SK플래닛 티스토어는 무분별한 개인정보(민감정보) 수집을 중단하라.

- 가입자는 기업 앞에 벌거벗어야 하는가!
- 제한 없는 개인정보 수집은 개인정보보호법의 입법취지에 반한다!

발표일자: 

2015/11/10

나머지 보기

정부의 유럽연합(EU) 개인정보 보호수준 적정성 평가 추진에 대한 시민사회 의견서

유럽연합에서 2018년 5월 25일부터 일반개인정보보호규정(GDPR)이 시행되었다. 기존의 95년 개인정보보호지침과 달리 GDPR은 EU 역내에서 법과 같이 직접적인 구속력을 가진다. GDPR은 EU의 법률이지만 한국을 비롯한 전 세계 기업에게 영향을 미친다. EU 내에서 사업장을 운영하는 기업은 물론, EU 시민에게 재화나 서비스를 제공하는 기업이라면 모두 적용 대상이 되기 때문이다. 이에 따라 개별 기업 차원의 GDPR 대응도 필요하지만, 한국 정부도 유럽에 진출하는 국내 기업의 지원을 위해 EU 적정성 평가를 추진하고 있다.

시민사회는 EU 적정성 평가 추진이 국내 개인정보 보호수준을 국제적인 규범에 맞게 개선하는 계기가 될 수 있다고 생각하며, 한국 정부의 EU 적정성 평가 추진을 기본적으로 환영하는 바이다. 그러나 현재 한국 정부가 추진하는 부분 적정성 결정 추진은 오히려 국내 개인정보 보호법제 개선의 발목을 잡을 수 있다. 그 보다는 국내 개인정보 보호법제를 국제 규범에 맞게 개선한 후, 전체 적정성 결정을 추진하는 것이 보다 효과적이며 한국의 국제적 위상을 높이는 데에도 기여할 수 있다고 생각한다.

이에 한국 정부의 EU 적정성 평가 추진과 관련하여 다음과 같이 시민사회의 의견을 밝힌다.

1. 상향된 개인정보 국제규범 형성의 계기

EU는 자국 시민의 개인정보가 유럽 역외로 이전되는 경우, 원칙적으로 개인정보를 이전받는 제3국이 적정한 개인정보 보호수준을 보장할 것을 요구하고 있다. EU의 법제와 동일할 필요는 없지만, EU에서 보장하고 있는 것과 ‘실질적으로 동등한’ 수준으로 개인의 자유와 권리를 보장해야 한다는 것이다. 이에 EU 집행위원회는 제3국의 요청에 의해 해당 국가의 개인정보 보호수준을 평가하고 적정성 결정을 내린다. 물론 개별 기업 차원에서는 적절한 안전조치의 제공 등 유럽 시민의 개인정보를 자국으로 이전할 수 있는 또 다른 방법이 있지만, 국가 차원에서 적정성 결정을 받을 경우 해당 국가의 기업은 추가적인 조치 없이도 개인정보를 이전할 수 있다.

세계화된 디지털 정보 사회에서 재화나 서비스의 제공을 위한 개인정보의 수집과 이전은 피할 수 없다. 그러나 제3국으로 개인정보가 이전될 경우 본국보다 개인정보 보호수준이 낮은 나라로 이전될 경우에 정보주체의 권리가 침해될 가능성이 높아진다. 따라서 개인정보의 국외 이전 문제는 비단 EU 시민만의 문제가 아니며, 우리 국민의 개인정보가 제3국으로 이전될 때에도 안전하게 보호될 수 있도록 우리 역시 관련 법제를 정비할 필요가 있다.

