시민사회단체, 위원장과의 간담회에서 현재까지 개인정보 보호위의 행보에 실망감 표출

보호위 위원장, 주요 쟁점에 대한 추가 논의 약속 

1. 지난 9월 17일(목) 개인정보보호위원회(이하, ‘개보위’) 회의실에서 윤종인 위원장과 9개 소비자, 노동, 보건, 시민사회단체 대표 등이 간담회를 진행했다. 시민사회단체는 간담회에 앞서 개보위에 개인정보보호 주요 쟁점 사안들에 대한 질의서를 미리 보냈다. 시민사회단체는 이미 여러 차례 의견을 제출했음에도 지금까지 시민사회의 의견과 제안이 반영되지 않는 것에 대한 책임있는 답변을 듣고 싶었기 때문이다.

지난 8월 5일 개정 개인정보보호법 시행에 맞춰 출범한 통합 개보위는 국민의 개인정보를 경제적 가치로만 환산해 정책을 추진하는 정부 부처에서 거의 유일하게 헌법의 기본권 측면에서 개인정보보호 수호자의 역할을 할 것으로 기대했지만, 지금까지 개보위의 행보는 여전히 정보주체보다 산업계의 이익을 우선했다는 비판을 받아왔다. 그러나 이번 간담회에서도 개보위는 시민사회를 설득할 만한 충분한 논거를 보여주지 못했을 뿐만 아니라, 개인정보 감독기구로서의 위상에 맞지 않게 정보주체의 권리에 대한 고려가 여전히 미흡했다. 그러나 시민사회와의 첫 대화인만큼 앞으로도 시민사회와 적극적으로 소통할 것을 기대한다.

2. 이날 간담회에서 개보위가 시민사회의 질의 내용에 대해 준비하여 답변(강유민 정책국장이 답변을 하고 윤종인 위원장이 보충하였다)한 내용과 이에 대한 시민사회의 반론은 다음과 같다.

1) 보호위원회의 <가명정보 처리 가이드라인> 상 “개인을 ‘알아볼 수 있는‘의 판단기준으로 “해당 정보를 처리하는 자”로 좁게 해석한 근거 : 우리의 개인정보 개념이 유럽 GDPR과 크게 다르지 않다고 본다. 누군가에게는 식별가능한 정보라도 또 다른 누군가에는 식별이 불가능할 경우 개인정보로 볼 수 없는 것이다.

➔ (시민사회 반론) GDPR과 다르지 않다고 하는데, GDPR에서는 처리자뿐만 아니라 제3자에 의해서도 식별가능한지 여부를 따지고 있으므로 굳이 ‘해당 정보를 처리하는 자를 기준으로 판단’한다는 표현을 포함할 이유가 없다.개인정보 처리자의 자의적 해석에 따라 달라질 수 있도록 한 것은 문제다.

2) 보호위원회가 판단하는 ‘과학적 연구’ 란 구체적으로 무엇이며, 이에 대한 별도의 해설서를 제공할 계획 여부 : 과학적 방법이란, 가설-검증-이론화 과정을 거치는 것을 말한다고 본다. 계속 같이 고민하고 있는데, 과학적 연구가 아닌 것이 뭐냐고 물으면 설명하기가 어렵다. 케이스를 봐가면서 검토하려고 하고 있다. 말은 과학적 연구라고 하지만 의도가 의심되는 경우가 있으면 같이 토론하고 의논해서 진행하겠다.

➔ (시민사회 반론) 유럽개인정보보호감독관(EDPS)이 올해 발표한 예비 보고서를 보더라도 과학적 방법을 사용한다고 모두 과학적 연구로 보는 것은 아니다. 경계가 모호하다면 범위를 좁게 설정했다가 향후 문제가 없으면 넓혀 가는게 권리침해의 위험을 줄일 수 있다. 위원장의 말대로라면 ‘과학적 연구 아닌 것’이 없게 된다.

3) 서로 다른 기업의 가명정보 결합한 후, 결합된 가명정보를 원 개인정보 보유기업에 반출하도록 허용하면서, 반출된 결합 가명정보의 안전한 활용을 어떻게 보장할 것인지 : 만약 원기업이 식별을 하면 엄격한 형사처벌조항, 매출 3% 과징금 등 사후처벌이 있으므로 감히 그렇게 못할 것이다. 데이터결합 제도를 어렵게 만들어낸 만큼 관리감독할 것이고 반출심사위를 외부인사도 참여하게 하여 엄격히 할 것이다.

➔ (시민사회 반론) 결합기관의 안전공간에서 연구하고 결과만 반출하는 방식 등 구조적으로 안전성을 보장할 수 있는 방법을 시민사회가 제안했지만, 산업계의 불편만을 우선적으로 고려한 것이 문제다. 유출 등 사고가 나면 이미 너무 늦어 사전 예방책이 더 중요한데 형사처벌, 과징금 등은 다 사후제재다. 믿어달라고만 하는 것은 너무 안일한 처사 아닌가.

4) 특정 과학적 연구 후에 가명정보의 파기 여부 : 가명정보 보관/파기는 양해해 달라. 파기 관련 법률 상위 규정이 없어서 시행령에 만들었다가 근거가 없어서 제외한 바 있다. 이 부분은 입법처리를 준비하는 것을 검토 중이다.

➔ (시민사회 반론) 목적명확화, 최소수집의 원칙 등 개보법 3조의 원칙을 고려한다면 당연히 개인정보인 가명정보도 특정 목적 달성 후 파기하도록 할 수 있다. 오히려 기본권 제한은 법률에 의해서만 가능하다는 헌법 37조2항에 따르더라도 파기하지 않는 것이 헌법상 기본권에 대한 침해라고 봐야 한다.

5) 복지부와 공동 공개한 ‘보건의료 데이터 활용 가이드라인(안)’은 정보주체의 옵트아웃(가명처리정지요구) 권리를 명시하고 있는 것과 같이 <가명정보 처리 가이드라인>에도 명시할 계획이 있는지 : 당초 안에는 사전적인 처리정지 요구를 할 수 있게 하는 옵트아웃 방안을 제시했고 이를 포함시킬지 여부를 검토 중이다. 가명정보 특례 취지상 28조7에서 37조(개인정보의 처리정지)는 배제하고 있고, 가명처리 전 개인정보를 어떻게 할 것인가가 문제인데 좀 더 검토가 필요하다.

