소비자 개인정보 침해에 대한 손해배상제도의 개선방안

-홈플러스 개인정보 유출사건을 중심으로-

일시 및 장소:　2018년 11월 12일(월) 10:00~12:00, 국회의원회관 제8간담회실

홈플러스 개인정보 유출사건과 관련하여 안산소비자단체협의회가 제기한 소에서 항소심법원은 개인정보보호법 등 특별법상 불법행위 손해배상책임에 있어서 법은 고의·과실 요건에 한하여 증명책임을 전환하거나 면제하고 있으므로 그 밖의 가해행위의 존재, 위법성, 손해 및 인과관계 요건 등은 모두 원고에게 입증책임이 있다고 보았습니다.

즉, 원고들이 자신의 개인정보가 사전필터링을 위해 보험회사에 제공되었다는 사실을 입증하지 못하는 이상 불법행위의 피해자로 볼 수 없다고 판시한 것입니다. 그러나 관련 자료에 대한 사업자와 소비자간 정보의 비대칭성을 고려할 때 소비자가 이를 입증하는 것은 매우 어려운 현실입니다.

또한 기타 불법행위 성립 요건에 대하여도 소비자의 입증책임을 완화하는 것이 개인정보보호법 등에서 고의·과실 요건의 입증책임 전환규정을 둔 입법취지에도 부합할 것입니다. 개인정보보호법상 손해배상책임 문제를 위 항소심 법원의 판시와 같이 엄격하게 본다면 결국 개인정보 유출 소비자 피해에 대한 구제가 사실상 불가능해질 것입니다.

이에 학자, 실무가, 입법관계자 등을 모시고 홈플러스 개인정보 유출사건을 중심으로 소비자 개인정보 침해에 대한 손해배상제도의 개선방안에 대하여 토론하는 자리를 마련하고자 합니다. 바쁘시더라도 부디 참석하시어 자리를 빛내주시기를 부탁드립니다. 감사합니다.

행사 개요

○ 주 최: 이학영 의원, 추혜선 의원, 홍익표 의원, 국회시민정치포럼, 한국소비자단체협의회, 참여연대, 경제정의실천시민연합, 진보네트워크

◾발제1.
김보라미 변호사 (법무법인 나눔)
개인정보보호법상 소비자 손해배상제도의 문제점

◾발제2.
권대우 교수 (한양대 로스쿨)
소비자 개인정보 유출과 손해의 입증책임

◾지정토론
강신하 변호사 (법무법인 상록)
성춘일 변호사 (참여연대 민생희망본부 실행위원)
홍대식 교수 (개인정보보호위원회 제1법령평가 전문위원장)
최정민 입법조사관 (입법조사처 안전행정팀)

개인정보보호 무력화하는 규제 샌드박스 반대한다

– 개인정보 보호법제 일원화, 개인정보 감독기구 권한 강화!

– 개인정보 보호 통째로 배제하는 광범위한 특례도입 위험해!

더불어민주당이 8월 임시국회에서 이른바 규제혁신 5법(① 행정규제기본법 개정 ② 금융혁신지원법 제정 ③ 산업융합촉진법 개정 ④ 정보통신융합법 개정 ⑤ 지역특구법 개정)의 처리를 계획하고 있다. 나아가 박근혜 정부에서 추진되었던 서비스산업발전법과 규제프리존법에 양보할 기미도 보인다. 개인정보 보호를 위한 규제 개선은 여전히 지지부진한데, 최근 문재인 정부가 규제 완화만이 경제 발전의 메시아인 것처럼 외쳐대는 상황이, 우리가 다시 박근혜 정부로 회귀한 것은 아닌지 착각할 정도이다.

시민사회는 불합리한 규제 개선에 이의가 없다. 모든 규제는 나름의 공공적 목적을 위해 도입됐다. 그것이 시대에 뒤처져 불필요해지거나 공공의 이익을 저해한다면 완화하거나 폐지해야 마땅하다. 그러나 밑도 끝도 없는 묻지 마 규제 완화는 사회적 갈등과 공공성 파괴라는 심각한 문제를 일으킬 수밖에 없다. 문재인 정부가 이전 정부에 이어 묻지 마 규제 완화의 늪에 빠진 게 아닌지 묻지 않을 수 없다.

