「개인정보 보호법」이 2020년 2월에 개정되면서 정보주체의 동의 없이도 과학적 연구 목적으로 개인정보를 가명화하여 이용할 수 있게 되었으나, 「생명윤리법」에는 기존 수집된 정보를 가명화 또는 익명화할 경우 연구목적으로 이용할 수 있는 특례조항들이 존재하고 있다. 2020. 9. 25. 대한기관윤리심의기구협의회(KAIRB) 연례총회에서 박경신 오픈넷 이사(고려대 법학전문대학원 교수)는 위 2가지 법체계가 어떻게 조화하는지에 대해 발표하며 개인정보보호법 개정이 가진 문제점에 대해서도 지적했다.

‘개인정보보호법 제28조의7의 위헌성’

– 과학적 연구 아니라도 가명화만 하면 정보주체의 열람권, 삭제권, 정정권 등이 모두 박탈된다?

사단법인 오픈넷은 소위 “데이터3법” 중 개인정보처리자가 가명처리만으로 정보주체의 권리를 제한할 수 있는 개인정보보호법 제28조의7의 재개정을 요구하는 논평을 발표했습니다(하단 첨부). 이와 관련하여 해당 법률의 문제점과 개선방안을 이야기하는 기자간담회를 개최하고자 하오니 많은 참석 부탁드립니다.

[기자간담회] ‘개인정보보호법 제28조의7의 위헌성’

• 일시: 2020. 10. 13.(화) 오전 10시
• 장소: 사단법인 오픈넷 회의실 (서울시 서초구 서초대로50길 62-9, 402호)
• 사전등록: https://forms.gle/Bd1gzwh5Q45xAjBH6
• 참석을 희망하시는 기자님은 꼭 사전등록을 해주시기 바랍니다.

문의: 오픈넷 사무국 02-581-1643, [email protected]

글 | 손지원 (오픈넷 변호사)

최근 ‘디지털교도소’가 논란이 되면서, 개인이 다른 사람의 잘못을 폭로하는 이른바 ‘사적 제재’가 법치국가에서 용인되어선 안 된다는 목소리가 높아지고 있다. 디지털교도소만의 운영방식이나 표현 수위에 따른 특수한 문제에 대해서는 별개로 논의되어야 하며, 운영자는 그에 상응하는 법적 책임을 져야 할 것이다. 그러나 이를 계기로 국가 아닌 사인(私人)이 다른 사람의 신상을 공개하며 그들의 잘못된 행위를 알리는 활동 자체를 비판하고 금기시하는 목소리는 위험하다.

사실 ‘사적 제재’란 없다. ‘제재’란 본래 국가가 제도로써 잘못을 저지른 이들에게 일정한 의무를 강제적으로 부과하는 것이며, 개인이 이를 할 수는 없다. 아마도 여기서 ‘제재’란 사회적 비난을 당하게 되는 것을 상징하는 용어일 것이다. 그런데 개인이 다른 사람의 잘못을 알려―물론 그것이 진실이라는 전제하에―그들이 그에 상응하는 사회적 평가를 받도록 하는 것이 나쁜 일인가? 언론사가 기업이나 정치인의 비리를 추적하고 보도하는 것이나 미투 운동 등의 사회 고발 활동도 모두 이러한 사적 제재에 속한다. 타인의 잘못된 행위를 알리는 표현 활동은 행위자가 이로 인한 사회적 비난이 두려워 자신의 행위를 시정하도록 하여 피해를 구제하거나 제3의 피해도 예방할 수 있다. 또한 다른 사람들에게도 자신의 행위 역시 사회적 감시와 공개적인 비판의 대상이 될 수 있다는 경각심을 심어주어 사회구성원들이 공론장에서 좋은 사회적 평가를 유지하기 위해 각자의 행동을 반성하고 교정하도록 만든다. 민주주의 사회는 이렇듯 사회구성원들이 각자에 대한 평가를 교환하는 공론의 과정을 통해 발전한다. 언론사가 어느 총수 일가 등의 갑질 행태를 보도함으로써 부유층의 갑질에 고삐가 죄어질 수 있고, 미투 운동을 통해 사회에 만연한 크고 작은 성폭력, 성차별적 문화가 개선될 수 있는 것이다.

일각에서는 잘못된 ‘행위’에 대해서만 논하면 되지, 신상까지 공개할 필요는 없다고 주장한다. 그러나 신상공개는 곧 행위자를 특정하기 위함인데, 행위자를 특정하지 않으면 위와 같은 효용은 달성할 수 없다. 즉, 잘못을 저지른 사람은 다른 주변인들에 희석되어 자신에 대한 부정적인 평가를 면하고 자신의 행동을 교정할 동기도 없어지는 반면, 유사한 직종·특징을 가진 선량한 주변인들만 억울하게 피해를 입을 수 있고, 대중의 정당한 알 권리도 침해된다. 개인의 부조리는 사법 시스템을 통해서만 해결해야 한다는 주장도 있다. 그러나 사람이 자신이 저지른 행위에 대해 ‘법적’ 처단을 받는 것과 ‘사회적’ 평가를 받는 것은 별개의 책임 영역이다. 성희롱 등 모든 부조리한 행위가 법적 처단의 대상도 아닐뿐더러, 법이 있더라도 적정한 처단이나 보호를 하지 못하는 경우도 많고, 복잡한 사법 시스템을 활용할 여력이 없는 서민 피해자들도 많다. 양육비를 주지 않는 부모들의 명단을 공개하는 배드파더스는 법망을 피해 가던 양육비 미지급 건들을 다수 해결하고 양육비 미지급 문제를 크게 공론화했다. 또한 국가가 성범죄자의 신상공개를 하는 이유와 같이, 이미 과거의 잘못에 대해 법적 제재를 받았다고 해도 재발 위험은 있고, 사회구성원들이 이 위험으로부터 스스로를 보호하기 위해 알 권리가 우선되어야 하는 영역도 있다. 임금체불을 했던 업주, 식품위생법을 위반했던 식당 업주, 의료사고를 냈던 의사들의 명단을 알리는 사이트가 있다면, 이같이 노동자, 소비자의 합리적 선택에 필요한 정보를 알리는 공간들이 차단되어야 할까?

