공공데이터 운동 | 민주주의의 산업화

지역

공공데이터 운동 | 민주주의의 산업화

익명 (미확인) 님 | 화, 2016/06/14- 17:38

공공데이터 운동 | 민주주의의 산업화

글 | 박경신(고려대 법학전문대학원 교수, 오픈넷 이사)

지젝은 “자본주의의 바깥은 없다”는 말을 회자시킨 적이 있다. 세월호사태, 메르스사태, 옥시사태, 구의역 사고를 보면서 시민에 의한 권력과 자본에 대한 감시가 필요하다는 강렬한 공감대가 형성되고 있다. 감시자에 대한 감시 즉 역감시는 민주주의의 핵심요소이다.

우리는 정보들을 축적, 가공, 공유, 공개하면서 권력과 자본을 감시할 수 있다. 그 효과는 위키리크스의 사례에서 보듯이 인터넷을 통해 극대화될 수 있다. 영리서비스라고 해서 그 효과가 훼손되는 것도 아니며 도리어 민주주의는 자본주의 생산관계의 한 축으로 자리 잡을 때 자본주의 내에서 근본적인 변화를 발생시킬 수 있다.

강력한 개인정보보호법은 항상 필요하다. 하지만 개인정보보호법의 목적은 정보주체들의 프라이버시 보호이다. 프라이버시 법익이 남아 있다고 보기 어려운 정보들에 대해서 개인정보보호법이 적용되어 그 축적이나 공개가 어렵게 되면 민주주의가 위축된다. 이 정신은 1980년 OECD가이드라인, 이를 계승한 2004년 APEC프레임워크에 문서화되어 있다.

아래의 두 가지 영리서비스들에 대한 독일연방개인정보보호법 판례와 EU의 1995년 개인정보보호지침 판례는 이와 같이 프라이버시 법익이 없는 정보의 자유로운 이용의 중요성을 설파하고 있다. 참고로 EU지침은 회원국들에게 특정한 내용의 입법을 할 것을 강제하는 구속력을 가진다.

2007년부터 독일에 spickmich.de라는 웹사이트가 개설되었는데 학생들이 교사들의 실력, 복색 등을 점수를 매겨 평가하고 학교의 기자재, 건물, 학풍 등을 점수를 매겨 평가하는 사이트였다. 평가대상은 실명으로 거론되었지만 학생들은 익명으로 평가를 하였다. 2010년 3월에는 160만명 가입자를 모으고 있는 청소년대상 웹사이트 중 최대를 기록할 만큼 인기가 좋았다. 이 사이트는 곧바로 영리사이트로 발전하였다.

교사 1명이 위 사이트가 자신의 프라이버시를 침해한다며 연방개인정보보호법 상의 소송을 제기하였다. 그러나 지방법원, 지방고등법원 그리고 연방대법원에서도 패소하였다(23 June 2009 – VI ZR 196/08; LG Köln – 28 O 319/07 – Judgment of 30 January 2008; OLG Cologne – 15 U 43/08 – judgment of 3 July 2008). 연방대법원은 독일연방개인정보보호법 제29조, 즉 “개인정보의 상업적인 수집, 보존, 수정, 및 이용은 정보주체가 그와 같은 수집, 보전, 수정을 금지할 법익을 가지고 있지 않은 것으로 보이는 경우”에 합법적이라는 조항에 따라 위 사이트의 운영이 합법적이라고 판시하였다. 정보주체가 그러한 법익을 가지고 있는가에 대하여 연방대법원은 “사실적 주장을 하고 있는 것이 아니라 견해와 감정을 표현하는 것이라서 명예훼손이 되지 않는다”고 하며 개인정보보호법을 위반하지 않는다고 결론내렸다. 교사의 평판정보는 아예 처음부터 학생들의 머릿속에서 생성되는 것이기 때문에 교사가 은밀하게 보호할 수 있는 정보가 아니었기 때문에 애시당초 프라이버시 법익이 깃들지 않은 정보였음을 확인한 것이라고 볼 수 있다. 연방헌법재판소 상고허가는 기각되었다. 위 판결은 정보주체의 프라이버시 법익이 깃들지 않은 정보에 대해서는 상업적 이용도 자유롭게 허용됨을 확인하였다는 의의가 있다.

1994년부터 핀란드의 유료잡지 Veropörssi는 매년 핀란드인들의 소득과 자산정보를 게재해왔고 2002년에는 전 인구의 3분의 1 즉 120만명의 과세정보가 게재되었다. 이 정보는 핀란드법 상 완전한 공개정보이다. 2003년부터 이 잡지사는 문자로 사람 이름을 보내주면 그 사람의 과세정보를 제공하는 서비스를 개시하였다. 이 문자서비스에 대해 핀란드 개인정보보호기구가 개인정보보호법 위반을 주장하자, 2008년 12월 유럽사법재판소는 표현의 자유와의 균형을 고려할 때 EU개인정보보호지침 95/46/EC가 법적용을 면제하고 있는 “언론행위(journalistic activities)”는 “반드시 신문, 방송 등의 전통적인 언론사에 의한 보도만을 의미하는 것이 아니라 무언가를 일반대중에게 공개하는 모든 행위를 포함하는 것”이라고 하였다. 특히 매체와 영리목적을 불문하고 그렇다고 명시하였다. (ECJ Case 73/07 Satakunnan Markkinapörssi and Satamedia (2008)) 그 이후 유럽인권재판소가 언론행위라고 보기 어렵다고 판시했지만 그 이유는 인구의 3분의 1에 대하는 엄청난 양을 과세정보에 대한 논평, 토론이 부재한 문자서비스의 형태로 게시했기 때문이며 유럽사법재판소의 판결의 유효성에는 변함이 없다.

공공데이터는 운동이 되고 산업이 되어야 한다. 민주주의를 확보하기 위해 우리에게 공개되어야 하는 개인정보들은 너무나 많기 때문이다. 프라이버시로 보호되어야 할 법익이 깃들지 않은 정보들을 신중히 가려내 더욱 창의적이고 조직적인 산업화가 이루어지길 바라는 마음이다.

* 위 글은 허핑턴포스트코리아에 기고한 글입니다. (2016.06.14.)

시민들의 의견

댓글 달기

이름

Comment

텍스트 형식 정보

텍스트 형식

Plain text

웹 페이지 주소 및 이메일 주소는 자동으로 링크로 전환됩니다.
줄과 단락은 자동으로 분리됩니다.
사용할 수 있는 HTML 태그: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd>

CAPTCHA

스펨 사용자 차단 질문

IT운동

공익적 정보처리 및 언론과 개인정보보호법

이 글은 2020. 11. 5.(목) 오후 2시, 국회의원회관 제4 간담회실에서 ‘공익제보와 개인정보 심포지엄’에서 발표된 발제문의 요약문입니다. https://opennet.or.kr/18973

개인정보보호법은, 사회가 복잡해지면서 자신에 대한 정보를 제공해야만 생활과 행복추구에 긴요한 서비스나 재화를 받을 수 있는 경우가 늘어나는 상황에서, 자신에 대한 정보의 향후 이용이나 제3자제공을 미리 제한할 협상력이 없을 정도로 개인정보처리자와의 힘의 비대칭에 놓인 정보주체를 ‘정보감시’ 또는 정보감시의 가능성으로부터 오는 ‘위축효과’로부터 보호하기 위해 고안된 법제로서 정보주체에게 자신에 대한 모든 정보에 대해 소유권과 유사한 통제권을 부여하는 것을 골짜로 하고 있다.

