기업측 입장만 반영된 ‘데이터3법’ 정작 데이터 주체 국민은 소외, 중단하고 공론화 시작해야

건강정보 등 민감정보 활용 허용 등 의료민영화 가속화 우려

‘데이터3법’ 위험과 정보인권 보장 모색 국회 토론회에서 노동 시민사회 한목소리로 사회적 협의 주문

 

‘데이터3법(개인정보보호법, 정보통신망이용촉진및정보보호에관한법률, 신용정보보호법)이 통과되어 데이터산업이 활성화되면 국민들의 생활은 과연 어떻게 나아진다는 말인가? 정부, 여당이 4차 산업 혁명, 데이터 산업 발전을 위해 국회에서 심사 중인 ‘데이터3법’’을 정기국회에서 반드시 통과시켜야 한다고 주장하고 있다. 그런데 정작 데이터 주체인 국민들이 공감하고 있는지는 의문이다.오히려 데이터산업의 이득은 기업이 고스란히 가져갈지 모르나 정보주체인 국민들의 프라이버시권 침해, 데이터관련 범죄 증가, 국가와 기업의 국민 감시 및 차별 심화로 부작용이 클 것이란 지적이 거세다. 지난 11월 6일 국회에서 무상의료운동본부, 민주노총, 진보네트워크센터, 참여연대, 추혜선 국회의원, 김종훈 국회의원 공동주최로 진행된  “데이터3법의 위험과 정보보호 방안” 토론회에서 이에 대한 논의가 있었다. 여당과 한국당이 이견이 없어 국회 상임위 행안위 법안심사소위에서 곧 통과될 전망이라는 이들 법안들을 이후 일어날 문제들을 신중하게 고려하고 민주적 공론의 장에서 제대로 토론하고 사회적 합의를 이끌어 낸 후에 입법해도 늦지 않으며 오히려 통과 후 발생할 부작용과 더 큰 사회적 비용을 줄이는 방법이라는 데 의견을 모았다. 

 

우선 첫 발제자로 나온 민주노총 사무금융노조 백정현 교육국장은, 빅데이터 시대에 익명성은 사실상 유지할 수 없는 가치이며 정부와 기업이 데이터를 수집하고 저장 및 분석작업을 하는 목적은 감시 혹은 관찰이라고 보았다. 그동안 우리나라 개인정보보호법은 대량의 정보유출 사고 이후 강화되는 방향으로 개정되어 왔지만 실상에서 실효가 있었는지는 의문인데다, 데이터가 쌓이고 집적될수록 유출사고의 규모도 크고 빈도도 많아지는 것은 우리 뿐 아니라 전세계적 추세라는 점을 지적했다. 우리나라는 법원의 판결도 데이터범죄나 개인정보침해 사고 등에서 억제 역할을 제대로 해 오지 못했는데 만약 데이터3법대로 정보보호의 규제가 완화된다면 보이스피싱 같은 데이터범죄는 더 극성을 부릴 것이라고 지적했다. 뿐만 아니라 현대 인간활동의 상당부분이 온라인에서 이뤄진다는 점을 감안한다면 데이터 수집이 온라인의 다양한 서비스를 이용하는 실질적인 규범으로 자리잡을 것이란 전망을 했다. 즉, 데이터수집과 분석의 알고리즘을 지배하는 기업이 정한 규칙에 따라 소비자가 움직이게 되고 결국 소비자차별로 이어질 것이라고 우려했다. 뿐만 아니라 중국정부의 신용상벌제도를 예로 들면서 빅데이터를 기반으로 하는 다양한 감시기술 발전은 정부가 사회장악과 국민감시에 악용할 여지도 가능하다고 전망했다. 미국 대선에서 트럼프 후보캠페인에 케임브리지 아날리티카의 불법 페이스북 이용자 정보 활용은 빅데이터기반으로 한 심리조정이 가능하며 유권자의 정치적 행동까지 조작하여 급기야 민주주의를 위협할 수 있다는 사례로 제시하기도 했다.빅데이터시대는 이제 되돌릴 수 없다. 그러나 빅데이터 시대 국가의 역할은 이와 같은 다양한 권리 침해의 가능성, 더 나아가 민주주의 위협에 대해 예측하고 기업 정부 등 개인정보처리자의 책임성을 강화해서 무분별한 활용을 규제하는 역할을 해야 하는게 아닌가라고 되물으며 첫번째 발제를 마쳤다.

 

두번째 발제자 김태욱 민주노총 법률원 변호사는 데이터3법 개정안의 문제점을 짚었다. 쟁점이 되고 있는 1) 가명정보개념의 도입, 활용의 문제점, 2)데이터 결합의 문제점, 3) 동의권 약화의 문제, 4) 신용정보 분야 기타 문제점 5) 개인정보보호위원회 강화의 측면 등을 살폈다. 

 

개인정보보호법안과 신용정보보호법안의 정의 규정 등을 비교하면 가명정보는 사실상 가명처리에 의해 규정되는 것으로 볼 수 있고, 따라서 가명처리의 구체적인 내용과 수준이 중요한데 정작 이를 대통령령으로 정하는 것은 포괄위임입법금지, 법률유보원칙 위배 등 위헌의 소지가 있다고 지적했다. 특히 신용정보보호법안에서 가명처리 간주 조항 및 추정 조항은 다른 일반적 개인정보에 비해 재산적 가치가 더 큰 신용정보를 보다 더 넓은 범위로 활용하고자 하는 의도가 반영된 것으로 문제가 있다고 우려했다. 시민사회가 가장 큰 위험의 하나로 꼽고 있는 데이터 결합을 허용하는 점도 특히 정보인권에 독소로 지적되었다. 또한 개정취지가 개인정보에 관한 일반적 원칙을 개인정보보호법을 중심으로 체계화하는 것인데 오히려 신용정보보호법안에서 익명조치, 가명조치의 개념과 데이터 결합 등에 대한 내용을 정하고 있어. 체계상으로도 문제가 있다는  지적도 덧붙였다.

 

개인정보자기결정권의 실질적 확보는 결국 정보주체의 동의권 행사를 통해 구체화될 것인데, 이번 개정안들은 현행의 동의권을 대폭 축소시켰다는 점이 특히 문제로 지적되었다.김태욱 변호사는 재산적 가치가 더 높고 사고 발생시 피해가 더 큰 개인신용정보의 동의권은 현행 신용정보법도 개인정보보호법보다 더 완화되어 있는데 이번 개정안은 그 정도가 더 심화되었다고 평가했다.신용정보회사들끼리는 동의없이 제공과 활용을 보장하고 있다는 것이다. 또한 공개된 개인정보의 동의없는 수집, 활용을 보장하고 있어 개인정보자기결정권을 무력화하고 표현의 자유 위축도 우려했다. 주목해야 할 신용정보보호법안의 문제로 지적된 것 중 하나는,  2014년 카드사 대량 정보유출 사건 이후 반성적 고려를 기초로 추가된 신용정보집중기관에 대한 공적 통제강화, 신용조회업의 부수업무 제한, 신용조회회사의 영리목적겸업금지 등의 내용이 별다른 사정변경 없이 삭제한 것이다.또한 금융위원회에 여전히 금융회사에 대한 감독 규제권을 남겨둔 점은 개인정보보호감독체계의 일원화라는 개정취지에 맞지 않는다고도 설명했다. 

 

마지막 발제자인 참여연대 정보인권사업단의 최종연 변호사는 주로 유럽연합의 GDPR과 미국 캘리포니아주의 소비자정보보호법(CCPA)와 데이터3법안에서 문제가 되고 있는 쟁점들을 비교분석했다.우선 최종연 변호사는 기업들이 결국은 비용부담을 하지 않고 데이터를 활용해 이익을 창출하려는 것은 수익자부담원칙이라는 경제논리에도 맞지 않는다고 지적했다. 개정안은 1) 개인정보개념이 유럽GDPR,CCPA에 비해 상당히 협소함.현행보다 더 축소됨 2) 동의제도의 실질화에 역행  2)가명정보 정의에서 위임입법의 문제, 4) 정보주체의 동의 없는 가명정보의 처리 범위 무한정 확장 5) ‘과학적 연구’ 정의에 산업적 상업적 연구 포함하여 건강정보 등 상업적 활용 무한대 허용, 6) 동의없이 가명정보의 제3자 제공 및 공유 허용 7) 기업간 정보집합물의 결합 허용, 8) 감독기관의 독립성 결여 에 대해 각각 문제점을 지적하고 의견을 제시하였다. 특히 데이터3법이 빅데이터 산업 활성화를 명목으로 GDPR 수준의 개인정보보호를 추구한다는 미명하에  GDPR의 관련 규정 및 해석, 적용 범위를 상당 부분  의도적으로 왜곡하여  개인정보주체의  처분권을 포함한 정보인권 일반을 축소하고,  동의없이  건강정보, 신용정보를 포함한 광범위한 개인정보 처리(이용`제공 포함)를 하여 상업적`산업적으로 이용할 수 있도록  관련 규정을 신설하는 내용은 가장 문제가 크다고 지적했다. 무엇보다 정부가 국민들 일반의  민감정보를 포함한 개인정보 처리권을 축소하는 내용의 중차대한 정보인권 제한에 대한 법률 개정을 추진하면서도 국민 다수의 의견을 물어본 적이 없다는 점을 지적했다.

