주요 콘텐츠로 건너뛰기

[성명] 최악의 금융개인정보 유출사고, 즉각 소비자 개인정보 보호를 위한 조치를 취하라!

지역

[성명] 최악의 금융개인정보 유출사고, 즉각 소비자 개인정보 보호를 위한 조치를 취하라!

admin | 목, 2020/06/18- 02:57

최악의 금융개인정보 유출사고, 즉각 소비자 개인정보 보호를 위한 조치를 취하라!

– 최악의 유출사태에도 불구하고 회피로 일관하고 있는 금융당국

– 조속히 피해 사실을 확인하고 정보주체에게 유출 사실을 고지하라.

– 개인정보 유출 기업에 책임을 묻고 피해자에게 보상하라.

– 정보주체 동의없는 무분별한 개인정보 활용을 중단하라.

1. 사상 최악의 금융개인정보 유출사고가 발생했다. 언론보도에 따르면, 현금자동입출금기(ATM), 카드가맹점 포스단말기, 멤버십가맹점 서버 등 해킹을 통해 1.5테라바이트(TB) 분량의 금융개인정보가 유출되었다고 한다. 유출된 개인정보에는 카드 번호, 유효 기간, 비밀번호 암호화값 등 신용·체크카드 정보, 은행계좌번화, 주민등록번호, 휴대전화번호 등이 포함되어 있다. 해당 언론에 따르면 데이터 용량으로 추정하였을 때 약 412억건 규모라고 하지만, 문제는 수사기관이나 금융당국조차 정확한 피해 규모와 상황도 파악하지 못하고 있다는 것이다.
2. 개인정보 유출이 발생하면 가능한 빨리 피해 사실을 파악하고 정보주체에게 이 사실을 통지하는 등 소비자 개인정보 보호를 위한 조치를 취해야 한다. 그런데 수사기관과 금융당국은 조사가 시작된지 3개월이 되어감에도 불구하고 서로 책임을 미룬채 아직도 정확한 피해 사실조차 파악하지 못하고 있다고 한다. 지금 이 순간에도 소비자들은 자신의 개인정보가 유출되었는지도 모르는 채 금융 피해에 노출되고 있을지 모른다.

3. 금융위원회와 금융감독원 등 금융당국은 금융개인정보의 상업적 활용에는 그렇게 눈에 불을 켜고 적극적이더니 정작 소비자 개인정보 보호는 외면하는 것인가. 지난 신용정보보호법의 개정 과정에서 금융위원회는 2014년 대량 금융개인정보 유출 이후 반성적 차원에서 강화한 규제를 특별한 사정변경 없이 대폭 완화하고 영리목적의 금융개인정보 수집, 활용 범위를 확대한 바 있다. 마치 금융 보안 환경이 개선된 것처럼 떠들었던 금융위원회가 무색하게 이번 사태는 국내 보안 환경이 2014년과 크게 달라지지 않았음을 보여준다. 이미 전 국민의 주민등록번호가 유출되어 있는 상황에서 금융개인정보의 대량유출과 기업들이 가명처리해서 공유하는 개인정보들이 결합했을 때 정보주체에게 얼마나 많은 피해를 야기하게될지 가늠하기 힘들다. 금융 당국은 현재까지 발생한 피해가 없다고 하지만, 내게 어떠한 금융 피해가 발생한다고 한들 언제 유출된 개인정보로 인한 피해인지 어떻게 알 수 있겠는가.

4. 이미 개인정보가 유출된 지 많은 시간이 지났기 때문에, 수사·금융 당국은 정확한 유출 경위와 내용, 예상되는 위험 등을 파악하고 해당 정보주체에게 유출 사실을 고지해주는 것이 급선무이다. 나아가 금융 당국은 사고의 책임 소재를 파악하여 개인정보 유출 기업에 책임을 묻고 재발을 방지할 수 있는 조치를 취해야 할 것이다. 또한 자신의 개인정보가 유출된 소비자들의 추가 피해가 없는지 확인하고 적절한 손해배상이 이루어질 수 있도록 해야한다. 이와 더불어 정보주체의 동의없는 개인정보의 무분별한 공유와 활용을 촉진하는 정책 추진을 즉각 중단할 것을 촉구한다!
우리 단체들은 수사가 조속하게 이루어지고 피해자가 적절한 보상을 받을 수 있도록 끝까지 책임을 물을 것이다.

2020년 6월 15일
경실련 소비자정의센터, 무상의료운동본부, 민주사회를 위한 변호사모임 디지털정보위원회, 사무금융노동조합연맹, 소비자시민모임, 전국민주노동조합총연맹, 진보네트워크센터, 참여연대, 한국소비자연맹

[성명] 최악의 금융개인정보 유출사고, 즉각 소비자 개인정보 보호를 위한 조치를 취하라!