개인정보의 국제적 이동이 활발해지면서 각 국의 개인정보 보호법제의 상호운용성이 중요해지고 있다. 즉, 개인정보의 보호를 위한 국제적인 규범이 형성되고 있으며, 이는 각 국의 개인정보 보호수준을 향상하는 계기가 될 수 있다. 그렇지 않으면, 개인정보가 추가적으로 이전되면서 개인정보 보호에 허점이 발생할 수 있고, 오히려 개인정보를 보호하지 않는 기업이나 국가가 이익을 볼 수 있기 때문이다. EU 집행위원회도 EU는 세계적으로 높은 수준의 상호 호환가능한 개인정보 보호 표준 증진을 위해 국제파트너와 논의를 지속할 것임을 밝히고 있다.[1]

우리는 EU 적정성 평가 신청을 계기로 한국의 개인정보 보호수준을 한단계 높이는 계기가 되기를 바란다. 다행히 한국 정부는 우리나라 국민의 개인정보가 제3국으로 이전하는 것과 관련하여 해당 국가의 개인정보 보호수준이 적정한 수준이어야만 한다는 내용으로 개인정보보호법 개정도 추진하고 있다고 한다. 시민사회는 정부가 EU 일반개인정보보호규정에 의한 적정성 평가를 추진하고, 우리 개인정보보호법제에 ‘적정성 평가’ 신설을 추진하는 것을 적극 환영한다.

2. EU 적정성 평가에 비추어 본 국내 개인정보 보호체계 개선 과제

한국의 개인정보 보호법제는 강하다고 알려져 있지만, 시민사회단체인 우리가 보기에는 많은 한계를 가지고 있다. 사회 전반을 관할하는 개인정보보호법과 더불어 정보통신망법, 신용정보법, 위치정보법 등 개별 영역을 관할하는 법이 존재하는데, 중복되고 유사한 조항들이 다수 존재하여 수범자의 혼란을 야기하고 있다. 무엇보다 독립적이고 적절한 권한을 가진 개인정보 감독기구의 부재는 큰 문제이다.

개인정보보호위원회를 비롯하여 행정안전부, 방송통신위원회, 금융위원회 등 다수의 감독기구가 있지만, 개인정보보호위원회는 정책의 심의, 의결 권한 및 분쟁조정을 관할하고 있을 뿐 인사권, 예산권이 없어 독립성이 없고 감독기구로서 필요한 집행권한도 없다. 행정안전부는 집행권한을 가지고 있지만 정부부처이기 때문에 독립성이 없고, 방송통신위원회와 금융위원회는 주된 업무가 해당 분야의 산업 발전과 규제를 동시에 담당하고 있어 종종 산업 발전을 명분으로 개인정보의 보호를 약화시킨다. (최근 <개인정보 비식별조치 가이드라인>이 대표적인 사례이다.)

또한, 감독기구가 분산되어 있기 때문에, 각 감독기구는 전문성을 갖기 힘들고 효율적인 집행에 한계가 있다. 우리 시민사회는 오래 전부터 개인정보보호위원회의 독립성을 보장하고 감독기구로서 필요한 권한을 부여함으로써, 개인정보보호위원회로 감독기구를 일원화할 것을 요구해왔다. 사실 한국정부는 이미 오래 전에 EU 적정성 평가를 추진한 바 있지만, 개인정보 감독기구의 독립성 문제로 EU로부터 부적격 통지를 받은 바 있다.

정보수사기관의 개인정보 접근 문제도 필요성과 비례성 요건을 갖추고 있지 못하고 있다. 예를 들어, 공공기관이 보유한 개인정보와 통신사들이 보유한 이용자의 가입자 정보가 영장없이 수사기관에 제공되고 있다. 특정 기지국에 접속한 이용자의 개인정보가 무분별하게 제공되거나 실시간 위치추적이 허용되는 등 통신사실확인자료에 대한 보호도 충분하지 않다. 정보수사기관의 개인정보 수집에 대한 독립적인 감독기구의 감독은 제대로 이루어지고 있지 않다. 유엔 시민적 정치적 권리규약 위원회(UN Human Rights Committee)도 한국정부에 영장없는 통신자료 제공, 기지국 수사, 국정원의 감청과 이에 대한 불충분한 규제 등에 대한 개선을 권고한 바 있다.

빅데이터 산업 활성화를 명분으로 법적 근거 없이 <개인정보 비식별조치 가이드라인>에 따라 (일부 비식별조치 된) 개인정보가 기업 간에 공유되고 있다. 개인정보보호법은 개인정보의 국외 이전 시 정보주체의 동의를 받고 있지만, EU의 적정성 결정과 같이 개인정보 보호수준이 한국보다 미흡한 국가로 개인정보가 이전되지 못하도록 규제하지는 않고 있다. 또한, 개인정보보호법은 프로파일링이나 자동화된 결정과 관련된 규정을 포함하고 있지 않다.