➔ (시민사회 반론) 가이드라인에 포함된 처리정지권을 뺀다면 이건 심각한 문제다. 처리정지권은 법에 규정된 권리이므로 당연히 보장해야 한다. 동의없이 처리하는 것이기 때문에 정보주체의 거부권은 최소한의 권리다.

6) <보건의료 데이터 활용 가이드라인(안)>은 민감정보인 개인 의료정보도 가명정보 처리 특례가 적용되는 것으로 보고 있는데 의료법 위반일 가능성이 있고, 명확한 법적 근거없이 활용할 수 있도록 열어주는 근거 : 국회 속기록에도 남아 있는데, 민감정보여도 가명처리 할 수 있다고 말했다. 가명처리 이후 얼마나 관리하느냐가 관건인 것 같다. 관심갖고 준비할 수 있도록 하겠다. 복지부와 협의하고 있다. 원래 입법은 의료정보 가명화를 염두에 둔 건 아니다.

➔ (시민사회 반론) GDPR에서는 민감정보도 과학적 연구 목적으로 처리할 수 있도록 하지만 회원국의 법률에 근거하도록 하고 있다. 우리나라도 필요하다면 법적 근거를 마련해야지 이렇게 해석상 가능한 것으로 허용하는 것은 문제다.

7) 금융위원회의 쇼핑몰 구매정보를 개인 신용정보에 포함시킨 것에 대한 입장 : 신용정보법과 정합성이 떨어지는 부분이다. 금융위가 신용정보 범위를 확장적으로 해석하고 있는 것은 맞다. 금융위와 의논 중이다. 구매내역정보라고 해도 내용을 들어보면 어떤 경우는 신용평가모델에 쓰이기도 하고 다양해서 계속 논의 중이다.

8) 빅데이터 시대에 대응할 수 있는 정보주체의 새로운 권리나 개인정보처리자의 책임성 강화 조치를 포함한 개인정보보호법 2차 개정 계획 : 법적 정합성, 정보주체 권리 보호에 문제가 있는 등 법개정 필요성 인정한다. 하나하나 심도깊은 논의가 필요한 주제들이다.

9) 행안부, 방통위에 흩어져 있던 개인정보 감독 권한이 보호위원회로 일정하게 통합되었으나 여전히 개인 신용정보에 대한 감독은 금융위 관할로 남아있어 혼란,이를 해소하기 위한 대책 : 신정법에서 잘 규정하고 있는 부분이 있어서 벤치마킹하는 부분도 있다. 관계법령에도 비식별 조치, 비식별 처리 등등 흩어져있는 개별법 문제를 조속히 조사해서 정리할 것. 신정법 이슈는 연구해서 차차 답변하겠다.

➔ (시민사회 의견) 개인정보보호법과 신용정보보호법 간 개념 충돌과 정합성 부족으로 소비자가 피해를 보게 된다. 보호위원회가 개인정보 감독기구로서 제 역할을 적극적으로 해달라. 

10) 기타 : 질의서에 포함된 내용 이외에 시민사회 참가자들은 최근 서울고등법원이 통화내역의 기지국 정보가 위치정보가 아니라고 판결한 것과 개인위치정보의 해석에 대해 보호위의 의견을 요청했고, 보호위 홈페이지에 정보주체의 권리와 관련된 내용이 부족하다는 것을 지적하며 정보주체의 인식 고양을 위한 적극적인 활동을 주문하였으며, 학교 등에서의 개인정보 교육을 위해서도 개인정보 보호법제의 정비가 필요하다는 의견을 제시하였으며 이에 대해 윤종인 위원장도 공감하였다.

3. 시민사회단체 참석자들은 “개인정보 시스템에 대한 신뢰가 클수록 활용도 잘 될 것”이라는 윤종인 위원장의 발언에 공감한다고 밝혔다. 그러나 안타깝게도 지금까지 개보위가 보여준 모습은 개인정보 시스템에 대한 신뢰를 약화시키는 것이었다고 지적했다. 개인정보의 정의, 과학적 연구의 범위, 개인의료정보에 대한 가명정보 특례 적용 등 법에서 명확하게 규정하고 있지 않은 쟁점들에 대해서는 기업들에게 유리하게 해석하고 있는 반면, 특정 연구가 끝난 후의 가명정보 파기, 정보주체의 처리정지권 보장과 같이 정보주체의 권리를 보호하려는 내용은 계속 후퇴하는 것에 대해 어떻게 이해해야 하는지 반문했다. 여러 쟁점에 대한 시민사회의 반론에 대해 윤종인 위원장은 별도의 자리를 만들어서 토론을 계속할 것을 약속하였다. 시민사회는 언제든지 합리적인 토론을 환영하며 여러 쟁점에 대해 정보주체의 권리가 반영되는 방향으로 개정할 것을 촉구한다고 밝혔다. 이날 간담회는 무상의료운동본부, 민주노총·사무금융노조법률원, 민주사회를위한 변호사 모임 디지털정보위원회, 서울YMCA시민중계실,소비자시민모임, 진보네트워크센터, 참여연대, 한국소비자연맹, (사)오픈넷이 참여했다. 

시민사회단체가 개인정보보호위원회에 보낸 질의서 원문

1. 최근 귀 위원회가 공개한 <가명정보 처리 가이드라인>에서는 “개인을 ‘알아볼 수 있는‘의 판단기준은 “해당 정보를 처리하는 자”로 해석하여 개인정보를 좁게 해석하고 있습니다. 이는 2016년 <개인정보 비식별조치 가이드라인>의 해석과 동일합니다. 그러나 이렇게 될 경우 개인정보에 개인정보보호법 적용이 배제되어 개인정보 권리가 침해될 우려가 있습니다. 이는 유럽연합의 GDPR의 개인정보에 대한 해석과도 다릅니다. 귀 위원회에서 이렇게 개인정보를 좁게 정의하는 근거는 무엇입니까.

