안녕하세요. 진보네트워크센터입니다.
2019. 1. 31. 국제사이버법연구회가 개최한 ‘4차 산업혁명 시대, 개인정보보호법 개정안에 대한 특별세미나’에서 오픈넷 김가연 변호사가 종합토론에 참여했다.
이 세미나에서는 현재까지 발의된 개인정보보호법 개정안에 대한 분석을 바탕으로 개선방안을 찾기 위한 토론이 이루어졌다. 김가연 변호사는 개인정보 활용과 관련하여 개정안 중 어떤 안도 정보주체의 권리를 실질적으로 강화하는 방안을 제시하지 못하고 있는 점을 지적했다. 또한 개인정보 거버넌스 문제에 대해서는 개인정보 감독기구를 개인정보보호위원회로 일원화하고 위원회의 독립성을 강화하는 것에 대해서 매우 긍정적으로 평가했으며, 위원 구성을 다양화해야 함을 주장했다.
김가연 (사단법인 오픈넷 변호사)
제1세션과 제2세션 발제 모두 현재까지 발의된 개인정보의 활용 및 거버넌스에 관한 논의들을 개정안에 대한 분석을 통해 종합적으로 조망해볼 수 있는 좋은 기회였다고 생각합니다. 이용자의 입장에서 정보인권 운동을 하고 있는 활동가로서 발제자들께 몇 가지 질문을 던져보고자 합니다.
개정안들을 전반적으로 보면 GDPR의 가명정보와 익명정보의 개념을 도입하자는 데는 큰 이견이 없는 것으로 보입니다. 익명정보의 경우에는 非개인정보이며, 가명정보의 경우에는 개인정보이지만 가공된 개인정보로서 어느 정도 처리를 허용해야 한다는 발제자의 의견에 개인적으로는 공감합니다.
다만 시민사회에서는 개인정보의 범위가 GDPR에 비해 협소해지는 것이 아닌지 하는 우려가 있는데, 특히 “접근 가능성”을 어떻게 판단할 수 있을 것인지를 예시를 들어 설명해주시면 감사하겠습니다. 그리고 가명화를 허용하는 경우에도 결합정보(추가정보)의 분리 보관을 소홀히 하거나 재식별 금지 의무를 준수하지 않을 경우에는 강력하게 사후제재를 할 수 있어야 할 텐데, 여태껏 개인정보 침해 사건에서 소극적인 태도를 보여 온 법원의 입장에 비추어 볼 때 얼마나 실효성이 있을지 의문입니다. 또한 노파심에서 말씀드리면 법에서 요구하는 기술적 조치가 정부가 제시하는 특정 “기술”을 의미해서는 안 될 것입니다.
또한 어떤 안도 정보주체의 권리를 실질적으로 강화할 수 있는 방안은 제시하지 않고 있는 점은 문제라고 생각합니다. 예컨대 개인정보보호법 제35조와 제26조에 따르면 정보주체는 개인정보처리자에게 자신의 개인정보에 대한 열람을 요구할 수 있고 개인정보처리자는 지체없이 열람을 할 수 있도록 해야 하며, 열람 후 개인정보의 정정 및 삭제가 자유로워야 하는데, 실상은 그렇지 않습니다. 그리고 가장 종합적이라 할 수 있는 인재근 의원안에도 프로파일링에 대한 정보주체의 권리, 개인정보 중심 설계 및 기본 설정(Privacy by Design, Privacy by Default), 개인정보 영향평가의 확대 등 정보주체의 권리 보호에 관한 내용들이 빠져있는 것은 문제라고 생각합니다.
개인정보보호위원회를 중앙행정기관으로 격상하고 기존의 행정안전부와 방송통신위원회의 권한을 이관하는 등 개인정보 감독기구를 위원회로 통합하고 독립성을 강화하는 것은 매우 바람직한 방향이라고 생각합니다. 다만 위치정보와 신용정보 등에 있어 방통위와 금융위와 공동으로 권한을 행사하게 되어 있는 것은 아쉽습니다. 중장기적으로 완전한 통합을 이루어야 한다는 발제자의 의견에 동의합니다. 그리고 위원의 구성 관련해서는 현직 공무원이나 공공기관을 배제하고, 국회 추천을 통해 위원 구성을 다양화하는 게 합의제 위원회의 특성을 살리는 길이라고 보입니다. 이상입니다.
[사진]2018.11.12. 소비자 개인정보 침해에 대한 손해배상제도의 개선방안 토론회 현장
1. 취지 및 내용
홈플러스 개인정보 유출사건과 관련하여 안산소협이 제기한 소에서 제1심법원은 미동의 FMC회원 중 ‘FMC 회원, 사전필터링 인정’란에 표시된 원고들을 제외한 나머지 원고들의 경우, 피고가 위 원고들로부터 개인정보 제3자 제공에 관한 동의를 받았거나, 위 원고들의 개인정보를 사전필터링을 위해 보험회사에 제공하지 않았다는 점에 관하여 피고에게 입증책임이 있다고 보았습니다. 즉, 위 원고들의 개인정보가 사전필터링을 위해 보험회사에 제공되지 않았다는 점을 인정할 증거가 없는 이상 위 원고들의 개인정보가 사전필터링을 위해 보험회사에 제공되었다고 사실상 추정되므로 미동의 FMC회원 모두를 불법행위로 인한 피해자에 해당한다고 본 것입니다.
반면, 제2심법원은 민법 제750조의 불법행위책임이 성립하기 위해서는 가해행위의 존재, 가해자의 고의/과실 및 책임능력, 위법성, 손해 및 인과관계 등의 요건이 모두 증명되어야 하며, 개인정보보호법 등 특별법상 불법행위책임에 있어서도 고의/과실 등 일부 요건의 증명책임을 전환하거나 면제하는 것을 제외하고는 위 요건이 모두 원고로부터 입증되어야 한다고 보았습니다. 즉, 개인정보보호법 제39조, 정보통신망법 제32조, 표시광고법 제10조는 불법행위 성립을 위한 여러 요건 중 ‘고의/과실’ 요건에 한하여 증명책임을 전환하거나 면제하고 있으므로, 이를 명확히 구분한 입법자의 의사를 고려하여 가해행위의 존재에 관한 증명책임은 여전히 피해를 주장하는 원고에게 있고, 원고들로부터 자신의 개인정보가 사전필터링을 위해 보험회사에 제공되었다는 사실에 관한 입증이 없는 이상, 위 원고들을 불법행위의 피해자로 볼 수 없다고 판단한 것입니다.