 

쟁점사항에 대한 개선방향으로 ▶ ‘개인정보’ 정의조항에 식별 및 연관 가능성 위주 재정의 (제2조 제1호 가목) , ▶ ‘가명처리’의 정의조항에 재식별ㆍ재연계 가능성 위주 재정의 (제2조 제1호의 2), ▶‘과학적 연구’의 공익 목적성ㆍ상업적 연구 배제 (제2조 제8호), ▶ 정보주체의 권리에 가명정보 및 익명정보의 처리 방법, 제공 여부 등에 관한 정보를 제공받을 권리, 정보집합처리를 거부할 권리를 명시 (제4조) ,▶ 개인정보처리자의 정보제공의무 명시(이재정 의원안 동일) (제4조의2),▶) 동의 없는 개인정보 이용 특례 개정안 삭제 (제15조 제3항),▶ 동의 없는 개인정보 제공 특례 개정안 삭제 (제17조 제4항),▶민감정보의 처리 제한에 가명처리를 포함 (제23조 제1항) ,▶ 가명정보에 대한 삭제권, 처리정지권, 이용동의 철회권 유보(제28조의 7, 제1항 수정),▶가명정보에 대한 법률상 수집ㆍ이용, 수집제한, 제3자 활용 규제를 유지(개정안 제28조의7 제2항 삭제),▶정보집합처리에 관한 특례규정 도입(제37조의2, 이재정의원안 동일) 등을 제안했다. 최종연 변호사는,  유럽연합에서 GDPR이 도입될 당시 소요된 사회적ㆍ시간적 자원에 비추어 보면, 개인정보보호법 개정안은 결코 명분의 당위성만으로 서둘러서는 안되고, 서둘러 입법하였을 때 미칠 사회적ㆍ산업적 영향으로 인해 이를 합리적으로 재개정하는 것은 사실상 불가능하므로 법 개정을 위한 충분한 의견수렴과 논의를 신중하고 차분하게 추진해야 한다고 주장했다.  

 

토론자로 나선 성열범 과학기술통신부 융합신산업과 사무관, 금융위원회 박영주 데이터정책과장, 정영수 행정안전부 사무관 및 임종철 방송통신위원회 사무관과 기업측에서 나온 이욱재 KCB(CB사) 본부장은 이구동성으로 데이터산업과 정보보호의 조화를 이루기 위해 노력했고 그 결실이 데이터3법이라고 주장했다 시민사회의 우려에 대해서는 정확하게 답변을 하거나 설명을 하지 않았다. 변혜진 건강과 대안 상임연구원과 오병일 진보네트워크센터 대표는 대체로 발제자들의 문제의식에 공감하면서 빅데이터 시대의 다양한 정보인권 침해의 양상에 대해서는 지난 10년 넘게 지적하고 문제제기를 해왔음에도 정책을 수립하고 제도를 설계하는 측에서 그 어떤 개선노력을 해 오지 않았다는 점을 강하게 성토했다. 특히 변혜진 상임연구원은 건강정보의 영리목적의 활용은 의료민영화와 직결되어 있는 문제로 박근혜 정부때 추진하려던 것을 시민사회에서 강하게 반대하여 막아내었는데 이번 정부에서 그것을 허용하려고 하고 있다며 국민의료체계를 흔들 수 있는 중차대한 문제에 대해 국민들과 공론의 장에서 토론하고 해법을 찾으려는 노력을 지금이라도 시작해야 한다고 제안했다. 

 

 ▣ 붙임1. https://drive.google.com/file/d/1064bEt1TrSAUJTytZSIIfFEySKrM3vgH/view?u... rel="nofollow">토론회 자료집

 ▣ 붙임2. https://drive.google.com/file/d/1WKWPfxU-zFzFM6qc73qSu-71n7WaRj3l/view?u... rel="nofollow">현행 개인정보보호법, 개정안, 참여연대 제안 3단 비교표

 

 보도자료 https://drive.google.com/open?id=1wibNmhDtOjdZWvh0jRoqKtni4YgaHTcWV05U0q... rel="nofollow">원문보기/다운로드

 보도협조요청서 https://drive.google.com/open?id=12ORNfrCRJZHKvK5gpyWIhuieSWz-MYwNUfS9pY... rel="nofollow">원문보기/다운로드

국회 계류 개인정보3법안은 “개인정보 도둑 법안”

4차산업혁명 위해 규제완화해야 한다는 주장 팩트체크 

일시 장소 : 12. 04. (수) 10:00, 참여연대 아름드리홀

 

현재 국회 법제사법위원회에는 개인정보보호법안, 신용정보보호법안이 계류 중이고 국회 과학기술정보방송통신위원회에는 정보통신망법(이하 개인정보3법안)이 계류중이다. 이법을 추진하고 있는 정부 일각과 기업들은, ‘다른 나라에 비해 우리나라 개인정보보호규제가 너무 강해서 데이터산업이 활성화되지 못한다’, ‘4차산업혁명을 위해서 개인정보를 활용해야 하는데 규제완화가 안되어 이대로 가다간 데이터후진국이 된다’, ‘가명처리하여 사용하므로 안전하다’ 등의 주장을 펴며 법안 통과를 요구해 왔다. 과연 그런가? 오늘(12월 4일) 참여연대 2층 아름드리홀에서는 개인정보3법 개악에 반대해 온 노동시민사회단체(이하 단체)들이 이 같은 정부와 기업들의 주장들에 대해 팩트체크를 중심으로 기자브리핑을 진행했다.

 

우선 단체들은 개인정보3법은, 가명정보라는 개념을 도입하여 정보주체의 동의권을 현저히 약화시키고, 기업들이 가명처리하를 하면 동의 없이 산업적, 상업적 연구에 무한대로 활용할 수 있도록 하고 있다고 지적했다. 목적제한, 최소수집 및 목적달성 후 폐기라는 개인정보처리의 가장 기본이 되는 원칙을 훼손하고 있다는 것이다. 단체들은 그동안 가명정보는 언제든 다른 데이터와 결합하면 누구의 정보인지 식별이 되는 정보이므로 정보주체의 권리보호를 위한 장치가 반드시 병행되어야 한다고 주장해 왔다. 그러나 개인정보3법이 이대로 통과된다면 국민의 가장 사적이고 민감한 의료정보, 질병정보에서부터 소비특성, 투자행태, 소득규모 등을 파악할 수 있는 신용정보, SNS등에 쓴 다양한 정보까지 거의 모든 정보를 기업의 돈벌이 수단으로 내주는 꼴이며 정보주체는 동의권은 물론이고 정보열람권, 삭제요구권, 정보이전 및 개인정보유출에 대한 통지받을 권리 등을 인정받지도 못해 기업이 어떻게 내 정보를 활용하고 판매하고 결합하는지, 또 어떤 사고가 있어 유출되고 악용되는지 알 수가 없게 될 것이라고 주장했다. 그래서 개인정보3법 개정안은  “개인정보 도둑 법”이라고 불러도 무방할 것이라고 설명했다.

 

기자브리핑에서 진행된 팩트체크 주요 내용은 다음과 같다.

 

1) 우리나라가 다른 나라에 비해 개인정보보호 규제가 강하다는 주장

→ 기존 개인정보보호법은 최소한의 수집, 제3자 제공 및 목적 외 이용에 동의를 요하는 등 기본적인 정보주체의 통제권을 보장하고자 하였음. 동의를 하지 않을 경우 필수적인 용역, 서비스 사용을 제한하더라도 아무런 규제도 없고, 거꾸로 동의를 하였을 경우 사실상 제3자 제공과 목적 외 이용이 제한없이 가능함. 

