한국 이통3사 이용자 개인정보 열람청구권 보장 부족한 것으로 나타나

오픈넷 김가연 변호사, 연구의 일환으로 2017년 KT 상대 개인정보 공개청구 소송 제기해 1심 승소, 현재 항소심 진행중

지난 10월 16일 캐나다 토론토 대학교 산하 시티즌랩(Citizen Lab)은 한국, 홍콩, 호주, 인도네시아, 말레이시아 아시아 5개국 Access My Info(AMI) 프로젝트 연구 결과를 발표했다. AMI는 정보통신기업이 이용자에 대한 어떤 정보를, 얼마나, 어떤 목적에 의해 보유하고 있으며, 이러한 내용을 얼마나 공개하는지를 연구하는 프로젝트이다. 사단법인 오픈넷이 참여한 본 연구 결과에서 한국은 연구 대상 국가들 중 가장 강력한 개인정보보호법제를 가지고 있지만, 통신사들은 이용자의 개인정보 열람청구권을 피상적으로만 보장하고 있는 것으로 나타나 제도와 실무 사이의 간극이 큰 것으로 밝혀졌다.

2014년, 시티즌랩과 오픈이펙트(Open Effect)는 민간 기업이 이용자의 개인정보를 어떻게 수집, 보유, 처리, 공개하는지 알아보기 위해 AMI 프로젝트를 시작했다. 연구방법론의 일환으로 일반 대중이 맞춤형 개인정보 열람요청서를 생성할 수 있도록 도와주는 웹 기반 툴을 제공했는데, 이를 이용해 수만 명의 캐나다인들이 통신사에 개인정보 열람요청서를 보냈다. 당시 연구 결과는 기업들 간 대응이 일관되지 않으며, 소비자들이 자신의 개인정보에 접근하는 데 상당한 장벽이 있음을 보여주었다.

캐나다에서의 첫 AMI 프로젝트에 이어, 시티즌랩은 아시아에서 AMI 프로젝트를 진행하기 위한 작업반을 구성했다. 작업반에 한국, 홍콩, 호주, 말레이시아, 인도네시아 5개국의 학자, 변호사, 활동가 및 디자이너가 참여했으며, 한국 연구는 오픈넷이 맡았다. 2016년 1·2차에 걸쳐 진행한 연구에서 밝혀진 것은 이통3사가 모두 온라인 개인정보 열람신청 절차를 제공하고 있기는 하지만, 막상 회신을 받아보면 신청자에 대한 개인정보 자체는 제공하지 않고 KT는 일부 개인정보의 보유 여부만 O, X로 표시해서 제공하고, SKT와 LGU+ 개인정보 처리방침의 사본만 제공하고 있어 이용자의 개인정보 열람청구권을 제대로 보장하고 있지 않다는 것이다.

연구 결과에 기반하여 2016년 10월 오픈넷은 방송통신위원회(이하 “방통위”)에 KT의 부실한 개인정보 열람방식에 대해 진정서를 제출했고, 방통위는 이에 대한 답변으로 2018년 「온라인 개인정보 처리 가이드라인」을 발표하면서 “4. 개인정보 열람·제공 등 요구 운영 기준”에서 “열람·제공 등 요구에 대해 사업자는 개인화 조치된 정보의 형태(성명, 연락처, 로그기록, 쿠키 등)로 이용자가 제공받도록 조치해야 함”을 규정했다. 그렇지만 현재까지 이통3사의 관행은 여전하며, 이는 정보통신망법 제30조 위반으로 과태료 부과의 대상이다. 또한 오픈넷 김가연 변호사는 KT 이용자로서 모든 개인정보를 제공받기 위해 2017년 KT 상대로 개인정보 공개청구 소송을 제기했으며, 2018. 12. 4. 1심 승소 판결을 받고 현재 항소심의 판결을 기다리고 있다.