그러나 제2심 판결에서 정보주체인 개인이 개인정보처리자인 사업자의 가해행위에 대하여 입증하도록 한 것은 관련 자료 대부분이 사업자에게 있으며, 사업자는 관련 자료를 훨씬 쉽게 취득하고 관리할 수 있는 점 등 사업자와 소비자간 정보의 비대칭성을 고려할 때 소비자에게 매우 불리한 것입니다. 나아가 기타 불법행위 성립 요건에 대하여도 사업자가 입증책임을 부담하도록 하는 것이 개인정보보호법이‘고의/과실’요건의 입증책임 전환규정을 둔 입법취지에도 부합할 것입니다. 결론적으로 개인정보보호법상 손해배상책임 문제를 위 제2심법원의 판시와 같이 엄격하게 본다면 결국 개인정보 유출 피해에 대한 구제가 사실상 불가능해질 것입니다. 이에 학자, 실무가, 입법관계자 등을 모시고 홈플러스 사건을 중심으로 소비자 개인정보 침해에 대한 손해배상제도의 개선방안에 대하여 토론하는 자리를 마련하고자 합니다.
2. 토론회 개요
- 일시 : 2018년 11월 12일(월) 오전 10시
- 장소 : 국회의원회관 제8간담회실
- 주최 : 더불어민주당 국회의원 이학영, 홍익표, 경제정의실천시민연합, 진보네트워크, 참여연대, 한국소비자단체협의회, 국회시민정치포럼
- 사회 : 이성환 변호사 (법무법인 안세)
- 발제1. 개인정보보호법상 소비자 손해배상제도의 문제점 - 김보라미 변호사(법무법인 나눔)
- 발제2. 소비자 개인정보 유출과 손해의 입증책임 - 권대우 교수(한양대 로스쿨)
- 지정토론 : 강신하 변호사 (법무법인 상록), 성춘일 변호사(참여연대 민생희망본부 실행위원), 홍대식 교수(개인정보보호위원회 제1법령평가 전문위원장), 최정민 국회 입법조사관(입법조사처 안전행정팀)
토론회 자료집 [다운로드]
1. 취지 및 내용
홈플러스 개인정보 유출사건과 관련하여 안산소협이 제기한 소에서 제1심법원은 미동의 FMC회원 중 ‘FMC 회원, 사전필터링 인정’란에 표시된 원고들을 제외한 나머지 원고들의 경우, 피고가 위 원고들로부터 개인정보 제3자 제공에 관한 동의를 받았거나, 위 원고들의 개인정보를 사전필터링을 위해 보험회사에 제공하지 않았다는 점에 관하여 피고에게 입증책임이 있다고 보았습니다. 즉, 위 원고들의 개인정보가 사전필터링을 위해 보험회사에 제공되지 않았다는 점을 인정할 증거가 없는 이상 위 원고들의 개인정보가 사전필터링을 위해 보험회사에 제공되었다고 사실상 추정되므로 미동의 FMC회원 모두를 불법행위로 인한 피해자에 해당한다고 본 것입니다.
반면, 제2심법원은 민법 제750조의 불법행위책임이 성립하기 위해서는 가해행위의 존재, 가해자의 고의/과실 및 책임능력, 위법성, 손해 및 인과관계 등의 요건이 모두 증명되어야 하며, 개인정보보호법 등 특별법상 불법행위책임에 있어서도 고의/과실 등 일부 요건의 증명책임을 전환하거나 면제하는 것을 제외하고는 위 요건이 모두 원고로부터 입증되어야 한다고 보았습니다. 즉, 개인정보보호법 제39조, 정보통신망법 제32조, 표시광고법 제10조는 불법행위 성립을 위한 여러 요건 중 ‘고의/과실’ 요건에 한하여 증명책임을 전환하거나 면제하고 있으므로, 이를 명확히 구분한 입법자의 의사를 고려하여 가해행위의 존재에 관한 증명책임은 여전히 피해를 주장하는 원고에게 있고, 원고들로부터 자신의 개인정보가 사전필터링을 위해 보험회사에 제공되었다는 사실에 관한 입증이 없는 이상, 위 원고들을 불법행위의 피해자로 볼 수 없다고 판단한 것입니다.
그러나 제2심 판결에서 정보주체인 개인이 개인정보처리자인 사업자의 가해행위에 대하여 입증하도록 한 것은 관련 자료 대부분이 사업자에게 있으며, 사업자는 관련 자료를 훨씬 쉽게 취득하고 관리할 수 있는 점 등 사업자와 소비자간 정보의 비대칭성을 고려할 때 소비자에게 매우 불리한 것입니다. 나아가 기타 불법행위 성립 요건에 대하여도 사업자가 입증책임을 부담하도록 하는 것이 개인정보보호법이‘고의/과실’요건의 입증책임 전환규정을 둔 입법취지에도 부합할 것입니다. 결론적으로 개인정보보호법상 손해배상책임 문제를 위 제2심법원의 판시와 같이 엄격하게 본다면 결국 개인정보 유출 피해에 대한 구제가 사실상 불가능해질 것입니다. 이에 학자, 실무가, 입법관계자 등을 모시고 홈플러스 사건을 중심으로 소비자 개인정보 침해에 대한 손해배상제도의 개선방안에 대하여 토론하는 자리를 마련하고자 합니다.
2. 토론회 개요
- 일시 : 2018년 11월 12일(월) 오전 10시
- 장소 : 국회의원회관 제8간담회실
- 주최 : 더불어민주당 국회의원 이학영, 홍익표, 경제정의실천시민연합, 진보네트워크, 참여연대, 한국소비자단체협의회, 국회시민정치포럼
- 사회 : 이성환 변호사 (법무법인 안세)
- 발제1. 개인정보보호법상 소비자 손해배상제도의 문제점 - 김보라미 변호사(법무법인 나눔)
- 발제2. 소비자 개인정보 유출과 손해의 입증책임 - 권대우 교수(한양대 로스쿨)
- 지정토론 : 강신하 변호사 (법무법인 상록), 성춘일 변호사(참여연대 민생희망본부 실행위원), 홍대식 교수(개인정보보호위원회 제1법령평가 전문위원장), 최정민 국회 입법조사관(입법조사처 안전행정팀)
과거 새누리당이 구청이 보유한 주민명부를 빼내는 등 불법적으로 유권자정보를 수집해 선거운동에 활용하는 일이 비일비재했다는 관련자 폭로가 나왔다. 2011년 서대문갑 지역 유권자 수만 명의 이름, 주소, 주민번호 앞자리, 전화번호, 휴대전화번호가 엑셀파일로 공유된 증거도 제시되었다. 백군기 현 용인시장도 지자체 공무원으로부터 관할지역 주민들의 개인정보를 넘겨받아 선거에 활용했다는 의혹을 받고 있다. 국민의 개인정보를 안전하게 보호, 관리해야 할 공무원들이 불법행위를 저지른 것이다. 이것이 현실이다.
