1. 17. : 경실련, 국토교통부에 정보공개 청구 (조사 심의 여부/향후 계획 등)
– 2020. 1. 23. : 국토교통부, 정보공개 청구 답변 (위해성 평가 실시한 사실 언급)
– 2020. 2. 10. : 경실련, ‘에바가루 사건의 미해결은 국토부 책임이다’ 성명 발표
– 2020. 6. 10. : 국토교통부와 환경부에 위해성 평가 자료 및 결과 일체 요청 1차 질의
– 2020. 6. 17. : 국토교통부에 위해성 평가 자료 일체 요구 2차 질의
– 2020. 6. 30. : 국토교통부, 위해성 평가 자료 , 공개
– 2020. 7. 7. : 경실련, 전문가 자문 회의(박동욱 교수/한국방송통신대학교 환경보건학과)

2. 국토부 에바가루 사건 조치의 문제점

■ 자동차 결함에 대한 축소 해석 및 부당한 무상수리 권고 결정

○ 현행 「자동차관리법」 제31조 제1항에 의하면 자동차 제작자 등이나 부품제작자 등은 “자동차 안전기준 또는 부품안전기준에 적합하지 아니하거나 안전운행에 지장을 주는 등의 결함이 있는 경우”에 시정조치 하여야 한다. 그러나 국토교통부는 결함을 브레이크나 조향장치와 같은 부품의 문제로 제한해 법령을 적용하였고, 에바가루 분출이 안전운행에 지장을 주는 결함이라고 해석하지 않았다.

○ 「자동차관리법」상의 무상수리는 법정 품질보증제도로서 에바가루 사건과 같은 ‘결함의 시정’을 위한 제도가 아니다. 국토교통부가 제조사에 무상수리를 ‘권고’를 할 수 있는 근거가 없다는 점도 문제인데, 국토교통부는 자동차의 결함의 여부를 확인하고 시정을 명해야 하는 본연의 책무를 수행하지 않고 법적인 근거가 없는 무상수리로 우회시켜 제조사에게 발생할 수 있는 부담을 최소화하였다.

○ 위해성이 의심되는 물질인 에바가루의 분출은 생산물의 ‘상품성’ 결여로 인한 하자를 치유하는 무상수리가 아니라, 생산물의 ‘안정성’ 결여로 인한 결함을 시정하는 리콜 명령이 이루어져야 한다. 특히 환경물질로 인한 위험이 의심되는 사안이었던 만큼 위해성 평가도 없이 리콜 대상이 아니라고 유권해석한 것은 섣부른 판단이었다.

■ 신뢰할 수 없는 위해성 평가 결과

○ 현행 「자동차관리법」상 리콜의 대상이 되지 못한 에바가루 분출 현상에 대해, 반 년이 지난 2018년 12월 국토교통부는 를 비공개 외주 용역으로 실시해 인체에 위해하지 않다고 결론을 내려 리콜대상이 아님을 재확인했다.

○ 국토교통부가 공개한 와 자료에 따르면, “육안으로 에바가루가 식별되지 않는 자동차로 평가를 진행했으며, 그럼에도 0~2세 아동에 대한 위해성이 밝혀졌다’는 내용을 확인할 수 있었는데, 이는 평가 내용과 방법상의 문제가 다수 존재함에도 위해성이 의심되는 결과가 있음을 의미한다.

○ 결론적으로 신뢰할 수 없는 평가 결과를 토대로 위해성 없음을 명확하게 결론내리기 어려운 상황임에도 국토교통부의 기존 ‘무상수리’ 권고 결정을 합리화하는 결과로 활용하였다는 의혹을 피하기 어렵다.

3. 개선방안

○ 지금까지 관련 자료 조사와 분석을 바탕으로 에바가루 사건에 대한 전면 재검토와 자동차리콜제도의 개선이 필요하다. ▲다양한 이해관계자가 참여하여 재검증을 실시하고, ‘위해성 없음‘을 명확하게 입증하지 못할 시 리콜 명령해야 한다. 또한, ▲관련 법상 자동차 결함 범위가 주무 부처의 자의적 해석에 따라 축소되지 않도록 안전결함의 정의를 법률로써 규정해야 한다.

※ 별첨. 에바가루 차량에 대한 국토교통부 무상수리 권고의 문제점 및 개선방안(총 9매)

2020년 10월 13일

경제정의실천시민연합

첨부파일 : 20201013_보도자료_국토부에바가루무상수리권고문제.hwp
첨부파일 : 20201013_보도자료_국토부에바가루무상수리권고문제.pdf
첨부파일 : 20201013_보도별첨_에바가루 차량에 대한 국토교통부 무상수리 권고의 문제점 및 개선방안.hwp
첨부파일 : 20201013_보도별첨_에바가루 차량에 대한 국토교통부 무상수리 권고의 문제점 및 개선방안.pdf

문의 : 경실련 정책국(02-766-5624)

기업 요구만 수용한 「개인정보보호법 시행령」 재입법예고(안)

전면 재수정해야

시민사회단체, 행안부의 재입법예고안에 대한 의견서 제출

최소한의 안전장치마저 제거해 국민 사생활 침해 심각할 것 경고

1. 지난 7월 20일 진보네트워크센터, 민주사회를 위한 변호사 모임 디지털정보위원회, 참여연대, 무상의료운동본부,서울YMCA, (사)소비자시민모임, 연구공동체 건강과대안,전국민주노동조합총연맹, 전국사무금융노동조합연맹, 한국소비자연맹, 경실련 등 11개 단체들은 행정안전부에 「개인정보보호법 시행령」 재입법예고(안)에 대한 의견서를 제출했다.