개인정보 열람청구권은 정보주체의 개인정보자기결정권 행사에 있어 가장 중요한 권리이다. 개인정보를 누가, 어떤 목적으로, 얼마나 오랫동안, 어떤 근거로 제3자와 공유하는지에 대해 알지 못한다면, 정보주체는 동의 철회나 정정·삭제 요구 등 다른 권리를 행사할 수 없고 기업이 그들의 정보를 적절하게 처리하고 있는지 평가할 수 없기 때문이다. 2019년 기준 전 세계 134개국이 개인정보보호법을 가지고 있고, 이론상으로는 대부분의 개인정보보호법이 개인정보 열람청구권을 보장하고 있지만, 실무상 기업들이 이러한 요청에 어떻게 대응하는지에 대한 실증적 연구는 찾아보기 어려웠다. 이번 AMI 연구 결과는 아시아·태평양 지역 최초 개인정보 열람청구권에 대한 실증적 연구라는 점에서 매우 큰 의미가 있다고 할 것이다.

“Access My Info – Measuring Data Access Rights Around the World” 연구 보고서(영문)

Access My Info 연구 보고서 요약

• 우리가 인터넷 연결·통신에 사용하는 서비스를 제공하는 기업은 우리의 개인정보를 어떻게 처리하고 있는가?
• 어떤 유형의 정보를 수집하는가?
• 얼마나 오래 정보를 보관하고 있는가?
• 정보를 제3자와 공유하는가?

개인정보를 누가, 어떤 목적으로, 얼마나 오랫동안, 어떤 근거로 제3자와 공유하는지에 대해 알지 못한다면, 소비자는 그들의 권리를 행사할 수 없고 기업이 그들의 정보를 적절하게 처리하고 있는지 평가할 수 없다.

2019년 기준 전 세계 134개국이 개인정보보호법을 가지고 있다. 많은 개인정보보호법제상 주요한 권리는 개인이 자신이 사용하는 제품이나 서비스를 제공하는 기업에게 보내는 서면 요청인 개인정보 열람요청(Data Access Requests, DAR)을 할 수 있다는 것이다. DAR은 기업이 한 사람에 대해 보유하고 있는 모든 정보를 공개할 것을 요구하며, 이는 언제, 어떻게, 누구에게, 그리고 어떤 이유로 그 사람의 개인정보를 공유하거나 공개하는지 그리고 기업의 개인정보보호 관행과 기업에 적용되는 개인정보보호법 준수에 관한 기타 세부사항을 포함한다. 개인정보 열람요청권은 이론상으로는 다수의 개인정보보호법에 포함되어 있지만, 실무상 기업들이 이러한 요청에 어떻게 대응하는지에 대한 실증적 연구는 찾아보기 어렵다.

2014년 시티즌랩(Citizen Lab)과 오픈이펙트(Open Effect)는 민간 기업이 개인의 개인정보를 어떻게 수집, 보유, 처리, 공개하는지 알아보기 위해 개인정보 열람요청과 관련 법, 정책, 기술을 활용하는 연구 프로젝트인 Access My Info(AMI)를 시작했다. 연구방법론에는 일반 대중이 서로 다른 산업에 맞춘 양식을 기반으로 한 개인정보 열람요청서를 생성할 수 있도록 도와주는 웹 기반 툴이 포함되어 있다.

AMI는 캐나다에 처음 적용되었고, 그 결과 수만 명의 캐나다인들이 통신사에 개인정보 열람요청서를 보냈다. 연구 결과는 기업들 간 대응이 일관되지 않으며, 소비자들이 자신의 개인정보에 접근하는 데 상당한 장벽이 있음을 보여주었다.

캐나다에서의 첫 AMI 프로젝트에 이어, 시티즌랩은 AMI 연구를 아시아로 가져와서 해당 지역에서의 DAR에 대한 대응을 비교적으로 측정하기 위한 작업반을 구성했다. 작업반은 다음과 5개국의 학자, 변호사, 활동가 및 디자이너가 참여했다.