이와 같이 많은 문제점들로 인해 국내 개인정보 보호법제는 EU 적정성 평가를 통과하기 힘들다. 그러나 비단 EU 적정성 결정을 위해서가 아니라, 우리 시민들의 개인정보 보호를 위해서 국내 개인정보 보호법제는 국제적인 개인정보 보호규범에 맞게 개선될 필요가 있으며, 우리 시민사회는 이를 지속적으로 요구해왔다.

3. 부분 적정성 평가의 문제점과 한계

앞서 언급한 바와 같이, 한국 정부는 이미 EU 전체 적정성 평가를 추진한 바 있으나 감독기구의 독립성 문제로 EU로부터 부적정 통보를 받은 바 있다. 이에 한국 정부는 정보통신망법 중심의 부분 적정성 평가를 추진하고 있다. 그러나 이 역시 여러가지 문제점을 안고 있어서 EU로부터 적정성 결정을 받을 수 있을지도 의문이지만, 설사 적정성 결정을 받더라도 그 적용이 매우 제한적이라는 한계를 가질 수밖에 없다.

정보통신망법은 영리를 목적으로 한 ‘정보통신망 서비스제공자’가 수집하는 이용자의 개인정보로 그 관할 범위가 제한된다. 예를 들어 유럽 시장에 진출한 국내 정보통신서비스 제공자가 유럽의 피고용인의 개인정보를 수집하여 국내에서 통합 처리하는 경우, 오프라인 매장을 통해 수집한 고객정보의 처리, 보건의료나 금융 서비스 목적의 개인정보 수집 등도 정보통신망법의 적용을 받지 않는다.

또한, 정보통신망법에 관련 규정이 없어 개인정보보호법이 적용되거나(예를 들어, 개인정보보호법 제24조는 고유식별정보의 처리 제한을 규정하고 있는데, 정보통신망법에는 관련 규정이 없다), 국세청, 수사기관 등 정보통신망 외로 개인정보가 제공될 경우, 방송통신위원회는 감독권한을 행사하는데 한계가 있다.

또한, 우리는 부분 적정성 평가가 이루어질 경우 현재의 복잡한 개인정보 보호체계가 고착화되지 않을지 우려한다. 방송통신위원회가 부분 적정성 평가가 진행되고 있음을 명분으로 개인정보보호법으로의 법제 일원화나 개인정보보호위원회로 자신의 권한을 이양하는 것을 거부할 수 있기 때문이다. 부분 적정성 평가는 사실상 EU의 적정성 결정을 인정받기 힘들 뿐만이 아니라, 국내 개인정보 보호법제의 신속한 개선에도 장애가 될 수 있다.

4. 결론

따라서 한국의 시민사회단체는 한국 정부가 부분 적정성 평가를 추진하는 것보다 개인정보 보호법제를 개선한 후 전체 적정성 평가를 추진하는 것이 바람직하다고 생각한다. 우리는 한국과 유럽연합이 상호 전체 적정성 결정을 하고 함께 전 세계적으로 개인정보 보호수준의 향상과 표준화를 위해 기여할 수 있기를 바란다.

[1] European Commission, Digital Single Market – Communication on Exchanging and Protecting Personal Data in a Globalised World Questions and Answers, 2017.1.10
<끝>

경실련, 서울 YMCA, 소비자시민모임, 진보네트워크센터, 한국소비자연맹, 함께하는시민행동

<보건복지부 건강정보 빅데이터 활용에 대한 경실련 입장>

복지부 건강정보 빅데이터 시범사업, 법제도 정비 선행하라

– 시범사업은 공중보건을 위한 사회정책연구에 한정해야 –

지난 2017년 12월 보건복지부는 보건의료 정보 활용을 위한 ‘보건의료 빅데이터 플랫폼 시범사업 추진계획’(이하 시범사업)을 발표했다. 보건복지부는 보건의료 빅데이터 플랫폼 구축사업 일방적 추진과 건강보험심사평가원이 보험상품 개발을 위해 민간보험사에 총 6,420만 명의 진료기록 정보를 팔아넘기며 사회적 비난이 커지자 뒤늦게 국민 의견을 수렴하겠다고 시범사업을 발표한 것이다. 보건복지부는 3월 30일까지 국민 의견을 수렴하고 있다. 이에 경실련은 지난 28일 발표한 <보건의료 빅데이터 활용에 대한 시민사회노동단체의 입장>을 지지하면서, 시범사업에 대한 일부 이견 또는 보충의견을 다음과 같이 밝힌다.

