코로나 19 관련 이태원 기지국 접속정보 처리 및
동의 없는 위치추적 법률에 대한 헌법소원 청구

“감염병 대응을 명목으로 1만 명 휴대전화에 대한
기지국 접속정보 요청, 수집, 처리는 위헌입니다.”

1. 민주사회를 위한 변호사모임 디지털정보위원회, 사단법인 오픈넷, 사단법인 정보인권연구소, 진보네트워크센터, 참여연대는 2020년 7월 29일 보건복지부장관, 질병관리본부장, 서울특별시장, 서울지방경찰청장(이하 “보건복지부장관 등”)이 지난 5월 18일 코로나 19 대응을 명목으로 이태원을 방문한 약 1만 명의 사람들의 휴대전화 기지국 접속정보를 요청하고 수집·처리한 행위(이하 “이 사건 기지국 정보처리 행위”)가 개인정보자기결정권, 사생활의 비밀과 자유, 통신의 비밀과 자유, 일반적 행동자유권을 침해하므로 위헌이라는 결정을 구하는 헌법소원을 청구했습니다. 보건복지부장관 등이 이태원 방문자들의 기지국 정보처리 행위의 법적근거라고 주장하고 있는 “감염병의 예방 및 관리에 관한 법률(이하 “감염병예방법”) “제2조 제15의2호, 제76조의2 제1항 및 제2항도 헌법 심판 대상입니다.

2. 이번 헌법소원의 청구인은 지난 2020년 4월 말 친구들과 함께 이태원 인근 소재 식당을 방문하였는데, 2020년 5월 18일 서울시로부터 코로나 19 검사를 받을 것을 권고하는 취지의 문자메시지를 수신하였습니다. 함께 문자를 수신한 청구인과 그 친구들은 5월 2일 새벽 코로나 19 확진자가 다녀간 것으로 알려진 클럽 또는 인근 클럽을 방문한 적이 없으며, 청구인이 방문한 식당은 클럽들과 지리적으로도 상당히 떨어진 장소였습니다.

청구인은 확진자와 접촉한 적도 없고 거리상으로도 위험이 있다고 보기 어려운데도 자신의 이태원 방문 정보가 무단으로 보건복지부장관 등에게 제공되어 서울시로부터 검사를 권고받은 이후 고통스러운 시간을 보냈습니다. 청구인은 코로나 19 음성판정을 통보받기까지 불안감에 시달려야 했고, 주변 사람들의 질문 등으로 불편한 상황에 놓였습니다. 청구인이 확진자와 접촉을 했던 것인지, 확진으로 판정되면 이태원을 다녀온 후 청구인과 접촉했던 사람들에게 피해를 주는 것은 아닌지, 가족들과 친구들에게는 어떻게 할 수 있을지, 끊이지 않는 질문에 밤잠을 이루지 못할 정도였습니다.

청구인은 서울시와 보건복지부에 어떤 근거로 자신의 이태원 방문사실 등 정보를 취득했는지 문의하였습니다. 그러나 해당 기관들은 청구인이 문제되는 시점에 이태원에 머물렀다는 사실만으로도 감염병예방법상의 감염병의심자에 해당한다며 자신들은 같은 법 제76조의2 제1항 또는 제2항에 규정되어 있는 법적절차에 따라 정보를 수집한 것이라 모호하게 답변하였습니다. 

이와 같은 방식으로 기지국 정보가 수집, 처리된 사람은 무려 10,905명에 달합니다. 언론보도에 의하면 서울특별시는 이동통신사 3사에 대하여 “2020. 4. 24.부터 같은 해 5. 6.까지 자정에서 05시 사이에 이태원 클럽 주변의 기지국에 접속한 사람들 가운데 30분 이상 체류한 자”의 통신정보 제공을 요청하였고 해당 정보에는 이태원을 방문한 사람들의 이름과 휴대전화 그리고 주소 정보 등이 포함된 것으로 알려졌습니다. 나아가 보건복지부장관 등은 휴대폰을 가지고 있기만 하면 기지국으로 전송되는 정보인 “접속기록”까지도 수집, 처리한 것으로 보입니다.

3. 우선 보건복지부장관 등이 2020. 4. 24.부터 같은 해 5. 6.까지, 자정에서 05시 사이 이태원 클럽 주변의 기지국에 접속한 사람들 중 30분 이상 체류한 자 전원을 감염병의심자로 보고, 기지국 정보를 요청, 수집, 처리한 것의 법적 근거가 모호합니다. 감염병예방법, 위치정보의 보호 및 이용 등에 관한 법률, 통신비밀보호법 등에 어디에서도 기지국 정보처리행위를 구체적으로 허용하지 않습니다. 즉 이 사건 기지국 정보처리행위는 법적근거가 없는 행위로서 모든 공권력 행사에 의한 기본권의 제한은 법률로써만 가능하다는 헌법상의 원리인 법률유보의 원칙에 위배됩니다.

또한 기지국 정보처리 행위는 과잉금지원칙에 반하여 청구인의 개인정보자기결정권 등을 침해합니다. 이 사건 기지국 정보처리 행위의 목적은 이태원에 방문한 불특정 다수를 사회적 위험으로 취급한다는 점에서 그 정당성을 인정하기 어렵습니다. 또한 휴대전화 발신 등의 통신기능을 사용하지 않고 전원만 켜놓고 있더라도 통신사가 자동으로 수집하는 “기지국 접속기록”까지 처리한 것은 그 자체로 과도한 정보를 수집하는 중대한 기본권 침해행위라는 점에서 감염병 전파 차단을 위한 적합한 수단이 될 수 없습니다. 

무엇보다 이태원 인근에 감염병 확진자가 발생했다는 사실만으로 해당 지역에 방문한 1만여 명을 모두 감염병의심자로 간주하고 광범위하게 정보를 수집 등 처리한 것은 불공정하고 불공평한 수단으로서 그 적합성을 인정하기 어렵습니다. 

또한 2주간 이태원 일대를 방문한 불특정다수의 개인정보를 처리하고 개인의 기지국 접속기록 등 필요 이상의 개인정보를 수집한 것은 침해의 최소성 원칙에도 정면으로 반합니다. 특히 서울시는 클럽 출입자 명단 및 신용카드 내역 등을 검토하여 확진자의 주요 동선에 포함된 이태원 클럽 및 주점에 방문한 5,517명의 명단을 5월 11일 이전에 확보한 상태였습니다. 즉 기지국 정보를 취득하는 대신 확보된 명단과 익명검사의 확대 등 기본권을 덜 제한하는 다른 조치의 도입을 충분히 고려할 수 있었던 것입니다.

그리고 청구인을 비롯한 정보주체들이 입는 불이익에 비해 기지국 정보처리 행위로 달성되는 공익이 더 크다고 단정할 수도 없습니다. 기지국 정보처리 행위가 감염병 전파방지에 기여했는지도 불분명하지만, 1만 905명의 사람들을 사회적 위험으로 취급함으로써 우리 사회가 추구하는 가치 또한 훼손하는 측면이 있기 때문입니다.

4. 한편, 이 사건의 근거로 주장되는 감염병예방법 제2조 제15의2호, 제76조의2 제1항 및 제2항(이하 “이 사건 법률조항”) 또한 명확성과 과잉금지 원칙을 위반하고 있습니다. 우선 감염병의심자에 관한 감염법예방법 제2조 제15의2호는 어느 정도의 접촉의 의심이 있는 경우에 법이 정한 “접촉이 의심되는 사람”에 속하는 것인지 최소한의 범위도 설정하지 않은 채 포괄적 규정의 형태를 띄고 있습니다. 이는 명확성의 원칙에 위배된다고 보아야 할 것입니다. 

또한 위치정보 수집이 감염병의 전파를 효율적으로 방지한 수단임이 입증되지 않는 이상, 이 사건 법률조항은 효율적이고 적절한 수단을 선택한 공권력 행사로 볼 수 없습니다.

또한 위치정보 수집에 대한 법원의 허가 또는 전문가 심의 등 절차를 도입하거나 다른 수단을 먼저 고려하라는 보충성 요건을 규정하는 등 통제장치 도입을 통해 기본권을 덜 제한하는 다른 방법도 고려할 수도 있었습니다. 그럼에도 불구하고 아무런 통제장치를 두고 있지 않은 이 사건 법률조항은 침해의 최소성 원칙에 반하여 기본권을 중대하게 침해합니다.

더불어, 감염병예방법에서 경찰이 위치정보 취득의 매개 역할을 하고 자신의 동선에 대해 사실대로 말하지 않는 것을 감염병예방법상 범죄로 규정하고 있으면서도 영장주의가 적용되고 있지 않습니다. 게다가 감염인과 접촉하지 않은 이태원 지역 방문자까지 광범위하게 개인정보를 수집한 것은 본질적으로 다른 집단에 대해 동일하게 취급하여 개인정보자기결정권 등을 중대하게 침해한 것으로서, 그 비례성을 상실하여 청구인의 평등권을 침해하였습니다.

5. 유엔 경제적, 사회적 및 문화적 권리에 관한 국제규약 등 국제인권기준은 감염병 위기 상황에도 기본적 권리의 보장을 최우선 가치로 두어야 하고, 공중보건의 위기를 이유로 한 기본적 권리의 제한이 법률에 따라 비례적으로 이루어질 것을 강조하고 있습니다. 이 사건 기지국 정보처리행위 및 관련 법률조항은 위 국제인권기준에도 어긋납니다. 청구인과 단체들은 헌법재판소가 국제인권기준의 원칙과 헌법에 명백히 위반되는 기지국 정보처리행위 및 감염병예방법 조항이 위헌임을 확인함으로써 코로나 19 라는 감염병의 공포 아래 희미해지는 우리 헌법의 가치를 바로 세울 수 있기를 기대합니다.