한편 법이 원래의 목적에 부합하게 기능하도록 하기 위해서는, 모든 개인정보처리가 정보주체의 통제권 하에 놓여지면 도리어 힘없는 개인정보주체들이 표현의 자유나 알 권리를 통해 행사할 수 있는 저항권이 제한되므로 정보주체의 통제권을 정교하게 재단할 필요가 있다. 이를 위해 대부분의 개인정보보호법제들은 첫째 GDPR 및 GDPR이행입법들의 상당수는 공익 및 정당한 이익을 위해 정보주체의 동의가 없는 정보수집 및 제3자 정보제공을 허용하고 둘째 단순히 제도권 언론의 취재보도만을 면책시키는 것이 아니라 언론 “목적”의 정보처리에 대해서 예외를 허용하고 있다. 제3자가 언론에 제보하는 행위도 예외에 포함되는 것이다.

우리나라의 개인정보보호법은 특히 공익제보가 활발히 이루어질 수 있도록 제3자제공, 언론목적 정보처리, 개인정보처리자의 해석 등에 있어서 국제기준에 비추어 개정해야할 필요가 있다.

	우리법 수집이용	우리법 3자제공	GDPR (수집, 이용, 3자제공)
타법률	O	O	O (4c)
공공기관업무	O	O	O (4f)
계약이행	O	X	O (4b)
정보주체보호	O	O	O (4d)
정보처리자의 정당한 이익	O	X	O (4f)
공익보호	X	X	O (4e)

개인정보보호법 제58조(적용의 일부 제외) ① 다음 각 호의 어느 하나에 해당하는 개인정보에 관하여는 제3장부터 제7장까지를 적용하지 아니한다. . . . .4. 언론, 종교단체, 정당이 각각 취재·보도, 선교, 선거 입후보자 추천 등 고유목적을 달성하기 위하여 수집·이용하는 개인정보

GDPR의 경우 다음과 같이 주체를 한정하지 않고 “언론 목적의. . 처리(processing for journalistic purposes)”에 대해 표현의 자유 및 정보의 자유와의 화합을 도모하도록 개별국가가 법제화를 하도록 의무화하고(“shall”) 있음.

Article 85 Processing and freedom of expression and information

1. Member States shall by law reconcile the right to the protection of personal data pursuant to this Regulation with the right to freedom of expression and information, including processing for journalistic purposes and the purposes of academic, artistic or literary expression.

오픈블로그, 표현의 자유, 프라이버시

수, 2020/11/18- 02:43

IT운동

산업도, 노동자도 죽이는 세계 유일 누더기법

글 | 박경신 (고려대 법학전문대학원 교수, 오픈넷 이사)

산업기술보호법(산기법)이라는 법이 있다. 영업비밀보호법이 ‘영업활동에 유용한 정보’만 보호하기 때문에 국책연구기관들의 영업비밀을 보호하지 못한다고 해서 만들었다고 하는데 막상 법을 만들 때는 정부 부처가 “산업기술”이라고 지정만 하게 되면 모두 영업비밀처럼 보호되도록 만들어놓았다. 이런 조문을 가진 법은 전세계에 우리나라밖에 없다. 법 만들 때 벤치마킹했던 미국의 경제스파이법도 영업비밀 보호에 한정되어 있고 중국, 일본, 독일에도 영업비밀이 아닌 것을 보호하려는 무리한 시도를 하는 법은 없다.

산업은 어떻게 발전하는가? 영업비밀이 아닌 산업정보는 자연스럽게 확산되면서 더 많은 연구와 실험을 거쳐 더 발전되어 나간다. 영업 직원이든 연구소 직원이든 회사의 기술정보 중에 영업비밀이 아닌 정보를 고객들이나 동종 업계 사람들과 공유할 수도 있지만, 산기법에 의해 차단된다. 더 중요한 것은 산업재해를 당한 노동자든 제조물책임 피해를 본 소비자든 기술정보를 알아야 할 필요가 있는데 영업비밀이 아닌데도 알 수가 없게 되었다는 점이다. 산업 발전에도 해가 되고 생명과 안전의 보호에도 해가 되는 법이 되어버린 것이다. 학자들은 이런 이유로 산업기술보호규제는 영업비밀에만 적용되도록 축소해석해야 한다고 주장했다.

하지만 2019년 국회는 문제를 더 악화시켰다. 영업비밀 침해는 부당취득행위나 비밀유지 위반이 있어야 발생하는데, 법을 개정하여 침해행위도 아닌 행위, 즉 산업기술 정보를 “제공받은 목적”과 다르게 이용 및 공개하는 행위를 처벌하기로 한 것이다(산기법 제14조 8호). 얼마나 황당한 일인가? 교수가 강의할 때 교육 목적으로 정보를 제공하지만 그 정보를 학생이 어떻게 사용할지는 학생에게 맡겨진 것이다. 발명을 하건 창업을 하건 강의평가를 하건 말이다. A제품 발명을 위해 나온 정보가 B제품 개발에 유용할 수도 있다. 비밀유지 의무가 없는 한 합법적으로 정보를 제공받은 사람은 자신의 상상 내에서 자유롭게 정보를 이용, 공개할 수 있어야 하는데 이를 막아놓은 것이다. 영업비밀도 아닌 것에 대한 침해행위도 아닌 행위를 처벌하는 세계 유일의 법이 더 위협적인 것은 “산업기술”이 이용되는 업체에 대해서는 노동자나 소비자들이 합법적으로 정보를 얻어도 안전이나 배상 목적으로 이용할 수 없게 된다는 점이다.

산기법이 2019년에 개정되면서 국가핵심기술 규제도 함께 누더기가 되어버렸다. 국가핵심기술 규제는 1980년대에 미국, 일본 등이 자신의 첨단기업들이나 첨단기술들이 해외로 팔려나가는 합법거래들을 국가에 신고하거나 또는 허가받도록 하기 위해 만든 것으로 비밀보호와 무관하다. 국가핵심기술 상당수는 법적으로 항상 공개되는 특허나 사실상 공개되는 저작권으로 보호되기 때문이다. 우리나라도 처음 만들 때는 합법적인 거래들에 대한 허가 신고제로 잘 만들었다.

그런데 2019년 엉뚱하게 ‘국가핵심기술에 관한 정보’에 국민에 대해 비밀로 해야 한다는 조항(9조의2)이 만들어졌다. 결국 정보공개 청구에서 배제하겠다는 것인데, 국가핵심기술 중에는 이미 국민뿐 아니라 전세계에 공개된 특허, 저작권도 있는데 어떻게 이것을 비밀로 한다는 말일까? 그래서 전세계의 어느 국가핵심기술 규제도 대국민 공개를 금하지 않는다.