최근 강화된 미국 캘리포니아소비자보호법(The California Consumer Privacy Act (CCPA):An implementation guide, 이하 ‘CCPA’)과 비교해 보면, 미국은 언제든 개인정보를 제3자에게 판매하지 말도록 지시할 “옵트아웃” 권리가 있고, 수집한 개인정보의 범위를 공개하고 삭제하도록 요구할 권리를 강하게 규정하고 있다. 이러한 규제는 페이스북에서 무단으로 수천만명의 개인정보를 수집한 캠브릿지 애널래티카라는 회사의 사례를 들면서, 명백히 ‘프라이버시 및 개인정보에 대한 더 많은 통제권’과 ‘투명성’을 규제 취지로 들고 있음.

유럽 일반개인정보보호규정(General Data Protection Regulation,이하 ‘GDPR’)은 과학적 연구나 통계적 처리를 위해 안전조치의 한 종류로 가명처리를 할 수 있다고 규정할 뿐이고, 개인의 동의 없이 가명처리를 할 수 있다는 근거가 아니다. 오히려 GDPR은 가명정보를 재식별이 가능한 ‘개인정보’로 인식하고 개인에게 통제권을 부여하고 있다. 

결국 우리나라가 다른 나라에 비해 개인정보보호 규제가 너무 강하여 GDPR 또는 미국 수준으로 규제를 낮추겠다는 개정안의 주장은 지나친 규제 완화로 인해 국민들을 희생양으로 만들 가능성이 있음.   

 

2) 4차산업혁명을 위해서 개인정보를 활용해야 하는데 규제완화가 안되어 이대로 가다간 데이터후진국이 된다는 주장 

→ 빅데이터 산업 발전을 위해 개인정보 규제 완화를 해야 한다면, 전 세계는 개인정보 보호를 완화하기 위한 바닥으로의 경쟁을 해야할 것임. 이는 그 자체로도 바람직한 방향이 아니지만, 실제로 세계 각 국은 빅데이터 환경에서 개인정보 보호를 강화하는 방향으로 보호 수준을 높이고 있음. 유럽의 GDPR이 그렇고, 미국의캘리포니아주 소비자프라이버시법(CCPA)이 그러함.

이는 개인정보 권리 보호를 위해서도 필요하지만, 실제 빅데이터 산업 (넓게는 인터넷 기반 비즈니스) 발전을 위해서도 개인정보에 대한 신뢰가 뒷받침되어야 함. 인터넷 기반 산업은 정보주체가 자신의 개인정보를 적극적으로 제공하는 것에 기반하고 있는데, 이에 대한 신뢰가 없다면 인터넷 경제에 적극적으로 참여하려 하지 않을 것이기 때문임.

 

3) 가명정보는 안전하다는 주장

→ “가명처리”란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보 없이는 특정 개인을 알아볼 수 없도록 처리하는 것임. 다른 정보와 결합하면 식별의 위험성이 있는 정보이며 가명정보 역시 개인정보임.  따라서 개인정보보호법의 적용을 받아야 함. 유럽연합 GDPR도 가명정보를 개인정보로 보고 있으며, 한국 정부도 인정하고 있음.

가명정보는 가명처리되지 않은 원래의 개인정보보다는 안전함. 따라서 가능하다면 개인식별이 가능한 개인정보의 형태로 처리, 보관하는 것보다는 가명처리해서 보관하는 것이 바람직함. 그러나 가명정보는 다른 정보와 결합하여 여전히 재식별될 위험성이 있으므로, 재식별이 불가능한 익명정보보다는 위험함. 따라서 가능하다면, 익명처리해서 활용하는 것이 가장 바람직함. 재식별의 위험성은 가명처리의 방법 및 수준에 따라 달라지며, 현재 가명처리의 기술, 재식별 기술 모두 발전하고 있는 상황임.

개인식별자를 삭제하더라도 여전히 개인식별의 위험성이 있음은 이미 2016년 정부가 발표한 <개인정보 비식별조치 가이드라인>에서도 인정하는 바임. 

 

4) 영국 역시 의료빅데이터를 공유하는 사업을 국가 단위에서 추진하고 있다는 주장

→ 영국은 범국민적으로 탈퇴(opt-out)캠페인이 일어나는 등 결국 이 사업을 폐기하였고, 유럽 GDPR도 건강정보에 대해 원칙적 처리 금지를 명시함. 개인의 건강정보는 한 사람의 과거, 현재, 미래의 건강 상태의 집합이라는 점에서 보다 엄격한 동의 규정, 고지 의무 등을 법제화함. 단 ‘명시적 동의’ 혹은 ‘치료행위 및 공중보건을 위한 공공의 이익(Public interest)를 위한 경우, 학술 연구로 제한적 활용을 권고함. 또한 이러한 경우에도 자동화된 데이터 처리나 알고리즘에 의해 어떠한 의사 결정이 이루어질 때 이에 대해 환자가 알고 개입할 권리를 보장하도록 함. 자신의 건강정보 삭제를 요청할 권리 등도 이에 포함됨.

 

5) 빅데이터 기술을 활용하여 의료데이터를 분석하고 개인에 맞는 건강관리 및 치료방법을 제안하고 더 나아가 질병 또한 예측하는 서비스를 제공하는 등 데이터기반 의료서비스로 의료서비스 질이 업그레이드 되는 등 사회적 이익이 증대될 것이라는 주장 

→ ‘데이터 중심 건강관리’ 라는 데이터경제론은 근거가 없음. 넛지(nudge)이론에 근거한 개인의 행동변화를 통한 건강증진 사업은 효과가 없음이 이미 증명됨. 거꾸로 건강증진 앱은 감시, 두려움, 죄책감을 동반해 경쟁적 자아 경영을 도모하며, 앱 사용에 있어 경제적 문화적 차별을 전제하고 있다는 문제가 제기되고 있음. 결국 건강정보 규제완화는 건강을 결정하는 사회경제적 요인 문제들을 사회적 문제로 인식하지 못하도록 만들고 건강의 개인책임화를 부추기는 경제논리임. 따라서 공적인 예산들이 다수 건강증진 효과가 없다는 것이 드러난 의료상업화로 투자되고 있는 공적자금의 왜곡도 데이터경제론의 큰 문제 중 하나임.  

보건의료 빅데이터는 그 활용이 정보주체, 집단, 지역사회에 주는 해보다 큰 사회적 가치가 있는가의 여부(공공의 이익), 연구 과정과 결과가 모든 이들에게 호혜적이며 사회적 연대를 갖는가의 여부(형평성), 데이터의 질과 안전, 사용에 있어 투명하게 사용되고 있음을 증명할 수 있는가(책임성) 등에 대한 사회적 논의와 공론화가 우선되어야 함.

 

6) 신용정보법 개정안이 통과된다면 소비자에게 최적의 맞춤형 서비스를 제공하는 등 소비자-기업간 윈윈할 것이라는 주장

→ 오히려 금융서비스 공급자와 이용자 간 극단적 정보격차 상황이 발생할 것이며 이것은 금융공공성 훼손으로 귀결될 것임. 이제 금융회사들은 철저하게 가명정보의 이종 간 결합을 바탕으로 상품을 설계하고 판매 전략을 운영하게 됨. 이것은 공급자가 소비자 집단을 매우 정확한 수준에서 위험군과 비위험군으로 분류하고, 리스크가 ‘0’에 수렴하는 영업활동을 하게 된다는 의미임. 결과적으로 저신용, 저소득 계층의 금융소외는 피할 수 없음. 빅데이터와 금융의 결합이 당장 새롭고 편리한 금융서비스로 나타날 수 있지만, 머지않아 극단적인 양극화를 강화하는 촉매로 작동할 것임.

뿐만 아니라 보이스피싱 범죄 등 대표적인 금융사기범죄로 이미 불법 유출된 국민 개인정보와 신용정보가 대환사기 등 나날이 발전하는 범죄수법의 도구로 범죄자들에게 애용(?)되고 있음. 미신고 피해까지 합칠 경우 보이스피싱의 피해규모는 이미 1조 원대에 달할 것으로 보이는데, 불행히도 국내 금융보안 수준을 감안하면 가명정보 활용이 본격화 될 경우 보이스피싱 피해는 그에 비례하여 급증할 것으로 예상됨.

 

7) 현재 국회 법사위에서 체계 잣구 심사 단계인데, 이들 법안들은 다른 법률들과 법체계 문제는 없나?

→ 개별 법률은 특정 정보에 대하여 활용 목적을 엄격하게 제한함으로써 특별한 보호를 규정하고 있는데, 이에 대해서 개보법 개정안이나 신정법 개정안은 그 개별법과의 관계를 명확히 하지 않고 있음.

