최근 코로나 바이러스 대응을 위해 감염자의 과거 위치정보를 국가기관이 강제적으로 수집함은 물론 장래의 위치를 감시하기 위해 손목밴드 등의 기기착용을 강제하는 방안이 논의되고 있다. 이미 시민단체들은 이렇게 수집된 정보가 과도하게 일반에게 공개되는 것에 대한 우려를 표명한 바 있다. 사단법인 오픈넷은 이와 별도로 국가기관이 이 정보를 수집하는 단계에 대해서도 프라이버시 보호의 대원칙을 위배할 우려에 주목한다.  

감염자 및 감염의심자의 위치 확인

코로나 바이러스에 대한 대응으로 강제수사와 비슷한 수준의 프라이버시권 제한이 이루어지고 있다. 감염병예방및관리법 제76의2조 제1항과 관련 시행령에 따르면 보건당국은 스스로의 판단에 따라 감염자나 감염의심자의 인적사항, 진료기록, 출입국 기록, 신용카드 및 교통카드의 사용명세 및 CCTV 내역을 제3자에게 요청하여 수집할 수 있고, 동조 제2항에서는 이중 위치정보에 대해서는 보건당국뿐만 아니라 기초 및 광역지자체장도 경찰을 통해 전기통신사업자 및 위치정보사업자로부터 수집할 수 있다. 본인이 감시대상이 될 줄 모르는 상태에서 자유롭게 돌아다닌 행적이 고스란히 국가에 의해 취득된다. 

국가에 의한 프라이버시 침해를 막기 위한 원칙을 따르자면, 사생활의 비밀이라는 기본권도 법률에 의해 강력한 공익적 목표를 위해 제한될 수는 있다.  압수수색도 국민의 생명과 재산을 지키기 위해 필수불가결한 범죄수사라는 공익적 목표 때문 정당화된다. 하지만 ‘죄를 범하였다고 의심할 만한 정황’과 같은 요건이 충족될 때만 가능하며 그 판단 역시 수사의 진전에 이해관계가 없는 공직자, 즉 판사에 의해 영장이라는 사전서면승인절차를 거쳐야만 이루어진다. 

그런데 감염병예방및관리법 하에서 강제적인 정보수집은 정보수집에 이해관계를 가진 보건당국 스스로의 판단 하에 이루어지며, 심지어 위치정보에 대해서는 선출직인 기초지자체장의 판단에 의해서 이루어진다. 이와 같은 판단이 자의적으로 내려지지 않도록 통제할 안전장치가 없다. 국가기관이 정보주체의 의사에 반하게 영장없이 강제적으로 과거의 위치정보를 수집할 수 있는 상시적 법제를 갖춘 나라는 거의 없어 싱가폴 외에는 확인되지 않고 있다. 이스라엘은 전시대응에 준하는 한시적 입법으로 비슷한 정보수집을 하고 있을 뿐이다. 독일의회에서는 비슷한 조항을 논의하다가 프라이버시 침해를 이유로 폐기된 바 있고, 정보의 중앙수집 없이 감염자의 폰에 근접한 폰들에 자동으로 경고신호를 보내주는 방식을 선호하고 있다. 유럽의 국가들은 궁극적으로 피해자라고 볼 수 있는 감염자를 상대로 세밀히 감시하는 것을 인권침해로 간주하여 기피하고 있는 것이다. 특히 우리나라의 경우 첫째, 신용카드 사용명세, 진료기록부, 상세 위치정보(기지국위치정보뿐 아니라 GPS정보까지)에 이를 정도로 세세한 사적인 정보를 수집하고 있고, 둘째, 심지어 감염자가 아닌 감염의심자까지 감시대상에 포함하고 있는데 감염의심자에는 접촉자가 아닌 “접촉의심자”까지 포함하고 있으며, 셋째, 정보수집을 온갖 범죄에 대한 수사 즉 별건수사를 할 수 있는 경찰을 통해 하고 있어 문제이다. 다만 우리나라법의 해당 조항에서 정보수집·제공 사실을 정보주체에게 통지할 의무, 감염병 예방 및 전파 차단의 목표로만 정보가 이용되어야 한다는 목적 제한, 업무 종료시 지체 없이 파기할 의무를 규정한 것은 그나마 다행이다.  

지금과 같은 전 지구적 위기는 모두에게 처음이며 특히 범죄수사 외의 목적으로 위치정보를 강제수집하는 것이 타당한지, 타당하다면 어떤 기준과 절차를 거쳐야 하는지 국제인권기준은 명백하지 않으며 위와 같은 정보수집을 반대하는 것은 아니다. 한국이 검사를 자신있게 많이 할 수 있었던 것도 위와 같은 제도를 통해 접촉자나 접촉의심자를 다수 찾아낼 수 있었기 때문이기도 한다. 다만 우리나라의 법이 국제적 지평 내에서 어디에 위치하는지를 의식하면서 위 법을 집행하고, 위기상황을 벗어나서 재검토할 것을 요구한다. 