물론 개인이 하는 활동은 오류 가능성이 크므로 이 위험성을 지적하거나 정보의 신뢰도에 의문을 제기할 필요는 있으며, 행위자도 그에 상응하는 법적 책임을 지게 될 것이다. 그러나 마치 국가기관만이 개인의 비위 사실을 공식적으로 확인·공개해야 하고, 사인은 이를 공표해서는 안 된다는 식의 목소리는 민주주의 사회에서 헌법이 보장하고 있는 국민의 표현의 자유를 부정하는 것과 다름없다. 이러한 시각은 미투 운동을 비롯한 사회 고발, 언론사의 보도 등 사회를 움직이는 모든 ‘사적 제재’들을 위축시킬 것이다.

나쁜 짓을 해도 개인적 망신을 당할 염려는 없는 세상, ‘사적 제재’가 없는 세상이 과연 살기 좋은 세상일까. 나쁜 사람들만 더 살기 좋아진 세상은 아닐까.

이 글은 한겨레에 기고한 글입니다. (2020.10.26.)

사단법인 오픈넷은 2020. 11. 24. ‘통신자료’의 명칭을 ‘통신이용자정보’로 명확하게 규정하고 당사자에게 정보제공사실을 통지하는 절차를 신설하는 전기통신사업법 일부개정법률안(허은아의원 대표발의, 의안번호: 2104821)에 대하여 다음과 같이 찬성의견을 제출했다.

문의: 오픈넷 사무국 02-581-1643, [email protected]

『전기통신사업법 일부개정법률안』에 대한 의견서

1. 통신자료제공 제도의 문제점

• 현 전기통신사업법 제83조 제3항이 규정하고 있는 통신자료제공 제도는 수사기관 등이 법원의 허가 등을 받지 않고 이용자의 개인정보를 무단으로 취득할 수 있게 하고 있어 영장주의 원칙을 위반하여 이용자의 개인정보자기결정권을 침해함
  • 수사기관은 헌법 제12조 제3항이 규정하고 있는 영장주의 원칙의 우회수단으로 통신자료제공 제도를 남용해 왔으며, 이는 통신자료제공 요청이 전화번호(ID) 수 기준으로 2012년 788만여 건에서 2015년 1,058만여 건으로 크게 증가하는 등 통계로도 확인된 바 있음
  • 국가인권위원회는 2014년 2월 10일 영장주의 원칙의 위반을 이유로 통신자료제공 제도를 폐지하는 법 개정을 추진할 것을 권고한 바 있으며, 2016년 5월 18일 시민 500명은 관련 전기통신사업법 조항들에 대해 헌법소원을 청구해 현재 헌법재판소에서 심리중임
• 통신자료제공 제도는 영장주의 원칙 위반 외에도 달리 정보주체에게 사전 또는 사후 통지하는 제도를 두고 있지 않아 적법절차 원칙에 위반됨. 통신자료제공에 대한 통지 제도가 없기 때문에 정보주체는 자신의 개인정보가 수사기관에 제공되었는지 알 수 없고, 부당하게 제공되었더라도 이에 대해 시정을 요구할 수 있는 방법이 없음

2. 찬성의견

가. 주요내용

• 본 개정안은 ‘통신자료’의 명칭을 ‘통신이용자정보’로 명확하게 규정하고 당사자에게 정보제공사실을 통지하는 절차를 두도록 함으로써 개인정보 보호를 강화하고 통신자료 남발 가능성을 제한하고자 함(안 제83조의2 신설 등)

나. 통신자료의 명칭 변경에 대한 의견

• 통신자료는 이용자의 성명, 주민등록번호, 주소, 전화번호 등으로 명백히 개인정보보호법상 개인정보에 해당함에도 불구하고 ‘통신자료’라고 지칭함으로써 그 의미를 전혀 알 수 없는 문제가 있었음. 따라서 ‘통신자료’를 그 의미가 좀 더 명확하게 드러나는 ‘통신이용자정보’로 변경하는 것에 찬성함

다. 통신이용자정보제공 통지 제도 신설에 대한 의견

• 헌법 제12조에 규정된 적법절차원칙은 비단 형사절차뿐만 아니라 모든 국가작용 전반에 적용되며, 적법절차원칙에서 도출되는 중요한 절차적 요청으로, 당사자에게 적절한 고지를 행할 것, 당사자에게 의견 및 자료 제출의 기회를 부여할 것 등을 들 수 있음(헌재 2003. 7. 24. 2001헌가25; 헌재 2015. 9. 24. 2012헌바302 등 참조). 통신자료제공에 관한 수사기관의 권한남용을 방지하고 정보주체의 기본권을 보호하기 위해서는, 적법절차원칙에 따라 정보주체에게 적절한 고지와 실질적인 의견진술의 기회가 부여되어야 함
• 본 개정안은 ‘통신이용자정보제공을 받은 날부터 30일 이내’에 제공을 받은 사실, 이유, 제공요청기관 등을 알려주도록 하고 있고, 특별한 사유가 있는 경우 60일 이내의 기간을 정하여 통지를 유예할 수 있도록 하고 있음. 이는 통신자료제공 제도를 적법절차원칙에 합치하도록 개선하는 안이므로 찬성함

