[기자회견]
이른바 ‘4차 산업혁명’과 개인정보 보호와 관련한 논의가 사회적으로 크게 일고 있다. 참여연대, 건강과대안 , 건강사회를위한약사회, 건강사회를위한치과의사회, 경실련, 노동건강연대, 미디액트, 서울YMCA 시청자시민운동본부, 언론연대, 인도주의실천의사협의회, 진보네트워크센터, 참의료실현청년한의사회, 함께하는시민행동은 오늘(2월12일) 빅데이터 시대 국민의 개인정보 보호를 위하여 개인정보 감독 체계의 강화가 시급하다고 보고 대통령비서실, 대통령직속 4차산업혁명위원회, 국정과제추진점검단, 국회 4차산업혁명특별위원회, 국회 행정안전위원회, 국회 과학기술정보방송통신위원회, 개인정보보호위원회, 국가인권위원회에 현재 여러 개별법에 분산된 개인정보 보호법체를 개인정보보호법으로 일원화하고 국제규범에 부합하도록 개인정보보호위원회의 독립성과 권한을 강화해야 한다는 등의 의견을 제출하였다.
보도자료[원문보기/다운로드]
문재인 대통령은 후보 시절부터 개인정보 감독 체계를 현재보다 강화할 것을 국민 앞에 약속하였습니다. 공약에는 “개인정보 보호 체계 효율화” 및 “개인정보보호위원회의 위상 강화”가 포함되어 있고 국정과제로서 “2018년부터 개인정보 보호 거버넌스 강화 및 개인정보 보호 체계 효율화”를 제시한 바 있습니다. 그러나 아직까지 국정과제 이행을 위한 구체적인 조치가 가시화되지 않았다는 점이 크게 아쉽습니다.
개인정보 감독 체계의 독립성과 전문성 보장은 유엔을 비롯한 국제사회가 권장하는 규범이기도 합니다. 유엔은 일찍이 1990년 총회에서 “모든 국가들은 열거된 원칙들의 준수를 감독할 기관을 국내법에 따라 설치한다. 이 기관은 개인정보 처리를 담당하는 개인 혹은 기관에 대해 불편부당성, 독립성, 기술적 역량을 제공해야 한다.”고 선언하였고(UN 컴퓨터화된 개인 정보파일의 규율에 관한 지침) 다시금 2013년 총회에서 “통신감시, 감청, 개인정보 수집 등 국가감시의 투명성 및 책임성을 보장할 수 있는 독립적이고, 효과적인 국내적 감독 체제를 수립 혹은 유지할 것”을 각국 정부에 권고하는 결의안을 채택하였습니다(디지털시대 프라이버시권 결의안).
세계 여러 나라가 빅데이터 처리로부터 국민의 권리를 보호하기 위해 개인정보 감독 체계를 정비하고 있습니다. 그러나 우리나라에서는 개인정보 관련법이 개인정보보호법, 정보통신망법, 신용정보법 등으로 분산되어 있고 개인정보 감독기구 또한 개인정보보호위원회, 행정안전부, 방송통신위원회, 금융위원회 등으로 분산되어 있습니다. 카드3사 개인정보 유출사태가 국민을 경악케 한 이후로도 홈플러스 사건 등 기업이 소비자의 개인정보를 무단으로 판매하는 일이 증가하여 국민의 정보인권이 침해당하고 있는데도 효율적으로 대처하지 못하고 있습니다. 행정안전부나 방송통신위원회 등 개인정보 관련 부처들은 지난 박근혜 정부에서 개인정보의 보호 뿐 아니라 그 이용을 촉진하는 업무를 함께 하면서 산업 활성화를 위해 개인정보 보호를 완화하려 했습니다.
국제규범에 비추어 보았을 때 현재 우리나라의 개인정보 보호기관은 감독기구로서 독립성과 권한이 모두 부족합니다. 행정안전부는 정부부처 조직이므로 독립성이 결여되어 있으며, 개인정보보호위원회는 인사, 예산의 독립성과 직권조사권 등의 권한이 제한적이기 때문입니다. 실제로 2016년 10월 유럽연합은 한국 개인정보 보호기관의 독립성과 권한 미비에 대하여 부적격으로 평가한 바 있습니다. 그런데도 정부에서는 개인정보보호위원회의 독립성과 권한을 국제기준에 부합하도록 전체적으로 강화하기보다 방송통신위원회가 별도로 ‘부분 적정성 평가’를 추진하는 등 개인정보보호라는 가치보다 부처 이기주의적인 모습만을 보이고 있습니다.
특히 대통령직속 개인정보보호위원회의 주요 의견이 수용되지 않고 있다는 것은 큰 문제입니다. 개인정보보호위원회는 「개인영상정보 보호법」의 제정에 대하여 반대하고(제2017-01-07호) 비식별화 관련 법안들에 대한 반대 의견을 여러 차례 발표하였으며(제2016-23-83호 등) 유럽연합 부분적정성 평가에 반대하고 위원회 독립성 보완을 권고(제2017-25-198호)하였으나, 행정안전부 및 방송통신위원회 등 관련 부처가 이를 이행하고 있지 않습니다.
개인정보보호위원회가 국제규범에 부합하는 개인정보 감독기구로 바로 서기 위해서는 중앙행정기관에 해당하는 지위가 부여되고 예산 및 인사의 독립성이 확보되어야 하며, 직권조사, 시정(제재)권을 비롯한 권한 및 직무가 보완되어야 합니다. 또한 분산된 개인정보 관련법제를 개인정보보호법으로 일원화하고, 개인정보 감독기구 역시 독립전담기관으로서 개인정보보호위원회로 통합할 필요가 있습니다.
빅데이터 시대의 국가는 국민의 정보인권을 보호하고 기업의 무분별한 개인정보 처리로부터 정보주체인 소비자와 이용자의 권리를 보장할 수 있는 효율적이고 책임있는 대책을 강구해야 합니다. 개인정보 보호 체계의 효율화와 감독 체계 강화는 이를 위한 기반이자 국민들에게 약속한 국정과제입니다. 이에 우리 시민사회단체들은 개인정보보호위원회가 국제규범에 부합하는 독립성과 전문성을 갖출 수 있도록 개인정보보호법 및 정보통신망법 등 관련 법률 개정은 물론 정부조직개편을 빠른 시일 내 추진할 것을 요구합니다.
2018.2.12
참여연대, 건강과대안 , 건강사회를위한약사회, 건강사회를위한치과의사회, 경실련, 노동건강연대, 미디액트, 서울YMCA 시청자시민운동본부, 언론연대, 인도주의실천의사협의회, 진보네트워크센터, 참의료실현청년한의사회, 함께하는시민행동
취지와 목적
참여연대 공익법센터(소장 양홍석, 변호사)는 오늘(10/13) 행정안전부 김부겸 장관에게 <개인영상정보보호법제정안(행정안전부공고 2017-77호)>에 대한 반대 의견서를 제출함
이번 행정안전부의 「개인영상정보 보호법」 제정안 입법예고 수정안(이하, ‘제정안’)은 2016년 12월 16일 입법예고한 「개인영상정보호호법 제정안」(행정자치부 2016-370호)(이하, ‘원안’)을 수정하여 재입법예고한 것임.
이에 참여연대는 검토 의견을 행안부에 제출함.
개 요
이번 제정안은 이전 원안과 크게 달라진 바 없이 재입법예고된 것임. 제정안의 다수의 조항이 여전히 개인정보보호법의 규정과 유사하거나 중복되고 있을 뿐 아니라, 일부 조항은 현행 개인정보보호법의 보호수준보다 후퇴한 내용을 담고 있음.
즉, 제정안은 첫째, 영상정보에 대해 특별히 별도 입법을 하여 다른 개인정보와 차등을 둘 합리적 이유가 없으며, 둘째, 기술발전에 따른 새로운 영상기기에 대한 규범 미비는 현행 기준이 되는 개인정보보호법 개정으로 가능하고, 셋째 , 위헌 위법 논란이 있을 뿐 아니라 그 목적실현이 검증된 바 없는 통합관제시스템 설치의 법률적 근거 마련을 위한 것으로 보임
이에 제정안이 제정이유에서 밝힌 개인영상정보보호 원칙과 기준을 규정하려는 취지에 부합하기 위해서는 현행 개인정보보호법에서 미비한 개인영상정보 규정은 적어도 현재의 보호 수준보다 높게 설계되어야 할 것이며, 따라서 현행보다도 후퇴한 이번 제정안은 전면 재검토하거나 폐기하여야 할 것임.
현행 개인정보보호법상의 개인정보보호 수준보다 후퇴한 내용은 아래와 같음
사전 동의 예외 확대
목적 외 이용 및 제3자 제공 요건 확대
위헌 및 법적 논란이 있는 통합관제시스템 허용하고 있음
행정안전부 장관의 권한을 신설하여 현행 개인정보호법에 따라 설치된 개인정보보호위원회의 독립된 감독 권한을 축소하고 있음.영상정보 주체의 권리 후퇴
개인정보보호의 일관성, 효율성 침해
보도자료 원문[보기/다운로드]
의견서 원문 [보기/다운로드]
12월 19일(화) 홈플러스 사건을 공동으로 대응하는 소비자·시민사회단체들이 현재까지의 홈플러스 소송 경과 및 정부가 추진하고 있는 빅데이터 정책의 문제점, 소비자 관련 제도개선 과제들을 발표하는 공동보고대회를 개최 합니다.
홈플러스는 2011년부터 2014년까지 고가의 경품행사를 빌미로 수집한 고객들의 개인정보 712만 건을 보험회사 7곳에 148억 원에 불법으로 판매하고, 패밀리카드 회원을 모집하면서 수집한 개인정보 1,694만 건을 보험회사 2곳에 팔아 약 84억 원의 불법 이익을 취했습니다.
2015년 검찰은 「개인정보보호법」 위반 혐의로 홈플러스를 기소했습니다. 1·2심 재판부는 소비자의 동의도 제대로 받지 않고 개인정보를 불법 매매한 홈플러스에 무죄를 선고하였으나, 2017년 4월 7일 대법원은 “개인정보처리자는 처리 목적을 명확하게 해야 하고 목적에 필요한 범위에서 최소한의 정보만을 적법하고 정당하게 수집해야 한다는 개인정보 보호 원칙 및 법상 의무를 어긴 것”이라며 홈플러스의 유죄를 확인해 주었습니다.
또한 소비자·시민사회단체가 진행 중인 민사소송 중 안산소비자단체협의회가 진행 중인 손해배상청구 소송에서 2017년 8월 31일 수원지법 안산지원 제2민사부(우관제 부장판사)는 원고 425명에게 1인당 5만원에서 12만원씩 배상하라는 원고 일부 승소 판결을 내린바 있습니다. 그러나 이러한 판결 역시 개인정보보호의 중요성이 대두되는 시점에서 소비자의 개인정보를 그저 작은 가치로 치부해 버린 판결로 밖에 볼 수 없습니다.
박근혜 정부가 빅데이터 산업 활성화라는 명목으로 소비자의 개인정보를 대기업들의 돈벌이 수단으로 활용할 수 있도록 하는 ‘개인정보 비식별화’ 역시 문재인정부에 들어서 본격 추진될 움직임을 보이고 있습니다. 최근 건강보험심사평가원이 민간보험사에 건강정보를 판매한 사실이 국정감사에서 드러났으며, 복건복지부가 공공기관이 보유하고 있는 보건의료 데이터를 비식별 조치 기준 및 가이드라인을 마련해 관련 정보를 민간에 제공하는 보건의료 빅데이터 정책을 추진하고 있습니다.