이 법은 노동자와 소비자가 스스로를 보호하기 위해 행정부처가 사업장에 대해 가지고 있는 정보를 얻지 못하게 한다. 대표적인 것이 바로 삼성전자 공장에서 노동자들이 산재소송을 위해 작업장에서 이용된 독극물 목록을 근로복지공단으로부터 받으려고 정보공개 청구를 할 때 국가핵심기술이라는 이유로 공개가 거부된 사례다.

14조 8호나 9조의2가 영업비밀에만 적용되도록 축소해석될 가능성도 별로 없어 보인다. 실제 업계 일반에 널리 알려진 정보에 대해서도 산업기술침해죄를 적용한 판례가 나왔고 위의 삼성전자 사례도 영업비밀 여부에 관계없이 국가핵심기술로 지정되었다는 이유만으로 정보공개 청구에서 제외된 것이었다. 산업도 죽이고 노동자도 죽이는 세계 유일의 누더기법 산업기술보호법, 정부 여당이 책임지고 하루빨리 개정해달라.

이 글은 한겨레에 기고한 글입니다. (2020.11.29.)

오픈블로그, 표현의 자유

월, 2020/11/30- 19:42

IT운동

성매매금지법이 있다고 해서 성노동자의 표현도 규제되어야 할까? (2021.5.21 웨비나 토론문)

성차별금지는 국제인권이며 우리나라가 가입한 UN여성차별철폐협약에 명시되어 있다. 이 협약의 준수를 감시하는 UN성차별철폐위원회는, 성노동자 거의 전부가 여성인 상황에서, 성노동자에 대해 범죄자의 낙인을 찍는 것은 성차별이라면서, 수십년동안 우리나라를 비롯한 여러 나라에 성노동을 합법화할 것을 요구하였다. 세계적인 대세는 성노동자 처벌은 하지 않는 것을 기본으로 하고 성매수자처벌을 할 것인가에 대한 논쟁을 벌이고 있는 상태이다. OECD국가 중에 우리나라만 성노동자도 지역적 상황적 예외없이 모두 처벌하고 있다..

헌법재판소는 2014년에 “성인이 서로 자발적으로 만나 성행위를 하는 것은 개인의 자유 영역에 속하고, 다만 그것이 외부에 표출되어 사회의 건전한 성풍속을 해칠 때 비로소 법률의 규제를 필요로 한다. . . 국가가 개입하여 형벌의 대상으로 삼는 것은, 성적 자기결정권과 사생활의 비밀과 자유를 침해하는 것이다.”이라고 한 바 있다(간통죄 위헌). 이를 성매매에 적용해보자면 금전을 원인으로 성행위를 하게 되면 사랑, 결혼, 출산과 깊은 연관이 있을 수 있는 성행위를 더욱 쉽게 할 수 있게 되고 과도한 난교 상황은 성스러운 사랑, 결혼, 출산을 저해하여 도덕적 다수가 생각하는 ‘건전한 성풍속’에 어긋난다고 볼수도 있겠다. 하지만 ‘건전한 풍속’을 형사처벌로 강요하는 것이 정당할까?

성매매를 금지하자는 또다른 시각에서 헌재는 2012년에 성알선자 처벌에 대해 합헌결정을 내리면서 성매매가 “성을 상품화”하는 것이라면서 금지할 충분한 이유가 있다고 한 적이 있다. 하지만 무언가를 상품화된다고 해서 곧바로 형사처벌로 금지할 수 있는 정당성이 갖추어지는 것은 아니다. 육체는 성스러운 것인지만 이를 상품화하면 형사처벌해야 할까? 그럼 마사지사도 처벌해야 할 것이다. 교육도 성스러운 것이고 사교육열풍을 막으려고 노력하고 있지만 사교육을 받는 학생이나 학원을 형사처벌하려는 법은 위헌판정까지 받았다.

또다른 시각에서 헌재는 2006년에 성매매알선조항에 대해 합헌결정을 내리면서 “우리나라 성매매의 양태는 ‘강요된 성매매’를 포함하는 경우가 많고 최소한 ‘중간고리’를 끊기 위해서라도 알선자를 처벌해야 한다고 하였다. 하지만 그런 목적이라면 성노동자까지 처벌해야 할까요? 강요와 폭력의 주체들만 처벌하면 되지 않을까?

더욱이 UN성차별철폐위원회는 성매매금지법이 도리어 성매매여성들의 강제성매매 탈출을 어렵게 만든다며 합법화를 요구하였다. 우리나라의 “성제공자”들은 범죄자의 낙인이 찍혀, 폭력적인 포주나 고객을 신고도 하지 못하고, 의료서비스 복지서비스에 배제된 상태에서 경찰의 단속을 피해다니면서 살아가고 있다. 통영에서는 집안 형편상 가출했다가 17살에 출산하여 지금은 7살이 된 아이와 병든 아버지를 부양하기 위해 성매매를 하고 있던 25세 여성이 경찰의 함정단속을 피해 투신자살했다. 우리나라 2007년 여성가족부 통계에 따르면 성매매여성들은 30만명에 달한다. 인신매매 예방은 이렇게 많은 사람들을 음지로 때로는 사지로 내몰 이유가 되는 것일까. 사회적 낙인을 감수하면서까지 생계를 잇고자 하는 사람들에게 반드시 법적 낙인을, 범죄자의 낙인을 찍어 동굴로 몰아 넣어야만 인신매매예방에 대한 우리의 도덕감정을 충족시킬 수 있을까? 의료서비스 접근권 및 여성들의 권익신장을 위해 노력하는 UN여성기구 역시 2013년 성노동을 합법화할 것을 요구했고 UN보건기구들도 꾸준히 같은 주장을 해왔다. 국제인권기구의 양대산맥이라고 할 수 있는 휴먼라이츠와치와 국제사면위원회는 2013년 2014년 각각 성노동의 합법화를 정책기조로 발표하였다.

자 성매매금지법의 정당성이 이러한 상황에서 성노동자들의 표현을 차단해야 할까? 성노동에 대한 정보는 성매매라는 불법행위를 목적으로 하거나 교사 방조하는 정보라는 이유로 차단되고 있다. 하지만 위에서 보았듯이 성매매는 보편타당한 해악이 아니며 자유롭게 허용하는 국가들도 많이 있다. 해외 여러 국가들에서는 형사처벌되지 않는 성제공자들이 발화하는 표현까지 차단하는 것은 부당하다. 아무리 국내에서는 성매매가 불법이고 성제공자들의 온라인 상 표현이 그 불법행위를 촉발할 가능성이 있다고 하지만 그렇다고 해서 원천적으로 차단해서는 안된다는 것이다. 특히 “외부에 표출되어 성풍속을 해칠 때 법률의 규제를 필요로 한다”라는 헌재의 설시에서 볼 수 있듯이 성매매 자체에 내재된 해악 보다는 성매매가 끼치는 문화적 영향 때문에 성매매금지법이 만들어진 것이다. Dhyta Caturani도 성매매금지법이 없는 인도네시아에서도 성매매여성들의 표현을 포르노그래피법으로 규제하는 행태가 나타나고 있다고 하는데 세계적으로 성매매금지법이 성매매 자체를 죄악시하기 보다는 성매매에 성풍속에 끼치는 문화적 영향에 터잡았다는 것을 보여준다.

