헌법의 가치보다 기업의 이익을 우선시 하는 「규제프리존 특별법」에 반대한다!

 ‘지역전략사업육성’ 명목 하에 일방적인 비식별화 법정화 시도 중단해야-

 정부와 국회는 국민의 개인정보 보호를 강화하고 ‘정상화’ 하겠다는 약속 지켜야

 개인정보 보호 관련 특례 조항에 반대하는 시민사회 공동 의견서 국회 제출

지난 3월 24일 새누리당 강석훈 의원은  ‘지역전략산업육성’이라는 명목으로 개인정보보호 관련 법률 적용을 배제하는 특례조항이 포함된  「지역전략산업육성을 위한 규제프리존의 지정과 운영에 관한 특별법」( 이하 「규제프리존 특별법」)을 대표발의 했습니다. 경실련, 진보네트워크센터, 참여연대는 헌법에서 보호하고 있는 기본권인 개인정보의 자기결정권을 ‘지역전략산업육성’이라는 명목 하에 제한하는 「규제프리존법 특별법」 제정을 강력히 반대합니다.

「규제프리존 특별법」은 ▲자율주행전자장비가 수집한 개인정보 및 위치정보(「위치정보의 보호 및 이용 등에 관한 법률」), ▲영상정보 자동처리기기로 수집된 개인정보(「개인정보보호법」), ▲사물인터넷을 기반을 통해 수집된 개인정보(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」)를 ‘비식별화’ 하면 관련 법률의 적용을 배제시켜 기업들이 이용자의 동의 없이 마구잡이로 사용할 수 있도록 하고 있습니다. 이는 기업의 이득을 위해 디지털 시대 중요한 인권으로 주목받고 있는 개인정보에 대한 자기결정권을 중대하게 침해하고 있는 법안입니다.

원칙적으로 개인정보의 수집・이용・제공 등은 정보주체의 동의를 받는 것이 국제규범 및 우리 헌법이 보장하고 있는 개인정보 자기결정권의 본질적인 내용입니다. 이러한 관점에서 암호화 등  ‘비식별화’는  ‘익명화’와 달리  ‘재식별화’하여 개인을 특정할 수 있어 정보주체의 동의 없이 개인정보를 처리하는 것은 현행 개인정보 보호법제와 대치됩니다.

박근혜 정부가 빅데이터 산업과 관련하여  ‘익명화’와 다른  ‘비식별화’의 법정화를 추진하는 것은 국제적으로 강화되는 개인정보 보호 추세에 어긋날 뿐만 아니라 유사 입법례도 찾을 수 없습니다.

유럽연합은 빅데이터 시대에 대비하기 위해 프로파일링 거부권 등 개인정보에 대한 정보주체의 권리를 강화하는 「일반 개인정보 보호 규정」(GDPR)을 제정을 통해 개인정보 보호 권리를 강화하고 있습니다. 반면 우리나라의 경우 반복적인 개인정보 대량 유출과 주민등록번호의 무분별한 사용으로 국민 한사람 한사람의 개인정보에 대한 식별성이 매우 높은 상태로 국제적으로 우리 국민의 개인정보가 암암리에 거래되는 매우 위태로운 형편입니다.

빅데이터 시대에는 개인정보에 대한 자동화된 처리가 더욱 급증할 것으로 예상됩니다. 이에 대한 국가의 책무는 빅데이터 시대 국민의 개인정보를 더욱 안전하게 보호할 수 있는 방안을 마련하는데 있습니다. ‘지역전략산업육성’의 명목으로 기존에 잘 작동해온 개인정보 보호 법제의 적용을 오히려 배제하는 것은 시대적 요구와 국민적 기대를 역행하는 처사임을 분명히 알아야 합니다.

정부와 국회는 불과 2년 전에 발생한 카드3사 사건에서 국민의 개인정보 보호를 강화하고 ‘정상화’하겠다고 국민 앞에 약속한 바 있습니다. 일부 산업의 이득을 위해 국민의 개인정보에 대한 동의권을 박탈하는 것은 국민과의 ‘약속’을 저버리는 행위로 사회적 반발과 논란을 야기할 것입니다.

개인정보 ‘비식별화’는 어떠한 사회적 논의와 합의 없이 여전히 논란의 중심에 있습니다. 정부는 위험성을 제기하는 여러 목소리를 무시하고 강행할 것이 아니라,시민사회와 유기적으로 협력하여 개인의 자유와 권리를 침해하지 않도록 노력해야 합니다.

경실련, 진보네트워크, 참여연대는 시민들의 안전과 개인정보 보호를 위해 관련 특례에 대한 공동 반대 의견서를 국회 해당 상임위에 제출하고, 적극적인 대응을 지속할 것입니다.