1. 개인(건강)정보의 보호와 활용을 위한 법제도 정비에 대한 의견

개인 건강정보에 규정은 일반법인 「개인정보보호법」과 의료 분야의 「의료법」, 「생명윤리법」, 공공분야의 「공공데이터의 제공 및 이용 활성화에 관한 법률」 등에 다양한 법률에 혼재되어 있다.

의료법은 ”환자가 아닌 다른 사람에게 환자에 관한 기록을 열람하게 하거나 그 사본을 내주는 등 내용을 확인할 수 있게 하여서는 아니 된다“라고 규정되어 있다. 원칙적으로 환자 정보는 제3자 제공이 금지되어 있다. 그럼에도 건강보험업무처리를 위한 것이라는 한정적 목적을 위하여 의료법은 예외조항을 두고 있고, 그 결과 의료기관에서 생산된 다양한 환자 정보가 심평원이나 건강보험공단에 제공되고 있다.
이러한 상황에서 심평원이나 건강보험공단이 보유한 건강정보 빅데이터를 활용한 시범사업은 개인정보 자기결정권 침해와 위법성 논란에서 벗어날 수 없다. 따라서 우선 독립적인 감독기구가 제 역할을 할 수 있는 법적 장치가 마련되어야 하며, 이에 근거하여 건강정보, 환자에 대한 정보의 규정, 개인정보 간의 위계관계를 법적으로 정비해야 한다.

2. 연구, 학술, 통계 목적 처리에 대한 정보 주체의 선택권

현행 개인정보보호법에는 개인정보 처리를 위해서는 정보 주체의 동의가 필요하다. 통계작성 및 학술 연구목적이라도 특정 개인을 알아볼 수 없는 익명 형태로 처리해야 하고, 그렇지 않으면 정보 주체 또는 환자의 동의 없이 연구, 학술, 통계 목적 처리가 불가능하다.

따라서 정부는 환자의 자기결정권이 실질적으로 보장될 수 있도록, 다양한 동의 받는 방법을 개발해야 한다. 이와 더불어 사후에 정보처리를 거부할 수 있도록 옵트아웃(Opt-out) 권한도 함께 부여해야 한다.

3. 연구목적의 제한

보건복지부는 시범사업은 공공의 목적에 한정되어 진행하겠다고 밝혔다. 그러나 시범사업 추진계획안에 명시된 데이터셋 예시 중 의약품 정보 내용만 봐도 원외 처방 약제 통계자료, 의약품 상위 성분 청구현황으로 제약회사에 필요한 것으로 공공의 목적에 해당하는 것인지도 명확하지 않다. 따라서 시범사업 전체가 공공의 목적에 부합하는지에 대한 재검토가 되어야 하고, 시범사업은 기술개발이 아닌, 공중보건과 관련된 사회 정책적 목표를 달성하기 위한 연구로 한정해야 한다.

청와대는 진정 개인정보 보호할 의지 있는가

– 개인정보감독체계 일원화에는 무관심, 동의 없는 활용에만 골몰

– 모호한 장밋빛 전망에 기댄 성급한 정보주체 권리 완화는 위험해

최근 행정안전부, 방송통신위원회, 금융위원회는 국회 업무보고를 통해 데이터산업 활성화라는 명분으로 개인정보에 대한 정보주체의 권리와 보호장치를 완화하겠다는 계획을 내놓았다. 행정안전부의 경우 ‘가명정보’를 정보주체 동의 없이 산업적 연구목적에 활용하도록 하고, 민간과 공공의 데이터를 결합할 수 있는 근거를 마련한다는 것이다.