우리 소비자·시민사회단체는 소비자의 개인정보가 부당하게 매매되고 있는데도 이를 제대로 보호 및 규제하지 못하는 현행 개인정보보호제도의 개선을 요구하며, 박근혜정부가 빅데이터 정책이라는 이름으로 추진되어온 개인정보 보호규범을 완화하는 법 개정에 깊은 우려를 표합니다.
개인정보 판매가 가속화되는 빅데이터 시대, 소비자 권리가 보호될 수 있도록 많은 관심을 부탁드립니다.
홈플러스 소송 시민단체 공동보고대회
❐ 일시 및 장소
■ 일시 : 2017년 12월 19일(화) 오전 10시
■ 장소 : 은행연합회관 제2층 국제회의실
■ 주최 : 경제정의실천시민연합, 안산소비자단체협의회, 진보네트워크센터,참여연대, 한국소비자단체협의회
❐ 홈플러스 보고회 개요
■ 안산 소협 1심 판결문 취지 설명 : 서치원 변호사 (안산소비자단체협의회)
■ 공정거래위원회 홈플러스 과징금 부과건 소개 (「표시광고법」 위반을 중심으로) : 성춘일 변호사 (참여연대)
■ 홈플러스 소송을 통해 바라본 입법개선의 과제 : 좌혜선 사무국장 (한국소비자단체협의회 자율분쟁조정위원회, 변호사)
■ 개인정보정책 개선의 과제 : 이은우 변호사 (정보인권연구소 이사)
■ 질의응답
ⓒ환경운동연합[/caption]
환경운동연합을 비롯한 참여연대, 무상의료운동본부, 민주노총, 민주사회를위한변호사모임 등 29개 노동·시민사회단체는 9일 오전 11시 광화문광장에서 '규제프리존법·서비스산업발전법 폐기와 생명 안전 보호를 위한 공동행동 출범(이하 공동행동)' 기자회견을 열고 “무분별한 규제완화, 규제프리존법·서비스산업발전법을 즉각 폐기하라”고 촉구했습니다.
공동행동은 “그동안 규제프리존법과 서비스산업발전법이 시민의 삶에 미치는 영향이 심각하다는 것을 지적하고 법안 폐기를 요구한 전국 29개 노동·시민단체들이 <규제프리존법·서비스산업발전법 폐기와 생명안전 보호를 위한 공동행동>을 출범한다”고 밝혔습니다.
[caption id="attachment_185129" align="aligncenter" width="640"]
ⓒ환경운동연합[/caption]
국회의 본격적인 입법논의를 앞두고, 「지역전략산업 육성을 위한 규제프리존의 지정과 운영에 관한 특별법안」(이하 규제프리존법)이 다시 주목받고 있습니다.
규제프리존법은 의료·보건, 환경, 개인정보, 사회·경제적 약자보호 등 우리 사회의 공익을 위해 제정된 현행법과 제도를 특정한 지역 안에서 무력화시키는 내용을 골자로 하고 있습니다. 규제프리존법으로 인한 무분별한 규제완화가 시민의 생명과 안전을 위협하고 우리 사회의 기본적인 공공성을 훼손할 것으로 우려되는 상황입니다.
[caption id="attachment_185137" align="aligncenter" width="640"]
ⓒ환경운동연합[/caption]
규제프리존법은 지역발전이란 미명 하에 추진된 박근혜 정부의 입법안으로 19대 국회에서는 임기만료되어 폐기되었고, 20대 국회에서 자유한국당과 국민의당이 다시 제출하였습니다.
그러나 규제프리존법은 그 내용은 물론, 그 추진과정 또한 ‘정경유착의혹’에서 자유롭지 않습니다. 그렇기 때문에 지난 대선과정에서도 후보 간의 입장 차이가 극명했던 대표적인 법안입니다.
최근 국민의당과 바른정당은 규제프리존법을 통과시키자며 합의했고, 정세균 국회의장은 규제프리존법 중재안을 마련한 것으로 알려졌습니다. 또한 서비스산업발전법은 제18대~제20대까지 자유한국당 의원들이 발의하여 추진하고자 하였습니다.
그러나 적용대상이 농어업과 제조업을 제외한 모든 서비스업으로 규정하고 있어 포괄적 위임입법 금지 원칙에 위반되고, 공공목적의 규제를 대폭 완화하는 내용을 포함하고 있어 그간 노동·시민단체는 서비스산업발전법 폐기를 강하게 요구하였습니다.
[caption id="attachment_185136" align="aligncenter" width="640"]
ⓒ환경운동연합[/caption]
문재인 대통령은 보건의료만 제외한 법안 통과를 공약으로 내걸었지만 보건의료만 제외하더라고 교육, 사회복지서비스, 언론 등 공공서비스 영역이 시장논리의 지배를 받게 되는 위험성이 있습니다. 그뿐만 아니라 기획재정부에 과도한 지위를 부여하여 각 부처를 통제할 수 있도록 하고 있어 각 부처의 자율권 문제가 발생할 수 있습니다. 이처럼 법안 자체가 지니는 문제가 심각함에도 불구하고 청와대는 서비스산업발전법 통과를 요구하고 있습니다.
[caption id="attachment_185131" align="aligncenter" width="640"]
ⓒ환경운동연합[/caption]
무상의료운동본부 김재헌 사무국장의 사회로 진행된 기자회견에서 김정범 공동집행위원장(무상의료운동본부)은 여는 말을 통해 서비스산업발전법의 문제점을 전하며, 제18대~제20대까지 법안을 반대해 온 이유를 설명하였습니다. 또한 “최순실-박근혜-전경련 법이라 일컫는 규제프리존법은 절대 통과되어서는 안된다”고 강조하였습니다.
[caption id="attachment_185132" align="aligncenter" width="640"]
ⓒ환경운동연합[/caption]
이어 환경운동연합 맹지연 국장은 “규제프리존법이 통과되면, 생명안전 규제가 완화되고, 기업의 책임을 낮춰 가습기살균제 사례와 같이 국민을 전세계 다국적기업의 마루타로 전락시킬 것이며, 신사업이라는 미명하에 전국 10%도 안되는 보호지역의 막개발을 허용하는 세계 최초 기업특혜법으로 당장 폐기되어야 한다”고 주장했습니다.
[caption id="attachment_185133" align="aligncenter" width="640"]
ⓒ환경운동연합[/caption]
참여연대 김남희 팀장은 “우리나라는 개인정보 유출이 빈번하게 일어나고 있음에도 관련 대책을 마련하지 않고 있다”면서 “박근혜 정부가 행정부 가이드라인으로 추진한 비식별화가 사실상 개인정보를 침해하는 문제점이 드러나고 있음에도 규제프리존법으로 비식별화를 도입하는 것은 기업의 이익을 위하여 개인정보 자기결정권을 침해하는 것”이라고 밝혔습니다.
[caption id="attachment_185134" align="aligncenter" width="640"]
ⓒ환경운동연합[/caption]
이어 노동자연대 최영준 운영위원은 “규제프리존법에 보건의료 분야 중 의료법인 부대사업, 약사법 규제를 완화함으로 의료가 영리화 될 가능성이 크다”고 지적하면서, “국민의 생명과 안전에 직결되는 의료 분야는 공공의 영역을 확장하는 것이 맞다”고 주장하였습니다.
마지막으로 민주사회를위한변호사모임 최재홍 변호사는 “규제프리존법은 공공의 영역의 규제를 한꺼번에 완화하는 전세계적으로 찾아볼 수 없는 법안이며, 법률의 명확성 원칙에 위반되는 등 법률적 문제가 심각하다”고 지적하였습니다.
[caption id="attachment_185135" align="aligncenter" width="640"]
ⓒ환경운동연합[/caption]
진보네트워크센터 이종회 대표의 기자회견문 낭독을 끝으로 기자회견을 마무리 하였습니다.
[embedyt] https://www.youtube.com/watch?v=yjF0fkHHzBs[/embedyt]
다음은 기자회견문 전문입니다.
2017년 국정감사에서 한국인터넷진흥원, 한국정보화진흥원, 금융보안원, 한국신용정보원 등 박근혜 정부 때 설립된 비식별 전문기관이 20여개 기업으로부터 고객 정보를 넘겨받아 이른바 <정보집합물 결합서비스>를 통해 3억 4천여만건의 개인정보결합물을 기업 등에 제공한 사실이 확인됨.
이와 같은 정보집합물 결합서비스는 박근혜정부가 2016년 6월 방송통신위원회, (구)미래창조과학부, 행정안전부 등 6개의 관계부처가 합동으로 마련한 <개인정보비식별조치 가이드라인>에 따른 것으로, 개인정보라 하더라도 가이드라인에서 제시하는 비식별화조치를 취하면 개인정보가 아닌 것으로 추정하여 기업 등이 마케팅에 적극 활용할 수 있도록 하는 것임.
그러나 정부가 설립한 공공기업이 기업의 마케팅 활용을 위해 국민의 개인정보를 비식별처리, 결합서비스를 제공하는 것은 전세계 유례를 찾아보기 힘듬.
무엇보다 이들 정보집합물 결합 서비스를 위해 기업이 보유한 고객의 정보를 무단으로 제공하고 처리하도록 한 것은 개인정보보호법 등의 사전동의, 목적외 이용 및 제3자제공 금지 의무 등을 위반한 것임. 비식별처리되었다고 하더라고 기업이 보유한 원데이터와 결합하는 등의 방식으로 재식별화의 위험이 큼.
이에 시민사회단체들은 이들 전문기관과 관련 기업20개를 개인정보보호법, 정보통신망이용및정보보호법, 신용정보보호법 등 위반으로 고발함
민간보험사에 국민건강정보 팔아넘긴 심평원을 규탄한다!
건강보험심사평가원(이하 심평원)이 지난 2014년 7월부터 2017년 8월까지 민간보험사 8곳을 비롯한 민간보험연구기관 2곳이 보험료 산출 및 보험상품 개발 등을 위해 요청한 ‘표본 데이터셋’을 건당 30만원의 수수료를 받고 총 52건, 6,420만 명분의 진료기록 정보를 팔아넘긴 것으로 확인됐다. 표본 데이터셋의 구성자료는 입원환자와 소아청소년환자, 고령환자 및 입원환자에 대한 진료 및 질환정보를 담은 상병내역과 진료내역, 원외처방내역 그리고 환자의 개인정보를 담은 일반내역을 포함하고 있다. 심평원으로부터 사들인 진료기록정보를 민간보험사들은 보험상품 연구 및 개발과 위험률 산출 등을 위해 환자들의 정보를 분석하여 영업 및 마케팅에 활용해 온 것이다.