2. 최근 귀 위원회가 공개한 <가명정보 처리 가이드라인>은 ‘과학적 연구’에 대해 구체적인 해석의 기준을 제공하고 있지 않습니다. 귀 위원회의 판단에, 과학적 연구가 아닌 연구나 활동에는 어떠한 사례가 있을 수 있는지 궁금합니다. 또한 ‘연구’라고 표방하기만 하면 개인정보보호법 상 ‘과학적 연구’에 포함되는 것인지, 아니면 향후에 귀 위원회가 보다 구체적인 해설서를 제공할 계획이 있는지 궁금합니다.

3. 가명정보의 결합과 관련하여 시민사회는 해외 사례를 참고하여 안전하게 결합할 수 있는 방법에 대한 여러 제안을 했지만, 귀 위원회는 서로 다른 기업의 가명정보를 결합한 후, 결합된 가명정보를 원 개인정보 보유기업에 반출하도록 허용하고 있습니다. 이렇게 반출된 가명정보가 안전하게 활용될 것을 어떻게 보장할 수 있는지 설명해 주시기 바랍니다.

4. 가명정보를 과학적 연구 목적을 위하여 애초 보관 기간 이상으로 보유할 수 있도록 허용하는 것과 추후의 계속적인 연구에 활용할 수 있도록 무기한 보유를 허용하는 것은 다릅니다. 과학적 연구, 통계 목적 등을 위해 제3자에게 제공된 가명정보의 보관기간 및 파기에 대한 귀 위원회의 입장은 무엇입니까.

5. 복지부와 귀 위원회가 공동 공개한 ‘보건의료 데이터 활용 가이드라인(안)’은 정보주체의 옵트아웃(가명처리정지요구) 권리를 명시하고 있습니다. 가명정보의 처리는 정보주체의 동의와 무관하게 이루어지므로 정보주체가 원할 경우 최소한 옵트아웃할 권리를 보장하는 것은 당연합니다. 그런데 <가명정보 처리 가이드라인>에는 이러한 권리가 명시되어 있지 않습니다. 옵트아웃 권리에 대한 귀 위원회의 정확한 입장은 무엇입니까.

6. 개인정보보호법 제23조는 민감정보의 경우 정보주체의 별도의 동의나 법령에 근거가 있는 경우에만 처리할 수 있도록 하고 있음에도, 보건의료 데이터 활용 가이드라인(안)은 민감정보인 개인 의료정보도 가명정보 처리 특례가 적용되는 것으로 보고 있습니다. 더구나 개인 의료정보의 목적 외 활용은 의료법 저촉 가능성도 있습니다.  의료정보를 포함한 민감정보를 명확한 법적 근거없이 활용할 수 있도록 열어주는 근거는 무엇입니까.

7. 금융위원회는 쇼핑몰 구매정보도 개인 신용정보로 보고 있습니다. 이에 대한 귀 위원회의 입장은 무엇입니까.

8. 유럽연합과의 GDPR 적정성 결정 협의는 어떻게 진행되고 있으며, 언제쯤 타결될 예정인지요. 또한 논의 과정에서 합의에 어려움이 있는 쟁점은 무엇인지요.

 금융위원회의 관계

개정 개인정보보호법에 따라 그동안 방송통신위원회와 행정안전부에 흩어져 있던 개인정보 감독 권한이 보호위원회로 일정하게 통합되었음에도 불구하고, 신용정보에 대한 감독은 여전히 금융위원회가 담당하고 있습니다. ‘개인정보보호법’과 ‘신용정보법’ 간의 중복과 혼란 역시 완전히 해소되지는 않았고 인터넷쇼핑몰 주문내역 등을 신용정보로 해석하려는 시도 등과 같이 앞으로도 신용정보와 비신용정보에 대한 정의 문제, 활용 및 관리 감독의 문제 등이 반복될 것입니다. 이는 개인정보처리자인 기업 등뿐 아니라 정보주체에게도 큰 혼란을 줄 것입니다. 이에 대해 귀 위원회는 어떠한 문제의식을 갖고 있고 이 문제를 풀기 위해서 어떤 조치를 취할 것인지 알려주시기 바랍니다.

 개인정보보호위원회 운영 및 사업에 대한 의견

1. 8월 5일부터 시행된 개정 개인정보보호법은 빅데이터 시대에 대응할 수 있는 정보주체의 새로운 권리나 개인정보처리자의 책임성 강화 조치는 거의 포함하지 않았기 때문에, 2차 개정이 시급합니다. 개인정보보호법의 추가 개정에 대한 귀 위원회의 계획은 어떠합니까?

2. 통상적으로 개인정보처리자는 조직화되어있어 자신의 입장을 전달하는데 용이합니다. 그러나 정보주체는 흩어져있고 시민, 소비자단체 외에는 정보주체의 입장이 체계적으로 대변될 수 있는 구조가 없습니다. 정보주체의 의견을 수렴하기 위한 귀 위원회의 고민은 무엇입니까? 귀 위원회가 이와 같은 정보 주체의 의견 수렴을 위해 어떤 방법을 마련할 것인지 알려주십시오. 

사단법인 오픈넷은 올해 2월 제정된 소위 “데이터3법” 중 아무런 이유 없이 정보주체의 권리를 제한하는 개인정보보호법 제28조의7^[1]을 재개정할 것을 요구한다. “데이터3법”의 핵심취지는 GDPR을 벤치마킹하여 ‘통계작성, 과학적 연구, 공익적 기록보존의 목적(이하, “공공목적”)’으로는 개인정보를 정보주체의 동의 없이 이용할 수 있도록 한 개정법 제28조의2^[2]에 담겨져 있다. GDPR은 정보주체들이 열람권, 정정권, 처리제한권, 처리거부권을 너무 많이 행사하는 경우 공공목적이 무산되는 것을 방지하기 위해 공공목적의 이용에 한하여 이들 권리를 제한했다. 그런데 우리나라는 데이터3법을 졸속으로 통과시키면서, 개인정보보호법 제28조의7에서 단순히 가명처리만 하면 정보주체의 권리가 제한되도록 하여 개인정보처리자들이 공공목적 없이도 정보주체들의 권리를 제한할 수 있게 하였다. 