지난 11월 12일 법무부는 추미애 법무부장관이 “채널A 사건 피의자인 한동훈 법무연수원 연구위원 사례와 같이 피의자가 휴대폰 비밀번호를 악의적으로 숨기고 수사를 방해하는 경우 영국 등 외국 입법례를 참조하여 법원의 명령 등 일정요건 하에 그 이행을 강제하고 불이행시 제재하는 법률 제정을 검토하도록 지시”했다고 밝혔다. 이후 각계 각층의 비판이 쏟아지자 다음날 디지털 증거 압수수색시 협력의무 부과 법안 연구와 관련하여 “자기부죄금지원칙 및 양심의 자유, 사생활 보호와 조화로운 합리적 방안 마련”을 위해 다양한 방안을 검토 중에 있다고 해명하였다. 그러나 피의자에게 비밀번호 공개를 강제하는 방안은 헌법상 보장된 자기부죄금지 원칙, 진술거부권, 방어권을 심각하게 침해한다. 또한 대안으로 검토하고 있다는 제3자에게 협력의무를 부과하는 방안 또한 이용자의 프라이버시를 침해하고 보안 취약화로 인한 보안위험을 증대시키기 때문에 반대한다. 

헌법 제12조 제2항은 누구나 형사상 자기에게 불리한 진술을 강요당하지 아니한다고 하여 자기부죄금지원칙을 밝히고 있다. 이러한 원칙하에 형사소송법은 피의자와 피고인의 진술거부권에 대하여 규정하고 있고, 형법 제155조 또한 “타인의” 형사사건 또는 징계사건에 대한 증거인멸 등만 처벌할 뿐 자신의 범죄는 아예 구성요건에 해당하지 않는 것으로 규정하고 있다. 이는 형사절차에서 피의자와 피고인의 방어권을 실질적으로 보장하기 위한 최소한의 장치이며 고문을 통한 자백강요 등 반인권적 수사로부터 이들의 인권을 보호하라는 헌법적 요청인 것이다. 그런데 국민의 인권과 법치를 수호해야 할 법무부가 본분을 망각하고 헌법적 요청에 정면으로 역행하는 휴대폰 비밀번호 공개강제법의 도입을 검토하고 있는 것에 경악하지 않을 수 없다. 

그렇다고 하여 디지털 증거의 압수수색에 있어 휴대폰 제조사나 통신사 등 제3자에게 복호화 등 협력의무를 부과하는 방안도 매우 신중히 검토되어야 한다. 법무부에서 연구 대상으로 밝힌 영국, 프랑스, 호주, 네덜란드의 입법례가 그러한 의무를 담고 있다. 우리나라에서도 지난 20대 국회에서 김도읍 의원은 정보에 대한 압수수색 영장 집행 과정에서 정보 또는 정보저장매체의 소유자·소지자·관리자에게 협력의무를 부과하고, 이에 응하지 않는 경우 과태료 및 이행강제금을 부과하는 내용의 형사소송법 개정안(의안번호: 2001352)을 대표발의한 바 있다(위 개정안에서는 과태료 및 이행강제금 부과 대상에 피고인은 제외하는 규정을 두었다). 더 거슬러 올라가면 19대 때는 전기통신사업자에게 감청설비 의무를 지우고 불이행시 이행강제금을 부과하는 법안들이 발의되었는데, 이 또한 디지털 증거 수집을 위한 협력의무 부과라는 점에서 결을 같이 한다. 그런데 이렇게 주로 사업자인 제3자에게 디지털 증거의 압수수색에 대한 협력의무를 부과하는 방안은 궁극적으로는 암호화 기술의 무력화가 필요한데, 이는 모든 디지털 기기와 인터넷 이용자의 프라이버시를 침해하며 보안을 취약하게 만들어 해킹 등 보안위험을 증대시키는 결과를 초래함을 상기해야 한다. 나아가 사인(私人)에게 단지 범죄의 개연성만을 근거로 다른 사인 특히 재판을 통해 유죄가 확정되지도 않은 사인의  프라이버시 침해를 대행해달라는 요구는 자유민주주의 원칙에 반한다.   

정보화 시대에 들어서 디지털 범죄뿐만 아니라 모든 범죄의 수사에 있어 디지털 증거의 수집이 더욱 중요해지고 있다. 그런 측면에서 디지털 증거 압수수색 제도의 개선은 필요하다고 보이지만, 비밀번호 공개강제나 사업자의 협력의무 같은 제도의 도입으로 헌법상 원칙에 반하여 국민의 기본권을 침해하는 일은 없어야 한다. 법무부는 휴대폰 비밀번호 공개강제법을 도입하려는 시도를 즉각 중단해야 할 것이다.

2020년 11월 25일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, [email protected]

지난 11월20일 사단법인 오픈넷은 유럽평의회의 108호 협약의 협의위원회 40차 전체회의에서 해당 회의체의 참관자 지위를 획득하였습니다. 

유럽개인정보보호법(GDPR)은 EU소속 국민들의 정보가 해외로 이전되기 위해서는 도착지 국가가 적정한 개인정보보호법제를 구비하고 있을 것을 요구하고 있습니다(제45조의 “적정성 평가”(adequacy decision)). 적정성 평가에 있어 도착지 국가가 체결하고 있는 국제협약도 주요 고려대상인데 GDPR은 유럽평의회(Council of Europe)의 108호 협약 가입 여부가 중요하다고 명시하고 있습니다(전문 105조). 이와 관련하여 우리나라 정부도 EU에 적정성 평가를 신청하면서 108호 협약 협의위원회에 참관국으로 가입하여 활동해왔습니다.    