• 홍콩: Lokman Tsui 교수(홍콩중문대), Stuart Hargraves 교수(홍콩중문대), 키보드전선(Keyboard Frontline, 시민사회단체), 인미디어(InMedia, 미디어 그룹), Jason Lee 디자이너
• 대한민국: 김가연 변호사(오픈넷), 박경신 교수(고려대)
• 호주: Adam Molnar 교수(워털루대/디킨대)
• 인도네시아: Sinta Dewi Rosadi 교수(파드자드자란대)
• 말레이시아: Sonny Zulhuda 교수(말레이시아 국제이슬람대)

각 파트너는 각국의 통신사와 ISP에게 개인정보 열람요청서를 보내 고객에 대해 수집하는 정보의 유형, 보유 기간, 제3자와 공유 여부를 잘 알아보고자 했다. 또한 파트너들은 기업들이 요청에 답변하는 방법 즉, 요청의 이행에 얼마나 걸리는지, 요청자의 입장에서 노력이 얼마나 필요한지, 수수료를 청구하는지 또는 어떻게 청구하는지 등도 알아보고자 했다.

각 국가가 고유한 법과 맥락을 가지고 있는 반면, 우리는 이를 관통하는 일반적인 패턴을 발견했다.

아시아의 개인정보보호법제는 역동적: 아시아는 특히 이 연구를 실시하기에 흥미로운 지역이다. 왜냐하면 강력한 개인정보보호법을 가진 국가들과 개인정보보호법이 없거나 제정하는 단계에 있는 국가들을 포함하고 있기 때문이다. 모든 국가의 공통점은 개인정보보호의 요소가 유동적이거나 논쟁의 대상이라는 점이다.

한국은 이 지역에서 가장 강력한 개인정보보호법을 가지고 있지만, AMI 프로젝트를 통해 통신사들이 개인정보 열람요청을 피상적으로 준수하고 있음이 밝혀졌다. 이통3사는 온라인 개인정보 열람신청 절차를 가지고 있었지만, 개인정보 열람신청에 대한 답변으로 KT는 일부 개인정보의 보유 여부 목록만을 제공하고, SKT와 LGU+는 개인정보는 제공하지 않고 개인정보 처리방침의 사본만 제공했다. 이에 대해 AMI 파트너인 오픈넷은 불완전한 답변을 한 KT를 상대로 개인정보 공개청구 소송을 제기했다.

홍콩과 호주에서는 개인정보의 정의에 대한 논쟁을 불러일으켰다. 홍콩의 통신사와 ISP는 인터넷 프로토콜(IP) 주소와 지리적 위치(geolocation) 기록은 개인정보가 아니므로 사용자에게 제공할 필요가 없다고 주장한다. 현재 호주에서 IP 주소는 개인정보의 법적 정의에 포함되지 않는다.

개인정보보호법이 없거나 도입 중인 국가에서는 다른 문제에 직면했다. 말레이시아는 개인정보보호법을 제정했지만 강력하게 집행되지 않고 있다. 인도네시아는 개인정보보호법 초안을 만들었지만 아직 법률로 통과되지 않았다. 결과적으로 두 국가 모두에서 DAR은 기업들로부터 제한적인 회신을 받았다.

각국 통신사의 답변은 요청 사항과 일치하지 않았으며, 법적 요구 사항과 일치하지 않는 경우도 있었음: 전반적으로 통신사의 답변은 불완전했으며, 법적 요구 사항에 따르지 않는 경우도 있었다. 그리고 일반적으로 각국의 통신사들이 개인정보 열람요청을 제대로 처리하기에 충분한 절차를 아직 갖추지 못했다는 것이 확인되었다. 이러한 결과는 법률의 문언만을 검토하는 게 아니라 법률이 현실에서 어떻게 기능하는지 측정하는 것의 중요성을 보여준다.

본 보고서는 일련의 사례 연구로서 아시아 각국에 대한 연구 결과를 제공한다. 또한 비교를 위해 캐나다 연구 결과의 요약(최초의 AMI 시행 국가)을 포함시켰다.