시민들의 의견

댓글 달기

Plain text

  • 웹 페이지 주소 및 이메일 주소는 자동으로 링크로 전환됩니다.
  • 줄과 단락은 자동으로 분리됩니다.
  • 사용할 수 있는 HTML 태그: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd>
이미지
무제한 수의 파일을 이 필드에 업로드할 수 있습니다.
50 MB 한계입니다.
허용된 유형: png gif jpg jpeg.
Enter the YouTube URL. Valid URL formats include: http://www.youtube.com/watch?v=1SqBdS0XkV4 and http://youtu.be/1SqBdS0XkV4.
CAPTCHA
스펨 사용자 차단 질문

개인 의료정보까지 상품화하나

보건의료 데이터 활용 가이드라인 철회하라

지난 8월 28일, 개인정보보호위원회와 보건복지부는 보건의료 데이터 활용 가이드라인(안)을 공개하고 의견수렴을 받고 있다. 그러나 이 가이드라인(안)은 개인 의료정보를 불법적으로 활용, 공유, 결합, 판매하는 것을 허용하는 문제가 있다. 국민의 민감한 의료정보를 보호해야 할 개인정보보호위원회와 보건복지부가 오히려 의료정보의 상업적 활용을 부추기는 가이드라인(안)을 만든 것을 규탄하며 이를 즉각 철회할 것을 촉구한다.

첫째, 개인 의료정보는 개인정보보호법 제23조에서 규정하고 있는 ‘민감정보’이며, 민감정보는 정보주체의 별도의 동의를 받거나 법령에서 허용하는 경우 외에는 그 처리를 엄격하게 제한하고 있다. 가명처리는 ‘개인정보’의 처리이며, 가명정보 역시 개인정보라는 점에서 가명처리를 했다고 제23조를 적용하지 않을 이유가 없다. 산업계는 제3절 가명정보의 처리에 관한 특례가 민감정보에도 적용된다고 주장하나 이렇게 될 경우 민감정보의 보호를 별도의 조항으로 두어 보호하고 있는 취지 자체를 훼손하게 된다. 만일 공공적인 의료 연구를 목적으로 개인정보를 활용할 필요가 있다면 법에서 그 허용범위와 절차를 명확하게 규정할 필요가 있다. 현재 명확한 규정이 없는 상황에서는 보호위원회와 보건복지부는 정보주체의 권리를 보호하는 방향으로 해석하는 것이 합당하다.

둘째, 개인정보보호법에 대한 해석과 별개로, 개인 의료정보의 경우 의료법으로도 보호되고 있다. 의료법에서는 환자들의 개인 의료정보를 환자가 아닌 다른 사람에게 열람하게 하거나 제공하지 못하도록 하고 있다(21조). 그런데 가이드라인(안)은 ‘가명처리하여 환자식별력이 없는 진료기록(정보)’에는 의료법이 적용되지 않는다고 해석하고 있다. 그러나 가명정보 역시 개인정보라는 점에서 이러한 가명처리된 진료기록에는 의료법이 적용되지 않는다는 해석은 아무런 근거가 없다.

그러면서도 가이드라인(안)은 “정보 주체의 인권 및 사생활 보호에 중대한 피해를 야기할 수 있는 정보에 대해서는 본인 동의를 받아 활용을 원칙”으로 한다고 하고 있다. 보호위원회와 보건복지부 역시 개인 의료정보가 환자들의 인권을 위협할 수 있는 민감한 개인정보로 인지하고 있다. 그럼에도 불구하고 가명처리하면 의료법이 적용되지 않는다고 해석하는 것은 자기모순일 뿐만 아니라 환자 정보주체 보호라는 부처의 의무를 외면하는 처사이다.

셋째, 가이드라인(안)은 법령에서 규정해야 할 사항들을 가이드라인으로 처리하고 있다. 예를 들어, △ 정신질환 및 처방약 정보 등 정보 주체의 인권 및 사생활 보호에 중대한 피해를 야기할 수 있는 정보에 대해서는 본인 동의를 받아 활용을 원칙으로 하고 있고, △ 기관 내에 「데이터 심의위원회」를 설치・운영하도록 하고 있다. 개인 의료정보의 경우 정보주체의 인권에 치명적인 영향을 줄 수 있음을 보호위원회 및 보건복지부 역시 인지하고 있는 것으로 보인다. 그렇기 때문에 법령에서 명확하게 규정해야 한다. 법령에 근거없는 가이드라인만으로는 민감한 개인 의료정보의 남용을 막기 힘들다.

넷째, 가이드라인(안)은 개인정보 보호원칙을 권고 수준으로 격하하고 있다. 예를 들어, “가명정보를 최초 제공받을 당시 원 개인정보처리자에게 밝힌 목적(X) 외의 목적(Y)으로 처리할 경우 원 개인정보처리자에게 고지할 것을 권장”하고 있는데, 개인정보의 목적 내 처리는 권고 사항이 아니라 준수해야 할 원칙이다. 또한, “데이터 분석 대행 또는 협력연구 등을 통해 익명정보 반출 만으로도 목적을 달성할 수 있을 경우 원 개인정보처리자가 이러한 작업을 수행할 것을 권장”하고 있는데, 익명정보로 목적을 달성할 수 있는 경우 익명정보를 활용해야 하는 것 역시 권장 사항이 아니라 반드시 준수해야 할 원칙이다. 한편, “가명정보 제공에 대응되는 대가를 받는 것은 금지되지 않으나, 사회적인 통념 등을 고려할 때 과도한 데이터 활용 대가는 지양 할 것을 권장”하고 있는데, 이는 권장의 형태를 취하고 있지만 시민사회가 지금까지 주장해온 바와 같이, 사실상 개인정보의 판매를 허용하고 있음을 고백한 것이나 다름없다.