108호 협약(Convention 108)은 EU가 GDPR을 제정하기 이전부터 개인정보보호를 전 세계에 확산시키기 위해 유럽평의회(1949년 설립) 소속국가들이 유럽인권협약(1950년 체결)에 근거하여 1981년 체결한 개인정보보호협약입니다. 또한 유럽평의회 소속이 아닌 국가들의 가입도 개방되어 있어 이미 여러 비유럽국가들이 가입하였고, 내용도 변화하는 시대에 맞게 “108호 플러스 협약”으로 강화되었습니다. 여러 시민단체와 정부들이 108호 협약의 해석 및 적용을 관장하고 있는 협의위원회(Consultative Commitee)에 참가하고 있습니다. 오픈넷은 Privacy International, European Digital Rights(EDRi), Australian Privacy Foundation, European Association for the Defence of Human Rights (AEDH), Internet Society에 이어 6번째로 협의위원회에 참가하는 시민단체이며, 이번에 미국 단체인 Access Now와 함께 참관지위를 획득하게 되었습니다.  

오픈넷은 협의위원회에 다양한 의견을 제시함으로써 유럽 수준의 강력한 개인정보보호법제가 우리나라를 포함하여 전 세계로 확산되는 과정을 지원하게 될 것이며, 특히 국제기구의 논의과정을 통해 대한민국의 개인정보보호법이 국제기준을 준수하도록 감시하고 비판하는 역할을 하게 될 것입니다.   

문의: 오픈넷 사무국 02-581-1643, [email protected]

“가명정보 열람권 등 정보주체 권리 보장을 위한 토론회”

지난 2월 개인정보보호법이 개정되면서 유럽의 GDPR처럼 “통계작성, 과학적 연구, 공익적 기록보존 등” 공공의 이익을 위해서는 “가명처리”라는 안전조치를 취하면 정보주체에게 일일이 동의를 얻지 않아도 개인정보를 활용할 수 있는 길이 열렸습니다. 그러나 정보주체에게 보장되었던 개인정보 열람권, 정정·삭제권, 처리거부권 등 정보주체의 권리를 가명처리된 개인정보인 “가명정보”에 대해서는 인정하지 않으면서 부당한 사례가 발생하고 있습니다(개인정보보호법 제28조의7). 개인정보처리자 입장에서도 가명처리된 개인정보, 즉 가명정보의 재식별화가 예외없이 금지되어 있기 때문에 정보주체가 열람권 등 자신의 권리를 행사하고자 할 때도 재식별화를 할 수 없어 권리의 보장을 해주지 못하게 되었습니다(개인정보보호법 제28조의5). 예를 들어, 병원은 개인정보 유출시의 피해를 최소화 하기 위해 입원기록을 가명처리하여 보관할 수도 있는데, 환자가 자신의 입원기록을 보여달라고 해도 가명처리를 한 이상 재식별화해서 보여줄 수 없는 상황입니다. 

이에 비해 GDPR에서는 ‘과학적 연구, 통계, 공익적 기록 등의 목적’을 위해서 이용된 경우에만 열람권, 정정권, 처리거부권 등이 제한되고 있고, 해석상 정보주체의 권리 보장을 위한 가명정보의 재식별화는 자유롭게 허용하고 있습니다. 관련 법개정을 위한 논의를 다음과 같이 하고자 합니다.  

* 본 토론회는 온라인으로만 시청하실 수 있으며, 유튜브 오픈넷 채널에서 라이브 방송으로 진행됩니다. 

• 행사명: 가명정보 열람권 등 정보주체 권리 보장을 위한 토론회
• 일시: 2020년 12월 7일(월) 오후 2시
• 주최: 국회의원 민병덕, 사단법인 오픈넷

• 발제: “가명정보에 대한 열람권 등 정보주체 권리 보장을 위한 개인정보보호법 개정 방향” – 박경신 교수(고려대, 오픈넷 이사)

• 토론
  • 좌장: 유승희 전 국회의원(17, 19, 20대)
    
  • 김선휴 변호사(법무법인 이공, 참여연대 공익법센터)
  • 오병일 대표(진보네트워크센터)
  • 이한샘 과장(개인정보보호위원회 데이터안전정책과) 
  • 최경진 교수(가천대)

문의: 오픈넷 사무국 02-581-1643, [email protected]  

사단법인 오픈넷은 2020. 12. 25. 민간 데이터의 경제ㆍ사회적 생산, 거래 및 활용 등을 위한 기본법인 데이터 기본법안(조승래 의원 대표발의, 의안번호: 2106182)에 대한 반대의견을 제출했다.

제정안은 1) 개인데이터를 “개인과 관련된 데이터”라고 정의하여 개인데이터가 무엇인지 전혀 예측할 수 없어 명확성의 원칙에 위반되며, 2) 개인정보인 개인데이터의 보호에 제정안을 우선 적용하도록 하여 개인정보보호법의 무력화를 초래하며, 3) ‘공시·공개’된 개인데이터에 관한 특례 도입은 바람직한 측면은 있으나 개인정보보호법의 개정이 필요한 사안이며, 4) 개인데이터 이동권의 도입은 개인정보보호법에 먼저 도입되어야 하고, 데이터주체의 권리를 제한하고 있어 이동권의 본질을 형해화할 뿐만 아니라 개인데이터 전송 수령주체를 국가가 정한 일부 사업자로 한정해 데이터 집적과 독점을 강화시킬 우려가 있으며, 5) 시장중심의 의사형성을 불가능하게 하고 민간부문의 창의정신을 저해하는 제도들을 도입하기 때문에 반대한다.