대표적으로 인간의 존엄성 등과 밀접하게 관련된 건강정보는 특별한 보호가 요청되는 정보인데, 개보법 개정안과 신정법개정안에 따르면 상업적, 영리적 목적으로 활용될 수 있음.  

의료법 제19조는 의료인 및 그 종사자 등이 알게 된 건강정보를 누설하거나 발표하지 못하도록 하고 있고, 부당한 목적으로 사용하여서는 아니된다고 규정하고 있음.

국민건강보험법 제102조는 공단, 심사평가원 및 대행청구단체에 종사하였던 사람 또는 종사하는 사람에게 비밀누설금지 및 제3자 제공을 금지하고 있음.

 

참가자들은, 현재 국회에 계류된 개인정보3법안은, ▶법률안들끼리도 개인정보의 정의 등 용어가 통일되어 있지 않고,여전히 규정 중복이 있음. 이에 상호간의 용어통일, 중복규정 정리가 필요하다는 점,  ▶가명정보 또는 가명처리된 정보의 비동의 활용범위를 산업적, 상업적 활용로 확대하지 않고  ‘학술연구’로 제한할 것▶ 전세계 유례를 찾아보기 힘든 정보집합물간 결합조항은 삭제할 것,▶ 민감정보의 가명처리 제한, ▶가명정보에 대한 삭제권, 처리정지권, 이용동의 철회권 보장 등 정보주체의 권리를 인정할 것을 제안했다. 또한 국회가 할 일은 당장 이들 3법안 심사를 중단하고 정보보호와 활용이  균형잡힌 대안을 제시하는 것이라고 강조했다. 

 

이번 기자브리핑에는 건강과 대안 변혜진 상임연구원, 민주사회를위한변호사모임 디지털정보위원회 서채완 변호사, 전국민주노동조합총연맹 백정현 사무금융노조 교육국장, 진보네트워크센터 오병일 대표, 참여연대 정보인권사업단 최종연 변호사가 참석했다. 

 

팩트체크 http://bit.ly/34NAmoq" rel="nofollow">내용 전부 보기

보도자료[https://docs.google.com/document/d/1P_tHMaCWnjs6FVxSDRj6VGJ53UgO_VSaMq-k... rel="nofollow">원문보기/다운로드]

 

행안부는 반쪽짜리 주민번호 개편안 전면 재검토하라

주민번호 활용 최소화하고 전면 임의번호 부여하는 온전한 개선안 마련해야

 

지난 12월 17일 행정안전부는 2020년 10월부터 주민등록번호 뒷자리의 지역번호 대신 임의번호를 부여하는 방식으로 주민등록번호 부여체계를 개편하겠다고 밝혔다. 현 체계의 주민등록번호는 생년월일, 성별, 지역번호, 등록순서, 검증번호를 포함한 13자리이다. 개편안에 따르면 기존 주민번호는 그대로 유지되며 신규 부여받거나 변경하는 경우 생년월일과 성별번호 7자리 이후 6자리를 임의번호로 부여받게 된다. 

 

그러나 이러한 개편안은 주민번호체계의 근본적인 문제 해결 방법이 아니다. 그동안 지적돼 온 현행 주민등록번호 부여체계의 핵심적인 문제는 모든 영역에서 사용되는 범용성, 생년월일·성별·지역 등 개인의 고유한 정보가 내재된 구성체계 등이었다. 이번 개편안은 이와 같은 문제를 해결하는 근본적 대안이 아닌 일부 수정에 불과하다. 이에 개편안을 전면 재검토하고 주민번호 전부를 임의번호로 부여하는 등 온전한 개선안 마련이 필요하다. 

 

주민번호는 번호 자체가 그 사람을 대표하는 유일한 번호로서 성명, 주소 등 다른 개인정보와 연결되는 연결자다. 그렇기 때문에 유출될 시 개인정보 전반에 입는 피해가 매우 크다. 그러나 한국의 주민번호는 공공·민간영역 할 것 없이 본인확인 수단으로 광범위하게 사용되고 있다. 정부는 잦은 주민등록번호 등 개인정보 유출 사고 이후  2014년부터 법령으로 정해진 경우에만 주민번호를 수집할 수 있도록 주민번호 수집 법정주의를 도입한 바 있지만, 여전히 광범위하게 쓰이고 있는 실정이다. 무엇보다 주민번호 자체에 성별, 생년 등 고유한 개인정보가 포함돼 있기 때문에 유출로 입는 피해뿐만 아니라 차별에 노출될 가능성도 굉장히 높다. 특히 성별 이분법적 시각으로 분류한 성별번호가 포함돼 있기 때문에 성별이분법에서 벗어난 성소수자에 대한 차별의 원인을 제공한다는 지적도 수차례 있었다. 

 

이에 시민사회단체와 국가인권위원회 등은 현행 주민등록번호에 포함돼 있는 생년월일, 성별번호 등을 없애고 무작위 난수체계의 임의번호 체계로 변경할 것을 촉구해 왔다. 아울러 주민등록번호를 관련 행정업무와 사법행정업무에 한해 사용하고 목적별 번호 제도를 도입하는 것이 필요하다는 의견을 피력해 왔다. 또한 인권위는 이미 지나치게 많은 법령에서 주민번호 수집을 허용하고 있으니 법령 정비를 통해 이를 최소화하고 민간영역에서의 허용은 불가피한 경우에만 한정해야 한다고 권고한 바 있다. 

 

그러나 행안부의 이번 개편안은 여전히 주민번호에 핵심 개인정보를 포함하고 있어 반쪽짜리 개선에 불과하다. 이러한 개편안을 마련한 이유에 대해 행안부는 의료, 금융시스템 등 공공·민간 분야에서 주민번호를 통해 생년월일과 성별을 관리하고 있어 주민번호를 전면 개편할 경우 약 11조원의 비용을 치르게 된다는 연구 결과가 나왔기 때문이라고 밝히고 있다. 하지만 주민번호 수집 법정주의에도 불구하고 여전히 개편 비용이 많이 든다는 것은 주민번호의 수집을 최소화하고자 하는 목적으로 도입한 주민번호 법정주의가 제대로 작동하지 않기 때문이다. 또한 인권위의 권고에도 불구하고 여전히 공공·민간영역에서의 광범위한 주민번호 활용을 허용하겠다는 말과 다름없다. 

 

비용과 혼란을 최소화하기 위해 단계적으로 시행하더라도 근본적인 방향은 제대로 설정해야 한다. 현재 대부분의 국가는 우리처럼 개인식별번호에 민감한 개인정보를 포함하지 않고 조세·사회보장 등 극히 제한된 공공행정업무에만 한정해 사용하고 있으며 그외 민간영역에서는 개인 신분인증의 수단으로 활용하지 않고 있다. 한국 역시 지금부터라도 주민번호의 사용범위를 줄이고 목적별 식별번호 사용을 추진해야 한다. 이미 필요한 경우 생년월일과 성별을 별도로 수집하는 경우가 있다. 주민번호의 전면 개편으로 인한 변경 비용과 사회적 혼란이 우려된다면 시스템 변경에 필요한 경과기간을 두는 방식으로 해결할 수 있다. 또한 신규 등록자 및 원하는 사람 위주로 변경하도록 할 수도 있다. 이러한 사회적인 대안에 대해 행안부가 제대로 검토했는지 의문이다. 근본적인 문제를 해결하지 않은 채 일부분 변경으로 갈음한다면 향후 또다시 제도변경에 불필요한 사회적 비용이 발생하게 될 것이다.

 

행안부의 이번 개선안은 개인정보자기결정권이라는 헌법상 기본권 보장 측면에도 부합하지 않는 관리의 효율성만을 앞세운 반쪽짜리 개선안이 아닐 수 없다. 행안부는 국민의 기본권을 보장함과 동시에 주민번호로 인한 사회적 차별, 유출 위험 등을 줄일 수 있도록 주민번호 13자리를 전부 임의번호로 부여하는 방식의 온전한 개편안을 마련해야 한다. 또한 주민번호 수집 법정주의를 엄격하게 관철해 주민번호를 최소한으로 사용하도록 제한하고, 목적별 식별번호 사용도 반드시 함께 추진해야 할 것이다.