<규제프리존 - 비식별화 관련 의견서>

 

「지역전략산업육성을 위한 규제프리존의 지정과 운영에 관한 특별법안」(강석훈의원 대표발의) 관련 의견서
-    개인정보 보호 관련 특례 조항에 반대함 - 

 

 

1.    취지 및 배경

 

강석훈의원이 2016. 3. 24. 대표발의하였고 여야가 합의하였다고 알려진 「지역전략산업육성을 위한 규제프리존의 지정과 운영에 관한 특별법안」(이하 ‘규제프리존 법안’)에는 개인정보 보호 관련 법률의 적용을 배제하는 특례 조항들이 포함되어 있음 

지역전략산업육성이라는 명목으로 「위치정보의 보호 및 이용 등에 관한 법률」, 「개인정보 보호법」과 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에 대한 특례 규정을 두어야 할 불가피성은 찾을 수 없는 반면, 지역전략산업육성의 명목으로 헌법이 보호하고 있는 국민의 기본권을 일방적으로 제한하고 있음

특히 위치정보법이나 정보통신망법에 대한 특례 조항의 경우 암호화 등 ‘비식별화’ 처리를 하면 기업들이 개인정보를 이용하거나 제공할 때 이용자의 동의 절차를 배제할 수 있도록 함. ‘비식별화’는 ‘익명화’와 다른 개념으로서 익명화되지 않은 정보를 자유롭게 사용할 수 있도록 허용하는 것은 관련 기업의 이익을 위하여 정보주체의 개인정보에 대한 자기결정권을 중대하게 침해함

오늘날 개인정보 이용이나 제공은 수집·이용·제3자 제공은 물론 판매(홈플러스 사건, IMS헬스코리아 사건)를 포함하는 개념임. 이 과정에서 동의권을 박탈하는 내용의 입법은 정보주체인 국민의 반발과 사회적 논란을 야기할 것이며 건강한 미래 산업의 육성 또한 위태롭게 할 것이 분명함

 

2. 디지털 정보 및 정보통신을 통한 서비스와 관련된 규제의 완화는 일정 지역에서 규제를 완화한다는 취지에 부합할 수 없음

 

규제프리존 법안에서 지역 전략산업 육성을 위해 완화하는 규제는 거의 모두 해당 지역 안에서만 규제가 완화되는 효과가 나타나게 할 수 있는 것들임. 예를 들어 규제프리존 지역에서 자율주행자동차 임시운행 허가, 무인기 비행전용공역 지정, 미래창조과학부장관의 승인을 받지 않은 통신기기 제조업 영위 등이 그러함

그런데 디지털 정보가 활용되는 서비스, 정보통신 기술을 이용하는 서비스의 경우는 권역이 무의미하기 때문에 규제 완화의 효과를 규제프리존 안으로만 제한할 수 없음

그래서 만약, 정보통신 기술 업체들이 새로운 분야의 사업을 신기술 기반사업으로 신청하여 개인정보보호법을 어기는 방식으로 사업을 추진하는 경우 전국적으로 혼란이 확장될 것임

 

3.    ‘개인정보 관련 규제’가 사업상 어떤 어려움을 야기하고 있기에 완화가 필요한지 불분명함

 

규제프리존에서 완화할 수 있는 규제는 건강한 사업환경 조성 등을 위해 부정적인 측면을 걷어내는데 초점을 맞추어야 함. 이를 통해 일부 산업이 초기 산업을 정상적으로 궤도에 이끌어 올릴 수 있도록 지원하는 역할을 하도록 해야 함

그런데 개인정보 관련 규제는 전혀 성질이 다름. 해당 규제를 일정 지역 안에서 통제할 수 있는 것도 아니고, 해당 규제 때문에 기술 발전이 막혀 있는 것도 아님

개인정보 관련 규제완화는 기업들이 이익을 추구하기 위해 개인정보 주체의 권리를 침해하면서 개인정보를 처리하려는 욕구의 발현에 다름 아님

 

4.    비식별화 개념의 법정화

 

원칙적으로 개인정보에 대한 수집 등 처리는 정보주체의 동의를 받아야 하는 것이 국제규범 및 우리 헌법이 보장하고 있는 개인정보 자기결정권의 본질적인 내용임. 다만 더이상 개인이 식별되지 않는 ‘익명’ 정보의 경우 개인정보 관련 법률들의 적용대상이 되지 않음. 즉, 개인정보 보호법 등 국내외 개인정보 보호 규범은 (1) 개인정보인 경우 동의권 등 정보주체의 권리 보장 (2) 다만 익명인 경우 적용예외를 인정하는 구조로 되어 있음. 

규제프리존 법안은 ‘비식별화’라는 별도의 개념을 만들어 개인정보보호규제 면제의 조건으로 삼았는데, 암호화 등 ‘비식별화’는

‘익명화’와 달리 궁극적으로 한 개인을 다른 개인과 식별하여 개인정보를 처리하는 방법 중 하나로서 그 결과물은 개인정보 자기결정권의 행사 대상임. 예를 들어, 처음부터 정보주체를 식별할 수 없는 상태에서의 원본정보를 수집하는 것과는 달리 개인정보 수집을 한 이후에 식별자제거, 범주화, 총계화, 데이터마스킹이 된 사본을 만드는 것은 원본을 이용하여 개인정보를 복원할 수 있다는 면에서 익명화라고 할 수 없는데 이 법안은 이 경우에도 자유롭게 사용할 수 있게 허용하고 있음.    

정부는 “미국, 영국 등 해외에서는 빅데이터 활용을 위하여 개인정보 비식별화 지침을 마련하여 활용 중”이라고 홍보하고 있으나, 이는 사실과 다름. 유럽연합은 오히려 빅데이터 시대 프로파일링 거부권 등 개인정보에 대한 정보주체의 권리를 강화하는 <일반 개인정보 보호 규정>(GDPR)을 제정하였음(4월 14일 유럽의회 최종 통과). 