다섯째, 가이드라인(안)은 “가명정보를 활용할 예정이므로 동의 여부는 생명윤리법상 기관심사위원회(IRB) 심의 및 동의 면제 대상이 될 수 있으나 면제 여부에 대해 IRB의 확인 필요”라고 하고 있는데, 이를 보더라도 보호위원회와 보건복지부는 개인 의료정보의 활용에 혈안이 되어 있는 듯하다. 인간대상 연구는 기관심사위원회의 심사가 원칙이며, 가명/익명처리는 당연히 취해야 할 안전조치일 뿐이다. 이것이 국제적인 원칙에도 부합한다.

여섯째, 가이드라인(안)은 정보주체의 옵트아웃(가명처리정지요구) 권리를 명시하면서, 정보주체에게 홈페이지 개시 등 공개적인 방법으로 가명처리정지요구를 접수해야 하고, 요구를 받은 정보주체의 정보는 가명처리의 대상에 포함시키지 말아야 한다고 규정하고 있다. 정보주체의 권리는 당연히 보장받아야 하지만, 이는 동 가이드라인이 아니라, 일반적인 ‘가명처리 가이드라인’에서 규정해야 할 부분이다. 보건의료 정보에만 정보주체의 이 권리가 보장되는 것은 아니기 때문이다. 보호위원회는 정보주체의 권리를 보호하지 않는 개인정보처리자를 강력하게 규제해야 한다.

이번 가이드라인(안)은 개인 의료정보를 비롯한 민감정보 역시 가명처리하면 기업들이 판매, 공유, 결합할 수 있도록 허용하고 있으며, 이는 개인정보보호법 및 의료법 위반의 소지가 큰 만큼 폐기되어야 마땅하다. 또한 정보주체의 권리 보호를 최우선 원칙으로 정책을 수립할 것을 보호위원회와 보건복지부에 촉구한다.

2020년 9월 2일

건강과대안, 경제정의실천시민연합, 무상의료운동본부, 민주사회를 위한 변호사모임 디지털정보위원회, 서울YMCA 시청자시민운동본부, 전국민주노동조합총연맹, 진보네트워크센터, 참여연대, 한국소비자연맹

문의 : 경실련 정책국(02-766-5624)

목, 2020/09/03- 03:48
3
0

“개인정보3법 통과 이대로 안된다.”

– 바른미래당 채이배 국회의원, 시민사회노동건강단체 긴급 기자회견 개최

– 일시 장소 : 2020.1.9.(목) 오전 9:00, 국회 정론관

1. 취지와 목적

● 국회가 패스트트랙법안 중 검경수사권 조정과 관련된 법안들을 처리하기 위해 본회의를 9일 개최하면서 민생법안들도 함께 처리하겠다고 함. 이 민생법안들과 함께 법제사법위원회에 계류되어 있는 개인정보3법(이른바 데이터3법)도 통과시키겠다고 알려지고 있음.

● 그동안 정보인권을 현행보다도 대폭 후퇴시키는 개인정보보호법·정보통신망법·신용정보법 개정안 등 개인정보3법안에 반대해 온 시민사회노동보건소비자운동단체들은 보호조치도 없이 오로지 정보활용에만 초점이 맞춰져 있는 입법에 강력한 우려의 의견을 제시함

● 이대로 개인정보 3법이 통과된다면 지금과는 비교도 할 수 없는 규모와 유형의 데이터범죄, 정보유출 등의 피해가국민들에게 돌아올 것임.

● 국회의 입법권은 국민을 위해 사용되어야 하는데 기업의 이윤을 위해 충분한 안전장치도 없이 정보주체의 권리를 일방적으로 희생할 것을 요구하는 것은 국민의 대표기관이 할 일이 아님.

● 이에 시민사회노동건강소비자운동단체들은 국회정론관에서 개인정보3법안의 처리 중단을 요구하고 최소한의 보호조치를 마련한 후 다시 논의할 것을 요구하는 긴급기자회견을 아래와 같이 개최함.

● 이번 기자회견은 개인정보3법안이 정보활용과 정보인권의 조화를 이루는 방향으로 개정되어야 한다고 주장하며 입법활동을 해 온 바른미래당 채이배 국회의원의 소개로 진행됨.

2. 개요

● 제목 : “개인정보 3법 통과 이대로는 안 된다.”