2020년 7월 30일

민주사회를위한변호사모임 디지털정보위원회, 사단법인 오픈넷,
사단법인 정보인권연구소, 진보네트워크센터, 참여연대

문의: 오픈넷 사무국 02-581-1643, [email protected]

본 보고서는 아주대학교 산학협력단이 수행하고 오픈넷이 참여한 ‘2019년도 국가인권위원회의 정보인권 보고서 개정 발간 연구용역보고서’의 일부분입니다.

본 보고서는 출처표시, 상업적 이용금지, 변경금지 조건에 따라 이용하실 수 있습니다.

연구참여자: 김가연, 손지원 오픈넷 변호사

제1절 통신의 비밀과 자유의 보호 현황과 쟁점
1. 통신의 비밀과 자유의 의의와 최근 침해 양상
(1) 통신의 비밀과 자유의 헌법적 의미
(2) 통신의 비밀의 보호대상
(3) 최근 침해 양상
2. 국제 동향 및 기준
(1) UN
(2) EU
(3) 각국의 법제 동향
(4) 시민사회
3. 국내 법·제도 현황
(1) 관련 법제 현황
(2) 헌법재판소 주요 결정례
(3) 국가인권위원회 주요 결정례
4. 주요 쟁점 사례
(1) 통신자료 제공 남용 사례
(2) 기무사의 세월호참사 유가족 사찰 및 불법감청 사건
(3) 전교조 서버 압수·수색 사건
(4) 국가정보원의 이탈리아 해킹팀 RCS 프로그램 구입 및 실행 사건
(5) 사인간 감시 사례

제2절 통신의 비밀과 자유 증진을 위한 개선방안
1. 통신비밀보호법 개정
(1) 통신제한조치(감청) 제도 개선
(2) 통신사실확인자료 제공 제도 개선
2. 통신자료 제공 제도 개선
3. 디지털 증거 압수·수색 제도 개선
4. 정보수사기관 개혁
5. 사인간 감시 문제

제3절 온라인에서의 표현의 자유 보호 현황과 쟁점
1. 온라인에서의 표현의 자유의 의의와 제한
(1) 일반적인 표현의 자유의 의의와 제한 원리
(2) 온라인상 표현의 자유의 제한 유형
2. 국제 동향 및 기준
(1) UN 자유권규약위원회 표현의 자유에 대한 일반논평 34호
(2) UN 표현의 자유 특별보고관 라 뤼의 한국보고서
(3) 유럽평의회의 인터넷에서 커뮤니케이션의 자유를 위한 7원칙
(4) UN 표현의 자유 특별보고관 데이비드 케이의 기업 책임에 대한 보고서
(5) 정보매개자 책임에 관한 마닐라 원칙
(6) FOC의 인터넷의 자유와 인권 보호에 관한 정책 및 관행 수립을 위한 탈린 의정서
3. 국내 법·제도 현황
(1) 방송통신심의위원회 통신심의제도
(2) 선관위 선거법 위반 정보 삭제 명령 제도
(3) 정보통신망법 임시조치 제도
(4) 선거기간 인터넷 실명제
(5) 사실적시 명예훼손죄, 모욕죄
4. 주요 쟁점 사례
(1) 혐오표현 규제
(2) 허위정보 규제

제4절 온라인 표현의 자유 증진을 위한 개선방안
1. 방송통신심의위원회의 통신심의 제도의 폐지 혹은 개정
2. 임시조치 제도의 개정
3. 공직선거법상의 실명제와 선거관리위원회 삭제명령제도 폐지
4. 사실적시 명예훼손죄와 모욕죄의 폐지
5. 혐오표현에 대한 대응
6. 허위정보에 대한 대응

사단법인 오픈넷이 2020. 8. 21. 2020 한국인터넷거버넌스포럼(KrIGF)에서 진보네트워크센터와 ‘인터넷 공간의 안전’이라는 주제로 워크숍을 개최합니다. 

한국인터넷거버넌스포럼(KrIGF)은 국내 주요 인터넷 공공정책 이슈에 대한 다양한 이해관계자들 간의 대화 및 토론을 위해 다자간인터넷거버넌스협의회(KIGA), 한국인터넷진흥원(KISA) 등 다양한 이해당사자 기관 및 단체가 함께 연 1회 개최하는 포럼입니다.

2020 한국인터넷거버넌스포럼(KrIGF)은 “팬데믹 시대의 인터넷 거버넌스: 뉴노멀, 연결, 안전”이라는 주제로 8월 21일(금) 온라인웨비나로 개최될 예정입니다. 국내 인터넷 이용자의 관심사를 폭넓게 반영하고자 다양한 이해관계자로부터 프로그램을 제안 받아 KrIGF 프로그램을 구성하였습니다. 

KrIGF에 꾸준히 참여해왔던 오픈넷은 진보네트워크센터와 함께 2020 KrIGF의 이슈 중 인터넷 환경의 안전에 집중하여 “인터넷 공간은 ‘모두’에게 안전하고 정의로운 공간인가?”라는 제목의 워크숍을 개최합니다. 본 워크숍을 통해 오픈넷과 진보넷은 사회적 소수자에게 인터넷은 어떤 공간이 되어야 하는지, 모두가 인터넷이라는 공간에서 공존할 수 있는 방법은 없는지, 이를 위해 우리가 해야할 것들은 무엇인지를 짚어보고자 합니다. 

“인터넷 공간은 ‘모두’에게 안전하고 정의로운 공간인가?”

일정: 2020년 8월 21일(금) 13:00-14:30
기획: 오경미, 미루 
사회: 미루 (진보네트워크센터 활동가)
여는 말: 오경미 (오픈넷 연구원)
토론1: 양지혜 (청소년 페미니스트 네트워크 위티 활동가)
토론2: 왹비 (주홍빛연대 차차 활동가)
토론3: 이승현 (비온뒤 무지개 재단 이사장)
토론4: 오영택 (국가인권위원회 혐오차별대응기획단 사무관)

참여방법: 

• 한국인터넷거버넌스포럼(KrIGF) 홈페이지(krigf.kr)에서 2020 참가자 사전등록하실 수 있습니다.
• 사전등록자에 한해 Zoom을 통한 ‘2020 KrIGF’ 온라인 웨비나를 진행합니다. (링크 및 비밀번호 제공)
• 사전등록하지 않은 일반참가자는 유튜브 ‘한국인터넷거버넌스포럼’ 채널을 통해 워크숍을 시청할 수 있습니다. 

문의: 오픈넷 사무국 02-581-1643, [email protected]

시민사회단체, 위원장과의 간담회에서 현재까지 개인정보 보호위의 행보에 실망감 표출

보호위 위원장, 주요 쟁점에 대한 추가 논의 약속 

1. 지난 9월 17일(목) 개인정보보호위원회(이하, ‘개보위’) 회의실에서 윤종인 위원장과 9개 소비자, 노동, 보건, 시민사회단체 대표 등이 간담회를 진행했다. 시민사회단체는 간담회에 앞서 개보위에 개인정보보호 주요 쟁점 사안들에 대한 질의서를 미리 보냈다. 시민사회단체는 이미 여러 차례 의견을 제출했음에도 지금까지 시민사회의 의견과 제안이 반영되지 않는 것에 대한 책임있는 답변을 듣고 싶었기 때문이다.

지난 8월 5일 개정 개인정보보호법 시행에 맞춰 출범한 통합 개보위는 국민의 개인정보를 경제적 가치로만 환산해 정책을 추진하는 정부 부처에서 거의 유일하게 헌법의 기본권 측면에서 개인정보보호 수호자의 역할을 할 것으로 기대했지만, 지금까지 개보위의 행보는 여전히 정보주체보다 산업계의 이익을 우선했다는 비판을 받아왔다. 그러나 이번 간담회에서도 개보위는 시민사회를 설득할 만한 충분한 논거를 보여주지 못했을 뿐만 아니라, 개인정보 감독기구로서의 위상에 맞지 않게 정보주체의 권리에 대한 고려가 여전히 미흡했다. 그러나 시민사회와의 첫 대화인만큼 앞으로도 시민사회와 적극적으로 소통할 것을 기대한다.

2. 이날 간담회에서 개보위가 시민사회의 질의 내용에 대해 준비하여 답변(강유민 정책국장이 답변을 하고 윤종인 위원장이 보충하였다)한 내용과 이에 대한 시민사회의 반론은 다음과 같다.

1) 보호위원회의 <가명정보 처리 가이드라인> 상 “개인을 ‘알아볼 수 있는‘의 판단기준으로 “해당 정보를 처리하는 자”로 좁게 해석한 근거 : 우리의 개인정보 개념이 유럽 GDPR과 크게 다르지 않다고 본다. 누군가에게는 식별가능한 정보라도 또 다른 누군가에는 식별이 불가능할 경우 개인정보로 볼 수 없는 것이다.

➔ (시민사회 반론) GDPR과 다르지 않다고 하는데, GDPR에서는 처리자뿐만 아니라 제3자에 의해서도 식별가능한지 여부를 따지고 있으므로 굳이 ‘해당 정보를 처리하는 자를 기준으로 판단’한다는 표현을 포함할 이유가 없다.개인정보 처리자의 자의적 해석에 따라 달라질 수 있도록 한 것은 문제다.

2) 보호위원회가 판단하는 ‘과학적 연구’ 란 구체적으로 무엇이며, 이에 대한 별도의 해설서를 제공할 계획 여부 : 과학적 방법이란, 가설-검증-이론화 과정을 거치는 것을 말한다고 본다. 계속 같이 고민하고 있는데, 과학적 연구가 아닌 것이 뭐냐고 물으면 설명하기가 어렵다. 케이스를 봐가면서 검토하려고 하고 있다. 말은 과학적 연구라고 하지만 의도가 의심되는 경우가 있으면 같이 토론하고 의논해서 진행하겠다.