미국에서도 개인정보 비식별화가 입법으로 규율되고 있는 것이 아니라 가이드라인 수준으로 업계 자율에 맡겨져 있으며 미국의 취약한 개인정보 보호 환경이 유럽 등과 국제 분쟁의 대상이 되고 있다는 점에서 모범 사례로 보기 어려움. 영국의 경우 엄밀히 말해 개인정보 감독관(Information Commissioner’s Office)이 발행한 가이드라인 은  비식별화(de-identification)가 아닌 <익명화(Anonymisation)>에 대한 가이드라인으로서, 익명화하여 처리하면 개인정보 보호규범에서 제외된다는 원칙적 내용을 소개하고 있음. 나아가 재식별될 위험성에 대해 경고하고 재식별되는 경우 개인정보에 대한 보호 원칙을 보장해야 한다는 점을 명시하고 있음.

박근혜 정부와 빅데이터 기업들이 ‘익명화’와 다른 ‘비식별화’의 법정화를 추진하는 것은 국제적으로 강화되는 개인정보 보호 추세에 어긋날 뿐 아니라 유사 입법례도 찾을 수 없음

최근 다국적 통계회사 IMS헬스 코리아가 전국 약국과 병원에서 총 4,400만 명에 해당하는 국민 건강정보 47억 건을 빅데이터 처리하여 판매한 사건으로 형사기소되어 재판을 받고 있음. 약학정보원 등 피고는 암호화로 주민등록번호를 ‘비식별화’ 처리를 하였다며 개인정보 판매에 대한 무죄를 주장하여 국민들에게 충격을 주고 있음. 비식별화를 입법하면 향후 모든 산업에서 유사한 피해 사례가 확산될 것이 명약관화함. 

 

5.    조항별 문제점 및 의견

 

(1)    제36조 : 반대

제36조(「위치정보의 보호 및 이용 등에 관한 법률」등에 관한 특례) 규제프리존 내 지역전략산업과 관련된 자율주행자동차 전자장비의 인터넷 주소를 이용하여 자동수집장치 등에 의해 개인정보 및 위치정보를 수집하고 수집한 개인정보에 대하여 데이터 값 삭제, 총계처리, 범주화, 데이터 마스킹 등을 통하여 개인정보의 일부 또는 전부를 삭제하거나 대체함으로써 특정 개인을 식별할 수 없도록 하는 조치(이하 “비식별화”라 한다)를 한 경우에는 「위치정보의 보호 및 이용 등에 관한 법률」및 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」을 적용하지 아니한다.

 

암호화 등 비식별화를 하는 경우 위치정보법과 정보통신망법 등 기존 개인정보 보호법제의 적용을 배제하는 것은 기업이 국민의 개인정보를 무분별하게 수집하고 이용, 나아가 판매하는 결과를 야기할 것임. 

반면 자율주행자동차 산업 육성을 위해 동의권 등 국민의 개인정보 자기결정권을 제한해야 할 불가피한 사정이 보이지 않음. 해외 어디에도 자율주행자동차 산업 육성을 위해 정보주체의 동의 없는 개인정보 처리를 허용하는 입법례를 발견할 수 없다는 점에서 이는 과잉 제한에 해당함

오히려 유럽자동차공업협회(The European Automobile Manufacturers’ Association, ACEA)는 빅데이터 처리로부터 개인정보 보호를 강화한 GDPR의 통과를 환영하는 성명을 발표하며 업계의 개인정보 보호 원칙으로서 ① 투명성(transparency) ② 소비자 선택권(customer choice) ③ 프라이버시 중심 설계(privacy by design) ④ 정보 보안(data security) ⑤ 비례적 정보 이용(the proportionate use of data)을 제시하였음 .

 

(2)    제39조 : 반대

제39조(「개인정보 보호법」에 관한 특례) 규제프리존 내 지역전략산업과 관련하여 역내사업자는 영상정보를 수집하여 특정개인을 알아볼 수 없도록 조치하는 경우에는 「개인정보 보호법」제25조제1항에도 불구하고 시·도에서 정한 조례에 따라 영상정보처리기기를 설치·운영할 수 있다.

 

개인정보 자기결정권의 보호대상이 되는 개인정보는 개인의 신체, 신념, 사회적 지위, 신분 등과 같이 개인의 인격주체성을 특징짓는 사항으로서 그 개인의 동일성을 식별할 수 있게 하는 일체의 정보라고 할 수 있고, 반드시 개인의 내밀한 영역이나 사사(私事)의 영역에 속하는 정보에 국한되지 않고 공적 생활에서 형성되었거나 이미 공개된 개인정보까지 포함함(헌재 2005. 5. 26. 99헌마513 등). 또한 우리 개인정보 보호법 뿐 아니라 개인정보 보호에 관한 국제규범에 따르면 ‘개인정보’란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는(identified) 정보 뿐 아니라 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는(identifiable) 것도 포함함

따라서 영상정보 자동처리기기를 이용하여 공개적으로 수집되었고 직접적일 뿐 아니라 간접적으로 특정개인을 알아볼 수 있는 경우에는 마땅히 국민의 개인정보 자기결정권의 행사 대상임. 개인정보 보호법의 경우 영상정보 자동처리기기의 특수성을 감안하여 그 설치와 운영의 목적을 제한하고 있으나(제25조) 목적외 이용과 제3자 제공 등에 대해서는 일반적인 개인정보 보호 규정의 적용을 받음

국민의 기본권에 속한 개인정보 자기결정권을 제한하기 위해서는 구체적이고 명확한 ‘법률’적 근거가 충족되어야 하며, 특정 지역이라는 이유만으로 국민이 그 권리의 행사를 포기하도록 포괄적으로 규정하는 것은 위헌적임. 반면 이 조항에 따르면 개인정보 처리에 대한 동의권의 행사가 헌법 및 개인정보 보호법에서 보장하고 있는 영상정보의 수집과 이용에 관한 규정을 무시하고 시도 조례에 의해 제한받도록 함