즉, GDPR은 공공목적을 위해서는 정보최소화원칙에 부합하는 안전조치(예를 들어, 가명처리)를 적용하면 정보주체의 동의 없이 개인정보를 이용할 수 있으되(GDPR 제89조 1항), 공공목적으로 처리될 때는 제15조(열람권), 제16조(정정권), 제18조(처리제한권) 및 제21조(처리거부권)에 규정된 권리의 적용을 일부 제외할 수 있다(89조 2항)고 하였다. 이에 비해 우리나라 개인정보보호법 제28조의7은 “가명정보는 [고지권, 파기권, 통지권, 정정권, 삭제권 등]의 규정을 적용하지 아니한다고 되어 있을 뿐이다. 자신에 대한 정보에 대한 열람권, 정정권 등 중요한 권리들이 GDPR 하에서는 공공목적 이용에 한해서 가명처리까지 이루어져야 제한되지만 우리나라 법은 공공목적과 무관하게 가명처리만 되면 정보주체의 권리들이 모두 제한되는 것이다.  

이 차이는 형식적 차이 이상의 심각한 혼란을 초래하고 있고 정보인권을 심대하게 침해할 것이다. 정보처리자들은 과학적 연구, 통계작성 등의 목표도 없이 가명처리를 하는 것만으로 정보주체들의 권리를 제한할 수 있게 되었다. 예를 들어 통신사들은 이용자들에 대해 가지고 있는 개인정보를 가명처리하고 재식별키를 제3자에게 보관시키게 되면 이용자들이 자신들에 대해 통신사가 가지고 있는 정보를 열람하겠다고 해도 보여주지 않아도 된다. 

더 아이러니한 것은 정부는 가명처리가 정보주체에게 미치는 위험을 감지했음에도 입법불비를 인정하고 개선하려 하지 않고  정보처리자에게 가명처리를  절차적으로 매우 하기 어려운 일로 만들어버렸다. 이에 따라 최근 8월에 개인정보보호위원회가 발표한 가명정보가이드라인(가명처리편)은 전 세계에서 유일무이하게 가명처리에 엄격한 절차적 요건을 부과하고 있다. 하지만 가명처리는 전 세계적으로 개인정보보호를 위해 장려되는 조치로서 당연히 정보주체의 동의 없이 할 수 있어야 한다. GDPR도 제32조와 제40조에서 가명처리는 모든 개인정보처리자가 기본적으로 해야 하는 보호조치로 명시하고 있다. 심지어 우리나라의 경우에도 법으로 주민등록번호는 반드시 암호화하여 보관하도록 하여 유출되더라도 식별화 피해를 최소화하도록 하고 있는데(개인정보의 안전성 확보조치 기준 제7조) 여기서 암호화란 정보보호 상으로는 가명처리의 스펙트럼 속의 한 방식일 뿐이다. 그런데 이렇게 가명처리를 어렵게 만들어 놓으면 개인정보처리자들은 프라이버시 보호를 위한 자발적인 가명처리를 하지 않게 되어 유출시 위험이 더 높아질 수밖에 없다.

결국, 가명처리 이전에는 개인정보보호를 위해 장려되고 활발하게 이루어져야 할 가명처리를 어렵게 만들어서 개인정보보호가 약화되고, 가명처리 이후에는 열람권, 삭제권 등 정보주체의 권리가 제한되어 더욱더 개인정보보호가 약화되는 최악의 상황이 만들어져버렸다. 이 상황에서는 개인정보보호에 대한 양보의 대의명분으로 제시되는 공공목적 개인정보 활용이 이루어지기도 어렵지만, 이루어질 경우에도  너무나 위험하게 되었다. 지금이라도 GDPR을 벤치마킹하겠다는 취지를 살려서 제28조의7을 개정하여 ‘과학적 연구, 통계작성, 공익적 기록보전’의 목적을 위해 가명처리된 정보에 대해서만 권리제한이 이루어지도록 하고 가명처리 자체는 모든 개인정보처리자가 활발하게 하도록 장려하는 보완조치들이 이루어져야 할 것이다. 

이와 함께 사단법인 오픈넷은 지난 4월 위 문제를 포함하여 개인정보보호법의 개정 및 보완 요구를 하면서 ‘과학적 연구’의 정의에 연구결과가 논문 등의 형태로 공개되어야 한다는 요건을 포함할 것과 개인정보 결합시 결합키관리기관과 결합기관을 분리할 것도 요청하였다. 결합키관리기관과 결합기관의 분리는 <가명정보의 결합 및 반출 등에 관한 고시[시행 2020. 9. 1.] [개인정보보호위원회고시 제2020-9호, 2020. 9. 1., 제정]>를 통해서 어느 정도 해결이 된 반면, ‘과학적 연구’의 결과 공개 요건은 아직도 개선되어 있지 않다. 재개정을 통해 이 문제도 같이 해결할 것을 요구한다.  

________________________________
[1] 제28조의7(적용범위) 가명정보는 제20조, 제21조, 제27조, 제34조제1항, 제35조부터 제37조까지, 제39조의3, 제39조의4, 제39조의6부터 제39조의8까지의 규정을 적용하지 아니한다.

[2] 제28조의2(가명정보의 처리 등) ① 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다.
② 개인정보처리자는 제1항에 따라 가명정보를 제3자에게 제공하는 경우에는 특정 개인을 알아보기 위하여 사용될 수 있는 정보를 포함해서는 아니 된다.

2020년 9월 25일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, [email protected]

[관련 기자간담회 개최]

• 일시: 2020년 9월 29일(화) 오전 10시 ~ 11시
• 장소: 오픈넷 회의실 (서울시 서초구 서초대로50길 62-9, 402호) 
• 위 내용에 대해 설명하는 기자간담회에 참석을 원하시는 기자님은 참가신청을 해주시기 바랍니다.

[관련 글]
[공동 논평] 개보위 역할 인식 아쉽다 – 개인정보 보호위원회는 정보주체 권리 보호에 더 적극적이어야 (2020.09.22.)
[논평] 개인정보보호법 가명화 도입, 입법불비부터 선결되어야 GDPR 수준의 정보보호 할 수 있다. (2020.04.09.) 