이는 우리 개인정보 보호시스템이 한 개인의 일탈을 막아내지 못하고 있다는 것을 의미한다. 그래서 범죄행위를 저지른 공무원 개인의 문제로 보면 해결책을 마련할 수 없다. 구조적인 문제가 있다. 개인정보 보호수준이 세계최강이라고 주장하기 전에 우리 개인정보 보호시스템의 구조적 취약점을 진단하고 이를 개선해야 했는데 이를 외면하고 미룬 결과다. 그런데도 그동안 정부, 국회, 산업계가 개인정보 보호시스템 개선이 아니라 개인정보 보호 수준을 완화할 궁리만 해 왔으니 개인정보보호가 제대로 될 리 없었다.
국가나 공공기관은 건강정보, 전과기록, 가족관계 등 각종 민감한 정보들도 국가의 행정목적 수행을 위해 개별적 동의 없이도 장기간에 걸쳐 축적하고 있다. 개인의 내밀한 사생활이 그대로 드러날 수 있는 정보들이 유출되면 개인의 프라이버시는 한순간에 무너질 수밖에 없다. 그래서 공공영역에서 수집, 관리되는 개인정보에 대한 국민적 이해관계는 매우 강력하다 . 그런데 이번에 드러난 유권자 정보 불법유출사례는 지방자치단체의 개인정보 관리실태가 얼마나 부실한지 여실히 드러낸다. 권력에 대한 의지 앞에서 정보주체의 권리 따위는 쉽게 무시되었다.
한국사회에서 개인정보 유출과 무단활용은 하루이틀의 일이 아니다. 약학정보원은 2011년부터 2014년 사이 전국 약국과 병원에서 수집한 국민 4천4백만 명의 진료정보, 처방 내역 등 47억 건을 동의 없이 다국적 기업인 IMS 헬스에 판매했다. 건강보험심사평가원은 2014년부터 2017년 사이 민간보험사와 민간보험연구기관에게 6,420만명 분에 해당하는 개인건강정보를 판매했다. 2016년 정부가 법적근거 없는 비식별조치가이드라인을 만들자마자 기업들은 거센 위법성 논란에도 3억 4천만 건의 개인정보를 동의 없이 과감하게 상호 결합시켰다. 이렇게 반복되는 개인정보 유출과 무단활용은 영리 목적으로 개인정보를 활용하려는 기업들의 강력한 동기가 법적 규제, 기술적 관리적 조치들까지도 쉽게 무력화시킨다는 것을 보여준다.
개인정보의 활용에 있어 가장 중요한 전제조건인 개인정보 보호에 대한 신뢰는 이미 추락할 대로 추락했다. 이런 상황에서 산업활성화를 위해 국가가 공적 목적으로 수십년간 축적해온 개인정보를 사기업에 넘기거나 사기업의 정보와 결합하는 걸 제도화하겠다는 것은 현실을 전혀 모르거나 무시하는 것이다. 이런 데도 데이터 산업을 활성화하겠다는 미명 하에 문재인 정부는 개인정보의 실질적 보호를 위한 정책은 추진하지 않은 채 규제완화만 밀어붙이고 있다. 무모하다고 해야 할 지 무심하다고 해야 할 지 모를 일이다. 바야흐로 빅데이터 시대에 정부가 해야 할 일은 데이터를 좀더 안전하게 활용할 수 있는 환경을 조성하는 것이다. 난맥상을 보이는 개인정보에 관한 규범체계를 정비하고 실질적이고 일원화된 감독시스템을 구축하는 것이 필요하다. 또, 정보주체가 자신의 정보에 대해 실질적으로 동의권을 행사할 수 있도록 동의제도를 개선하고, 개인정보 처리여부와 과정에 대해 정보주체가 열람, 처리중지 요구 등의 통제장치를 제대로 마련하는 등 정보주체가 자기 정보를 실질적으로 통제하고 관리할 수 있는 제도를 마련해야 한다. 그런데 보호는 뒷전이고 규제만 풀어주면, 지금도 무법천지나 다름없는 데이터시장에서 합법적인 데이터거래, 유통을 조장하는 것이다. 이것이 빅데이터 산업 활성화라는 이름으로 자행되고 있다.
사전규제를 완화하는 대신 사후규제나 개인정보처리자의 책임성을 강화하겠다고도 주장하지만 이는 현실성이 없다. 개인정보를 탐내는 자들이 권력을 이용해 불법행위를 저지르고도 7년이 지나서야 폭로된 것에서도 알 수 있듯이 개인정보의 무단수집, 활용은 은밀하게 이루어져 정보주체나 감독기구로서는 이를 알아채거나 적발하기 쉽지 않다. 강력한 사후규제로 늘 얘기되는 집단소송이나 징벌적 배상은 규제실패나 규제완화를 무마하기 위한 정치적 수사로 사용되고 있다. 규제를 풀기 위해서는 적절한 보호장치를 마련하는 것이 우선되어야 한다.
대통령은 23일 빅데이터 활성화를 위한 개인정보 규제완화 관련 내용을 발표한다고 한다. 대통령은 이미 개인정보규제를 우회하기 위한 각종 규제특례법도 조속히 처리할 것을 주문했고, 여야는 8월 임시국회에서 이를 처리하겠다고 한다. 시민사회의 우려와 분노는 커질 대로 커지고 있다. 개인정보, 특히 디지털화된 개인정보가 데이터시장에 풀리는 순간 이를 돌이킬 방법은 없다. 대책을 마련해야 한다. 이런 식으로 규제를 풀어준다고 해서 산업활성화가 되는 것이 아니다. 지금이라도 늦지 않았다. 문재인 정부가 대기업의 개인정보 장사를 위해 국민들의 개인정보 보호를 희생시킨 정권으로 기록되지 않길 바란다. 시민사회의 우려와 의견을 진지하게 받아들여 개인정보의 보호와 활용을 위한 정책 전반을 재검토할 것을 요구한다. 끝.