➔ (시민사회 반론) 유럽개인정보보호감독관(EDPS)이 올해 발표한 예비 보고서를 보더라도 과학적 방법을 사용한다고 모두 과학적 연구로 보는 것은 아니다. 경계가 모호하다면 범위를 좁게 설정했다가 향후 문제가 없으면 넓혀 가는게 권리침해의 위험을 줄일 수 있다. 위원장의 말대로라면 ‘과학적 연구 아닌 것’이 없게 된다.

3) 서로 다른 기업의 가명정보 결합한 후, 결합된 가명정보를 원 개인정보 보유기업에 반출하도록 허용하면서, 반출된 결합 가명정보의 안전한 활용을 어떻게 보장할 것인지 : 만약 원기업이 식별을 하면 엄격한 형사처벌조항, 매출 3% 과징금 등 사후처벌이 있으므로 감히 그렇게 못할 것이다. 데이터결합 제도를 어렵게 만들어낸 만큼 관리감독할 것이고 반출심사위를 외부인사도 참여하게 하여 엄격히 할 것이다.

➔ (시민사회 반론) 결합기관의 안전공간에서 연구하고 결과만 반출하는 방식 등 구조적으로 안전성을 보장할 수 있는 방법을 시민사회가 제안했지만, 산업계의 불편만을 우선적으로 고려한 것이 문제다. 유출 등 사고가 나면 이미 너무 늦어 사전 예방책이 더 중요한데 형사처벌, 과징금 등은 다 사후제재다. 믿어달라고만 하는 것은 너무 안일한 처사 아닌가.

4) 특정 과학적 연구 후에 가명정보의 파기 여부 : 가명정보 보관/파기는 양해해 달라. 파기 관련 법률 상위 규정이 없어서 시행령에 만들었다가 근거가 없어서 제외한 바 있다. 이 부분은 입법처리를 준비하는 것을 검토 중이다.

➔ (시민사회 반론) 목적명확화, 최소수집의 원칙 등 개보법 3조의 원칙을 고려한다면 당연히 개인정보인 가명정보도 특정 목적 달성 후 파기하도록 할 수 있다. 오히려 기본권 제한은 법률에 의해서만 가능하다는 헌법 37조2항에 따르더라도 파기하지 않는 것이 헌법상 기본권에 대한 침해라고 봐야 한다.

5) 복지부와 공동 공개한 ‘보건의료 데이터 활용 가이드라인(안)’은 정보주체의 옵트아웃(가명처리정지요구) 권리를 명시하고 있는 것과 같이 <가명정보 처리 가이드라인>에도 명시할 계획이 있는지 : 당초 안에는 사전적인 처리정지 요구를 할 수 있게 하는 옵트아웃 방안을 제시했고 이를 포함시킬지 여부를 검토 중이다. 가명정보 특례 취지상 28조7에서 37조(개인정보의 처리정지)는 배제하고 있고, 가명처리 전 개인정보를 어떻게 할 것인가가 문제인데 좀 더 검토가 필요하다.

➔ (시민사회 반론) 가이드라인에 포함된 처리정지권을 뺀다면 이건 심각한 문제다. 처리정지권은 법에 규정된 권리이므로 당연히 보장해야 한다. 동의없이 처리하는 것이기 때문에 정보주체의 거부권은 최소한의 권리다.

6) <보건의료 데이터 활용 가이드라인(안)>은 민감정보인 개인 의료정보도 가명정보 처리 특례가 적용되는 것으로 보고 있는데 의료법 위반일 가능성이 있고, 명확한 법적 근거없이 활용할 수 있도록 열어주는 근거 : 국회 속기록에도 남아 있는데, 민감정보여도 가명처리 할 수 있다고 말했다. 가명처리 이후 얼마나 관리하느냐가 관건인 것 같다. 관심갖고 준비할 수 있도록 하겠다. 복지부와 협의하고 있다. 원래 입법은 의료정보 가명화를 염두에 둔 건 아니다.

➔ (시민사회 반론) GDPR에서는 민감정보도 과학적 연구 목적으로 처리할 수 있도록 하지만 회원국의 법률에 근거하도록 하고 있다. 우리나라도 필요하다면 법적 근거를 마련해야지 이렇게 해석상 가능한 것으로 허용하는 것은 문제다.

7) 금융위원회의 쇼핑몰 구매정보를 개인 신용정보에 포함시킨 것에 대한 입장 : 신용정보법과 정합성이 떨어지는 부분이다. 금융위가 신용정보 범위를 확장적으로 해석하고 있는 것은 맞다. 금융위와 의논 중이다. 구매내역정보라고 해도 내용을 들어보면 어떤 경우는 신용평가모델에 쓰이기도 하고 다양해서 계속 논의 중이다.

8) 빅데이터 시대에 대응할 수 있는 정보주체의 새로운 권리나 개인정보처리자의 책임성 강화 조치를 포함한 개인정보보호법 2차 개정 계획 : 법적 정합성, 정보주체 권리 보호에 문제가 있는 등 법개정 필요성 인정한다. 하나하나 심도깊은 논의가 필요한 주제들이다.

9) 행안부, 방통위에 흩어져 있던 개인정보 감독 권한이 보호위원회로 일정하게 통합되었으나 여전히 개인 신용정보에 대한 감독은 금융위 관할로 남아있어 혼란,이를 해소하기 위한 대책 : 신정법에서 잘 규정하고 있는 부분이 있어서 벤치마킹하는 부분도 있다. 관계법령에도 비식별 조치, 비식별 처리 등등 흩어져있는 개별법 문제를 조속히 조사해서 정리할 것. 신정법 이슈는 연구해서 차차 답변하겠다.

➔ (시민사회 의견) 개인정보보호법과 신용정보보호법 간 개념 충돌과 정합성 부족으로 소비자가 피해를 보게 된다. 보호위원회가 개인정보 감독기구로서 제 역할을 적극적으로 해달라. 

10) 기타 : 질의서에 포함된 내용 이외에 시민사회 참가자들은 최근 서울고등법원이 통화내역의 기지국 정보가 위치정보가 아니라고 판결한 것과 개인위치정보의 해석에 대해 보호위의 의견을 요청했고, 보호위 홈페이지에 정보주체의 권리와 관련된 내용이 부족하다는 것을 지적하며 정보주체의 인식 고양을 위한 적극적인 활동을 주문하였으며, 학교 등에서의 개인정보 교육을 위해서도 개인정보 보호법제의 정비가 필요하다는 의견을 제시하였으며 이에 대해 윤종인 위원장도 공감하였다.

3. 시민사회단체 참석자들은 “개인정보 시스템에 대한 신뢰가 클수록 활용도 잘 될 것”이라는 윤종인 위원장의 발언에 공감한다고 밝혔다. 그러나 안타깝게도 지금까지 개보위가 보여준 모습은 개인정보 시스템에 대한 신뢰를 약화시키는 것이었다고 지적했다. 개인정보의 정의, 과학적 연구의 범위, 개인의료정보에 대한 가명정보 특례 적용 등 법에서 명확하게 규정하고 있지 않은 쟁점들에 대해서는 기업들에게 유리하게 해석하고 있는 반면, 특정 연구가 끝난 후의 가명정보 파기, 정보주체의 처리정지권 보장과 같이 정보주체의 권리를 보호하려는 내용은 계속 후퇴하는 것에 대해 어떻게 이해해야 하는지 반문했다. 여러 쟁점에 대한 시민사회의 반론에 대해 윤종인 위원장은 별도의 자리를 만들어서 토론을 계속할 것을 약속하였다. 시민사회는 언제든지 합리적인 토론을 환영하며 여러 쟁점에 대해 정보주체의 권리가 반영되는 방향으로 개정할 것을 촉구한다고 밝혔다. 이날 간담회는 무상의료운동본부, 민주노총·사무금융노조법률원, 민주사회를위한 변호사 모임 디지털정보위원회, 서울YMCA시민중계실,소비자시민모임, 진보네트워크센터, 참여연대, 한국소비자연맹, (사)오픈넷이 참여했다. 

시민사회단체가 개인정보보호위원회에 보낸 질의서 원문

1. 최근 귀 위원회가 공개한 <가명정보 처리 가이드라인>에서는 “개인을 ‘알아볼 수 있는‘의 판단기준은 “해당 정보를 처리하는 자”로 해석하여 개인정보를 좁게 해석하고 있습니다. 이는 2016년 <개인정보 비식별조치 가이드라인>의 해석과 동일합니다. 그러나 이렇게 될 경우 개인정보에 개인정보보호법 적용이 배제되어 개인정보 권리가 침해될 우려가 있습니다. 이는 유럽연합의 GDPR의 개인정보에 대한 해석과도 다릅니다. 귀 위원회에서 이렇게 개인정보를 좁게 정의하는 근거는 무엇입니까.

2. 최근 귀 위원회가 공개한 <가명정보 처리 가이드라인>은 ‘과학적 연구’에 대해 구체적인 해석의 기준을 제공하고 있지 않습니다. 귀 위원회의 판단에, 과학적 연구가 아닌 연구나 활동에는 어떠한 사례가 있을 수 있는지 궁금합니다. 또한 ‘연구’라고 표방하기만 하면 개인정보보호법 상 ‘과학적 연구’에 포함되는 것인지, 아니면 향후에 귀 위원회가 보다 구체적인 해설서를 제공할 계획이 있는지 궁금합니다.

3. 가명정보의 결합과 관련하여 시민사회는 해외 사례를 참고하여 안전하게 결합할 수 있는 방법에 대한 여러 제안을 했지만, 귀 위원회는 서로 다른 기업의 가명정보를 결합한 후, 결합된 가명정보를 원 개인정보 보유기업에 반출하도록 허용하고 있습니다. 이렇게 반출된 가명정보가 안전하게 활용될 것을 어떻게 보장할 수 있는지 설명해 주시기 바랍니다.