● 일시 장소 : 2020. 1 9(목) 9시 / 국회 정론관

● 주최 : 국회의원 채이배·건강과 대안·경제정의실천시민연합·금융정의연대 보건의료단체연합 무상의료운동본부·민변 디지털정보위원회 민주노총 사무금융노조·서울YMCA·소비자시민모임·진보네트워크센터 ·참여연대·한국소비자연맹·함께하는시민행동

● 발언
-소비자시민모임 윤명 사무총장
한국소비자연맹 정지연 사무총장
경실련 김보라미 소비자정의센터 운영위원, 윤철한 정책실장
민주노총 사무금융노조 이재진 위원장, 백정현 교육국장
참여연대 한상희 정보인권사업단장, 이경민 간사, 이지은 간사
보건의료단체연합 진전한 정책국장
진보네트워크센터 정선화 간사
공공운수노조 방은숙 의료연대본부 조직국장

● 문의 : 윤철한 경실련 정책실장 010-3459-1109, 이지은 참여연대 간사 010-7365-2037
기자회견문은 첨부파일 참고.

200109_기자회견자료_데이터3법 국회처리 반대

목, 2020/01/09- 18:41
2
0

 

법무부는 “휴대전화 잠금해제법” 제정 논의

즉각 중단하라

 
법무부(장관 추미애)가 11월 12일과 13일 보도자료를 통해 채널A 사건 피의자인 한동훈 법무연수원 연구위원 사례와 해외 입법례를 언급하며 휴대폰 비밀번호 제출을 강제하는 ‘휴대전화 잠금해제법’의 제정 의사를 밝혔다. 디지털 증거 압수수색의 실효성 제고를 그 취지로 내세우고 있다. 그러나 이는 공권력에 맞선 개인의 방어권을 허물고 헌법적 가치를 훼손하는 중대한 오류로서, 경실련은 법무부가 즉각 동 제도의 도입 연구 등 논의 일체를 중단할 것을 요구한다.

우리 헌법과 형사소송법이 실체진실주의의 현실적 요청에 앞서 국민의 인권과 피의자・피고인의 방어권 보장을 우선시하고 있음은 이미 상식이다. 누구나 자신에게 불리한 진술을 거부할 자기부죄거부의 권리를 헌법 제12조 제2항에서 명시하고 있고, 제17조의 프라이버시권과 제19조의 양심의 자유 등 법무부가 저촉한 헌법규정이 적지 않다. 또한 무죄추정의 원칙, 임의성 없는 자백의 배제원칙, 위법수집증거배제법칙 등 개인의 인권과 방어권 보장을 위한 형사소송법상의 실천원리들 또한 그 뒤를 잇고 있다. 다시 말해, 이러한 법무부의 도입논의는 우리 헌법과 형사소송법의 이념에 정면으로 배치되는 것이다.

이에 대하여 법무부는 스스로 “자기부죄금지원칙 및 양심의 자유, 사생활 보호와 조화로운 합리적 방안 마련”해보겠다는 입장인데 여기서 그 마련된 방안이 ‘진정 합리적인가’ 또는 ‘얼마나 조화로운가’는 핵심이 아니다. 수사의 주체가 아니라 인권수호의 주체라는 법무부가 어떠한 이유로 본연의 임무를 저버린 채 입장의 급선회를 보이는가 하는 점이 오히려 중요하다. 최소한 법무부가 주장할 바는 아니라는 것이다. 따라서 이번 도입논의가 현재의 정국에서 비롯된 특정 사안에 대하여 주먹구구식으로 꺼낸 입법론이라는 점을 의심하지 않을 수 없고, 이를 부정할 수 없는 한 법치주의의 주무기관이 정치적 목적으로 인해 법치주의의 대원리를 흔들고 있다는 비판을 면치 못하게 된다.

법무부 보도자료와 추장관의 개인 SNS에도 근거로 언급된 영국의 입법례 또한 마찬가지다. 영국의 수사권한규제법(RIPA)상 해당 규정은 나름의 엄격한 제한에도 불구하고 결국 오남용으로 귀결되어 영국 스스로는 물론 유럽국가 전반에 ‘타산지석’의 경우로 여겨지고 있다. 해외의 입법 동향을 가장 잘 알고 있어야 할 법무부가 이를 모범적인 사례로 들고 나왔다는 것은 문제다. 나아가 언급한 소수의 국가를 제외한 대다수 국가가 해당 내용을 불비하고 있다는 점은 어떻게 해석할 것인지도 의문이다. 이들 국가에서는 피의자・피고인의 비밀번호 설정이 불가능하거나 모두 임의로 자백하여 수사실무상 별다른 문제가 없다는 것인가?

마지막으로 ‘디지털 증거 압수수색시 협력의무 부과 법안’이라 설정한 명칭도 문제다. 자신의 기기에 대한 로그인 암호를 구두로 수사기관에다 말하는 행위가 도대체 왜 ‘디지털’이자 ‘증거’라는 것인지 납득할 수 없다. 논의의 핵심은 피의자・피고인이 자신의 기기에 대한 접근암호를 말해야 한다는 것 아닌가? 즉 ‘자백’이 ‘강제’된다는 것일 뿐, 디지털 증거와는 아무런 관련도 없다. 한편, 이러한 강제를 두고 ‘협력의무’라고 칭하는 것도 문제다. 국가의 강제를 협력으로 미화한다면 그 자체가 이미 기본권 침해적 발상이기 때문이다.

