[성명] 청와대발 빅데이터 활성화 정책 중단하라!

지역

[성명] 청와대발 빅데이터 활성화 정책 중단하라!

익명 (미확인) 님 | 화, 2016/11/01- 11:14

청와대발 빅데이터 활성화 정책 중단하라!

비선실세와 유착 의혹 받는 대기업이 중심이 된 청와대발 빅데이터 정책 신뢰할 수 없다

개인정보 보호라는 전 세계 추세에 맞춰 처음부터 국회에서 재논의해야

연일 국민들에 충격적인 소식이 계속되고 있다. 최순실이라는 개인이 박근혜 대통령과 청와대를 좌지우지 해 왔다는 것이다. 무능하고 부적절한 인사가 계속되고 문화체육관광부를 비롯한 정부부처들의 정책추진 체계도 무너졌다. 이제 국민들은 세월호 사건 진상규명을 비롯해 그간 의문스러웠던 국가 정책들의 배경을 전면 의심할 수밖에 없는 상황이다.

빅데이터 정책도 그렇다. 2011년부터 2014년까지 병원과 약국을 다녀간 4천4백만 국민 처방정보 50억 건이 이미 IMS헬스라는 미국 빅데이터 업체에 팔렸고 그렇게 팔린 한국 국민 주민번호의 암호 알고리즘을 지난해 하버드대 연구진이 다 풀어버린 상황이다.

그럼에도 불구하고 정부는 아무런 조치를 취하지 않고 있다. 아니, 오히려 한술 더 떠 허술함이 드러난 방식의 빅데이터 산업을 권장하며 국민들의 건강정보 5조 건을 시장에 공개하고 나섰다. 나아가 금융실명제 등 공익적 목적으로 금융기관들이 보유하고 있는 ‘신용정보’, 이동통신 부정방지라는 공익적 목적을 위해 통신사들이 보관하고 있는 정확한 ‘위치정보’, 그밖에 수많은 개인정보들을 모두 거래해야 경제가 산다고 목소리를 높인다.

지난 2014년 카드3사에서 국민 금융정보 1억 건이 유출되고 나서 개인정보 보호의 "비정상의 정상화"를 하겠다고 선언했던 목소리는 지금 정부 안에서 찾아볼 수 없다. 개인정보 보호 컨트롤타워로 재탄생하겠다던 개인정보보호위원회는 존재감이 없고, 개인정보 보호법률들을 주무하는 행정자치부, 방송통신위원회는 오히려 법률 완화에 앞장서고 있는 형국이다.

지난 4월 14일 유럽은 개인정보보호 일반규정(GDPR)을 제정하였고, 10월 27일 미국은 사상 처음으로 통신법에 옵트인 규정을 신설하였다. 세계 각국은 빅데이터 시대 국민들의 개인정보를 보호하기 위한 제도정비에 나선 것이다. 반면 우리 정부와 기업은 우리나라 개인정보 보호 수준이 지나치게 강하다며 이를 완화하기 위해 온 힘을 집중하고 있다.

그리고 이 비정상의 배경에는 청와대가 있다. 지난 5월 18일 박근혜 대통령이 기업들과 규제개혁장관회의를 개최한 후, 평소에는 개인정보 보호를 주무하던 행정자치부가 6월 30일 개인정보 보호를 완화하는 범정부 가이드라인을 급조해 발표했다. 8월 30일에는 보건복지부가 국민건강복지를 위해 건강보험공단, 건강심사평가원이 보유한 국민 건강정보 5조건을 모두 공개하겠다는 과감한 계획을 발표했다. 방송통신위원회는 국민 위치정보를, 금융위원회는 국민 신용정보를 모두 공개하겠다고 한다.

도무지 말이 안 되는 상황이다. 버젓이 개인정보 보호 법률들이 존재하는 상황에서 이는 불법이다. 이에 대해 정부가 내놓은 해법은 '비식별화'이다. "가명" 등 비식별화 처리를 하면 "개인정보가 아닌 것으로" 정부가 "추정"해줄 테니 일단 팔아버리라고 한다. 미국의 일개 빅데이터 기업에서도 우리 국민의 주민번호와 민감한 처방정보를 이미 다 가지고 있는데 땡땡땡(OOO) 표시에 불과한 몇 가지 조치로 개인정보가 보호될 것이라는 거짓말이 횡행한다.

이뿐만 아니다. 과학기술, 정보방송통신 등 소위 미래 성장동력에 대한 대응전략을 짜기 위해 박근혜 정부가 신설한 미래전략수석 비서관 인사가 신설초기부터 지금까지 거대 통신사 경영진 출신 일색이다. 중요한 국가정책을 결정해야 하는 이 자리를 이해 당사자인 통신사 출신들이 독식한다면 정책의 방향이 누구를 위한 것일지는 명약관화하다.

그간 임명된 4명 중 3명의 미래전략수석이 KT 사외이사(윤창번, 현대원), SK 사장(조신) 출신이다. 이런 배경에서 청와대는 통신사 등 친기업적인 정책을 추진해 온 것이다. 태생부터 통신 소비자의 권리, 개인정보와 같은 인권을 기업이익에 우선할 구조가 아니었던 것이다.

우리는 빅데이터 정책을 무조건 반대하는 것이 아니다. 예컨대, 특정 개인을 다시는 식별할 수 없는 완전 익명처리된 빅데이터 교통정보는 공공정책에 유용하게 사용될 수 있다. 이는 현행 개인정보 보호법제18조 제2항4호에서도 보장하고 있는 내용이다.

그러나 청와대에 의해 추진되는 빅데이터정책은 이와 다르다. 현재 정부와 기업이 말하는 규제완화는 개인정보보호법에서 허용하는 ‘완전한 익명'이 아니라 기업들에 유용한 개인정보를 자유롭게 거래하기 위해서 개인정보보호법을 우회하겠다는 것이다. 이에 따르면, 앞으로 보험사는 위치정보, 건강정보 등 다양한 개인정보를 수집해서 자기 고객들의 위치, 질병 등을 추론할 수 있게 되었다. 그러나 당사자는 모른다. 헌법이 보장하고 있는 자기 개인정보에 대한 정보주체의 동의권은‘불필요한 규제'로 제거 대상이 된 것이다.