자가격리대상자의 위치감시

정부는 격리대상자의 위치감시를 위해 손목밴드 착용의 강제를 고려하고 있다고 한다. 기존의 자가격리앱은 격리자의 동의에 의해서만 설치되어 설치율이 낮고 폰을 두고 다니거나 위치추적기능을 끌 수 있다는 이유에서다. 

질문에 답이 포함되어 있다고 본다. 자가격리 명령은 감염병예방및관리법 제42조에 따라 이루어지고 이를 어기면 처벌도 된다. 이와 같은 준법의무 외에 자가격리앱이든 위치추적 기기이든 특정 기기나 소프트웨어의 설치를 국민의 신체에 강제하기 위해서는 국민의 대표인 국회가 만든 법적 근거가 필요하다. 하물며 자동차 안전벨트도 이에 대한 구체적인 법률이 있기 때문에 강제될 수 있는 것이다. 과속을 금지하는 도로교통법조항 만을 근거로 속도감시앱을 국민의 자동차에 설치하도록 강제할 수는 없는 것과 마찬가지이다. 자유민주주의 국가에서 법률의 준수는 국민의 윤리적인 책임으로 맡겨져야지 물리적으로 강제한다는 것은 고도의 사회적 동의를 필요로 한다.  

결국 법적 근거가 없기 때문에 자가격리앱의 설치를 격리대상자에게 강제할 수 없었던 것인데 방법이 소프트웨어에서 하드웨어로 즉 손목밴드로 바뀐다고 해서 달라질 것은 없다. 또 설치율 제고가 아니라 탈착방지를 목적으로 하더라도 손목밴드든 뭐든 훼손을 막기 위해서는 어차피 그런 행위를 처벌하는 법률이 필요하기는 마찬가지이고 그런 처벌규정이 없다면 자가격리앱과 똑같은 실효성 문제가 발생한다. 특히 감염자가 아닌 사람에게 접촉이 의심된다는 이유만으로 자가격리 명령이 내려지는 경우 더욱 더 비례성에 어긋난다. 

선거운동기간인 현재 국회를 통해 이와 같은 법적 근거를 마련하는 것은 불가능하고 손목밴드 착용의 강제가 불가능한 이상 정부는 손목밴드 착용 강제 계획을 폐기해야 할 것이다. 이 문제 때문인지 강제가 아니라 동의를 얻어서 시행하겠다는 말도 들리는데 그러면 설치율 제고를 어차피 할 수 없고 탈착이 불가한다면 더욱 설치율은 낮아질 것이다. 

방역격리 명령의 준수를 물리적으로 강제하기 위해 특정기기의 착용을 강제하는 것이 타당한지 국제적인 인권기준 역시 아직 불분명하다. 대한민국은 입국금지와 같은 극단적인 국경통제를 하지 않은 거의 유일한 국가이며 입국자 격리에 대한 감시욕구가 더 강한 것도 사실이다. 그러나 기본권 제한의 대원칙은 지켜져야만 코로나 바이러스 방역을 통해 지키려는 우리 사회의 가치들이 온전히 보호될 것이다. 

2020년 4월 10일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, [email protected]

n번방 사건에 대한 전 국민적인 분노가 그동안 방치되어온 디지털 성범죄에 대한 대책 마련을 조금이나마 견인하고 있다. 4월 23일 정부는 디지털 성범죄 근절 대책을 발표하였으며, 4월 29일 국회 역시 ‘n번방 사건 재발 방지법’이라 불리는 성폭력 처벌법 개정안 및 형법 개정안 등을 통과시켰다. 디지털 성범죄를 실질적으로 근절하기 위해서는 여전히 끊임없는 관심과 노력이 필요할 것이다. 

지난 7일 국회 과학기술정보방송통신위원회 전체회의를 통과한 전기통신사업법 개정안 역시 이러한 노력의 일환이며 입법 취지와 필요성에는 공감한다. 또한 디지털 성범죄 영상의 유통을 차단하기 위한 인터넷 사업자들의 책임성이 강화될 필요가 있다. 그러나 이번 개정안에서 부가통신사업자에게 불법촬영물 유통 방지를 위한 기술적·관리적 조치 의무를 지우는 내용은 이러한 유통 방지 의무가 텔레그램이나 카카오톡처럼 비공개 대화방 서비스에도 적용된다면 이용자의 통신비밀, 프라이버시, 표현의 자유 등 기본권을 침해할 우려가 있다. 사단법인 오픈넷은 21대 국회에서 심도 깊은 논의를 거쳐 기본권 침해 우려가 없는 법안을 낼 수 있도록 현 개정안의 입법을 중단할 것을 촉구한다.

