「개인정보 보호법」이 2020년 2월에 개정되면서 정보주체의 동의 없이도 과학적 연구 목적으로 개인정보를 가명화하여 이용할 수 있게 되었으나, 「생명윤리법」에는 기존 수집된 정보를 가명화 또는 익명화할 경우 연구목적으로 이용할 수 있는 특례조항들이 존재하고 있다. 2020. 9. 25. 대한기관윤리심의기구협의회(KAIRB) 연례총회에서 박경신 오픈넷 이사(고려대 법학전문대학원 교수)는 위 2가지 법체계가 어떻게 조화하는지에 대해 발표하며 개인정보보호법 개정이 가진 문제점에 대해서도 지적했다.
사단법인 오픈넷은 올해 2월 제정된 소위 “데이터3법” 중 아무런 이유 없이 정보주체의 권리를 제한하는 개인정보보호법 제28조의7[1]을 재개정할 것을 요구한다. “데이터3법”의 핵심취지는 GDPR을 벤치마킹하여 ‘통계작성, 과학적 연구, 공익적 기록보존의 목적(이하, “공공목적”)’으로는 개인정보를 정보주체의 동의 없이 이용할 수 있도록 한 개정법 제28조의2[2]에 담겨져 있다. GDPR은 정보주체들이 열람권, 정정권, 처리제한권, 처리거부권을 너무 많이 행사하는 경우 공공목적이 무산되는 것을 방지하기 위해 공공목적의 이용에 한하여 이들 권리를 제한했다. 그런데 우리나라는 데이터3법을 졸속으로 통과시키면서, 개인정보보호법 제28조의7에서 단순히 가명처리만 하면 정보주체의 권리가 제한되도록 하여 개인정보처리자들이 공공목적 없이도 정보주체들의 권리를 제한할 수 있게 하였다.
즉, GDPR은 공공목적을 위해서는 정보최소화원칙에 부합하는 안전조치(예를 들어, 가명처리)를 적용하면 정보주체의 동의 없이 개인정보를 이용할 수 있으되(GDPR 제89조 1항), 공공목적으로 처리될 때는 제15조(열람권), 제16조(정정권), 제18조(처리제한권) 및 제21조(처리거부권)에 규정된 권리의 적용을 일부 제외할 수 있다(89조 2항)고 하였다. 이에 비해 우리나라 개인정보보호법 제28조의7은 “가명정보는 [고지권, 파기권, 통지권, 정정권, 삭제권 등]의 규정을 적용하지 아니한다고 되어 있을 뿐이다. 자신에 대한 정보에 대한 열람권, 정정권 등 중요한 권리들이 GDPR 하에서는 공공목적 이용에 한해서 가명처리까지 이루어져야 제한되지만 우리나라 법은 공공목적과 무관하게 가명처리만 되면 정보주체의 권리들이 모두 제한되는 것이다.
이 차이는 형식적 차이 이상의 심각한 혼란을 초래하고 있고 정보인권을 심대하게 침해할 것이다. 정보처리자들은 과학적 연구, 통계작성 등의 목표도 없이 가명처리를 하는 것만으로 정보주체들의 권리를 제한할 수 있게 되었다. 예를 들어 통신사들은 이용자들에 대해 가지고 있는 개인정보를 가명처리하고 재식별키를 제3자에게 보관시키게 되면 이용자들이 자신들에 대해 통신사가 가지고 있는 정보를 열람하겠다고 해도 보여주지 않아도 된다.
더 아이러니한 것은 정부는 가명처리가 정보주체에게 미치는 위험을 감지했음에도 입법불비를 인정하고 개선하려 하지 않고 정보처리자에게 가명처리를 절차적으로 매우 하기 어려운 일로 만들어버렸다. 이에 따라 최근 8월에 개인정보보호위원회가 발표한 가명정보가이드라인(가명처리편)은 전 세계에서 유일무이하게 가명처리에 엄격한 절차적 요건을 부과하고 있다. 하지만 가명처리는 전 세계적으로 개인정보보호를 위해 장려되는 조치로서 당연히 정보주체의 동의 없이 할 수 있어야 한다. GDPR도 제32조와 제40조에서 가명처리는 모든 개인정보처리자가 기본적으로 해야 하는 보호조치로 명시하고 있다. 심지어 우리나라의 경우에도 법으로 주민등록번호는 반드시 암호화하여 보관하도록 하여 유출되더라도 식별화 피해를 최소화하도록 하고 있는데(개인정보의 안전성 확보조치 기준 제7조) 여기서 암호화란 정보보호 상으로는 가명처리의 스펙트럼 속의 한 방식일 뿐이다. 그런데 이렇게 가명처리를 어렵게 만들어 놓으면 개인정보처리자들은 프라이버시 보호를 위한 자발적인 가명처리를 하지 않게 되어 유출시 위험이 더 높아질 수밖에 없다.