요컨대 이번 사태와 관련한 법무부의 발상은 매우 부적절하다. 우리 헌법과 형사법 체계의 근본원리에 상치되는 것도 문제이거니와, 그 근거로 내세운 내용들도 하나같이 타당하지 못하기 때문이다. 무엇보다 가장 심각한 문제점은 ‘인권수호’의 주역이어야 할 법무부가 ‘인권테러’적 발상을 하고 있다는 점이다. 이에 경실련은, 이렇듯 터무니없는 ‘휴대전화 잠금해제법’ 제정 논의를 즉각 중단하고 법무부가 조속히 본래의 역할로 복귀하여 국민의 인권수호와 법치주의의 실천에 전념해주길 촉구한다.
 

2020년 11월 17일

경제정의실천시민연합

첨부파일 : 20201117_성명_법무부는휴대전화잠금해제법제정논의즉각중단하라.hwp
첨부파일 : 20201117_성명_법무부는휴대전화잠금해제법제정논의즉각중단하라.pdf

 
문의 : 경실련 정책국(02-766-5624)

화, 2020/11/17- 19:21
2
0

가명정보 결합 및 반출 고시(안)에 대한 시민사회 공동 의견서 제출

– 개인정보보호법 및 신용정보보호법 시행령(안)에 대해
시민사회가 지적한 문제점 여전히 존재정보가 결합될수록 식별 가능성 높아, 시행령 또는 고시에 명확한 기준 있어야

6월 16일, 경제정의실천시민연합 소비자정의센터, 무상의료운동본부, 민주사회를 위한 변호사모임 디지털정보위원회, 서울YMCA 시청자시민운동본부, 연구공동체 건강과대안, 전국민주노동조합총연맹, 진보네트워크센터, 참여연대, 한국소비자연맹 등 9개 시민사회단체는 지난 6월 3일 행정예고된 「가명정보의 결합 및 반출 등에 관한 고시(안)」에 대한 시민사회 공동 의견서를 전달했다.

1. 우선 단체들은 지난 5월 「개인정보 보호법 시행령 일부개정령안」 및 「신용정보의 이용 및 보호에 관한 법률 시행령 일부개정령안」에 대한 의견서에서 가명정보 결합에 관한 조항이 개선될 필요성이 있다고 짚은 바 있다. 하지만 시민사회의 의견이 최종 시행령에 어떻게 반영되었는지에 대한 답변은 아직 받은 바 없으며, 이번에 예고된 고시(안)에 비추어 보건대 시민사회가 우려한 문제점은 여전히 존재하는 것으로 보인다.

2. 정보는 결합되면 결합될수록 식별 가능성이 높아진다. 그러나 고시(안)은 여전히 결합 신청 목적이 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 목적’에 부합하는지 판단하는 절차, 연구자의 자격 요건을 검증하는 절차, 결합 데이터 반출에 대한 기준, 해당 결합과 관련된 제반 정보 공개 등 투명성 원칙 등 전반적인 데이터 거버넌스 체제 구축이 제대로 반영되지 않았다. 개인정보보호법 개정안에 가명정보 결합과 관련된 기준이 제대로 마련되지 않은 만큼 시행령이나 고시에서라도 명확한 기준을 세워 철저하게 관리할 필요가 있다.

3. 시민사회가 지난 개보법 시행령(안)에 대한 의견서에서부터 지속적으로 지적해 온 내용은 다음과 같다.

첫째, ‘가명정보의 결합 및 반출 실적 보고서’를 개인정보보호위원회에 제출하는 것 외에 결합전문기관의 홈페이지 등에서 결합에 관련한 최소한의 정보를 공개해 과학적 연구 등 해당 목적에 맞게 가명정보 결합이 이루어지고 있는지 등에 대해 사회적 감독을 받아야 함.

둘째, 개정법에 따르면 전문기관의 가명정보 결합은 가명정보 결합은 “통계작성, 과학적 연구, 공익적 기록보존 등을 위”한 목적으로 수행되어야 한다고 정하고 있음. 그러나 시행령(안)이나 고시(안)에 목적 부합 여부에 대한 심사 여부가 명확하지 않기 때문에, 단순히 결합신청서의 형식적 요건만 충족하면 모든 신청에 대해 결합을 허용할 위험이 있음. 따라서 결합전문기관 내에 (가칭)연구평가위원회를 구성해 해당 결합 신청이 목적에 부합하는지, 더불어 해당 목적을 달성하기 위한 최소한의 데이터만 사용하는지 심사하는 절차를 둘 필요가 있음.

셋째, 시민사회는 지난 의견서에서 이미 “결합에 필요한 연계정보를 생성하는 ‘신뢰할 수 있는 제3자’ 역할을 한국인터넷진흥원이 수행하는 것으로 되어 있으나 시행령에서는 “특정 개인을 알아볼 수 없도록 하는데 필요한 지원업무”로 표현되어 있어 명확하지 않”다고 지적한 바 있음. 고시(안)에서는 ‘결합키관리기관’을 정의하고 있는데, 시행령에서 이를 규정하는 것이 바람직할 것임.