개정안 제22조의5 제2항^[1]은 대통령령(시행령)으로 정하는 부가통신사업자가 성폭력처벌법 제14조에 따른 불법촬영물, 제14조의2에 따른 딥페이크 영상, 아동·청소년이용음란물(이하 “불법촬영물”)의 유통을 방지하기 위한 기술적·관리적 조치를 취하도록 하고, 이러한 조치를 하지 않을 경우 3년 이하의 징역 또는 1억원 이하의 벌금에 처하도록 하고 있다. 시행령의 내용은 아직 정해져 있지 않지만 같은 조항에 대한 현 전기통신사업법 시행령^[2]을 참고하자면 이러한 기술적 조치에는 크게 1. 정보의 제목, 특징 등을 비교하여 해당 정보가 불법정보임을 인식할 수 있는 조치 2. 불법정보를 이용자가 검색하거나 송수신하는 것을 제한하는 조치가 있다. 이 중 정보의 제목, 특징 등을 비교하는 기술적 조치는 키워드 필터링과 해시값/DNA 필터링 두 가지가 있다. 키워드 필터링은 정보의 제목이나 파일명 등이 특정 키워드를 포함하는지를 비교하여 필터링하는 기술이고, 해시값/DNA 필터링은 동영상의 해시값이나 DNA 등 특징을 분석하여 만들어진 데이터베이스에 기반한 필터링 기술이다. 

어떤 방식의 필터링을 적용하든지 간에 사업자가 불법촬영물을 발견하기 위해서는 이용자가 공유하는 정보를 다 들여다봐야 한다. 그런데 만약 대통령령이 정하는 부가통신사업자에 텔레그램이나 카카오톡 등 비공개 대화방 서비스를 제공하는 사업자가 포함되어 이러한 사업자가 대화 내용을 들여다봐야 한다면 이는 헌법 제18조가 보호하는 통신비밀의 침해이자 공개되지 않은 타인간의 대화의 녹음 또는 청취를 금지하는 통신비밀보호법 위반이다. 그리고 이미 아동·청소년의 성보호에 관한 법률 제17조의 ‘기술적 조치’ 의무 조항이 비공개 카카오그룹에 적용되어 이석우 전 카카오 대표가 기소된 사례가 있음에 비추어본다면, 개정안의 기술적 조치 의무가 사적 대화에 대한 감시를 독려할 위험성을 아예 배제할 수 없다. 게다가 종단간 암호화 등 암호화 기술이 적용된 서비스를 제공하는 사업자에게 위와 같은 기술적 조치를 취하라고 한다면, 사업자는 이용자의 통신 내용 감시를 위해 암호화 기술을 무력화시켜야 할 수도 있다. 그리고 불법정보를 검색하거나 송수신하는 것을 제한하는 기술적 조치도 사업자가 이용자들이 어떤 정보를 검색 또는 송수신하는지 알아야만 할 수 있고, 합법정보의 검색 또는 합법정보나 대화의 송수신까지 제한될 수 있으며 이 경우 알 권리, 표현의 자유, 통신의 자유 침해가 발생한다. 개정안이 이와 같이 비공개 대화방을 통한 소통까지 사적 감시하게 하려는 목적이 아니라면, 유통 방지 의무를 부담하는 부가통신사업자의 범위를 대통령령이 아니라 법률에서 명확히 밝혀줄 필요가 있다.

불법촬영물의 유통을 방지하고자 하는 개정안의 입법 취지와 그 필요성에는 공감한다. 그러나 현재 개정안의 문언만으로는 유통 방지 의무를 지는 부가통신사업자의 범위를 예측하기 어려워 자칫 이용자의 통신 비밀과 표현의 자유 침해를 야기하는 것으로 이해될 수 있다. 방송통신위원회나 여당 과방위 수석전문위원의 구두해명으로는 그런 오해를 막을 수 없다. 정부는 유통 방지 의무의 적용 범위를 명확히 밝힐 것과 20대 국회는 현 개정안의 입법을 중단할 것을  촉구한다. 

[1] 제22조의5(부가통신사업자의 불법촬영물 등 유통방지) ② 대통령령으로 정하는 부가통신사업자는 불법촬영물등의 유통을 방지하기 위해 대통령령으로 정하는 기술적·관리적 조치를 하여야 한다.
제95조의2(벌칙) 다음 각 호의 어느 하나에 해당하는 자는 3년 이하의 징역 또는 1억원 이하의 벌금에 처한다.
1의3. 제22조의5제2항에 따른 기술적·관리적 조치를 하지 아니한 자. 다만, 제22조의5제2항에 따른 기술적·관리적 조치를 하기 위하여 상당한 주의를 게을리하지 아니하였거나 제22조의5제2항에 따른 기술적·관리적 조치가 기술적으로 현저히 곤란한 경우에는 그러하지 아니하다. 