문의: 오픈넷 사무국 02-581-1643, [email protected]

『데이터 기본법안』에 대한 의견서

1. 명확성의 원칙 위반

• 제정안 제2조 제9호는 개인데이터를 “개인과 관련된 데이터”라고 하고 개인데이터가 「개인정보 보호법」제2조제1호에 해당할 경우에는 개인정보로 본다고 규정하고 있음. 즉 데이터가 어느 개인과 관련성만 있으면 개인데이터에 해당하는데, 관련성이란 너무 광범위하고 추상적인 기준으로 이러한 정의로부터는 개인데이터가 무엇인지 전혀 예측할 수 없어 다른 조항들의 해석·적용을 매우 어렵게 만들기 때문에 명확성의 원칙에 위반됨

2. 개인정보보호법의 무력화

• 제정안 제7조 제2항은 개인정보 보호에 관하여 이 법에 특별한 규정이 있는 경우를 제외하고는 개인정보보호법을 따른다고 하고 있음. 그러나 개인정보인 개인데이터는 개인정보보호법에 의해 우선적으로 보호되어야 할 것임. 또한 개인정보가 아닌 개인데이터가 무엇인지 개인데이터의 정의만으로는 전혀 예측이 불가능한 상황에서 개인정보보호법보다 제정안을 우선 적용하는 것은 개인정보보호법의 무력화를 초래할 수 있음. 따라서 본 조항은 삭제되거나 개인정보보호법을 우선 적용하는 것으로 수정되어야 함

3. ‘공시·공개’된 개인데이터에 관한 특례

• 제정안 제13조 제2항은 정보분석의 대상이 개인데이터인 경우에는 그 이용에 데이터주체의 동의를 받아야 한다고 하면서 제2호에 따른 공시·공개된 데이터의 수집은 동의를 받을 필요가 없다고 규정하고 있음

• 호주, 캐나다, 싱가포르 등의 개인정보보호법은 합법적인 절차에 의해 일반적으로 공개된 개인정보(“공개정보”)에 대해서는 개인정보보호법을 적용하지 않는 조항들을 두고 있음. 우리나라에서도 2016년 로앤비 판결(2014다235080)에서 대법원은 “이미 공개된 개인정보는 정보주체의 동의가 있었다고 객관적으로 인정되는 범위 내에서” 개인정보 처리에 정보주체의 별도의 동의가 불필요하다고 판시함. 특히 우리나라는 소위 ‘잊힐 권리’ 도입에 대해 반대하는 여론이 우세함을 감안하여 개개인정보보호법의 적용범위를 프라이버시 보호에 한정하여 표현의 자유와 알 권리가 보장되도록 할 필요가 있음. GDPR도 표현의 자유 행사 목적의 개인정보 처리에 대한 면책을 규정하고 있음. 우리나라 개인정보보호법은 언론의 취재‧보도 목적 정보 처리만을 면책하여(제58조 제1항 제4호) 일반인들의 표현의 자유가 위축되어 있음

• 따라서 위와 같은 입법시도는 바람직한 면이 있지만 개인정보인 개인데이터에는 개인정보보호법이 우선 적용되어야 한다는 오픈넷의 입장에 따라 개인정보보호법 개정이 필요한 사안임

4. 개인데이터 이동권

• 제정안 제15조는 개인데이터 이동권을 규정하고 있음. 본 규정은 올해 도입된 신용정보법상 개인신용정보 전송요구권과 대동소이하며 GDPR의 개인정보 이동권에 기초한 것이라고 보임. 개인정보보호위원회는 최근 개인정보 이동권(전송 요구권)을 개인정보보호법에도 도입하기 위한 2차 개정 계획을 발표했는데, 개인데이터에 개인정보가 포함된다는 점에서 개인데이터 이동권은 개인정보보호법에 먼저 도입되어 적용되어야 할 것임

• 그리고 제15조 제6항은 개인데이터를 제공한 개인데이터처리자가 개인정보보호법 제20조에도 불구하고 데이터 전송 사실을 데이터주체 본인에게 통보하지 않을 수 있다고 하여 데이터주체의 권리를 제한하고 있어 정보주체의 권리 강화가 목적인 데이터 이동권의 본질을 형해화함. 데이터 전송 요청은 데이터주체가 하는 것이어서 데이터주체에게 전송 사실을 통보하지 않을 이유가 없을 뿐만 아니라 데이터주체는 전송 여부에 대해 당연히 알 권리가 있다고 할 것임

• 또한 개인데이터 전송의 수령주체를 본인데이터관리회사 또는 대통령령으로 정하는 개인데이터처리자로 국가가 정한 일부 사업자로 한정해 데이터 집적과 독점을 강화시킬 우려가 있음

5. 과도한 국가후견주의적 제도의 도입

• 데이터 경제의 시대에 데이터 산업 육성과 발전의 기반을 조성하겠다는 입법취지는 바람직함. 그러나 데이터 산업의 특성상 국가후견주의적, 국가주도적 육성과 기반 조성은 지양되어야 하고 국가는 제정안 제3조 제4항에서 천명한 것과 같이 “민간부문의 창의정신을 존중하고 시장중심의 의사형성이 가능하도록 노력”해야 할 것임

• 제정안은 정부 지정 기관에 의한 데이터 가치 평가제(제14조), 정부 주도 데이터유통시스템 구축·운영(제18조), 정부 인증기관에 의한 데이터 품질인증제(제20조)를 도입하고 있음. 그러나 데이터의 가치나 품질은 시장에서 결정되어야 할 사항이고 데이터유통시스템도 통신이나 철도와 같은 기간산업과 달리 민간에 맡기는 것이 훨씬 효율적이라는 점에서 시장중심의 의사형성을 불가능하게 하는 국가후견주의적인 제도이므로 도입에 반대함