넷째, 안전을 위해서는 데이터 반출이 극히 예외적으로만 허용되어야 하고, 그 기준이 명확해야 함. 그런데 개정법에도 기준이 나와있지 않고 시행령(안)에서도 다시 ‘고시’로 구체적인 판단 기준을 위임하고 있음. 그러나 이번 고시(안)에서도 반출 심사 과정에서의 고려 사항만 규정하고 있을 뿐 반출을 해야만 하는 불가피한 이유에 대한 판단은 하지 않고 있음. 어떤 경우가 가명정보 또는 익명정보로 반출이 가능한지 구체적으로 정하되 원칙적으로 익명정보로 반출하도록 하되 예외적인 사유에 한해(즉, 익명처리를 하면 연구가 불가능할 경우) 가명정보로 반출하도록 제한해야 함. 또한 재식별 가능성이 매우 높기 때문에 최소한 익명처리하지 않는 이상, 원래의 개인정보처리자에게는 반출할 수 없도록 규정하는 것이 보다 명확할 것임.

다섯째, 가명정보의 분석 또는 반출 이후 결합전문기관이 관련 정보를 파기해야 할 의무는 규정하고 있지만, 결합된 데이터를 반출한 경우의 해당 데이터를 반출한 기관이 목적 달성 후에 파기하도록 의무화하는 조항이 없음. 결합된 데이터는 목적 달성 후에 파기되어야 하며, 이에 관한 규정이 시행령 혹은 고시에 포함되어야 함.끝

▣ 붙임1 : 가명정보 결합 및 반출 고시(안)에 대한 시민사회 의견서

가명정보 결합 및 반출 고시(안)에 대한 시민사회 공동 의견서

목, 2020/06/18- 03:14
2
0

가명처리 가이드라인에 대한 의견


8월 5일부터 시행한 개정 개인정보보호법은 정보주체의 권리 보호 관점에서 많은 문제점을 가지고 있을 뿐만 아니라 해석상 모호한 규정들을 다수 포함하고 있음. 그동안 법적 규범력을 가지고 있지 않음에도 기업들의 요구에 따라 행정안전부가 가이드라인을 제작, 배포해 사실상 유권해석처럼 여겨져 온 것은 문제가 있었음. 특히 기업들은 법에서 정한 개인정보 보호 규정과 절차에 따라 관련 조치를 취하고 그에 따른 책임을 지면 됨에도, 행안부가 제작 배포한 가이드라인에 따랐다며 사실상 면책의 근거로 악용해 왔음. 2016년 <개인정보 비식별조치 가이드라인>과 같이 법령 위반의 소지가 있는 가이드라인이 발표될 경우, 오히려 사회적인 혼란을 확대할 가능성이 큼.

이번 개인정보보호법은 해석상 모호한 규정이 다수 있는 등 개정의 여지가 다분하고 따라서 시급히 개정이 필요한 법률에 근거해 급박하게 가이드라인을 제작하는 것은 문제가 있음. 더구나 이번 가이드라인은 정보주체의 권리를 오히려 제한하는 방향으로 법령을 해석하고 있어, 향후 기업들이 가이드라인에 따랐을 뿐이라며 면책사유로 주장할 우려가 큼. 이런 식의 가이드라인이라면 차라리 제정하지 않는 것이 바람직하며, 보호위원회는 “개인정보 보호 기본계획, 법령 및 제도 개선 등”의 역할을 수행해야 하는 설치 이유에 충실하게 현행 법령의 문제를 해결하는 것이 우선 순위가 되어야할 것임. 특히 다음과 같은 문제는 지적하지 않을 수 없음.

1. 개인정보를 지나치게 협소하게 규정하고 있음
개인정보는 특정 개인을 ‘알아볼 수 있는’ 정보인데, 그 주체가 누구인지가 문제가 됨. 관련하여 가이드라인은 ‘개인정보 처리자’의 관점에서 판단하는 것으로 규정하고 있음.

가명처리 가이드라인
– 개인정보에 대한 판단기준은 가명정보처리자가 보유한 정보 또는 접근 가능한 권한 등 상황에 따라 달리 판단하여야 함 (가이드라인 3p)
– 개인을 ‘알아볼 수 있는‘의 판단기준은 해당 정보를 처리하는 자(정보의 제공 관계에 있어서는 제공받은 자를 포함) (가이드라인 18p)

그러나 이처럼 개인정보 처리자 관점에서 개인정보인지 여부를 판단하게 된다면, 개인정보 처리자가 알아볼 수 없는 경우에는 개인정보가 아닌 것으로 규정이 되므로 개인정보보호법이 적용되지 않으며, 이에 따라 개인정보처리자는 해당 정보를 자유롭게 공개해도 무방할 것임. 이렇게 되면 개인 식별에 필요한 다른 정보를 가지고 있는 제3자가 공개된 정보를 통해 개인을 식별할 수 있게 될 위험이 있음.
이러한 해석은 개정 개인정보보호법의 취지와도 맞지 않음. 개정 개인정보보호법의 애초 발의안(인재근 의원 대표발의)은 개인정보처리자의 관점에서 개인정보 여부를 판단하였으나 국회를 통과한 개정 개인정보보호법은 해당 문구를 삭제하였음.