위법한 보건의료빅데이터시범사업 중단해야 한다건강보험공단, 건강보험심사평가원 등 4개 공공기관이 수집, 보유하고 있는 국민의 보건의료정보를 법적 근거 없이 결합하여 민간에 제공하는 “보건의료빅데이터 시범사업”이 현재 진행 중이다. 참여연대 공익법센터(소장 양홍석 변호사)는 국민의 민감정보를 법적 근거나 정보주체 동의도 없이 결합하여 민간에 제공하는 불법적인 보건의료빅데이터 시범사업을 당장 중단할 것을 요구한다.
이 사업은 지난 박근혜 정부 당시 법적 근거 없는 ‘비식별조치 가이드라인’에 기대어 빅데이터를 활용한 의료산업을 활성화하겠다는 명분으로 시작되었다. 초기 단계부터 많은 보건의료단체와 시민사회단체들은 법적 근거 미비, 공론화 부재, 민감정보 유출과 재식별 위험성, 건강정보의 영리적 활용과 불평등 심화 우려 등을 주장하며 강력히 반대해왔다. 이에 보건복지부는 데이터 활용 목적과 범위를 조정하거나 시민사회를 일부 참여시키는 거버넌스 구축 등을 추진하고 있지만, 법적 근거가 없다는 가장 근본적인 문제점은 무시한 채 계속 사업을 강행하고 있다.
시범사업에서 연계하려는 정보들은 대부분 ‘건강에 관한 정보’로서 개인정보보호법 제23조가 ‘민감정보’로 규정하여 그 처리를 매우 엄격히 제한하고 있는 정보이다. 특히 전국민 강제가입 단일의료보험체계와 주민등록번호제도에 의해 한국 정부는 엄청난 양과 밀도, 연계성을 지닌 국민보건의료정보를 집적하고 있다. 전세계 어느 나라보다 많은 개인정보가 수집, 축적되는 현실을 고려하면 개인정보 활용에 있어서도 더욱 엄격한 요건과 절차를 마련하지 않으면 안된다. 특히 보건의료정보의 민감성, 유출시 피해, 악용가능성에 대한 문제제기가 있는 만큼 법제 정비가 우선되어야 한다.
개인정보보호법 제23조에 따르면 이러한 민감정보를 처리할 수 있는 경우는 정보주체의 별도 동의가 있거나 ‘법령에서 민감정보의 처리를 요구하거나 허용하는 경우’로 엄격히 제한된다. 그런데 보건의료 빅데이터 시범사업은 수십억 건의 민감정보를 동의 없이 결합하고 제3자에 제공하는 것을 내용으로 하고 있음에도, 이를 허용하는 법령상 근거가 전혀 없다. 보건복지부는 최초에는 박근혜 정부에서 만들어진 ‘비식별조치 가이드라인’에 기대어 동의 없이 민감정보를 활용하려 했다. 그러다 비식별조치 가이드라인의 불법성 지적이 계속되고 사실상 사회적으로 해당 가이드라인이 유효성을 상실하자, 이제 ‘보건의료기술진흥법’ 제26조를 정당화 근거로 내세우고 있다. 보건의료기술진흥법 제26조는 한국보건의료연구원이 연구를 위해 공공기관으로부터 자료제출을 요청해 자료를 통합할 수 있다는 내용을 담고 있다. 그러나 이 조항만으로는 보건의료빅데이터시범사업을 정당화할 수 없다.
개인정보보호법 제23조에서 말하는 “법령에서 민감정보의 처리를 요구하거나 허용하는 경우”란 민감정보의 처리가 필요한 사무와 민감정보의 종류를 명시적으로 열거하고 민감정보의 처리를 요구하거나 허용하는 경우로 제한되는 것이다(법제처의 유권해석이나 행정안전부의 개인정보보호법 해설서도 이를 명확히 밝히고 있다). 그런데 보건의료기술진흥법 제26조는 민감정보의 처리가 필요한 사무를 그저 “연구를 위하여”라고 광범위하게 규정하고 있고, 민감정보의 종류도 전혀 열거하지 않은 채 그저 모든 국가기관과 대통령령으로 정하는 공공기관이 보유한 “자료”라고만 추상적으로 규정하고 있다. ‘연구’를 위한 ‘자료’ 통합이 가능하다는 추상적 규정 하나로 수십 종류, 수십억 건의 민감정보 처리를 정당화하는 것은 불가능하다. 하위법규에도 이 자료통합과 관련된 범위나 절차, 방법, 안전조치 등을 구체화하는 내용이 전혀 존재하지 않는다. 이 조항은 애초에 민감정보의 처리를 정당화하기에 불충분하다.
또한 해당 조항은 연구의 주체, 자료제출 요청이나 자료통합의 주체로 ‘한국보건의료연구원’을 명시하고 있기 때문에 한국보건의료연구원이 주체가 된 연구가 아니라면 당연히 데이터 결합이나 이용이 불가능함이 명확하다. 그런데 보건복지부가 추진하는 보건의료빅데이터 플랫폼은 그 이용자를 중앙행정기관, 지방자치단체, 공공기관, 지방공공기관, 국내 의료기관, 학계, 연구기관으로 상정하고 있다. 즉 플랫폼을 통해 연계된 보건의료정보를 제공받아 연구에 활용하는 주체는 한국보건의료연구원이 아닌 민간연구기관을 포함한 다양한 제3자다. 현재 시범사업의 하나로 추진 중인 ‘보건의료 빅데이터 연계·활용 강화연구’ R&D 과제도 한국보건의료연구원이 아닌 다양한 국내 의료기관과 대학 소속 연구진들이 수행하는 것으로, 공모에 선정된 이들이 데이터를 제공받아 활용할 예정이다. 연구과제를 발주하면서 “연구과제 수행시 ‘한국보건의료연구원’과 협력체계를 구축하여 관리할 예정”이라는 문구를 삽입하였지만, 그런 문구를 넣는다고 그 연구가 한국보건의료연구원이 수행하는 연구가 되는 것도 아니다. 이는 어떻게든 보건의료기술진흥법 제26조를 정당화의 근거로 만들어보고자 하는 보건복지부의 꼼수에 불과하다.
이처럼 보건의료빅데이터 시범사업은 그 법적 근거를 전혀 갖추지 못한 채로 추진되고 있다. 보건복지부가 현재 거버넌스 체계를 구축하거나, 시민사회 등 각계의 다양한 목소리를 정책수립과 집행에 반영하려는 시도를 하고 있지만, 중요한 것은 그러한 거버넌스에 시민사회가 참여한다고 하여, 명백한 불법성이 치유될 수는 없다는 점이다. 보건복지부는 거버넌스를 불법적인 사업을 합리화하는 도구로 이용해서는 안된다. 법적 근거도 정보주체의 동의도 없이 민감정보를 대량으로 연계해 민간이 이용하도록 하는 것은 불법이라는 점은 달라지지 않는다.