결국, 가명처리 이전에는 개인정보보호를 위해 장려되고 활발하게 이루어져야 할 가명처리를 어렵게 만들어서 개인정보보호가 약화되고, 가명처리 이후에는 열람권, 삭제권 등 정보주체의 권리가 제한되어 더욱더 개인정보보호가 약화되는 최악의 상황이 만들어져버렸다. 이 상황에서는 개인정보보호에 대한 양보의 대의명분으로 제시되는 공공목적 개인정보 활용이 이루어지기도 어렵지만, 이루어질 경우에도 너무나 위험하게 되었다. 지금이라도 GDPR을 벤치마킹하겠다는 취지를 살려서 제28조의7을 개정하여 ‘과학적 연구, 통계작성, 공익적 기록보전’의 목적을 위해 가명처리된 정보에 대해서만 권리제한이 이루어지도록 하고 가명처리 자체는 모든 개인정보처리자가 활발하게 하도록 장려하는 보완조치들이 이루어져야 할 것이다.
이와 함께 사단법인 오픈넷은 지난 4월 위 문제를 포함하여 개인정보보호법의 개정 및 보완 요구를 하면서 ‘과학적 연구’의 정의에 연구결과가 논문 등의 형태로 공개되어야 한다는 요건을 포함할 것과 개인정보 결합시 결합키관리기관과 결합기관을 분리할 것도 요청하였다. 결합키관리기관과 결합기관의 분리는 <가명정보의 결합 및 반출 등에 관한 고시[시행 2020. 9. 1.] [개인정보보호위원회고시 제2020-9호, 2020. 9. 1., 제정]>를 통해서 어느 정도 해결이 된 반면, ‘과학적 연구’의 결과 공개 요건은 아직도 개선되어 있지 않다. 재개정을 통해 이 문제도 같이 해결할 것을 요구한다.
________________________________
[1] 제28조의7(적용범위) 가명정보는 제20조, 제21조, 제27조, 제34조제1항, 제35조부터 제37조까지, 제39조의3, 제39조의4, 제39조의6부터 제39조의8까지의 규정을 적용하지 아니한다.
[2] 제28조의2(가명정보의 처리 등) ① 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다.
② 개인정보처리자는 제1항에 따라 가명정보를 제3자에게 제공하는 경우에는 특정 개인을 알아보기 위하여 사용될 수 있는 정보를 포함해서는 아니 된다.
2020년 9월 25일
사단법인 오픈넷
문의: 오픈넷 사무국 02-581-1643, [email protected]
[관련 기자간담회 개최]
[관련 글]
[공동 논평] 개보위 역할 인식 아쉽다 – 개인정보 보호위원회는 정보주체 권리 보호에 더 적극적이어야 (2020.09.22.)
[논평] 개인정보보호법 가명화 도입, 입법불비부터 선결되어야 GDPR 수준의 정보보호 할 수 있다. (2020.04.09.)
사단법인 오픈넷은 2020. 11. 24. ‘통신자료’의 명칭을 ‘통신이용자정보’로 명확하게 규정하고 당사자에게 정보제공사실을 통지하는 절차를 신설하는 전기통신사업법 일부개정법률안(허은아의원 대표발의, 의안번호: 2104821)에 대하여 다음과 같이 찬성의견을 제출했다.
문의: 오픈넷 사무국 02-581-1643, [email protected]
가. 주요내용
나. 통신자료의 명칭 변경에 대한 의견
다. 통신이용자정보제공 통지 제도 신설에 대한 의견
사단법인 오픈넷은 지난 3월25일 EU개인정보보호관과 EU집행부에, 대한민국에 대한 GDPR적정성(adequacy) 평가를 함에 있어 우리나라 법이 가명정보에 대해 열람권 등의 정보주체권리를 박탈한 것에 대해 그리고 개인정보의 상업적 이용을 정보주체의 동의 없이 허용하는 ‘과학적 연구’특례의 정의에 있어서 연구내용의 공개를 요구하지 않는 점들을 고려해 줄 것을 요청하는 서한을 발송하였습니다.