심평원은 「국민건강보험법」제62조에 따라 “요양급여비용을 심사하고 요양급여의 적정성을 평가하기 위하여” 설립됐고, 이러한 근거에 따라 “주민등록·출입국관리·진료기록·의약품공급 등의 자료”를 수집 및 집적할 수 있다(동법 제96조). 그럼에도 불구하고 심평원은 공공의 기능을 수행하는 정부기관임을 망각하고 국민의 건강정보를 민간보험사의 이익창출을 위한 도구로 제공했으며, 민간보험사는 정부기관을 정보수집수단으로 이용했다. 정부기관이 공적인 목적을 위해 수집한 국민들의 개인정보를 상업적 목적을 위한 민간기업에 돈을 받고 팔았다는 사실에 국민으로써 분노하지 않을 수 없으며 정부에 대한 배신감과 불신으로 국민의 건강권과 복지증진을 위한다는 말은 더 이상 믿을 수가 없다.
심평원이 민간보험사에 제공한 정보는 진료행위와 처방의약품에 대한 내용을 비롯해 주/부상병에 대한 정보까지 전부 제공했으니 국민건강정보 모두를 제공한 것이나 다름없다. 민간보험사가 이러한 건강정보 빅데이터를 입수하기를 원하는 것은 궁극적으로 보험가입자의 건강정보를 파악해 보험가입 및 보험금 지급거절을 하기 위한 것이다. 그러므로 보험사가 이러한 빅데이터를 영업목적으로 위해 활용하게 되면 보험가입을 원하거나 이미 가입된 국민들에게 피해를 줄 수 있으며 건강권을 침해 할 수 있는 여지가 충분하다. 결과적으로 심평원의 이러한 행위는 보험사의 이윤만 보장해 주는 격이지 국민의 건강권 향상에는 전혀 이로운 점은 없다. 특히나, 진료내역에 희귀질환과 같이 재식별이 아주 용이한 질병정보까지 포함하고 있어 가장 민감한 개인질병정보를 민간보험사가 집적하고 있다는 사실은 위험한 일이 아닐 수 없다.
이번 사건을 두고 심평원은 빅데이터 제공근거로 「공공데이터의 제공 및 이용 활성화에 관한 법률」제3조의 4항 을 언급했다. 그러나 동법 제28조에 의하면 공공데이터의 제공중단사유로 ‘공공데이터의 이용이 제3자의 권리를 현저하게 침해하는 경우’를 명시하고 있으며, 국민건강보험공단도 민간보험사에 빅데이터를 제공하는 행위가 이에 해당한다고 보고 있다. 또한 「개인정보보호법」에서 규정하고 있는 ‘개인정보’에 대한 정의를 보면 해당 정보만으로 개인을 특정할 수 없더라도 다른 정보와 결합하여 쉽게 식별할 수 있는 정보도 개인정보로 보고 있다. 그러므로 보험사들이 그 동안 집적한 국민의 건강정보에 대한 데이터와 심평원에 제공한 빅데이터(특히 질병정보까지 포함)를 결합하여 가공처리 및 분석할 경우 재식별이 충분히 가능하다는 것은 분명하다. 게다가 현재 비식별조치 가이드라인은 개인정보에 대한 익명화가 아니라 가명정보까지 포함한 개념으로 쓰고 있고 충분히 추론 및 연계하여 식별이 가능하다. 이런 느슨한 제도적 상황에서 민간보험사에 대한 빅데이터 제공을 두고 ‘이용권의 보편적 확대’라는 어설픈 변명을 하는 심평원이 암호화 조치 등 충분한 비식별 조치를 했을지는 의문이다.
국민의 건강권 증진이라는 공적인 목적과 역할을 수행해야 할 심평원이 민간보험사에 건강정보 빅데이터를 팔아넘김으로써 민간보험사의 이윤창출의 조력자 역할을 하고, 국민의 건강정보보호에 대한 책임을 방기한 심평원의 행태는 규탄 받아 마땅하며, 보험사를 비롯한 민간기업에 국민의 건강정보를 제공하는 짓은 변명할 여지가 없는 중범죄임을 인식해야 한다. 심평원의 상위기관인 보건복지부가 이번 사건의 심각성을 인지하고 국민의 개인건강정보보호를 위해 제도적 조치마련을 위한 노력을 다해줄 것을 요구한다.
취지와 목적
참여연대 공익법센터(소장 양홍석, 변호사)는 오늘(10/13) 행정안전부 김부겸 장관에게 <개인영상정보보호법제정안(행정안전부공고 2017-77호)>에 대한 반대 의견서를 제출함
이번 행정안전부의 「개인영상정보 보호법」 제정안 입법예고 수정안(이하, ‘제정안’)은 2016년 12월 16일 입법예고한 「개인영상정보호호법 제정안」(행정자치부 2016-370호)(이하, ‘원안’)을 수정하여 재입법예고한 것임.
이에 참여연대와 정보인권단체 등은 검토 의견을 행안부에 제출함.
개 요
이번 제정안은 이전 원안과 크게 달라진 바 없이 재입법예고된 것임. 제정안의 다수의 조항이 여전히 개인정보보호법의 규정과 유사하거나 중복되고 있을 뿐 아니라, 일부 조항은 현행 개인정보보호법의 보호수준보다 후퇴한 내용을 담고 있음.
즉, 제정안은 첫째, 영상정보에 대해 특별히 별도 입법을 하여 다른 개인정보와 차등을 둘 합리적 이유가 없으며, 둘째, 기술발전에 따른 새로운 영상기기에 대한 규범 미비는 현행 기준이 되는 개인정보보호법 개정으로 가능하고, 셋째 , 위헌 위법 논란이 있을 뿐 아니라 그 목적실현이 검증된 바 없는 통합관제시스템 설치의 법률적 근거 마련을 위한 것으로 보임
이에 제정안이 제정이유에서 밝힌 개인영상정보보호 원칙과 기준을 규정하려는 취지에 부합하기 위해서는 현행 개인정보보호법에서 미비한 개인영상정보 규정은 적어도 현재의 보호 수준보다 높게 설계되어야 할 것이며, 따라서 현행보다도 후퇴한 이번 제정안은 전면 재검토하거나 폐기하여야 할 것임.
현행 개인정보보호법상의 개인정보보호 수준보다 후퇴한 내용은 아래와 같음
사전 동의 예외 확대
목적 외 이용 및 제3자 제공 요건 확대
위헌 및 법적 논란이 있는 통합관제시스템 허용하고 있음
행정안전부 장관의 권한을 신설하여 현행 개인정보호법에 따라 설치된 개인정보보호위원회의 독립된 감독 권한을 축소하고 있음.영상정보 주체의 권리 후퇴
개인정보보호의 일관성, 효율성 침해
보도자료 원문[보기/다운로드]
* <개인영상정보보호법제정안>에 대한 참여연대 의견서 보기
참여연대, 진보넷 등 6개 시민단체는 지난 2월 20일 법무부에 제3차 국가인권정책기본계획(NAP)의 디지털프라이버시권 분야에 대한 시민사회 의견서를 제출했습니다.
의견서 전문은 아래와 같습니다.
유엔인권최고대표는 국가인권정책기본계획(NAP) 개발에 있어 △ 시민사회 및 국민과 함께 하는 절차와 결과가 중요하고 △ 보편적 인권기준을 수용해야 하며 △ 국제인권 의무사항을 이행하고 △ 인권의 상호의존성 및 불가분성을 보장해야 하며 △ 실천지향적이고 △ 대중적으로 널리 공표되고 △ 모니터링과 평가를 받아야 하며 △ 계획수립과 이행이 지속적이고 △ 구체적인 이행 방법을 책임져야 하며 △ 국제적 차원에서 수립되어야 한다는 원칙을 확인한 바 있습니다(국가인권정책기본계획 안내서, 2002). 특히 유엔은 국가인권정책기본계획 개발 과정에 국가인권기구는 물론 시민사회가 참여하는 것이 중요하다는 점을 강조하고 있습니다.
그러나 지난 10년간 한국 국가인권정책기본계획은 그 절차와 내용 모두에서 국제규범에 부합하지 못했다는 비판적 평가를 받고 있습니다. 문재인 정부는 국민 앞에 약속한 인권 공약은 물론, 국제인권규범을 구체적으로 이행할 수 있는 국가 인권정책을 수립할 것을 요구받고 있습니다.
특히 제3차 국가인권정책기본계획은 빅데이터, 인공지능 등 새로운기술이 빠른 속도로 도입되고 있는 디지털 사회에서 국민들의 정보인권을 실질적으로 증진시킬 수 있는 국가계획이 되어야 할 것입니다. 이에 한국 시민사회는 디지털 프라이버시권 분야에서 국가인권정책기본계획에 대한 의견을 다음과 같이 제시합니다.
국민의 일상생활이 디지털 네트워크 및 모바일 환경에 크게 의존하고 있지만 디지털 프라이버시권이 충분히 보장받고 있다고 보기 어렵습니다. 특히 한국 시민사회는 최근 몇년 간 한국 사회에서 다음과 같은 논란이 크게 불거진 데 대하여 문제의식을 갖고 있습니다.
한국에서 인터넷을 통한 대규모 개인정보 유출이 계속하여 매우 심각한 문제로 불거지고 있으나 개인정보보호체계는 아직 미비합니다.
개인정보 유출 사건의 직접적인 원인은 해킹, 내부자 유출 등 범죄행위로 인한 것이지만, 그 배경에는 정부가 주민등록번호 등 인권침해적인 제도적 관행에 몰인식하고 인터넷 실명제 등의 정책으로 그 문제점을 악화시킨 데 따른 문제가 있습니다. 특히 국민은 출생시 부여받는 주민등록번호를 공공, 보건의료, 금융, 통신 등 일상생활에서 광범위하게 제출할 것을 요구받고 있는데 유출 사고로 정신적, 물질적 침해를 입어도 주민등록번호의 변경조차 쉽지 않습니다. 헌법재판소는 2012년 인터넷실명제와 2015년 주민등록번호 변경불허에 대하여 각각 위헌과 헌법불합치를 결정하였으나 사회 전체적으로 주민등록번호 의존 정책이 크게 변화하지 않았으며, 임의번호 도입 등 후속조치와 국민의 기본권 보장이 아직 미비합니다.
특히 한국의 독립적이고 전문적인 개인정보 감독체계는 국제기준에 비해 매우 미비합니다. 2014년 카드3사에서 1억4백만 건의 개인금융정보가 유출된 후 정부는 「개인정보보호 정상화 대책」을 통해 개인정보보호위원회 기능강화를 약속했으나 부분적인 데 그쳤습니다.
정보수사기관이 발전된 통신감시기술을 이용하여 국민의 통신비밀을 침해하는 데 따른 논란도 계속 커지고 있습니다.
경찰은 2011년 희망버스 행진과 2013년 철도노동조합 파업 당시 많은 인권활동가, 노동조합활동가에 대해 휴대전화 실시간 위치추적을 광범위하게 실시하였으며 이때 초등학생 등 미성년 국민도 활동가의 가족이라는 이유만으로 추적되었습니다. 또 2012년 경찰 및 검찰이 정당 집회 참석자를 확인하기 위하여 참석자 및 기자 들에 대하여 광범위한 기지국수사를 실시한 사실이 드러났습니다. 이 사건들에 대해서는 헌법소원이 제기되어 현재 심사 중입니다.