결론적으로 현재 추진하는 청와대발 빅데이터 정책은 모두 중지돼야 한다. 청와대는 지금까지 정상적인 민주적 절차에 따라 위임된 권력이 아닌 ‘비선실세’에 따라 국정이 좌지우지되었다는 증거가 넘쳐나고 있다. 비선실세로 알려진 최순실에 의해 급조된 재단들에 아무런 보상없이 수백억을 기부했을 리가 없다. 그리고 이들 기업이 앞장서서 추진하는 빅데이터 사업을 국민들은 신뢰할 수 없다. 일부 기업이 비선실세와 유착한 대가로 국민들의 개인정보를 손쉽게 판매할 수 있는 권한을 부여 받은 게 아닌지 의심을 떨쳐낼 수 없다.

이에 우리 10개 단체들은 비식별화 가이드라인을 필두로 정부와 기업이 지금까지 추진해 온 초법적인 개인정보 활용 정책들을 중단할 것을 강력하게 촉구한다. 나아가 20대 국회가 최근 미국이나 유럽의 조치처럼 빅데이터 처리로부터 국민의 동의권도 함께 보장하기 위해 이를 제고하는 정책을 처음부터 재논의할 것을 요구한다.

2016년 11월 1일

경실련 시민권익센터, 진보네트워크센터, 참여연대, 건강과 대안, 건강권실현을위한보건의료단체연합, 건강사회를위한약사회, 건강사회를위한치과의사회, 노동건강연대, 인도주의실천의사협의회, 참의료실현청년한의사회

시민들의 의견

댓글 달기

이름

Comment

텍스트 형식 정보

텍스트 형식

Plain text

웹 페이지 주소 및 이메일 주소는 자동으로 링크로 전환됩니다.
줄과 단락은 자동으로 분리됩니다.
사용할 수 있는 HTML 태그: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd>

CAPTCHA

스펨 사용자 차단 질문

참여연대, 권력감시

[기자회견] 개인정보 도둑법 강행하는 정부 규탄한다

http://www.peoplepower21.org/files/attach/images/37219/166/668/001/ec76d... style="width:850px;height:638px;" />개인정보 도둑법 강행하는 정부 규탄한다

‘국민이 주인인 나라’ 표방하는 문재인 정부, 정보인권 외면

제대로 된 개인정보보호,활용 조화 위한 사회적 논의 시작해야

취지

오늘(12/9) 건강과대안, 건강권실현을위한보건의료단체연합, 무상의료운동본부, 민주사회를위한변호사모임 디지털정보위원회, 전국민주노동조합총연맹, 진보네트워크센터, 참여연대는 청와대 분수대 앞에서 개인정보3법(개인정보보호법개정안, 신용정보보호법개정안, 정보통신망법개정안)을 통과시킬 것을 압박하고 있는 문재인 정부 규탄 기자회견을 개최했다. 그동안 정부와 국회는 4차 산업혁명과 경제혁신을 위해 데이터 3법이 반드시 통과되어야 한다고 주장해 왔다. 그러나 세 법안은 국민의 개인정보보호 체계를 근본적으로 바꾸는 중대한 사안임에도 그간 사회적 논의와 합의 없이 일방적으로 추진되었다. 정부가 사실상 법안마련을 주도한 것으로 알려진 이들 법안의 주요내용은 정보 주체자인 국민의 동의없이 개인정보를 상업적으로 활용할 수 있도록 하고 있고 정보주체의 권리는 대폭 축소 또는 폐지하는 등 안전장치가 거의 전무하다. 지금이라도 정부가 이들 3법안 강행을 중단하고 제대로 된 개인정보보호 체계를 마련하기 위한 사회적 논의를 시작할 것을 촉구한다.

지난 12/4일 국회 과학기술정보방송통신위원회가 <정보통신망법안>을 졸속으로 통과시킴으로써 이제 개인정보3법안은 모두 법제사법위원회의 체계 자구 심사와 본회의만을 남겨두고 있다. 수차례 지적했듯이, 개인정보 3법은 기업들이 가명처리된 고객정보를 정보주체의 동의없이 판매, 공유, 결합할 수 있도록 허용하는 ‘개인정보 도둑법’이다. 공공의 이익도 아니고 사기업의 이윤을 위해, 그것도 충분한 안전장치도 없이 정보주체의 권리를 일방적으로 희생할 것을 요구하는 것은 국민의 기본권 보호를 국가의 책무로 규정하고 있는 헌법에도 위배된다.

개인정보보호와 활용의 균형을 이루겠다는 법개정 취지는 말속임에 지나지 않는다. 건강정보나 금융정보와 같이 개인의 가장 사적이고 민감한 정보에 대해서초자 안전장치를 찾기 어렵다. 가명처리만 하면 애초 수집 목적 외로 다른 기업에 제공할 수 있도록 하고 있으며, 더구나 한번 제공된 가명정보는 목적달성 후 삭제,폐기의무도 없다.이 뿐인가? 서로 다른 기업의 고객정보를 공공기관이 결합해주도록 하고 있다. 이는 전세계 유례가 없는 일이다. 정부는 유럽연합의 일반개인정보보호규정(GDPR) 적정성 평가를 위해서도 개인정보3법 통과를 서둘러야 한다고 하고 있다. 그러나 이들 3법안은 유럽연합의 GDPR에 비해 개인정보처리자의 책임성을 강화하는 조항도 부재하다. 무엇보다 GDPR의 수준에 맞게 개인정보감독기구의 독립성과 권한을 강화하는 게 선행되어야 했다. 정부의 주장대로 적정성 평가를 위해 법개정을 서둘러야 한다면 문제가 되는 법안 내용 중 개인정보보호위원회의 독립성과 권한을 강화하는 조항만 통과시키면 된다.

