소비자 개인정보 침해에 대한 손해배상제도의 개선방안

-홈플러스 개인정보 유출사건을 중심으로-

일시 및 장소:　2018년 11월 12일(월) 10:00~12:00, 국회의원회관 제8간담회실

○ 주 최: 이학영 의원, 추혜선 의원, 홍익표 의원, 국회시민정치포럼, 한국소비자단체협의회, 참여연대, 경제정의실천시민연합, 진보네트워크

◾발제1.
김보라미 변호사 (법무법인 나눔)
개인정보보호법상 소비자 손해배상제도의 문제점

◾발제2.
권대우 교수 (한양대 로스쿨)
소비자 개인정보 유출과 손해의 입증책임

◾지정토론
강신하 변호사 (법무법인 상록)
성춘일 변호사 (참여연대 민생희망본부 실행위원)
홍대식 교수 (개인정보보호위원회 제1법령평가 전문위원장)
최정민 입법조사관 (입법조사처 안전행정팀)

개인정보의 범위가 방대해짐에 따라 개인정보 유출로 인한 소비자 피해를 예방해야 한다는 목소리가 커지고 있다. 홈플러스 개인정보 유출 사건은 대표적인 개인정보 유출 사건으로 손꼽힌다. 그러나 법원은 피해자가 사업자의 가해행위를 입증해야 한다는 요지의 판결을 내려 큰 논란이 일어났다. 이에 소비자 개인정보 침해에 대한 손해배상제도의 개선방안을 모색해보고자 경실련, 한국소비자단체협의회, 참여연대, 진보네트워크, 국회시민정치포럼, 이학영 의원, 추혜선 의원, 홍익표 의원은 “소비자 개인정보 침해에 대한 손해배상제도의 개선방안” 정책토론회를 공동개최했다.

첫 번째 발제를 맡은 김보라미 변호사는 빅데이터 시대를 맞아 개인정보통제권에 대한 불평등이 확산되고 있으며, 이는 민주사회에 대한 큰 위협이 되고 있다고 우려를 나타냈다. 현행법은 홈플러스 개인정보 유출사건과 같은 사태가 벌어지면 피해자들이 피해사실관계를 입증하도록 규정하고 있다. 하지만 대부분의 증거를 피고인 기업이 가지고 있기 때문에 피해자들은 명백한 피해를 입고도 패소 가능성이 매우 높은 실정이다. 개인정보 피해소송은 많은 피해자의 수와 장기간의 소송시간이 드는 반면 소송배상액은 크지 않기 때문에 피해자들은 소송에 나서길 더욱 꺼려하게 된다고 한다. 김보라미 변호사는 기업규모에 비례한 징벌적배상제와 집단소송제 도입과 함께 입증책임 전환을 위한 직권조사·문서제출명령·증거보전 등의 제도화가 반드시 필요하다고 주장했다.

두 번째 발제를 맡은 권대우 한양대 법학전문대학원 교수는 실효적인 개인정보 보호를 위해서는 개인정보 보호에 대한 책임을 구체화 할 필요가 있다고 주장했다. 피해자에게 편중된 입증책임을 완화하기 위해 논리적 근거를 명확히 하고, 이를 해석론을 통해 해결할 것인지 입법을 통해 해결할 것인지 여부를 논의해야 한다고 주장했다. 개인정보 유출을 해결하기 위해서는 감정적 치유 방안이 마련되어야 하는데 사회적 비용을 어떻게 계산할지 논의가 반드시 이루어져야 한다. 현행 제도의 한계를 고려해 볼 때 빅데이터 시대를 위한 입법론적 제안이 필요하다고 주장했다.

발제에 이어 첫 번째 토론은 강신하 변호사가 담당했다. 우리법은 피해자의 입증책임을 완화하기 위한 규정을 두고 있지만 실제소송에서는 별 효과가 없다고 지적했다. 강변호사는 실효적인 입증책임 완화를 위하여 피고가 개인정보를 고의적으로 개인정보를 유출시키지 않았다는 특별한 사정을 증명하지 못하면 피고가 불법행위를 한 것으로 사실상 추정해야 한다고 주장했다.

두 번째 토론을 맡은 성춘일 변호사는 미국에서는 증거개시제도가 사법제도 개혁 중에서 가장 획기적인 제도로 평가되고 있다고 소개했다. 증거개시제도 시행 이후 화해 성립 건수가 증가하였으며, 화해금액도 해마다 증가하고 있다고 한다. 집단소송이 피해자들의 피해회복을 목적으로 하는 만큼 배상과 재발방지의 합의가 이뤄지는 것이 가장 바람직하다고 한다. 징벌적 손해배상과 집단소송, 증거개시제도의 도입은 기업과 공공기관의 불법행위를 방지할 첫걸음이 될 수 있다고 주장했다.

홍대식 서강대학교 법학전문대학원 교수는 현행 문서제출명령제도는 제한적이고 활용도가 낮은 실정이라는데 공감을 나타냈다. 지난 8월 입법 예고된 공정거래법 전부개정안은 자료제출명령제를 도입하고 있는데, 이와 유사한 증거법적 문제를 갖고 있는 소비자 개인정보 침해 손해배상제도의 개선방안에도 큰 시사점이 될 수 있다고 주장했다.