더불어민주당 의원 열여덟 명은 10월 13일, 산업기술보호법(이하 ‘산기법’) 개정안을 발의했다. 대표발의자인 고민정 의원이 “삼성전자 국가핵심기술 유출 방지법”이라고 이름붙인 법이다. 고 의원은 지난 7일, 국회 산업통상자원중소벤처기업위원회 국정감사에서 이 법의 필요성을 강조하며, 2016년 세상을 시끄럽게 했던 ‘삼성전자 A 임원’ 사건을 언급하기도 했다.

[2104495] 산업기술의 유출방지 및 보호에 관한 법률 일부개정법률안(고민정의원등18인)
○ 발의의원 명단 
고민정·고용진·김경만·김성환·김승원·김정호·김진표·도종환·문진석·민형배·신정훈·오영환·윤영덕·윤준병·이용빈·정일영·정필모·황희(18인)

1. 고민정 의원은 삼성전자 A 임원에게 사과부터 하라

고 의원은 A가 삼성전자의 핵심기술 자료 47개를 “이직시 사용하기로 마음먹고 유출”하였음에도 “부정한 목적이 입증되지 않아 무죄판결을 받았다”고 했다. “미수에 그쳤으니 망정이지 그 기술들이 중국으로 유출됬다면 어떤 사태가 벌어졌겠냐”, “법률적 미비로 인해 무죄판결을 받은 것은 심각한 문제”라고도 했다.

하지만 법원이 A의 기술 유출 혐의를 무죄라고 판결한 이유는 고 의원의 주장처럼 “이직시 사용하기로 마음먹고 유출”했으나 “부정한 목적이 입증되지 않아서”가 아니었다. 법원은 A가 “이직을 준비하였음을 뒷받침할 증거는 발견되지 않는다” 했고, “업무에 참고하기 위한 학습 목적으로 자료를 반출”했을 뿐이라 했다. 그 자료들은 대부분 A가 병가 중 받은 이메일을 출력한 것이었고, A가 집에서도 컴퓨터로 열람할 수 있는 문서들이었다. A에게는 평소 자료를 출력해서 메모하며 공부하는 습관이 있어, 오래전부터 해왔던 대로 회사에서 자료를 출력해 집으로 가져갔을 뿐이었다. 모두 판결문에 적시된 내용들이다. 즉 A가 무죄 판결을 받은 것은 “심각한 문제”가 아니라 당연한 결과였다.

이 사건으로 비판받아야 할 대상은 A가 아니라 A에게 누명을 씌운 삼성과 검찰이었다. 그리고 언론이었다. 사건이 알려졌던 2016년 9월, 언론은 A에게 대대적인 마녀사냥을 가했다. SBS 뉴스를 시작으로 A를 “삼성의 핵심기술 자료를 중국 업체에 통째로 팔아넘기려다 붙잡힌” 임원이라 단정하며(실제, A가 중국업체와 접촉한 흔적은 전혀 없었다), 회사는 물론 나라까지 배신한 사람으로 몰았다. 그래서 A의 어머니는 쓰러졌고 A 스스로도 죽고 싶다는 생각까지 했다고 한다(2018. 5. 17. 뉴스타파 기사).

다행히 법원에서 잇따라 무죄판결이 나오고 2018년 뉴스타파, 프레시안, KBS가 공동으로 기획 보도를 하며, 이 사건의 진상은 비교적 소상히 밝혀졌다. 그럼에도 A의 상처는 치유되지 않았다. 아직 삼성과 검찰, 언론, 어디에서도 사과하지 않았기 때문이다. 

그런데 고민정 의원이 A 사건을 다시 언급하며 “무죄판결 받은 것은 심각한 문제”라 했다. 판결문만 제대로 읽어 봤어도 결코 할 수 없는 발언이었다. 고 의원은 당장 A에게 사과부터 해야 한다.

2. 삼성전자와 산업기술보호법의 ‘특수관계’를 알고 있는가

고 의원은 이번 산기법 개정안을 “삼성전자 국가핵심기술 유출방지법”이라 불렀다. 산기법이 삼성을 더 보호하는 법이 되어야 한다는 주장이다. 삼성과 이 법의 오랜 특수관계에 대해서는 어떠한 고민도 보이지 않는다.

산기법은 “산업기술의 부정한 유출을 방지하고 산업기술을 보호”하기 위해 만들어졌다(제1조). 그래서 이 법은 국가, 기업 등에게 ‘산업기술’ 및 ‘국가핵심기술’로 지정된 기술의 유출 방지를 위한 책임을 강화하고, 그 기술의 부정한 유출행위에 대한 처벌을 강화하는 것에 초점이 맞추어져 있다. 하지만 삼성은 언젠가부터 이 법을 자사의 기술 인력을 억압하는 수단(위 A사건), 혹은 자사의 기술 탈취를 정당화하는 수단(‘핀펫’ 사건), 나아가 자사 반도체 공장의 작업환경 문제를 은폐하는 수단으로 악용해왔다.

2007년부터 삼성 반도체 노동자들의 집단 직업병 발병 문제가 불거졌다. 고용노동부의 2009년 위험성 평가 결과, 2013년 특별감독 및 안전보건진단 결과, 2018년 특별감독 결과가 모두, 삼성 반도체 공장의 화학물질 관리에 심각한 문제가 있다고 밝혔다. 그러자 삼성은 그 공장의 작업환경 관련 자료를 일제히 “국가핵심기술 관련 자료”라는 명목으로 은폐하려 했다. 하지만 법원은 그 주장을 받아들이지 않았다. 산기법 어디에도 그러한 은폐행위를 정당화할 만한 규정은 없었기 때문이다. 2017년과 2018년에 잇따라 나온 삼성 ‘안전보건진단 보고서’, ‘특별감독 보고서’ 및 ‘작업환경 측정 결과 보고서’에 대한 정보공개 판결은 그래서 나올 수 있었다.

그러자, 법이 바뀌어 버렸다. 국회가 지난해 8월 통과시킨 산기법 개정안에 “국가핵심기술에 관한 정보를 공개해서는 안된다”(제9조의2)는 조항 등이 추가된 것이다. 우리는 이 법의 개정 소식을 ‘삼성 작업환경 보고서’ 공개 소송에서 처음 접했다. 삼성 측 변호사가 “이 보고서의 공개 논란이 최근 입법적으로 해결되었다”고 주장했기 때문이다. 입법과정에서 기록된 여러 공식 문건들도 ‘삼성 작업환경 보고서’ 공개 논란이 법 개정의 직접적인 계기였음을 명시하고 있다. 그래서 우리는 이법을 ‘삼성보호법’이라 부른다.