 

2019.12.19

 

민주사회를 위한 변호사모임 디지털정보위원회, 성소수자차별반대 무지개행동(총 39개 단체 및 모임- 공익인권법재단 공감, 공익인권변호사모임 희망을만드는법, 노동당 성정치위원회, 녹색당 소수자인권특별위원회, 대구퀴어문화축제, 대전 성소수자 인권모임 ‘솔롱고스’, 대학·청년성소수자모임연대 QUV, 대한불교 조계종 사회노동위원회, 레주파, 무지개예수, 무지개인권연대, 민중당 인권위원회, 부산 성소수자 인권모임 QIP, 부산퀴어문화축제 기획단, 30대 이상 레즈비언 친목모임 그루터기, 서울인권영화제, 서울퀴어문화축제조직위원회, 성공회 용산나눔의집(사회적소수자 생활인권센터), 성별이분법에 저항하는 사람들의 모임 ‘여행자’, 성소수자부모모임, 성소수자알권리보장지원 노스웨스트 호, 성적소수문화인권연대 연분홍치마, 성적지향성별정체성 법정책연구회, (사)신나는센터, 언니네트워크, 이화 성소수자인권운동모임 변태소녀하늘을날다, 전라북도 성소수자 모임 열린문, 정의당 성소수자위원회, 지구지역행동네트워크, 청소년성소수자위기지원센터 띵동, 청소년 트랜스젠더 인권모임 튤립연대(준), 트랜스젠더 인권단체 조각보, 트랜스해방전선, 한국게이인권운동단체 친구사이, 한국레즈비언상담소, 한국성적소수자문화인권센터, 한국청소년청년감염인커뮤니티알, 행동하는성소수자인권연대, HIV/AIDS 인권연대 나누리+ ), 진보네트워크센터, 참여연대, 함께하는 시민행동

“개인정보3법 통과 이대로 안된다”

 

바른미래당 채이배 국회의원, 시민사회노동건강단체들 긴급 기자회견 개최

일시 장소 : 2020.1.9.(목) 오전 9:00, 국회 정론관

 

취지와 목적

 

국회가 패스트트랙법안 중 검경수사권 조정과 관련된 법안들을 처리하기 위해 본회의를 9일 개최하면서 민생법안들도 함께 처리하겠다고 함. 이 민생법안들과 함께   법제사법위원회에 계류되어 있는 개인정보3법(이른바 데이터3법)도 통과시키겠다고 알려지고 있음.

그동안 정보인권을 현행보다도 대폭 후퇴시키는 개인정보보호법·정보통신망법·신용정보법 개정안 등 개인정보3법안에 반대해 온 시민사회노동보건소비자운동단체들은 그동안 보호조치도 없이 오로지 정보활용에만 초점이 맞춰져 있는 입법에 강력한 우려의 의견을 제시하고 사회적 논의를 시작하자고 수차례 요청해 옴. 이대로 개인정보 3법이 통과된다면 지금과는 비교도 할 수 없는 규모와 유형의 데이터범죄, 정보유출 등의 피해가 국민들에게 돌아올 것임.

국회의 입법권은 국민을 위해 사용되어야 하는데 기업의 이윤을 위해 충분한 안전장치도 없이 정보주체의 권리를 일방적으로 희생할 것을 요구하는 것은 국민의 대표기관이 할 일이 아님. 이에 시민사회노동건강소비자운동단체들은 국회 정론관에서 개인정보3법안의 처리 중단을 요구하고 최소한의 보호조치를 마련한 후 다시 논의할 것을 요구하는 긴급기자회견을 아래와 같이 개최함.

이번 기자회견은 개인정보3법안이 정보활용과 정보인권의 조화를 이루는 방향으로 개정되어야 한다고 주장하며 입법활동을 해 온 바른미래당 채이배 국회의원의 소개로 진행됨. 

 

개요

 

제목 :  “개인정보3법 통과 이대로 안된다” 시민사회노동건강소비자운동단체 긴급 기자회견 

일시 장소 : 2020. 1  9(목) 9시 / 국회 정론관 

주최 :건강과 대안·경제정의실천시민연합·무상의료운동본부·민변 디지털정보위원회 민주노총 사무금융노조·서울YMCA·소비자시민모임·의료연대본부 진보네트워크센터·참여연대·한국소비자연맹·함께하는시민행동

소개 바른미래당 채이배 국회의원

발언 

민주노총 사무금융노조 이재진 위원장

참여연대 한상희 정보인권사업단장

보건의료단체연합 전진한 정책국장

한국소비자연맹 정지연 사무총장

경실련 김보라미 소비자정의센터 운영위원

 

 

문의 :  참여연대 정보인권사업단 이경민 간사 02-723-5056, 이지은 선임간사 02-6712-5285

개악 개인정보보호법 후속 과제에 대한 시민사회 의견서 행정안전부에 제출

분야별 가이드라인 등 개인정보보호의 내용적 지침은 개인정보보호위원회 주도, 가명처리의 수준, 과학적연구 범위 등 모호한 규정에 대한 즉각 재개정 논의착수 등 개악된 법의 개인정보침해 위험 최소화하기 위해 방법 강구할 것 요구

 

오늘(2월 17일) 금융정의연대, 무상의료운동본부, 민주사회를위한변호사모임 디지털정보위원회, 보건의료단체연합, 서울YMCA 시청자시민운동본부, 연구공동체 건강과대안, 전국민주노동조합총연맹, 전국사무금융노동조합연맹, 진보네트워크센터 , 참여연대 등 10개 시민사회단체는 행정안전부(장관 진영)에 지난 1월 9일 국회를 통과한 개인정보보호법에 대한 의견서를 전달했다. 

 

우선 단체들은, 헌법적 권리인 개인정보자기결정권을 희생하여 정보주체 동의없이도 개인정보를 기업의 돈벌이 수단으로 판매할 수 있게 한 이번 개정 개인정보보호법에 반대함을 분명히 밝히고 개악된 법을 개정하기 위한 투쟁을 이어갈 것임을 천명하였다. 다만, 그동안 지적해 온 정보인권 침해가 가시화될 법시행일인 8월 5일 전에 가능한 선에서나마 개인정보 침해 위험을 최소화하기 위한 방안을 제시하기 위한 의견서를 행안부에 제출한다고 밝혔다. 

 

붙임1 : 개악 개인정보보호법 후속 과제에 대한 시민사회 의견서

보도자료 http://bit.ly/2P0EhbB" rel="nofollow">원문보기/다운로드

 

<개악 개인정보보호법 후속 과제에 대한 시민사회 의견서>

 

개인정보 주체의 권리 보호 장치 없애고 개인정보를 기업의 돈벌이 수단으로 전락시킨 개악 개인정보법은 반드시 재개정되어야 함

법 재개정 전 개인정보 피해 최소화하기 위한 의견

 

우선 시민사회의 반대에도 불구하고 충분한 토론 없이 국회에서 개인정보 3법이 졸속 통과된 것에 대해 심각한 유감을 표합니다. 우리는 이 법들의 재개정을 위해 투쟁할 것입니다. 다만, 개악된 법을 제대로 개정하기 전이라도 개인정보 침해 위험을 최소화하고 올바른 방향으로 개인정보보호법을 재개정하기 위하여 아래와 같이 의견을 제출합니다. 

 

1. 보호위원회는 기본권의 수호자로서 독립적으로 운영되어야 함 

○ 개정법에 따라 개인정보 보호위원회(이하 보호위원회)가 인사권 및 예산권을 갖는 독립적인 중앙행정기관으로 다시 설립될 예정임. 독립된 개인정보 보호위원회의 설립은 개인정보보호법 제정 이전부터 일관된 시민사회의 요구였음. 국제인권규범에서도 1990년 <유엔 전산처리된 개인정보파일의 규제 지침> 이래로 개인정보 감독기구들의 독립성을 요구하고 있음. 이는 독립적이고 전문적인 개인정보 감독기구야말로 개인정보 처리자로부터 정보주체인 국민과 소비자의 기본권을 보호할 수 있기 때문임. 갈수록 개인정보의 빅데이터 처리와 자동화된 의사결정으로 국민의 정보인권이 침해될 위험성이 커지는 시대에 권한이 강화된 보호위원회가 국민을 위해 자신의 존재 가치를 입증해야 할 때임. 