2019년 11월 29일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, [email protected]

[관련 글]
[논평] 오픈넷, KT 상대 개인정보 공개 청구 소송 1심 승소 (2019.01.17.)
[2차 모집] 이통3사 개인정보 열람 실태 연구에 참여해주세요! (2016.08.11.)
이통3사 개인정보 열람 실태 연구 참가자를 찾습니다. (2016.01.18.) 

‘개인정보보호법 제28조의7의 위헌성’

– 과학적 연구 아니라도 가명화만 하면 정보주체의 열람권, 삭제권, 정정권 등이 모두 박탈된다?

사단법인 오픈넷은 소위 “데이터3법” 중 개인정보처리자가 가명처리만으로 정보주체의 권리를 제한할 수 있는 개인정보보호법 제28조의7의 재개정을 요구하는 논평을 발표했습니다(하단 첨부). 이와 관련하여 해당 법률의 문제점과 개선방안을 이야기하는 기자간담회를 개최하고자 하오니 많은 참석 부탁드립니다.

[기자간담회] ‘개인정보보호법 제28조의7의 위헌성’

• 일시: 2020. 10. 13.(화) 오전 10시
• 장소: 사단법인 오픈넷 회의실 (서울시 서초구 서초대로50길 62-9, 402호)
• 사전등록: https://forms.gle/Bd1gzwh5Q45xAjBH6
• 참석을 희망하시는 기자님은 꼭 사전등록을 해주시기 바랍니다.

문의: 오픈넷 사무국 02-581-1643, [email protected]

성평등사회와 정보매개자책임제한 제도 확립을 위한 세미나

2020년 10월 30일(금) 14시 – 16시 (RSVP only)
대학로 공공그라운드 001스테이지

(서울시 종로구 대학로 116 / 지하철 4호선 2번출구 앞 스타벅스 건물 지하1층)

• 참가신청(선착순 10명): https://forms.gle/JXmosUqLC2dBsYvQA
• 유튜브 오픈넷 채널에서 라이브 방송 동시 진행(유튜브에서 “오픈넷” 검색)

기획취지

사단법인 오픈넷은 2019년 10월 29일 워마드 운영자를 부당한 형사처벌의 위협으로부터 보호하기 위한 캠페인을 시작하였다. 경찰은 워마드에 올라온 이용자 게시물을 이유로 워마드 운영자를 아동음란물배포죄, 음란물배포죄, 명예훼손죄 “방조”의 죄목으로 체포영장을 발부받아 수사하려 하였다. 불법정보를 게시한 당사자가 아닌 사이트 운영자, 즉 정보매개자를 형사처벌 하려는 시도는 국제인권기준인 정보매개자책임제한원칙을 위배한다. 또한 워마드 운영자가 게시물을 올린 이용자의 개인정보를 요구하는 압수수색 영장을 대신 집행하지 않은 것은 불법행위가 아님에도 워마드 운영자를 자신이 방조하지도 않은 행위에 대해 방조범으로 모는 것은 엄연한 공권력 남용이다. 

워마드 운영자를 대상으로 한 이번 게시물 규제는 유례 없이 촘촘하고 과도하다.  이와 같은 강력한 규제는 튼실한 자본을 가진 거대 플랫폼보다 여성을 포함한 사회적 소수자들이 주류 이데올로기에 반대하는 목소리를 내기 위해 소규모의 자본으로 힘겹게 운영하고 있는 웹사이트나 플랫폼에 더욱 치명적이다. 나아가 정보매개자에게 과도한 게시물 모니터링의 의무를 지속적으로 지운다면 게시물에 대한 민간 운영자의 사적 검열로 이어져 결국 표현의 자유에 대한 심각한 침해는 불가피해질 것이다. 이런 이유로 정보매개자에게 인지하지 못한 이용자의 게시물에 대해 책임을 지우지 않고, 신고 등으로 불법게시물을 인지할 시 바로 삭제하면 면책해준다는 정보매개자책임제한 제도의 확립이 필요한 것이다. 오픈넷은 워마드 운영자에 대한 형사처벌에 강력하게 반대하며 워마드 운영자 지키기 캠페인을 벌여왔다. 10월 30일 캠페인의 일환으로 워마드 사례를 중심으로 국내의 정보매개자책임의 문제점과 부작용을 논하는 세미나를 개최하고자 한다. 