4. 가명정보를 과학적 연구 목적을 위하여 애초 보관 기간 이상으로 보유할 수 있도록 허용하는 것과 추후의 계속적인 연구에 활용할 수 있도록 무기한 보유를 허용하는 것은 다릅니다. 과학적 연구, 통계 목적 등을 위해 제3자에게 제공된 가명정보의 보관기간 및 파기에 대한 귀 위원회의 입장은 무엇입니까.

5. 복지부와 귀 위원회가 공동 공개한 ‘보건의료 데이터 활용 가이드라인(안)’은 정보주체의 옵트아웃(가명처리정지요구) 권리를 명시하고 있습니다. 가명정보의 처리는 정보주체의 동의와 무관하게 이루어지므로 정보주체가 원할 경우 최소한 옵트아웃할 권리를 보장하는 것은 당연합니다. 그런데 <가명정보 처리 가이드라인>에는 이러한 권리가 명시되어 있지 않습니다. 옵트아웃 권리에 대한 귀 위원회의 정확한 입장은 무엇입니까.

6. 개인정보보호법 제23조는 민감정보의 경우 정보주체의 별도의 동의나 법령에 근거가 있는 경우에만 처리할 수 있도록 하고 있음에도, 보건의료 데이터 활용 가이드라인(안)은 민감정보인 개인 의료정보도 가명정보 처리 특례가 적용되는 것으로 보고 있습니다. 더구나 개인 의료정보의 목적 외 활용은 의료법 저촉 가능성도 있습니다.  의료정보를 포함한 민감정보를 명확한 법적 근거없이 활용할 수 있도록 열어주는 근거는 무엇입니까.

7. 금융위원회는 쇼핑몰 구매정보도 개인 신용정보로 보고 있습니다. 이에 대한 귀 위원회의 입장은 무엇입니까.

8. 유럽연합과의 GDPR 적정성 결정 협의는 어떻게 진행되고 있으며, 언제쯤 타결될 예정인지요. 또한 논의 과정에서 합의에 어려움이 있는 쟁점은 무엇인지요.

 금융위원회의 관계

개정 개인정보보호법에 따라 그동안 방송통신위원회와 행정안전부에 흩어져 있던 개인정보 감독 권한이 보호위원회로 일정하게 통합되었음에도 불구하고, 신용정보에 대한 감독은 여전히 금융위원회가 담당하고 있습니다. ‘개인정보보호법’과 ‘신용정보법’ 간의 중복과 혼란 역시 완전히 해소되지는 않았고 인터넷쇼핑몰 주문내역 등을 신용정보로 해석하려는 시도 등과 같이 앞으로도 신용정보와 비신용정보에 대한 정의 문제, 활용 및 관리 감독의 문제 등이 반복될 것입니다. 이는 개인정보처리자인 기업 등뿐 아니라 정보주체에게도 큰 혼란을 줄 것입니다. 이에 대해 귀 위원회는 어떠한 문제의식을 갖고 있고 이 문제를 풀기 위해서 어떤 조치를 취할 것인지 알려주시기 바랍니다.

 개인정보보호위원회 운영 및 사업에 대한 의견

1. 8월 5일부터 시행된 개정 개인정보보호법은 빅데이터 시대에 대응할 수 있는 정보주체의 새로운 권리나 개인정보처리자의 책임성 강화 조치는 거의 포함하지 않았기 때문에, 2차 개정이 시급합니다. 개인정보보호법의 추가 개정에 대한 귀 위원회의 계획은 어떠합니까?

2. 통상적으로 개인정보처리자는 조직화되어있어 자신의 입장을 전달하는데 용이합니다. 그러나 정보주체는 흩어져있고 시민, 소비자단체 외에는 정보주체의 입장이 체계적으로 대변될 수 있는 구조가 없습니다. 정보주체의 의견을 수렴하기 위한 귀 위원회의 고민은 무엇입니까? 귀 위원회가 이와 같은 정보 주체의 의견 수렴을 위해 어떤 방법을 마련할 것인지 알려주십시오. 

사단법인 오픈넷은 올해 2월 제정된 소위 “데이터3법” 중 아무런 이유 없이 정보주체의 권리를 제한하는 개인정보보호법 제28조의7^[1]을 재개정할 것을 요구한다. “데이터3법”의 핵심취지는 GDPR을 벤치마킹하여 ‘통계작성, 과학적 연구, 공익적 기록보존의 목적(이하, “공공목적”)’으로는 개인정보를 정보주체의 동의 없이 이용할 수 있도록 한 개정법 제28조의2^[2]에 담겨져 있다. GDPR은 정보주체들이 열람권, 정정권, 처리제한권, 처리거부권을 너무 많이 행사하는 경우 공공목적이 무산되는 것을 방지하기 위해 공공목적의 이용에 한하여 이들 권리를 제한했다. 그런데 우리나라는 데이터3법을 졸속으로 통과시키면서, 개인정보보호법 제28조의7에서 단순히 가명처리만 하면 정보주체의 권리가 제한되도록 하여 개인정보처리자들이 공공목적 없이도 정보주체들의 권리를 제한할 수 있게 하였다. 

즉, GDPR은 공공목적을 위해서는 정보최소화원칙에 부합하는 안전조치(예를 들어, 가명처리)를 적용하면 정보주체의 동의 없이 개인정보를 이용할 수 있으되(GDPR 제89조 1항), 공공목적으로 처리될 때는 제15조(열람권), 제16조(정정권), 제18조(처리제한권) 및 제21조(처리거부권)에 규정된 권리의 적용을 일부 제외할 수 있다(89조 2항)고 하였다. 이에 비해 우리나라 개인정보보호법 제28조의7은 “가명정보는 [고지권, 파기권, 통지권, 정정권, 삭제권 등]의 규정을 적용하지 아니한다고 되어 있을 뿐이다. 자신에 대한 정보에 대한 열람권, 정정권 등 중요한 권리들이 GDPR 하에서는 공공목적 이용에 한해서 가명처리까지 이루어져야 제한되지만 우리나라 법은 공공목적과 무관하게 가명처리만 되면 정보주체의 권리들이 모두 제한되는 것이다.  

이 차이는 형식적 차이 이상의 심각한 혼란을 초래하고 있고 정보인권을 심대하게 침해할 것이다. 정보처리자들은 과학적 연구, 통계작성 등의 목표도 없이 가명처리를 하는 것만으로 정보주체들의 권리를 제한할 수 있게 되었다. 예를 들어 통신사들은 이용자들에 대해 가지고 있는 개인정보를 가명처리하고 재식별키를 제3자에게 보관시키게 되면 이용자들이 자신들에 대해 통신사가 가지고 있는 정보를 열람하겠다고 해도 보여주지 않아도 된다. 

더 아이러니한 것은 정부는 가명처리가 정보주체에게 미치는 위험을 감지했음에도 입법불비를 인정하고 개선하려 하지 않고  정보처리자에게 가명처리를  절차적으로 매우 하기 어려운 일로 만들어버렸다. 이에 따라 최근 8월에 개인정보보호위원회가 발표한 가명정보가이드라인(가명처리편)은 전 세계에서 유일무이하게 가명처리에 엄격한 절차적 요건을 부과하고 있다. 하지만 가명처리는 전 세계적으로 개인정보보호를 위해 장려되는 조치로서 당연히 정보주체의 동의 없이 할 수 있어야 한다. GDPR도 제32조와 제40조에서 가명처리는 모든 개인정보처리자가 기본적으로 해야 하는 보호조치로 명시하고 있다. 심지어 우리나라의 경우에도 법으로 주민등록번호는 반드시 암호화하여 보관하도록 하여 유출되더라도 식별화 피해를 최소화하도록 하고 있는데(개인정보의 안전성 확보조치 기준 제7조) 여기서 암호화란 정보보호 상으로는 가명처리의 스펙트럼 속의 한 방식일 뿐이다. 그런데 이렇게 가명처리를 어렵게 만들어 놓으면 개인정보처리자들은 프라이버시 보호를 위한 자발적인 가명처리를 하지 않게 되어 유출시 위험이 더 높아질 수밖에 없다.

결국, 가명처리 이전에는 개인정보보호를 위해 장려되고 활발하게 이루어져야 할 가명처리를 어렵게 만들어서 개인정보보호가 약화되고, 가명처리 이후에는 열람권, 삭제권 등 정보주체의 권리가 제한되어 더욱더 개인정보보호가 약화되는 최악의 상황이 만들어져버렸다. 이 상황에서는 개인정보보호에 대한 양보의 대의명분으로 제시되는 공공목적 개인정보 활용이 이루어지기도 어렵지만, 이루어질 경우에도  너무나 위험하게 되었다. 지금이라도 GDPR을 벤치마킹하겠다는 취지를 살려서 제28조의7을 개정하여 ‘과학적 연구, 통계작성, 공익적 기록보전’의 목적을 위해 가명처리된 정보에 대해서만 권리제한이 이루어지도록 하고 가명처리 자체는 모든 개인정보처리자가 활발하게 하도록 장려하는 보완조치들이 이루어져야 할 것이다. 

이와 함께 사단법인 오픈넷은 지난 4월 위 문제를 포함하여 개인정보보호법의 개정 및 보완 요구를 하면서 ‘과학적 연구’의 정의에 연구결과가 논문 등의 형태로 공개되어야 한다는 요건을 포함할 것과 개인정보 결합시 결합키관리기관과 결합기관을 분리할 것도 요청하였다. 결합키관리기관과 결합기관의 분리는 <가명정보의 결합 및 반출 등에 관한 고시[시행 2020. 9. 1.] [개인정보보호위원회고시 제2020-9호, 2020. 9. 1., 제정]>를 통해서 어느 정도 해결이 된 반면, ‘과학적 연구’의 결과 공개 요건은 아직도 개선되어 있지 않다. 재개정을 통해 이 문제도 같이 해결할 것을 요구한다.  