일반적으로 인터넷 상의 표현의 자유도 제한될 수 있다. 하지만, 표현물에 대한 법적 판단이 이루어지기 전에 행정기관의 결정에 의해 표현물을 차단 및 삭제하는 것은 주의해야 한다. 우선 물리적 행위와 달리 표현은 위축효과에 취약하다. 행정기관의 잠정적인 판단을 반박하여 표현물의 합법성을 입증하려는 수고를 포기하기 쉽다. 또 행정기관은 집권여당의 입김 때문에 중립적인 판단을 하기 어렵다. 특히 표현물이 불법이라서 이에 대한 책임을 지는 것이 아니라 행정기관의 명령을 어긴 것에 대해 별도의 책임이 부과되는 경우 합법적인 표현물의 위축효과는 더욱 증폭된다. 행정기관은 산업진흥 등의 다른 정책도 수행하기 때문에 쉽게 보복을 할 수 있다는 점도 위축효과를 증폭시킨다. 그렇기 때문에 행정기관에 의한 온라인표현의 자유 제한 즉 행정심의는 전세계적으로 거의 없었다. Turkey와 한국이 유일햇고 최근 몇 년 사이에 테러단체나 테러리스트들이 인터넷을 통해 인력을 확보하는 등의 현상이 나타나자 독일, 프랑스 등에서도 행정심의를 시작하였다. (NetzDG법, Avia법)

하지만 이들 몇안되는 나라들의 행정심의는 보통 보편타당한 해악성을 지닌 표현물에 한정하여 이루어진다. 테러나 기타 폭력을 선동하는 경우에 한정된다. 성매매금지법은 위에서 말했듯이 성매매 자체에 내재된 해악 보다는 성매매가 끼치는 문화적 영향에 터잡고 있다. 과연 이런 경우에도 성노동자들이 배포하는 정보를 차단해야 할까?

우리나라는 정보통신망법 44조의7 1항 9호의 ‘범죄를 목적으로 하는. . . 정보’도 불법정보로 정의하면서 범죄의 경중에 관계없이 똑같이 취급한다. 폭력 등의 명백한 해악에 이르지 않는 행정규제 위반 등을 초래할 수 있다는 이유만으로 표현물 자체를 삭제 차단하는 것은 표현의 자유에 대한 과잉한 제한이 된다. 예를 들어, 휴대폰실명제를 집행하는 국가라고 해서 비실명휴대폰을 소개하는 게시물까지 삭제차단하는 경우는 없다. 비실명휴대폰을 소개하는 웹사이트를 통해 비실명휴대폰의 이용이 확산될 가능성이 있더라도 이 웹사이트를 통해 국민들이 유용한 정보에 접할 권리가 침해되어서는 안되기 때문이다. 또 다른 예를 들어, 몇 년전까지만 해도 여타 이유로 탐정서비스의 제공은 국내에서 불법이었고 이에 따라 탐정서비스를 광고하는 웹사이트들의 국내유입이 차단되었다. 하지만 해외에 나가서 탐정을 채용한다고 해서 불법이 되는 것이 아닌데 국내인들이 탐정서비스에 대한 정보를 온라인으로 습득하지 못하게 하는 것은 국내인들의 알권리에 대한 제한이 된다. 물론, 해외도박사이트를 차단하는 것은 해외사이트운영자가 도박장개설이라는 위법행위를 정보통신기술을 통해 원격으로 국내에서 저지르지 못하도록 하기 위함이다. 그러나 도박과 같이 보편타당한 해악을 규제하는 행위를 매개하는 정보가 아니라 문화적인 그리고 연혁적인 이유로 국내에서만 특이하게 금지되는 행위(예를 들어 탐정서비스)를 매개하는 정보를 차단하는 것은 국내인의 알권리를 제한하는 성격이 강하다. 그렇다면 위에서 말했듯이 그 자체로 해악이라기 보다는 문화적 영향력 때문에 규제되고 있는 성매매에 대한 온라인정보를 차단하는 것도 문제가 있다.

행정기관의 심의는 폭력 등 심대하고 보편타당한 해악이 없는 한 자제되어야 하며 우리나라만의 문화적인 또는 법체제적인 이유로 불법화된 행위를 막기 위해 관련 정보를 차단하는 것은 신중해야 한다. 오픈넷은 여성들이 임신중지에 대한 정보를 얻고 있던 위민온웹이 낙태죄가 있다고 해서 차단 된 것에 대해서도 문제시하고 있고 성매매금지법이 존재한다고 해서 여성들이 생계유지를 위해 자신에 대한 정보를 제공하는 것을 삭제 차단하는 것도 문제라고 생각한다. 임신중지와 성매매 모두 여성의 인권과 다수결주의적 법익 (예: 태아의 생명, 인신매매 방지) 사이에 미세한 저울질이 필요한 사안이며 이와 관련되어 여성들이 필요한 정보를 주고 받는 것을 금지하기 때문이다.

오픈블로그, 오픈세미나, 표현의 자유

목, 2021/06/10- 11:23

IT운동

[토론문] 진정한 판결문 공개를 위하여 – 판결문 공개 확대를 위한 국회토론회 (2019.10.25.)

2019.10.25. 국회의원회관 제8간담회실에서 “판결문 공개 확대를 위한 국회토론회가 열렸다. 이 토론회는 금태섭 더불어민주당 의원이 주최하고 법원행정처가 후원했다. 오픈넷에서는 박경신 이사를 대리하여 손지원 변호사가 토론자로 참여해 ‘진정한 판결문 공개를 위하여 – 비례성 있는 개인정보보호조치의 필요성’이란 주제로 법원의 국가 후견주의적 제도 운용의 문제점을 지적하고, 최근 제도 개선 사항에 대한 평가 및 대안을 제안했다.

[자료집] 판결문 공개 확대를 위한 국회토론회 다운로드

진정한 판결문 공개를 위하여

비례성 있는 개인정보보호조치의 필요성

박경신 고려대학교 법학전문대학원 교수

1. 법원의 국가 후견주의적 제도 운용의 문제

국민이 법원에 바라는 것은 판결문의 “공개”이지 “가공 및 배달”이 아니다. 발제문 각주에서는 “위 논문에서는, 전국을 통일하여, 확정된 전체 민사판결을 데이터베이스화하여 키워드 검색을 허용하는 곳은 현재 전 세계에서 한국밖에 없다(전원열,「판결 공개에 따른 프라이버시 침해와 민사소송법 제163조의2」한국법학원, 2018)”는 내용이 인용되어 있다. 하지만 당장 Westlaw나 Lexis-Nexis에 들어가면 연방+50개주 대법원+하급심 전체 판결을 하나의 검색창으로 모두 검색할 수 있다. 그렇다면 어떻게 위와 같은 분석이 나올 수 있었을까?

판결문 제공의 주체를 법원으로 한정했기 때문이다. 법원이 모든 일을 직접 하려고 하니 모든 일이 어려워지는 것이다. 미국 법원이 저렇게 방대한 판결문을 손쉽게 제공할 수 있는 이유는 법원은 “공개”만 하고 나머지는 민간에게 맡기기 때문이다. 주석 하이퍼링크등이 포함된 고급검색을 원하는 사람들이나 연구용으로 쓸 사람들은 Westlaw나 Lexis-Nexis를 이용하면 되고 무료검색을 원하는 사람들은 https://law.justia.com/cases/ 같은 사이트를 이용하면 된다.