무엇보다 우리는 이 사업이 보건의료 빅데이터의 산업적, 상업적 활용 요구를 배경으로 추진되고 있다는 것에 주목한다. 건강보험심사평가원은 영리 목적에 활용될 것을 알면서도 수년간 민간보험회사에 6천만 건이 넘는 국민의 건강정보 데이터를 비식별화를 거쳤다며 제공했고, 약학정보원은 미국의 빅데이터 업체인 IMS헬스에 50억 건에 달하는 처방전 정보를 판매했다가 재판을 받고 있다. 이처럼 보건의료정보는 영리적, 산업적 활용을 위해 그 개방의 요구가 거세고, 위법 논란을 감수하면서까지 활용이 추진되고 있다. 보건의료 빅데이터를 공공적 연구에 활용할 때 일정한 사회적 가치가 발생할 가능성이 있겠지만, 수천만 국민의 보건의료정보에 대한 통제권을 후퇴시키면서까지 데이터 연계 및 제공에 나서야만 하는 절박한 상황이라고 보기는 어려울 것이다.
정부는 빅데이터가 가져올 것이라는 장밋빛 전망에 기대어 보호해야 할 전국민의 민감한 의료정보를 쉽게 내어주는 것은 아닌지 점검해야 한다. 보건의료 빅데이터 연구 문제는 앞으로 더 많은 사회적 공론화의 과정을 거쳐야 하고 법적 보호체계도 정비되어야 한다. 정부는 불법적인 정책을 추진할 것이 아니라, 적어도 법적 근거가 제대로 마련되기 전까지 현재의 보건의료빅데이터 시범사업을 중단해야 한다. 보건복지부는 법적 근거 마련을 위한 연구용역을 이번 7월에 발주하고 입법개선을 추진하겠다고 하는데, 그것이 완비되기 전에는 아무리 시범사업이라 해도 데이터를 연계하거나 제공해서는 안 된다.
<참고> 보건의료기술진흥법 제26조
|
보건의료기술진흥법 제26조(자료의 제공) ① 한국보건의료연구원은 연구에 필요한 정보 수집을 위하여 국가기관 및 대통령령으로 정하는 공공기관에 대하여 자료를 제출하도록 요청할 수 있다. 이 경우 그 요청을 받은 기관은 특별한 사유가 없으면 그에 따라야 한다. ② 한국보건의료연구원은 제1항에 따라 자료를 요청할 경우 「개인정보 보호법」 제23조에 따른 민감정보 및 같은 법 제24조에 따른 고유식별정보 등의 개인정보가 포함된 자료의 제출을 요청할 수 있다. 이 경우 해당 국가기관 및 공공기관은 개인식별이 가능한 부분을 삭제한 후 제출하여야 한다. ③ 제2항에도 불구하고 한국보건의료연구원은 연구를 위하여 두 개 이상의 국가기관 및 공공기관이 보유한 자료를 통합하여 분석할 필요가 있는 경우에는 국가기관 및 공공기관으로부터 개인식별이 가능한 부분을 포함한 자료를 제출받아 자료의 통합작업을 수행할 수 있다. 이 경우 자료를 통합한 후에는 반드시 개인식별이 가능한 부분을 삭제하여야 한다. ④제1항부터 제3항까지의 규정에 따라 제공된 자료는 연구목적 외에는 사용할 수 없다. |
보건의료 영역에서 빅데이터는 공중보건, 공익적 연구, 임상 치료 영역에서 공공적 가치를 실현하는데 도움이 될 가능성이 있다. 하지만 정부 차원에서 제시되고 있는 그 가능성은 공공적 가치보다는 산업적 활용을 전제로 예시되고 있으며, 그로 인한 성과가 공공적 가치로 전환될 수 있다는 우선순위가 뒤바뀐 방식으로 제기되고 있다. 산업 발전 영역조차도 데이터 및 기술 자체의 문제나 여러 가지 사회적 장벽으로 인해 빅데이터 활용의 효과, 효용 등에 대한 평가는 더 많은 논의와 검증이 필요한 것이 현실이다.
반면 효과, 효용 등이 불확실한 것에 견줘 보건의료 빅데이터 활용으로 인한 개인 정보인권 침해 가능성과 윤리적·사회적 문제, 그리고 그로 인한 건강불평등의 가능성은 보다 현실적이다. 여러 우려 목소리를 수렴해 최근 복지부가 ‘시범’ 사업으로 제한하고, 공공 기관이 수집한 정보로만 제한하겠다고 내놓은 수정된 ‘보건의료 빅데이터 플랫폼 구축’ 사업 역시 개인정보 주체의 별도 동의를 받지 않고, 현재 법적 근거도 마련되어 있지 않다는 점에서 개인정보보호법 위반의 소지가 있다.
우리는 원칙적으로 학술 연구 및 공공정책의 개발을 위해 개인 건강정보가 활용될 수 있다고 생각한다. 그러나 이러한 활용은 개인의 정보인권이 침해되지 않을 수 있는 적절한 안전장치의 구축이 전제되어야 한다. 개인정보의 보호와 안전한 활용을 보장할 수 있도록 관련 법제와 데이터 거버넌스 체제가 정비될 필요가 있다. 보건의료 빅데이터 플랫폼은 이러한 거버넌스 체제 내에서 운영되어야 한다. 시범사업은 이러한 데이터 거버넌스 체제를 구축하고, 공익적인 효과 및 위험성에 대한 분명한 평가를 통해 거버넌스 체제를 개선하는 과정이 되어야 한다.
이에 우리는 보건의료 빅데이터 플랫폼과 관련한 법제도 개선 및 거버넌스 구축 방향에 대하여 다음과 같이 의견을 밝힌다.
개인정보 관련 법제가 제대로 정비되지 않았을 경우, 정보주체는 개인정보의 활용 과정에서 자신의 개인정보가 보호될 것이라는 신뢰를 갖기 힘들다. 특히, 개인 건강정보는 가장 민감한 정보의 하나로서 유출되거나 오용될 경우 개인에게 치명적인 영향을 미칠 수 있다. 그럼에도 불구하고, 현행 보건의료 법제는 개인 건강정보에 대한 적절한 보호를 제공하고 있지 않다. 예컨대, 국민건강보험공단, 심평원 등은 수십 종의 개인 건강정보 데이터베이스를 보유하고 있고 수십억 명의 개인정보를 준영구적으로 보유하고 있지만, 해당 개인정보 수집의 법적 근거, 수집된 개인정보 범위의 적절성, 보유기간 등에 대한 법적 규율은 미비한 상황이다. 보건의료 빅데이터 플랫폼 구축 이전에 개인정보 보호원칙(목적적합성, 최소수집 등)을 준수하는 방향으로 보건의료 관련 법제가 정비되어야 한다.