[2] 전기통신사업법 시행령 제30조의3(불법음란정보의 유통 방지를 위한 기술적 조치 등) ① 법 제22조의3제1항제2호에서 "대통령령으로 정하는 기술적 조치"란 다음 각 호의 모두에 해당하는 조치를 말한다. 
1. 법 제22조제2항에 따라 특수한 유형의 부가통신사업을 등록한 자 중 법 제2조제13호가목에 해당하는 역무를 제공하는 자(이하 이 조에서 "사업자"라 한다)가 정보의 제목, 특징 등을 비교하여 해당 정보가 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제44조의7제1항제1호에 따른 불법정보(이하 "불법음란정보"라 한다)임을 인식할 수 있는 조치
2. 사업자가 제1호에 따라 인식한 불법음란정보의 유통을 방지하기 위하여 해당 정보를 이용자가 검색하거나 송수신하는 것을 제한하는 조치
3. 사업자가 제1호의 조치에도 불구하고 불법음란정보를 인식하지 못하여 해당 정보가 유통되는 것을 발견하는 경우 해당 정보를 이용자가 검색하거나 송수신하는 것을 제한하는 조치
4. 사업자가 불법음란정보 전송자에게 불법음란정보의 유통 금지 등에 관한 경고문구를 발송하는 조치

2020년 5월 13일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, [email protected]

시민사회단체, 위원장과의 간담회에서 현재까지 개인정보 보호위의 행보에 실망감 표출

보호위 위원장, 주요 쟁점에 대한 추가 논의 약속 

1. 지난 9월 17일(목) 개인정보보호위원회(이하, ‘개보위’) 회의실에서 윤종인 위원장과 9개 소비자, 노동, 보건, 시민사회단체 대표 등이 간담회를 진행했다. 시민사회단체는 간담회에 앞서 개보위에 개인정보보호 주요 쟁점 사안들에 대한 질의서를 미리 보냈다. 시민사회단체는 이미 여러 차례 의견을 제출했음에도 지금까지 시민사회의 의견과 제안이 반영되지 않는 것에 대한 책임있는 답변을 듣고 싶었기 때문이다.

지난 8월 5일 개정 개인정보보호법 시행에 맞춰 출범한 통합 개보위는 국민의 개인정보를 경제적 가치로만 환산해 정책을 추진하는 정부 부처에서 거의 유일하게 헌법의 기본권 측면에서 개인정보보호 수호자의 역할을 할 것으로 기대했지만, 지금까지 개보위의 행보는 여전히 정보주체보다 산업계의 이익을 우선했다는 비판을 받아왔다. 그러나 이번 간담회에서도 개보위는 시민사회를 설득할 만한 충분한 논거를 보여주지 못했을 뿐만 아니라, 개인정보 감독기구로서의 위상에 맞지 않게 정보주체의 권리에 대한 고려가 여전히 미흡했다. 그러나 시민사회와의 첫 대화인만큼 앞으로도 시민사회와 적극적으로 소통할 것을 기대한다.

2. 이날 간담회에서 개보위가 시민사회의 질의 내용에 대해 준비하여 답변(강유민 정책국장이 답변을 하고 윤종인 위원장이 보충하였다)한 내용과 이에 대한 시민사회의 반론은 다음과 같다.

1) 보호위원회의 <가명정보 처리 가이드라인> 상 “개인을 ‘알아볼 수 있는‘의 판단기준으로 “해당 정보를 처리하는 자”로 좁게 해석한 근거 : 우리의 개인정보 개념이 유럽 GDPR과 크게 다르지 않다고 본다. 누군가에게는 식별가능한 정보라도 또 다른 누군가에는 식별이 불가능할 경우 개인정보로 볼 수 없는 것이다.

➔ (시민사회 반론) GDPR과 다르지 않다고 하는데, GDPR에서는 처리자뿐만 아니라 제3자에 의해서도 식별가능한지 여부를 따지고 있으므로 굳이 ‘해당 정보를 처리하는 자를 기준으로 판단’한다는 표현을 포함할 이유가 없다.개인정보 처리자의 자의적 해석에 따라 달라질 수 있도록 한 것은 문제다.

2) 보호위원회가 판단하는 ‘과학적 연구’ 란 구체적으로 무엇이며, 이에 대한 별도의 해설서를 제공할 계획 여부 : 과학적 방법이란, 가설-검증-이론화 과정을 거치는 것을 말한다고 본다. 계속 같이 고민하고 있는데, 과학적 연구가 아닌 것이 뭐냐고 물으면 설명하기가 어렵다. 케이스를 봐가면서 검토하려고 하고 있다. 말은 과학적 연구라고 하지만 의도가 의심되는 경우가 있으면 같이 토론하고 의논해서 진행하겠다.

➔ (시민사회 반론) 유럽개인정보보호감독관(EDPS)이 올해 발표한 예비 보고서를 보더라도 과학적 방법을 사용한다고 모두 과학적 연구로 보는 것은 아니다. 경계가 모호하다면 범위를 좁게 설정했다가 향후 문제가 없으면 넓혀 가는게 권리침해의 위험을 줄일 수 있다. 위원장의 말대로라면 ‘과학적 연구 아닌 것’이 없게 된다.

3) 서로 다른 기업의 가명정보 결합한 후, 결합된 가명정보를 원 개인정보 보유기업에 반출하도록 허용하면서, 반출된 결합 가명정보의 안전한 활용을 어떻게 보장할 것인지 : 만약 원기업이 식별을 하면 엄격한 형사처벌조항, 매출 3% 과징금 등 사후처벌이 있으므로 감히 그렇게 못할 것이다. 데이터결합 제도를 어렵게 만들어낸 만큼 관리감독할 것이고 반출심사위를 외부인사도 참여하게 하여 엄격히 할 것이다.