마지막 토론을 맡은 최정민 국회입법조사처 조사관은 대부분의 개인정보 유출 사건이 해커에 의한 것인 반면 홈플러스 사건은 회사가 불법행위를 기획하여 개인정보를 매매하여 이익을 올렸다고 차이점을 구분했다. 전자의 경우 행정안전부 장관이 매년 개인정보 안전성 확보조치를 점검하는 방안을 고려해 볼 수 있다고 제안했다. 후자와 같이 고의적인 개인정보 유출의 경우 개인정보처리자가 안전관리를 자발적으로 강화하도록 인센티브를 구축하여 이를 예방하거나 징벌적 손해배상제도를 강화하는 방안이 필요하다고 주장했다.

사 회 : 윤철한 경실련 소비자정의센터 국장

법안평가(1) : 박준우 함께하는시민행동 사무처장 – 개인정보 정의 축소
법안평가(2) : 오병일 진보네트워크센터 활동가 – 가명정보 활용범위 문제
법안평가(3) : 서채완 민변 디지털정보위원회 변호사 – 개인정보 감독기구 한계

발 언 : 윤명 소비자시민모임 사무총장 – 소비자 권리 침해
발 언 : 김준현 건강세상네트워크 대표 – 개인 의료정보 권리 침해

기자회견문 낭독 : 정지연 한국소비자연맹 사무총장, 한석현 서울YMCA 팀장

<기자회견문>

개인정보 판매와 공유를 허용하는 개인정보보호법 반대한다.

지난 11월 15일, 개인정보보호법 개정안에 대한 정부안이 더불어민주당 인재근 의원안으로 대표 발의되었다. 우선 정부가 공청회와 같은 정당한 의견수렴 과정도 없이 의원입법 형식으로 법안을 발의하는 것이 옳은 것인지 의문이다. 더 나아가 정부안은 그동안 시민사회가 지적해왔던 문제들을 그대로 포함하고 있다.

정부안은 빅데이터 활성화를 명분으로 기업 간 고객정보의 무분별한 판매와 공유를 허용하는 법안으로서 심각한 개인정보 침해가 우려된다. 또한, 행정안전부와 방송통신위원회의 권한을 개인정보보호위원회로 이관했다고 하지만, 개인정보보호위원회의 독립성은 매우 제한적이며 자칫 개인정보 활용을 위한 알리바이 기구가 될 위험성을 포함하고 있다.

우리는 개인정보보호법 개정안에 대해 심각한 우려를 표하며, 국회에서 아래와 같이 독소 조항이 수정되지 않는다면 개인정보보호법 통과에 반대하지 않을 수 없다.

첫째, 정부안은 개인정보의 정의를 변경하여 개인정보의 범위를 심각하게 축소하고 있다. 휴대전화의 IMEI 번호나 IP 주소와 같이 개인정보처리자가 직접적인 개인 식별이 힘들다고 할지라도 제3자가 개인식별이 가능한 결합정보를 가지고 있다면 개인정보로 보는 것이 세계적인 추세임에도, 정부안은 개인정보처리자가 개인을 식별할 수 없으면 개인정보가 아닌 것으로 보고 있다. 이렇게 되면, 수많은 개인정보가 개인정보보호법 적용에서 배제될 수밖에 없다.

둘째, 정부안은 ‘새로운 기술․제품․서비스의 개발’까지 과학적 연구 범위로 간주하고 있으며, 서로 다른 기업의 고객정보를 공공기관이 결합한 후에 결합된 고객정보를 반출할 수 있도록 하고 있다. 기업들이 자신의 개인정보를 무상으로 다른 기업에 제공할 이유가 없다고 한다면, 이는 기업들의 고객정보 판매와 서로 다른 기업 간의 고객정보 공유를 허용하는 것에 다름없다. 예를 들어, 현재 다국적 기업 IMS 헬스는 빅데이터 분석을 목적으로 우리 국민의 처방전 정보를 구매하여 기소를 당한 바 있는데, 정부안은 이러한 개인정보 판매를 합법화시킬 우려가 있다.

셋째, 정부안은 개인정보보호위원회를 중앙행정기관으로 격상하고 기존의 행정안전부와 방통위의 권한을 이관하고 있지만, 개인신용정보 활용에 앞장서고 있는 금융위원회의 권한은 그대로 놔두고 있다. 또한, 개인정보보호위원회의 전체 업무에 대한 독립성을 보장하고 있지 않은 것은 산업 활성화를 명분으로 언제든지 개인정보보호위원회의 정책 방향을 통제하겠다는 의도이다. 나아가 개인정보보호위원회의 조직 및 업무와 관련해 현행보다 후퇴한 내용까지 포함하고 있어, 자칫 개인정보보호위원회가 정부에 대한 감독이 아니라 개인정보 활용을 위한 알리바이 기구가 될 위험성을 포함하고 있다.

넷째, 정부안은 개인정보의 활용에만 초점을 맞추고 있고, 정보주체의 권리와 개인정보처리자의 책임성을 강화하는 조항은 미약하여 전체적인 균형을 상실하고 있다. 예를 들어, 프로파일링에 대한 정보주체의 권리, 개인정보 중심 설계 및 기본 설정(Privacy by Design, Privacy by Default), 개인정보 영향평가의 확대 등 중요한 내용이 배제되어 있다. 정보주체의 권리 및 개인정보처리자의 책임성 강화가 뒷받침되지 않는다면, 개인정보의 활용 과정에서 정보주체에 미치는 부정적 영향은 더욱 커질 것이다.

정부는 유럽의 개인정보보호규정(GDPR)을 참조하여 그에 부합하는 방향으로 제정하겠다고 하지만, 현재 발의된 정부안은 GDPR에 훨씬 미흡한 수준이다. 이는 현재 정부가 추진하고 있는 EU 개인정보 적정성 평가에도 부정적인 영향을 미칠 수밖에 없다.