________________________________
[1] 제28조의7(적용범위) 가명정보는 제20조, 제21조, 제27조, 제34조제1항, 제35조부터 제37조까지, 제39조의3, 제39조의4, 제39조의6부터 제39조의8까지의 규정을 적용하지 아니한다.

[2] 제28조의2(가명정보의 처리 등) ① 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다.
② 개인정보처리자는 제1항에 따라 가명정보를 제3자에게 제공하는 경우에는 특정 개인을 알아보기 위하여 사용될 수 있는 정보를 포함해서는 아니 된다.

2020년 9월 25일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, [email protected]

[관련 기자간담회 개최]

• 일시: 2020년 9월 29일(화) 오전 10시 ~ 11시
• 장소: 오픈넷 회의실 (서울시 서초구 서초대로50길 62-9, 402호) 
• 위 내용에 대해 설명하는 기자간담회에 참석을 원하시는 기자님은 참가신청을 해주시기 바랍니다.

[관련 글]
[공동 논평] 개보위 역할 인식 아쉽다 – 개인정보 보호위원회는 정보주체 권리 보호에 더 적극적이어야 (2020.09.22.)
[논평] 개인정보보호법 가명화 도입, 입법불비부터 선결되어야 GDPR 수준의 정보보호 할 수 있다. (2020.04.09.) 

「개인정보 보호법」이 2020년 2월에 개정되면서 정보주체의 동의 없이도 과학적 연구 목적으로 개인정보를 가명화하여 이용할 수 있게 되었으나, 「생명윤리법」에는 기존 수집된 정보를 가명화 또는 익명화할 경우 연구목적으로 이용할 수 있는 특례조항들이 존재하고 있다. 2020. 9. 25. 대한기관윤리심의기구협의회(KAIRB) 연례총회에서 박경신 오픈넷 이사(고려대 법학전문대학원 교수)는 위 2가지 법체계가 어떻게 조화하는지에 대해 발표하며 개인정보보호법 개정이 가진 문제점에 대해서도 지적했다.

‘개인정보보호법 제28조의7의 위헌성’

– 과학적 연구 아니라도 가명화만 하면 정보주체의 열람권, 삭제권, 정정권 등이 모두 박탈된다?

사단법인 오픈넷은 소위 “데이터3법” 중 개인정보처리자가 가명처리만으로 정보주체의 권리를 제한할 수 있는 개인정보보호법 제28조의7의 재개정을 요구하는 논평을 발표했습니다(하단 첨부). 이와 관련하여 해당 법률의 문제점과 개선방안을 이야기하는 기자간담회를 개최하고자 하오니 많은 참석 부탁드립니다.

[기자간담회] ‘개인정보보호법 제28조의7의 위헌성’

• 일시: 2020. 10. 13.(화) 오전 10시
• 장소: 사단법인 오픈넷 회의실 (서울시 서초구 서초대로50길 62-9, 402호)
• 사전등록: https://forms.gle/Bd1gzwh5Q45xAjBH6
• 참석을 희망하시는 기자님은 꼭 사전등록을 해주시기 바랍니다.

문의: 오픈넷 사무국 02-581-1643, [email protected]

2020. 11. 5.(목) 오후 2시, 국회의원회관 제4 간담회실에서 ‘공익제보와 개인정보 심포지엄’이 열렸다. 김남국 국회의원, 국민권익위원회, 경찰청, 대한변호사협회, 개인정보전문가협회가 주최한 본 심포지엄은 각계의 전문가들과 함께 공익제보의 활성화와 공익신고자의 보호를 가능케 할 실효성 있는 방안을 모색하고자 마련되었으며, 박경신 오픈넷 이사가 ‘공익 제보 행위의 개인정보보호법 위반 여부 판단 기준과 향후 과제’를 주제로 발제했다.

발표문_공익제보와-개인정보보호법_박경신

사단법인 오픈넷은 2020. 11. 24. ‘통신자료’의 명칭을 ‘통신이용자정보’로 명확하게 규정하고 당사자에게 정보제공사실을 통지하는 절차를 신설하는 전기통신사업법 일부개정법률안(허은아의원 대표발의, 의안번호: 2104821)에 대하여 다음과 같이 찬성의견을 제출했다.

문의: 오픈넷 사무국 02-581-1643, [email protected]

『전기통신사업법 일부개정법률안』에 대한 의견서

1. 통신자료제공 제도의 문제점

• 현 전기통신사업법 제83조 제3항이 규정하고 있는 통신자료제공 제도는 수사기관 등이 법원의 허가 등을 받지 않고 이용자의 개인정보를 무단으로 취득할 수 있게 하고 있어 영장주의 원칙을 위반하여 이용자의 개인정보자기결정권을 침해함
  • 수사기관은 헌법 제12조 제3항이 규정하고 있는 영장주의 원칙의 우회수단으로 통신자료제공 제도를 남용해 왔으며, 이는 통신자료제공 요청이 전화번호(ID) 수 기준으로 2012년 788만여 건에서 2015년 1,058만여 건으로 크게 증가하는 등 통계로도 확인된 바 있음
  • 국가인권위원회는 2014년 2월 10일 영장주의 원칙의 위반을 이유로 통신자료제공 제도를 폐지하는 법 개정을 추진할 것을 권고한 바 있으며, 2016년 5월 18일 시민 500명은 관련 전기통신사업법 조항들에 대해 헌법소원을 청구해 현재 헌법재판소에서 심리중임
• 통신자료제공 제도는 영장주의 원칙 위반 외에도 달리 정보주체에게 사전 또는 사후 통지하는 제도를 두고 있지 않아 적법절차 원칙에 위반됨. 통신자료제공에 대한 통지 제도가 없기 때문에 정보주체는 자신의 개인정보가 수사기관에 제공되었는지 알 수 없고, 부당하게 제공되었더라도 이에 대해 시정을 요구할 수 있는 방법이 없음

2. 찬성의견

가. 주요내용

• 본 개정안은 ‘통신자료’의 명칭을 ‘통신이용자정보’로 명확하게 규정하고 당사자에게 정보제공사실을 통지하는 절차를 두도록 함으로써 개인정보 보호를 강화하고 통신자료 남발 가능성을 제한하고자 함(안 제83조의2 신설 등)

나. 통신자료의 명칭 변경에 대한 의견

• 통신자료는 이용자의 성명, 주민등록번호, 주소, 전화번호 등으로 명백히 개인정보보호법상 개인정보에 해당함에도 불구하고 ‘통신자료’라고 지칭함으로써 그 의미를 전혀 알 수 없는 문제가 있었음. 따라서 ‘통신자료’를 그 의미가 좀 더 명확하게 드러나는 ‘통신이용자정보’로 변경하는 것에 찬성함

다. 통신이용자정보제공 통지 제도 신설에 대한 의견

• 헌법 제12조에 규정된 적법절차원칙은 비단 형사절차뿐만 아니라 모든 국가작용 전반에 적용되며, 적법절차원칙에서 도출되는 중요한 절차적 요청으로, 당사자에게 적절한 고지를 행할 것, 당사자에게 의견 및 자료 제출의 기회를 부여할 것 등을 들 수 있음(헌재 2003. 7. 24. 2001헌가25; 헌재 2015. 9. 24. 2012헌바302 등 참조). 통신자료제공에 관한 수사기관의 권한남용을 방지하고 정보주체의 기본권을 보호하기 위해서는, 적법절차원칙에 따라 정보주체에게 적절한 고지와 실질적인 의견진술의 기회가 부여되어야 함
• 본 개정안은 ‘통신이용자정보제공을 받은 날부터 30일 이내’에 제공을 받은 사실, 이유, 제공요청기관 등을 알려주도록 하고 있고, 특별한 사유가 있는 경우 60일 이내의 기간을 정하여 통지를 유예할 수 있도록 하고 있음. 이는 통신자료제공 제도를 적법절차원칙에 합치하도록 개선하는 안이므로 찬성함

지난 11월 12일 법무부는 추미애 법무부장관이 “채널A 사건 피의자인 한동훈 법무연수원 연구위원 사례와 같이 피의자가 휴대폰 비밀번호를 악의적으로 숨기고 수사를 방해하는 경우 영국 등 외국 입법례를 참조하여 법원의 명령 등 일정요건 하에 그 이행을 강제하고 불이행시 제재하는 법률 제정을 검토하도록 지시”했다고 밝혔다. 이후 각계 각층의 비판이 쏟아지자 다음날 디지털 증거 압수수색시 협력의무 부과 법안 연구와 관련하여 “자기부죄금지원칙 및 양심의 자유, 사생활 보호와 조화로운 합리적 방안 마련”을 위해 다양한 방안을 검토 중에 있다고 해명하였다. 그러나 피의자에게 비밀번호 공개를 강제하는 방안은 헌법상 보장된 자기부죄금지 원칙, 진술거부권, 방어권을 심각하게 침해한다. 또한 대안으로 검토하고 있다는 제3자에게 협력의무를 부과하는 방안 또한 이용자의 프라이버시를 침해하고 보안 취약화로 인한 보안위험을 증대시키기 때문에 반대한다. 

헌법 제12조 제2항은 누구나 형사상 자기에게 불리한 진술을 강요당하지 아니한다고 하여 자기부죄금지원칙을 밝히고 있다. 이러한 원칙하에 형사소송법은 피의자와 피고인의 진술거부권에 대하여 규정하고 있고, 형법 제155조 또한 “타인의” 형사사건 또는 징계사건에 대한 증거인멸 등만 처벌할 뿐 자신의 범죄는 아예 구성요건에 해당하지 않는 것으로 규정하고 있다. 이는 형사절차에서 피의자와 피고인의 방어권을 실질적으로 보장하기 위한 최소한의 장치이며 고문을 통한 자백강요 등 반인권적 수사로부터 이들의 인권을 보호하라는 헌법적 요청인 것이다. 그런데 국민의 인권과 법치를 수호해야 할 법무부가 본분을 망각하고 헌법적 요청에 정면으로 역행하는 휴대폰 비밀번호 공개강제법의 도입을 검토하고 있는 것에 경악하지 않을 수 없다. 