이와 같이 개인정보3법안이 개인정보보호와 활용의 조화를 구현하겠다는 법개정 취지와는 반대로 가고 있음이 명백한데도 정부가 법안 통과를 적극 요구하고 있을 뿐 아니라 비쟁점법안이라며 국회 역시 통과를 서두르겠다고 하고 있다. 노동시민사회는 경제혁신을 위해 국민의 정보인권을 일방적으로 희생할 것을 요구만 할 것이 아니라 지금부터라도 사회적 논의를 시작한다면 제대로 된 개인정보보호와 활용 정책을 모색해 나갈 수 있을 것이라고 주장했다. ‘국민이 주인인 나라’를 표방하는 문재인정부가 현명한 선택을 할 것을 기대한다고 밝혔다.

개요

제목 : 기자회견 <개인정보 도둑법 강행하는 정부 규탄한다>

일시 장소 : 2019. 12. 09(월) 11시 / 청와대 분수대 앞

주최 : 건강과대안, 건강권실현을위한보건의료단체연합, 무상의료운동본부, 민주사회를위한변호사모임 디지털정보위원회, 전국민주노동조합총연맹, 진보네트워크센터, 참여연대

참가자

사회 김재헌 (무상의료운동본부 사무국장)

발언 1 오병일 (진보네트워크센터 대표)

발언 2 전진한 (보건의료단체연합 정책국장)

발언 3 양홍석 (참여연대 공익법센터 소장)

발언 4 양동규 (전국민주노동조합총연맹 부위원장)

퍼포먼스

문의 : 민변 디지털정보위원회(서채완 변호사 02-522-7284), 민주노총(우문숙 정책국장 010-5358-2260),진보네트워크센터(희우 활동가 02-774-4551), 무상의료운동본부(김재헌 국장 010-7726-2792), 참여연대(이경민 간사 010-7266-7727), 전진한(보건의료단체연합 정책국장 010-9699-8840)

▣ 붙임1 : 기자회견문

기자회견문

개인정보 도둑법 강행하는 문재인 정부 규탄한다

문재인 정부는 소위 4차 산업혁명과 혁신 경제라는 명분으로 개인정보 3법(개인정보보호법 개정안, 정보통신망법 개정안, 신용정보법 개정안) 개악을 강행하고 있다. 지난 12월 4일 정보통신망법이 상임위를 통과함으로써, 이제 개인정보 3법은 법제사법위원회와 본회의를 앞두고 있다. 노동시민사회의 반대에도 불구하고 여당은 개인정보 3법을 ‘비쟁점 법안’으로 분류하고 밀어붙이려 하고 있다. ‘창조경제’를 명분으로 ‘개인정보 비식별조치 가이드라인’을 강행하여 개인정보를 침탈했던 박근혜 정부와 무엇이 다른지 알 수 없다.

데이터 3법이 아니라 개인정보 도둑법이다

수차례 지적했듯이, 개인정보 3법은 기업들이 가명처리된 고객정보를 정보주체의 동의없이 판매, 공유, 결합할 수 있도록 허용하는 ‘개인정보 도둑법’이다. 공공의 이익도 아니고 사기업의 이윤을 위해, 그것도 충분한 안전장치도 없이 정보주체의 권리를 희생해야 할 이유가 무엇인지 묻지 않을 수 없다.

안전조치도 부실하다. 개인건강정보와 같은 민감한 개인정보인지, 정보인권을 침해할 다른 우려는 없는지 등을 고려하지 않고 가명처리만 하면 애초 수집 목적 외로 다른 기업에 제공할 수 있도록 하고 있으며, 더구나 한번 제공된 가명정보는 삭제되지 않고 계속 사용 할 수 있도록 보장하고 있다. 서로 다른 기업의 고객정보를 공공기관이 결합해주는 서비스는 전 세계적으로 유례없는 일이다. 유럽연합의 일반개인정보보호규정(GDPR)과 같이 개인정보처리자의 책임성을 강화하는 조항도 부재하다. 개인정보보호위원회의 권한을 강화한다고 하지만, 독립성은 여전히 미약해서 정부가 간섭하려는 의도가 엿보인다.

이 법이 없으면 데이터 활용이 불가능하다고, 빅데이터나 인공지능의 발전이 불가능하다고 호도하지 말기 바란다. 정보주체의 동의를 받는다든지, 개인정보가 아닌 익명정보를 활용한다든지 혹은, 학술 연구를 활용하는 등 다양한 방법이 존재한다. 개인정보의 권리를 침해해야 가능한 사업 모델을 갖고있다면 차라리 지금 사업을 포기하는 것이 나을 것이다.

유럽연합과의 적정성 평가를 위해서 개인정보 3법의 조속한 통과가 필요하다는 주장도 있다. 그렇다면 개인정보보호위원회의 독립성과 권한을 강화하는 조항만 통과시키면 된다. 애초에 적정성 평가의 가장 큰 장애물은 우리나라에 독립적인 개인정보감독기구가 없다는 것이었다. 차라리 개인정보보호위원회를 독립적인 감독기구로 바로 세우고 개인정보 보호법제를 전반적으로 재검토하도록 하는 게 효율적인 방법일 수 있다.

밀어붙일수록 늦어진다.

내용도 문제이지만 추진 과정도 실망스럽다. 문재인 정부를 과연 민주적으로 운영되는 정부라 부를 수 있는가. 정부 부처는 인권보다는 산업 중심주의자의 편에 서 있다. 정부의 잘못된 정책 추진에 제 목소리를 내지 못하는 여당 의원들도 한심하기는 마찬가지다. 한 사람 한 사람 입법기관으로서 개인정보의 상품화에 찬성하는 것인지 의견을 밝힐 것을 요구했지만, 소신은 간 데 없고 정부의 거수기 역할만 하고 있다.

박근혜 정부는 충분한 논의없이 ‘개인정보 비식별조치 가이드라인’을 밀어붙였지만, 2016년 이후 현재까지 4년 동안 개인정보의 보호와 활용 체계에 어떠한 진전도 가져오지 않았다. 오히려 정부와 기업이 개인정보를 무분별하게 활용하려 한다는 불신만 가중시켰을 뿐이다.

문재인 정부에서 개인정보 3법을 충분한 의견수렴도 없이 이렇게 밀어붙인다면 그 결과는 충분히 예상된다. 이런 방식으로 개인정보 3법이 통과된다면 우리는 내 개인정보를 상업적 연구 목적으로 처리하지 말라는 대대적인 거부 운동을 벌여나갈 것이다. 고객의 개인정보를 허투루 취급하는 기업들은 그에 합당한 충분한 대가를 치르게 할 것이다. ‘사람이 먼저다’라는 문재인 정부의 슬로건도 웃음거리가 될 것이다.