정부가 4차 산업혁명 시대에 맞는 개인정보보호 체계 개선을 진정으로 원한다면, 시민과 소비자의 신뢰를 얻을 수 있는 법안을 만들어야 한다. 그러나 현재 정부안은 기업들의 고객정보 활용을 지원하는데 급급한 것으로 밖에 보이지 않는다. 정부와 국회는 기업들의 고객정보 판매와 공유를 허용하자는 입장인지 명확히 밝혀라.

무분별한 개인정보의 판매와 공유에 반대한다!
개인정보보호위원회의 완전한 독립성을 보장하라!
금융위원회의 개인신용정보 감독권한도 이관하라!
정보주체의 권리와 개인정보처리자의 책임성을 강화하라!

2018년 11월 21일

건강과 대안·경제정의실천시민연합·무상의료운동본부
민변 디지털정보위원회·서울YMCA·소비자시민모임·의료연대본부
진보네트워크센터·참여연대·한국소비자연맹·함께하는시민행동

<div class="xe_content"><h1>9개 소비자,시민사회단체, 신용정보법 개정에 대해 금융위원장 면담 공개 요청</h1> <p> </p> <p> </p> <p>최근 정부는 데이터 경제 활성화와 신용정보산업 선진화를 명분으로 신용정보법 개정을 추진하고 있습니다. 지난 해 11월 15일 의원입법 형식을 빌어 개정안을 발의한 데 이어, 지난 2월 13일 공청회를 개최하였습니다. </p> <p> </p> <p>소비자, 시민단체들은 정부의 이번 신용정보법 개정이 금융소비자의 개인정보 오남용을 부추길 위험성에 대해 일찍이 우려를 표해왔습니다. 그러나 정부는 이같은 비판적 목소리를 철저히 외면한 채 폐쇄적이고 비민주적인 방식으로 법안 개정을 추진하고 있습니다.  지속적으로 문제제기한 소비자, 시민단체들은 배제하고 산업계 인사들만을 초청하여 진행한 지난 13일 공청회는 이같은 비민주적 법안 개정 과정을 단적으로 보여준 사례입니다. </p> <p> </p> <p>이에 우리 9개 소비자 단체 및 시민사회단체들은 현재 추진 중인 신용정보법 개정 방향에 대한 우려와 함께 비민주적 개정 과정에 대한 항의의 뜻을 전달하고자 금융위원장에 대한 면담을 공개 요청하였습니다. 아울러 면담이 이루어지지 않을 경우, 우리 단체들은 기자회견 및 자체적인 공청회를 포함하여 개정안을 저지하기 위한 모든 노력을 다할 것입니다. </p> <p> </p> <p> </p> <blockquote> <h2>신용정보법 개정안에 대한 금융위원장 면담 요청의 건</h2> <p> </p> <p>정부는 지난 해 11월 15일 「신용정보의 이용 및 보호에 관한 법률 일부개정법률안」(김병욱 의원 대표발의)을 의원입법 형식을 빌어 발표하였습니다. 그리고 지난 2월 13일 금융위원회와 더불어민주당 김병욱 의원실이 공동으로 '데이터 기반 금융혁신을 위한 신용정보법 공청회'를 개최하였습니다. </p> <p> </p> <p>우리 시민사회단체들은 ‘데이터 경제 활성화’와 ‘신용정보산업 선진화’를 명분으로 하는 현재의 신용정보법 개정 추진 과정이 매우 졸속적이고 폐쇄적인 방식으로 이루어지는 것에 심각한 문제의식을 가지고 있으며, 정부 여당에 강력한 항의의 뜻을 표합니다.  </p> <p> </p> <p>현재의 신용정보법 개정안은 법안의 길이만도 237페이지에 달하며 58개조 중 11개를 제외한 47개 조문이 개정되고 신설된 조항만 150여개, 삭제된 조항 또한 50여개에 달합니다. 의안의 방대함만이 아니라, 마이데이터 산업의 신설, 재벌 통신사의 신용정보산업 진출 허용, SNS 등을 활용한 새로운 신용정보업의 허용 등 현재의 신용정보산업 생태계 자체를 완전히 재편하는 내용을 담고 있습니다. 그럼에도 의원입법 형식을 취하면서 입법예고와 공청회 등의 사전 절차를 회피한 것은 물론이거니와 일방적인 정책 홍보 외에 법조문에 대한 구체적 해설서조차 발간한 적이 없습니다. </p> <p> </p> <p>이번 개정안은 개인신용정보의 오남용을 부추길 수 있는 위험성을 내포하고 있어 소비자 단체를 비롯한 많은 시민사회단체들의 비판을 받아왔습니다. 지난 해 12월 12일에는 정의당 추혜선 의원과 13개 시민사회단체들이 공동으로 법안의 문제점을 지적하는 기자회견을 개최하고 법제간의 중복과 혼란, 익명 조치의 무책임성, 공개된 개인정보의 남용과 표현의 자유 침해, 프로파일링에 따른 정보주체의 권리 침해, 데이터브로커를 통한 개인정보 상품화 등 11개 이슈에 걸쳐 다양한 문제점을 지적한 바 있습니다. (붙임문서 참조) 그러나 정부는 이같은 지적에 대해 어떤 책임있는 답변도 내놓지 않은 채, 장미빛 미래에 대한 낙관적 전망만 되풀이하고 있었습니다.  </p> <p> </p> <p>이런 상황에서 지난 13일에 열린 공청회는 이번 법안에 대해 공개적으로 논의할 수 있는 유일한 공식적 절차였으나, 실제로는 법안에 대한 일방적 홍보의 장으로 전락했습니다. 법안에 대해 문제제기해왔던 소비자, 시민사회단체들이 배제된 것은 물론이거니와 산업계 인사들만 토론자로 초청되어 법안에 찬성하는 토론들만 이어졌습니다.  </p> <p> </p> <p>우리 소비자, 시민사회단체들은 정부가 무엇 때문에 신용정보법 개정을 이처럼 폐쇄적이고 비민주적인 방식으로 추진하는지를 이해할 수가 없으며, 이로 인한 소비자 권리의 침해를 깊이 우려하지 않을 수가 없습니다. </p> <p> </p> <p>이에 우리 6개 소비자, 시민사회단체들은 법안에 대한 우리들의 우려와 비민주적, 폐쇄적인 법안 개정 추진 과정에 대한 항의의 뜻을 전달하기 위해 금융위원장과의 면담을 공개적으로 요청하오니, 2월 22일(금)까지 면담 가능 여부 및 일정을 회신하여주시기 바랍니다.</p> <p> </p> <p> </p> <p>경제정의실천시민연합, 민변 디지털정보위원회, 서울YMCA, 소비자시민모임, 진보네트워크센터, 참여연대, 한국소비자단체협의회, 한국소비자연맹, 함께하는시민행동 </p> <p> </p> </blockquote> <p><a href="https://drive.google.com/file/d/1421BKORIz5Bb4cK3GieopCxSge5dv_pN/view?…; rel="nofollow">[원문보기/다운로드]</a></p></div>