연구 목적으로 보건의료 빅데이터를 활용하기 위해서는 일반법인 개인정보보호법 역시 정비가 필요하다. 제18조 2항 4호에서 통계작성 및 학술연구 등의 목적을 위해 개인정보의 목적 외 이용을 허용하고 있지만, 해당 조항의 해석에 있어 많은 논란이 있으며 학술연구 목적으로 활용할 경우의 안전조치 등에 대한 구체적인 규정이 부재하기 때문이다. 공익 목적의 아카이브, 학술연구 및 통계 목적으로 개인정보의 활용을 제한적으로 허용하더라도 적절한 안전조치를 취해야 함을 명확하게 규정할 필요가 있다.
이와 더불어 개인정보보호위원회의 독립성 및 권한을 강화하여, 개인정보보호위원회가 감독기구로서 제 역할을 할 수 있도록 해야 한다. 보건복지부나 개인정보 주무부처인 행정안전부는 산업 진흥의 역할도 수행하거나 독립성을 결여하고 있기 때문에 감독기구로서 제 역할을 하리라 기대하기 힘들다. 합당한 권한을 가진 독립적 감독기구가 존재할 때, 개인정보 보호에 대한 정보주체의 신뢰가 높아질 수 있을 것이다.
보건의료 빅데이터 플랫폼 역시 명확한 법적 근거 하에 추진되어야 한다. 플랫폼 구축을 위한 기술 개발, 거버넌스 체제의 구축, 사회적 공론화 과정, 시범적 데이터의 제공 및 평가 등 시범사업의 추진은 법제 정비와 동시에 진행할 수 있겠지만, 본격적인 보건의료 빅데이터 플랫폼의 운영은 관련 법제가 정비된 이후에 시작되어야 한다. 그렇지 않으면 개인정보의 불법적 활용이라는 논란을 야기할 수 있다. (관련하여 개인정보 비식별조치 가이드라인에 따라 개인정보를 연계 처리한 업체 및 공공기관이 고발된 바 있다.)
보건의료 빅데이터의 연구 목적 활용을 위해서는 개인정보보호법 상의 일반적 규정 외에도 보건의료 데이터 거버넌스를 위한 별도의 규율이 필요하다. 아래에서 보다 자세히 설명하겠지만, 데이터의 보호 및 활용의 원칙, 연구 제안서의 심사 등을 위한 거버넌스 기구나 절차가 법적으로 규정될 필요가 있다.
이러한 법제 정비 과정에서 숙의 민주주의적 절차, 공청회, 토론회, 다양한 층위의 사회적 대화 등 관련 정보를 제공한 상태에서 숙고를 거쳐 의견을 개진할 수 있는 다양한 방법을 동원하여 보건의료 빅데이터 활용 여부 및 조건에 대한 다수 국민의 의사를 충분히 확인하는 과정을 먼저 거쳐야 한다.
관련 법제와 더불어 개인정보의 보호 및 안전한 활용을 위한 보건의료 데이터 거버넌스 체제가 구축될 필요가 있다. 이와 같은 거버넌스 체제는 관련 법제 및 세부 지침에 반영되어야 한다.
연구를 목적으로 개인 건강정보의 수집 목적 외 활용을 허용하더라도, 해당 연구의 공익적 가치와 프라이버시 침해 위험성에 대한 엄격한 평가가 수반되어야 한다. 개인정보보호법에서 일정한 안전조치를 전제로 학술 연구 및 통계 목적으로 가명(혹은 익명)화된 개인 건강정보를 제공하더라도, 개별 사례에서 어떠한 연구가 이에 해당하는지 법에서 일률적으로 규정하기는 힘들다.
따라서 특정한 연구 프로젝트를 심의할 수 있는 전문적이고 독립적인 연구평가위원회가 구성될 필요가 있다. 연구평가위원회는 해당 연구의 학술적 가치, 해당 연구가 개인정보에 미치는 영향, 연구기관 및 연구자의 신뢰성, 연구 제안서의 완성도 등의 기준에 입각하여 허용 여부를 엄격하게 평가해야 한다. 이러한 연구평가위원회에는 시민사회가 추천하는 위원을 반드시 포함해야 한다. 해당 연구가 공익에 기여할 수 있도록 하기 위해 연구 결과물은 공개되어야 한다.
연구평가위원회는 단지 데이터 제공의 허용 여부만을 평가하는 것이 아니라, 데이터 제공의 필요성 및 그 범위도 평가하고 제안할 수 있어야 한다. 학술 목적으로 개인정보 제공할 때에도 가능하다면 정보주체의 동의에 기반하는 것이 원칙이다. 다만, 동의를 얻는 것이 현실적으로 불가능하거나 지나치게 비용이 많이 들거나 기술적으로 어려운 경우 정보주체의 동의없이 제공될 수 있다. 다만, 이 경우에도 가명화 조치를 포함하여 개인정보 보호를 위한 안전조치를 해야 한다. 또한, 익명화된 형태로도 연구가 가능하다면 익명처리하여 활용해야 한다. 즉, 연구 목적에 필요한 최소한의 개인정보만이 제공되어야 한다.
책임성 있는 연구기관 및 연구자에게만 데이터가 제공될 수 있도록, 연구자들은 개인정보 및 보안 요구조건에 대한 교육·훈련을 받아야 하며, 정부는 이를 뒷받침할 체제를 마련해야 한다. 이러한 교육·훈련은 보건의료 빅데이터를 관리하는 공공기관의 직원에게도 적용되어야 한다.
개인정보의 침해 시 합당한 책임을 질 수 있도록 연구자와 계약이나 이용약관을 체결해야 한다. 또한, “이해관계 상충(Conflict of Interest)” 여부를 확인하기 위해 책임 연구원 포함 모든 공동 연구원에게 “Disclosure statement”를 제출하도록 의무화해야 한다.
연구를 허가받더라도 데이터셋 자체를 다운로드 받거나 파일로 제공받아 사용할 수 있도록 해서는 안 된다. 데이터 보안을 위한 설비가 구축된 안전시설(“safe havens”)에서 데이터에 접근해야 하며, 이용 기록을 모니터링함으로써 데이터 유출 및 목적 외 사용의 가능성을 최소화해야 한다. 데이터 보유기관, 안전시설 등에서의 데이터 보관 및 전송 과정의 보안을 위한 기술적, 물리적, 관리적 보안조치가 취해져야 한다. 이러한 안전시설은 데이터 보안만이 아니라, 데이터 분석도구의 제공이나 컨설팅 등 연구 지원의 역할도 할 수 있을 것이다.