디지털 네트워크의 특성상 특정지역에서 수집된 영상정보라 하더라도 가공하여 다른 지역, 나아가 다른 국가에서 이용 혹은 판매될 가능성을 감안해 볼 때 특정지역을 이유로 영상정보 보호 규정의 적용을 배제하는 것은 불합리함

 

(3)    제40조 : 반대

제40조(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에 관한특례) ① 규제프리존 내 지역전략산업과 관련하여 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」제2조제3호에 따른 정보통신서비스 제공자 중 역내사업자에 대하여는 규제프리존 내 설치된 사물인터넷 기반을 통하여 수집한 같은 법 제2조제6호에 따른 개인정보에 대하여 비식별화를 하는 경우에 같은 법 제24조 및 제24조의2를 적용하지 아니한다.

② 제1항에 따른 역내사업자는 비식별화 정보를 이용하는 과정에서 개인정보가 생성되는 경우 이를 지체없이 파기하거나 추가적인 비식별화 조치를 하여야 한다.
③ 제2항을 위반한 자에게는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」제24조 및 제24조의2를 적용한다.
④ 제1항부터 제3항까지에서 규정한 사항 외에 역내사업자의 지정방법, 관리방법 및 기타 절차에 관한 사항과 비식별화의 수준 및 방법 등 필요한 사항은 미래창조과학부장관과 방송통신위원회가 협의하여 정하는 바에 따른다.

 

사물인터넷 환경에서는 오히려 광범위하고 자동적인 개인정보의 수집과 이용이 많아지면서 그로부터 국민의 개인정보 자기결정권을 보장하기 위한 국가적 조치가 필요함. 반면 이 조항은 사물인터넷 환경에서 암호화 등 ‘비식별화’ 처리를 하면 정보통신망법상 개인정보의 이용 제한(제24조) 및 제공 동의(제24조의2) 절차를 생략할 수 있도록 하였음

암호화 등 비식별화를 하는 경우 정보통신망법 등 기존 개인정보 보호법제의 적용을  배제하는 것은 기업이 국민의 개인정보를 무분별하게 수집하고 이용, 나아가 판매하는 결과를 야기할 것임. 특히 개인정보를 비식별화하였다가 재식별화하는 경우 개인정보 처리에 정보주체의 동의를 받거나 즉시 ‘처리 중단’하는 것이 아니라 선택적으로 ‘추가적인 비식별화’를 하겠다는 것은 결국 기업이 비식별화 정보가 재식별된 후에도 계속 이용하는 것을 보장하고 있음

무엇보다 ‘역내사업자’라고는 하지만 정보통신망법상 정보통신서비스 제공자의 경우 정보통신망을 통한 서비스 대상이 역내에 그치지 않고 전국, 혹은 전세계에 걸쳐 있음. 결국 이 조항은 지역전략산업을 이유로 국민의 개인정보에 대한 자기결정권을 전국 혹은 전세계에 걸쳐 무력화하는 효과를 불러올 것으로 보임

반면 사물인터넷 산업 육성을 위해 동의권 등 국민의 개인정보 자기결정권을 제한해야 할 불가피한 사정이 보이지 않음. 해외 어디에도 사물인터넷 산업 육성을 위해 정보주체의 동의 없는 개인정보 처리를 허용하는 입법례를 발견할 수 없다는 점에서 이는 과잉 제한에 해당함

오히려 유럽연합 29조 개인정보 보호 작업반에서는 2014년 9월 16일 발표한 사물인터넷 관련 의견서 에서 설령 가명화(pseudonymised), 심지어 익명화하더라도 예외없이 개인정보로서 보호할 것을 권고하고 있으며 사물인터넷 환경에서는 익명인 것처럼 보였던 정보로부터 개인 식별이 충분히 이루어질 수 있다는 사실을 경고하고 있음. 유럽연합에서는 사물인터넷의 경우에도 최종 이용자(end user)의 동의권 등 정보주체의 권리를 보장해야 한다는 점을 강조하고 있음

 

6.    결론

한국의 경우 반복적인 개인정보 대량 유출과 주민등록번호의 무분별한 사용으로 인해 국민 한 사람 한 사람의 개인정보에 대한 식별성이 매우 높은 상태로, 지금도 국제적으로 우리 국민의 개인정보에 대한 판매가 암암리에 이루어지고 있는 위태로운 형편임

빅데이터 시대에는 개인정보에 대한 자동화된 처리가 더욱 급증할 것이 예견되고 있음. 이에 대한 국가의 책무는 빅데이터 시대 국민의 개인정보를 더욱 안전하게 보호할 수 있는 방안을 마련하는 데 있다고 할 것임. 지역전략산업 육성의 명목으로 기존에 잘 작동해온 개인정보 보호 법제의 적용을 오히려 배제하는 것은 시대적 요구와 국민적 기대에 역행하는 처사임

개인정보 처리에 대한 동의권 등 개인정보 자기결정권은 헌법상 기본권(헌재 2005. 5. 26. 99헌마513 등)으로서 특정지역에 거주한다는 이유만으로 국민들에게 그 행사를 입법으로 그 포기를 강요하는 것은 위헌적임