규제혁신 5법은 개별법에서 정한 기준과 원칙을 특례법 형태로 무력화시킴으로써 법의 원칙과 법제 간 균형을 무너뜨리고 있다. 개인정보 보호 측면에서도 모호할 뿐만 아니라 위험한 내용을 포함하고 있다. 「산업융합촉진법 개정안」, 「정보통신 진흥 및 융합 활성화 등에 관한 특별법 개정안」, 「지역특화발전특구에 대한 규제특례법 개정안」 등은 ‘개인을 식별할 수 있는 요소의 전부 또는 일부를 삭제하거나 대체함으로써 다른 정보와 결합하여도 더 이상 특정 개인 또는 개인의 위치를 알아볼 수 없도록 하는 조치를 한 경우’에는 관련 개인정보 보호법제에도 불구하고 이를 이용하거나 제3자에게 제공할 수 있도록 하고 있으며, 지정 검증기관으로부터 해당 조치의 적정성을 검증받도록 하고 있다. 그러나 이러한 조치가 익명 조치인지 가명 조치인지 모호한데, 어느 정도의 조치인가에 따라 개인정보보호법의 적용 여부가 달라질 수 있기 때문에 이 점은 매우 중요하다. 지정 검증기관의 검증이 어떤 의미가 있는지도 의문이다. 검증기관이 해당 조치가 적정하다고 결정하면 해당 업체는 법적 책임을 면제받는다는 것인가. 그렇다면 사실상 폐기처분 된 비식별조치 가이드라인과 어떠한 차이가 있는가. 이는 정보주체의 동의없이 상업적인 목적으로 개인정보를 활용하고 데이터 결합까지 광범위하게 허용하는 법제화로 연결될 위험이 있다.

특히 「금융혁신지원특별법 제정안」은 개인정보보호법 자체를 배제한다는 점에서 더욱 위험하다. 이 개정안은 혁신금융사업자에게 특례를 인정하는 금융관련법령의 규정을 적용하지 않도록 하고 있는데, 금융관련법령에 개인정보보호법도 포함된다. 혁신금융서비스 지정 신청을 심사할 때 ‘개인정보의 안전한 보호 및 처리 등 금융소비자 보호 및 위험 관리’를 언급하고 있지만, 개인정보의 안전한 보호 및 처리를 위한 법이 개인정보보호법이라는 점에서 이 법을 적용하지 않도록 하면서 개인정보를 보호하겠다는 것은 말장난에 지나지 않는다.

현행 개인정보보호법제의 적용을 배제하는 광범위한 특례법 도입은 개인정보보호를 근본부터 흔드는 입법이다. 규제 샌드박스법에서 특례를 인정하겠다는 사업이나 서비스들은 그 개념이나 범주가 매우 모호하다. 임시허가나 규제특례를 부여하는 위원회도 결국 소관부처가 구성하는 것이기 때문에 독립된 심사위원회로 기능할 것을 기대하기 어렵다. 결국 이런 법들이 통과될 경우, 기업들이 대부분의 신규사업이나 서비스를 규제샌드박스 5법에 산재된 각종 임시허가나 규제특례를 통해 수행하려 할 것이고 일반적인 개인정보규제는 무력화될 것이다.

무엇보다 개인정보 개념과 활용 범위와 조건, 법령 정비가 구체적으로 논의되고 있는 상황에서 다른 법률에서 「개인정보보호법」의 적용 예외를 조급하게 처리한다는 것은 적절하지 않다. 개인정보 관련법령의 개정 논의가 진행되는 상황에서 이를 우회하는 각종 특별법을 양산하면, 안 그래도 비효율적인 개인정보법제와 감독체계는 더욱 혼선을 빚게 될 것이다. 더불어민주당은 ‘법령공백, 법령불합리, 법령불허 등의 경우’ 임시허가나 실증을 위한 규제특례를 적용하겠다고 하지만, 개인정보 보호법령의 공백이나 불합리는 시민사회가 주장하는 바와 같이 조속한 개인정보 보호법제 정비를 통해 해결되어야 할 문제이며, 개인정보보호법이 불허하는 것은 신기술이나 신산업에도 허용되어서는 안될 것이다.