연구자가 연구 결과물을 안전시설에서 갖고 나가기 이전에 연구 결과물이 의도하지 않게 개인정보를 포함하거나 노출할 위험성에 대한 검토가 이루어져야 한다.
보건의료 빅데이터 플랫폼은 통합 데이터를 보유하지 않으며, 단지 각 데이터 보유기관이 보유하고 있는 데이터에 대한 접근 및 연계를 지원하는 역할을 해야 한다.
데이터 연계는 “신뢰할 수 있는 제3자(Trusted Thired Party, TTP) 모델”과 같이 데이터 보유기관, 연계기관, 제공기관, 연구자 등이 개인정보에 대한 접근을 최소화할 수 있는 방식으로 이루어져야 한다.
데이터 연계를 위한 연계키로서 비록 암호화된 형태더라도 주민등록번호를 이용해서는 안된다. 이미 현행 법제는 주민등록번호를 법령에 근거가 있는 경우에만 처리할 수 있도록 하고 있다.(개인정보보호법 제24조의2) 궁극적으로 주민등록번호는 번호 체계도 변경되어야 하고 수집 및 처리의 범위도 제한되어야 하는 바, 보건의료 빅데이터 처리를 위해 주민등록번호에 의존해서는 안 된다.
참고로, 유엔 <통계 및 관련 연구 목적을 위해 수행되는 데이터 통합의 기밀성 관련 원칙과 가이드라인>(여기서 통합은 연계와 유사한 의미이다)에서는 명확한 법적 보호가 존재하지 않을 경우, 국가통계기구는 자연인 및 법인과 관련된 데이터 통합을 하지 말 것, 합리적이고 실행 가능하다면, 데이터 제공자의 동의를 얻을 것, 목적을 위해 필요한 데이터만이 승인된 데이터 통합 작업을 위한 데이터셋에 포함되어야 함 등을 데이터 연계와 관련된 원칙들을 제안하고 있다.
연구 목적의 제공시 정보주체의 동의권이나 열람권 등이 제한될 수 있으나, 자신의 개인정보가 애초 수집 목적 외로 사용되는 것을 원하지 않는 사람의 경우 애초에 거부권(Opt-out)을 행사할 수 있도록 보장할 필요가 있다. 예를 들어, 해당 기관은 보유 정보가 연구 목적으로 활용될 수 있음을 홈페이지 등을 통해 고지하고, 정보주체의 요청이 있을 경우 해당 개인은 연구 목적 제공에서 제외할 수 있을 것이다.
보건의료 빅데이터 사업의 정책, 원칙 등을 결정할 거버넌스 기구가 필요하다. (이는 연구평가위원회와 별개로 구성될 수도 있고, 통합될 수도 있다.) 이 거버넌스 기구는 시민사회, 노동단체를 포함하여 다양한 이해관계자 주체로 구성될 수 있다.
거버넌스 기구는 보건의료 빅데이터 플랫폼 사업에 대해 개인정보 영향평가를 수행해야 하며, 정책 및 운영원칙의 수립 과정에서 개인정보보호위원회와 수시로 협의할 필요가 있다.
투명성과 시민참여는 사회적 신뢰 구축을 위한 전제조건이다.
관련 법제의 정비에서부터 보건의료 빅데이터 시범사업의 목적, 범위, 내용, 방법, 절차, 거버넌스 체제 등 전반에 걸쳐 정보주체인 시민과 환자, 시민사회 및 노동단체의 참여가 보장되어야 한다. 관련 정책, 지침, 가이드라인은 투명하게 공개되고 이에 따라 운영함으로써 정부의 자의적인 판단과 개입을 최소화할 수 있어야 한다.
연구 제안서에 대한 심의, 채택, 결과물 등 보건의료 빅데이터를 활용한 연구의 전 과정이 투명하게 공개되어 항상적으로 모니터링되는 구조를 만들어야 한다. 그래야 보건의료 빅데이터 플랫폼의 실효성 및 개선점을 면밀하게 평가할 수 있다.
시범사업은 법적 근거가 없이 추진되는 것인만큼, 위험성이 적고 국민적 동의를 얻을 수 있는 부분부터 가능한 신중하게 추진되어야 하며, 이에 대한 평가를 토대로 본 사업의 추진 여부 혹은 미비점 보완을 진행해야 한다.
시범사업을 통해 제공되는 데이터는 다양한 목적으로 정부 혹은 공공기관이 기왕에 수집, 보관하고 있는 공공 보건의료 데이터셋에 한정해야 한다. 이 데이터셋 중에서도 개인이 드러날 수밖에 없는 유전정보가 포함되어 있는 데이터셋은 제외한다. 의료기관에서 자체적으로 수집, 보관하고 있는 다양한 개인 건강정보의 활용, 모바일 기기나 웨어러블 기기 등을 통해 수집·보관되는 다양한 개인 건강정보의 활용, 인터넷·SNS 등을 통해 수집 가능한 다양한 개인 건강정보 등의 활용 등은 보건의료 빅데이터 시범사업의 대상이 되어서는 안 된다.
예를 들어, 의료기관에서 전자의무기록뿐 아니라 다양한 의료기기 등을 통해 수집한 건강정보를 다른 빅데이터셋과 연계하여 연구를 수행하려 하는 경우, 모바일 기기·웨어러블 기기 등을 통해 수집된 건강정보를 다른 빅데이터셋과 연계하려는 경우, SNS 등을 통해 수집된 개인 건강정보를 다른 빅데이터셋과 연계할 경우 등 민간 영역의 데이터셋의 활용은 보건의료 빅데이터 시범사업에서 제외한다.
시범사업에서는 공중보건과 관련된 사회정책적 목표를 달성하기 위한 연구로 한정되어야 한다. 여기서 ‘공중보건’이라 함은 국민 다수의 건강과 관련된 것으로서, 건강 수준(유병률, 장애율 등), 건강 결정 요인, 보건의료 요구, 보건의료 자원 할당, 보편적 의료 보장의 제공, 보건의료 재정, 사망원인 등을 말한다. 공중보건과 관련된 연구라 할지라도 사회정책적 목표가 불확실한 연구나, 보건의료 기술 개발을 위한 연구, 연구의 결과가 특정 사업주, 보험회사, 제약회사 등 제3자의 이익을 위한 것이 명백한 연구, 시장분석이나 마케팅을 목적으로 한 연구는 제외한다.