GDPR적정성 평가는 EU회원국 시민들의 개인정보가 대한민국으로 이전될 수 있도록 하기 위한 즉 한국의 정보처리자들이 유럽시장에 진출하기 위해서는 필수절차이며(사안별로 비용을 들여야 하는 표준계약을 피하기 위해서는) 현재 아시아에서는 일본만 받은 상황입니다. EU집행부와 EU개인정보위원회는 대한민국과 적정성 결정을 내리기 위한 교섭을 진행 중입니다.
개인정보보호법 제28조의7은 과학적 연구 등의 특별한 목적이 아닌 경우에도 가명화만 되더라도 열람권 등 정보주체의 여러 권리가 박탈됩니다. 28조의5는 일단 가명화가 된 정보는 정보주체가 열람권 등 권리를 행사하기 위해 필요한 경우에도 재식별화를 할 수 없도록 하여 실제로 열람권 등의 정보주체의 권리를 소멸시키고 있습니다. 이렇게 될 경우 많은 정보처리자들이 과학적 연구 등의 특수한 정보처리를 수행하고 있지 않은 상황에서도 정보를 가명화된 상태로 보관한다는 이유만으로 열람권 등 정보주체의 권리 행사를 거부하는 일들이 발생하게 됩니다.
게다가 가명화만으로 이렇게 심각한 권리의 박탈이 발생하므로 가명화의 절차가 더욱 복잡하고 엄격해지면서 GDPR이 장려하고 요구하는 ‘안전조치(safety measure)’로서의 가명화를 하려는 정보처리자도 더욱 어려움을 겪게 되어 결과적으로는 정보주체들의 프라이버시가 더욱 침해됩니다.
또 우리나라 법에서는 가명화된 정보는 정보주체의 동의 없어 과학적 연구목적으로 처리할 수 있게 허용하고 있는데 이때 ‘과학적 연구’가 순수히 사적인 목적이 아니라 과학적 지식의 지평을 넓힐 수 있도록 연구가 공유될 것을 요구한 GDPR 전문 159조의 내용에 대응하는 내용이 우리나라 개인정보보호법에는 없다는 점도 지적하였습니다.
유럽시민들의 개인정보가 국내 정보처리자들에 의해 처리될 때 위와 같은 정보주체권리의 박탈이 이루어진다는 사실 또 ‘안전조치’로서의 가명화가 어려워진다는 사실은 적정성평가절차에 있어서도 중요한 의미를 가지게 될 것입니다. 우리나라 국회와 개인정보보호위원회가 하루 빨리 개인정보보호법의 가명특례조항들을 개정하길 기대합니다.
말레이시아 정부는 지난 1월 비상사태 및 의회해산을 선언한 이후 지난 3월 12일 코로나 바이러스 상황과 비상사태 선포에 대한 ‘유언비어’를 형사처벌하는 소위 “긴급조치 2호“를 선포하였다. 사단법인 오픈넷은 동남아시아 표현의 자유 네트워크(Southeast Freedom of Expression Network, SAFENET)와 함께 이 긴급조치가 현 말레이시아 정부에 의해 남용되어 현재의 초헌법적 상황을 장기화하는 시도에 동원될 수 있다는 점에 우려를 표한다. 이와 관련하여 오픈넷은 지난 3월 15일 아티클19(Article 19), ASEAN Parliamentarians for Human Rights(APHR)와 함께 말레이시아 표현의 자유 및 프라이버시 보호 차원의 논평을 낸 바 있다.
이 긴급조치는 비상사태에 대한 유언비어를 처벌하는 내용을 담고 있는 일종의 ‘허위사실유포죄’이다. 국제인권법은 ‘허위사실유포죄’는 평화와 공익을 보호한다는 명분과는 달리 숱한 역사 속에서 권위주의 정부에 의해 시민들의 진실된 비판을 억압하는 데에 이용되므로 금지되어야 한다는 원칙이 확립되어 있다. 바로 이와 비슷한 이유로, 이번 긴급조치와 비슷한 내용을 담은 법이 2018년 4월에 통과되었다가 국제사회의 반발로 개혁성향의 말레이시아 의회에 의해 2019년 10월에 폐기되었다. 그런데 2021년 긴급조치는 바로 그 법을 되살리고 있는 것이다. 이번 긴급조치는 독일의 소위 네트워크법(NetzDG)을 모델로 삼고 있지만 실상은 전혀 다르다. 네트워크법에는 허위사실유포죄 자체가 없으며 기존 형법이 금지하는 표현에만 적용될 뿐이다.