개인정보 3법은 국회에 있지만, 우리는 다시 청와대 앞으로 왔다. 개인정보 도둑법을 강행하는 배후에는 궁극적으로 문재인 정부가 있기 때문이다. 문재인 정부에 마지막으로 촉구한다. 개인정보 3법 강행을 중단하고, 개인정보 보호체계 업그레이드를 위한 제대로 된 사회적 논의를 시작해야 한다.

2019년 12월 9일

건강과대안, 건강권실현을위한보건의료단체연합, 무상의료운동본부, 민주사회를위한변호사모임 디지털정보위원회, 전국민주노동조합총연맹, 진보네트워크센터, 참여연대

빅데이터, 의료정보, 개인정보보호, 민주주의, 감시사회, 마이데이터.감시사회, 개인정보자기결정권, 데이터3법

월, 2019/12/09- 20:39

[판결비평] 가명처리는 안전조치로 도입되어야 했다

통신3사는 그간 가명처리된 정보라는 이유로 가입자의 개인정보가 어떻게 활용되었는지를 공개하지 않고, 이를 중단해달라는 요구도 수용하지 않아왔습니다. 자신의 정보가 어떻게 처리되었는지 알수 없었던 이용자들이 정보공개청구 및 향후 가명처리와 무단활용을 하지 말아달라고 요청했지만, SKT는 거절했습니다. 이에 이용자들은 법원에 소송을 제기했고, 법원은 이용자들의 손을 들어주었습니다. 정보주체의 가명처리정지권 보장의 중요성을 인정한 이번 판결에 대해 김보라미 변호사가 비평했습니다.

광장에 나온 판결 : 229번째 이야기

SKT를 상대로 한 개인정보 가명처리정지권 이행 소송 1심 판결

서울중앙지방법원 제29민사부 한정석(재판장), 강석규, 김소연 판사 2023. 01. 19 선고. 2021가합509722 [판결문 보기]

김보라미 변호사 / 법률사무소 디케

「개인정보보호법」이 2020년 2월 4일 통과된 이후 “가명정보”라는 개념이 도입되었다. 「개인정보보호법」 법 제2조 정의에서 가명처리에 대하여는 “개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아 볼 수 없도록 처리하는 것”이라고 정의(법 제2조 제1의2호)하고, 가명정보에 대하여는 “개인정보를 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보”(제2조 제1호 다목)라고 정의하고 있다. 위 정의에서 “가명정보”는 ”추가정보“를 보유하고 있는 개인정보처리자 입장에서는 언제든지 특정 개인을 알아볼 수 있는 정보이기 때문에 개인 정보라는 점이 강조되어 있다.

우리 법에서 ”가명처리“의 정의는, EU GDPR¹⁾의 가명처리(pseudonymisation)(제4조 제5호)²⁾와 동일한 정의규정을 가져와 유사하게 제정한 것이나, 정작 GDPR에서 가명처리는 안전조치의 하나로 도입되었을 뿐이라는 점에서 큰 차이가 있다. EU GDPR에서는 가명처리는 개인들의 권리행사를 배제하거나 기타 개인정보보호조치를 배제시키려는 의도로 도입된 것이 아니다(전문 제28조)³⁾.

그러나 우리 법문 제3절에서는 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 처리 근거로서 EU GDPR 제87조를 차용하였으면서도, 완전히 다른 법체계로 조문구성이 되었다. 이렇게 된 이유는 우리 법에서는 가명처리가 안전조치로 고려되지 않았기 때문이었다. 정의에서 언급된 가명처리는 더 이상 (안전조치로도) 언급되지 않고, ”가명정보“만 과거 사회적 논란속에서 사라져간 「개인정보 비식별조치 가이드라인」(2016. 6. 30. 공표)에서의 ”비식별조치“와 유사한 맥락으로 활용되고 있다.

특히 현행 「개인정보보호법」는 ”가명정보“일 경우 개인정보주체의 동의없이 활용할 수 있는 특례를 허용해 주면서도 별도의 조건이나 제한 없이 수집출처 등 고지의무(제20조), 개인정보 파기의무(제21조), 영업양도 등에 따른 사전 통지의무(제27조), 개인정보 유출 통지의무(제34조), 열람권(제35조), 정정・삭제에 관한 권리(제36조), 처리정지 요구권(제37조), 정보통신서비스 제공자의 개인정보 수집・이용에 관하여 이용자로부터 동의 등을 받을 의무(제39조의3), 개인정보 유출통지 및 신고의무(제39조의4), 개인정보 파기의무(제39조의6), 동의 철회에 관한 권리(제39조의7) 등의 개인의 기본적 권리 행사도 모두 불가능하게 규정(법제28조의7)했다는 점에서 그 문제가 심각하다.

위 규정대로라면 ”가명정보“는 개인정보라고 강조하며 정의하고 있는데, 제3절의 가명정보의 처리 특례를 통해 ”개인정보“가 아닌 것처럼 역할하고 있는 것이다.