비식별화에 대한 입법은 해외에서도 그 예를 찾아볼 수 없을 뿐 아니라 빅데이터 시대 개인정보 보호를 강화하는 유럽 등 국제 추세에 역행함. 산업의 이해를 위해 비식별화 개인정보에 대한 보호를 배제하는 것은 디지털 네트워크를 통해 특정 지역에서 뿐 아니라 전국, 나아가 전세계적으로 국민의 개인정보를 위험에 빠뜨리는 결과를 낳을 것임

정부와 국회는 불과 이년 전에 발생한 카드3사 사건에서 국민의 개인정보 보호를 강화하고 ‘정상화’하겠다고 국민 앞에 약속한 바 있음. 일부 산업의 이익을 위해 국민의 개인정보에 대한 동의권을 박탈하는 것은 국민과의 “약속을 저버리는” 행위로서 국민적 반발과 사회적 논란을 야기할 것으로 보임. 나아가 건강한 미래 산업의 육성 또한 위태롭게 할 것인 바, 개인정보 보호에 대한 대책은 지역전략산업 육성의 측면에서도 결코 소홀히 할 수 없는 국가적 과제임

 

2016. 5. 3.
경제정의실천시민연합
진보네트워크센터
참여연대

참여연대, 유권자 정치성향 파악가능 정보 요구한 선거여론조사공정심의위 검찰 고발 기자회견개최 

여론조사의 공정성과 무관한 자료제출 요구는 개인정보호법, 통신비밀보호법 위반 

참여연대는 오늘(4/8) 오후 1시 참여연대 2층 아름드리홀에서 여론조사기관들에게 유권자의 지지정당 등 정치적 성향을 파악할 수 있는 여론조사 관련 자료 일체(전화번호별 응답데이터 등)의 제출을 요구한 서울특별시선거여론조사공정심의위원회(이하 ‘심의위원회’)를 개인정보보호법 위반 등의 혐의로 검찰 고발하기로 하고, 이에 기자회견을 개최하였다.

참여연대는 최근 각급 심의위원회가 지난 2014년 2월부터 선거법 108조를 근거로 여론조사기관에 피조사자의 유무선전화번호와 그 응답데이터까지 제출하도록 요구해왔다는 사실을 확인했다. 이는 심의위원회가 여론조사의 공정성과 정확성을 심의하기 위해 필요한 최소한의 자료 제출을 요구하는 것을 넘어, 여론조사에 응한 개인의 정치 성향과 지지후보를 파악할 수 있는 민감 자료 일체를 요구하는 것은 개인정보의 최소수집원칙에 반할 뿐만 아니라, 개인정보보호법 제23조를 위반한 것이다.
 

개인의 정치적 사상의 자유와 양심의 자유, 나아가 선거의 공정성과 비밀투표의 원칙까지 침해하는 행위다. 특히 413선거와 내년 대선을 앞두고 있는 상황에서 여론조사에 응답한 유권자의 정치적 성향을 파악할 수 있는 자료가 유출되어 특정 정당이나 후보자의 선거 등에 악용될 가능성도 있다는 점에서 이번 사안의 중대성은 매우 크다. 

 참고자료

현황

- 전국 각 시·도선거관리위원회 산하에는 각 ‘시·도선거여론조사공정심의위원회’가 운영되고 있음
- 이같은 선거여론조사공정심의위는 공직선거법 8조의8 등에 따라 선거에 관한 여론조사가 공직선거법 또는 선거여론조사기준을 위반하였는지 여부를 심의하는 기관임
- 그런데 선거여론조사공정심의위에서, 2014년부터 공직선거법 제108조 제9항에 근거해 여론조사기관들에게 여론조사와 관련된 자료를 요구하였음(관련 공문 참조).
- 이 과정에서 선거여론조사공정심의위는, 설문조사에 응한 전화번호별 응답데이터까지 함께 제출하라고 요구하였음
- 이는 전화번호와 연결된 응답결과, 즉 해당 전화번호를 사용하는 유권자(설문응답자)가 누구를 지지했는지 또는 어떤 정당을 지지하는지 등에 담고 있는 정보로 매우 민감한 정보임
- 심의위가 요구한 응답자의 전화번호, 응답데이터가 연결된 DB는 여론조사의 정확성이나 공정성과 무관하게 개인의 정치 성향과 지지후보를 파악할 수 있는 자료로, 민감정보에 해당함(개인정보보호법제23조). 전화번호별 응답 데이터는 피조사자의 지지후보, 지지정당 등 정치성향을 알 수 있는 민감자료임.
- 그동안 심의위의 이같은 자료 제출요구를 받은 여론조사기관들은 문제의식없이 관행적으로 최근까지 제공하여 왔으며, 지금도 제공하고 있는 것으로 보임

문제점 

- 심의위가 여론조사의 공정성, 객관성 및 조작 여부를 심의하기 위해서라면 번호를 일부 가리는 방식이어도 충분히 목적을 달성할 수 있음에도 자료 일체를 제출하라는 것은 직무범위를 넘는다고 볼 수 있고 개인정보보호법, 통신비밀보호법 위반의 가능성이 큼. 
- 또한 헌법이 보장하는 정치사상의 자유와 비밀투표의 자유, 프라이버시권 등을 침해하는 행위임
- 이같은 일은 당장 중단해야 한다고 보며, 여론조사에 응한 응답자별 답변내용을 파악할 수 있는 자료를 여론조사기관 바깥으로 유출되는 것은 금지되어야 함
- 참여연대는 조만간 선거여론조사공정심의위를 관련 법률 위반혐의로 검찰에 고발할 예정임.