➔ (시민사회 반론) 결합기관의 안전공간에서 연구하고 결과만 반출하는 방식 등 구조적으로 안전성을 보장할 수 있는 방법을 시민사회가 제안했지만, 산업계의 불편만을 우선적으로 고려한 것이 문제다. 유출 등 사고가 나면 이미 너무 늦어 사전 예방책이 더 중요한데 형사처벌, 과징금 등은 다 사후제재다. 믿어달라고만 하는 것은 너무 안일한 처사 아닌가.

4) 특정 과학적 연구 후에 가명정보의 파기 여부 : 가명정보 보관/파기는 양해해 달라. 파기 관련 법률 상위 규정이 없어서 시행령에 만들었다가 근거가 없어서 제외한 바 있다. 이 부분은 입법처리를 준비하는 것을 검토 중이다.

➔ (시민사회 반론) 목적명확화, 최소수집의 원칙 등 개보법 3조의 원칙을 고려한다면 당연히 개인정보인 가명정보도 특정 목적 달성 후 파기하도록 할 수 있다. 오히려 기본권 제한은 법률에 의해서만 가능하다는 헌법 37조2항에 따르더라도 파기하지 않는 것이 헌법상 기본권에 대한 침해라고 봐야 한다.

5) 복지부와 공동 공개한 ‘보건의료 데이터 활용 가이드라인(안)’은 정보주체의 옵트아웃(가명처리정지요구) 권리를 명시하고 있는 것과 같이 <가명정보 처리 가이드라인>에도 명시할 계획이 있는지 : 당초 안에는 사전적인 처리정지 요구를 할 수 있게 하는 옵트아웃 방안을 제시했고 이를 포함시킬지 여부를 검토 중이다. 가명정보 특례 취지상 28조7에서 37조(개인정보의 처리정지)는 배제하고 있고, 가명처리 전 개인정보를 어떻게 할 것인가가 문제인데 좀 더 검토가 필요하다.

➔ (시민사회 반론) 가이드라인에 포함된 처리정지권을 뺀다면 이건 심각한 문제다. 처리정지권은 법에 규정된 권리이므로 당연히 보장해야 한다. 동의없이 처리하는 것이기 때문에 정보주체의 거부권은 최소한의 권리다.

6) <보건의료 데이터 활용 가이드라인(안)>은 민감정보인 개인 의료정보도 가명정보 처리 특례가 적용되는 것으로 보고 있는데 의료법 위반일 가능성이 있고, 명확한 법적 근거없이 활용할 수 있도록 열어주는 근거 : 국회 속기록에도 남아 있는데, 민감정보여도 가명처리 할 수 있다고 말했다. 가명처리 이후 얼마나 관리하느냐가 관건인 것 같다. 관심갖고 준비할 수 있도록 하겠다. 복지부와 협의하고 있다. 원래 입법은 의료정보 가명화를 염두에 둔 건 아니다.

➔ (시민사회 반론) GDPR에서는 민감정보도 과학적 연구 목적으로 처리할 수 있도록 하지만 회원국의 법률에 근거하도록 하고 있다. 우리나라도 필요하다면 법적 근거를 마련해야지 이렇게 해석상 가능한 것으로 허용하는 것은 문제다.

7) 금융위원회의 쇼핑몰 구매정보를 개인 신용정보에 포함시킨 것에 대한 입장 : 신용정보법과 정합성이 떨어지는 부분이다. 금융위가 신용정보 범위를 확장적으로 해석하고 있는 것은 맞다. 금융위와 의논 중이다. 구매내역정보라고 해도 내용을 들어보면 어떤 경우는 신용평가모델에 쓰이기도 하고 다양해서 계속 논의 중이다.

8) 빅데이터 시대에 대응할 수 있는 정보주체의 새로운 권리나 개인정보처리자의 책임성 강화 조치를 포함한 개인정보보호법 2차 개정 계획 : 법적 정합성, 정보주체 권리 보호에 문제가 있는 등 법개정 필요성 인정한다. 하나하나 심도깊은 논의가 필요한 주제들이다.

9) 행안부, 방통위에 흩어져 있던 개인정보 감독 권한이 보호위원회로 일정하게 통합되었으나 여전히 개인 신용정보에 대한 감독은 금융위 관할로 남아있어 혼란,이를 해소하기 위한 대책 : 신정법에서 잘 규정하고 있는 부분이 있어서 벤치마킹하는 부분도 있다. 관계법령에도 비식별 조치, 비식별 처리 등등 흩어져있는 개별법 문제를 조속히 조사해서 정리할 것. 신정법 이슈는 연구해서 차차 답변하겠다.

➔ (시민사회 의견) 개인정보보호법과 신용정보보호법 간 개념 충돌과 정합성 부족으로 소비자가 피해를 보게 된다. 보호위원회가 개인정보 감독기구로서 제 역할을 적극적으로 해달라. 