프로그램

발표1. 사건의 발단, 진행과정 및 법적 쟁점 정리: 김가연(오픈넷 변호사)

발표2. 정보매개자책임 제한 제도의 이해와 국제인권기준: 박경신(오픈넷 이사, 고려대학교 교수)

발표3. 불법정보가 아닌 유해정보에 대한 방심위의 시정요구와 정보매개자의 법적 책임:  손지원(오픈넷 변호사)

발표4. 워마드는 처단되어야 하는 ‘사회악’인가?  페미니즘의 관점으로 본 워마드 커뮤니티의 사회적 기능: 오경미(오픈넷 연구원)

질의응답(현장 참석자만 질의 가능) 

• Covid-19로 인해 현장 참가자는 10인에 한해 선착순으로 참가신청을 받습니다. 참석 여부를 신중하게 결정해주시고 신청하신 분은 꼭 참석해주시기 바랍니다. 참가신청 후 참석이 불가피한 경우에는 사전에 참석을 취소해주시면 감사하겠습니다.
• 마스크를 착용한 분만 입장이 가능하며, 현장에서 체온 측정하여 37.5도가 넘는 분은 입장이 제한됩니다. 
• 인근 주차장을 이용하시기 바라며, 주차비는 지원하지 않습니다.

문의: 오픈넷 사무국 02-581-1643, [email protected]

박경신, 2019/5/13 한국국제통상학회 주최 “디지털무역과 통상정책과제”세미나 토론내용

  디지털무역은 디지털콘텐츠를 해외에 파는 방식으로 이루어진다. 디지털콘텐츠는 주로 인터넷을 통해 판매된다. 이에 따라 유튜브 동영상, 페이스북 콘텐츠 등의 사본을 이용자들이 자신의 PC를 통해 받아보는 방식으로 디지털무역으로 이루어진다. 이때 이용자들이 직접 콘텐츠 이용에 대한 대가를 내는 것은 아니며 이들이 콘텐츠를 주의(attention)을 제공하고 콘텐츠 업자는 이 주의를 이용자들을 잠재적 고객으로 생각하는 광고주들에게 팔아서 현금화함으로써 디지털무역이 완성된다. 물론 직접 콘텐츠에 대한 대가를 치르기도 하는데 넷플릭스와 같은 경우이다. (이때는 엄밀히 말하면 이용자들은 저작권료를 내는 것이기 때문에 이용료의 일부를 원천징수하고 나머지를 넷플릭스에 납부해야 하는데 이 원천징수를 통해서 넷플릭스의 매출에 대한 납세가 이루어진다고 볼 수 있다.)

  그런데 이와 같은 디지털무역을 가로막는 장벽들이 있을 수 있다. 예를 들어 데이터국지화(data localization)인데 개인정보의 경우 동의가 있는 경우에만 국외로 반출될 수 있다거나 동의와 상관없이 개인정보보호수준이 높은 국가로만 반출될 수 있다거나 하는 형식이다. 이렇게 되면 인터넷을 통해서 많은 사람들은 해외의 플랫폼에 자신과 관련된 정보를 업로드하고 이 정보들을 스스로 다시 찾아보거나 다른 사람들이 찾아보도록 하는데 이 행위가 제약될 수 있다. 또는 국외에서 이루어지는 행위에 대해서도 국내법을 적용하겠다는 역외적용(extraterritorial application) 역시 국외의 행위가 국내에서 악영향이 나타날 때 규제를 하겠다고 하면 해외업체들의 영업에 지장을 초래한다.  

  그러나 디지털무역은 다른 무역과 마찬가지로 각 국가의 공공 안전 등을 목적으로 제한될 수 있다. 이에 대해 아마도 필자는 다른 통상학자들에 비해서 더욱 너그러운 편이다. 