한국에서 집행되는 대부분의 감청을 비밀정보기관인 국가정보원이 실시하고 있으며(국가통계 중 98% 이상), 그중 일부는 인터넷 회선 전체에 대하여 집행되는 패킷 감청(Deep Packet Inspection)입니다. 그러나 한국에서 국가정보원의 감청에 대해서는 민주적인 통제가 전혀 이루어지고 있지 못하며, 지난 2015년 국가정보원이 이탈리아에서 해킹프로그램(RCS)을 수입·운용해왔다는 사실이 드러났을 때도 법원이나 국회조차 그 사실에 대해 전혀 모르고 있었습니다. 국가정보원의 패킷 감청에 대해서는 2차례에 걸친 헌법소원이 제기되어 현재 심사 중입니다.
지난 2016년 제정된 테러방지법으로 인해 국가정보원의 통신 및 사이버공간 감시에 대한 국민의 우려가 증폭되기도 하였습니다.
모바일 환경이 확산됨에 따라 많은 국민이 휴대전화를 통해 의사소통을 하고 있지만 수사기관에 대한 자료 제공이 과도하고 충분히 통제받고 있지 않습니다. 경찰은 2014년 이후 세월호 참사에 항의하는 국민들의 불법 집회를 수사한다는 이유로 카카오톡 등 모바일 플랫폼 회사는 물론 휴대전화 그 자체에 대해서도 광범위한 압수수색을 집행 하였습니다. 법원의 영장에 따른 집행이라고는 하지만 수사 대상과 같은 단체카톡방에 속했다는 이유만으로 많은 국민들의 개인정보가 수사기관에 제공되었으며 그 사실에 대한 사후 통지도 이루어지지 않았습니다. 2016년에는 국정원, 경찰 등 정보수사기관이 국내 이동통신사에 대하여 법원의 영장도 없이 통신가입자의 이름, 주민등록번호 등 광범위한 통신자료를 제공받아온 관행이 국민적 지탄을 받았습니다. 국가통계에서 통신자료 제공이 연간 1천만 건을 넘어서는 것으로 집계되고 있습니다. 이 사건들에 대해서도 헌법소원이 제기되어 현재 심사 중입니다.
최근 빅데이터 분석 기술이 발전하고 이를 통해 경제적 가치를 창출하려는 욕구가 증가하면서 개인정보 매매 등 그에 대한 상업적 이용이 증가하고 있지만, 개인정보에 대한 국민들의 결정권은 보장되고 있지 못합니다.
2011년부터 2014년까지 대형마트 홈플러스는 자사 온라인 회원 및 경품응모자들의 개인정보 2천 4백만 건을 10개 보험사에 판매하여 수백억 원의 수익을 올렸지만 당사자 정보주체는 그 사실을 전혀 알지 못했습니다. 또 다른 대형마트 및 보험사에서도 이런 매매 관행이 일반화되어 있었다는 사실이 확인되었습니다.
미국 빅데이터업체인 IMS헬스가 2011년부터 2014년까지 국내 약국 및 병원에서 우리 국민 4천 4백만 명 50억 건에 달하는 처방전을 구입하여 전세계를 대상으로 가공 판매하고 있습니다. 우리 국민들은 민감한 건강정보의 유출 사실에 대하여 전혀 알지 못했으며 정부는 유출된 처방전을 회수하려는 노력도 하고 있지 않습니다. 시민사회는 최근 정부가 추진하는 보건의료 빅데이터 정책이 이와 마찬가지의 결과를 낳게 될지 모른다는 사실을 우려하고 있습니다.
지난 박근혜 정부는 정부 차원에서 개인정보에 대한 상업적 이용을 활성화하기 위한 정책을 추진했습니다. 특히 국민의 개인정보를 보유한 기업이 그 개인정보에 대해 정부가 권장하는 비식별화 조치를 취한 경우 이를 ‘개인정보가 아닌’ 것으로 추정하고 개인정보 보호법제의 적용을 배제하여 자유롭게 이용하도록 한 정책(범정부 비식별조치 가이드라인, 2016)에 대해서는 많은 시민사회가 그 적법성의 문제를 지적해 왔습니다.
문재인 정부는 대통령 후보 시절 시민 사회 앞에 ㅇ개인정보의 목적외 이용 규제 및 로직 설명 요구권리, 프로파일링 거부권, 생체정보 보호 ㅇ개인정보 유상판매에 대한 정보주체 알권리와 동의권 보장 ㅇ비식별조치 가이드라인 재검토를 약속하였으며,
공식 공약으로 △ 개인정보 보호 체계 효율화, 개인정보보호위원회의 위상 강화 △ 무더기 정보 이용 동의(일괄 동의)를 통한 무분별한 신용정보 활용 금지 △ 목적 외, 그룹 내 무단 정보 사용에 대한 제재 강화를 국민들에게 약속하였습니다.
또 문재인 정부는 출범후 국정과제로 “2018년부터 개인정보 보호 거버넌스 강화 및 개인정보 보호 체계 효율화, 무분별한 개인정보 이용에 대한 제재 강화”를 제시하였습니다.
유엔 국제인권기구에서 디지털 프라이버시권 분야에서 한국 정부에 대해 이루어진 주요 권고로는 다음과 같은 것이 있습니다.
사생활 보호를 위해 주민등록제도 재검토 및 주민등록번호를 공공서비스 제공을 위해 엄격히 필요한 경우로 제한할 것 (2008년 1차 UPR),영장 없는 통신자료 제공, 집회 참가자를 특정하기 위한 기지국 수사, 국가정보원의 폭넓은 감청과 이들에 대한 불충분한 감독에 대해 우려를 밝히고 모든 감시가 국제인권규약에 부합하도록 보호하는 내용으로 법을 개정할 것 (2015년 유엔 자유권위원회)
그밖에 유엔은 다음과 같은 국제 규범을 가지고 있습니다.
독립적인 권한이 보장되는 개인정보감독기구를 수립ㆍ유지할 것 : 유엔은 각국 정부에 여러 차례 개인정보 감독기구의 독립성과 권한 보장을 권고해 왔습니다. 일찌기 1990년 총회에서 “모든 국가들은 열거된 원칙들의 준수를 감독할 기관을 국내법에 따라 설치한다. 이 기관은 개인정보 처리를 담당하는 개인 혹은 기관에 대해 불편부당성, 독립성, 기술적 역량을 제공해야 한다.”고 선언하고(UN 컴퓨터화된 개인 정보파일의 규율에 관한 지침), 다시금 2013년 총회에서 “통신감시, 감청, 개인정보 수집 등 국가감시의 투명성 및 책임성을 보장할 수 있는 독립적이고, 효과적인 국내적 감독 체제를 수립 혹은 유지할 것”을 각국 정부에 권고하는 결의안을 채택하였습니다. (디지털시대 프라이버시권 결의안) 2017년 유엔인권이사회는 “국가의 통신 감시, 감청, 개인정보 수집에 대해 투명성과 책임성을 적절하게 보장하기 위한, 독립적이고 효과적이며 적정하게 자원이 할당되고 불편부당한 사법적, 행정적, 혹은 의회의 국내 감독 체제를 수립하거나 유지할 것”을 권고하였습니다. (디지털시대 프라이버시권 결의안)
정보주체의 동의 없이 판매, 재판매 , 기업 간 공유되는 피해 대응을 위한 규제, 예방조치 등을 개발하고 유지할 것
: 빅데이터 환경이 등장하면서 2017년 유엔 인권이사회는 “디지털시대 민감정보 등 개인정보의 수집, 처리, 공유가 상당히 증가함에 따라, 개인들이 자신의 개인정보를 재사용, 판매, 다목적 재판매하는 데 대해 자유롭고 명시적이며 충분한 설명을 들은 후 동의하고 있지 못하다”고 우려하면서 “개인의 자유롭고, 명시적이고, 충분한 설명에 따른 동의 없이 개인정보가 판매되고, 다목적으로 재판매되며 타기업에 공유되는 피해에 대응하는 규제, 예방 조치와 구제대책을 개발하고 유지할 것”을 각국 정부에 권고하는 결의안을 채택하였습니다. (디지털시대 프라이버시권 결의안)
각국 정보기관의 대량통신감시 증가에 대한 국제인권기준을 준수한 절차, 입법 등 수립 요구: 유엔은 정보기관의 대량통신감시 증가에 대해 크게 우려하고 있습니다. 유엔은 디지털시대 프라이버시권에 대한 총회 결의안(2013년 총회), 유엔인권최고대표 보고서(2014년), 유엔인권이사회 결의안(2017년)을 통해 각국 정부에 “감시·감청·수집 등 통신 감시, 감청, 개인정보 수집에 관한 절차, 관행, 입법을 검토”하고, 국가와 기업이 이를 집행할 때 국제인권기준을 준수할 것을 계속 요구하고 있습니다. 유엔은 프라이버시 특별보고관 제도를 신설하였으며, 2018년 초대 프라이버시 특별보고관의 한국방문조사가 예정되어 있습니다.
디지털 프라이버시권과 관련하여 국가인권위원회 또한 다음과 같이 권고한 바 있습니다.
독립성과 전문성이 확보된 개인정보보호위원회를 설치할 것(2003. 11. 13. 등 다수 권고)
주민등록번호 제도 개선 권고(2014. 8.) : 주민등록번호를 주민등록 관련 행정업무와 사법행정업무에 한정하여 사용할 것, 다른 공공영역에 대하여는 목적별 자기식별번호 체계를 도입할 것, 민간영역에서 주민등록번호 사용을 허용하고 있는 법령을 재정비하여 주민등록번호 사용을 최소화할 것, 임의번호로 구성된 새로운 주민등록 번호체계를 채택할 것, 주민등록번호 변경절차를 마련할 것, 주민등록번호의 목적 외 사용을 금지할 것
통신자료, 실시간 위치추적 및 통신사실확인자료 제공제도 개선 권고(2014. 4.) : 통신자료를 통신비밀보호법에서 통합 규율할 것, 통신사실확인자료 제공요건을 강화할 것, 실시간위치추적 요건을 강화할 것
비식별 정보 입법안 개선 권고(2016. 10. 신용정보보호법 개정안) : 비식별 정보를 신용정보주체의 동의 없이 목적 외로 이용하거나 제3자에게 제공할 수 있도록 함으로써 개인정보 자기결정권을 침해할 우려가 있음
개인정보보호위원회는 다음과 같이 권고하였습니다.
‘비식별’은 ‘익명’과 ‘가명’을 혼용하여 개인정보 여부가 불명확하고 국제적 통용성도 갖추고 있지 않은 개념으로 개인정보 보호법에 부합하게 규율할 것(2017. 1. 등 다수 권고)
국가인권위원회는 제1차(2007-2011) 계획에 대하여
정보인권 분야의 현황으로
△개인정보 데이터베이스가 증가하고 개인정보 자동수집기술이나 생체인식기술이 발전하여 프라이버시권 침해증가
△공공기관 및 민간영역에서 주민등록번호를 비롯한 개인정보를 과도하게 수집하고 유출 피해 증가
△개인정보 보호를 위한 법적 제도적 장치가 미흡
△개인정보를 보호하고 이용을 관리 감독할 독립적이며 전문적인 개인정보보호기구 부재
△CCTV 설치 운영에 국회가 제정한 법률에 따른 통제 미비
등의 문제를 지적하였습니다.