10) 기타 : 질의서에 포함된 내용 이외에 시민사회 참가자들은 최근 서울고등법원이 통화내역의 기지국 정보가 위치정보가 아니라고 판결한 것과 개인위치정보의 해석에 대해 보호위의 의견을 요청했고, 보호위 홈페이지에 정보주체의 권리와 관련된 내용이 부족하다는 것을 지적하며 정보주체의 인식 고양을 위한 적극적인 활동을 주문하였으며, 학교 등에서의 개인정보 교육을 위해서도 개인정보 보호법제의 정비가 필요하다는 의견을 제시하였으며 이에 대해 윤종인 위원장도 공감하였다.

3. 시민사회단체 참석자들은 “개인정보 시스템에 대한 신뢰가 클수록 활용도 잘 될 것”이라는 윤종인 위원장의 발언에 공감한다고 밝혔다. 그러나 안타깝게도 지금까지 개보위가 보여준 모습은 개인정보 시스템에 대한 신뢰를 약화시키는 것이었다고 지적했다. 개인정보의 정의, 과학적 연구의 범위, 개인의료정보에 대한 가명정보 특례 적용 등 법에서 명확하게 규정하고 있지 않은 쟁점들에 대해서는 기업들에게 유리하게 해석하고 있는 반면, 특정 연구가 끝난 후의 가명정보 파기, 정보주체의 처리정지권 보장과 같이 정보주체의 권리를 보호하려는 내용은 계속 후퇴하는 것에 대해 어떻게 이해해야 하는지 반문했다. 여러 쟁점에 대한 시민사회의 반론에 대해 윤종인 위원장은 별도의 자리를 만들어서 토론을 계속할 것을 약속하였다. 시민사회는 언제든지 합리적인 토론을 환영하며 여러 쟁점에 대해 정보주체의 권리가 반영되는 방향으로 개정할 것을 촉구한다고 밝혔다. 이날 간담회는 무상의료운동본부, 민주노총·사무금융노조법률원, 민주사회를위한 변호사 모임 디지털정보위원회, 서울YMCA시민중계실,소비자시민모임, 진보네트워크센터, 참여연대, 한국소비자연맹, (사)오픈넷이 참여했다. 

시민사회단체가 개인정보보호위원회에 보낸 질의서 원문

1. 최근 귀 위원회가 공개한 <가명정보 처리 가이드라인>에서는 “개인을 ‘알아볼 수 있는‘의 판단기준은 “해당 정보를 처리하는 자”로 해석하여 개인정보를 좁게 해석하고 있습니다. 이는 2016년 <개인정보 비식별조치 가이드라인>의 해석과 동일합니다. 그러나 이렇게 될 경우 개인정보에 개인정보보호법 적용이 배제되어 개인정보 권리가 침해될 우려가 있습니다. 이는 유럽연합의 GDPR의 개인정보에 대한 해석과도 다릅니다. 귀 위원회에서 이렇게 개인정보를 좁게 정의하는 근거는 무엇입니까.

2. 최근 귀 위원회가 공개한 <가명정보 처리 가이드라인>은 ‘과학적 연구’에 대해 구체적인 해석의 기준을 제공하고 있지 않습니다. 귀 위원회의 판단에, 과학적 연구가 아닌 연구나 활동에는 어떠한 사례가 있을 수 있는지 궁금합니다. 또한 ‘연구’라고 표방하기만 하면 개인정보보호법 상 ‘과학적 연구’에 포함되는 것인지, 아니면 향후에 귀 위원회가 보다 구체적인 해설서를 제공할 계획이 있는지 궁금합니다.

3. 가명정보의 결합과 관련하여 시민사회는 해외 사례를 참고하여 안전하게 결합할 수 있는 방법에 대한 여러 제안을 했지만, 귀 위원회는 서로 다른 기업의 가명정보를 결합한 후, 결합된 가명정보를 원 개인정보 보유기업에 반출하도록 허용하고 있습니다. 이렇게 반출된 가명정보가 안전하게 활용될 것을 어떻게 보장할 수 있는지 설명해 주시기 바랍니다.

4. 가명정보를 과학적 연구 목적을 위하여 애초 보관 기간 이상으로 보유할 수 있도록 허용하는 것과 추후의 계속적인 연구에 활용할 수 있도록 무기한 보유를 허용하는 것은 다릅니다. 과학적 연구, 통계 목적 등을 위해 제3자에게 제공된 가명정보의 보관기간 및 파기에 대한 귀 위원회의 입장은 무엇입니까.

5. 복지부와 귀 위원회가 공동 공개한 ‘보건의료 데이터 활용 가이드라인(안)’은 정보주체의 옵트아웃(가명처리정지요구) 권리를 명시하고 있습니다. 가명정보의 처리는 정보주체의 동의와 무관하게 이루어지므로 정보주체가 원할 경우 최소한 옵트아웃할 권리를 보장하는 것은 당연합니다. 그런데 <가명정보 처리 가이드라인>에는 이러한 권리가 명시되어 있지 않습니다. 옵트아웃 권리에 대한 귀 위원회의 정확한 입장은 무엇입니까.