행복추구권 및 프라이버시 침해하는 무단수집 중단되어야
영장주의 도입 및 통지의무 부과토록 전기통신사업법 개정해야

어제(1/30), 국가인권위원회는 통신자료수집에 법원의 허가를 받도록 하고 수집대상이 된 이용자에 대한 통지의무를 마련하도록 현행 전기통신사업법 제83조 3항을 개정하라고 정부에 권고했다. 이번 국가인권위 권고는 영장없는 통신자료수집이 헌법이 보장한 행복추구권과 사생활 비밀 및 통신의 비밀, 적법절차의 원칙 위반임을 재차 확인한 것으로 지극히 당연한 것이다. 참여연대는 오랫동안 통신자료 무단수집의 위헌성을 지적해왔으며, 이에 대한 대안으로 통신자료 수집 시 법원의 허가를 받고 이용자에게 통지의무를 부과할 것을 요구해왔다. 과기부의 소극적 태도와 국회 과방위의 방조로 법 개정이 지연되어왔지만, 정부는 인권위의 권고를 수용하고, 국회는 법개정을 서둘러 국민 기본권이 침해되는 상황을 즉각 중단시켜야 한다.

통신자료는 통신 ‘내용’은 아니지만 다른 개인정보들을 연결하는 중요한 매개가 되는 점에서 개인정보에 해당한다. 이에 해외 주요국가는 통신자료를 민감한 정보로 인정하고 보호를 강화하고 있다. 현행 통신자료제공 제도의 문제는 수사기관이 개인정보를 수집할 수 있는 근거가 지나치게 포괄적이고, 법원의 허가 등 중립적이고 독립적인 기관의 통제를 전혀 받지 않고 있으며, 정보주체에게 수집 사실을 통지하는 절차도 없어 국민 사생활의 비밀과 개인정보 자기결정권이 침해된다는 것이다. 이를 개선하기 위해 사후 통지절차를 마련하는 것은 당연히 필요하지만, 이에서 멈춘다면 통신자료제공의 적법성, 적정성은 사후적으로 제공사실을 통지받은 개개인이 개별적으로 다툴 수밖에 없다. 이는 국가기관, 특히 형사사법기관이나 정보기관의 공권력 행사의 적법성을 국가 스스로 통제할 절차를 마련하지 않은 채 국민들에게 그 통제책임을 떠넘기는 것으로 사실상 국가의 책무를 방치하는 것과 다르지 않다. 따라서 통신제한조치나 통신사실확인자료제공에 준하여 사전적 절차로서 법원의 허가를 받도록 하는 것이 필요하다.

통신자료 수집 제도의 문제점을 개선하려는 입법적 시도는 19대 국회부터 21대 국회에 이르기까지 여러차례 있었다. 참여연대를 비롯한 시민단체들도 오랫동안 통신자료 수집의 적법성과 타당성을 검증할 절차가 사전은 물론 사후에도 없어 사생활의 비밀과 통신의 비밀 등은 물론이고 개인정보자기결정권을 침해한다고 주장해 왔다. 수년에 걸친 민형사소송, 헌법소원을 거쳐 지난 2022년 7월 22일에는 통신자료 수집의 대상이 된 이용자에게 사후 통지하지 않는 것은 헌법에 불합치한다는 결정을 이끌어 내기도 하였다. 통신자료수집제도에서 핵심쟁점은, 1) 법원의 허가를 받도록 하는 것, 2)수집한 통신자료의 주체에게 통신자료 제공사실을 통지하는 절차를 마련하는 것이다. 그러나 국회 과방위는 지난 법안심사소위에서 사후 통지 절차 마련에 대한 개정안 15건만을 논의 안건으로 상정하고, 사전에 법원의 허가를 받는 절차를 규정한 박주민 의원 발의안은 제외하였다. 과기부는 논란이 되자 뒤늦게 의견수렴 절차를 거치기 시작했고, 참여연대는 과기부에 법원의 통제를 받도록 해야 수사기관의 무분별한 통신자료 수집의 관행을 개선할 수 있다는 의견서를 제출한 바 있다.