이후, 12개 노동·시민 단체가 모여 ‘산업기술보호법 대책위’를 만들었고, 이 법의 문제점을 알리기 시작했다. JTBC 뉴스룸, MBC 스트레이트, KBS 9시뉴스도 이 법을 ‘삼성보호법’이라 불렀다. 2020년 2월, 국회에서는 이 법에 찬성표를 던졌던 민주당, 정의당 의원 15명이 “산업기술보호법 개정을 촉구”하는 기자회견을 열기도 했다. 이들은 “그 법안에는 우리가 미처 파악하지 못한 문제 조항들이 숨겨져 있었다”, “이 조항들은 지금까지 삼성전자가 일방적으로 했던 주장들과 내용적으로 매우 비슷하다”, “국회의원으로서 의무를 소홀히했던 점을 반성하며 책임 있는 모습을 보이겠다. 이 법이 올바르게 다시 개정될 수 있도록 노력하겠다”고 했다.

그런데 고민정 의원은 이 법이 삼성을 더 보호할 수 있도록 개정되어야 한다고 주장한 것이다. ‘삼성보호법’ 논란에 대해서는 어떠한 언급도 하지 않았다.

3. 이번 개정안도 악용될 위험이 너무 크다

산기법상 ‘산업기술 침해행위’(제14조)를 저지르면 3년 이상의 징역에 처해질 수 있고(국가핵심기술의 경우. 제36조 제1항), 기술 보유 기관으로부터 징벌적 손해배상을 청구 당할 수 있으며(제22조의2), 그 침해행위가 우려된다는 이유만으로 정보수사기관으로부터 어떤 조사나 조치를 당할 수도 있다(제15조).

그런데 이번에 발의된 산기법 개정안은 그러한 ‘산업기술 침해행위’로서 “적법한 방법으로 대상 기관의 산업기술을 취득한 후 대상기관의 동의 없이 그 취득한 산업기술을 사용하거나 공개하는 행위”를 추가하는 내용이다(제14조 1의2호).

먼저 ‘삼성전자 A 임원 사건’의 문제점을 바로잡겠다며 낸 개정안이 왜 그 사건에 적용된 제14조 제2호를 고치는 게 아니라, 새로운 침해행위 유형을 추가하는 것이 되는지 의문이다.

또한 이 조항은 산업기술과 관련된 모든 공익적 문제제기를 탄압하는 수단이 될 수 있다. 예컨대, 삼성전자의 기술 자료를 적법하게 취득한 사람이 그 기술의 운용과정에서 발생할 수 있는 어떤 문제점을 발견했다고 가정해보자. 공장 노동자나 지역 주민의 생명·건강을 심각하게 위협하는 문제라면 당연히 외부에 공개되어야 한다. 하지만 이 조항은 그러한 상황에서도 삼성전자의 동의를 받아야 하는 것으로 해석될 수 있다.

현행 산업기술보호법에도 비슷한 규정이 있다. 역시 작년 ‘삼성보호법’ 사태로 만들어진 제14조 8호다. ‘정보를 제공받은 목적을 벗어난’ 사용·공개를 처벌하도록 했다. 우리는 이 규정에 대해 국민의 표현자유, 생명·건강권 등을 침해한다는 이유로 헌법소송을 제기했다. 그런데 이번 개정안은 “대상기관의 동의없는” 사용·공개를 처벌하도록 하여 오히려 더 엄격한 규제를 만들었다. 생명·건강권 같은 더 큰 가치를 보호하기 위한 예외규정도 두지 않았다. 정확하게 삼성과 같은 기업들이 두 팔 벌려 환영할 만한 규정이다.

4. 제2의 ‘삼성보호법’ 사태를 바라는가

불과 1년 전 20대 국회에서, 국회의원들은 법률안이 만들어진 의도는커녕 그 내용도 모르고 찬성하기도 하면서 국민과 노동자들의 알 권리와 안전을 침해하는 법률이 삼성의 의도대로 뚝딱 만들어졌다. 이번 “삼성전자 국가핵심기술 유출 방지법” 발의자 명단에 이름을 올린 열여덟 명의 국회의원들은 제2의 ‘삼성보호법’ 사태를 만들려는가 궁금하다. 

지난 7월, 국회의원 27명이 ‘국회 생명안전 포럼’을 창립해, “생명이 존중받고 안전이 최우선인 나라를 만들겠다”고 약속했다. 그 포럼 창립식에도 대책위 활동가가 참여해 ‘산업기술보호법’의 문제점을 소상히 알렸었다. 이번 법안을 주도한 고민정 의원과 공동발의자로 이름을 올린 오영환, 민형배 의원은 모두 그 포럼의 회원들이다. 직장에 대한 안전문제를 공론화할 수 없다면 국민과 노동자의 안전을 어떻게 지킬 수 있다는 말인가. 

이번 개정안도 즉각 철회하고 원래의 ‘삼성보호법’도 개정하기를 바란다. 

2020년 10월 19일

건강한노동세상, 노동건강연대, 다산인권센터, 민주사회를 위한 변호사모임,
반도체노동자의건강과인권지킴이 반올림, 사단법인 오픈넷, 생명안전 시민넷,
일과건강, 전국민주노동조합총연맹, 참여연대,
투명사회를 위한 정보공개센터, 한국노동안전보건연구소

문의: 오픈넷 사무국 02-581-1643, [email protected]

[관련 글]
[보도자료] [반도체·전자산업 산재사망 노동자 추모 및 산업기술보호법 청구 기자회견] “국민의 알권리와 건강권을 침해하는 산업기술보호법, 위헌이다!” (2019.03.05.)
[논평] 산업기술보호법 일부개정안[이수진 의원(비례, 더불어민주당) 대표발의]에 대한 입장 – 개정 산업기술보호법의 문제를 바로잡을 제대로 된 개정안을 마련해주십시오. (2020.08.27.) 