2. 행안부는 지난 3월 31일 「개인정보보호법 시행령」 일부 개정령(안)을 입법예고하였고 10개 단체들은 5월 11일 의견서를 제출한 바 있다. 그런데 행정안전부가 7월 14일 개인정보 보호법 시행령 일부개정령(안)을 재입법예고 하였고 이에 대해 11개 단체들이 다시 의견을 제출한 것이다.

3. 단체들은 이번 재입법예고안은 지난 3월 입법예고안보다도 현저히 후퇴한 안이라고 지적했다. 당시 입법예고안이 발표되자 기업들은 일제히 목적 외 이용 및 제3자 제공의 요건을 완화해 달라고 하고, 서로 다른 기업간 가명정보의 결합 후 반출 및 결합 정보의 보유를 무한정 허용해 달라는 요구를 했다. 그런데 이번 재입법예고안은 기업들의 이러한 요구를 거의 다 수용했다. 반면, 단체들은 개인정보의 수집 목적 외 추가 이용 및 제공의 범위가 무한정 확대될 위험 방지를 위한 엄격한 규정이 필요하고, 특히 서로 다른 기업들이 보유한 개인정보를 가명처리해 결합할 때의 요건 강화, 식별가능성이 높아지는 결합정보의 기업 반출의 원칙적 금지 및 목적 달성 후 결합 정보의 파기 원칙 등을 요구하였으나 행안부의 재입법예고안은 이를 전혀 수용하지 않았다.

4. 이번 재입법예고안에서 가장 치명적인 문제는 가명정보 결합에 대한 규정이다. 3월 입법예고안은 서로 다른 기업간 가명정보를 결합할 때, 결합전문기관 내 ‘안전한 분석공간’에서 분석하고 반출은 ‘결합 목적을 달성하기 어렵거나 분석공간의 이용이 어려운 경우 등 제한적 범위에서 가능하였다. 그러나 재입법예고안은 아예 가명정보의 결합 후 반출을 기본으로 하고 있고 반출 후에도 무한정 보유할 수 있도록 하고 있다. 이는 학술연구 목적의 가명정보 결합조차도 ‘안전한 분석공간’에서 수행하도록 하는 유럽연합(EU) 등 해외 다른 나라들의 관행이나 추세와도 다르다. 특히 개정 개인정보보호법은 기업의 다양한 ‘내부 연구’ 조차 ‘과학적 연구’로 확대 해석해서 인정하고 있는데 이에 더해 이번 재입법예고안은 결합된 가명정보를 기업간 공유할 수 있도록 함으로써 재식별의 위험은 더욱 커졌고, 국제적 규범도 거스르고 있는 것이다.

5. 또한 단체들은 재입법예고안이 ▶개인정보의 추가적 이용 제공 기준이 3월 입법예고안의 당초 수집목적과 “상당한 관련성”이 있을 것에서 당초 수집목적과 “관련성”이 있는지 여부를 고려하여야 한다로 후퇴한 점, ▶중립성과 안전을 책임져야 할 결합전문기관으로 민간결합전문기관이 지정됨으로써 스스로 결합신청자가 되지 못하도록 하는 등의 안전성 확보가 없는 점, ▶가명처리 목적 달성 후 가명정보 파기 규정을 삭제함으로써 무한정 기업이 가명정보를 보유할 수 있게 한 점, ▶침해사고 예방 대응 등을 위해 중앙행정기관의 장에게 공동 대응을 요청하여 이에 따르도록 한 안을 삭제하는 등 보호위원회의 권한을 약화시킨 점 등을 심각한 문제로 지적했다.

6. 단체들은 이번 재입법예고안은 국민의 개인정보를 동의 없이 데이터화해 기업이 상업적으로 무한정 활용하도록 하기 위해 2016년 박근혜 정부가 만든 ‘개인정보 비식별조치 가이드라인’ 수준으로 사실상 회귀한 것이라고 평가했다. 문재인 정부는 항상 개인정보의 ‘안전한’ 활용을 강조해왔지만, 이번 재입법예고안을 통해 안전한 활용은 허구임이 드러났다고 비판했다. 국민의 사생활 침해 위험이 그 어느 때보다도 커지고 있는데도 이에 대한 정책적 고려가 전혀 보이지 않는 이번 재입법예고안은 전면 수정되어야 할 것이다. 끝.

▣ 붙임1 : 「개인정보보호법 시행령」 재입법예고(안)에 대한 시민사회 2차 의견서

2020년 7월 27일

경실련, 무상의료운동본부, 민주사회를 위한 변호사 모임 디지털정보위원회, 서울YMCA, (사)소비자시민모임, 연구공동체 건강과대안, 전국민주노동조합총연맹, 전국사무금융노동조합연맹, 진보네트워크센터, 참여연대, 한국소비자연맹

첨부파일 : 20200727_보도자료_기업 요구만 수용한 「개인정보보호법 시행령」 재입법예고(안) 전면 재수정해야.hwp
첨부파일 : 20200727_보도자료_기업 요구만 수용한 「개인정보보호법 시행령」 재입법예고(안) 전면 재수정해야.pdf

문의 : 경실련 정책국(02-766-5624)