그렇다고 하여 디지털 증거의 압수수색에 있어 휴대폰 제조사나 통신사 등 제3자에게 복호화 등 협력의무를 부과하는 방안도 매우 신중히 검토되어야 한다. 법무부에서 연구 대상으로 밝힌 영국, 프랑스, 호주, 네덜란드의 입법례가 그러한 의무를 담고 있다. 우리나라에서도 지난 20대 국회에서 김도읍 의원은 정보에 대한 압수수색 영장 집행 과정에서 정보 또는 정보저장매체의 소유자·소지자·관리자에게 협력의무를 부과하고, 이에 응하지 않는 경우 과태료 및 이행강제금을 부과하는 내용의 형사소송법 개정안(의안번호: 2001352)을 대표발의한 바 있다(위 개정안에서는 과태료 및 이행강제금 부과 대상에 피고인은 제외하는 규정을 두었다). 더 거슬러 올라가면 19대 때는 전기통신사업자에게 감청설비 의무를 지우고 불이행시 이행강제금을 부과하는 법안들이 발의되었는데, 이 또한 디지털 증거 수집을 위한 협력의무 부과라는 점에서 결을 같이 한다. 그런데 이렇게 주로 사업자인 제3자에게 디지털 증거의 압수수색에 대한 협력의무를 부과하는 방안은 궁극적으로는 암호화 기술의 무력화가 필요한데, 이는 모든 디지털 기기와 인터넷 이용자의 프라이버시를 침해하며 보안을 취약하게 만들어 해킹 등 보안위험을 증대시키는 결과를 초래함을 상기해야 한다. 나아가 사인(私人)에게 단지 범죄의 개연성만을 근거로 다른 사인 특히 재판을 통해 유죄가 확정되지도 않은 사인의  프라이버시 침해를 대행해달라는 요구는 자유민주주의 원칙에 반한다.   

정보화 시대에 들어서 디지털 범죄뿐만 아니라 모든 범죄의 수사에 있어 디지털 증거의 수집이 더욱 중요해지고 있다. 그런 측면에서 디지털 증거 압수수색 제도의 개선은 필요하다고 보이지만, 비밀번호 공개강제나 사업자의 협력의무 같은 제도의 도입으로 헌법상 원칙에 반하여 국민의 기본권을 침해하는 일은 없어야 한다. 법무부는 휴대폰 비밀번호 공개강제법을 도입하려는 시도를 즉각 중단해야 할 것이다.

2020년 11월 25일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, [email protected]

지난 11월20일 사단법인 오픈넷은 유럽평의회의 108호 협약의 협의위원회 40차 전체회의에서 해당 회의체의 참관자 지위를 획득하였습니다. 

유럽개인정보보호법(GDPR)은 EU소속 국민들의 정보가 해외로 이전되기 위해서는 도착지 국가가 적정한 개인정보보호법제를 구비하고 있을 것을 요구하고 있습니다(제45조의 “적정성 평가”(adequacy decision)). 적정성 평가에 있어 도착지 국가가 체결하고 있는 국제협약도 주요 고려대상인데 GDPR은 유럽평의회(Council of Europe)의 108호 협약 가입 여부가 중요하다고 명시하고 있습니다(전문 105조). 이와 관련하여 우리나라 정부도 EU에 적정성 평가를 신청하면서 108호 협약 협의위원회에 참관국으로 가입하여 활동해왔습니다.    

108호 협약(Convention 108)은 EU가 GDPR을 제정하기 이전부터 개인정보보호를 전 세계에 확산시키기 위해 유럽평의회(1949년 설립) 소속국가들이 유럽인권협약(1950년 체결)에 근거하여 1981년 체결한 개인정보보호협약입니다. 또한 유럽평의회 소속이 아닌 국가들의 가입도 개방되어 있어 이미 여러 비유럽국가들이 가입하였고, 내용도 변화하는 시대에 맞게 “108호 플러스 협약”으로 강화되었습니다. 여러 시민단체와 정부들이 108호 협약의 해석 및 적용을 관장하고 있는 협의위원회(Consultative Commitee)에 참가하고 있습니다. 오픈넷은 Privacy International, European Digital Rights(EDRi), Australian Privacy Foundation, European Association for the Defence of Human Rights (AEDH), Internet Society에 이어 6번째로 협의위원회에 참가하는 시민단체이며, 이번에 미국 단체인 Access Now와 함께 참관지위를 획득하게 되었습니다.  

오픈넷은 협의위원회에 다양한 의견을 제시함으로써 유럽 수준의 강력한 개인정보보호법제가 우리나라를 포함하여 전 세계로 확산되는 과정을 지원하게 될 것이며, 특히 국제기구의 논의과정을 통해 대한민국의 개인정보보호법이 국제기준을 준수하도록 감시하고 비판하는 역할을 하게 될 것입니다.   

문의: 오픈넷 사무국 02-581-1643, [email protected]

“가명정보 열람권 등 정보주체 권리 보장을 위한 토론회”

지난 2월 개인정보보호법이 개정되면서 유럽의 GDPR처럼 “통계작성, 과학적 연구, 공익적 기록보존 등” 공공의 이익을 위해서는 “가명처리”라는 안전조치를 취하면 정보주체에게 일일이 동의를 얻지 않아도 개인정보를 활용할 수 있는 길이 열렸습니다. 그러나 정보주체에게 보장되었던 개인정보 열람권, 정정·삭제권, 처리거부권 등 정보주체의 권리를 가명처리된 개인정보인 “가명정보”에 대해서는 인정하지 않으면서 부당한 사례가 발생하고 있습니다(개인정보보호법 제28조의7). 개인정보처리자 입장에서도 가명처리된 개인정보, 즉 가명정보의 재식별화가 예외없이 금지되어 있기 때문에 정보주체가 열람권 등 자신의 권리를 행사하고자 할 때도 재식별화를 할 수 없어 권리의 보장을 해주지 못하게 되었습니다(개인정보보호법 제28조의5). 예를 들어, 병원은 개인정보 유출시의 피해를 최소화 하기 위해 입원기록을 가명처리하여 보관할 수도 있는데, 환자가 자신의 입원기록을 보여달라고 해도 가명처리를 한 이상 재식별화해서 보여줄 수 없는 상황입니다. 

이에 비해 GDPR에서는 ‘과학적 연구, 통계, 공익적 기록 등의 목적’을 위해서 이용된 경우에만 열람권, 정정권, 처리거부권 등이 제한되고 있고, 해석상 정보주체의 권리 보장을 위한 가명정보의 재식별화는 자유롭게 허용하고 있습니다. 관련 법개정을 위한 논의를 다음과 같이 하고자 합니다.  

* 본 토론회는 온라인으로만 시청하실 수 있으며, 유튜브 오픈넷 채널에서 라이브 방송으로 진행됩니다. 

• 행사명: 가명정보 열람권 등 정보주체 권리 보장을 위한 토론회
• 일시: 2020년 12월 7일(월) 오후 2시
• 주최: 국회의원 민병덕, 사단법인 오픈넷

• 발제: “가명정보에 대한 열람권 등 정보주체 권리 보장을 위한 개인정보보호법 개정 방향” – 박경신 교수(고려대, 오픈넷 이사)

• 토론
  • 좌장: 유승희 전 국회의원(17, 19, 20대)
    
  • 김선휴 변호사(법무법인 이공, 참여연대 공익법센터)
  • 오병일 대표(진보네트워크센터)
  • 이한샘 과장(개인정보보호위원회 데이터안전정책과) 
  • 최경진 교수(가천대)

문의: 오픈넷 사무국 02-581-1643, [email protected]  

사단법인 오픈넷은 2020. 12. 25. 민간 데이터의 경제ㆍ사회적 생산, 거래 및 활용 등을 위한 기본법인 데이터 기본법안(조승래 의원 대표발의, 의안번호: 2106182)에 대한 반대의견을 제출했다.

제정안은 1) 개인데이터를 “개인과 관련된 데이터”라고 정의하여 개인데이터가 무엇인지 전혀 예측할 수 없어 명확성의 원칙에 위반되며, 2) 개인정보인 개인데이터의 보호에 제정안을 우선 적용하도록 하여 개인정보보호법의 무력화를 초래하며, 3) ‘공시·공개’된 개인데이터에 관한 특례 도입은 바람직한 측면은 있으나 개인정보보호법의 개정이 필요한 사안이며, 4) 개인데이터 이동권의 도입은 개인정보보호법에 먼저 도입되어야 하고, 데이터주체의 권리를 제한하고 있어 이동권의 본질을 형해화할 뿐만 아니라 개인데이터 전송 수령주체를 국가가 정한 일부 사업자로 한정해 데이터 집적과 독점을 강화시킬 우려가 있으며, 5) 시장중심의 의사형성을 불가능하게 하고 민간부문의 창의정신을 저해하는 제도들을 도입하기 때문에 반대한다.