과기부 발표 자료에 따르면, 2021년에 수사기관이 가져간 통신자료는 전화번호 수 기준으로 5,040,456건에 이르고, 2022년 상반기에 검찰 · 경찰 · 국정원 등이 수집한 통신자료 건수는 전화번호 기준으로 2,120,006건으로 이대로라면 전년도와 거의 비슷한 수준이 될 것으로 보인다. 단순계산하면 적어도 온 국민의 10명 중 한 명 꼴로 통신자료가 수사기관 등에 제공되고 있는 셈이다. 그럼에도 당사자인 국민은 자신의 통신자료가 언제 어떻게 무슨 이유로 제공되었는지, 그 이유는 타당한지 전혀 알 수가 없다. 인권위는 지난 2014년에도 입법적 개선방안으로 통신비밀보호법에서 통신자료와 통신사실확인 자료를 통합적으로 규율하는 방향으로 개선할 것을 권고한 바 있다. 이번 인권위 권고는 그동안 시민사회의 다양한 소송을 통한 문제제기 및 최근의 헌재결정의 연장선에서 현행 제도에 의한 인권침해가 더이상 방치되어서는 안된다는 위기의식에서 나온 권고인 셈이다. 정부와 국회는 이제라도 제대로 된 법개정을 서둘러야 한다. 한편 인권위가 수사기관 대상으로도 법개정과 무관하게 통신자료 제공요청 최소화 및 통제절차를 마련해 인권침해를 최소화하라고 강조한 만큼, 검찰 · 경찰 · 공수처 ·국정원 등도 이를 무겁게 받아들여 조속한 시일 내 내부 매뉴얼,지침 등을 마련해 국민에게 공개하여야 할 것이다. 끝.

논평 [원문보기 / 다운로드]

The post 통신자료 무단수집 제동 건 인권위 권고 당연하다 appeared first on 참여연대.

통신3사는 그간 가명처리된 정보라는 이유로 가입자의 개인정보가 어떻게 활용되었는지를 공개하지 않고, 이를 중단해달라는 요구도 수용하지 않아왔습니다. 자신의 정보가 어떻게 처리되었는지 알수 없었던 이용자들이 정보공개청구 및 향후 가명처리와 무단활용을 하지 말아달라고 요청했지만, SKT는 거절했습니다. 이에 이용자들은 법원에 소송을 제기했고, 법원은 이용자들의 손을 들어주었습니다. 정보주체의 가명처리정지권 보장의 중요성을 인정한 이번 판결에 대해 김보라미 변호사가 비평했습니다.

광장에 나온 판결 : 229번째 이야기

SKT를 상대로 한 개인정보 가명처리정지권 이행 소송 1심 판결

서울중앙지방법원 제29민사부 한정석(재판장), 강석규, 김소연 판사 2023. 01. 19 선고. 2021가합509722 [판결문 보기]

김보라미 변호사 / 법률사무소 디케

「개인정보보호법」이 2020년 2월 4일 통과된 이후 “가명정보”라는 개념이 도입되었다. 「개인정보보호법」 법 제2조 정의에서 가명처리에 대하여는 “개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아 볼 수 없도록 처리하는 것”이라고 정의(법 제2조 제1의2호)하고, 가명정보에 대하여는 “개인정보를 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보”(제2조 제1호 다목)라고 정의하고 있다. 위 정의에서 “가명정보”는 ”추가정보“를 보유하고 있는 개인정보처리자 입장에서는 언제든지 특정 개인을 알아볼 수 있는 정보이기 때문에 개인 정보라는 점이 강조되어 있다.

우리 법에서 ”가명처리“의 정의는, EU GDPR¹⁾의 가명처리(pseudonymisation)(제4조 제5호)²⁾와 동일한 정의규정을 가져와 유사하게 제정한 것이나, 정작 GDPR에서 가명처리는 안전조치의 하나로 도입되었을 뿐이라는 점에서 큰 차이가 있다. EU GDPR에서는 가명처리는 개인들의 권리행사를 배제하거나 기타 개인정보보호조치를 배제시키려는 의도로 도입된 것이 아니다(전문 제28조)³⁾.

그러나 우리 법문 제3절에서는 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 처리 근거로서 EU GDPR 제87조를 차용하였으면서도, 완전히 다른 법체계로 조문구성이 되었다. 이렇게 된 이유는 우리 법에서는 가명처리가 안전조치로 고려되지 않았기 때문이었다. 정의에서 언급된 가명처리는 더 이상 (안전조치로도) 언급되지 않고, ”가명정보“만 과거 사회적 논란속에서 사라져간 「개인정보 비식별조치 가이드라인」(2016. 6. 30. 공표)에서의 ”비식별조치“와 유사한 맥락으로 활용되고 있다.

특히 현행 「개인정보보호법」는 ”가명정보“일 경우 개인정보주체의 동의없이 활용할 수 있는 특례를 허용해 주면서도 별도의 조건이나 제한 없이 수집출처 등 고지의무(제20조), 개인정보 파기의무(제21조), 영업양도 등에 따른 사전 통지의무(제27조), 개인정보 유출 통지의무(제34조), 열람권(제35조), 정정・삭제에 관한 권리(제36조), 처리정지 요구권(제37조), 정보통신서비스 제공자의 개인정보 수집・이용에 관하여 이용자로부터 동의 등을 받을 의무(제39조의3), 개인정보 유출통지 및 신고의무(제39조의4), 개인정보 파기의무(제39조의6), 동의 철회에 관한 권리(제39조의7) 등의 개인의 기본적 권리 행사도 모두 불가능하게 규정(법제28조의7)했다는 점에서 그 문제가 심각하다.