통계작성, 과학적 연구, 공익적 기록보존 등을 위한 처리근거 비교표. 우리 개인정보보호법과 유럽 GDPR을 비교하고 있다. 체계. 우리 개인정보보호법. 개인정보 처리근거와 무관하게 맥락없는 가명정보의 특례로 “동의받지 않고 활용할 수 있다”라고 구성되어 있음(제3절 가명정보의 처리에 관한 특례). 유럽GDPR. 양립가능성(제6조 제4항 본문)을 근거로 하여 공익적 기록보존 목적, 과학적 또는 역사적 연구 목적, 또는 통계 목적을 위한 추가 처리를 양립가능성 범위내로 예시함(전문 제50조, 제5조 제1항 b호 후문). 요건. 우리 개인정보보호법. 가명정보. 유럽GDPR. 가명처리는 안전조치의 하나일 뿐이지, 가명처리되었다고 하여 안전조치가 전부 충족된 것은 아니다. 정보주체의 권리 배제. 우리 개인정보보호법. 별도의 조건이나 제한없이 수집출처 등 고지의무(제20조), 개인정보 파기의무(제21조), 영업양도등에 따른 사전 통지의무(제27조), 개인정보 유출 통지의무(제34조), 열람권(제35조), 정정・삭제에 관한 권리(제36조), 처리정지 요구권(제37조), 정보통신서비스 사업자의 정보통신서비스 제공자의 개인정보 수집・이용에 관하여 이용자로부터 동의 등을 받을 의무(제39조의3), 개인정보 유출통지 및 신고의무(제39조의4), 개인정보 파기의무(제39조의6), 동의 철회에 관한 권리(제39조의7) 등 정보주체의 권리행사배제 (법 제28조의7). 유럽GDPR. - 과학적 또는 역사적 연구 목적, 통계 목적으로 처리되는 경우 일부 정보주체의 권리[제15조(열람권) , 제16조(정정권), 제18조(처리에 대한 제한권), 제21조(반대할 권리)]를 배제할 수 있으나, 이 경우에도 해당 권리가 목적의 달성을 불가능하게 하거나 중대하게 손상시키고, 그러한 배제가 목적달성에 필요한 경우에만 배제를 허용함. - 공익적 기록보존 목적일 경우에는 [제15조(열람권) , 제16조(정정권), 제18조(처리에 대한 제한권), 제19조(고지의무), 제20조(개인정보이동권), 제21조(반대할 권리)]를 배제할 수 있으나, 이 경우에도 해당 권리가 목적의 달성을 불가능하게 하거나 중대하게 손상시키고, 그러한 배제가 목적달성에 필요한 경우에만 배제를 허용함.

헌법재판소는 개인정보자기결정권에 대해서 헌법 제10조 제1문에서 도출되는 일반적 인격권, 헌법 제17조의 사생활의 비밀과 자유에 근거하여 독자적인 기본권으로 인정하여 왔다.(헌재 2005. 5. 26. 자 99헌마513 등) 이러한 개인정보자기결정권에는 개인이 개인정보 처리에 관하여 동의할 수 있는 권리, 동의 범위 등을 선택하고 결정할 수 있는 권리, 열람을 요구할 수 있는 권리, 개인정보의 처리 정지, 정정·삭제 및 파기를 요구할 권리가 실질적으로 구현되어야 한다. 이러한 권리가 구현되지 않는 개인정보자기결정권은 존재하지 않는 것과 같다.

개인정보자기결정권은 개인정보를 식별가능한 상태로 처리함으로써 개인의 사생활이 침해된다는 것에 대해 방어할 수 있는 권리에 그치는 것이 아니라, 개인이 자신의 정보흐름에 대해 주도권을 가지지 못하고 배제됨으로써 겪는 인격권 침해를 막고 적극적으로 참여할 수 있도록 하는 권리이기도 하다. 그러므로 ”개인이 행사하여야만 하는 헌법상 기본권“을 처리의 목적 달성 여부나 필요성, 최소 침해성 여부 등을 전혀 고려하지 않고 전면 배제하여 통제권을 유명무실한다면 이는 헌법상 과잉금지원칙 위반이라고 해석될 수 있다.

이번 SKT 사건 판결은, 「개인정보보호법」에서 가명정보 특례 조항들이 가지고 있는 문제를 본격적으로 짚었을 뿐만 아니라, 개인정보자기결정권이라는 기본권을 침해여부에 대한 헌법적 평가까지 함께 했다는 점에서 의미가 크다. 판결문에서는 명시적으로 언급되지 않았으나, 우리 법에서 명확하게 규정하지 않은 식별가능한 개인정보가 가명정보화되는 처리과정 및 처리근거에 대한 문제제기 역시 같은 맥락에서 검토될 수 있다.

해당 판결에서는 가명정보의 특례를 통해 개인들의 권리행사가 부당하게 제한되고 있다는 점에 대하여 ① 개인들의 권리행사가 왜 필요한가라는 측면 (필요성), ② 개인들의 권리행사를 전면 배제하는 것의 과잉침해성 (최소 침해성) 등을 언급하며 ”부당하다“고 평가하고 있다.

판결문 제9쪽 내지 제10쪽

가명정보가 … (중략)… 동일한 정보주체에 관한 여러 가명정보가 사용・결합되거나 그 밖에 이와 유사한 상황이 발생할 경우에는 정보주체에 대한 식별이 가능하게 될 위험이 존재하고 … (중략)… 개인정보가 정보주체의 의사와 무관하게 유출되는 경우에는 정보주체에게 심각한 피해가 초래될 가능성이 높고 그로 인하여 정보주체에 발생한 피해는 사후적으로 금전적 보상 또는 배상이 이루어지는 것만으로 회복될 수 있는 성질의 것이 아닌 이상 정보주체가 개인정보처리자에 대하여 식별가능정보에 대한 가명처리 내지 가명정보에 대한 처리에 관한 결정권을 충분히 자유롭게 행사할 수 있도록 할 필요성이 존재한다고 할 것이다.

그런데 개정된 개인정보 보호법은, … (중략)… 식별가능정보를 가명처리하여 생성된 가명정보에 대하여는 ①개인정보처리자의 정보주체 이외로부터 수집한 개인정보의 수집출처 등 고지의무(제20조), 개인정보 파기의무(제21조), 영업양도등에 따른 사전 통지의무(제27조), 개인정보 유출 통지의무(제34조)와 ②정보통시서비스 제공자의 개인정보 수집・이용에 관하여 이용자로부터 동의 등을 받을 의무(제39조의3), 개인정보 유출통지 및 신고의무(제39조의4), 개인정보 파기의무(제39조의6) 및 ③정보주체의 열람권(제35조), 정정・삭제에 관한 권리(제36조), 처리정지 요구권(제37조), 동의 철회에 관한 권리(제39조의7) 등의 적용을 모두 배제함으로써(제28조의7) 정보주체의 가명정보의 처리에 대한 결정권을 상당하게 제한하고 있다.