최근 국회에서 허위보도에 대한 징벌적 손해배상을 규정한 여러 법안들이 발의되었다(『언론중재 및 피해구제 등에 관한 법률 일부개정법률안』, 정청래 의원 대표발의, 2100294 / 『정보통신망 이용촉진 및 정보보호 등에 관한 법률 일부개정법률안』, 윤영찬 의원 대표발의, 2102291). 그러나 ‘언론’, ‘표현’에 대한 징벌적 손해배상제의 도입은 이미 국제인권기준에 반하여 과도하게 형사화되어 있는 명예훼손 제도가 남용되는 상황을 더욱 악화시켜 언론의 자유를 심각하게 위축시킬 수 있다. 따라서 언론 행위를 표적으로 하여 징벌적 손해배상제를 규정하는 법안은 철회되어야 한다. 

한편 법무부는 상인의 고의·중과실로 인한 위법행위에 대해 징벌적 손해배상제를 도입하는 상법 개정안을 입법예고했다. 본 상법 개정안이나 중대재해기업처벌법 등을 통해 기업의 영리 추구 과정에서의 반사회적 위법행위를 억제할 필요는 있으므로 이러한 입법안에는 찬성한다. 특히 우리나라와 같이 위자료 액수가 비현실적으로 억제된 상황에서 실제 손해에 대한 배수손배는 위자료를 현실화하는 순기능을 할 수 있다. 그러나 법무부가 해당 법안 설명자료에서 ‘가짜뉴스, 허위정보’를 명시하면서 언론을 주요 규제 대상으로 타깃팅하여 이러한 순기능을 무의미하게 만들 정도로 표현의 자유를 위축시키는 역기능을 우려하도록 만들었다. 이 우려를 해소하기 위해서라도 일반적인 징벌적 손해배상제 도입 법안에는 언론행위에 대한 예외가 명시되어야 할 것이며, 이것이 불가능하다면 법원이 언론 행위에 해당 법을 적용할 때에 신중하게 검토할 것을 요구한다. 

피해자의 손해액만큼의 보상, 즉, ‘전보배상의 원칙’을 기본으로 하는 민사 손해배상 체계에서, 징벌적 손해배상은 예외적인 제도다. 즉, 개인의 피해에 대한 보상을 넘어, 사회 공익적 고려에서 다시 재발되어서는 안 되는 반사회적 행위를 징벌을 통해 억지하는 데에 초점이 있는 것이다. 물론 무책임한 보도로 개인에게 피해를 입히는 언론 활동이 억지되어야 함은 당연하지만, 이것이 예외적 징벌이 필요할 정도로 해악이 중대한 반사회적 행위인가는 냉정하게 바라볼 필요가 있다. 기업의 안전기준 위반으로 인한 노동자의 사망, 가습기 살균제 참사와 같이 다수의 인명과 신체 안전에 위해를 가져오는 행위와 비교할 때, 표현행위는 그로 인한 해악의 결과나 인과관계 자체가 명백하지 않다. 또한 징벌적 손해배상은 보통 형사제재가 미비하거나 부족한 사건에서 추가적인 사적 벌금을 부과하여 재발방지 효과를 노리는 제도다. 그런데 우리나라는 이미 표현에 대해 과도할 정도로 많은 형사처벌 규정이 존재하고, 징역형까지 규정되어 있으며, 명예훼손죄 고소·고발 건수도 굉장히 많다. 

반면, 징벌적 손해배상의 위협을 통해 비판적 여론을 차단하려는 공인이나 기업의 소송 남발로 언론 활동은 크게 위축될 것이다. ‘악의적’ ‘허위’ 보도를 가려내는 것은 쉽지 않다. 한 명제에서 ‘사실’과 ‘의견’을 구분해내는 것부터가 매우 어렵고, 어떠한 사실이 ‘허위’인지 ‘진실’인지에 대한 판단 역시 해석에 따라 달라지거나 사실의 존재를 명백하게 증명하기 어려운 경우가 많기 때문에, 대부분의 명제가 가짜뉴스로 프레임 씌워질 수 있다. 예를 들면 ‘특혜’, ‘성폭력’, ‘공산주의자’, ‘친일파’ 등의 단어 사용도 명확한 법적·학술적 기준을 적용할 것인지, 아니면 사회적 맥락까지 고려한 광의의 용례에 의할 것인지에 따라 다르게 해석될 수 있고, 이러한 단어를 사용한 명제가 ‘허위’인지, ‘진실’인지에 대한 판단도 달라지게 되는 것이다. 최근 한 언론사는 ‘차별금지법이 통과되면 감옥에 간다’거나 ‘동성애 하면 에이즈 걸린다’ 등 반동성애 진영의 주장을 ‘가짜뉴스’ 유포라고 썼다가 허위사실이라는 이유로 정정 및 3천만원의 손해배상 선고를 받았다. 또 최근 민중의 소리 기자는 유튜브 채널에서 7, 80년대 공안기관들이 호텔이나 여관에 수사대상을 감금하고 조사했던 불법행위를 지적하며, 나경원 전 의원의 외할아버지가 운영하는 그레이스 호텔에서도 이 같은 일이 벌어졌고 “공안기관의 불법구금에 협조했던 혹은 묵인했던 호텔은 아무 죄가 없을까”라고 발언했다가, ‘해당 호텔이 당시 나경원 전 의원의 외할아버지 소유가 아닌 외삼촌 소유였고, 호텔 측에서 고문을 묵인하거나 협조한 적이 없다’는 이유로 공직선거법상 허위사실공표죄로 기소되었다.

또한 이명박의 BBK 실소유주설을 주장한 정봉주 전 의원, 최태민-최순실 부녀와 박근혜의 유착관계에 의혹을 제기했던 김해호 목사 모두 공직선거법상 ‘허위사실공표죄’ 위반 판결을 받고 처벌받았다. 그러나 이들의 주장이 점차 진실에 가까운 것으로 드러나고 있다는 것을 보아도, ‘허위성’을 이유로 함부로 표현, 표현자를 단죄해서는 안 된다는 것을 알 수 있다. 또한 이 사례들도 발화자의 ‘고의’가 인정되었기 때문에 유죄가 인정되었다는 점에서, ‘악의’, ‘중과실’과 같이 주관적인 기준은 안전장치가 되기엔 부족하다고 할 것이다. 즉, 허위임을 명백히 인지하거나 조작한 수준이 아니라 취재원 일방의 주장만을 듣고 당사자의 주장을 듣지 않았다거나, 추가 취재 없이 받아쓰기만 했다거나, 확실한 증거가 없이 공표했다는 이유만으로 ‘악의’나 ‘중과실’이 인정될 수도 있다.