경제정의실천시민연합, 참여연대, 서울YMCA, 진보네트워크센터, 한국소비자연맹, 소비자시민모임, 함께하는시민행동 등 7개 시민사회단체는 문재인 정부가 모호한 장밋빛 전망에 기대어 사실상 박근혜 정부가 추진했던 개인정보”침해”정책을 그대로 계승, 발전시키고 있다는 강한 의문을 제기하지 않을 수 없다. 정부가 개인정보 규제 완화를 시도하는 반면 대통령 공약이자 국정과제였던 감독체계 개선방안은 온데간데 없다. 실효적이지 않은 개인정보감독기구의 위상강화라는 말만 반복하고 있을 뿐이다. 나아가 어떻게든 국민들의 개인정보를 공짜로 활용하려는 산업계의 요구를 마치 4차 산업혁명을 위한 혁신으로 포장하는 일까지 벌어지고 있다. 과연 문재인 정부는 국민들의 개인정보를 보호할 의지가 있는가.

각 정부부처들은 ‘가명정보’를 정보주체의 동의 없이 목적 외로 이용가능한 정보라고 호도하고 있다. 그러나 가명정보는 가명처리의 방법과 절차에 따라 그 자체로 특정 개인이 식별되거나 다른 정보와의 결합을 통해 특정 개인을 식별하는 것이 가능하기 때문에 여전히 보호의 대상이어야 한다. 가명처리는 개인정보 처리과정에서 정보주체의 프라이버시를 보호하기 위한 안전장치의 하나이지, 가명처리를 한다고 정보주체의 동의가 전혀 필요하지 않다거나 개인정보보호법의 규제를 회피할 수 있는 만능수단이 아니다. 가명처리와 별도로 정보주체의 동의 없이 활용을 가능하게 하려면 이를 정당화할만한 명확하고 충분한 공익적 가치가 존재해야 한다. 막연히 산업을 활성화하여 국가 경제에 이바지할 것이라는 추상적인 명분으로, 개인정보에 대한 정보주체의 통제권을 빼앗고 무력화시켜서는 안 된다. 국민 개개인의 권리를 쉽사리 희생시킬 수 있다는 발상이 4차 산업혁명을 부르짖는 2018년에 반복되고 있는 것은 분명 시대착오적이라 할 것이다.

민간과 공공의 데이터 결합은 법적 근거를 마련하기 이전에 그 위험성과 필요성을 충분히 검토해야 마땅하다. 서로 다른 기관이 보유한 데이터를 결합한다는 것은 데이터셋 간에 개별적인 매칭이 가능하다는 것, 즉 개개인이 특정될 수 있다는 것을 전제한다. 따라서 한 개인에 관한 더 많은 정보가 통합되는 과정에서 개인에 대한 프라이버시 침해의 위험성은 더욱 높아진다. 이미 우리나라는 전국민을 주민등록번호로 통제하고 있고, 국가기관 내에서 수많은 정보들이 주민등록번호를 매개로 연계되어 있다. 이것을 정보주체 동의 없이 민간 데이터와 결합하여 기업이 활용할 수 있게 하는 것은 매우 위험하다. 또한 데이터 결합 정책의 가장 큰 수혜자는 이미 데이터를 다수 보유하고 있는 통신, 금융, 보건의료 영역의 재벌 대기업이 될 것이 뻔하다.

반면 정부는 개인정보 감독체계 효율화와 관련하여 여전히 구체적인 방안을 제시하지 않고 있다. 현행 한국의 개인정보 보호법제는 여러 법률로 중복, 분산되어 있어 혼란과 중복규제를 야기하고 있다. 특히 실효성있는 개인정보 보호를 위해 필수적인 개인정보 감독기구 역시 분산되어 있는 실정이며 독립성과는 거리가 멀다. 개인정보보호위원회는 예산, 인사 등에서의 독립성이 없고 감독기구로서의 집행권한이 없다. 가장 방대한 국민정보를 보유하고 있는 행정안전부 역시 독립성을 갖고 있지 못하다. 방송통신위원회나 금융위원회는 각각 정보통신산업과 금융산업의 육성, 진흥을 담당하는 부처로서 개인정보보호에 방점을 둬야 할 개인정보 감독기구로서의 전문성과 독립성을 충분히 기대하기 어렵다. 감독기능이 이렇게 여러 부처로 분산되어 있다보니, 국가차원의 일관된 개인정보보호정책의 수립과 감독, 집행이 이루어질 수가 없다. 그래서 시민사회는 일관되게 방송통신위원회와 금융위원회가 가진 개인정보 감독권한을 개인정보보호위원회로 통합하고 위원회를 독립된 중앙행정기구로 만들어야 한다고 주장해온 것이다. 그러나 행정안전부의 방안은 분산되어 있는 감독기능의 부분적인 통합조차도 고려하고 있지 않다.