  그런데 이번에 논의가 되고 있는 데이터현지화법이나 역외적용법들의 목적은 단순히 국내업체들과의 역차별을 방지하기 위해서 논의되고 있다. “역차별”이라는 목적 자체는 정당한 공공 안전의 목적으로 보일 수 있다. 즉 인터넷을 통해 국내에 제공되는 국내콘텐츠로부터 국내인들의 공공, 안전을 보호하듯이 해외콘텐츠로부터도 보호하겠다는 것인데 실제 수단이 이해하기 어렵다. 

  데이터현지화법와 역외적용법이 그 수단인데 데이터를 국내에 두어 법의 위협을 더욱 느끼도록 하거나 직접적으로 법을 해외업체에도 적용하여 해외업체에도 똑같이 적용하겠다는 것인데 두가지 모두 필요성이 불분명하다. 

  인터넷기업들은 국내망을 통하지 않으면 국내에서 활동할 수 없다. 방송통신심의위원회와 방송통신위원회는 불법적인 콘텐츠를 제공하거나 불법영업을 하는 외국웹사이트를 차단할 권한을 가지고 있다. 우리가 미국에 국제전화를 하면 예를 들어 AT&T를 통해서 미국의 수신자와 통화를 하게 된다. 예를 들어 전화로 음란한 대화를 들려주는 경우가 있는데 우리 국민들이 이를 많이 이용한다고 하자. 어떻게 하면 되겠는가? AT&T에 우리나라 통신규제를 적용하자고 하는가? 우리가 중국에서 유해장난감을 주문하면 국제택배로 물건을 받을 수 있다고 하자. 그러면 우리는 중국업체에 한국의 유해물 규제를 적용하자고 하는가? 보통은 AT&T와의 연결을 끊도록 하거나 유해장난감이 들어오지 못하도록 세관에서 걸러낼 것이다. 

  해외인터넷기업은 해외에 있기 때문에 매우 쉽게 국내규제당국의 집행력의 영향을 받게 된다. 위의 여러 규제들의 집행력을 뒷받침해줄 메타규제라고 할 수 있는 부가통신사업자 신고제도도 지금 당장 구글과 페이스북 본사에게 신고의무를 적용하지 않을 이유가 없다. 신고를 하지 않으면 관련자를 2년의 징역에 처하게 할 수도 있다. (전기통신사업법 제96조) 당장 신고되지 않은 부가통신사업은 범죄가 되므로 이를 “교사 및 방조하는 정보”인 웹사이트는 방송통신심의위원회 심의를 통해 차단을 할 수도 있다. (정보통신망법 제44조의7 제1항 제9호)

  그렇다면 이렇게 관할과 집행력이 외국업체에 대해 존재하는 상태에서 역차별적 효과가 나타나는 이유는 무엇인가? 필자가 보기에는 규제당국 자체가 자신이 집행하는 규제가 너무 갈라파고스적임을 알고 있어 규제집행의 의지가 없거나 규제를 실제로 집행하기 어려운 점이 있기 때문이다. 부가통신사업자신고제도가 자유국가에서는 유례를 찾아볼 수 없는 제도임을 규제당국도 잘 알고 있기 때문이다. 

  역차별에 대한 해답은 자명하다. 부가통신사업자신고제도, 임시조치제도 등등 갈라파고스제도들을 없애서 규제환경이 국제수준에 비슷하게 만들어주는 것이다. 위의 규제들이 소비자나 공익 보호를 위해 명백히 필요하다면 모를까 그런 정황은 보이지 않는다. 예를 들어, 불법이 아니라도 요청이 들어오면 차단해야 한다는 임시조치제도는 누구를 위한 공익인가? 

  한국인터넷기업협회 회장 박성호 사무총장이 국내 인터넷기업들을 대표하여 토론회에서 한 말을 기억해보자. “역차별을 빌미로 규제가 새로운 규제를 낳고 있는 형국이다”. 즉 국내인터넷기업을 “피해자”인 것처럼 치장시켜놓고 실제로는 국내인터넷기업들을 옥죄는 새로운 규제들을 만들고 있다는 것이다. 