6. 개인정보보호법 제23조는 민감정보의 경우 정보주체의 별도의 동의나 법령에 근거가 있는 경우에만 처리할 수 있도록 하고 있음에도, 보건의료 데이터 활용 가이드라인(안)은 민감정보인 개인 의료정보도 가명정보 처리 특례가 적용되는 것으로 보고 있습니다. 더구나 개인 의료정보의 목적 외 활용은 의료법 저촉 가능성도 있습니다.  의료정보를 포함한 민감정보를 명확한 법적 근거없이 활용할 수 있도록 열어주는 근거는 무엇입니까.

7. 금융위원회는 쇼핑몰 구매정보도 개인 신용정보로 보고 있습니다. 이에 대한 귀 위원회의 입장은 무엇입니까.

8. 유럽연합과의 GDPR 적정성 결정 협의는 어떻게 진행되고 있으며, 언제쯤 타결될 예정인지요. 또한 논의 과정에서 합의에 어려움이 있는 쟁점은 무엇인지요.

 금융위원회의 관계

개정 개인정보보호법에 따라 그동안 방송통신위원회와 행정안전부에 흩어져 있던 개인정보 감독 권한이 보호위원회로 일정하게 통합되었음에도 불구하고, 신용정보에 대한 감독은 여전히 금융위원회가 담당하고 있습니다. ‘개인정보보호법’과 ‘신용정보법’ 간의 중복과 혼란 역시 완전히 해소되지는 않았고 인터넷쇼핑몰 주문내역 등을 신용정보로 해석하려는 시도 등과 같이 앞으로도 신용정보와 비신용정보에 대한 정의 문제, 활용 및 관리 감독의 문제 등이 반복될 것입니다. 이는 개인정보처리자인 기업 등뿐 아니라 정보주체에게도 큰 혼란을 줄 것입니다. 이에 대해 귀 위원회는 어떠한 문제의식을 갖고 있고 이 문제를 풀기 위해서 어떤 조치를 취할 것인지 알려주시기 바랍니다.

 개인정보보호위원회 운영 및 사업에 대한 의견

1. 8월 5일부터 시행된 개정 개인정보보호법은 빅데이터 시대에 대응할 수 있는 정보주체의 새로운 권리나 개인정보처리자의 책임성 강화 조치는 거의 포함하지 않았기 때문에, 2차 개정이 시급합니다. 개인정보보호법의 추가 개정에 대한 귀 위원회의 계획은 어떠합니까?

2. 통상적으로 개인정보처리자는 조직화되어있어 자신의 입장을 전달하는데 용이합니다. 그러나 정보주체는 흩어져있고 시민, 소비자단체 외에는 정보주체의 입장이 체계적으로 대변될 수 있는 구조가 없습니다. 정보주체의 의견을 수렴하기 위한 귀 위원회의 고민은 무엇입니까? 귀 위원회가 이와 같은 정보 주체의 의견 수렴을 위해 어떤 방법을 마련할 것인지 알려주십시오. 

사단법인 오픈넷은 올해 2월 제정된 소위 “데이터3법” 중 아무런 이유 없이 정보주체의 권리를 제한하는 개인정보보호법 제28조의7^[1]을 재개정할 것을 요구한다. “데이터3법”의 핵심취지는 GDPR을 벤치마킹하여 ‘통계작성, 과학적 연구, 공익적 기록보존의 목적(이하, “공공목적”)’으로는 개인정보를 정보주체의 동의 없이 이용할 수 있도록 한 개정법 제28조의2^[2]에 담겨져 있다. GDPR은 정보주체들이 열람권, 정정권, 처리제한권, 처리거부권을 너무 많이 행사하는 경우 공공목적이 무산되는 것을 방지하기 위해 공공목적의 이용에 한하여 이들 권리를 제한했다. 그런데 우리나라는 데이터3법을 졸속으로 통과시키면서, 개인정보보호법 제28조의7에서 단순히 가명처리만 하면 정보주체의 권리가 제한되도록 하여 개인정보처리자들이 공공목적 없이도 정보주체들의 권리를 제한할 수 있게 하였다. 

즉, GDPR은 공공목적을 위해서는 정보최소화원칙에 부합하는 안전조치(예를 들어, 가명처리)를 적용하면 정보주체의 동의 없이 개인정보를 이용할 수 있으되(GDPR 제89조 1항), 공공목적으로 처리될 때는 제15조(열람권), 제16조(정정권), 제18조(처리제한권) 및 제21조(처리거부권)에 규정된 권리의 적용을 일부 제외할 수 있다(89조 2항)고 하였다. 이에 비해 우리나라 개인정보보호법 제28조의7은 “가명정보는 [고지권, 파기권, 통지권, 정정권, 삭제권 등]의 규정을 적용하지 아니한다고 되어 있을 뿐이다. 자신에 대한 정보에 대한 열람권, 정정권 등 중요한 권리들이 GDPR 하에서는 공공목적 이용에 한해서 가명처리까지 이루어져야 제한되지만 우리나라 법은 공공목적과 무관하게 가명처리만 되면 정보주체의 권리들이 모두 제한되는 것이다.  