지난 7월 19일 행정안전부는 시민사회단체들과의 간담회 자리에서 행정안전부의 권한만 개인정보보호위원회에 이관하여 독립시키는 방안만이 현실적이라고 강변했다. 이는 겉보기에는 개인정보보호위원회의 위상강화로 보일 수 있을 지 모르지만 이러한 방안이 오히려 바람직한 개선을 가로막고 현재 드러난 문제들을 고착화시킬 수 있다. 정보통신망을 통한 개인정보처리가 이미 일반화된 상황에서 앞으로 더욱더 정보통신망을 통한 개인정보처리가 늘어날 것인데 이 부분에 대해서는 아무런 조치를 취할 수 없는 감독기구는 의미를 갖기 어렵기 때문이다. 신용정보의 보호가 점점 더 중요해지는데도 감독기구가 이에 대해서 아무런 보호조치를 취할 수 없는 체계를 계속 유지하겠다는 저의가 무엇인지 의문이다. 방송통신위원회와 금융위원회의 감독권한을 일부라도 통합하지 않고서는 이것은 개인정보 감독체계 개선이라고 볼 수 없다. 통합적인 컨트롤타워가 만들어지는 것 또한 요원해질 것이다.

청와대와 각 부처는 개인정보를 산업적, 상업적 목적으로 활용하고 거래하기 위한 여러 정책들을 앞다투어 내놓고 있다. 보건의료빅데이터 시범사업, 헬스케어 사업, 마이데이터 사업, 스마트 시티 사업 등 데이터 활용을 극대화하기 위한 정책들이 우후죽순 경쟁적으로 추진되고 있는 것이다. 하지만 각 부처의 정책들간에는 일관성이 없을 뿐만 아니라 과연 개인정보보호 측면에서의 고려가 었는지도 의문이다. 개인정보와 관련한 정부 컨트롤타워 부재의 문제가 그대로 드러나고 있는 것이다. 각 부처들은 데이터의 활용만 강조하고 미흡한 사후규제 강화방안을 명목상 끼워넣고 있을 뿐이다. 개인정보감독체계를 통합, 정비하고 독립성보장 등 권한을 강화하지 않으면, 이제 우리의 개인정보와 프라이버시는 법전에만 존재하는 형해화된 권리가 될 것이다.

개인정보감독체계 정비는 개인정보를 보호하고, 개인정보의 활용이 목적에 부합하는 최소한의 범위에서 안전하게 이루어지는지를 감독하기 위한 최소한의 전제조건이다. 이를 위해 부처간 권한의 통합과 조정도 필요하다. 이를 정권 초기에 하지 않으면 앞으로도 하기 어려울 것이다. 그러나 문재인 정부가 출범한 지 1년 4개월이 되도록 어떠한 진전도 보이지 않았다. 지금 정부는 산업활성화를 위한 골든타임을 이야기하지만, 개인정보보호를 위한 골든타임은 이미 지났는지도 모른다. 청와대가 의지를 갖고 실질적인 개인정보감독체계 개선을 추진할 계획이 없다면 더이상 국민을 기만해서는 안된다. 각 부처들도 껍데기 뿐인 개인정보보호방안을 들고 시민사회를 기만하고 회유하려는 시도를 중단해야 한다. 답을 정해놓고 시민사회와 소통하는 모양새를 취할 것이 아니라, 시민사회의 우려에 진정 귀를 기울이기를 기대한다. 제대로 된 개인정보보호체계 구축과 감독기구의 일원화를 통해 자기 통제 밖에서 자신들의 개인정보가 활용될 것이라는 국민들의 불안을 해소하는 것은 정부의 몫임을 정부 스스로 인식해야 할 것이다.

2018년 8월 1일

경제정의실천시민연합·참여연대·서울YMCA·진보네트워크센터·
한국소비자연맹·소비자시민모임·함께하는 시민행동