• 또한 제정안은 본인데이터관리업 등록제(제16조), 데이터거래사업자 신고제(제22조), 데이터사업자 보험·공제 가입 또는 준비금 적립 의무(제44조)를 규정하고 사업자가 이러한 의무 위반시에는 과태료를 부과할 수 있도록 하고 있음. 이 또한 국가가 데이터 산업의 사업자 유형을 획일적으로 정하고 이에 해당하지 않는 사업은 금지하여 민간부문의 창의정신을 제약하는 국가후견주의적 제도이므로 도입에 반대함

2020년 11월 26일 헌법재판소는 청소년의 스마트폰에 유해정보 차단수단을 강제로 설치하게 하는 전기통신사업법과 시행령 조항들, 일명 “청소년 스마트폰 감시법”에 대해 합헌 결정을 내렸다(헌재 2020. 11. 26. 2016헌마738). 청소년과 청소년의 부모인 청구인들을 대리하여 4년 넘게 헌법소원을 진행한 사단법인 오픈넷은 청소년의 프라이버시와 개인정보자기결정권, 그리고 부모의 교육권을 침해하는 스마트폰 감시법에 대한 헌재의 합헌 결정에 유감을 표한다.

2015년 4월 16일부터 시행된 전기통신사업법 제32조의7은 이통사가 청소년과 전기통신서비스 제공에 관한 계약을 체결하는 경우 청소년유해매체물 및 음란정보에 대한 차단수단을 제공하여야 한다고 하고 있으며, 동 법 시행령 제37조의8은 이통사가 계약 체결 시 차단수단의 종류와 내용 등을 고지하고 차단수단을 설치하도록 강제하고 있고, 계약 체결 후에는 차단수단이 삭제되거나 차단수단이 15일 이상 작동하지 아니할 경우 법정대리인에게 통지하도록 하고 있다. 차단수단이라 함은 스마트폰 애플리케이션을 말하며, 현재 이통사가 제공하는 앱들이 주로 설치되고 있다.

청소년 스마트폰 감시법의 가장 큰 문제는 이통사가 청소년이나 부모의 의사와 상관없이 차단수단을 의무적으로 설치해야 하며, 차단수단의 삭제 또는 비활성화 여부를 확인해서 부모에게 통지해야 한다는 것이다. 이 과정에서 이통사는 차단수단을 통해 청소년이 스마트폰으로 어떤 정보를 검색하고 접근하는지에 대한 정보를 수집하고, 차단수단의 작동 여부를 확인하기 위해 청소년의 스마트폰을 상시 감시해야만 한다. 이로 인해 스마트폰을 사용하는 청소년의 사생활의 비밀과 자유를 침해하고, 청소년과 법정대리인의 개인정보를 수집, 보관, 이용하기 때문에 개인정보자기결정권도 침해한다. 또한 차단수단에 의해 유해정보뿐만 아니라 합법적이고 교육적인 정보도 차단되어 청소년의 알 권리를 침해하며, 차단수단 설치 여부에 대해 청소년 및 법정대리인의 선택권을 인정하지 않아 부모의 자녀교육권을 침해한다.

그런데 헌재는 이동통신사업자의 차단수단 제공의무에 대해 “차단수단을 제공받는 자의 의사에 반하여 이를 설치하여 줄 의무까지 포함되어 있다고 해석하기는 어렵다”고 하면서, 시행령에서 차단수단의 설치 ‘여부’를 확인하도록 규정하고 있는데 이통사에게 차단수단 설치의무가 있다는 것을 전제로 하였다면 이렇게 규정할 이유가 없었을 것이고, 차단수단이 삭제되거나 15일 이상 작동되지 않을 경우 법정대리인에게 통지하도록 규정하고 있는 것도 차단수단 설치에 동의한 경우에만 적용되는 것으로 이러한 절차가 차단수단 설치의무가 포함된 것임을 전제로 하고 있다고 볼 수 없다고 하였다. 따라서 이통사에게 차단수단 “설치” 의무가 없다고 하면서 차단수단 제공의무 관련 조항들에 대한 청구는 각하해버리고 통지 조항에 대해서만 판단했다.

헌재의 입장에 의하면 이통사의 차단수단 제공의무는 “제공”에 그칠 뿐 청소년이나 법정대리인의 동의가 없는 설치는 의무가 아니다. 하지만 이는 이통사들이 스마트폰 감시법 입법 이전에도 차단수단을 “제공”해왔으며, 입법 이후에는 부모나 청소년의 동의 여부를 확인하지 않고 차단수단을 설치하고 설치가 안 된 경우 계속 문자 등을 보내왔다는 점을 간과한 판단이다. 그리고 방송통신위원회는 2016년 법정대리인이 차단수단 이용 거부 신청을 할 수 있게 하는 단서를 신설하는 전기통신사업법 개정안을 국회에 제출하여, 차단수단 설치의무의 문제점을 자인한 바도 있다. 이처럼 헌재가 가장 중요한 쟁점을 심판대상에서 제외해 판단을 회피했다는 점은 매우 실망스럽다.

그리고 헌재는 시행령의 통지 조항에 대해 설치에 동의하여 차단수단을 설치한 경우에만 적용된다고 전제하면서, “청소년이 청소년유해매체물등 차단수단을 삭제하였는지 여부나 차단수단이 작동하지 않도록 하였는지 여부 등은 해당 청소년의 사생활의 비밀과 자유에 속할 뿐 아니라, 청소년유해매체물등을 대하는 해당 청소년의 성향이나 태도 등을 유추할 수 있는 자료로서 청소년의 실명 등의 자료와 결합하여 개인의 동일성을 식별할 수 있게 하는 개인정보에 해당”하기 때문에 통지 조항이 청소년의 사생활의 비밀과 자유 및 개인정보자기결정권을 제한한다고 인정했다. 하지만 통지 조항만으로는 과잉금지원칙에 반하지 않기 때문에 사생활의 비밀과 자유 및 개인정보자기결정권을 침해하지 않는다고 결론을 내렸다.