그렇다면 개정된 개인정보보호법 제28조의7에서 처리정지 요구권의 적용을 배제하고 있는 ‘가명정보’에 식별가능정보를 가명처리하는 것까지 포함된다고 해석할 경우 정보주체가 개인정보처리자에 대하여 가명정보에 대한 개인정보자기결정권을 행사할 수 있는 방법이 원척적으로 봉쇄되는 부당한 결론에 이르게 된다.

또한 해당 판결에서는 가명정보로 처리되기 전에 자신의 식별정보에 대한 가명처리정지를 요구할 수 있다는 점에 대하여 ‘개인정보 보호 법령 및 지침・고시 해설’ 등의 유권해석을 근거로 판단하고 있는데 더하여, 헌법적 평가를 시도하고 있다. 즉, ”식별가능정보의 가명처리에 대한 정보주체의 처리정지 요구권의 행사를 원천적으로 제한함으로써 침해되는 정보주체의 사익이 그로 인하여 얻을 수 있는 공익에 비하여 결코 작다고 단정할 수 없다“고 판단한 것이다. 이러한 판단은 향후 유사한 ”개인“들의 권리행사에 있어서도 다른 공익과의 비교형량의 중요 기준으로 활용될 수 있는 근거로서 검토될 수 있을 것이다.

오늘날 저장장치 및 빅데이터와 강력한 기계학습알고리즘 등의 발전으로, 인간의 눈에는 식별할 수 없는 것처럼 보이더라도 개인으로부터 파생되거나 추론되는 데이터들이 쉽게 민감한 데이터로까지 추론되는 시대를 살고 있다. 비루해 보이는 토끼굴이 사실은 석·박사들이 포진한 데이터처리회사라는 이상한 나라까지 쭉 연결되는 것처럼 말이다.

EU GDPR을 중심으로 세계적으로 개인정보보호법제가 디지털 시대에 개인정보주체에게 보다 적극적인 통제권을 부여하고, 개인의 인권을 침해하는 개인정보처리를 제한하는 방향으로 변화되고 있다. 관련된 캘리포니아 주 법은 이에 영향을 받아 두 차례에 걸쳐 개정되었으며, 미 연방 개인정보보호법안도 발의된 바 있다.

이번 판결에서 문제가 된 「개인정보보호법」 제3절 가명정보의 특례는 개인정보보호법 전체 맥락과 견주어 보아도 어떤 개인정보처리규정과도 연결점이 없이 갑자기 툭 튀어나온 모습이다. ”활용”과 ”데이터 결합”을 위해 보호법에 특별한 특혜규정을 열어준 것이다. 지금이라도 법체계내에서 ”가명정보“라는 개념은 폐기하고, 가명처리를 안전조치의 일종으로 검토하여 개인정보보호법의 본래적 목적에 맞는 법개정이 이루어져야 한다. 또한 근본적으로 헌법상 개인정보자기결정권을 실질화하는 개인의 권리를 복원해야 한다.

1) EU GDPR(General Data Protection Regulation, EU 일반 개인정보보호법). 2016년 공포된 유럽의회 통합 규정으로써 유럽 시민들의 개인정보 보호를 강화하기 위해 시행된 규정으로 유럽 연합 시민의 데이터를 활용하는 경우 준수해야 한다. 개인정보 유출에 대한 심각성이 강조되면서 유럽뿐 아니라 전세계적으로 채택되거나 이와 유사한 법제가 도입되고 있다.

2) ‘pseudonymisation’ means the processing of personal data in such a manner that the personal data can no longer be attributed to a specific data subject without the use of additional information, provided that such additional information is kept separately and is subject to technical and organisational measures to ensure that the personal data are not attributed to an identified or identifiable natural person;

3) The application of pseudonymisation to personal data can reduce the risks to the data subjects concerned and help controllers and processors to meet their data-protection obligations. The explicit introduction of ‘pseudonymisation’ in this Regulation is not intended to preclude any other measures of data protection

참여연대 사법감시센터는 최근 판결 중 사회 변화의 흐름을 반영하지 못하거나 국민의 법 감정과 괴리된 판결, 기본권과 인권보호에 기여하지 못한 판결, 또는 그 와 반대로 인권수호기관으로서 위상을 정립하는데 기여한 판결을 소재로 [판결비평-광장에 나온 판결]사업을 진행하고 있습니다. 주로 법률가 층에만 국한되는 판결비평을 시민사회 공론의 장으로 끌어내어 다양한 의견을 나눔으로써 법원의 판결이 더욱더 발전될 수 있다는 생각 때문입니다.

The post [판결비평] 가명처리는 안전조치로 도입되어야 했다 appeared first on 참여연대.

[MD] section1**주요이슈, [메인편집] Main**Display, 사법감시센터, 판결/결정, SKT가명정보, 가명정보, 가명처리, 개인정보, 참여연대, 판결비평

월, 2023/02/20- 18:36

참여연대, 권력감시

[공동논평]행안부는 반쪽짜리 주민번호 개편안 전면 재검토하라

행안부는 반쪽짜리 주민번호 개편안 전면 재검토하라

주민번호 활용 최소화하고 전면 임의번호 부여하는 온전한 개선안 마련해야

지난 12월 17일 행정안전부는 2020년 10월부터 주민등록번호 뒷자리의 지역번호 대신 임의번호를 부여하는 방식으로 주민등록번호 부여체계를 개편하겠다고 밝혔다. 현 체계의 주민등록번호는 생년월일, 성별, 지역번호, 등록순서, 검증번호를 포함한 13자리이다. 개편안에 따르면 기존 주민번호는 그대로 유지되며 신규 부여받거나 변경하는 경우 생년월일과 성별번호 7자리 이후 6자리를 임의번호로 부여받게 된다.

그러나 이러한 개편안은 주민번호체계의 근본적인 문제 해결 방법이 아니다. 그동안 지적돼 온 현행 주민등록번호 부여체계의 핵심적인 문제는 모든 영역에서 사용되는 범용성, 생년월일·성별·지역 등 개인의 고유한 정보가 내재된 구성체계 등이었다. 이번 개편안은 이와 같은 문제를 해결하는 근본적 대안이 아닌 일부 수정에 불과하다. 이에 개편안을 전면 재검토하고 주민번호 전부를 임의번호로 부여하는 등 온전한 개선안 마련이 필요하다.