위 규정대로라면 ”가명정보“는 개인정보라고 강조하며 정의하고 있는데, 제3절의 가명정보의 처리 특례를 통해 ”개인정보“가 아닌 것처럼 역할하고 있는 것이다.

헌법재판소는 개인정보자기결정권에 대해서 헌법 제10조 제1문에서 도출되는 일반적 인격권, 헌법 제17조의 사생활의 비밀과 자유에 근거하여 독자적인 기본권으로 인정하여 왔다.(헌재 2005. 5. 26. 자 99헌마513 등) 이러한 개인정보자기결정권에는 개인이 개인정보 처리에 관하여 동의할 수 있는 권리, 동의 범위 등을 선택하고 결정할 수 있는 권리, 열람을 요구할 수 있는 권리, 개인정보의 처리 정지, 정정·삭제 및 파기를 요구할 권리가 실질적으로 구현되어야 한다. 이러한 권리가 구현되지 않는 개인정보자기결정권은 존재하지 않는 것과 같다.

개인정보자기결정권은 개인정보를 식별가능한 상태로 처리함으로써 개인의 사생활이 침해된다는 것에 대해 방어할 수 있는 권리에 그치는 것이 아니라, 개인이 자신의 정보흐름에 대해 주도권을 가지지 못하고 배제됨으로써 겪는 인격권 침해를 막고 적극적으로 참여할 수 있도록 하는 권리이기도 하다. 그러므로 ”개인이 행사하여야만 하는 헌법상 기본권“을 처리의 목적 달성 여부나 필요성, 최소 침해성 여부 등을 전혀 고려하지 않고 전면 배제하여 통제권을 유명무실한다면 이는 헌법상 과잉금지원칙 위반이라고 해석될 수 있다.

이번 SKT 사건 판결은, 「개인정보보호법」에서 가명정보 특례 조항들이 가지고 있는 문제를 본격적으로 짚었을 뿐만 아니라, 개인정보자기결정권이라는 기본권을 침해여부에 대한 헌법적 평가까지 함께 했다는 점에서 의미가 크다. 판결문에서는 명시적으로 언급되지 않았으나, 우리 법에서 명확하게 규정하지 않은 식별가능한 개인정보가 가명정보화되는 처리과정 및 처리근거에 대한 문제제기 역시 같은 맥락에서 검토될 수 있다.

해당 판결에서는 가명정보의 특례를 통해 개인들의 권리행사가 부당하게 제한되고 있다는 점에 대하여 ① 개인들의 권리행사가 왜 필요한가라는 측면 (필요성), ② 개인들의 권리행사를 전면 배제하는 것의 과잉침해성 (최소 침해성) 등을 언급하며 ”부당하다“고 평가하고 있다.

판결문 제9쪽 내지 제10쪽

가명정보가 … (중략)… 동일한 정보주체에 관한 여러 가명정보가 사용・결합되거나 그 밖에 이와 유사한 상황이 발생할 경우에는 정보주체에 대한 식별이 가능하게 될 위험이 존재하고 … (중략)… 개인정보가 정보주체의 의사와 무관하게 유출되는 경우에는 정보주체에게 심각한 피해가 초래될 가능성이 높고 그로 인하여 정보주체에 발생한 피해는 사후적으로 금전적 보상 또는 배상이 이루어지는 것만으로 회복될 수 있는 성질의 것이 아닌 이상 정보주체가 개인정보처리자에 대하여 식별가능정보에 대한 가명처리 내지 가명정보에 대한 처리에 관한 결정권을 충분히 자유롭게 행사할 수 있도록 할 필요성이 존재한다고 할 것이다. 그런데 개정된 개인정보 보호법은, … (중략)… 식별가능정보를 가명처리하여 생성된 가명정보에 대하여는 ①개인정보처리자의 정보주체 이외로부터 수집한 개인정보의 수집출처 등 고지의무(제20조), 개인정보 파기의무(제21조), 영업양도등에 따른 사전 통지의무(제27조), 개인정보 유출 통지의무(제34조)와 ②정보통시서비스 제공자의 개인정보 수집・이용에 관하여 이용자로부터 동의 등을 받을 의무(제39조의3), 개인정보 유출통지 및 신고의무(제39조의4), 개인정보 파기의무(제39조의6) 및 ③정보주체의 열람권(제35조), 정정・삭제에 관한 권리(제36조), 처리정지 요구권(제37조), 동의 철회에 관한 권리(제39조의7) 등의 적용을 모두 배제함으로써(제28조의7) 정보주체의 가명정보의 처리에 대한 결정권을 상당하게 제한하고 있다.   그렇다면 개정된 개인정보보호법 제28조의7에서 처리정지 요구권의 적용을 배제하고 있는 ‘가명정보’에 식별가능정보를 가명처리하는 것까지 포함된다고 해석할 경우 정보주체가 개인정보처리자에 대하여 가명정보에 대한 개인정보자기결정권을 행사할 수 있는 방법이 원척적으로 봉쇄되는 부당한 결론에 이르게 된다.

또한 해당 판결에서는 가명정보로 처리되기 전에 자신의 식별정보에 대한 가명처리정지를 요구할 수 있다는 점에 대하여 ‘개인정보 보호 법령 및 지침・고시 해설’ 등의 유권해석을 근거로 판단하고 있는데 더하여, 헌법적 평가를 시도하고 있다. 즉, ”식별가능정보의 가명처리에 대한 정보주체의 처리정지 요구권의 행사를 원천적으로 제한함으로써 침해되는 정보주체의 사익이 그로 인하여 얻을 수 있는 공익에 비하여 결코 작다고 단정할 수 없다“고 판단한 것이다. 이러한 판단은 향후 유사한 ”개인“들의 권리행사에 있어서도 다른 공익과의 비교형량의 중요 기준으로 활용될 수 있는 근거로서 검토될 수 있을 것이다.