청소년의 프라이버시와 개인정보자기결정권 침해뿐만 아니라 현재 시중에 나와 있는 차단 앱 다수는 유해정보 차단을 넘어 스마트폰 사용 모니터링, 위치 조회 등 청소년을 감시하는 기능들을 갖추고 있다. 그런데 이렇게 감시 기능을 갖춘 앱은 보안이 취약한 경우가 많아 해커들의 표적이 되며, 청소년을 개인정보 유출, 해킹 등의 보안 위험에 노출시키고 있다. 감시 소프트웨어를 통신기기에 강제로 설치하도록 하는 법은 전 세계적으로도 유례를 찾아보기 어려운데, 이는 감시 앱의 안전성을 담보할 수 없기 때문이다. 그리고 우리나라에서 온라인상 유통되는 청소년유해정보의 경우, 이미 전자적 표시의무 등 필터링을 가능하게 하는 기술이 적용되어 있고 이러한 정보에 접근하기 위해서는 본인확인을 요구하고 있으며, 이때 사용되는 필터링 기술은 차단 앱들이 사용하는 것과 대동소이하기 때문에 결과적으로 동일한 차단수단이어서 굳이 추가 소프트웨어의 설치를 강제할 필요가 없다. 그런데 오픈넷이 제기한 이런 문제에 대해서 헌재는 아무런 판단도 하지 않았다는 점도 실망스러운 부분이다.

청소년의 인권을 침해할 수 있는 차단수단 설치는 청소년과 청소년에 대해 1차적 교육권을 갖는 부모(법정대리인)의 동의, 그것도 차단수단의 기능, 효과, 보안 취약성 등에 대한 충분한 정보에 기반한 동의가 반드시 있어야 할 것이다. 이를 간과한 청소년 스마트폰 감시법은 “청소년 보호라는 명분에 치우쳐” 국가가 청소년의 스마트폰 사용까지 챙기고 간섭하는 것을 허용하는 “전근대적이고 국가주의적일 뿐만 아니라 행정편의주의적인 발상”이다. 그럼에도 불구하고 설치의무가 없다고 보아 대부분의 쟁점에 대한 판단을 회피한 이번 헌법재판소의 합헌 결정에 깊은 유감을 표한다.

2021년 1월 4일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, [email protected]

[관련 글]
없는 편이 더 안전한 ‘청소년 스마트폰 감시 앱’ (허프포스트코리아 17.09.20.)
[웹툰 및 권고] 없는 편이 더 안전해!: 한국의 청소년 스마트폰 감시 앱
[보도자료] 오픈넷, 방송통신위원회의 전기통신사업법 개정안에 대한 반대의견 제출 (2016.12.26.)
[논평] 오픈넷, 시티즌랩과 함께 KT와 LGU+ 스마트폰 감시 앱의 취약점 밝혀 (2017.11.29.)
[논평] 오픈넷, 시티즌랩과 함께 청소년 스마트폰 감시 앱에 대한 보안감사 보고서 발표 (2017.09.12.)
[논평] 부모와 청소년 모두에게 외면받는 ‘청소년 스마트폰 감시법’ (2017.02.02.)
[논평] 오픈넷, 청소년 스마트폰 감시법에 대해 헌법소원 청구 – 전기통신사업법상 차단수단 설치의무 조항은 청소년과 부모의 기본권 침해 (2016.08.30.)
[논평] 스마트보안관이여 잘 가시오! 이제는 청소년 스마트폰 감시법의 폐지를 논의할 때! (2015.11.03.)
[논평] 한국의 청소년들을 위험에 빠뜨리는 스마트보안관 서비스는 즉시 중단되어야 (2015.09.21.)
[논평] ‘딸통법’ 및 ‘청소년 스마트폰 감시법’ 시행 주의보 (2015.04.15.)
스마트보안관은 사라졌지만 감시는 계속된다 (슬로우뉴스 2015.11.16.) 

사단법인 오픈넷은 2021. 1. 7. 데이터의 이용촉진과 데이터산업의 진흥에 관한 데이터의 이용촉진 및 산업진흥에 관한 법률안(허은아 의원 대표발의, 의안번호: 2106820)에 대한 반대의견을 제출했다. 

제정안은 1) 개인데이터 등 주요 용어의 정의가 예측가능성이 없어 명확성의 원칙에 위반되며, 2) 데이터주체가 자신이 처리하는 타인의 개인정보에 대해서도 주권적 권리를 갖고 제3자에게 제공을 할 수 있도록 하여 개인정보보호법을 형해화시키며, 3) 개인데이터 이동권은 개인정보보호법에 먼저 도입되어야 할 것이기 때문에 반대한다.