 

○ 국민들의 방대한 개인정보를 처리하고 있는 개인정보처리자로서의 공공기관 및 막강한 시장 권력을 가지고 있는 기업 등 민간의 개인정보처리자를 제대로 감독하기 위해서는 개인정보 감독기구의 독립성이 무엇보다 중요함. 독립적인 감독기구의 중요성은 개인정보보호법 개정 과정에서도 드러났음. 국가인권위원회가 개인정보보호법 개정안이 정보주체의 권리를 충분히 보호하지 못한다는 점을 지적하며 개선을 요구한 반면, 보호위원회는 개정안에 대한 개선 의견을 내지 못한 채 정부부처에 종속적인 모습을 보여주었음. 개정된 개인정보보호법에서 보호위원회의 독립성과 권한을 강화하였다고 하나, 보호위원회의 소속을 국무총리 산하로 격하하고 대부분의 업무에서 국무총리의 행정감독권(정부조직법 제18조)을 배제하지 않았다는 점에서 보호위원회의 독립성이 ‘실질적으로’ 보장될 수 있을지 시민사회는 우려하고 있음. 이러한 우려를 불식하고 보호위원회가 개인정보처리자들로부터 독립적인, 기본권의 수호자가 될 수 있도록 보호위원회의 모든 조직 구성원의 자각을 촉구함. 

 

○ 개인정보 보호위원회가 독립성과 전문성을 갖고 제 역할을 할 수 있기 위해서는 위원 구성이 매우 중요함. 개정안에서 위원회가 현직 공무원 위원을 포함할 수 있도록 하고 정보주체를 대변하는 시민사회단체 또는 소비자단체 추천 몫을 삭제한 것에 대해 시민사회는 우려를 표명한 바 있으며, 이에 대해 정부는 시민사회단체를 배제한 것이 아니고 ‘단체’에 포함된다고 설명해 왔음. 정부와 국회는 개인정보 보호에 대한 전문성과 신념을 가진 인사를 개인정보 보호위원으로 선임할 것을 촉구함. 더불어, 보호위원회는 상임위원 증원과 독임제 행정부처의 역할까지 갖추게 되었지만 합의제 위원회로서 국민을 대표하는 비상임위원들의 심의 의결권을 충분히 보장해야 함. 

 

○  이번 개정으로 개인정보 감독권한이 보호위원회로 일정하게 통합되었음에도 불구하고, 신용정보에 대한 감독은 여전히 금융위원회가 담당하고 있음. 개시인정보보호법과 신용정보의 이용 및 보호에 관한 법률(이하 ‘신용정보법’) 간의 중복과 혼란 역 완전히 해소되지는 않았음. 시민사회 단체는 금융위원회의 개인정보 감독권한이 보호위원회로 조속히 통합할 수 있도록 보호위원회가 부처간 협의를 진행하고 제도를 정비할 것을 촉구함. 

 

2. 하위 법령 제정에 대한 의견 

 

(1) 내용적 지침은 보호위원회가 제정해야 함. 

 

○ 지난 2020년 1월 22일, 정부는 관계기관 합동 보도자료를 통해 “올 2월까지 시행령 개정안을 마련하고, 3월까지 고시 등 행정 규칙 개정안을 마련하며, 법 시행 시점에 분야별 가이드라인과 해설서 개정안을 발간”할 계획임을 밝혔음. 이는 중요한 내용적 지침들을 보호위원회의 설립 전에 기존의 정부부처가 정하는 것으로 보호위원회를 처음부터 무력화하는 것이나 다름없음. 

 

○ 시민사회는 행정안전부, 금융위원회, 방송통신위원회 등 기존 정부부처가 개인정보 보호에 대한 인식없이 개인정보 활용에만 매몰되어 왔다고 평가하고 있으며, 따라서 기존 정부부처가 만든 가이드라인을 신뢰할 수 없음. 관계 부처의 역할은 보호위원회 설립을 위한 시행령 제정에 한정되어야 하며, 분야별 가이드라인이나 해설서 등 구체적인 지침은 새로 설립되는 보호위원회가 국민들의 의견을 수렴하여 만드는 것이 바람직함. 

 

○ EU와의 GDPR 적정성 평가의 추진도 지금까지 독립적인 감독기구의 부재가 가장 큰 걸림돌이었던 만큼, 새롭게 구성된 보호위원회가 주체가 되어 추진하는 것이 바람직할 것임. 

 

(2) 보호위원회의 투명성 

 

○ 보호위원회는 투명하고 민주적으로 운영되어야 함. 이를 위한 조건으로 보호위원회의 회의록은 특별한 사유가 없는 한 홈페이지를 통해 공개해야 하며, 관심이 있는 사람은 누구나 회의를 참관할 수 있도록 보장되어야 함. 

 

(3) 가명처리의 수준  

 

○ 가명처리와 관련한 가장 큰 우려는 여전히 재식별의 위험성이 큼에도 불구하고 일부 직접 식별자만을 제거하는 정도의 개인정보 처리를 가명처리로 인정하는 것임. “해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보”는 이미 개인정보의 정의에 포함되어 있고, 가명처리된 정보를 “원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보”로 별도 규정한 만큼, 가명처리한 개인정보처리자가 아닌 제3자의 입장에서는 익명정보에 가깝도록 처리되어야 함. 

 

 1. "개인정보"란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.

    가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보

    나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다.

    다. 가목 또는 나목을 제1호의2에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 ”가명정보”라 한다)

  1의2. “가명처리”란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말한다.

 

○ 시행령 역시 기술중립적으로 작성되어야 하며 특정한 기술적인 방법을 시행령에 포함해서는 안됨. 

 

○ 한편 시민사회단체들은 여전히 개정 개인정보보호법 등이 가명처리만 하면 개인정보를 목적 외로 폭넓게 활용할 수 있는 반면, 정보주체의 권리를 전면 배제하고 있기 때문에 개인정보 보호의 관점에서 여전히 문제가 있다는 입장이며, 이는 가명처리의 기술적 수준과는 별개의 문제임. 즉, 안전조치로서 가명처리가 의미가 있기 위해서 관련 시행령에서 이를 규정하는 것과 별개로, 개정 개인정보보호법 등 개정 법률이 가진 근본적 하자를 치유하기 위해서는 법률이 재개정되어야 함. 

 

(4) 과학적 연구의 범위 

 

○ 개정 개인정보보호법 제2항 8호는 다음과 같이 과학적 연구를 정의하고 있지만, 그 범위는 명확하지 않음. 

 

8. “과학적 연구”란 기술의 개발과 실증, 기초연구, 응용연구 및 민간 투자 연구 등 과학적 방법을 적용하는 연구를 말한다.

 

○ 특히 개정 개인정보보호법의 제안 이유에서 “새로운 기술, 제품, 서비스의 개발 등 산업적 목적을 포함하는 과학적 연구”라고 했기 때문에 시민사회는 기업 내부적인 상업적 연구까지 포괄하는 것에 대해 비판해왔음. 이에 대해 행정안전부는 과학적 연구가 기업에서 수행하는 모든 종류의 연구를 포함하는 것은 아니며, 또한 기업 간에 가명정보의 ‘판매’는 허용하지 않을 것이라고 공언해왔음. 

 

○ 따라서 개정 개인정보보호법이 의도한 ‘과학적 연구’의 범위는 구체적으로 어디까지인지, 개인정보처리자가 ‘연구’라고 주장하면 무조건 허용되는 것인지, 적절한 과학적 연구 여부에 대한 판단이 필요한지, 필요하다면 누가하는 것이 좋을 지 등에 대해 구체적인 지침을 제공할 필요가 있음. 

 

○ 특히, 서로 다른 개인정보처리자 사이에 가명정보를 제공할 경우에는 특정 개인정보처리자 내부에서 과학적 연구 및 통계 목적으로 처리하는 것보다 개인정보 침해 위험성이 커지는 바, 이 경우에는 보다 엄격한 조건이 필요함. 행정안전부는 기업 간에 가명정보의 판매는 허용하지 않겠다고 했는데 이를 어떻게 규율하겠다는 것인지 구체적으로 설명할 필요가 있음. 

 

○ 국가인권위원회 역시 2019년 11월 13일 "｢개인정보 보호법 일부개정법률안｣ 등 일명 ‘데이터 3법’ 개정에 대해 정보주체의 권리가 충분히 보호될 수 있도록 국회에서 신중을 기하여 논의할 것"을 권고하면서 "가명 개인정보의 활용범위를 보다 구체적이고 명확하게 규정"해야 한다는 의견을 표명한 바 있음. 

 

○ 시민사회는 비록 가명처리되었다고 하더라도 가명정보 역시 개인정보이므로 (가명처리된) 개인정보의 애초 수집 목적 외 이용은 정보주체의 권리를 일정하게 제한하게 되는 바, 과학적 연구가 정보주체의 권리 제한 이상의 사회적인 가치를 가져야 하며 따라서 “학술 연구”로 제한할 것을 제안한 바 있음. 비록 개정 개인정보보호법에서는 ‘과학적 연구’라는 개념을 사용하고 있으나  시민사회가 제안하는 취지를 고려한다면, 그 결과물이 사회에 공개, 공유되어 사회 전체의 지식 기반을 확대하는 데 기여하는 연구로 과학적 연구의 범위를 구체화할 필요가 있음. 