   반례로 GDPR은 프라이버시보호를 위해 개인정보보호수준이 낮은 국가로의 반출을 규제한다. 우리나라의 데이터현지화법은 국내업체와의 역차별을 막는 것이 목적이라고 하지만 실제로는 규제당국은 이미 국내에서 활동하는 해외업체에 법을 적용할 수 있다. 불필요하게 데이터를 국내에 두라거나 해외업체에 대해 대인규제를 가하는 것은 디지털무역을 제약하는 것으로서 국제통상규범과 심하게 마찰한다. 특히 데이터를 국내에 두라는 것은 결국 캐시서버를 국내에 두도록 하여 소위 “망이용대가”를 받기 위한 목적이 숨겨져 있다면 더욱더 통상규범과 심하게 마찰한다. 

이 글은 2020. 11. 5.(목) 오후 2시, 국회의원회관 제4 간담회실에서 ‘공익제보와 개인정보 심포지엄’에서 발표된 발제문의 요약문입니다. https://opennet.or.kr/18973 

개인정보보호법은, 사회가 복잡해지면서 자신에 대한 정보를 제공해야만 생활과 행복추구에 긴요한 서비스나 재화를 받을 수 있는 경우가 늘어나는 상황에서, 자신에 대한 정보의 향후 이용이나 제3자제공을 미리 제한할 협상력이 없을 정도로 개인정보처리자와의 힘의 비대칭에 놓인 정보주체를 ‘정보감시’ 또는 정보감시의 가능성으로부터 오는 ‘위축효과’로부터 보호하기 위해 고안된 법제로서 정보주체에게 자신에 대한 모든 정보에 대해 소유권과 유사한 통제권을 부여하는 것을 골짜로 하고 있다. 

  한편 법이 원래의 목적에 부합하게 기능하도록 하기 위해서는, 모든 개인정보처리가 정보주체의 통제권 하에 놓여지면 도리어 힘없는 개인정보주체들이 표현의 자유나 알 권리를 통해 행사할 수 있는 저항권이 제한되므로 정보주체의 통제권을 정교하게 재단할 필요가 있다. 이를 위해 대부분의 개인정보보호법제들은 첫째 GDPR 및 GDPR이행입법들의 상당수는 공익 및 정당한 이익을 위해 정보주체의 동의가 없는 정보수집 및 제3자 정보제공을 허용하고 둘째 단순히 제도권 언론의 취재보도만을 면책시키는 것이 아니라 언론 “목적”의 정보처리에 대해서 예외를 허용하고 있다. 제3자가 언론에 제보하는 행위도 예외에 포함되는 것이다.

  우리나라의 개인정보보호법은 특히 공익제보가 활발히 이루어질 수 있도록 제3자제공, 언론목적 정보처리, 개인정보처리자의 해석 등에 있어서 국제기준에 비추어 개정해야할 필요가 있다. 

개인정보보호법 제58조(적용의 일부 제외) ① 다음 각 호의 어느 하나에 해당하는 개인정보에 관하여는 제3장부터 제7장까지를 적용하지 아니한다. . . . .4. 언론, 종교단체, 정당이 각각 취재·보도, 선교, 선거 입후보자 추천 등 고유목적을 달성하기 위하여 수집·이용하는 개인정보

GDPR의 경우 다음과 같이 주체를 한정하지 않고 “언론 목적의. . 처리(processing for journalistic purposes)”에 대해 표현의 자유 및 정보의 자유와의 화합을 도모하도록 개별국가가 법제화를 하도록 의무화하고(“shall”) 있음.

Article 85 Processing and freedom of expression and information 

1. Member States shall by law reconcile the right to the protection of personal data pursuant to this Regulation with the right to freedom of expression and information, including processing for journalistic purposes and the purposes of academic, artistic or literary expression.