더불어민주당이 규제혁신 5법의 제정 필요성으로 내세우고 있는 인공지능(AI), 사물인터넷(IoT), 빅데이터 등은 모두 개인정보의 활용과 밀접히 연관된 산업부문이며, 따라서 개인정보 보호에 대한 사회적 신뢰를 얻지 못한다면 활성화될 수 없다.

개인정보 보호를 위해 가장 선행되어야 할 것이 개인정보 보호법제를 체계적으로 정비하고, 개인정보보호법의 실효성있는 집행을 위해 개인정보보호위원회의 권한과 독립성을 강화하는 일이다. 그러나 현재 개인정보 보호법제의 주무 부처인 행정안전부, 방송통신위원회, 금융위원회는 몇 개월이 지나도록 이에 대한 정책 방향을 내놓지 않고 있으며, 개인정보 감독기구의 일원화를 오히려 거부하는 모습을 보이고 있다. 말로는 신산업 활성화를 외치지만, 자기 부처의 밥그릇 지키기에 매몰되고 있다. 빅데이터 활성화에 앞장서온 방송통신위원회와 개인 신용정보의 유통 활성화에만 골몰하는 금융위원회를 어떻게 믿을 것인가. 이런 기관들이 감독기구의 역할을 계속하고 있는 상황에서, 그리고 개인정보 보호법제의 정비와 감독기구 일원화는 뒷전인 상황에서, 규제혁신 5법에서 개인정보를 안전하게 보호하겠다는 것은 공염불에 지나지 않는다.

우리 시민사회단체를 비롯하여 국민은 현재 문재인 정부와 더불어민주당의 태도에 대해 실망감을 감출 수 없다. 권력기관 개혁, 사법 개혁은 지지부진한 채, 규제 완화를 외치며 과거 권위주의 정부의 정책 기조를 따라가려는 행태를 보이고 있기 때문이다. 과연 문재인 정부가 촛불 민심의 염원을 담아 탄생한 정부인지 의심스럽다. 정부가 중점 추진하고 있는 소위 4차 산업혁명의 성공을 위해서라도 규제혁신 5법과 같은 꼼수가 아니라 정도를 밟아가기 바란다.

2018년 8월 16일

경실련, 서울YMCA, 소비자시민모임, 진보네트워크센터, 참여연대 공익법센터, 한국소비자연맹

※ 홈페이지 특성상 전체화면일 때 가독성이 제일 좋습니다.

 