 

관련 법률

공직선거법 
제8조의8 (선거여론조사공정심의위원회) 
(1~6항 생략)
⑦ 선거여론조사공정심의위원회의 직무는 다음 각 호와 같다. 
1. 제108조제4항에 따른 이의신청에 대한 심의 및같은 조 제7항에 따른 등록 처리
2. 공표 또는 보도된 선거에 관한 여론조사가 이 법 또는 선거여론조사기준을 위반하였는지 여부에 대한 심의

제108조(여론조사의 결과공표금지 등)
(1~5항 생략)
⑥ 누구든지 선거에 관한 여론조사의 결과를 공표 또는 보도하는 때에는 선거여론조사기준으로 정한 사항을 함께 공표 또는 보도하여야 하며, 선거에 관한 여론조사를 실시한 기관 ·단체는 조사설계서·피조사자선정·표본추출·질문지작성·결과분석 등 조사의 신뢰성과 객관성의 입증에 필요한 자료와 수집된 설문지 및 결과분석자료 등 해당 여론조사와 관련있는 자료일체를 해당 선거의 선거일 후 6개월까지 보관하여야 한다. 
(7~8항 생략)
⑨ 다음 각 호의 어느 하나에 해당하는 때에는 해당 여론조사를 실시한 기관·단체에 제6항에 따라 보관 중인 여론조사와 관련된 자료의 제출을 요구할 수 있으며, 그 요구를 받은 기관·단체는 지체 없이 이에 따라야 한다.  
1. 관할 선거구선거관리위원회가 공표 또는 보도된 여론조사와 관련하여 이 법을 위반하였다고 인정할 만한 상당한 이유가 있다고 판단되는 때
2. 선거여론조사공정심의위원회가 공표 또는 보도된 여론조사결과의 객관성·신뢰성에 대하여 정당 또는 후보자로부터 서면으로 이의신청을 받거나 제8조의8제7항제2호에 따른 심의를 위하여 필요하다고 판단되는 때

개인정보보호법 제23조(민감정보의 처리 제한) 개인정보처리자는 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 대통령령으로 정하는 정보(이하 "민감정보"라 한다)를 처리하여서는 아니 된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다.
1. 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우
2. 법령에서 민감정보의 처리를 요구하거나 허용하는 경우
 

국회 계류 개인정보3법안은 “개인정보 도둑 법안”

4차산업혁명 위해 규제완화해야 한다는 주장 팩트체크 

일시 장소 : 12. 04. (수) 10:00, 참여연대 아름드리홀

현재 국회 법제사법위원회에는 개인정보보호법안, 신용정보보호법안이 계류 중이고 국회 과학기술정보방송통신위원회에는 정보통신망법(이하 개인정보3법안)이 계류중이다. 이법을 추진하고 있는 정부 일각과 기업들은, ‘다른 나라에 비해 우리나라 개인정보보호규제가 너무 강해서 데이터산업이 활성화되지 못한다’, ‘4차산업혁명을 위해서 개인정보를 활용해야 하는데 규제완화가 안되어 이대로 가다간 데이터후진국이 된다’, ‘가명처리하여 사용하므로 안전하다’ 등의 주장을 펴며 법안 통과를 요구해 왔다. 과연 그런가? 오늘(12월 4일) 참여연대 2층 아름드리홀에서는 개인정보3법 개악에 반대해 온 노동시민사회단체(이하 단체)들이 이 같은 정부와 기업들의 주장들에 대해 팩트체크를 중심으로 기자브리핑을 진행했다.

우선 단체들은 개인정보3법은, 가명정보라는 개념을 도입하여 정보주체의 동의권을 현저히 약화시키고, 기업들이 가명처리하를 하면 동의 없이 산업적, 상업적 연구에 무한대로 활용할 수 있도록 하고 있다고 지적했다. 목적제한, 최소수집 및 목적달성 후 폐기라는 개인정보처리의 가장 기본이 되는 원칙을 훼손하고 있다는 것이다. 단체들은 그동안 가명정보는 언제든 다른 데이터와 결합하면 누구의 정보인지 식별이 되는 정보이므로 정보주체의 권리보호를 위한 장치가 반드시 병행되어야 한다고 주장해 왔다. 그러나 개인정보3법이 이대로 통과된다면 국민의 가장 사적이고 민감한 의료정보, 질병정보에서부터 소비특성, 투자행태, 소득규모 등을 파악할 수 있는 신용정보, SNS등에 쓴 다양한 정보까지 거의 모든 정보를 기업의 돈벌이 수단으로 내주는 꼴이며 정보주체는 동의권은 물론이고 정보열람권, 삭제요구권, 정보이전 및 개인정보유출에 대한 통지받을 권리 등을 인정받지도 못해 기업이 어떻게 내 정보를 활용하고 판매하고 결합하는지, 또 어떤 사고가 있어 유출되고 악용되는지 알 수가 없게 될 것이라고 주장했다. 그래서 개인정보3법 개정안은  “개인정보 도둑 법”이라고 불러도 무방할 것이라고 설명했다.

기자브리핑에서 진행된 팩트체크 주요 내용은 다음과 같다.

1) 우리나라가 다른 나라에 비해 개인정보보호 규제가 강하다는 주장

→ 기존 개인정보보호법은 최소한의 수집, 제3자 제공 및 목적 외 이용에 동의를 요하는 등 기본적인 정보주체의 통제권을 보장하고자 하였음. 동의를 하지 않을 경우 필수적인 용역, 서비스 사용을 제한하더라도 아무런 규제도 없고, 거꾸로 동의를 하였을 경우 사실상 제3자 제공과 목적 외 이용이 제한없이 가능함. 