문의: 오픈넷 사무국 02-581-1643, [email protected]

『데이터 기본법안』에 대한 의견서

1. 명확성의 원칙 위반

• 제정안 제2조 제9호는 개인데이터를 “개인과 관련된 데이터”라고 하고 개인데이터가 「개인정보 보호법」제2조제1호에 해당할 경우에는 개인정보로 본다고 규정하고 있음. 즉 데이터가 어느 개인과 관련성만 있으면 개인데이터에 해당하는데, 관련성이란 너무 광범위하고 추상적인 기준으로 이러한 정의로부터는 개인데이터가 무엇인지 전혀 예측할 수 없어 다른 조항들의 해석·적용을 매우 어렵게 만들기 때문에 명확성의 원칙에 위반됨

2. 개인정보보호법의 무력화

• 제정안 제7조 제2항은 개인정보 보호에 관하여 이 법에 특별한 규정이 있는 경우를 제외하고는 개인정보보호법을 따른다고 하고 있음. 그러나 개인정보인 개인데이터는 개인정보보호법에 의해 우선적으로 보호되어야 할 것임. 또한 개인정보가 아닌 개인데이터가 무엇인지 개인데이터의 정의만으로는 전혀 예측이 불가능한 상황에서 개인정보보호법보다 제정안을 우선 적용하는 것은 개인정보보호법의 무력화를 초래할 수 있음. 따라서 본 조항은 삭제되거나 개인정보보호법을 우선 적용하는 것으로 수정되어야 함

3. ‘공시·공개’된 개인데이터에 관한 특례

• 제정안 제13조 제2항은 정보분석의 대상이 개인데이터인 경우에는 그 이용에 데이터주체의 동의를 받아야 한다고 하면서 제2호에 따른 공시·공개된 데이터의 수집은 동의를 받을 필요가 없다고 규정하고 있음

• 호주, 캐나다, 싱가포르 등의 개인정보보호법은 합법적인 절차에 의해 일반적으로 공개된 개인정보(“공개정보”)에 대해서는 개인정보보호법을 적용하지 않는 조항들을 두고 있음. 우리나라에서도 2016년 로앤비 판결(2014다235080)에서 대법원은 “이미 공개된 개인정보는 정보주체의 동의가 있었다고 객관적으로 인정되는 범위 내에서” 개인정보 처리에 정보주체의 별도의 동의가 불필요하다고 판시함. 특히 우리나라는 소위 ‘잊힐 권리’ 도입에 대해 반대하는 여론이 우세함을 감안하여 개개인정보보호법의 적용범위를 프라이버시 보호에 한정하여 표현의 자유와 알 권리가 보장되도록 할 필요가 있음. GDPR도 표현의 자유 행사 목적의 개인정보 처리에 대한 면책을 규정하고 있음. 우리나라 개인정보보호법은 언론의 취재‧보도 목적 정보 처리만을 면책하여(제58조 제1항 제4호) 일반인들의 표현의 자유가 위축되어 있음

• 따라서 위와 같은 입법시도는 바람직한 면이 있지만 개인정보인 개인데이터에는 개인정보보호법이 우선 적용되어야 한다는 오픈넷의 입장에 따라 개인정보보호법 개정이 필요한 사안임

4. 개인데이터 이동권

• 제정안 제15조는 개인데이터 이동권을 규정하고 있음. 본 규정은 올해 도입된 신용정보법상 개인신용정보 전송요구권과 대동소이하며 GDPR의 개인정보 이동권에 기초한 것이라고 보임. 개인정보보호위원회는 최근 개인정보 이동권(전송 요구권)을 개인정보보호법에도 도입하기 위한 2차 개정 계획을 발표했는데, 개인데이터에 개인정보가 포함된다는 점에서 개인데이터 이동권은 개인정보보호법에 먼저 도입되어 적용되어야 할 것임

• 그리고 제15조 제6항은 개인데이터를 제공한 개인데이터처리자가 개인정보보호법 제20조에도 불구하고 데이터 전송 사실을 데이터주체 본인에게 통보하지 않을 수 있다고 하여 데이터주체의 권리를 제한하고 있어 정보주체의 권리 강화가 목적인 데이터 이동권의 본질을 형해화함. 데이터 전송 요청은 데이터주체가 하는 것이어서 데이터주체에게 전송 사실을 통보하지 않을 이유가 없을 뿐만 아니라 데이터주체는 전송 여부에 대해 당연히 알 권리가 있다고 할 것임

• 또한 개인데이터 전송의 수령주체를 본인데이터관리회사 또는 대통령령으로 정하는 개인데이터처리자로 국가가 정한 일부 사업자로 한정해 데이터 집적과 독점을 강화시킬 우려가 있음

5. 과도한 국가후견주의적 제도의 도입

• 데이터 경제의 시대에 데이터 산업 육성과 발전의 기반을 조성하겠다는 입법취지는 바람직함. 그러나 데이터 산업의 특성상 국가후견주의적, 국가주도적 육성과 기반 조성은 지양되어야 하고 국가는 제정안 제3조 제4항에서 천명한 것과 같이 “민간부문의 창의정신을 존중하고 시장중심의 의사형성이 가능하도록 노력”해야 할 것임

• 제정안은 정부 지정 기관에 의한 데이터 가치 평가제(제14조), 정부 주도 데이터유통시스템 구축·운영(제18조), 정부 인증기관에 의한 데이터 품질인증제(제20조)를 도입하고 있음. 그러나 데이터의 가치나 품질은 시장에서 결정되어야 할 사항이고 데이터유통시스템도 통신이나 철도와 같은 기간산업과 달리 민간에 맡기는 것이 훨씬 효율적이라는 점에서 시장중심의 의사형성을 불가능하게 하는 국가후견주의적인 제도이므로 도입에 반대함

• 또한 제정안은 본인데이터관리업 등록제(제16조), 데이터거래사업자 신고제(제22조), 데이터사업자 보험·공제 가입 또는 준비금 적립 의무(제44조)를 규정하고 사업자가 이러한 의무 위반시에는 과태료를 부과할 수 있도록 하고 있음. 이 또한 국가가 데이터 산업의 사업자 유형을 획일적으로 정하고 이에 해당하지 않는 사업은 금지하여 민간부문의 창의정신을 제약하는 국가후견주의적 제도이므로 도입에 반대함

2020년 11월 26일 헌법재판소는 청소년의 스마트폰에 유해정보 차단수단을 강제로 설치하게 하는 전기통신사업법과 시행령 조항들, 일명 “청소년 스마트폰 감시법”에 대해 합헌 결정을 내렸다(헌재 2020. 11. 26. 2016헌마738). 청소년과 청소년의 부모인 청구인들을 대리하여 4년 넘게 헌법소원을 진행한 사단법인 오픈넷은 청소년의 프라이버시와 개인정보자기결정권, 그리고 부모의 교육권을 침해하는 스마트폰 감시법에 대한 헌재의 합헌 결정에 유감을 표한다.

2015년 4월 16일부터 시행된 전기통신사업법 제32조의7은 이통사가 청소년과 전기통신서비스 제공에 관한 계약을 체결하는 경우 청소년유해매체물 및 음란정보에 대한 차단수단을 제공하여야 한다고 하고 있으며, 동 법 시행령 제37조의8은 이통사가 계약 체결 시 차단수단의 종류와 내용 등을 고지하고 차단수단을 설치하도록 강제하고 있고, 계약 체결 후에는 차단수단이 삭제되거나 차단수단이 15일 이상 작동하지 아니할 경우 법정대리인에게 통지하도록 하고 있다. 차단수단이라 함은 스마트폰 애플리케이션을 말하며, 현재 이통사가 제공하는 앱들이 주로 설치되고 있다.

청소년 스마트폰 감시법의 가장 큰 문제는 이통사가 청소년이나 부모의 의사와 상관없이 차단수단을 의무적으로 설치해야 하며, 차단수단의 삭제 또는 비활성화 여부를 확인해서 부모에게 통지해야 한다는 것이다. 이 과정에서 이통사는 차단수단을 통해 청소년이 스마트폰으로 어떤 정보를 검색하고 접근하는지에 대한 정보를 수집하고, 차단수단의 작동 여부를 확인하기 위해 청소년의 스마트폰을 상시 감시해야만 한다. 이로 인해 스마트폰을 사용하는 청소년의 사생활의 비밀과 자유를 침해하고, 청소년과 법정대리인의 개인정보를 수집, 보관, 이용하기 때문에 개인정보자기결정권도 침해한다. 또한 차단수단에 의해 유해정보뿐만 아니라 합법적이고 교육적인 정보도 차단되어 청소년의 알 권리를 침해하며, 차단수단 설치 여부에 대해 청소년 및 법정대리인의 선택권을 인정하지 않아 부모의 자녀교육권을 침해한다.

그런데 헌재는 이동통신사업자의 차단수단 제공의무에 대해 “차단수단을 제공받는 자의 의사에 반하여 이를 설치하여 줄 의무까지 포함되어 있다고 해석하기는 어렵다”고 하면서, 시행령에서 차단수단의 설치 ‘여부’를 확인하도록 규정하고 있는데 이통사에게 차단수단 설치의무가 있다는 것을 전제로 하였다면 이렇게 규정할 이유가 없었을 것이고, 차단수단이 삭제되거나 15일 이상 작동되지 않을 경우 법정대리인에게 통지하도록 규정하고 있는 것도 차단수단 설치에 동의한 경우에만 적용되는 것으로 이러한 절차가 차단수단 설치의무가 포함된 것임을 전제로 하고 있다고 볼 수 없다고 하였다. 따라서 이통사에게 차단수단 “설치” 의무가 없다고 하면서 차단수단 제공의무 관련 조항들에 대한 청구는 각하해버리고 통지 조항에 대해서만 판단했다.

헌재의 입장에 의하면 이통사의 차단수단 제공의무는 “제공”에 그칠 뿐 청소년이나 법정대리인의 동의가 없는 설치는 의무가 아니다. 하지만 이는 이통사들이 스마트폰 감시법 입법 이전에도 차단수단을 “제공”해왔으며, 입법 이후에는 부모나 청소년의 동의 여부를 확인하지 않고 차단수단을 설치하고 설치가 안 된 경우 계속 문자 등을 보내왔다는 점을 간과한 판단이다. 그리고 방송통신위원회는 2016년 법정대리인이 차단수단 이용 거부 신청을 할 수 있게 하는 단서를 신설하는 전기통신사업법 개정안을 국회에 제출하여, 차단수단 설치의무의 문제점을 자인한 바도 있다. 이처럼 헌재가 가장 중요한 쟁점을 심판대상에서 제외해 판단을 회피했다는 점은 매우 실망스럽다.