한국에서도 법원이 우선 “공개”만 한다면 개인정보보호조치도 민간이 AI에 투자해서 자동으로 이름을 순간인식해서 블라인드 처리를 한다거나 다양한 방식으로 개인정보보호도 하고 판결문 공개도 손쉽게 할 수 있는 길이 열릴 수 있다.^[1]

[1] “Computer Aided Anonymization and Redaction of Judicial Documents”, Computer Science and Information Systems · January 2015 DOI: 10.2298/CSIS140808038S

2. 최근의 제도 개선 사항에 대한 평가

2018. 2. 22. 금태섭 의원실 판결문 공개 토론회의 박경신 발제에서 지적했던 판결문 공개 제도의 문제점과 이번 법원의 제도 개선 사항을 비교하면 다음과 같다.

(1) “첫째, 형사는 2013.1.1.이후 민사는 2015.1.1. 이후에 확정된 판결서만 공개되고 있어 아직도 판결에 영향을 주고 있는 판례들을 일반인들이 접하기 어렵고,” → 미개선

(2) “둘째 미확정된 판결서는 공개대상이 아니어서 미확정된 사건에 대해 국민들이 의견을 제시할 수 있는 통로가 차단되어 있고,” → 미개선

(3) “셋째 형사는 임의어 검색이 불가능하여 판결의 공정성을 검토하기 위해 다른 사건들을 비교하기 위한 시도가 원천적으로 차단되어 있으며,” → 개선

(4) “넷째 임의어 검색이 가능한 민사의 경우에도 85개^[2]의 개별법원 별로 검색을 해야 할 뿐만 아니라,” → 개선

(5) “검색결과로 제시된 판결서를 읽어보기 위해서는 판결서당 1,000원을 지불해야 하기 때문에 검색을 통한 지식습득의 자동화라는 목표가 실질적으로 사장된다고 볼 수 있다. 검색을 해본 사람이라면 진정으로 원하는 자료 1건을 찾기 위해 최소한 100건 정도의 해당 검색어를 포함하는 문서를 열람해보는 것은 상식인데 그렇다면 판결서당 1,000원이 아니라 10만원을 지불해야 하는 것과 마찬가지이기 때문이다.” → 미개선

(6) “다섯째, 모든 판결서에 등장하는 당사자들 외에도 모든 등장인물 및 법인들이 비실명처리되면서 판결서의 가독성이 매우 떨어진다.” → “비실명 처리 범위에 법인 등(단, 국가기관, 지방자치단체, 공공기관 제외)의 명칭을 추가”함으로써 개악으로 평가됨. (법인명은 고유한 개인에 대한 정보로 볼 수 없음에도 비실명처리 대상으로 삼은 것은 의문이다.)

(7) “법원도서관을 통해 사전에 예약을 하고 모든 판결문들을 (실명으로) 검색할 수 있는 방법이 있지만 전국민을 상대로 단 2개의 터미널이 열려있다는 것은 의미있는 해법이라고 할 수 없다.” → 미개선

결국 2018년 2월 이후 1년 반 동안 두 가지 부분만이 개선된 것으로 볼 수 있다. 아래 차례대로 대안을 제시하고자 한다.

[2] 지방법원 본원은 25개지만, 지원별로 별도 검색이 필요하였으므로 85개로 보아야 함.

3. 열람용에 대한 비식별화 자동화 및 완화

우선 미개선사안 (5), (6), (7)에 대해서는 다음과 같이 제안을 하고자 한다. 열람용 비식별화와 등사용 비식별화의 정도를 달리 하는 것이다.

즉, 우선 열람만 하는 판결서에 대해서는 지능형 비식별화시스템(이하 AI)을 통해 순간 블라인드처리를 하도록 하여 정확률이 100%가 아니더라도 열람을 가능하게 하고 – 이렇게 하면 도서관 열람이나 인터넷 열람이나 동등해진다 – 실제로 복사(프린트)하는 경우에만 수동 익명화 작업을 하도록 하고 이 등사용 판결서당 수수료를 받으면 된다. 그리고 그렇게 등사용 익명화 작업이 이미 이루어진 판결서는 도서관에서 열람/등사요청이 되든 인터넷에서 열람/등사요청이 되든 모든 국민들에게 무료로 그리고 즉시 공개하여야 한다.

지금 AI 비식별화 정확률은 15%라고 하는데, 일단 어느 수준의 정보를 비식별화 대상으로 보는 것인지 알기는 어렵다. 우선 지금까지 기 비식별화된 판결서들과 원판결서 모두를 AI에 제공하여 비식별화 기술을 스스로 고도화하고 정확률을 높일 수 있는 연구에 착수할 필요가 있다. 그리고 비식별화가 필요한 부분이 어디까지인지를 논의함에 있어서도 “비례성 있는” 개인정보보호조치의 정도에 대한 고찰이 필요하다(이는 아래에서 더 논의하기로 한다).

또한 지금처럼 열람 단계에서 판결서당 1,000원의 수수료를 받음으로써 예산을 확충하려 하지 말고, 다수의 국민들이 제대로 된 판결문 공개를 원하는 만큼, 국회를 통해 판결문 공개 예산을 확충하는 방향을 강구하여야 할 것이다.

4. 과거판결문 및 미확정판결문 비공개 사유 – 법원에 대한 공격 우려?

미개선사안 (1)과 (2)에 대해서는 다음과 같이 제안한다.

발제문에서는 미확정 판결문 공개에 대해 과거에는 제시되지 않았던 비공개 사유로써 “오히려 판결의 세세한 이유를 가지고 판결에 대한 꼬투리 잡기나 판결을 한 법관에 대한 흠집 내기, 인신공격의 수단으로 악용될 가능성”을 언급하고 있다. 그러나 법관 역시 공무원이며, 법관이 행한 재판에 의해 국민들 개인의 인생이 결정적으로 좌지우지되는 경우도 많다. 이러한 막강한 힘을 가진 지위와 행위에 대한 국민의 감시와 비판은 법원이 수인하고 감당해야 할 몫이며, 이것이 비공개의 적절한 이유가 될 수는 없다고 할 것이다.

과거 판결 공개 부분은 전향적인 자세를 취하고 있는 것은 고무적이나, 이 역시 AI의 정확률에 의한 한계를 논하고 있다. 이에 대하여는 위에서 말한 바와 같이 민간에서 빅데이터를 이용해 정확률을 높일 수 있도록 데이터를 선공개하고, 재판공개원칙에 따라 프라이버시 법익이 상대적으로 낮아진 개인정보임을 고려하여 엄밀도를 낮추는 방향을 모색하여야 한다.