이에 핵심 추진과제로
▲개인정보보호기본법 제정 및 관련 법령 정비로 개인정보 보호 원칙을 확립하고 개인정보 보호정책 수립 개인정보 수집자에 대한 일상적 감독, 개인정보 침해 구제 등을 담당하는 독립적이고 전문적인 개인정보보호기구 설립
▲개인정보 침해 위험이 많은 공공 및 민간사업 추진시 프라이버시 침해 위험이 없는 다른 대안을 검토하도록 의무화하고 개인에게 프라이버시를 침해당하지 않는 다른 방법을 선택할 수 있는 선택권 부여
▲공공기관 및 민간 영역의 주민등록번호 수집 제한과 오남용 방지, 국민의 자기정보통제권을 보장하는 방향으로 주민등록제도 개선
▲프라이버시 보호의 관점에서 CCTV의 설치기준 및 보관자료의 처리기준 등을 마련하고 주무기관을 지정하여 관리의 효율성 제고 등을 권고하였습니다.
대한민국 정부는 최종 제1차 국가인권정책기본계획(2007-2011)에서 CCTV 등 감시장비로부터의 프라이버시 보호 방안 마련을 위해
△공공기관 CCTV 설치·운영 관리 강화
△민간부분 CCTV 개인영상정보 보호
△사업장 내 근로자 감시 설비 설치 노사협의 도입
주민등록번호의 사용 제한 및 제도 개선을 위해
△주민등록번호 도용 처벌 강화
△공공기관 법정서식 개선
△인터넷 상 주민등록번호 대체수단 활성화를 밝혔으며
개인정보보호기본법 제정 및 관련법령 정비
개인정보영향평가제도의 제도화 추진
개인 건강정보에 대한 보호의 강화
등의 계획을 밝혔습니다.
국가인권위원회는 제2차(2012-2016) 계획에 대하여
제1차 계획 및 이행의 평가 측면에서 「개인정보 보호법」의 제정 및 시행으로 개인정보 보호를 강화하기 위한 제도적 노력은 긍정적으로 평가할 수 있으나 개인정보 보호위원회의 독립성은 미흡하며, 기업들의 주민등록번호 수집 오ㆍ남용과 개인정보의 유출 사고, 급격하게 늘어나는 CCTV의 관리 능력 부재 등으로 개인정보 보호를 위한 이행 노력은 미흡하였다고 평가하였습니다.
이에 제2차 계획으로는 인터넷 본인확인제 기반 위에서 효율성ㆍ경제성ㆍ편의성에 바탕을 두고 무분별하게 수집ㆍ이용ㆍ제공되고 있는 개인정보 처리 관행을 정보인권 시각에서 개선 조치하고 관련 법령을 일제 정비하기 위한 방향 속에서 실명제 기반 개인정보 처리 관행 등을 개선할 것을 권고하였음. 특히
△ 주민등록번호 시스템의 폐기 또는 재정비(재권고)
△ 행정정보공유시스템, 형사사법정보시스템 등 행정기관의 정보공유 체계에 대한 개선
△ 「개인정보 보호법」중 개인정보의 목적 외 이용ㆍ제공 규정 개선을 권고하였습니다.
대한민국 정부는 최종 제2차 국가인권정책기본계획(2012-2016)에서 개인정보의 대량 유출로 주민등록번호의 도용 및 오·남용 우려가 증가하고 이에 따라 주민등록번호 변경 요구와 함께 주민등록번호 시스템 폐기 문제까지 제기되고 있어 주민등록번호 수집·이용을 제한하고 주민등록번호 도용 및 오·남용을 방지할 대책이 필요하고, 2011년 9월「개인정보 보호법」시행에 따라 영상정보처리기기(CCTV)의 설치 운영 제한, 안내판 설치, 안전성 확보 조치 등 의무규정이 준수될 수 있도록 관리·감독이 필요한 현황을 인정하고,추진과제로서
▲ 주민등록번호 개선을 위해 주민등록번호 오·남용 방지를 위한 발행번호 도입, 주민등록번호의 민간 사용 단계적 제한 방안 마련
▲ 인터넷 상 주민등록번호 대체수단(I-PIN) 활성화
▲ 민간 웹사이트에서 영리 목적의 주민등록번호 수집·이용 제한
▲ 「개인정보 보호법」시행에 따른 CCTV 관리·감독 등의 계획을 밝혔습니다.
국가인권위원회는 제3차(2017-2021) 계획에 대하여 제2차 계획 및 이행의 평가 측면에서
△ 주민등록증 발행번호 도입은 완료되지 않았고,
△ 주민등록번호 대체수단 활성화는 주민등록번호로 발생했던 문제들을 해결하지 못했고, ‘주민등록번호만 아니면 된다’는 식의 관행이 형성되어 오히려 불필요한 본인확인이 증가하는 등의 문제점이 나타났으며,
△ 민간 웹사이트에서 영리목적의 주민등록번호 수집・이용 제한은 본인확인 대체수단의 확산으로 실질적인 목적을 달성하지 못했고,
△ 반복적으로 제기되는 CCTV 관리・감독 문제 또한 제대로 이루어졌다고 보기 어렵다고 평가하였습니다.
이에 제3차 계획으로는 고도 정보화 사회에서 ICT 기술의 오・남용을 방지하면서 기술진보에 능동적으로 대처하여 정보인권을 보장할 수 있도록 하기 위한 목표 속에서 핵심 추진과제로
△ 개인의 통신데이터에 대한 광범위한 수집(압수・수색 및 감청, 기지국수사 및 위치정보 수집 등)으로 인한 인권침해의 소지를 최소화하기 위한 법령 정비
△ 실명제, 인터넷 내용규제, 사이버 명예훼손 등 네트워크 관련 규제의 종합적 검토(재권고)
△ 개인정보 유출, 각종 DB의 통합 등 정보인권 관련문제의 핵심 요소인 주민등록번호 시스템의 재정비
△ 녹음기기(스마트폰) 및 촬영기기(CCTV)의 기술혁신과 가격하락으로 인해 발생하고 있는 보편적 사생활 침해에 대한 법적 기준 마련(재권고)
△ 빅데이터의 통합에 따른 공기관이나 사인에 의한 정보인권침해 문제에 대한 대책마련
△ 정보주체의 통제미비, 내밀한 프라이버시 정보의 유출가능성 등 사물인터넷, 웨어러블 기술의 문제점에 대한 개인정보보호법 점검 등
△ 생체정보의 수집‧처리 및 오남용 방지, 정보주체의 권리 보호를 위한 대책 마련 등을 권고하였습니다.
우선 국내 현황으로 빅데이터, 클라우드 등 전세계적 DB 실현과 사물인터넷 등 무선센서 네트워크 시대 개막에 따라 신기술에 대응하는 개인정보보호가 요청됨
IT 기술 발전으로 인해 대량의 개인정보가 광범위하게 수집·이용되고 있으며, 현재에도 매년 15만건 이상의 개인정보 침해신고 상담이 이루어지고 있는 등 기술의 발전에 따른 개인정보 보호 필요성이 크게 대두됨 (다만, 개인정보보호의 문제는 그 방법이나 범위와 관련, 정보기술발전에 중점을 두는 견해와 정보주체 보호에 중점을 두는 견해가 대립되고 있음)
다양한 영역에서 본인 확인 수단으로 활용되던 주민등록번호 제도는 개인정보 유출에 따른 피해증가를 이유로 폐지나 대체수단 마련 등의 제도개선 요구가 있었으나, 제도개선 시 초래될 사회적 비용 문제로 현행 주민등록번호체계를 유지하되 주민등록변경 제도 도입(주민등록법 개정, ’16. 5.)
신원확인 및 본인 인증을 위한 지문․홍채․정맥 등 생체정보의 활용이 확산되고 있음에 따라 유일성․불가변성․일신전속성 등의 특성을 갖는 생체정보의 유출 및 오남용 대책 마련 필요
등으로 파악하고 제2차의 이행경과에 대하여 주민등록번호 변경제도 도입 등 주민등록번호 개선
인터넷상 주민등록번호 대체수단 활성화 및 민간 웹사이트에서 영리 목적의 주민등록번호 수집 이용 제한
개인정보보호법 시행에 따른 CCTV 관리감독에 대하여 긍정적으로 평가하고 제3차 추진과제 및 이행방안으로서 주민등록번호 시스템의 정비 (행정자치부) : 주민등록번호 제도 개선으로서 ’16. 5. 신설된 주민등록번호 변경제도 시행을 위한「주민등록번호 변경 등에 관한 규정」(대통령령) 및「주민등록번호 변경 등에 관한 규정 시행규칙」제정, 친족관계에 의한 성폭력범죄자의 주민등록표의 열람, 등본· 초본의 교부신청
녹음기기(스마트폰) 및 촬영기기(CCTV)의 기술혁신과 가격하락으로 인해 발생하고 있는 보편적 사생활 침해에 대한 법적 기준마련 (행정자치부)
: 영상정보처리기기 다양화(드론, 블랙박스 등) 및 CCTV 증가로 인한 사생활 침해에 대응하기 위해 법제 정비
정보주체의 통제 미비, 내밀한 프라이버시 정보의 유출가능성 등 사물인터넷, 웨어러블 기술의 문제점에 대한 개인정보보호법 점검 (행정자치부)
: 사물인터넷, 웨어러블 기술 등 발달에 따른 환경 변화에 대응하여 지속적으로 개인정보보호법을 점검
생체정보의 수집·처리 및 오남용 방지, 정보주체의 권리 보호를 위한 대책 마련 (행정자치부·방송통신위원회)
: 생체정보를 이용하는 기술발전에 대응, 개인정보보호 대책을 지속적으로 검토
등을 제시하였습니다.
첫째, 국가인권정책기본계획이 국제인권기구의 권고에 대하여 아무런 이행계획을 포함하고 있지 않은 것은 큰 문제입니다
심지어 법무부가 평가하고 있는 국제인권기구의 관련 권고(2015년 자유권규약위원회)에 대하여조차 아무런 계획이 없습니다.
다음과 같은 유엔의 권고 항목에 대한 계획이 포함되어야 합니다.
주민등록번호 사용제한
통신자료 제공제도 개선
기지국수사 제도 개선
국가정보원 감청제도 개선
개인정보보호위원회 독립성 강화
개인의 자유롭고, 명시적이고, 충분한 설명에 따른 동의 없이 개인정보가 판매되고, 다목적으로 재판매되며 타기업에 공유되는 피해에 대응하는 규제, 예방 조치와 구제대책 개발,국가 및 기업이 집행하는 감시·감청·수집 등 통신 감시, 감청, 개인정보 수집에 관한 절차, 관행, 입법 검토
둘째, 문재인 정부의 관련 인권 공약에 대해서는 구체적인 이행 계획으로 반영되어야 합니다.
개인정보 보호 체계 효율화 : 정보통신망법 등으로 흩어져있는 개인정보 보호법제를 개인정보보호법으로 일원화
개인정보보호위원회의 위상 강화
개인정보에 대한 목적 외, 무분별한 활용에 대한 제한
셋째, 국가인권위원회의 권고, 특히 반복적인 권고에 대해서는 반드시 포함해야 합니다.
개인의 통신데이터에 대한 광범위한 수집(압수・수색 및 감청, 기지국수사 및 위치정보 수집 등)으로 인한 인권침해의 소지를 최소화하기 위한 법령 정비,임의번호 도입 등 주민등록번호 시스템의 재정비
영상 등 디지털기록기기, 빅데이터, 사물인터넷, 생체정보 처리로부터 보호를 위한 법적 보호장치 마련
넷째, 관련부처의 자의적인 평가와 부처 편의에 따른 계획 수립 절차를 전면 재고해야 합니다.