주민번호는 번호 자체가 그 사람을 대표하는 유일한 번호로서 성명, 주소 등 다른 개인정보와 연결되는 연결자다. 그렇기 때문에 유출될 시 개인정보 전반에 입는 피해가 매우 크다. 그러나 한국의 주민번호는 공공·민간영역 할 것 없이 본인확인 수단으로 광범위하게 사용되고 있다. 정부는 잦은 주민등록번호 등 개인정보 유출 사고 이후 2014년부터 법령으로 정해진 경우에만 주민번호를 수집할 수 있도록 주민번호 수집 법정주의를 도입한 바 있지만, 여전히 광범위하게 쓰이고 있는 실정이다. 무엇보다 주민번호 자체에 성별, 생년 등 고유한 개인정보가 포함돼 있기 때문에 유출로 입는 피해뿐만 아니라 차별에 노출될 가능성도 굉장히 높다. 특히 성별 이분법적 시각으로 분류한 성별번호가 포함돼 있기 때문에 성별이분법에서 벗어난 성소수자에 대한 차별의 원인을 제공한다는 지적도 수차례 있었다.

이에 시민사회단체와 국가인권위원회 등은 현행 주민등록번호에 포함돼 있는 생년월일, 성별번호 등을 없애고 무작위 난수체계의 임의번호 체계로 변경할 것을 촉구해 왔다. 아울러 주민등록번호를 관련 행정업무와 사법행정업무에 한해 사용하고 목적별 번호 제도를 도입하는 것이 필요하다는 의견을 피력해 왔다. 또한 인권위는 이미 지나치게 많은 법령에서 주민번호 수집을 허용하고 있으니 법령 정비를 통해 이를 최소화하고 민간영역에서의 허용은 불가피한 경우에만 한정해야 한다고 권고한 바 있다.

그러나 행안부의 이번 개편안은 여전히 주민번호에 핵심 개인정보를 포함하고 있어 반쪽짜리 개선에 불과하다. 이러한 개편안을 마련한 이유에 대해 행안부는 의료, 금융시스템 등 공공·민간 분야에서 주민번호를 통해 생년월일과 성별을 관리하고 있어 주민번호를 전면 개편할 경우 약 11조원의 비용을 치르게 된다는 연구 결과가 나왔기 때문이라고 밝히고 있다. 하지만 주민번호 수집 법정주의에도 불구하고 여전히 개편 비용이 많이 든다는 것은 주민번호의 수집을 최소화하고자 하는 목적으로 도입한 주민번호 법정주의가 제대로 작동하지 않기 때문이다. 또한 인권위의 권고에도 불구하고 여전히 공공·민간영역에서의 광범위한 주민번호 활용을 허용하겠다는 말과 다름없다.

비용과 혼란을 최소화하기 위해 단계적으로 시행하더라도 근본적인 방향은 제대로 설정해야 한다. 현재 대부분의 국가는 우리처럼 개인식별번호에 민감한 개인정보를 포함하지 않고 조세·사회보장 등 극히 제한된 공공행정업무에만 한정해 사용하고 있으며 그외 민간영역에서는 개인 신분인증의 수단으로 활용하지 않고 있다. 한국 역시 지금부터라도 주민번호의 사용범위를 줄이고 목적별 식별번호 사용을 추진해야 한다. 이미 필요한 경우 생년월일과 성별을 별도로 수집하는 경우가 있다. 주민번호의 전면 개편으로 인한 변경 비용과 사회적 혼란이 우려된다면 시스템 변경에 필요한 경과기간을 두는 방식으로 해결할 수 있다. 또한 신규 등록자 및 원하는 사람 위주로 변경하도록 할 수도 있다. 이러한 사회적인 대안에 대해 행안부가 제대로 검토했는지 의문이다. 근본적인 문제를 해결하지 않은 채 일부분 변경으로 갈음한다면 향후 또다시 제도변경에 불필요한 사회적 비용이 발생하게 될 것이다.

행안부의 이번 개선안은 개인정보자기결정권이라는 헌법상 기본권 보장 측면에도 부합하지 않는 관리의 효율성만을 앞세운 반쪽짜리 개선안이 아닐 수 없다. 행안부는 국민의 기본권을 보장함과 동시에 주민번호로 인한 사회적 차별, 유출 위험 등을 줄일 수 있도록 주민번호 13자리를 전부 임의번호로 부여하는 방식의 온전한 개편안을 마련해야 한다. 또한 주민번호 수집 법정주의를 엄격하게 관철해 주민번호를 최소한으로 사용하도록 제한하고, 목적별 식별번호 사용도 반드시 함께 추진해야 할 것이다.

2019.12.19

민주사회를 위한 변호사모임 디지털정보위원회, 성소수자차별반대 무지개행동(총 39개 단체 및 모임- 공익인권법재단 공감, 공익인권변호사모임 희망을만드는법, 노동당 성정치위원회, 녹색당 소수자인권특별위원회, 대구퀴어문화축제, 대전 성소수자 인권모임 ‘솔롱고스’, 대학·청년성소수자모임연대 QUV, 대한불교 조계종 사회노동위원회, 레주파, 무지개예수, 무지개인권연대, 민중당 인권위원회, 부산 성소수자 인권모임 QIP, 부산퀴어문화축제 기획단, 30대 이상 레즈비언 친목모임 그루터기, 서울인권영화제, 서울퀴어문화축제조직위원회, 성공회 용산나눔의집(사회적소수자 생활인권센터), 성별이분법에 저항하는 사람들의 모임 ‘여행자’, 성소수자부모모임, 성소수자알권리보장지원 노스웨스트 호, 성적소수문화인권연대 연분홍치마, 성적지향성별정체성 법정책연구회, (사)신나는센터, 언니네트워크, 이화 성소수자인권운동모임 변태소녀하늘을날다, 전라북도 성소수자 모임 열린문, 정의당 성소수자위원회, 지구지역행동네트워크, 청소년성소수자위기지원센터 띵동, 청소년 트랜스젠더 인권모임 튤립연대(준), 트랜스젠더 인권단체 조각보, 트랜스해방전선, 한국게이인권운동단체 친구사이, 한국레즈비언상담소, 한국성적소수자문화인권센터, 한국청소년청년감염인커뮤니티알, 행동하는성소수자인권연대, HIV/AIDS 인권연대 나누리+ ), 진보네트워크센터, 참여연대, 함께하는 시민행동