그리고 헌재는 시행령의 통지 조항에 대해 설치에 동의하여 차단수단을 설치한 경우에만 적용된다고 전제하면서, “청소년이 청소년유해매체물등 차단수단을 삭제하였는지 여부나 차단수단이 작동하지 않도록 하였는지 여부 등은 해당 청소년의 사생활의 비밀과 자유에 속할 뿐 아니라, 청소년유해매체물등을 대하는 해당 청소년의 성향이나 태도 등을 유추할 수 있는 자료로서 청소년의 실명 등의 자료와 결합하여 개인의 동일성을 식별할 수 있게 하는 개인정보에 해당”하기 때문에 통지 조항이 청소년의 사생활의 비밀과 자유 및 개인정보자기결정권을 제한한다고 인정했다. 하지만 통지 조항만으로는 과잉금지원칙에 반하지 않기 때문에 사생활의 비밀과 자유 및 개인정보자기결정권을 침해하지 않는다고 결론을 내렸다.

청소년의 프라이버시와 개인정보자기결정권 침해뿐만 아니라 현재 시중에 나와 있는 차단 앱 다수는 유해정보 차단을 넘어 스마트폰 사용 모니터링, 위치 조회 등 청소년을 감시하는 기능들을 갖추고 있다. 그런데 이렇게 감시 기능을 갖춘 앱은 보안이 취약한 경우가 많아 해커들의 표적이 되며, 청소년을 개인정보 유출, 해킹 등의 보안 위험에 노출시키고 있다. 감시 소프트웨어를 통신기기에 강제로 설치하도록 하는 법은 전 세계적으로도 유례를 찾아보기 어려운데, 이는 감시 앱의 안전성을 담보할 수 없기 때문이다. 그리고 우리나라에서 온라인상 유통되는 청소년유해정보의 경우, 이미 전자적 표시의무 등 필터링을 가능하게 하는 기술이 적용되어 있고 이러한 정보에 접근하기 위해서는 본인확인을 요구하고 있으며, 이때 사용되는 필터링 기술은 차단 앱들이 사용하는 것과 대동소이하기 때문에 결과적으로 동일한 차단수단이어서 굳이 추가 소프트웨어의 설치를 강제할 필요가 없다. 그런데 오픈넷이 제기한 이런 문제에 대해서 헌재는 아무런 판단도 하지 않았다는 점도 실망스러운 부분이다.

청소년의 인권을 침해할 수 있는 차단수단 설치는 청소년과 청소년에 대해 1차적 교육권을 갖는 부모(법정대리인)의 동의, 그것도 차단수단의 기능, 효과, 보안 취약성 등에 대한 충분한 정보에 기반한 동의가 반드시 있어야 할 것이다. 이를 간과한 청소년 스마트폰 감시법은 “청소년 보호라는 명분에 치우쳐” 국가가 청소년의 스마트폰 사용까지 챙기고 간섭하는 것을 허용하는 “전근대적이고 국가주의적일 뿐만 아니라 행정편의주의적인 발상”이다. 그럼에도 불구하고 설치의무가 없다고 보아 대부분의 쟁점에 대한 판단을 회피한 이번 헌법재판소의 합헌 결정에 깊은 유감을 표한다.

2021년 1월 4일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, [email protected]

[관련 글]
없는 편이 더 안전한 ‘청소년 스마트폰 감시 앱’ (허프포스트코리아 17.09.20.)
[웹툰 및 권고] 없는 편이 더 안전해!: 한국의 청소년 스마트폰 감시 앱
[보도자료] 오픈넷, 방송통신위원회의 전기통신사업법 개정안에 대한 반대의견 제출 (2016.12.26.)
[논평] 오픈넷, 시티즌랩과 함께 KT와 LGU+ 스마트폰 감시 앱의 취약점 밝혀 (2017.11.29.)
[논평] 오픈넷, 시티즌랩과 함께 청소년 스마트폰 감시 앱에 대한 보안감사 보고서 발표 (2017.09.12.)
[논평] 부모와 청소년 모두에게 외면받는 ‘청소년 스마트폰 감시법’ (2017.02.02.)
[논평] 오픈넷, 청소년 스마트폰 감시법에 대해 헌법소원 청구 – 전기통신사업법상 차단수단 설치의무 조항은 청소년과 부모의 기본권 침해 (2016.08.30.)
[논평] 스마트보안관이여 잘 가시오! 이제는 청소년 스마트폰 감시법의 폐지를 논의할 때! (2015.11.03.)
[논평] 한국의 청소년들을 위험에 빠뜨리는 스마트보안관 서비스는 즉시 중단되어야 (2015.09.21.)
[논평] ‘딸통법’ 및 ‘청소년 스마트폰 감시법’ 시행 주의보 (2015.04.15.)
스마트보안관은 사라졌지만 감시는 계속된다 (슬로우뉴스 2015.11.16.) 

사단법인 오픈넷은 2021. 1. 7. 데이터의 이용촉진과 데이터산업의 진흥에 관한 데이터의 이용촉진 및 산업진흥에 관한 법률안(허은아 의원 대표발의, 의안번호: 2106820)에 대한 반대의견을 제출했다. 

제정안은 1) 개인데이터 등 주요 용어의 정의가 예측가능성이 없어 명확성의 원칙에 위반되며, 2) 데이터주체가 자신이 처리하는 타인의 개인정보에 대해서도 주권적 권리를 갖고 제3자에게 제공을 할 수 있도록 하여 개인정보보호법을 형해화시키며, 3) 개인데이터 이동권은 개인정보보호법에 먼저 도입되어야 할 것이기 때문에 반대한다.

문의: 오픈넷 사무국 02-581-1643, [email protected]

『데이터의 이용촉진 및 산업진흥에 관한 법률안』에 대한 의견서

1. 결론: 반대의견

• 제정안은 개인데이터 등 주요 용어의 정의가 예측가능성이 없어 명확성의 원칙에 위반되며, 데이터주체가 자신이 처리하는 타인의 개인정보에 대해서도 주권적 권리를 갖고 제3자에게 제공을 할 수 있도록 하여 개인정보보호법을 형해화시키며, 개인데이터 이동권은 개인정보보호법에 먼저 도입되어야 할 것이기 때문에 반대함

2. 명확성의 원칙 위반

• 제정안 제2조 제1항 제3호는 개인데이터를 “개인이 처리한 데이터”라고 하고 「개인정보 보호법」에 따른 개인정보를 포함한다고 규정하고 있으며, 제2조제1항제1호에서 “처리”란 “수집, 생성, 저장, 조합, 분석, 그 밖에 이와 유사한 행위”라고 규정하고 있음. 그러나 개인이 처리하기만 하면 데이터가 데이터를 처리하는 개인에 관한 것이든 타인에 관한 것이든 개인데이터가 되는 것인지, 아니면 데이터를 처리하는 개인에 관한 것만 개인데이터가 되는 것인지 알 수 없음. 즉 이러한 정의로부터는 개인데이터가 무엇인지 전혀 예측할 수 없어 제정안의 해석·적용을 매우 어렵게 만들기 때문에 명확성의 원칙에 위반됨

• 제정안 제9조는 “데이터 주권”이라는 부제 하에 데이터주체가 자신이 처리한 데이터에 대하여 “주권적 권리”를 가진다고 규정하고 있음. 그러나 이러한 “주권적 권리”에 대하여는 아무런 정의를 하고 있지 않은바, 주권적 권리가 무엇인지 전혀 예측할 수 없기 때문에 명확성의 원칙에 위반됨

3. 개인정보보호법의 형해화

• 제정안 제9조는 데이터주체가 자신이 처리한 데이터에 대하여 주권적 권리를 가진다고 규정하고 있음. 그리고 이러한 데이터에는 개인정보 등 개인데이터가 포함된다고 보임. 앞서 본 바와 같이 주권적 권리가 무엇인지 전혀 예측할 수 없어 명확성의 원칙에 위반될뿐만 아니라 타인의 개인정보인 경우에도 데이터주체가 처리하기만 하면 이에 대해 주권적 권리를 갖는 것으로 해석될 여지가 있음. 그러나 개인정보인 개인데이터는 개인정보보호법에 의해 우선적으로 보호되어야 하며 개인정보보호법 상의 권리는 정보주체가 가져야 한다는 점에서 이는 개인정보보호법을 형해화시키는 조항임

• 제정안 제10조는 데이터주체가 자신이 처리한 데이터를 국가ㆍ지방자치단체 및 데이터서비스 제공자 등에게 제공할 수 있다고 하고 있음. 그리고 이러한 데이터에는 개인정보 등 개인데이터가 포함된다고 보임. 개인정보보호법 제17조는 개인정보의 제공시에는 정보주체의 동의를 받도록 하고 있는바, 문언상 타인의 개인정보인 경우에도 데이터주체가 처리하기만 하면 정보주체의 동의 없이 제공할 수 있는 가능성이 있으므로 개인정보보호법을 형해화시키는 조항임

4. 개인데이터 이동권

• 제정안 제12조는 개인데이터 이동권을 규정하고 있음. 본 규정은 GDPR의 개인정보 이동권에 기초한 것이라고 보임. 개인정보보호위원회는 최근 개인정보 이동권(전송 요구권)을 개인정보보호법에도 도입하기 위한 2차 개정 계획을 발표했는데, 개인데이터에 개인정보가 포함된다는 점에서 개인데이터 이동권은 개인정보보호법에 먼저 도입되어 적용되어야 할 것임