이 차이는 형식적 차이 이상의 심각한 혼란을 초래하고 있고 정보인권을 심대하게 침해할 것이다. 정보처리자들은 과학적 연구, 통계작성 등의 목표도 없이 가명처리를 하는 것만으로 정보주체들의 권리를 제한할 수 있게 되었다. 예를 들어 통신사들은 이용자들에 대해 가지고 있는 개인정보를 가명처리하고 재식별키를 제3자에게 보관시키게 되면 이용자들이 자신들에 대해 통신사가 가지고 있는 정보를 열람하겠다고 해도 보여주지 않아도 된다. 

더 아이러니한 것은 정부는 가명처리가 정보주체에게 미치는 위험을 감지했음에도 입법불비를 인정하고 개선하려 하지 않고  정보처리자에게 가명처리를  절차적으로 매우 하기 어려운 일로 만들어버렸다. 이에 따라 최근 8월에 개인정보보호위원회가 발표한 가명정보가이드라인(가명처리편)은 전 세계에서 유일무이하게 가명처리에 엄격한 절차적 요건을 부과하고 있다. 하지만 가명처리는 전 세계적으로 개인정보보호를 위해 장려되는 조치로서 당연히 정보주체의 동의 없이 할 수 있어야 한다. GDPR도 제32조와 제40조에서 가명처리는 모든 개인정보처리자가 기본적으로 해야 하는 보호조치로 명시하고 있다. 심지어 우리나라의 경우에도 법으로 주민등록번호는 반드시 암호화하여 보관하도록 하여 유출되더라도 식별화 피해를 최소화하도록 하고 있는데(개인정보의 안전성 확보조치 기준 제7조) 여기서 암호화란 정보보호 상으로는 가명처리의 스펙트럼 속의 한 방식일 뿐이다. 그런데 이렇게 가명처리를 어렵게 만들어 놓으면 개인정보처리자들은 프라이버시 보호를 위한 자발적인 가명처리를 하지 않게 되어 유출시 위험이 더 높아질 수밖에 없다.

결국, 가명처리 이전에는 개인정보보호를 위해 장려되고 활발하게 이루어져야 할 가명처리를 어렵게 만들어서 개인정보보호가 약화되고, 가명처리 이후에는 열람권, 삭제권 등 정보주체의 권리가 제한되어 더욱더 개인정보보호가 약화되는 최악의 상황이 만들어져버렸다. 이 상황에서는 개인정보보호에 대한 양보의 대의명분으로 제시되는 공공목적 개인정보 활용이 이루어지기도 어렵지만, 이루어질 경우에도  너무나 위험하게 되었다. 지금이라도 GDPR을 벤치마킹하겠다는 취지를 살려서 제28조의7을 개정하여 ‘과학적 연구, 통계작성, 공익적 기록보전’의 목적을 위해 가명처리된 정보에 대해서만 권리제한이 이루어지도록 하고 가명처리 자체는 모든 개인정보처리자가 활발하게 하도록 장려하는 보완조치들이 이루어져야 할 것이다. 

이와 함께 사단법인 오픈넷은 지난 4월 위 문제를 포함하여 개인정보보호법의 개정 및 보완 요구를 하면서 ‘과학적 연구’의 정의에 연구결과가 논문 등의 형태로 공개되어야 한다는 요건을 포함할 것과 개인정보 결합시 결합키관리기관과 결합기관을 분리할 것도 요청하였다. 결합키관리기관과 결합기관의 분리는 <가명정보의 결합 및 반출 등에 관한 고시[시행 2020. 9. 1.] [개인정보보호위원회고시 제2020-9호, 2020. 9. 1., 제정]>를 통해서 어느 정도 해결이 된 반면, ‘과학적 연구’의 결과 공개 요건은 아직도 개선되어 있지 않다. 재개정을 통해 이 문제도 같이 해결할 것을 요구한다.  

________________________________
[1] 제28조의7(적용범위) 가명정보는 제20조, 제21조, 제27조, 제34조제1항, 제35조부터 제37조까지, 제39조의3, 제39조의4, 제39조의6부터 제39조의8까지의 규정을 적용하지 아니한다.

[2] 제28조의2(가명정보의 처리 등) ① 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다.
② 개인정보처리자는 제1항에 따라 가명정보를 제3자에게 제공하는 경우에는 특정 개인을 알아보기 위하여 사용될 수 있는 정보를 포함해서는 아니 된다.

2020년 9월 25일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, [email protected]

[관련 기자간담회 개최]

• 일시: 2020년 9월 29일(화) 오전 10시 ~ 11시
• 장소: 오픈넷 회의실 (서울시 서초구 서초대로50길 62-9, 402호) 
• 위 내용에 대해 설명하는 기자간담회에 참석을 원하시는 기자님은 참가신청을 해주시기 바랍니다.

[관련 글]
[공동 논평] 개보위 역할 인식 아쉽다 – 개인정보 보호위원회는 정보주체 권리 보호에 더 적극적이어야 (2020.09.22.)
[논평] 개인정보보호법 가명화 도입, 입법불비부터 선결되어야 GDPR 수준의 정보보호 할 수 있다. (2020.04.09.)