주민등록번호, 개인정보자기결정권, 고유식별번호, 신분제도, 지문날인반대, 프라이버시권, 임의번호부여, 개인정보유출사고

목, 2019/12/19- 22:55

참여연대, 권력감시

[카드뉴스] 데이터3법 왜 문제일까요?

http://www.peoplepower21.org/files/attach/images/37219/472/653/001/d03ce... style="width:850px;height:478px;" />

http://www.peoplepower21.org/files/attach/images/37219/472/653/001/08a42... style="width:850px;height:478px;" />

http://www.peoplepower21.org/files/attach/images/37219/472/653/001/08da0... style="width:850px;height:478px;" />

http://www.peoplepower21.org/files/attach/images/37219/472/653/001/44c76... style="width:850px;height:478px;" />

http://www.peoplepower21.org/files/attach/images/37219/472/653/001/1197b... style="width:850px;height:478px;" />

http://www.peoplepower21.org/files/attach/images/37219/166/668/001/d290a... style="width:850px;height:478px;" />

http://www.peoplepower21.org/files/attach/images/37219/166/668/001/86c9c... style="width:850px;height:478px;" />

http://www.peoplepower21.org/files/attach/images/37219/166/668/001/7ddf4... style="width:850px;height:478px;" />

http://www.peoplepower21.org/files/attach/images/37219/166/668/001/100e5... style="width:850px;height:478px;" />

http://www.peoplepower21.org/files/attach/images/37219/166/668/001/6ab39... style="width:850px;height:478px;" />

http://www.peoplepower21.org/files/attach/images/37219/166/668/001/697a2... style="width:850px;height:478px;" />

http://www.peoplepower21.org/files/attach/images/37219/472/653/001/8133f... style="width:850px;height:478px;" />

#1.

데이터3법 왜 문제일까요? 1. 개인정보보호법 2. 신용정보보호법 3. 정보통신망법

#2.

현재는, 개인동의 없이 의료정보를 제3자에게 넘기면 개인정보법, 의료법 위반이지만

국회가 11월 19일 통과시키겠다는개인정보보호법안에 따르면?

#4.

병원, 보험공단, 건강보험심사평가원이 보유한 각종 의료정보가 가명정보로 공개된다는 것!

#5.

병원명, 일시, 병력, 가족력 숨기고 싶은 질병, 숨기고 싶은 질병, 싹 다~ 말이죠

#6.

심지어 재산 변화, 이혼여부 등 나의 내밀한 기록도 공개 결합 판매될 수 있어요

#7.

그러면 보험사는 그 정보를 활용해 가입거절, 보험료차등, 계약연장거절 나중에 지불거절도 하겠지요

#8.

개인정보 활용의 이익은 돈 많은 대형 병원이나 일부 대기업들이 가져가겠지만

#9.

상품차별, 고용불이익, 데이터관련 범죄...모든 피해는 국민들이 입는거죠

#10.

더구나 가명정보라서 권리도 인정받지 못해요 ㅠㅠ 정보주체의 고지받을 권리, 열람청구권, 목적달성 후 파기의무, 개인정보 유출통지 의무 등 불인정

#11.

요약하면 데이터3법=내 개인정보 내 동의없이 기업이 마음대로 사고 파는 것

#12

국회는 당장 데이터3법 개악을 중단하고 사회적 논의를 해야 합니다

참여연대 정보인권사업단

빅데이터, 의료민영화, 데이터3법, 개인정보자기결정권, 인재근개인정보보호법안, 감시사회, A, 4차산업혁명, 혁신경제

토, 2019/11/16- 04:42

참여연대, 권력감시

[기자회견] 보험업법안, 신용정보법안, 인터넷전문은행법안 처리 중단하라

https://www.flickr.com/photos/pspd1994/49097911863/in/dateposted-public/" title="20191121_3개법안 처리중단촉구 기자회견">https://live.staticflickr.com/65535/49097911863_26ffc8f894_c.jpg" width="800" />

2019. 11. 21. 국회 정론관, 3개 법안 처리 중단 촉구 참여연대 기자회견 <사진=참여연대>

11/21(목) 정무위원회 법안심사 1소위에서는 보험업법 개정안, 신용정보법 개정안, 인터넷전문은행법 개정안을 논의하고 처리할 예정입니다. 그러나 보험업법 개정안은 개인이 사적으로 부담하는 보험료에 기초한 민간실손보험을 강화하는 내용으로 공적 건강보험 보장성 강화에 역행하는 것이며, 신용정보보호법 개정안은 개인신용정보를 정보주체의 동의 없이 기업의 돈벌이 수단으로 마음대로 사고 팔겠다는 것입니다. 또한 인터넷전문은행법 개정안은 공정거래법 위반 등 범죄 전력이 있는 산업자본을 은행 대주주로 만들겠다는 내용을 골자로 하고 있습니다. 이에 참여연대는 국민의 기본권을 침해하는 내용의 법안 논의와 처리의 중단을 촉구하는 기자회견을 정의당(대변인실) 소개로 개최했습니다.

[기자회견] 국회는 보험업법, 신용정보법, 인터넷전문은행법 처리 중단하라

일시 장소 : 2019. 11. 21. 목 13:30 / 국회 정론관

주최 : 참여연대

소개 : 정의당(대변인실)

참가자

소개 : 오현주 정의당 부대변인

사회 : 이재근 권력감시국장(참여연대 정보인권사업단)

취지 : 박정은 (참여연대 사무처장)

신용정보보호법안 등 데이터3법 개정 반대 이유 : 한상희 교수 (정보인권사업단장)

인터넷전문은행법 문제점 : 김은정 (경제노동팀 팀장)

보험업법 문제점 : 이경민 (참여연대 사회복지위원회 선임간사)

빅데이터, 의료정보, 개인정보보호, 민주주의, 감시사회, 마이데이터