말레이시아 정부는 비상사태 선포를 통해 의회 통제 없이 법을 만들 수 있게 하고 바로 그 비상사태에 대한 토론을 막기 위해 이번 긴급조치를 통과시켰다. 이와 같은 ‘자기거래’는 1972년 우리나라 유신정권이 부정선거로 통과된 유신개정헌법에 대한 국민의 비판을 막기 위해 바로 그 헌법이 허용하는 긴급조치 1호와 9호를 통해 유신헌법에 대한 ‘유언비어’를 처벌하겠다고 나선 상황과 비슷하다. 한국에서는 이런 역사적 교훈 속에서 긴급조치 1호의 ‘유언비어유포죄’도 2009년 새롭게 집행되던 ‘허위사실유포죄’도 모두 위헌결정이 내려져 있다. 현재 말레이시아는 독립 후 60년 만에 처음으로 야당이 2018년 5월 선거를 통해 집권한 후 야당연합 내 개혁세력이 정권을 이양받기 직전에 보수세력 중심의 정계개편이 이루어졌으며, 보수세력이 다시 아슬아슬하게 우위를 점하던 상황에서 코로나 사태를 빌미로 지난 1월 비상사태가 선포되었다. 이번 긴급조치는 비상사태 상황을 장기화하는 도구가 될 수 있는 것이다.
긴급조치는 국제인권상의 다른 흠결도 가지고 있다. 독일의 네트워크법처럼 경찰이나 정보통신부처의 요청이 있는 게시물을 24시간 내에 차단하지 않으면 플랫폼 운영자에게 가혹한 벌금을 매기는데, 이와 같은 조항은 플랫폼이 인지하지 않은 게시물에 대해 책임을 지워서는 안 된다는 국제기준이 된 EU 전자상거래지침을 직접적으로 위반하지는 않으나, 플랫폼 운영자에게 경찰이나 정보통신부처의 모든 차단요청을 합법적인 게시물에까지 적용할 동기를 부여한다. 또, 모든 플랫폼 운영자에게 계정 비밀번호 등의 접근권한 및 통신사실확인자료를 영장이나 기타 사법적 통제 없이 수사기관에게 넘기도록 한 것 역시 문제이다.
이번 ‘유언비어 퇴치’ 긴급조치는 이웃의 미얀마가 겪고 있는 위기를 생각할 때 더욱 걱정스럽다. 위에서 언급했듯 말레이시아는 2018년 4월에도 한 달 후 선거에 영향을 미치기 위해 비슷한 내용의 법이 통과되었었다. 말레이시아의 민주주의 전통은 계속되어야 하며 다른 동남아시아 국가들에 모범이 되어야 한다. 우리는 긴급조치가 폐기되어 코로나 상황뿐 아니라 현재의 초헌법 상황에 대한 자유로운 토론이 허용될 것을 요구한다.
2021년 4월 9일
사단법인 오픈넷
문의: 오픈넷 사무국 02-581-1643, [email protected]
4월 1일 더불어민주당 민병덕 의원은 개인정보 보호법 일부개정법률안(의안번호 2109273)을 대표발의했다. 개정안의 주요 내용은 공익제보 목적의 개인정보 이용·제공을 가능하게 하고 개인정보보호법 제28조의5와 제28조의7을 개정해 가명정보에 대한 정보주체의 열람권 등을 보장하는 내용이다. 사단법인 오픈넷은 데이터3법의 통과 직후부터 제28조의7의 문제를 지적하고 민병덕 의원실과 함께 토론회를 주최하는 등 개정을 위해 노력해왔다. 이번 개정안은 그러한 노력의 결실로 다음 개인정보보호법 개정에 꼭 반영되어야 할 것이다.