관련 법률 정비는 관련부처의 소관사항 확보를 위한 차원이 아니라 국민의 정보인권 보장을 위해 수립되어야 합니다.
주민등록번호 개선 현황에 대한 긍정적 평가는 주무부처인 행정안전부의 이해관계에 따른 것으로, 국가인권위원회 및 시민사회의 비판적 평가와 차이가 있습니다. 이런 평가의 한계는 추가적인 개선 계획을 수립함에 있어서도 미흡한 결과를 낳을 수 밖에 없습니다.
행정안전부가 추진하고 있는 영상정보 보호법 제정안에 대해서는 이미 개인정보보호위원회가 제정 반대 의견을 밝힌 바 있는데(제2017-01-07호) 행정안전부의 관점만을 국가계획에 포함하는 것은 일부 정부부처에 편향적이라는 비판을 받을 수 밖에 없습니다. 영상기기에 따른 사생활 침해를 방지하기 위한 법제 개선은 필요하지만, 이는 개인정보보호위원회가 권고한 바와 같이 개인정보보호법 개정을 통해 이루어져야 합니다.
국가인권정책기본계획에 “개인정보보호의 문제는 그 방법이나 범위와 관련, 정보기술 정보기술 발전에 중점을 두는 견해와 정보주체 보호에 중점을 두는 견해가 대립되고 있음”이라는 단서를 명기하는 것은 매우 부적절합니다. 정보기술의 발전과 정보주체의 보호가 대립관계에 있는 것도 아닐 뿐더러, 정보기술이나 산업 발전을 위해 개인정보 보호를 완화할 수 있음을 시사하는 것은 인권정책이 취할 태도가 아닙니다.
개인정보 관련 국가계획에 대해서는 개인정보 보호위원회와 협의가 반드시 필요합니다.
2018. 2. 20
경실련, 다산인권센터, 서울YMCA 시청자시민운동본부, 인권운동사랑방, 진보네트워크센터, 참여연대
의견서원문 [보기/다운로드]
이번 연속토론회는 국가인권위원회의 후원으로 문재인 정부 공약 사항인 ‘4차 산업혁명’과 ‘개인정보 보호 강화’를 조화시키고 미래 신기술로부터 국민의 정보인권을 보호할 수 있는 방안을 모색하고 있습니다. ‘정보·수사기관과 미래 신기술, 어떻게 만나야 하는가’를 주제로 한 제1차 토론회(7/24), ‘빅데이터 활용과 개인정보 보호, 바람직한 균형은 무엇인가’를 주제로 했던 제2차 토론회(7/26) 및 ‘빅데이터 활용과 개인정보 보호, 바람직한 균형은 무엇인가’를 주제로 한 제3차 토론회(8/8)까지 성황리에 마쳤습니다.
GDPR 등 해외입법례와 비교하여 빅데이터 시대 이용자를 보호하기 위한 개인정보보호법 개선 방향에 대하여 살펴볼 17일 토론회는 고려대학교 법학전문대학원 박노형 교수가 발제를 맡았습니다. 국가인권위원회 비상임위원인 김기중 변호사의 사회로 김보라미 변호사(언론연대 정책위원), 전응준 변호사(법무법인 유미), 차상육 교수(경북대학교 법학전문대학원) 및 국회 입법조사처 심우민 입법조사관과 정보통신정책연구원 ICT전략연구실 이원태 연구위원이 토론에 참여할 예정입니다.
발제를 맡은 박노형 교수는 우선 2018년 5월 25일부터 적용될 유럽 일반개인정보보호규칙(GDPR)에 대한 올바른 이해를 촉구하였습니다. 빅데이터 산업에 대한 GDPR의 태도는 개인정보의 이용으로 이익을 얻는 컨트롤러(개인정보 처리자)가 이에 대한 대가로서 개인정보보호에 대한 투자를 해야 한다는 것입니다. 발제자는 개인정보보호에 있어서 정보주체의 권리 강화를 IT기업 등 컨트롤러의 사업 추구에 대한 제한이라고 비난하는 것은 개인정보를 포함한 정보가 핵심인 21세기 디지털경제에서 수용할 수 없을 것이라고 지적하였습니다.
특히 GDPR의 프로파일링(profiling) 규정은 디지털경제에서 개인정보를 처리하는 기업에 큰 영향을 미칠 것입니다. 프로파일링은 ‘어느 웹사이트 방문자의 15%가 여성이고 전문직에 종사하며 20대 중반에서 30대 중반이다’와 같이 개인 또는 개인 그룹에 관한 정보를 수집하고 그의 특성 또는 행태를 분석하여 그(들)를 일정한 범주 또는 그룹에 넣거나 일의 수행 능력, 관심 또는 가능한 행동에 관한 예측 또는 평가를 하는 것을 의미합니다. GDPR은 프로파일링을 포함한 자동화된 처리에만 기초한 의사결정에 따라 정보주체가 피해를 보지 않도록 규정하고 있습니다. 빅데이터 산업에서 프로파일링이 수행되는 경우 과거 규정보다 큰 투명성과 정보주체의 보다 큰 통제를 보장해야 한다는 것입니다.
마지막으로 발제자는 우리 개인정보보호법이 프로파일링 등 개인정보의 자동화된 처리 및 이에 기초한 결정을 명시적으로 제한하는 규정을 두지 않는다는 점을 지적하며, 소위 인공지능(AI) 기술의 활성화로 개인정보의 자동화된 의사결정이 활성화됨에 따라 정보주체와 개인정보처리자의 이익이 균형되도록 이에 대한 명시적 규정이 도입되어야 한다고 제언하였습니다.
보도자료 [원문보기/다운로드]
1차 토론회 4차산업혁명과 정보인권- 수사기관과 미래 신기술, 어떻게 만나야 하는가
글 | 써머즈
2017년 3월 미국 의회는 연방통신위원회(FCC)가 만든 개인정보 보호 규정 시행을 막는 결의안을 표결에서 통과시켰습니다. 3월 23일에는 상원에서, 3월 28일은 하원에서 각각 통과됐습니다. 공화당이 다수파를 차지하고 있으므로 가능한 일이었다고 생각합니다.
그리고 트럼프 미국 대통령은 2017년 4월 3일 인터넷 개인정보 보호 규정을 폐지하는 법안에 최종 서명했습니다.
미국의 인터넷 개인정보 보호 규정은 미국 연방통신위원회(FCC)가 2016년 10월 27일에 만들었는데, 미국 인터넷 서비스 제공자(ISP)가 고객(이용자)의 동의 없이 이용자의 인터넷 사용 정보와 앱 활동 등을 추적하거나 공유하지 못하게 하는 내용을 담고 있었습니다.
조금 더 정확하게 말하자면, ISP는 고객(이용자)의 정보를 이용하거나 공유하려면 고객들에게 ‘옵트인’ 방식, 즉 명확한 사전 동의를 받아야 한다는 뜻입니다. 여기에 해당하는 정보는 아래와 같습니다.
반면 ISP가 기본적으로 고객의 사전 동의가 없어도 고객 정보를 수집하다가 고객이 사후 거부 의사를 밝힐 때부터 수집을 중단하는 “옵트아웃” 방식으로 수집할 수 있는 정보도 있습니다.
또한 ISP는 자신들이 수집하는 개인정보가 무엇이고 어떻게 이용될지, 누구와 공유할지를 고객들에게 분명하고 알아보기 쉽게, 지속적으로 알려줘야 합니다. 그리고 고객들이 개인정보 설정을 어떻게 바꿀 수 있는지도 명시하고요.
그리고 보안에 대한 적절한 감독, 데이터의 적절한 폐기, 합리적인 데이터 보안 관행과 지침을 마련해야 한다고 했습니다.
단, 이 규칙은 (구글이나 페이스북 같은) 소셜미디어 웹사이트나 정부 시설 등에는 해당하지 않는다고 명시했습니다.
이 규정은 2017년 말부터 시행할 예정이었으나 트럼프의 서명으로 이제 미국의 인터넷 서비스 제공자들은 자신들의 이익을 위해 이용자 허락 없이 개인정보를 가져갈 수 있게 됐습니다.
“이것(FCC의 개인정보 보호 규정)은 불필요하고, 헷갈리고 혁신을 숨 막히게 하는 규제다.”
“It is unnecessary, confusing and adds another innovation-stifling regulation.”
아리조나 주의 상원의원 제프 플레이크는 FCC의 규제안에 대해 이렇게 말하면서 앞으로 FCC가 인터넷 이용자의 개인정보를 보호하는 유사한 규정도 만들지 못하게 하는 결의안까지 발의했습니다.
트럼프 정부의 개인정보 보호 규정 폐지를 보니 생각나는 일련의 사건들이 있습니다.
홈플러스는 2011년부터 2014년 사이에 수집한 2,400만 건의 고객 개인정보를 보험회사에 팔아서 232억 원의 이익을 봤습니다. 홈플러스는 어떤 처벌을 받았을까요?
한국 정부(공정위)는 약 4억 원의 과징금을 부과했고, 법원은 1심에서 무죄를 선고했고, 검찰의 항소를 아예 기각했습니다. 시민단체들은 정보통신망법과 개인정보보호법을 위한 홈플러스를 조치해달라고 방통위에 신고서도 냈지만 별 조치는 없었습니다.
이쯤 되면 국가는 도둑을 장려하고, 기업은 법과 고객을 비웃는다는 생각이 머릿속에서 떠나지 않습니다.
다행히도 대법원이 홈플러스 전·현직 임직원에게 무죄를 선고한 원심을 파기하고 사건을 유죄 취지로 서울지방법원 형사항소부로 돌려보냈습니다. (2017년 4월 7일 2016도13263 대법원 3부, 주심 권순일 대법관)
대법원은 “피고인들이 이 사건 광고 및 경품행사의 주된 목적을 숨긴 채 사은행사를 하는 것처럼 소비자들을 오인하게 한 다음 경품행사와는 무관한 고객들의 개인정보까지 수집해 이를 제삼자에게 제공했다”면서 “이는 ‘거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위’에 해당한다”고 밝혔습니다.
롯데홈쇼핑1 같은 경우는 2009년부터 2014년 사이에 고객 개인정보를 보험회사에 팔아서 37억 원가량의 이익을 봤습니다. 324만여 명의 고객 개인정보를 팔았는데 이 중 2만9천여 명에게는 “제3자 제공” 동의를 아예 구하지 않았습니다.
방통위는 롯데홈쇼핑에 2016년 8월 11일 과징금 1억8천만 원 부과를 결정했습니다. 시민단체들은 이를 검찰에 형사고발 했습니다. 시민단체들은 고객의 쇼핑내역 등 다른 정보까지 함께 판 것이 아닌지도 수사해 달라고 요청했죠.
이 외에도 개인정보 유출까지 이야기한다면 끝이 없을 겁니다. 공인인증서에 액티브엑스에 각종 설치파일에… 각종 불편함과 위험을 일반 인터넷 이용자인 고객에게 떠넘기면서 대량 개인정보 유출 사건이 일어나도 달라지는 건 없습니다.
업체들은 한 차례도 제대로 처벌받거나 거액의 보상금을 물어 준 적이 없습니다. 어떻게 유출됐고 어떤 보완책을 세웠는지 제대로 알리지도 않고 정부도 들여다보거나 국민에게 알려주지 않습니다.