문의: 오픈넷 사무국 02-581-1643, [email protected]

『데이터의 이용촉진 및 산업진흥에 관한 법률안』에 대한 의견서

1. 결론: 반대의견

• 제정안은 개인데이터 등 주요 용어의 정의가 예측가능성이 없어 명확성의 원칙에 위반되며, 데이터주체가 자신이 처리하는 타인의 개인정보에 대해서도 주권적 권리를 갖고 제3자에게 제공을 할 수 있도록 하여 개인정보보호법을 형해화시키며, 개인데이터 이동권은 개인정보보호법에 먼저 도입되어야 할 것이기 때문에 반대함

2. 명확성의 원칙 위반

• 제정안 제2조 제1항 제3호는 개인데이터를 “개인이 처리한 데이터”라고 하고 「개인정보 보호법」에 따른 개인정보를 포함한다고 규정하고 있으며, 제2조제1항제1호에서 “처리”란 “수집, 생성, 저장, 조합, 분석, 그 밖에 이와 유사한 행위”라고 규정하고 있음. 그러나 개인이 처리하기만 하면 데이터가 데이터를 처리하는 개인에 관한 것이든 타인에 관한 것이든 개인데이터가 되는 것인지, 아니면 데이터를 처리하는 개인에 관한 것만 개인데이터가 되는 것인지 알 수 없음. 즉 이러한 정의로부터는 개인데이터가 무엇인지 전혀 예측할 수 없어 제정안의 해석·적용을 매우 어렵게 만들기 때문에 명확성의 원칙에 위반됨

• 제정안 제9조는 “데이터 주권”이라는 부제 하에 데이터주체가 자신이 처리한 데이터에 대하여 “주권적 권리”를 가진다고 규정하고 있음. 그러나 이러한 “주권적 권리”에 대하여는 아무런 정의를 하고 있지 않은바, 주권적 권리가 무엇인지 전혀 예측할 수 없기 때문에 명확성의 원칙에 위반됨

3. 개인정보보호법의 형해화

• 제정안 제9조는 데이터주체가 자신이 처리한 데이터에 대하여 주권적 권리를 가진다고 규정하고 있음. 그리고 이러한 데이터에는 개인정보 등 개인데이터가 포함된다고 보임. 앞서 본 바와 같이 주권적 권리가 무엇인지 전혀 예측할 수 없어 명확성의 원칙에 위반될뿐만 아니라 타인의 개인정보인 경우에도 데이터주체가 처리하기만 하면 이에 대해 주권적 권리를 갖는 것으로 해석될 여지가 있음. 그러나 개인정보인 개인데이터는 개인정보보호법에 의해 우선적으로 보호되어야 하며 개인정보보호법 상의 권리는 정보주체가 가져야 한다는 점에서 이는 개인정보보호법을 형해화시키는 조항임

• 제정안 제10조는 데이터주체가 자신이 처리한 데이터를 국가ㆍ지방자치단체 및 데이터서비스 제공자 등에게 제공할 수 있다고 하고 있음. 그리고 이러한 데이터에는 개인정보 등 개인데이터가 포함된다고 보임. 개인정보보호법 제17조는 개인정보의 제공시에는 정보주체의 동의를 받도록 하고 있는바, 문언상 타인의 개인정보인 경우에도 데이터주체가 처리하기만 하면 정보주체의 동의 없이 제공할 수 있는 가능성이 있으므로 개인정보보호법을 형해화시키는 조항임

4. 개인데이터 이동권

• 제정안 제12조는 개인데이터 이동권을 규정하고 있음. 본 규정은 GDPR의 개인정보 이동권에 기초한 것이라고 보임. 개인정보보호위원회는 최근 개인정보 이동권(전송 요구권)을 개인정보보호법에도 도입하기 위한 2차 개정 계획을 발표했는데, 개인데이터에 개인정보가 포함된다는 점에서 개인데이터 이동권은 개인정보보호법에 먼저 도입되어 적용되어야 할 것임

1월 28일, 유럽평의회(Council of Europe)가 108호 협약(Convention 108) 체결 40주년을 기념하여 개최하는 “2021 데이터 프라이버시의 날(Data Privacy Day 2021)” 아시아·태평양 지역 행사에 사단법인 오픈넷의 박경신 이사가 토론자로 참여한다. 웨비나에서 아시아태평양 지역의 정부대표, 개인정보보호기구, 시민사회단체 등은 지역의 최근 동향, 아태 지역 국가를 위한 108 협약의 이점, 아태국가들의 참여 방안, 가입 필요성 등에 대해 논의할 예정이다. 

유럽평의회의 108호 협약은 EU가 GDPR을 제정하기 이전부터 개인정보보호 원칙을 전 세계에 확산시키기 위해 유럽평의회(1949년 설립) 소속 국가들이 유럽인권협약(1950년 체결)에 근거하여 1981년 체결한 개인정보보호협약이다. 또한 유럽평의회 소속이 아닌 국가들의 가입도 개방되어 있어 이미 여러 비유럽국가들이 가입하였고, 내용도 변화하는 시대에 맞게 “108호 플러스 협약”으로 강화되었다. 108 협약 가입 여부는 GDPR의 적정성 평가의 주요 고려대상이다. 

108호 협약은 회원국과 참관자(observer)로 구성된 협약의 해석과 집행을 관장하는 협의위원회(Consultative Committee)를 두고 있으며, 우리나라는  EU에 적정성 평가를 신청하면서 협의위원회에 참관국으로 가입하여 활동하고 있다. 오픈넷은 2020년 11월 26일 협의위원회의 참관자 지위를 획득했으며, Privacy International, European Digital Rights(EDRi), Australian Privacy Foundation, European Association for the Defence of Human Rights (AEDH), Internet Society에 이어 6번째로 협의위원회에 참가한 시민사회단체이다.

웨비나에서는 Schrems II 판결 이후의 EU와 아시아국가들 사이의 관계 등에 대해서도 토론할 예정이다. 2021 데이터 프라이버시의 날 행사는 1월 28일 목요일 한국시간 오전 10시에 온라인으로 개최될 예정이며, Bluejeans 링크를 통해 참여할 수 있다.

문의: 오픈넷 사무국 02-581-1643, [email protected]

[관련 글]
[보도자료] 오픈넷, 유럽평의회의 108호 협약의 협의위원회 참관자 지위 획득 (2020.11.26.)