개정안의 제안이유와 주요내용에 의하면 “현재 가명정보는 어떠한 경우에도 재식별화가 되지 않도록 하고 있어 정보주체가 열람권과 정정권 등을 행사하려고 할 때도 재식별화를 할 수가 없어 권리보장이 이루어지지 않는 점”이 있고, “가명정보의 재식별화가 완전히 불가능하다는 이유로 가명정보에 대해서는 정보주체의 열람권과 정정권을 제약한 것은 GDPR이 과학적 연구 등 사회적 가치가 있는 연구를 급부로 하여 정보주체의 열람권 정정권 등을 제약하려 한 것과 큰 차이”가 있다. 따라서 “통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 이용된 가명정보”에 대해서만 정보주체의 열람권 등을 제한하고, 다른 목적의 가명정보에 대해서는 정보주체의 권리를 행사할 수 있도록 제28조의7을 개정하면서, 정보주체의 권리 행사나 개인정보처리자의 의무를 이행하기 위한 경우에는 예외적으로 재식별화가 가능하도록 제28조의5를 개정하려는 것이다.
그리고 현행법 제18조 제2항은 개인정보를 목적 외의 용도로 이용하거나 제3자 제공을 할 수 있는 경우를 규정하고 있는데, GDPR과 달리 공익제보의 목적 외 이용 또는 제공을 허용하고 있지 않아 공익제보를 가로막고 있다. 이에 개정안은 “공익을 위하거나 개인정보처리자의 공무수행에 필요한 경우”와 “개인정보처리자 또는 제3자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우”를 추가하여 공익제보를 활성화하는 내용도 담고 있다. 이 또한 오픈넷에서 문제의식을 갖고 있었던 부분이다.
현행법에서 가명정보도 개인정보임에도 불구하고 가명정보에 대해서는 개인정보 열람권(제35조), 정정·삭제권(제36조), 처리거부권(제37조) 등 정보주체의 권리를 인정하지 않고 있는 것은 개인정보자기결정권에 대한 큰 침해이다. GDPR에서는 ‘과학적 연구, 통계, 공익적 기록(archiving) 등의 목적’을 위해서 이용된 경우에만 열람권, 정정권, 처리거부권 등이 제한되고 있고, 이를 위해 해석상 정보주체의 권리 보장 즉 열람, 정정, 처리거부 등을 위한 가명정보의 재식별화는 자유롭게 허용되고 있다. 가명처리가 되었다고 해서 과학적 연구 목적 등 이용에 대한 동의요건이 없어짐은 물론 모든 목적의 이용에 대한 열람, 정정, 삭제, 처리거부 등의 권리도 없어진다면 ‘가명정보도 개인정보’라는 GDPR의 대전제에 정면으로 반하는 것이다. 또한 개인정보처리자 입장에서는 가명정보의 재식별화가 예외없이 금지되어 있기 때문에 정보주체의 권리를 보장해주려고 해도 할 수 없는 상황이다. 실제로 이통사들은 동 조항들에 근거해 가명정보 처리에 관한 정보주체의 권리 행사를 거부하고 있고, 참여연대는 개인정보보호법 제28조의7에 대해 헌법소원을 제기했다.
문재인 정부의 4차 산업혁명 정책의 핵심에는 데이터 활용에 기반한 데이터 산업 육성이 있고, 데이터 관련 규제 완화 기조 하에 2020년 데이터3법의 개정이 급하게 이루어졌다. 하지만 그 과정에서 제28조의7과 같이 정보주체의 정보인권을 침해하는 내용이 들어오는 등 졸속입법의 한계가 드러났으며, 개인정보보호위원회는 데이터3법 개정이 이루어진지 1년도 안 되어 개인정보보호법 개정을 준비하고 있다. 민병덕 의원안의 내용이 반영된 개정이 이루어지도록 정부와 국회가 함께 노력할 것을 촉구한다.
2021년 4월 23일
사단법인 오픈넷
문의: 오픈넷 사무국 02-581-1643, [email protected]
[관련글]
[보도자료] 오픈넷·민병덕 의원실, “가명정보 열람권 등 정보주체 권리 보장을 위한 토론회” 개최 (12/7, 유튜브 라이브) (2020.12.01.)
[논평] 오픈넷, EU에 대한민국 GDPR 적정성 평가시 가명정보특례조항에 대한 검토 요구 (2021.03.31.)
[입법정책의견] 개인정보보호위원회의 개인정보 보호법 개정안에 대한 의견 제출 (2021.02.17.)
[논평] 개인정보보호법 가명화 도입, 입법불비부터 선결되어야 GDPR 수준의 정보보호 할 수 있다. (2020.04.06.)
시민들의 의견
댓글 달기