기존의 언론 판결에서 손해배상액이 적었다는 것이 징벌적 손해배상제를 도입해야 하는 필연적인 이유가 될 수는 없다. 민사손배에서 손해배상액이 적은 것은 언론 분야만의 문제가 아니라 민사 사법 전반의 문제로서 위자료를 현실화함으로써 해결해야 한다. 법무부가 발표한 상법상 징벌적 손해배상 제도는 실손해의 5배에 한정된 것이라서 위자료 현실화를 대체하는 기능을 하는 것은 사실이다.  

그러나 언론에 대해서는 유의해야 한다. 한국언론진흥재단의 조사에 따르면 기자들 중 약 30%가 취재나 보도로 인해 소송을 당한 경험이 있고, ‘공인에 대해 취재할 때는 소송에 대한 부담감으로 보도가 꺼려진다’고 답했다. 이러한 배경에서 징벌적 손배제가 도입되면 사실확인을 제대로 하지 않고 보도했다는 이유로 엄청난 액수의 손해배상액을 부담할 위험을 감수해야 하는 기자들로서는 명백한 증거가 확보되지 않은 사안에 대한 보도를 자제하게 될 것이고, 공인이나 기업에 대한 자유롭고 신속한 의혹 제기의 환경은 크게 위축될 것이 자명하다. 이로 인한 사회의 장기적 손해는 국민 모두가 감수하여야 할 것이다. 정부와 국회는 언론 활동을 중대한 위험을 가진 ‘징벌’의 대상으로 보는 시각을 자제하고 언론에 대한 징벌적 손해배상제 도입 및 적용에 신중을 기하여야 한다.

2020년 11월 19일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, [email protected]

사단법인 오픈넷은 2020. 11. 24. ‘통신자료’의 명칭을 ‘통신이용자정보’로 명확하게 규정하고 당사자에게 정보제공사실을 통지하는 절차를 신설하는 전기통신사업법 일부개정법률안(허은아의원 대표발의, 의안번호: 2104821)에 대하여 다음과 같이 찬성의견을 제출했다.

문의: 오픈넷 사무국 02-581-1643, [email protected]

『전기통신사업법 일부개정법률안』에 대한 의견서

1. 통신자료제공 제도의 문제점

• 현 전기통신사업법 제83조 제3항이 규정하고 있는 통신자료제공 제도는 수사기관 등이 법원의 허가 등을 받지 않고 이용자의 개인정보를 무단으로 취득할 수 있게 하고 있어 영장주의 원칙을 위반하여 이용자의 개인정보자기결정권을 침해함
  • 수사기관은 헌법 제12조 제3항이 규정하고 있는 영장주의 원칙의 우회수단으로 통신자료제공 제도를 남용해 왔으며, 이는 통신자료제공 요청이 전화번호(ID) 수 기준으로 2012년 788만여 건에서 2015년 1,058만여 건으로 크게 증가하는 등 통계로도 확인된 바 있음
  • 국가인권위원회는 2014년 2월 10일 영장주의 원칙의 위반을 이유로 통신자료제공 제도를 폐지하는 법 개정을 추진할 것을 권고한 바 있으며, 2016년 5월 18일 시민 500명은 관련 전기통신사업법 조항들에 대해 헌법소원을 청구해 현재 헌법재판소에서 심리중임
• 통신자료제공 제도는 영장주의 원칙 위반 외에도 달리 정보주체에게 사전 또는 사후 통지하는 제도를 두고 있지 않아 적법절차 원칙에 위반됨. 통신자료제공에 대한 통지 제도가 없기 때문에 정보주체는 자신의 개인정보가 수사기관에 제공되었는지 알 수 없고, 부당하게 제공되었더라도 이에 대해 시정을 요구할 수 있는 방법이 없음

2. 찬성의견

가. 주요내용

• 본 개정안은 ‘통신자료’의 명칭을 ‘통신이용자정보’로 명확하게 규정하고 당사자에게 정보제공사실을 통지하는 절차를 두도록 함으로써 개인정보 보호를 강화하고 통신자료 남발 가능성을 제한하고자 함(안 제83조의2 신설 등)

나. 통신자료의 명칭 변경에 대한 의견

• 통신자료는 이용자의 성명, 주민등록번호, 주소, 전화번호 등으로 명백히 개인정보보호법상 개인정보에 해당함에도 불구하고 ‘통신자료’라고 지칭함으로써 그 의미를 전혀 알 수 없는 문제가 있었음. 따라서 ‘통신자료’를 그 의미가 좀 더 명확하게 드러나는 ‘통신이용자정보’로 변경하는 것에 찬성함

다. 통신이용자정보제공 통지 제도 신설에 대한 의견

• 헌법 제12조에 규정된 적법절차원칙은 비단 형사절차뿐만 아니라 모든 국가작용 전반에 적용되며, 적법절차원칙에서 도출되는 중요한 절차적 요청으로, 당사자에게 적절한 고지를 행할 것, 당사자에게 의견 및 자료 제출의 기회를 부여할 것 등을 들 수 있음(헌재 2003. 7. 24. 2001헌가25; 헌재 2015. 9. 24. 2012헌바302 등 참조). 통신자료제공에 관한 수사기관의 권한남용을 방지하고 정보주체의 기본권을 보호하기 위해서는, 적법절차원칙에 따라 정보주체에게 적절한 고지와 실질적인 의견진술의 기회가 부여되어야 함
• 본 개정안은 ‘통신이용자정보제공을 받은 날부터 30일 이내’에 제공을 받은 사실, 이유, 제공요청기관 등을 알려주도록 하고 있고, 특별한 사유가 있는 경우 60일 이내의 기간을 정하여 통지를 유예할 수 있도록 하고 있음. 이는 통신자료제공 제도를 적법절차원칙에 합치하도록 개선하는 안이므로 찬성함