오늘날 저장장치 및 빅데이터와 강력한 기계학습알고리즘 등의 발전으로, 인간의 눈에는 식별할 수 없는 것처럼 보이더라도 개인으로부터 파생되거나 추론되는 데이터들이 쉽게 민감한 데이터로까지 추론되는 시대를 살고 있다. 비루해 보이는 토끼굴이 사실은 석·박사들이 포진한 데이터처리회사라는 이상한 나라까지 쭉 연결되는 것처럼 말이다.

EU GDPR을 중심으로 세계적으로 개인정보보호법제가 디지털 시대에 개인정보주체에게 보다 적극적인 통제권을 부여하고, 개인의 인권을 침해하는 개인정보처리를 제한하는 방향으로 변화되고 있다. 관련된 캘리포니아 주 법은 이에 영향을 받아 두 차례에 걸쳐 개정되었으며, 미 연방 개인정보보호법안도 발의된 바 있다.

이번 판결에서 문제가 된 「개인정보보호법」 제3절 가명정보의 특례는 개인정보보호법 전체 맥락과 견주어 보아도 어떤 개인정보처리규정과도 연결점이 없이 갑자기 툭 튀어나온 모습이다. ”활용”과 ”데이터 결합”을 위해 보호법에 특별한 특혜규정을 열어준 것이다. 지금이라도 법체계내에서 ”가명정보“라는 개념은 폐기하고, 가명처리를 안전조치의 일종으로 검토하여 개인정보보호법의 본래적 목적에 맞는 법개정이 이루어져야 한다. 또한 근본적으로 헌법상 개인정보자기결정권을 실질화하는 개인의 권리를 복원해야 한다.

1) EU GDPR(General Data Protection Regulation, EU 일반 개인정보보호법). 2016년 공포된 유럽의회 통합 규정으로써 유럽 시민들의 개인정보 보호를 강화하기 위해 시행된 규정으로 유럽 연합 시민의 데이터를 활용하는 경우 준수해야 한다. 개인정보 유출에 대한 심각성이 강조되면서 유럽뿐 아니라 전세계적으로 채택되거나 이와 유사한 법제가 도입되고 있다.

2) ‘pseudonymisation’ means the processing of personal data in such a manner that the personal data can no longer be attributed to a specific data subject without the use of additional information, provided that such additional information is kept separately and is subject to technical and organisational measures to ensure that the personal data are not attributed to an identified or identifiable natural person;

3) The application of pseudonymisation to personal data can reduce the risks to the data subjects concerned and help controllers and processors to meet their data-protection obligations. The explicit introduction of ‘pseudonymisation’ in this Regulation is not intended to preclude any other measures of data protection

참여연대 사법감시센터는 최근 판결 중 사회 변화의 흐름을 반영하지 못하거나 국민의 법 감정과 괴리된 판결, 기본권과 인권보호에 기여하지 못한 판결, 또는 그 와 반대로 인권수호기관으로서 위상을 정립하는데 기여한 판결을 소재로 [판결비평-광장에 나온 판결]사업을 진행하고 있습니다. 주로 법률가 층에만 국한되는 판결비평을 시민사회 공론의 장으로 끌어내어 다양한 의견을 나눔으로써 법원의 판결이 더욱더 발전될 수 있다는 생각 때문입니다.

The post [판결비평] 가명처리는 안전조치로 도입되어야 했다 appeared first on 참여연대.