 

○ 한편 개정 신용정보법은 제32조 제1항 제9의2호에서 개인정보보호법과 달리 ‘과학적 연구’ 대신 ‘연구’라는 개념을 사용하고 있으며, “통계작성에는 시장조사 등 상업적 목적의 통계작성을 포함하며, 연구에는 산업적 연구를 포함”시키고 있음. 이러한 법률 조항의 내용은 그 자체로서 정당화되기 어려울 뿐만 아니라 개인정보보호법과의 일관성도 저해하는 만큼, 해당 조항을 뒷받침하는 방식으로 신용정보법에 대한 시행령이 제정되어서는 안 될 것임. 시민사회단체는 시행령 제정에 앞서 개정 신용정보법의 재개정을 우선적으로 고려할 것을 촉구함. 

 

(5) 합리적으로 관련된 범위와 관련된 고려사항 

 

○ 개정 개인정보보호법 제15조 3항 및 제17조 4항은 합리적으로 관련된 범위 내에서 정보주체의 동의 없이 개인정보를 이용 혹은 제공할 경우의 고려 사항으로 법에서는 ‘정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부’만을 언급하고 있으며 보다 구체적인 내용은 대통령령에 위임하고 있음. 

 

제15조(개인정보의 수집·이용)

③ 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위 내에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령이 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용할 수 있다.

 

 제17조(개인정보의 제공)

④ 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위 내에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령이 정하는 바에 따라 정보주체의 동의 없이 개인정보를 제공할 수 있다. 

 

○ 참고로 EU GDPR의 경우에는 제6조 4항 양립가능한 처리의 고려사항으로 (a) 수집 목적과 의도된 추가처리 목적 간의 연관성; (b) 특히 정보주체와 정보처리자 관계의 맥락에서 개인정보가 수집된 상황; (c) 특히 개인정보의 성격이 제9조의 특정 범주의 개인정보의 처리 여부, 또는 제10조의 범죄경력 및 범죄행위와 관련한 개인정보의 처리 여부; (d) 의도된 추가처리가 정보주체에 초래할 수 있는 결과; (e) 암호처리(encryption) 및 가명처리(pseudonymisation) 등 적절한 보호수단의 유무를 제시하고 있음. 

 

○ 이 조항은 자칫하면 정보주체에게 동의를 받는 노력을 회피하는 데 악용될 우려가 있음. 따라서 해당 조항의 ‘수집 목적과 합리적으로 관련된 범위 내’는 매우 좁은 범위에서, 즉 정보주체가 납득할 수 있는 범위 내에서 엄격하게 해석되어야 함. 제정될 시행령은  분명하고 구체적인 기준을 규정해야 할 것임

 

○ 나아가 시민사회단체들은 근본적으로 위와 같은 조항이 정보 주체에게 초래할 위험을 충분히 고려하여 도입된 것인지 의문을 가지고 있음. 따라서 위 조항들이 시행령이 아닌 법률의 차원에서 재논의되기를 기대함. 

 

(6) 가명정보에 대한 안전조치

 

제28조의4(가명정보에 대한 안전조치의무 등) ① 개인정보처리자는 가명정보를 처리하는 경우에는 원래의 상태로 복원하기 위한 추가 정보를 별도로 분리하여 보관·관리하는 등 해당 정보가 분실·도난·유출·위조·변조 또는 훼손되지 않도록 대통령령이 정하는 바에 따라 안전성 확보에 필요한 기술적․관리적 및 물리적 조치를 하여야 한다.

  ② 개인정보처리자는 가명정보를 처리하고자 하는 경우에는 가명정보의 처리 목적, 제3자 제공 시 제공받는 자 등 가명정보의 처리 내용을 관리하기 위해 대통령령으로 정하는 사항에 대한 관련 기록을 작성하여 보관하여야 한다.

 

제28조의7(적용범위) 가명정보는 제20조, 제21조, 제27조, 제34조제1항, 제35조부터 제37조까지, 제39조의3, 제39조의4, 제39조의6부터 제39조의8까지의 규정을 적용하지 아니한다.

 

○ 제28조의4 1항은 가명처리되기 이전의 원래의 개인정보처리자만을 대상으로 한 것으로 해석될 수도 있는데(왜냐하면 “원래의 상태로 복원하기 위한 추가 정보를 별도로 분리하여 보관·관리하는 등”이라는 문구가 있기 때문에), 가명정보를 제공받은 제3자 역시 개인정보처리자이고 당연히 안전조치를 취해야할 것임. 시행령에서 제3자의 안전조치 의무와 책임 역시 명시할 필요가 있음. 

 

○ 제28조의4 2항은 단지 ‘관련 기록의 작성 및 보관’ 의무만을 규정하고 있는데, 이 기록은 개인정보처리방침을 통해 공개되어야 함. 그래야 정보주체가 자신의 개인정보가 가명처리가 되었는지 여부 및 가명처리된 개인정보가 어떻게 이용, 제공되는지 알 수 있고, 이에 따라 자신의 권리를 행사할 수 있을 것임. 참고로 개인정보보호법 제30조 및 시행령 제31조에서 개인정보처리방침에 수록될 사항을 규정하고 있는데, 가명처리 역시 개인정보의 처리이므로 이에 포함되는 것임.. 

 

○ 제28조의7은 가명정보에 대해 제21조(개인정보의 파기)를 배제하도록 하고 있는데, 그 의미가 모호함. 과학적 연구 및 통계 등을 위해 가명정보가 이용될 경우 애초 수집 목적에 필요한 기간 이상으로 보관될 수는 있지만, 해당 과학적 연구 및 통계 작성이 완료되면 당연히 폐기되어야 함. 그렇지 않고 가명정보라고 해서 무한대로 보관할 수 있도록 한다면 정보주체의 권리가 침해될 위험성이 매우 커질 것임. 제28조의7에서 제21조를 배제한다는 의미가 모호한만큼, 시행령을 통해서라도 보다 명확하게 규정할 필요가 있음. 

 

(7) 가명정보의 결합 

 

○ 시민사회는 제28조의3 가명정보의 결합 조항에 반대해왔음. 이는 우선 과학적 연구의 범위가 지나치게 폭넓게 규정이 되어 영리적인 목적의 가명정보 결합까지 허용을 하고 있기 때문으로 사실상 2016년 박근혜 정부 당시 <개인정보 비식별조치 가이드라인>과 다를 바 없다고 보았기 때문임. 실제로 전 세계적으로 공공기관이 기업들 사이의 개인정보 결합을 지원하고 결합된 가명정보를 원 개인정보처리자에게 다시 제공하는 사례는 찾아볼 수 없음. 다만, 공공기관이 보유하고 있는 개인정보를 가명처리 및 결합하여 제한적으로 학술 연구자에게 제공하는 경우는 있으며 시민사회가 이에 대해서까지 반대하는 것은 아님. 따라서 비록 개인정보보호법에 제28조의3이 포함되었지만, 가명정보의 결합에 따른 개인정보 침해 위험을 최소화하기 위해 매우 엄격한 조건에서 시행되어야 함. 

 

제28조의3(가명정보의 결합 제한) ① 제28조의2에도 불구하고 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 서로 다른 개인정보처리자 간의 가명정보의 결합은 보호위원회 또는 관계 중앙행정기관의 장이 지정하는 전문기관이 수행한다.

  ② 결합을 수행한 기관 외부로 결합된 정보를 반출하려는 개인정보처리자는 가명정보 또는 제58조의2에 해당하는 정보로 처리한 뒤 전문기관의 장의 승인을 받아야 한다.

  ③ 제1항에 따른 결합 절차와 방법, 전문기관의 지정 및 지정취소 기준·절차, 관리·감독, 제2항에 따른 반출 및 승인 기준・절차 등 필요한 사항은 대통령령으로 정한다.

 

○ 결합된 가명정보로부터의 재식별 위험성을 막기 위해, 가명정보의 결합에 관여하는 원 개인정보처리자들, 결합에 사용될 연계키의 제공자, 결합된 가명정보를 연구자에게 제공하는 기관이 서로 분리되어 있어야 함.  신뢰할 수 있는 제3자(Trusted Third Party)를 통한 연계 방식이 이를 위한 하나의 방법이 될 수 있음. 

 

○ 결합된 가명정보에는 폐쇄적인 안전시설 내에서만 접근 가능해야 하며, 가명정보 형태로 외부에 반출되어서는 안됨. 