<div class="xe_content"><h1>정보주체의 동의 없는 개인정보 결합 및 제3자 제공에 면죄부 준 검찰을 규탄한다</h1> <p> </p> <p>12개 시민단체는 2017. 11. 9. 4개의 비식별 전문기관과 20개의 기업을 개인정보보호법 위반 등의 혐의로 고발했다. 위 비식별 전문기관과 20개의 기업이 지난 박근혜 정부가 법적 근거 없이 제정한 ‘개인정보 비식별조치 가이드라인’(이하 ‘이 사건 가이드라인)에 따라 자신들이 보유한 개인정보를 정보주체인 시민들의 동의없이 결합하여 3억 4,000만여 건의 데이터로 가공하여 제공받았기 때문이다. 그러나 검찰은 2019. 3. 25. 위 고발에 관하여 혐의없음(증거불충분) 불기소처분(이하 ‘이 사건 불기소처분’)을 결정하였음을 통지했다. </p> <p> </p> <p>이번 검찰의 불기소처분은 개인정보보호법의 해석 및 법률의 착오에 관한 검찰의 법리오해와 피의자의 일방적인 주장에 따른 사실오인에 기초해 내린 결정으로 부당하다. 구체적으로 아래와 같은 이유로 부당하다.</p> <p> </p> <p>첫째, 검찰은 이 사건 가이드라인의 비식별조치가 재식별이 어려운 방법이라며 3억 4,000만여 건의 가공된 데이터를 개인정보가 아니라 판단하였는데, 이는 현행 개인정보보호법에 반하는 해석이다. 현행 개인정보보호법에 따르면, 특정 개인을 알아볼 수 없는 정보라 하더라도 다른 정보와 결합하여 식별할 수 있다면 개인정보에 해당한다. 전문기관에 제공된 정보의 경우 정보의 결합을 위한 연계키를 가지고 있으므로 재식별 가능한 가명정보에 해당하고, 정부주체의 동의 없는 개인정보 제3자 제공에 해당함이 명백하다. 면밀한 검토 없이 피의자의 일방적인 주장에 기초하여 이 사건 가이드라인에 따른 비식별조치가 재식별이 어려운 방법이라는 검찰의 해석은 지극히 자의적이다.</p> <p> </p> <p>둘째, 검찰은 3억 4,000만여건의 가공된 데이터가 개인정보라 해당하더라도 피의자들이 상관이나 관계기관의 승인 또는 지시에 따른 행위를 했을 뿐이므로 형법 제16조 법률의 착오에 해당하여 벌할 수 없다고 판단하였는데, 이는 법률의 착오에 관한 법리를 형식적으로 해석한 것으로 부당하다.</p> <p> </p> <p>이 사건 가이드라인은 지난 박근혜 정부가 법률의 위임없이 도입한 규범력 없는 행정지침으로, 개인정보보호법에 반하는 내용으로 구성되어 있다. 즉 개인정보보호법이 이 사건 가이드라인에 우선하여 적용된다는 점은 지극히 당연한 사실이다. 시민사회는 이 사건 가이드라인의 위법성을 지속적으로 지적해왔고, 피의자는 자신의 행위가 법률에 위배된다는 점을 충분히 인식하고 회피할 수 있었다.  따라서 이 사건 가이드라인을 작성한 국무조정실 등이 피의자들의 상관 또는 관계기관에 해당한다는 이유만으로 벌할 수 없다는 검찰의 해석은 형법 제16조 법률의 착오에 대한 형식적인 해석으로 타당하다고 볼 수 없다.</p> <p> </p> <p>나아가 검찰은 이 사건 불기소처분의 사실인정 에 있어 피의자의 데이터 결합의 목적이 동의 없는 개인정보 활용이 가능한 통계 작성 등 연구의 목적이었다는 주장도 그대로 수용하였다. 피의자가 밝힌 목적은 ‘신용평가방안 연구’ 등으로 분명  ‘연구’라는 단어가 들어간다. 하지만 그 실질은 기업 내부에서 고객 성향 분석을 통한 사업적 활용을 목적으로 하는 것이기 때문에  이것이 개인정보보호법이 규정하는 통계작성 또는 학술연구에 해당하는지 의문이다. 따라서 위 검찰의 사실인정 또한 부당하다.</p> <p> </p> <p>12개 시민단체는 이상과 같은 검찰의 부당한 이 사건 불기소처분에 대하여 항고를 제기할 예정이다. 지난 박근혜 정부가 도입한 이 사건 가이드라인은 도입 당시 동의 없이, 영리목적으로 개인정보를 무분별하게 유통할 수 있게 한다는 점에서 큰 논란이 되어왔다. 그리고 지난 2017년, 3억 4,000여건의 데이터가 이 사건 가이드라인에 따라 결합되어 동의없이 제공되었다는 충격적인 사실이 알려지면서, 논란이 단순한 우려가 아닌 현실이었다는 점이 드러났다. 그럼에도 불구하고 검찰은 형식적인 법해석을 통해 정보주체의 권리침해 현실을 외면하고, 개인정보보호법을 왜곡하는 이 사건 가이드라인을 비호했다. 검찰의 부당한 이 사건 불기소처분을 규탄하며, 신속한 재기수사를 촉구한다.</p> <p> </p> <p>2019.4.1</p> <p> </p> <p>건강사회를위한약사회, 건강사회를위한치과의사회, 건강실현을위한보건의료단체연합, 노동건강연대, 민주노총, 민주사회를위한변호사모임 디지털정보위원회, 언론개혁시민연대, 인도주의실천의사협의회, 진보네트워크센터, 참여연대, 참의료실현청년한의사회, 함께하는시민행동</p> <p> </p> <p>논평원문[<a href="https://docs.google.com/document/d/1r086iJgLDtln-yhaxbXFMghY5NkCQu1K5ty…; rel="nofollow">보기/다운로드</a>]</p></div>