<인재근 의원 대표발의 개인정보보호법 개정안>제58조의2(적용제외) 이 법은 시간·비용· 기술 등 개인정보처리자가 활용할 수 있는 모든 수단을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보에는 적용하지 아니한다.<개정 개인정보보호법>제58조의2(적용제외) 이 법은 시간ㆍ비용ㆍ기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보에는 적용하지 아니한다.

이러한 해석은 한국 정부가 현재 적정성 결정을 추진하고 있는 유럽연합의 개인정보보호법(GDPR)의 규정과도 상충함. 유럽연합의 경우 개인정보처리자 뿐만 아니라 제3자의 관점에서도 식별 가능한지 여부를 기준으로 하고 있음.

GDPR recital 26
가명화를 거친 개인정보는, 추가 정보를 사용하여 해당 자연인을 확인할 수 있는 경우 식별 가능한 자연인에 관한 정보로 간주되어야 한다. 자연인이 식별 가능한지 아닌지를 판단하기 위해서는, 자연인을 직간접적으로 식별하기 위해 개인정보처리자나 다른 사람에 의해(either by the controller or by another person) 사용될 합리적 가능성이 있는, 개인 특정(single out) 등 모든 수단을 고려해야 한다.

어떤 수단이 자연인을 식별하기 위해 사용될 합리적 가능성이 있는지 확인하기 위해서는, 처리 시점에 이용 가능한 기술과 기술 발전 을 감안하여 식별에 필요한 비용과 시간 등 모든 객관적 요소를 고려해야 한다.개인정보 자기결정권의 수호자가 되어야 할 개인정보보호위원회의 첫번째 가이드라인에서 이처럼 개인정보의 개념을 협소하게 규정하여 정보주체의 보호 범위를 제한하려고 하는 것은 납득하기 힘든 일임. 개인정보처리자 뿐만 아니라 제3자에 의해서도 식별 가능할 수 있다면 개인정보로 규정되어야 함.

2. 과학적 연구의 범위 모호함
가이드라인은 과학적 연구에 대해 여전히 포괄적으로 서술하고 있을 뿐, 어떤 연구가 과학적 연구에 포함되고 어떤 것이 되지 않는지 구체적으로 설명하고 있지 않음. 과학적 방법을 적용하지 않는 연구를 거의 상상할 수 없다는 점에서, 가이드라인에 따르면 ‘연구’라고 주장하는 모든 활동에 가명정보를 활용할 위험이 있음. 그렇게 되면 그나마 ‘통계작성, 과학적 연구, 공익적 기록보존 등’에 한정하여 동의없이 가명정보를 처리할 수 있도록 한 법률 규정의 취지조차 법적 구속력도 없는 가이드라인이 무력화할 수 있음.

과학적 연구 : 과학적 연구는 기술의 개발과 실증, 기초연구, 응용 연구 및 민간 투자 연구 등 과학적 방법을 적용하는 연구를 의미
– 과학적 연구에는 자연과학적인 연구뿐만 아니라 과학적 방법을 적용하는 역사적 연구, 공중보건 분야에서 공익을 위해 시행되는 연구 등은 물론, 새로운 기술ㆍ제품ㆍ서비스의 연구개발 및 개선 등 산업적 목적의 연구 포함<예시>코로나19 감염자의 생활패턴 분석을 통해 개개인에 대한 위험 경고를 해줄 수 있을 것으로 가설하고, 해당 위험경고를 해 줄 수 있는 App개발을 위해 감염자의 생활습관, 위치, 감염증상, 성별, 나이, 감염원 등을 가명처리하여 활용하는 경우