<div class="xe_content"><h1>문재인 정부는 ‘개인정보보호’를 포기한 정부로 기억되려는 것인가?</h1> <p> </p> <h2>유영민 장관의 ‘보호’를 뺀 ‘개인정보위원회’ 주장을 규탄한다</h2> <h2> </h2> <p>지난 4일 유영민 과학기술정보통신부 장관이 국회 4차산업혁명특위 업무보고 자리에서 “ '개인정보보호위원회'에서 '보호'라는 이름을 빼는 것에 대해 행정안전부 등과 협의하겠다"고 밝혔다. 개인정보의 보호가 데이터의 상업적 활용을 할 수 없게 발목잡고 있다는 유 장관의 인식은 경악스럽다. 법을 준수하고 집행해야 할 장관이 법이 정한 원칙을 부정하고 기업들의 상업적 이익을 위해 국민의 정보인권을 헌신짝 버리듯 한 것이다. 과학기술정보통신부 장관은 4차 산업혁명을 주관하고 있는데 이런 초법적 발상을 공공연하게 드러내는 것을 보면, 문재인 정부가 앞으로는 개인정보보호 운운하면서 뒤로는 전 국민의 정보인권을 특정 사기업들의 상업적 이익을 실현하기 위한 불쏘시개로 쓰려는 것은 아닌가 의심스럽다. 정부는 유영민 장관의 발언이 문재인 정부의 공식적인 정책방향인지 밝혀야 한다. 이제는 진실을 말할 때다. </p> <p> </p> <p>유 장관의 인식과 달리 지금 우리 사회에서 국민의 개인정보는 큰 위험에 처해 있다. 대규모 개인정보 유출이 끊이지 않았고 이에 기생한 보이스피싱 등 각종 범죄로 국민들은 괴롭다. 초연결사회로 나아간다는데 국민의 프라이버시, 인권 따위는 예전보다 더 못한 취급을 받고 있다. 정부가 이러니 공공기관과 기업들은 국민들이 믿고 맡긴 정보를 팔기 위해서 혈안이 되어 있다. 전국 약국과 병원에서 환자 4천3백만 명의 처방전 50억 건이 미국 빅데이터 업체에 팔렸다. 건강보험심사평가원은 보험사들의 보험료 ‘연구’를 위해 환자데이터셋 수천만명 분을 팔아넘겼다. </p> <p> </p> <p>박근혜 정부는 몇가지 비식별조치를 취하면 개인정보가 아닌 것으로 ‘추정’해 주겠다는 황당한 정책을 추진했고 공공기관이 나서 기업들의 고객정보를 결합해 주었다. 이건 더이상 미래의 일이 아니다. 당장 우리가 직면한 위험이다. 내 정보가 나의 의지와 무관하게, 때로는 나의 의사에 반해서 전세계에 팔려나가는 것이다. 이런 정보장사에 국민들은 속수무책이다.  그런데 문재인 정부의 검찰까지 비식별조치 기업들과 공공기관을 무혐의로 처리하였다. 이제는 인공지능의 불투명한 개인정보 처리로 대출, 보험, 구직 등 일상생활에서 차별받는 미래가 바로 눈앞에 와있다. 국민은 대체 누구를 의지해야 하는가.</p> <p> </p> <p>정부와 기업의 개인정보 처리가 늘어나고 자동화될수록 정보주체가 자신의 개인정보 처리에 대해 제대로 알고 권리를 행사하기 어렵다. 그래서 1980년 유엔의 <전산처리된 개인정보 파일의 규제지침>을 비롯한 여러 국제규범은 개인정보 감독기구(Data Protection Authority)의 설치를 지지해 왔다. 정보주체를 보호하기 위해 개인정보보호법의 준수를 ‘감독’하는 국가기관이 필요하다는 인식이 세계적 추세에 부합한다. 정부와 기업처럼 힘있는 개인정보처리자들을 제대로 감독하기 위해서는 이들 기구의 독립성과 강력한 권한이 요구된다. 그래서 유럽사법재판소는 독립적인 개인정보 감독기구를 일컬어 ‘기본권의 수호자’라 칭하기도 하였다. </p> <p> </p> <p>우리 시민사회 또한 우리 헌법이 보호하는 국민의 개인정보 자기결정권을 보호하기 위하여 독립적이고 강력한 개인정보 감독기구의 설치를 지지해 왔다. 문재인 대통령의 개헌안에 명시된 대로, 모든 사람이 자신에 관한 정보를 보호받고 그 처리에 관하여 통제할 권리를 행사하기 위해서는 제대로 된 개인정보 감독기구가 꼭 필요하다고 생각했다. 특히 우리나라에서는 정보주체가 자신의 정보를 통제할 수단이 많지 않기 때문에 국가 차원의 개인정보보호가 개인정보보호의 유일한 안전판 역할을 해야 한다.  그런데 유영민 장관의 발언은 문재인 정부가 바로 이 유일한 안전판마저 제거하려는 신호탄은 아닌지 걱정스럽다. 정말 문재인 정부는 개인정보를 보호할 최소한의 의지도 없다는 것인가.  </p> <p> </p> <p>‘개인정보위원회’로 바꾸겠다는 유영민 장관의 발상은 독립적인 개인정보 감독기구의 본질에 대한 완전한 왜곡이다. 정부 여당이 발의한 개인정보보호법안이 단지 개인정보처리자에게 봉사하는 기구를 만들겠다는 것이라면, 차라리 없는 것이 낫다. 박근혜 정부때부터 추진해온 개인정보 규제완화 정책과 다를 바 없는 <개인정보보호법안>과 <신용정보보호법안>에 대해 한마디 못하는 개인정보보호위원회가 무슨 소용이란 말인가. 국회에서 논의중인 이 법안들은 개인정보의 무분별한 판매와 공유를 허용하고 정보주체의 알 권리와 동의권을 박탈하는 내용들로 채워져 있다.  이전의 어느 정부도 이 정도까지 드러내놓고 개인정보보호를 거추장스러워하지 않았다. 특히  ‘개인정보보호위원회의 위상 강화’와 ‘무분별한 개인정보 이용에 대한 제재 강화’를 공약과 국정과제로 내세웠던 문재인 정부이기에 그 실망이 더욱 크다. </p> <p> </p> <p>과학기술정보통신부는 허울좋은 4차 산업혁명을 빌미로 기업들의 이익과 자기 부처 먹거리만 찾아 기웃대는가. 다른 모든 정부부처와 청와대도 국민을 위해 개인정보를 보호하겠다는 약속을 저버리고 스스로 발의한 개헌안조차 부정하려는 것인가. 인권의 정부가 되기를 기대했던 문재인 정부가 ‘개인정보보호’를 포기한 정부로 기억되지 않기를 간절히 바란다. 끝.</p> <p> </p> <p style="text-align:center;"><strong>2019년 4월 5일</strong></p> <p style="text-align:center;"> </p> <p style="text-align:center;"><strong>경제정의실천시민연합, 금융정의연대, 민주사회를 위한 변호사모임 디지털정보위원회, 서울YMCA, 소비자시민모임, 진보네트워크센터, 참여연대, 한국소비자연맹, 함께하는시민행동.</strong></p> <p style="text-align:center;"> </p> <p><a href="https://docs.google.com/document/d/190Y1gwC5k-Rsyc_4wAZUKJo6XgYTiUc57Qy…; rel="nofollow">원문보기/다운로드</a></p> <div> </div></div>