그러면서 정부는 국민에게 정보를 제공할 때 신중해야 한다, 정보 제공에 동의하지 않았느냐며 국민을 힐난하고, 기업은 소비자 대신 정부 눈치만 봅니다.
멀리 미국의 트럼프 정부의 인터넷 개인정보 규제 원점 논란은 미국만의 이야기일 수도 있습니다. 하지만 우리와 밀접한 관련이 있는 이야기일 수도 있습니다. 한국의 인터넷 이용자들과 관련 당국이 미국이나 영국 등을 참조하며 기대도 하고 규제의 틀도 만들기 때문입니다.
처음의 인터넷은 누구의 소유도 아니었지만, 점점 인터넷 기술이 고도화하고 상업화하면서 기업들이 그 자리를 모두 차지해버렸습니다. 여전히 인터넷 서비스 대다수는 무료이지만 기업은 이용자의 여러 정보를 빼내 재가공하고 퍼즐을 맞춰가며 개인들의 취향부터 약점까지 고루 공략하며 더 큰 돈과 기회를 만들고 있습니다.
정부는 대체로 기업들의 손을 들어주고 기업들에 더 큰 자유를 주고 있습니다. 홈플러스에 무죄를 내린 법원이나 방통위 등도 당시에는 한국 법이 좀 애매했지만 결국 큰 틀에서 보면 기업의 더 넓은 자유 보장이 세계적 트렌드 아니겠냐며 미래의 합당한 이유를 찾을 수 있을지도 모르겠습니다.
그사이 개인은 그저 돈을 지불하고 약관에 동의하고 정보 제공에 동의해야만 인터넷 세상에 살아남을 수 있는 정보 제공 숙주가 되어가고 있습니다.
– 트럼프 정부의 개인정보보호 규정 철폐에 관해 논평하면.
지금까지 개인정보 보호에 있어서 미국은 규제가 없다시피 했다. 그래서 어떻게 보면, 2016년 FCC(미 연방통신위원회)가 시민사회의 의견을 반영해 ‘최소한의 규정’을 만들었다고 본다.
즉, 그동안 미국은 기본적인 원칙도 없던 상태였는데, 그나마 그 최소한의 원칙을 만든 것이다. 그런데 결국 이마저도 기업 친화적인 트럼프 정부가 대형 이통사나 ISP의 로비에 넘어가 폐기한 것으로 평가한다. 소비자의 개인정보 보호와 프라이버시 보호 대신 기업 편을 들어줬다고 본다.
– 한국에 영향은 없을까.
한국은 미국과 다르게 강력한 개인정보 보호 법제가 존재한다. 하지만 그 집행이 제대로 이뤄지지 않는 문제가 있다. 기업들이 개인정보보호법을 위반해도 규제 당국이 솜방망이 처벌로 일관해왔다.
미국이 FCC의 규정을 폐기했다고 해서 우리나라 관련 개인정보 보호 법제가 약화하지는 않을 것으로 보고, 오히려 우리 법의 체계는 더 강화하는 경향성을 보이고 있다. 하지만 문제는, 앞서 말했듯, 그 집행에서 솜방망이 식으로 일관하고 있는 점이다.
– 그런 점에서 이번 홈플러스 대법원 판결은 큰 의미가 있다고 보인다.
대법원이 이번에 정말 올바른 판단을 했다. 개인적으로 1심과 2심의 판단에 아주 분노했었는데, 다행히 대법원이 올바른 판단을 했다. 법원이 이용자의 개인정보, 프라이버시를 보호해야 한다는 ‘시그널’을 기업에 보낸 판결이라고 본다.
– 홈플러스의 230억 원은 어떻게 되나.
해당 수익은 유죄로 확정된다면 범죄수익으로 판단해 몰수하거나 추징할 가능성이 생긴다.
– 실제로 기업의 범죄 이익이 몰수되거나 추징된 사례가 있나.
개인정보보호법 위반 사례에서 기업의 범죄 수익이 몰수되거나 추징된 사례는 없는 것으로 알고 있다. 참고로 말하자면 지난번 홈플러스에 부과된 과징금은 공정위의 행정벌에 해당할 뿐, 범죄에 대한 벌금이나 몰수, 추징금은 아니다.
다만, 이번 대법원 판결의 취지를 그대로 받아들이면 홈플러스의 행위는 유죄이고, 그 행위를 통해 벌어들인 수익은 범죄 수익이 되므로 원칙적으로 몰수나 추징할 수 있다고 본다.
– 이번 대법원 판결이 민사소송에 미치는 영향은.
홈플러스를 상대로 한 소비자들의 민사 소송에 당연히 긍정적인 영향을 미칠 것으로 보인다.
1. 법인명은 (주)우리홈쇼핑
* 위 글은 슬로우뉴스에 동시게재하고 있습니다. (2017.04.10.)
강길부 의원이 대표발의한 정보통신망 이용촉진 및 정보보호 등에 관한 법률 개정안 (이하 강길부 의원안: 첨부1)은 비식별화라는 개념을 추가하면서 비식별화한 개인정보를 이용자의 동의 없이 이용하거나 제3자에게 제공할 수 있도록 하고 있다. 오픈넷은 지난 2017. 1. 14. 아래와 같은 이유로 강길부 의원안 입법예고에 반대의견을 제출하였으며, 더불어 지난 2016년에 정부가 제정한 개인정보 비식별조치 가이드라인(이하 “가이드라인”)에 대해서도 폐기 의견을 함께 제시한다.
EU 개인정보보호감독관의 빅데이터 의견서(첨부2)에서 타당하게 결론 내린 것처럼 빅데이터의 진정한 위험 요소와 도전 과제는 대규모 개인정보 처리에 대한 “투명성 부족”과 “정보의 불균형”으로 인해 “개인정보보호 핵심원칙”이 위협에 빠진다는 것이다. 즉 빅데이터 시대에서 “알 수 없는 알고리즘”을 통해 정보주체에 대한 충분한 고지나 동의 획득 없이 개인정보 처리가 대규모로 이루어진다면 개인정보 처리에 관한 정보는 더욱 불균형해질 것이며 이로 인해 개인정보자기결정권은 형해화할 것이다.
우리나라의 경우 식별성이 가장 높은 주민등록번호가 여전히 이동통신사 등 사적 주체에 의해 행정 목적 외에도 널리 활용되고 있으며, 법령상 상존하는 각종 본인확인 의무로 인하여 비식별화를 거치더라도 결합을 통해 개인이 재식별될 위험성은 매우 크다. 특히 주민등록번호를 수집할 수 있는 본인확인기관에 개인정보가 고도로 집중되어 있다는 점도 재식별화 위험성을 가중시키고 있다.
요컨대 빅데이터 시대의 개인정보보호는 개인정보처리자의 “투명성”과 “책임성” 강화가 가장 중요한 고려 요소가 되어야 한다.
(1) 비식별화 만능주의 프레임 지양해야
강길부 의원안은 개인정보처리자의 투명성과 책임성 강화에 대한 진지한 고민 대신, 비식별화 그 자체에만 천착하고 있다는 것이 핵심적 문제이다. 강길부 의원안은 대통령령이 정하는 비식별화 적정성 평가단(안 제28조의2 제2항, 이하 “평가단”)의 적정성 평가나 기술적 관리적 보호조치(안 제28조의5)의 구체적인 내용은 전혀 정하지 않았다. 막연히 추후에 제정될 대통령령에 의해 개인정보 보호가 충분히 이루어질 것이고, 비식별화만 이루어지면 빅데이터 산업이 부흥할 것이라는 소박한 믿음에 기초하고 있는 것이다.
(2) 비식별화만 거치면 어떠한 제한도 없이 동의를 면제 – 재식별 위험이 매우 큰 정보라는 점을 간과
강길부 의원안은 어떠한 방법으로든 비식별화가 이루어지면 어떠한 제한도 없이 개인정보보호법의 기본 원칙인 “동의 요건”을 광범하게 면제해주고 있어 문제이다. 이는 김병기 의원이 대표 발의한 개인정보보호법 개정안이 현행법과 같이 비식별화를 거친 정보라도 “정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 없을 경우”에만 동의 요건을 면제하고 있는 것과 비교된다. (첨부3: 김병기 의원안)
그러나 우리나라처럼 재식별 위험이 매우 큰 상황에서 비식별화한 정보에 어떠한 제한도 없이 이용 및 제3자 제공을 허용할 지 여부에는 매우 신중한 검토가 요구된다. 완벽한 비식별화 기술이란 존재하지 않으며, 평가단의 검증을 거쳤다고 비식별화의 적정성이 담보되는 것도 아니다.
한편 EU의 GDPR에서 강길부 의원안이 비식별화 방법으로 예시한 가명화(pseudonymisation)는 개인정보 보호를 위해 권장되는 수단이지 가명화한 정보에 대한 개인정보 보호를 배제하려는 것이 아님을 명확히 하고 있다. (recital 28 : The explicit introduction of ‘pseudonymisation’ in this Regulation is not intended to preclude any other measures of data protection.) 최근 개인정보보호법을 개정한 일본의 경우 GDPR과 달리 익명가공정보를 개인정보와 별개로 규정하여, 이를 이용하거나 제3자에게 제공하려는 개인정보처리자에게 익명가공정보에 포함되는 개인에 관한 정보의 항목을 공표 및 취지를 명시하도록 하는 등 개인정보와 준하는 취급을 하고 있다.
(3) 개인정보 정의조항의 변경 – 정보통신망법과 개인정보보호법과의 괴리 발생
강길부 의원안은 개인정보의 정의 중 다른 정보와의 결합가능성 부분에 “해당 정보를 처리하는 자”를 판단 기준으로 제한하고 있어 이 같은 제한이 없는 개인정보보호법과 간극이 발생하게 된다. 물론 개인정보보호법 정의 조항의 합헌적 해석상 결합가능성은 해당 정보를 처리하는 처리자의 입장에서 판단되어야 한다고 볼 여지가 있다. 그러나 개인정보 정의 규정은 개인정보보호법제의 핵심을 이루는 것으로 개인정보보호법의 정의조항은 그대로 둔 채 정보통신망법의 개정으로 손쉽게 접근할 문제가 아니다.
(4) 투명성, 책임성 요건 결여 – 정보주체의 통제권한 상실, 개인정보 유통에 대한 정보불균형 심화
강길부 의원안에는 빅데이터 시대의 개인정보 보호에 가장 핵심적인 투명성과 책임성 요건이 결여되어 있어 정보주체의 실질적 통제 권한이 상실되고 개인정보 유통에 대한 정보불균형이 더욱 심화할 우려가 크다. 강길부 의원안에 따르면 정보주체는 본인의 어떤 개인정보가 어떻게 비식별화 처리되는지 전혀 알지 못한 채 개인정보처리자의 선의 또는 평가단 적정성평가의 무결성을 기대할 수밖에 없는 셈이다. 이는 아래 일본의 개정 개인정보보호법이 익명가공정보에 포함되는 개인에 관한 정보의 항목을 공표하게 하는 등 최소한의 투명성과 책임성 요건을 갖춘 것과 비교해보아도 그러하다.