5. 비교법적 문제들

미국 제도를 거론할 때 비교대상으로 PACER를 논하며 PACER에서의 실명공개가 제한된 점에 포커스를 맞춘다. 그러나 PACER는 ‘소송기록’ 전체를 열람하기 위한 시스템이라서 공개가 제한되고 있을 뿐 판결문은 법원이 직접 대중에게 제공하지 않더라도 WestLAW, Lexis, Findlaw 등 다양한 온라인 서비스가 무료 또는 유료로 실명 및 검색가능 상태로 제공할 수 있도록 법원이 원자료를 제공한다. 따라서 ‘판결문’ 공개에 있어서 PACER를 비교대상으로 삼아서는 아니 된다. 또한 발제문상의 표는 다소 복잡하게 설명되어 있지만, 간단히 말하면, 연방대법원, 연방항소법원, 나머지 연방법원 모두 법원의 명령에 의해 비밀로 유지되는 판결들 외의 모든 판결을 Westlaw, Lexis, Findlaw 등의 다양한 웹사이트에 무료 공급하고 있고 이 웹사이트들을 통해 국민들은 기간제한, 횟수제한, 장소제한 없이 판결문에 접할 수 있다.

독일의 판결문 공개 시스템에 대해서도, 발제문에서는 “독일 등 대륙법계 국가가 판결서의 제3자 인터넷 검색․열람을 제한적으로 허용한다고 하여 재판공개원칙이나 투명하고 공정한 재판을 미국보다 충실하게 구현하지 못하다고 비판하는 견해는 찾아보기 어려움”이라고 되어 있지만, 간단한 영문 인터넷 검색만으로도 이에 대한 비판적인 견해^[3]들이 상당수 있음을 확인할 수 있다. 영문 외의 독문으로 된 독일 내의 비판적 견해들도 상당히 많이 있을 것으로 보인다.

[3] Tom Braegelmann, “Lack of Data, Lack of Law”

6. 비례성 있는 개인정보 보호조치

호주, 캐나다는 한국, 유럽과 같은 강력한 개인정보보호법을 가지고 있음에도 전면적인 실명 판결문 공개를 하고 있다. 왜 그럴까?

개인정보보호법은 행위규제가 아니라 위험규제이다. 즉, 나에 대한 정보를 내가 “소유”한 정보로 인정하고 그 정보를 동의 없이 이용하는 것을 죄악시하는 것이 아니라, 개인정보보호법의 원래 목적인 프라이빗(private)한 정보를 동의 없는 취득이나 제3자 공개의 위험을 최대한 막기 위해 대량으로 정보를 통제하는 정보통제자(data controller)들에게만 몇 가지 의무를 부과한 것이다. 이런 이유로 호주, 캐나다의 개인정보보호법은 ‘타법우선주의’로 구성되어 있다. 입법자가 적법하게 동의 없는 개인정보의 이용범위를 정할 수 있고 개인정보보호법은 이를 따르도록 되어 있는 것이다. 따라서 법률에서 재판공개원칙에 따른 공개범위를 정하면 개인정보보호법이 적용되지 않는다. 우리나라도 마찬가지이다. 즉, ‘개인정보보호조치’가 무엇인지는 대법원이 국회 입법을 통해 정할 수 있는 것이다. 판결서에 나타나는 개인정보는 헌법상 공개재판의 원리에 따라, 이를 집요하게 취득하고자 하는 자의 수집을 피할 수가 없는, 상대적으로 보호법익이 낮은 정보라고 할 수 있으며, 비례성의 원칙에 따라 비식별화 수준의 완화를 생각해볼 수 있다. 특히 위에서 제안한 열람용 비식별화와 등사용 비식별화의 구분에 있어서 이와 같은 비례성 있는 범위 내로 개인정보보호조치를 완화하는 것은 국민들의 불편을 획기적으로 줄일 수 있는 방법이다.

판결서에 나타나는 개인정보보호조치에 대해서 비례성 있는 수준으로 완화를 할 수 있다는 것은 개인정보보호법의 원래 구성원리와도 화합한다. 개인정보를 “소유”한다는 것은 단순히 비유일 뿐이다. 처음 개인정보보호규범을 만들던 사람들이 타인에게 정보제공을 하면서 정보이용 및 공개의 범위를 미리 협상하지 않았을 가능성에 대비하여 통제를 디폴트(default)로 정하여 힘없는 정보주체를 보호하기 위해 정보를 “소유”한 것처럼 권리관계를 정한 것이다. 그러나 실제로 정보는 그렇게 배타적으로 소유될 수 있는 것이 아니다. 개인정보보호법을 엄격히 적용하면, 예를 들어 ‘김철수는 OOO이다’라는 구조를 가진 모든 문장들은 문장 하나하나가 각각 김철수가 그 문장의 수집, 이용 및 제3자 제공에 대해 동의권을 가지는 개인정보를 구성하게 된다. 주어가 살아있는 개인인 한, <주어+서술어>의 구조를 가진 모든 문장은 주어가 지칭하는 사람에 대한 개인정보가 되며 그 개인이 통제권을 갖게 된다. 그렇다면 누군가가 ‘김철수는 과학자이다’는 정보를 입수하려면 김철수로부터 동의를 얻어야 하고, 또 이렇게 얻은 정보를 타인에게 공개하거나 전달하려 하여도 김철수로부터 동의를 얻어야 하게 된다. 결국 사람들이 타인에 대해 말하고 들음에 있어서 그 타인에게 동의를 얻어야 한다는 것인데 이것이 개인정보보호법이 상정하고 있는 시나리오였다고는 볼 수 없을 것이다. 누구나 자신에 대한 정보라는 이유만으로 이를 통제할 수 있다면 그 정보를 공유하고자 하는 자의 표현의 자유는 포기되어야 한다. 모든 표현은 정보의 처리이고 그 표현이 타인에 대한 것일 경우 필연적으로 개인정보의 처리가 된다. 이렇게 되면 개인정보보호 법리는 민주주의에 심대한 영향을 주게 될 것이다.

열린정부, 오픈블로그, 오픈세미나, 프라이버시

토, 2019/11/09- 00:40

[판결비평] 가명처리는 안전조치로 도입되어야 했다

통신3사는 그간 가명처리된 정보라는 이유로 가입자의 개인정보가 어떻게 활용되었는지를 공개하지 않고, 이를 중단해달라는 요구도 수용하지 않아왔습니다. 자신의 정보가 어떻게 처리되었는지 알수 없었던 이용자들이 정보공개청구 및 향후 가명처리와 무단활용을 하지 말아달라고 요청했지만, SKT는 거절했습니다. 이에 이용자들은 법원에 소송을 제기했고, 법원은 이용자들의 손을 들어주었습니다. 정보주체의 가명처리정지권 보장의 중요성을 인정한 이번 판결에 대해 김보라미 변호사가 비평했습니다.

광장에 나온 판결 : 229번째 이야기

SKT를 상대로 한 개인정보 가명처리정지권 이행 소송 1심 판결

서울중앙지방법원 제29민사부 한정석(재판장), 강석규, 김소연 판사 2023. 01. 19 선고. 2021가합509722 [판결문 보기]

김보라미 변호사 / 법률사무소 디케

「개인정보보호법」이 2020년 2월 4일 통과된 이후 “가명정보”라는 개념이 도입되었다. 「개인정보보호법」 법 제2조 정의에서 가명처리에 대하여는 “개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아 볼 수 없도록 처리하는 것”이라고 정의(법 제2조 제1의2호)하고, 가명정보에 대하여는 “개인정보를 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보”(제2조 제1호 다목)라고 정의하고 있다. 위 정의에서 “가명정보”는 ”추가정보“를 보유하고 있는 개인정보처리자 입장에서는 언제든지 특정 개인을 알아볼 수 있는 정보이기 때문에 개인 정보라는 점이 강조되어 있다.