최근 강화된 미국 캘리포니아소비자보호법(The California Consumer Privacy Act (CCPA):An implementation guide, 이하 ‘CCPA’)과 비교해 보면, 미국은 언제든 개인정보를 제3자에게 판매하지 말도록 지시할 “옵트아웃” 권리가 있고, 수집한 개인정보의 범위를 공개하고 삭제하도록 요구할 권리를 강하게 규정하고 있다. 이러한 규제는 페이스북에서 무단으로 수천만명의 개인정보를 수집한 캠브릿지 애널래티카라는 회사의 사례를 들면서, 명백히 ‘프라이버시 및 개인정보에 대한 더 많은 통제권’과 ‘투명성’을 규제 취지로 들고 있음.

유럽 일반개인정보보호규정(General Data Protection Regulation,이하 ‘GDPR’)은 과학적 연구나 통계적 처리를 위해 안전조치의 한 종류로 가명처리를 할 수 있다고 규정할 뿐이고, 개인의 동의 없이 가명처리를 할 수 있다는 근거가 아니다. 오히려 GDPR은 가명정보를 재식별이 가능한 ‘개인정보’로 인식하고 개인에게 통제권을 부여하고 있다. 

결국 우리나라가 다른 나라에 비해 개인정보보호 규제가 너무 강하여 GDPR 또는 미국 수준으로 규제를 낮추겠다는 개정안의 주장은 지나친 규제 완화로 인해 국민들을 희생양으로 만들 가능성이 있음.   

 

2) 4차산업혁명을 위해서 개인정보를 활용해야 하는데 규제완화가 안되어 이대로 가다간 데이터후진국이 된다는 주장 

→ 빅데이터 산업 발전을 위해 개인정보 규제 완화를 해야 한다면, 전 세계는 개인정보 보호를 완화하기 위한 바닥으로의 경쟁을 해야할 것임. 이는 그 자체로도 바람직한 방향이 아니지만, 실제로 세계 각 국은 빅데이터 환경에서 개인정보 보호를 강화하는 방향으로 보호 수준을 높이고 있음. 유럽의 GDPR이 그렇고, 미국의캘리포니아주 소비자프라이버시법(CCPA)이 그러함.

이는 개인정보 권리 보호를 위해서도 필요하지만, 실제 빅데이터 산업 (넓게는 인터넷 기반 비즈니스) 발전을 위해서도 개인정보에 대한 신뢰가 뒷받침되어야 함. 인터넷 기반 산업은 정보주체가 자신의 개인정보를 적극적으로 제공하는 것에 기반하고 있는데, 이에 대한 신뢰가 없다면 인터넷 경제에 적극적으로 참여하려 하지 않을 것이기 때문임.

 

3) 가명정보는 안전하다는 주장

→ “가명처리”란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보 없이는 특정 개인을 알아볼 수 없도록 처리하는 것임. 다른 정보와 결합하면 식별의 위험성이 있는 정보이며 가명정보 역시 개인정보임.  따라서 개인정보보호법의 적용을 받아야 함. 유럽연합 GDPR도 가명정보를 개인정보로 보고 있으며, 한국 정부도 인정하고 있음.

가명정보는 가명처리되지 않은 원래의 개인정보보다는 안전함. 따라서 가능하다면 개인식별이 가능한 개인정보의 형태로 처리, 보관하는 것보다는 가명처리해서 보관하는 것이 바람직함. 그러나 가명정보는 다른 정보와 결합하여 여전히 재식별될 위험성이 있으므로, 재식별이 불가능한 익명정보보다는 위험함. 따라서 가능하다면, 익명처리해서 활용하는 것이 가장 바람직함. 재식별의 위험성은 가명처리의 방법 및 수준에 따라 달라지며, 현재 가명처리의 기술, 재식별 기술 모두 발전하고 있는 상황임.

개인식별자를 삭제하더라도 여전히 개인식별의 위험성이 있음은 이미 2016년 정부가 발표한 <개인정보 비식별조치 가이드라인>에서도 인정하는 바임. 

 

4) 영국 역시 의료빅데이터를 공유하는 사업을 국가 단위에서 추진하고 있다는 주장

→ 영국은 범국민적으로 탈퇴(opt-out)캠페인이 일어나는 등 결국 이 사업을 폐기하였고, 유럽 GDPR도 건강정보에 대해 원칙적 처리 금지를 명시함. 개인의 건강정보는 한 사람의 과거, 현재, 미래의 건강 상태의 집합이라는 점에서 보다 엄격한 동의 규정, 고지 의무 등을 법제화함. 단 ‘명시적 동의’ 혹은 ‘치료행위 및 공중보건을 위한 공공의 이익(Public interest)를 위한 경우, 학술 연구로 제한적 활용을 권고함. 또한 이러한 경우에도 자동화된 데이터 처리나 알고리즘에 의해 어떠한 의사 결정이 이루어질 때 이에 대해 환자가 알고 개입할 권리를 보장하도록 함. 자신의 건강정보 삭제를 요청할 권리 등도 이에 포함됨.