한편 지난 2016년 정부 각 부처는 개인정보 비식별조치 가이드라인을 제정하였는데, 가이드라인은 한 걸음 더 나아갔다. 비식별조치를 취하면 동의 요건을 아무런 제한 없이 면제하고 있을 뿐 아니라 반증이 없는 한 개인정보가 아닌 것으로 추정하는 등 법 개정 없이 고지와 동의(notice and consent)라는 개인정보보호의 기본 원칙의 변경을 꾀한 것으로 즉시 폐기되어야 한다.
더욱이 가이드라인은 법적 근거 없이 전문기관에 의해 비식별조치의 적정성을 판단하도록 하고 있어 문제인데, 강길부 의원안은 비식별화 적정성 평가단을 입법화하면서 가이드라인의 전문기관에 법적 근거만 부여하려는 시도와 다름아니다.
그러나 평가단 신설로 생겨날 “관치 보안”의 문제는 차치하더라도 이는 개인정보보호위원회가 수행해야 할 이른바 컨트롤타워 역할을 무력화하는 시도와 다름아니다. 일본의 경우 개인정보보호위원회가 컨트롤타워로서 익명가공에 요구되는 기술적, 관리적 조치를 종합적으로 규율하도록 하고 있는 것과 비교된다.
일본의 경우 개인정보보호법을 개정하기 위하여 다양한 이해당사자가 참여하는 협의체를 구성하여 2년에 걸친 광범한 논의를 거쳤다. 그러나 2016년 가이드라인의 경우 세부논의 내용과 초안을 비공개하는 등 폐쇄적인 방법으로 제정되었다. 정보주체를 대변하는 시민사회는 가이드라인의 초안이 대부분 결정된 뒤 단 1회 시행된 내부 간담회 외에는 논의에 제대로 참여할 수 없었다.
따라서 가이드라인의 주요 내용을 그대로 입법화하는 강길부 의원안은 정보주체를 대변하는 이해당사자의 의견 수렴을 전혀 거치지 않은 것과 다름없어 원점에서 다시 검토되어야 한다. 늦었지만 지금부터라도 국회를 중심으로 모든 이해당사자가 참여하는 협의체를 구성하여 빅데이터 시대의 개인정보 보호를 위한 논의를 진지하게 시작해야 할 것이다.
일본의 개정 개인정보보호법 중 익명가공정보 해당 부분 발췌 – 번역 “개인정보보호위원회”
➈ 이 법률에서 “익명가공정보”라 함은 다음 각 호에 열거된 개인정보의 구분에 따라 당해 각 호에서 정하는 조치를 취하여 특정 개인을 식별할 수 없도록 개인정보를 가공하여 얻어지는 개인에 관한 정보로서, 당해 개인정보를 복원할 수 없도록 한 것을 말한다.
1. 제1항 제1호에 해당하는 개인정보 – 당해 개인정보에 포함되는 記述 등의 일부를 삭제하는 것 (당해 일부의 記述 등을 복원할 수 있는 規則性을 갖지 않는 방법에 의해 다른 記述 등으로 치환하는 것을 포함한다)
2. 제1항 제2호에 해당하는 개인정보 – 당해 개인정보에 포함되는 개인식별부호의 전부를 삭제하는 것 (당해 개인식별부호를 복원할 수 있는 規則性을 갖지 않는 방법에 의해 다른 記述 등으로 치환하는 것을 포함한다)
➉ 이 법률에서 “익명가공정보취급사업자”라 함은 익명가공정보를 포함하는 정보의 집합물이면서 특정의 익명가공정보를 전자계산기를 이용하여 검색할 수 있도록 체계적으로 구성한 것으로서 政令으로 정하는 것(제36조 제1항에서 “익명가공정보데이터베이스 등”이라고 한다)을 사업용으로 이용하는 자를 말한다. 다만, 제5항 각 호에 열거된 자를 제외한다.
다. 제2절 익명가공정보취급사업자 등의 의무 <신설>
제36조(익명가공정보의 작성 등) ① 개인정보취급사업자는, 익명가공정보(익명가공정보데이터베이스 등을 구성하는 것에 한정한다. 이하 같다)를 작성하는 때에는, 특정의 개인을 식별할 수 없도록 그리고 그 작성에 사용되는 개인정보를 복원할 수 없도록 하기 위하여 필요한 것으로서 개인정보보호위원회규칙으로 정하는 기준에 따라, 당해 개인정보를 가공하여야 한다.
➁ 개인정보취급사업자는, 익명가공정보를 작성한 때에는, 그 작성에 사용된 개인정보로부터 삭제된 記述 등과 개인식별부호 및 전항의 규정에 의해 행해진 가공의 방법에 관한 정보의 누설을 방지하기 위하여 필요한 것으로서 개인정보보호위원회규칙으로 정하는 기준에 따라, 이들 정보의 안전관리를 위한 조치를 취하여야 한다.
➂ 개인정보취급사업자는, 익명가공정보를 작성한 때에는, 개인정보보호위원회규칙으로 정하는 바에 따라, 당해 익명가공정보에 포함되는 개인에 관한 정보의 항목을 공표하여야 한다.
➃ 개인정보취급사업자는, 익명가공정보를 작성하여 당해 익명가공정보를 제3자에게 제공하는 때에는, 개인정보보호위원회규칙에서 정하는 바에 따라, 미리 제3자에게 제공되는 익명가공정보에 포함되는 개인에 관한 정보의 항목 및 그 제공의 방법에 대하여 공표함과 더불어, 당해 제3자에 대해 당해 제공과 관련된 정보가 익명가공정보라는 취지를 명시하여야 한다.
➄ 개인정보취급사업자는, 익명가공정보를 작성하여 스스로 당해 익명가공정보를 취급함에 있어서는, 당해 익명가공정보의 작성에 사용된 개인정보와 관계된 본인을 식별하기 위하여 당해 익명가공정보를 다른 정보와 照合해서는 아니된다.
➅ 개인정보취급사업자는, 익명가공정보를 작성한 때에는, 당해 익명가공정보의 안전관리를 위하여 필요하고 적절한 조치, 당해 익명가공정보의 작성 및 그 밖의 취급에 관한 고충의 처리 및 그밖에 당해 익명가공정보의 적정한 취급을 확보하기 위하여 필요한 조치를 스스로 강구하고 또한 당해 조치의 내용을 공표하도록 노력하여야 한다.
제37조(익명가공정보의 제공) 익명가공정보취급사업자는, 익명가공정보(스스로 개인정보를 가공하여 작성한 것을 제외한다. 이하 이 節에서 동일하다)를 제3자에게 제공하는 때에는, 개인정보보호위원회규칙으로 정하는 바에 따라, 미리 제3자에게 제공되는 익명가공정보에 포함되는 개인에 관한 정보의 항목 및 그 제공의 방법에 대하여 공표함과 더불어, 당해 제3자에 대해 당해 제공과 관련된 정보가 익명가공정보라는 취지를 명시하여야 한다.
제38조(식별행위의 금지) 익명가공정보취급사업자는, 익명가공정보를 취급함에 있어서, 당해 익명가공정보의 작성에 사용된 개인정보와 관계된 본인을 식별하기 위하여, 당해 개인정보로부터 삭제된 記述 등 또는 개인식별부호 또는 제36조 제1항의 규정에 의해 행하여진 가공의 방법에 관한 정보를 취득하거나 또는 당해 익명가공정보를 다른 정보와 照合하여서는 아니된다.
제39조(안전관리조치 등) 익명가공정보취급사업자는, 익명가공정보의 안전관리를 위하여 필요하고 적절한 조치, 익명가공정보의 취급에 관한 고충의 처리 및 그밖에 익명가공정보의 적정한 취급을 확보하기 위하여 필요한 조치를 스스로 강구하고 또한 당해 조치의 내용을 공표하도록 노력하여야 한다.
2017년 1월 17일
사단법인 오픈넷
문의: 오픈넷 사무국 02-581-1643, [email protected]
더불어민주당 박홍근 국회의원(미래창조과학방송통신위원회)과 이재정 국회의원(안전행정위원회)은 오는 10월 26일(수), 통신자료 제공의 오남용을 막기 위한 입법공청회를 시민단체와 공동으로 개최합니다(국회의원회관 제3간담회실).
올 상반기 이동통신사에 자신의 통신자료 제공내역을 확인해 본 국민들은 큰 충격을 받았습니다. 수사기관에 소환된 적이 없는 국회의원, 언론인, 활동가, 심지어 평범한 직장인의 통신자료가 경찰은 물론 국정원에까지 광범위하게 제공되었습니다. 2016년 5월 18일 통신자료가 제공된 피해자 5백 명은 헌법소원심판을 청구하기도 하였습니다.
정보·수사기관들은 전기통신사업법 제83조 제3항에 근거하여 가입자의 이름, 주민등록번호, 주소 등 인적정보를 제공받아 왔습니다. 그러나 통신자료 요청에 법원의 허가 등 특별한 절차를 필요로 하지 않기 때문에 전체인구 5천만명인 우리나라에서 한 해 1천만 명 이상의 통신자료가 제공되는 등 그 오남용 정도가 매우 심각한 수준에 이르렀습니다. 수사기관 등은 정보주체에 제공사실을 통지하지 않아 당사자 통신이용자가 그 피해사실을 알기도 쉽지 않습니다.
이에 더불어민주당 박홍근·이재정 의원은 전기통신사업법에 법원통제와 이용자통지권을 도입하여 통신자료 제공을 개선할 계획입니다. 또한 통신자료제공제도 개선을 위해 활동해온 인권시민단체들은 두 의원실과 공동으로 통신자료 제공제도 대안 입법을 위한 공청회를 공동으로 주최합니다. 많은 관심과 참석 바랍니다.
◎ 개요
제목 : 전기통신사업법상 통신자료제공제도 대안입법을 위한 공청회
일시 : 2016년 10월 26일(수) 오전 10시
장소 : 국회의원회관 제3간담회실
주최 : 국회의원 박홍근, 국회의원 이재정, 민주사회를위한변호사모임, 인권운동공간 ‘활’, 인권운동사랑방, 전국민주노동조합총연맹, 진보네트워크센터, 참여연대, 천주교인권위원회, 투명사회를위한정보공개센터, 한국진보연대
◎ 프로그램
인사말 : 박홍근 의원, 이재정 의원
사회 : 김지미 변호사 (민주사회를위한변호사모임)
발제 : 이호중 교수 (서강대학교 법학전문대학원)
피해자 발언
박병우 / 전국민주노동조합총연맹 대협실장
장동원 / (사)4.16세월호참사 가족협의회 진상규명 분과 팀장
방준호 / 한겨레신문사 기자
토론
양홍석 변호사 (법무법인 이공, 참여연대 공익법센터)
조민지 활동가 (투명사회를 위한 정보공개센터)
미래창조과학부
방송통신위원회
경찰
집회 채증 사진의 증거능력을 엄격하게 판단한 법원 판결이 나왔다. 9월 29일 서울중앙지법 형사24단독 노서영 판사는 “채증사진 파일은 원촬영자가 누구인지 불분명하고 최소한의 신뢰성 확보장치도 미흡하여 증거능력을 인정할 수 없고, 이를 그대로 출력한 채증사진의 증거능력도 마찬가지”라며 피고인 김랑희씨에게 무죄를 선고했다. 우리는 집회 채증 사진의 증거능력을 엄격하게 판단한 이번 판결을 환영한다.
시민들의 의견
댓글 달기