우리 법에서 ”가명처리“의 정의는, EU GDPR¹⁾의 가명처리(pseudonymisation)(제4조 제5호)²⁾와 동일한 정의규정을 가져와 유사하게 제정한 것이나, 정작 GDPR에서 가명처리는 안전조치의 하나로 도입되었을 뿐이라는 점에서 큰 차이가 있다. EU GDPR에서는 가명처리는 개인들의 권리행사를 배제하거나 기타 개인정보보호조치를 배제시키려는 의도로 도입된 것이 아니다(전문 제28조)³⁾.

그러나 우리 법문 제3절에서는 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 처리 근거로서 EU GDPR 제87조를 차용하였으면서도, 완전히 다른 법체계로 조문구성이 되었다. 이렇게 된 이유는 우리 법에서는 가명처리가 안전조치로 고려되지 않았기 때문이었다. 정의에서 언급된 가명처리는 더 이상 (안전조치로도) 언급되지 않고, ”가명정보“만 과거 사회적 논란속에서 사라져간 「개인정보 비식별조치 가이드라인」(2016. 6. 30. 공표)에서의 ”비식별조치“와 유사한 맥락으로 활용되고 있다.

특히 현행 「개인정보보호법」는 ”가명정보“일 경우 개인정보주체의 동의없이 활용할 수 있는 특례를 허용해 주면서도 별도의 조건이나 제한 없이 수집출처 등 고지의무(제20조), 개인정보 파기의무(제21조), 영업양도 등에 따른 사전 통지의무(제27조), 개인정보 유출 통지의무(제34조), 열람권(제35조), 정정・삭제에 관한 권리(제36조), 처리정지 요구권(제37조), 정보통신서비스 제공자의 개인정보 수집・이용에 관하여 이용자로부터 동의 등을 받을 의무(제39조의3), 개인정보 유출통지 및 신고의무(제39조의4), 개인정보 파기의무(제39조의6), 동의 철회에 관한 권리(제39조의7) 등의 개인의 기본적 권리 행사도 모두 불가능하게 규정(법제28조의7)했다는 점에서 그 문제가 심각하다.

위 규정대로라면 ”가명정보“는 개인정보라고 강조하며 정의하고 있는데, 제3절의 가명정보의 처리 특례를 통해 ”개인정보“가 아닌 것처럼 역할하고 있는 것이다.

통계작성, 과학적 연구, 공익적 기록보존 등을 위한 처리근거 비교표. 우리 개인정보보호법과 유럽 GDPR을 비교하고 있다. 체계. 우리 개인정보보호법. 개인정보 처리근거와 무관하게 맥락없는 가명정보의 특례로 “동의받지 않고 활용할 수 있다”라고 구성되어 있음(제3절 가명정보의 처리에 관한 특례). 유럽GDPR. 양립가능성(제6조 제4항 본문)을 근거로 하여 공익적 기록보존 목적, 과학적 또는 역사적 연구 목적, 또는 통계 목적을 위한 추가 처리를 양립가능성 범위내로 예시함(전문 제50조, 제5조 제1항 b호 후문). 요건. 우리 개인정보보호법. 가명정보. 유럽GDPR. 가명처리는 안전조치의 하나일 뿐이지, 가명처리되었다고 하여 안전조치가 전부 충족된 것은 아니다. 정보주체의 권리 배제. 우리 개인정보보호법. 별도의 조건이나 제한없이 수집출처 등 고지의무(제20조), 개인정보 파기의무(제21조), 영업양도등에 따른 사전 통지의무(제27조), 개인정보 유출 통지의무(제34조), 열람권(제35조), 정정・삭제에 관한 권리(제36조), 처리정지 요구권(제37조), 정보통신서비스 사업자의 정보통신서비스 제공자의 개인정보 수집・이용에 관하여 이용자로부터 동의 등을 받을 의무(제39조의3), 개인정보 유출통지 및 신고의무(제39조의4), 개인정보 파기의무(제39조의6), 동의 철회에 관한 권리(제39조의7) 등 정보주체의 권리행사배제 (법 제28조의7). 유럽GDPR. - 과학적 또는 역사적 연구 목적, 통계 목적으로 처리되는 경우 일부 정보주체의 권리[제15조(열람권) , 제16조(정정권), 제18조(처리에 대한 제한권), 제21조(반대할 권리)]를 배제할 수 있으나, 이 경우에도 해당 권리가 목적의 달성을 불가능하게 하거나 중대하게 손상시키고, 그러한 배제가 목적달성에 필요한 경우에만 배제를 허용함. - 공익적 기록보존 목적일 경우에는 [제15조(열람권) , 제16조(정정권), 제18조(처리에 대한 제한권), 제19조(고지의무), 제20조(개인정보이동권), 제21조(반대할 권리)]를 배제할 수 있으나, 이 경우에도 해당 권리가 목적의 달성을 불가능하게 하거나 중대하게 손상시키고, 그러한 배제가 목적달성에 필요한 경우에만 배제를 허용함.

헌법재판소는 개인정보자기결정권에 대해서 헌법 제10조 제1문에서 도출되는 일반적 인격권, 헌법 제17조의 사생활의 비밀과 자유에 근거하여 독자적인 기본권으로 인정하여 왔다.(헌재 2005. 5. 26. 자 99헌마513 등) 이러한 개인정보자기결정권에는 개인이 개인정보 처리에 관하여 동의할 수 있는 권리, 동의 범위 등을 선택하고 결정할 수 있는 권리, 열람을 요구할 수 있는 권리, 개인정보의 처리 정지, 정정·삭제 및 파기를 요구할 권리가 실질적으로 구현되어야 한다. 이러한 권리가 구현되지 않는 개인정보자기결정권은 존재하지 않는 것과 같다.

개인정보자기결정권은 개인정보를 식별가능한 상태로 처리함으로써 개인의 사생활이 침해된다는 것에 대해 방어할 수 있는 권리에 그치는 것이 아니라, 개인이 자신의 정보흐름에 대해 주도권을 가지지 못하고 배제됨으로써 겪는 인격권 침해를 막고 적극적으로 참여할 수 있도록 하는 권리이기도 하다. 그러므로 ”개인이 행사하여야만 하는 헌법상 기본권“을 처리의 목적 달성 여부나 필요성, 최소 침해성 여부 등을 전혀 고려하지 않고 전면 배제하여 통제권을 유명무실한다면 이는 헌법상 과잉금지원칙 위반이라고 해석될 수 있다.

이번 SKT 사건 판결은, 「개인정보보호법」에서 가명정보 특례 조항들이 가지고 있는 문제를 본격적으로 짚었을 뿐만 아니라, 개인정보자기결정권이라는 기본권을 침해여부에 대한 헌법적 평가까지 함께 했다는 점에서 의미가 크다. 판결문에서는 명시적으로 언급되지 않았으나, 우리 법에서 명확하게 규정하지 않은 식별가능한 개인정보가 가명정보화되는 처리과정 및 처리근거에 대한 문제제기 역시 같은 맥락에서 검토될 수 있다.