 

5) 빅데이터 기술을 활용하여 의료데이터를 분석하고 개인에 맞는 건강관리 및 치료방법을 제안하고 더 나아가 질병 또한 예측하는 서비스를 제공하는 등 데이터기반 의료서비스로 의료서비스 질이 업그레이드 되는 등 사회적 이익이 증대될 것이라는 주장 

→ ‘데이터 중심 건강관리’ 라는 데이터경제론은 근거가 없음. 넛지(nudge)이론에 근거한 개인의 행동변화를 통한 건강증진 사업은 효과가 없음이 이미 증명됨. 거꾸로 건강증진 앱은 감시, 두려움, 죄책감을 동반해 경쟁적 자아 경영을 도모하며, 앱 사용에 있어 경제적 문화적 차별을 전제하고 있다는 문제가 제기되고 있음. 결국 건강정보 규제완화는 건강을 결정하는 사회경제적 요인 문제들을 사회적 문제로 인식하지 못하도록 만들고 건강의 개인책임화를 부추기는 경제논리임. 따라서 공적인 예산들이 다수 건강증진 효과가 없다는 것이 드러난 의료상업화로 투자되고 있는 공적자금의 왜곡도 데이터경제론의 큰 문제 중 하나임.  

보건의료 빅데이터는 그 활용이 정보주체, 집단, 지역사회에 주는 해보다 큰 사회적 가치가 있는가의 여부(공공의 이익), 연구 과정과 결과가 모든 이들에게 호혜적이며 사회적 연대를 갖는가의 여부(형평성), 데이터의 질과 안전, 사용에 있어 투명하게 사용되고 있음을 증명할 수 있는가(책임성) 등에 대한 사회적 논의와 공론화가 우선되어야 함.

 

6) 신용정보법 개정안이 통과된다면 소비자에게 최적의 맞춤형 서비스를 제공하는 등 소비자-기업간 윈윈할 것이라는 주장

→ 오히려 금융서비스 공급자와 이용자 간 극단적 정보격차 상황이 발생할 것이며 이것은 금융공공성 훼손으로 귀결될 것임. 이제 금융회사들은 철저하게 가명정보의 이종 간 결합을 바탕으로 상품을 설계하고 판매 전략을 운영하게 됨. 이것은 공급자가 소비자 집단을 매우 정확한 수준에서 위험군과 비위험군으로 분류하고, 리스크가 ‘0’에 수렴하는 영업활동을 하게 된다는 의미임. 결과적으로 저신용, 저소득 계층의 금융소외는 피할 수 없음. 빅데이터와 금융의 결합이 당장 새롭고 편리한 금융서비스로 나타날 수 있지만, 머지않아 극단적인 양극화를 강화하는 촉매로 작동할 것임.

뿐만 아니라 보이스피싱 범죄 등 대표적인 금융사기범죄로 이미 불법 유출된 국민 개인정보와 신용정보가 대환사기 등 나날이 발전하는 범죄수법의 도구로 범죄자들에게 애용(?)되고 있음. 미신고 피해까지 합칠 경우 보이스피싱의 피해규모는 이미 1조 원대에 달할 것으로 보이는데, 불행히도 국내 금융보안 수준을 감안하면 가명정보 활용이 본격화 될 경우 보이스피싱 피해는 그에 비례하여 급증할 것으로 예상됨.

 

7) 현재 국회 법사위에서 체계 잣구 심사 단계인데, 이들 법안들은 다른 법률들과 법체계 문제는 없나?

→ 개별 법률은 특정 정보에 대하여 활용 목적을 엄격하게 제한함으로써 특별한 보호를 규정하고 있는데, 이에 대해서 개보법 개정안이나 신정법 개정안은 그 개별법과의 관계를 명확히 하지 않고 있음.

대표적으로 인간의 존엄성 등과 밀접하게 관련된 건강정보는 특별한 보호가 요청되는 정보인데, 개보법 개정안과 신정법개정안에 따르면 상업적, 영리적 목적으로 활용될 수 있음.  

의료법 제19조는 의료인 및 그 종사자 등이 알게 된 건강정보를 누설하거나 발표하지 못하도록 하고 있고, 부당한 목적으로 사용하여서는 아니된다고 규정하고 있음.

국민건강보험법 제102조는 공단, 심사평가원 및 대행청구단체에 종사하였던 사람 또는 종사하는 사람에게 비밀누설금지 및 제3자 제공을 금지하고 있음.

참가자들은, 현재 국회에 계류된 개인정보3법안은, ▶법률안들끼리도 개인정보의 정의 등 용어가 통일되어 있지 않고,여전히 규정 중복이 있음. 이에 상호간의 용어통일, 중복규정 정리가 필요하다는 점,  ▶가명정보 또는 가명처리된 정보의 비동의 활용범위를 산업적, 상업적 활용로 확대하지 않고  ‘학술연구’로 제한할 것▶ 전세계 유례를 찾아보기 힘든 정보집합물간 결합조항은 삭제할 것,▶ 민감정보의 가명처리 제한, ▶가명정보에 대한 삭제권, 처리정지권, 이용동의 철회권 보장 등 정보주체의 권리를 인정할 것을 제안했다. 또한 국회가 할 일은 당장 이들 3법안 심사를 중단하고 정보보호와 활용이  균형잡힌 대안을 제시하는 것이라고 강조했다. 

이번 기자브리핑에는 건강과 대안 변혜진 상임연구원, 민주사회를위한변호사모임 디지털정보위원회 서채완 변호사, 전국민주노동조합총연맹 백정현 사무금융노조 교육국장, 진보네트워크센터 오병일 대표, 참여연대 정보인권사업단 최종연 변호사가 참석했다. 

팩트체크 http://bit.ly/34NAmoq" rel="nofollow">내용 전부 보기

보도자료[https://docs.google.com/document/d/1P_tHMaCWnjs6FVxSDRj6VGJ53UgO_VSaMq-k... rel="nofollow">원문보기/다운로드]