<div class="xe_content"><h1>문재인 정부는 ‘개인정보보호’를 포기한 정부로 기억되려는 것인가?</h1> <p> </p> <h2>유영민 장관의 ‘보호’를 뺀 ‘개인정보위원회’ 주장을 규탄한다</h2> <h2> </h2> <p>지난 4일 유영민 과학기술정보통신부 장관이 국회 4차산업혁명특위 업무보고 자리에서 “ '개인정보보호위원회'에서 '보호'라는 이름을 빼는 것에 대해 행정안전부 등과 협의하겠다"고 밝혔다. 개인정보의 보호가 데이터의 상업적 활용을 할 수 없게 발목잡고 있다는 유 장관의 인식은 경악스럽다. 법을 준수하고 집행해야 할 장관이 법이 정한 원칙을 부정하고 기업들의 상업적 이익을 위해 국민의 정보인권을 헌신짝 버리듯 한 것이다. 과학기술정보통신부 장관은 4차 산업혁명을 주관하고 있는데 이런 초법적 발상을 공공연하게 드러내는 것을 보면, 문재인 정부가 앞으로는 개인정보보호 운운하면서 뒤로는 전 국민의 정보인권을 특정 사기업들의 상업적 이익을 실현하기 위한 불쏘시개로 쓰려는 것은 아닌가 의심스럽다. 정부는 유영민 장관의 발언이 문재인 정부의 공식적인 정책방향인지 밝혀야 한다. 이제는 진실을 말할 때다. </p> <p> </p> <p>유 장관의 인식과 달리 지금 우리 사회에서 국민의 개인정보는 큰 위험에 처해 있다. 대규모 개인정보 유출이 끊이지 않았고 이에 기생한 보이스피싱 등 각종 범죄로 국민들은 괴롭다. 초연결사회로 나아간다는데 국민의 프라이버시, 인권 따위는 예전보다 더 못한 취급을 받고 있다. 정부가 이러니 공공기관과 기업들은 국민들이 믿고 맡긴 정보를 팔기 위해서 혈안이 되어 있다. 전국 약국과 병원에서 환자 4천3백만 명의 처방전 50억 건이 미국 빅데이터 업체에 팔렸다. 건강보험심사평가원은 보험사들의 보험료 ‘연구’를 위해 환자데이터셋 수천만명 분을 팔아넘겼다. </p> <p> </p> <p>박근혜 정부는 몇가지 비식별조치를 취하면 개인정보가 아닌 것으로 ‘추정’해 주겠다는 황당한 정책을 추진했고 공공기관이 나서 기업들의 고객정보를 결합해 주었다. 이건 더이상 미래의 일이 아니다. 당장 우리가 직면한 위험이다. 내 정보가 나의 의지와 무관하게, 때로는 나의 의사에 반해서 전세계에 팔려나가는 것이다. 이런 정보장사에 국민들은 속수무책이다.  그런데 문재인 정부의 검찰까지 비식별조치 기업들과 공공기관을 무혐의로 처리하였다. 이제는 인공지능의 불투명한 개인정보 처리로 대출, 보험, 구직 등 일상생활에서 차별받는 미래가 바로 눈앞에 와있다. 국민은 대체 누구를 의지해야 하는가.</p> <p> </p> <p>정부와 기업의 개인정보 처리가 늘어나고 자동화될수록 정보주체가 자신의 개인정보 처리에 대해 제대로 알고 권리를 행사하기 어렵다. 그래서 1980년 유엔의 <전산처리된 개인정보 파일의 규제지침>을 비롯한 여러 국제규범은 개인정보 감독기구(Data Protection Authority)의 설치를 지지해 왔다. 정보주체를 보호하기 위해 개인정보보호법의 준수를 ‘감독’하는 국가기관이 필요하다는 인식이 세계적 추세에 부합한다. 정부와 기업처럼 힘있는 개인정보처리자들을 제대로 감독하기 위해서는 이들 기구의 독립성과 강력한 권한이 요구된다. 