해당 판결에서는 가명정보의 특례를 통해 개인들의 권리행사가 부당하게 제한되고 있다는 점에 대하여 ① 개인들의 권리행사가 왜 필요한가라는 측면 (필요성), ② 개인들의 권리행사를 전면 배제하는 것의 과잉침해성 (최소 침해성) 등을 언급하며 ”부당하다“고 평가하고 있다.

판결문 제9쪽 내지 제10쪽

가명정보가 … (중략)… 동일한 정보주체에 관한 여러 가명정보가 사용・결합되거나 그 밖에 이와 유사한 상황이 발생할 경우에는 정보주체에 대한 식별이 가능하게 될 위험이 존재하고 … (중략)… 개인정보가 정보주체의 의사와 무관하게 유출되는 경우에는 정보주체에게 심각한 피해가 초래될 가능성이 높고 그로 인하여 정보주체에 발생한 피해는 사후적으로 금전적 보상 또는 배상이 이루어지는 것만으로 회복될 수 있는 성질의 것이 아닌 이상 정보주체가 개인정보처리자에 대하여 식별가능정보에 대한 가명처리 내지 가명정보에 대한 처리에 관한 결정권을 충분히 자유롭게 행사할 수 있도록 할 필요성이 존재한다고 할 것이다.

그런데 개정된 개인정보 보호법은, … (중략)… 식별가능정보를 가명처리하여 생성된 가명정보에 대하여는 ①개인정보처리자의 정보주체 이외로부터 수집한 개인정보의 수집출처 등 고지의무(제20조), 개인정보 파기의무(제21조), 영업양도등에 따른 사전 통지의무(제27조), 개인정보 유출 통지의무(제34조)와 ②정보통시서비스 제공자의 개인정보 수집・이용에 관하여 이용자로부터 동의 등을 받을 의무(제39조의3), 개인정보 유출통지 및 신고의무(제39조의4), 개인정보 파기의무(제39조의6) 및 ③정보주체의 열람권(제35조), 정정・삭제에 관한 권리(제36조), 처리정지 요구권(제37조), 동의 철회에 관한 권리(제39조의7) 등의 적용을 모두 배제함으로써(제28조의7) 정보주체의 가명정보의 처리에 대한 결정권을 상당하게 제한하고 있다.

그렇다면 개정된 개인정보보호법 제28조의7에서 처리정지 요구권의 적용을 배제하고 있는 ‘가명정보’에 식별가능정보를 가명처리하는 것까지 포함된다고 해석할 경우 정보주체가 개인정보처리자에 대하여 가명정보에 대한 개인정보자기결정권을 행사할 수 있는 방법이 원척적으로 봉쇄되는 부당한 결론에 이르게 된다.

또한 해당 판결에서는 가명정보로 처리되기 전에 자신의 식별정보에 대한 가명처리정지를 요구할 수 있다는 점에 대하여 ‘개인정보 보호 법령 및 지침・고시 해설’ 등의 유권해석을 근거로 판단하고 있는데 더하여, 헌법적 평가를 시도하고 있다. 즉, ”식별가능정보의 가명처리에 대한 정보주체의 처리정지 요구권의 행사를 원천적으로 제한함으로써 침해되는 정보주체의 사익이 그로 인하여 얻을 수 있는 공익에 비하여 결코 작다고 단정할 수 없다“고 판단한 것이다. 이러한 판단은 향후 유사한 ”개인“들의 권리행사에 있어서도 다른 공익과의 비교형량의 중요 기준으로 활용될 수 있는 근거로서 검토될 수 있을 것이다.

오늘날 저장장치 및 빅데이터와 강력한 기계학습알고리즘 등의 발전으로, 인간의 눈에는 식별할 수 없는 것처럼 보이더라도 개인으로부터 파생되거나 추론되는 데이터들이 쉽게 민감한 데이터로까지 추론되는 시대를 살고 있다. 비루해 보이는 토끼굴이 사실은 석·박사들이 포진한 데이터처리회사라는 이상한 나라까지 쭉 연결되는 것처럼 말이다.

EU GDPR을 중심으로 세계적으로 개인정보보호법제가 디지털 시대에 개인정보주체에게 보다 적극적인 통제권을 부여하고, 개인의 인권을 침해하는 개인정보처리를 제한하는 방향으로 변화되고 있다. 관련된 캘리포니아 주 법은 이에 영향을 받아 두 차례에 걸쳐 개정되었으며, 미 연방 개인정보보호법안도 발의된 바 있다.

이번 판결에서 문제가 된 「개인정보보호법」 제3절 가명정보의 특례는 개인정보보호법 전체 맥락과 견주어 보아도 어떤 개인정보처리규정과도 연결점이 없이 갑자기 툭 튀어나온 모습이다. ”활용”과 ”데이터 결합”을 위해 보호법에 특별한 특혜규정을 열어준 것이다. 지금이라도 법체계내에서 ”가명정보“라는 개념은 폐기하고, 가명처리를 안전조치의 일종으로 검토하여 개인정보보호법의 본래적 목적에 맞는 법개정이 이루어져야 한다. 또한 근본적으로 헌법상 개인정보자기결정권을 실질화하는 개인의 권리를 복원해야 한다.

1) EU GDPR(General Data Protection Regulation, EU 일반 개인정보보호법). 2016년 공포된 유럽의회 통합 규정으로써 유럽 시민들의 개인정보 보호를 강화하기 위해 시행된 규정으로 유럽 연합 시민의 데이터를 활용하는 경우 준수해야 한다. 개인정보 유출에 대한 심각성이 강조되면서 유럽뿐 아니라 전세계적으로 채택되거나 이와 유사한 법제가 도입되고 있다.

2) ‘pseudonymisation’ means the processing of personal data in such a manner that the personal data can no longer be attributed to a specific data subject without the use of additional information, provided that such additional information is kept separately and is subject to technical and organisational measures to ensure that the personal data are not attributed to an identified or identifiable natural person;

3) The application of pseudonymisation to personal data can reduce the risks to the data subjects concerned and help controllers and processors to meet their data-protection obligations. The explicit introduction of ‘pseudonymisation’ in this Regulation is not intended to preclude any other measures of data protection

참여연대 사법감시센터는 최근 판결 중 사회 변화의 흐름을 반영하지 못하거나 국민의 법 감정과 괴리된 판결, 기본권과 인권보호에 기여하지 못한 판결, 또는 그 와 반대로 인권수호기관으로서 위상을 정립하는데 기여한 판결을 소재로 [판결비평-광장에 나온 판결]사업을 진행하고 있습니다. 주로 법률가 층에만 국한되는 판결비평을 시민사회 공론의 장으로 끌어내어 다양한 의견을 나눔으로써 법원의 판결이 더욱더 발전될 수 있다는 생각 때문입니다.

The post [판결비평] 가명처리는 안전조치로 도입되어야 했다 appeared first on 참여연대.