 

○ 전문기관은 결합된 가명정보에 접근하는 연구자가 개인정보 보호에 대한 충분한 교육 및 훈련을 받을 수 있는 제도적 방안을 마련해야 함. 

 

 

○ 전문기관은 연구평가위원회를 구성하여 가명정보 결합의 목적이 과학적 가치가 있는지, 과도한 개인정보 침해의 위험성이 없는지, 해당 연구자가 개인정보보호에 대한 훈련을 받았는지에 대해 검토를 해서 허용 여부를 판단해야 함. 

 

○ 결합된 가명정보는 과학적 연구, 통계 작성 등 해당 목적을 달성한 후에 안전하게 폐기해야 함. 

 

○ 관련 기관 간의 데이터 전송 과정에서부터 안전시설 내의 데이터 보관까지 모든 과정에서 충분한 보안 조치가 취해져야 함. 

 

○ 가명정보 결합과 관련한 사실은 기록되고 정보주체가 알 수 있도록 공개되어야 함. (결합/연구의 목적, 원 데이터 보유기관, 결합 건수, 연구 기간, 연구 책임자 등 해당 연구와 관련된 정보 일체)

 

○ 보호위원회는 전문기관을 통한 가명정보 결합 과정에서 개인정보 침해 위험은 없는지  전문기관을 자문하고 감독해야 함. 

 

 

3. 개인정보보호법의 개정 필요성 

 

다음과 같은 측면에서 개인정보보호법의 재개정을 준비해야 함. 

 

(1) 법 해석상의 혼란 해소

 

○ 그동안 개인정보보호법, 정보통신망법, 신용정보법 등 개인정보 보호법제가 분산되어 있고 중복, 유사 규정으로 수범자의 혼란을 초래하고 있는 점에 대해 비판이 제기되어 왔음. 이번 개정을 통해 정보통신망법의 개인정보 규정은 개인정보보호법으로 통합되었음에도 불구하고, 여전히 이러한 혼란은 정리되지 않고 있음. 

 

○ 개인정보보호법은 기존의 정보통신망법 상의 유사규정을 개인정보보호법 내 관련 조항으로 통합하지 못하고 ‘정보통신서비스 제공자 등의 개인정보 처리 등 특례’로 처리함으로써 유사 조항 사이의 혼란은 해결하지 못하였음. 

 

○ 개인정보보호법과 신용정보법은 함께 개정되었음에도 불구하고 서로 다른 개념을 사용하고 있음. 예를 들어, 개인정보보호법은 ‘과학적 연구’라는 용어를 사용하고 있는 반면, 신용정보법은 ‘연구’라는 용어를 사용하고 있고 그 정의 조항이 없음. 또한, 신용정보법은 개인정보보호법과 달리 ‘익명처리’ 개념을 정의하고 있음. 함께 처리되었음에도 이러한 혼란을 해결하지 못한 것은 이 법들이 졸속적으로 통과되었음을 방증하는 것이라 할 수 있음. 어쨌든 서로 다른 법률 사이의 이와 같은 혼란을 조속히 해결할 필요가 있음. 

 

(2) 민감정보에의 적용 여부 명확화

 

○ 개정안의 ‘제3절 가명정보의 처리에 관한 특례’가 민감정보에도 적용되는지에 대해서도 논란이 있을 수 있음. 정부는 지금까지 민감정보는 특별한 보호를 필요로 하는 정보로서 제23조에 근거해서만 민감정보를 처리할 수 있도록 해석해 왔음. 예를 들어, 2016년 12월 발간된 <개인정보보호법 해설서>에서는 "제23조는 개인정보 처리에 관하여 특별한 규정이므로 제15조, 제17조 및 제18조 등 개인정보 처리에 관한 규정에 우선하여 적용된다. 따라서 민감정보의 경우에는 제23조 제1항 각호에서 정하는 예외 사유가 존재하는 경우에 한하여 처리할 수 있다."고 하고 있음. 가명처리도 처리의 하나이므로 민감정보에 대한 기존의 처리 원칙, 즉 23조에 근거해서만 처리한다는 원칙이 적용됨. 

 

○ 또한, 헌법재판소는 <건강보험 요양급여내역 제공 요청 및 제공 행위 등 위헌확인> 결정(2018. 8. 30. 2014헌마368_에서 "개인정보처리자가 민감정보를 제공하기 위해서는 개인정보 보호법 제23조 제1항에서 규정한 요건뿐만 아니라, 같은 법 제18조 제2항에서 규정한 요건까지 충족하여야 한다"고 보았음. 재판관 서기석은 별개의견으로 "민감정보의 처리에 관하여 규정한 ‘개인정보 보호법’ 제23조 제1항은 일반적인 개인정보의 제3자 제공에 관하여 규정한 같은 법 제18조 제2항의 특별규정이다. 따라서 개인정보처리자가 민감정보를 제공하기 위해서는 ‘개인정보 보호법’ 제23조 제1항에서 규정한 요건만 충족하면 족하고, 같은 법 제18조 제2항에서 규정한 요건까지 충족할 필요는 없다."고 해석하였음. 어떤 해석이든 헌법재판소 역시 민감정보는 제23조 제1항의 요건을 충족해야 한다고 보고 있음.  

 

○ 만일 제3절 가명정보의 처리에 관한 특례가 민감정보에도 적용된다면, 이는 민감정보에 대한 특별한 보호를 근거없이 완화한 것이 되며 이는 해외 사례에 비추어보아도 그 보호수준이 낮다고 할 수 있음. 대표적인 민감정보가 건강정보, 의료정보일 텐데 해외에서는 의료/건강정보의 연구목적 활용에 대해 별도의 법적 근거를 두고 있는 경우가 많음. 

 

○ 예를 들어, GDPR에서는 9조 특별범주의 개인정보처리(민감정보)에서 이를 별도로 규정하고 있고 회원국의 법에 근거가 있어야 한다고 규정하고 있음. 영국의 경우 보건의료 개인정보의 연구 목적의 이용을 위해 ‘국가보건서비스법(NHS Act 2006)’의

Section 251에 근거 규정을 두고 있음. 아이슬란드의 경우 건강분야 과학적 연구에 관한 법률(the Act on Scientific Research in the Health Sector, no. 44/2014)을 별도로 두고 있으며, 아일랜드의 경우 건강연구규정 2018(Health Research Regulation 2018)에서 건강연구와 관련된 거버넌스 및 안전조치 등을 구체적으로 규정하고 있음. 물론 건강연구에 대해서는 일반적인 과학적 연구에 비해 더욱 엄격한 안전조치를 요구하고 있음. 

 

○ 이와 같은 논리라면 우리나라도 23조에서 민감정보를 과학적 연구, 통계작성 목적으로 처리할 수 있다는 조항을 별도로 두고 의료법 등에서 건강정보를 과학적 연구 목적으로 활용할 경우의 구체적인 거버넌스나 안전조치 등을 규정하는 방안을 고려할 수 있을 것임. 만일 개인정보보호법에서 이를 명확하게 규정하지 않고 가명처리를 통한 의료정보의 활용을 강행할 경우에는 법적 분쟁을 야기할 가능성이 큼. 따라서 소모적인 논쟁을 방지하기 위해서는 개인정보보호법 및 의료법 등에서 건강정보의 과학적 연구 및 통계 목적 활용을 위한 구체적인 거버넌스 체제를 명확하게 규정하여야 할 것임. 

 

(3) 인공지능 등 신기술 환경에서 개인정보처리자의 책임성 강화 

 

○ 개정법 발의 전부터 정부가 공언해온 것처럼, 개인정보처리자의 책임성 강화 조항(예를 들어, 개인정보영향평가, Privacy by Design/by Default, DPO 제도 등), 프로파일링 등 정보주체의 권리 강화, 생체인식정보의 민감정보 포함 등 추가적인 개정이 필요함. 

 

○ 개인정보보호법은 반드시 재개정되어야 하고 개인정보보호법 개정안은 보호위원회 혹은 소수 전문가가 주도하는 것이 아니라 주요 이슈를 개방적으로 토론하고, 시민사회와 정보주체를 포함한  다양한 의견을 수렴하는 과정이 되어야 함. 끝.

 

2020년 2월  17일 

 

금융정의연대, 무상의료운동본부, 민주사회를위한변호사모임 디지털정보위원회, 보건의료단체연합, 서울YMCA 시청자시민운동본부, 연구공동체 건강과대안, 전국민주노동조합총연맹, 전국사무금융노동조합연맹, 진보네트워크센터 , 참여연대