GDPR의 경우 한국의 개인정보보호법과 달리 ‘과학적 연구(scientific research)’를 정의하고 있지 않음. GDPR이 과학적 연구를 학계(academy) 내의 연구로 제한하지 않고 있는 것은 사실이나, 그렇다고 ‘연구’라고 불리는 모든 활동으로 확대해석하고 있지 않음. 2020년 1월, 유럽개인정보보호감독관(EDPS)는 <개인정보보호와 과학적 연구에 대한 사전 의견서>에서는 “개인정보처리자가 단지 과학적 연구 목적이라고 주장하는 것으로는 충분하지 않다”, “대학의 연구뿐만 아니라 비영리 단체, 정부기관, 영리 기업도 과학적 연구를 수행할 수 있다. 공통된 전제는 과학적 연구가 전체 사회에 유용하고 과학적 지식은 증진하고 지원해야 할 공공재라는 것이다”라고 언급하고 있음. 더불어 “GDPR은 인간에 관한 연구를 규율하는, 오래동안 수용되어 온 윤리적이고 전문적인 규범의 존재를 전제로 한다”고 함.
영국의 개인정보감독기구인 ICO는 GDPR 해설을 위한 홈페이지에서 “과학적 연구는 시장 조사 혹은 고객만족도조사와 같은 상업적 연구 목적의 개인정보 처리에는 적용되지 않는다”고 언급하고 있음. 한국의 개인정보보호법에 따른 ‘과학적 연구’는 유럽 GDPR의 과학적 연구 범위와 다른 것인지, 다르다면 어떻게 다른 것인지 명확하게 제시할 필요가 있음.
개인정보보호법 및 가이드라인이 인정하고 있듯이 “가명정보도 개인정보에 해당”하며 정보주체의 동의없는 개인정보(가명정보)의 활용 및 제3자 제공은 정보주체의 권리를 일정하게 제한하는 것임. 따라서 그러한 제한을 합리화하기 위해서는 상응하는 공공의 이익이 존재해야 함. 그러나 시민사회가 비판해왔듯이, 사회적인 지식 기반 확대에 기여하는 학술 연구와는 달리 기업 내부적인 연구는 해당 기업의 사적 이익에 도움이 될 수는 있어도 공익적 가치는 없기 때문에, 과학적 연구의 범위를 기업 내부적인 연구로까지 확대하는 것은 부당함.
가이드라인의 예시는 의료정보를 포함한 개인정보를 일개 앱 제작업체에 제공할 수 있다고 해석하고 있음. 이는 개인의 의료정보를 목적 외로 활용한 것으로 의료법 위반일 뿐만 아니라, 이런 식으로 병원이나 공공기관이 보유한 의료정보가 민간기업에게 제공될 경우 정보주체에게 미칠 해악이 매우 큼. 또한 민감정보를 정보주체의 별도의 동의 혹은 법령의 근거가 있는 경우 외에 애초 수집 목적 외로 활용하는 것은 근거법인 개인정보보호법 위반 소지가 있음.
만일 개인정보보호법이 개인정보처리자가 스스로 과학적 연구라고 주장하는 모든 활동에 대해서 허용하고자 하는 것이 아니라면, 무엇이 과학적 연구이며, 무엇이 과학적 연구가 아닌지에 대한 보다 구체적인 기준과 사례를 제시할 필요가 있음.

3.가명정보의 파기
가명정보도 개인정보이고 모든 개인정보는 개인정보 처리원칙의 적용을 받아야 함. 개인정보 처리원칙은 모든 개인정보를 특정한 수집 목적에 필요한 한도 내에서 적법하게 처리하고 처리 목적이 다한 경우 파기하도록 하고 있음.
개인정보보호법 시행령 제29조의5에서, 2020년 3월 31일 입법예고된 시행령(안)에 있었던 “③ 개인정보처리자는 가명정보의 처리 목적이 달성되거나 가명정보 보유 기간이 경과한 때에는 그 가명정보를 지체 없이 파기하여야 한다.”는 조항을 삭제한 것은 가명정보를 영구적으로 활용할 수 있도록 한 것은 아닌지 매우 우려스럽지만, 비록 시행령에서 명시적으로 규정되어있지 않더라도 개인정보 보호원칙에 비추어 가명정보 역시 처리 목적이 달성된 경우 파기해야한다고 해석하는 것이 올바를 것임.
가이드라인에서 “개인정보처리자는 가명정보를 처리하고자 하는 경우 가명정보의 처리 목적, 처리 및 보유기간, 제3자 제공 시 제공받는 자, 추가정보의 이용 및 파기 등에 관한 사항을 작성하여 보관하여야 함”(가이드라인 28p)을 명시한 것은 긍정적이지만, 혼란을 방지하기 위해 목적 달성 후 가명정보 파기를 보다 명확하게 강조할 필요가 있음.

4. 정보주체의 권리
가이드라인은 가명처리 및 가명정보에 대한 정보주체의 권리와 관련하여 다음과 같이 짧게만 언급하고 있음. (가이드라인 30p) 개인정보보호위원회의 가이드라인에서 이런 식으로 정보주체의 권리에 대해 신경쓰고 있지 않다는 것은 매우 실망스러움.

○ 가명정보는 적법하게 수집된 개인정보를 법에서 정한 목적 범위 내에서 가명처리하여 활용하는 것으로, 가명정보에 대한 정보주체의 열람, 정정 삭제, 처리정지권에 대한 규정(제35조~제37조)은 적용되지 않음
※ 가명정보 처리 목적을 제한하고 있으며, 가명정보 특성상 어떠한 정보주체에 대한 정보인지 확인할 수 없음

이미 가명처리된 정보를 통해서는 정보주체를 식별하기 힘들다고 하더라도, 개인정보처리자는 누구의 개인정보를 대상으로 가명처리를 하는지 쉽게 알 수 있음. 따라서 최소한 가명처리와 관련한 정보주체의 권리가 어떻게 보장되는지 보다 구체적으로 설명할 필요가 있음. 예를 들어, 정보주체는 자신의 개인정보가 어떠한 목적으로 가명처리되었는지, 가명처리된 후에 누구에게 제공되었는지, 자신의 개인정보를 가명처리해서 활용하는 것을 거부할 권리가 있는지 등에 대해 알 필요가 있으며, 만일 정보주체의 권리를 제한한다면 그 이유가 설득력있게 제시될 필요가 있음.

2020년 8월 27일

경제정의실천시민연합, 민주사회를 위한 변호사모임 디지털정보위원회,서울YMCA 시청자시민운동본부, 전국민주노동조합총연맹, 진보네트워크센터, 참여연대

문의 : 경실련 정책국(02-766-5624)

목, 2020/09/03- 03:36
2
0