그래서 유럽사법재판소는 독립적인 개인정보 감독기구를 일컬어 ‘기본권의 수호자’라 칭하기도 하였다. </p> <p> </p> <p>우리 시민사회 또한 우리 헌법이 보호하는 국민의 개인정보 자기결정권을 보호하기 위하여 독립적이고 강력한 개인정보 감독기구의 설치를 지지해 왔다. 문재인 대통령의 개헌안에 명시된 대로, 모든 사람이 자신에 관한 정보를 보호받고 그 처리에 관하여 통제할 권리를 행사하기 위해서는 제대로 된 개인정보 감독기구가 꼭 필요하다고 생각했다. 특히 우리나라에서는 정보주체가 자신의 정보를 통제할 수단이 많지 않기 때문에 국가 차원의 개인정보보호가 개인정보보호의 유일한 안전판 역할을 해야 한다.  그런데 유영민 장관의 발언은 문재인 정부가 바로 이 유일한 안전판마저 제거하려는 신호탄은 아닌지 걱정스럽다. 정말 문재인 정부는 개인정보를 보호할 최소한의 의지도 없다는 것인가.  </p> <p> </p> <p>‘개인정보위원회’로 바꾸겠다는 유영민 장관의 발상은 독립적인 개인정보 감독기구의 본질에 대한 완전한 왜곡이다. 정부 여당이 발의한 개인정보보호법안이 단지 개인정보처리자에게 봉사하는 기구를 만들겠다는 것이라면, 차라리 없는 것이 낫다. 박근혜 정부때부터 추진해온 개인정보 규제완화 정책과 다를 바 없는 <개인정보보호법안>과 <신용정보보호법안>에 대해 한마디 못하는 개인정보보호위원회가 무슨 소용이란 말인가. 국회에서 논의중인 이 법안들은 개인정보의 무분별한 판매와 공유를 허용하고 정보주체의 알 권리와 동의권을 박탈하는 내용들로 채워져 있다.  이전의 어느 정부도 이 정도까지 드러내놓고 개인정보보호를 거추장스러워하지 않았다. 특히  ‘개인정보보호위원회의 위상 강화’와 ‘무분별한 개인정보 이용에 대한 제재 강화’를 공약과 국정과제로 내세웠던 문재인 정부이기에 그 실망이 더욱 크다. </p> <p> </p> <p>과학기술정보통신부는 허울좋은 4차 산업혁명을 빌미로 기업들의 이익과 자기 부처 먹거리만 찾아 기웃대는가. 다른 모든 정부부처와 청와대도 국민을 위해 개인정보를 보호하겠다는 약속을 저버리고 스스로 발의한 개헌안조차 부정하려는 것인가. 인권의 정부가 되기를 기대했던 문재인 정부가 ‘개인정보보호’를 포기한 정부로 기억되지 않기를 간절히 바란다. 끝.</p> <p> </p> <p style="text-align:center;"><strong>2019년 4월 5일</strong></p> <p style="text-align:center;"> </p> <p style="text-align:center;"><strong>경제정의실천시민연합, 금융정의연대, 민주사회를 위한 변호사모임 디지털정보위원회, 서울YMCA, 소비자시민모임, 진보네트워크센터, 참여연대, 한국소비자연맹, 함께하는시민행동.</strong></p> <p style="text-align:center;"> </p> <p><a href="https://docs.google.com/document/d/190Y1gwC5k-Rsyc_4wAZUKJo6XgYTiUc57Qy…; rel="nofollow">원문보기/다운로드</a></p> <div> </div></div>