2018년 3월 28일
문의: 오픈넷 사무국 02-581-1643, [email protected]
□ 개요
(제목) 토론회 「정보기본권과 개헌」 개최
(일시) 3월 22일(목) 오전10:00
(장소) 국회의원회관 제4간담회의실
(주최)
- 시민사회 : 민주사회를위한변호사모임, 사단법인 오픈넷, 정보인권연구소, 진보네트워크센터, 참여연대
- 국회 : 더불어민주당 이종걸 의원(경기 안양시만안구), 박주민 의원(서울 은평구갑), 민주평화당 조배숙 의원(전북 익산시을), 천정배 의원(광주 서구을), 정의당 이정미 의원(비례대표)
국민적 관심이 일고 있는 개헌과 관련하여 국회의원과 시민사회단체가 공동으로 주최하는 「정보기본권과 개헌」 토론회 가 오는 22일 국회에서 개최됩니다.
이번 토론회는 국회 더불어민주당 이종걸 의원(경기 안양시만안구), 박주민 의원(서울 은평구갑), 민주평화당 조배숙 의원(전북 익산시을), 천정배 의원(광주 서구을), 정의당 이정미 의원(비례대표) 의원과 민주사회를위한변호사모임, 사단법인 오픈넷, 정보인권연구소, 진보네트워크센터, 참여연대 등 시민사회단체가 공동으로 주최합니다.
최근 국회와 정부, 그리고 국가인권위원회에서 논의되었거나 논의중인 개헌안에는 “정보기본권 신설”이 검토되어 왔습니다. 디지털시대 국민의 정보인권 침해와 관련한 여러 논란을 겪어 온 우리 사회에는 정보기본권 신설이 필요하다는 공감대가 어느정도 형성되어 있습니다. 구체적인 개헌안이 논의되는 이 즈음, 국민의 정보기본권을 실질적으로 향상시키기 위하여 어떠한 권리가 어떻게 보장될 필요가 있는지에 대하여 보다 심도 깊은 토론이 필요합니다.
이호중 교수(정보인권연구소 이사장, 서강대학교 법학전문대학원)의 사회로 진행될 토론회는 정보기본권의 분야별로 △알권리 및 정보접근권 분야에서는 한상희 교수(참여연대 사법감시센터 실행위원, 건국대학교 법학전문대학원), △개인정보 자기결정권 분야에서는 조지훈 변호사(민변 디지털정보위원회 위원장), △정보문화향유권 및 과학문화권 분야는 남희섭 변리사(사단법인 오픈넷 이사), △정보격차해소 및 정보독점 분야는 이은우 변호사(정보인권연구소 이사) △인터넷 표현의자유 분야는 오병일 정책활동가(진보네트워크센터)가 각각 발표할 예정입니다.
□ 프로그램
사회 : 이호중 (정보인권연구소 이사장, 서강대학교 법학전문대학원 교수)
주최의원 인사말
주제별 발표
- [알권리 및 정보접근권 분야] 한상희 (참여연대 사법감시센터 실행위원, 건국대학교 법학전문대학원 교수)
- [개인정보 자기결정권 분야] 조지훈 (민변 디지털정보위원회 위원장, 변호사)
- [정보문화향유권 및 과학문화권 분야] 남희섭 (사단법인 오픈넷 이사, 변리사)
- [정보격차해소 및 정보독점 분야] 이은우 (정보인권연구소 이사, 변호사)
- [인터넷 표현의자유 분야] 오병일 (진보네트워크센터 정책활동가)
종합토론
문의 : 참여연대 정책기획실 (02-723-0808) / 정보인권연구소 장여경 상임이사 02-701-7687
참여연대, 진보넷 등 6개 시민단체는 지난 2월 20일 법무부에 제3차 국가인권정책기본계획(NAP)의 디지털프라이버시권 분야에 대한 시민사회 의견서를 제출했습니다.
의견서 전문은 아래와 같습니다.
유엔인권최고대표는 국가인권정책기본계획(NAP) 개발에 있어 △ 시민사회 및 국민과 함께 하는 절차와 결과가 중요하고 △ 보편적 인권기준을 수용해야 하며 △ 국제인권 의무사항을 이행하고 △ 인권의 상호의존성 및 불가분성을 보장해야 하며 △ 실천지향적이고 △ 대중적으로 널리 공표되고 △ 모니터링과 평가를 받아야 하며 △ 계획수립과 이행이 지속적이고 △ 구체적인 이행 방법을 책임져야 하며 △ 국제적 차원에서 수립되어야 한다는 원칙을 확인한 바 있습니다(국가인권정책기본계획 안내서, 2002). 특히 유엔은 국가인권정책기본계획 개발 과정에 국가인권기구는 물론 시민사회가 참여하는 것이 중요하다는 점을 강조하고 있습니다.
그러나 지난 10년간 한국 국가인권정책기본계획은 그 절차와 내용 모두에서 국제규범에 부합하지 못했다는 비판적 평가를 받고 있습니다. 문재인 정부는 국민 앞에 약속한 인권 공약은 물론, 국제인권규범을 구체적으로 이행할 수 있는 국가 인권정책을 수립할 것을 요구받고 있습니다.
특히 제3차 국가인권정책기본계획은 빅데이터, 인공지능 등 새로운기술이 빠른 속도로 도입되고 있는 디지털 사회에서 국민들의 정보인권을 실질적으로 증진시킬 수 있는 국가계획이 되어야 할 것입니다. 이에 한국 시민사회는 디지털 프라이버시권 분야에서 국가인권정책기본계획에 대한 의견을 다음과 같이 제시합니다.
국민의 일상생활이 디지털 네트워크 및 모바일 환경에 크게 의존하고 있지만 디지털 프라이버시권이 충분히 보장받고 있다고 보기 어렵습니다. 특히 한국 시민사회는 최근 몇년 간 한국 사회에서 다음과 같은 논란이 크게 불거진 데 대하여 문제의식을 갖고 있습니다.
한국에서 인터넷을 통한 대규모 개인정보 유출이 계속하여 매우 심각한 문제로 불거지고 있으나 개인정보보호체계는 아직 미비합니다.
개인정보 유출 사건의 직접적인 원인은 해킹, 내부자 유출 등 범죄행위로 인한 것이지만, 그 배경에는 정부가 주민등록번호 등 인권침해적인 제도적 관행에 몰인식하고 인터넷 실명제 등의 정책으로 그 문제점을 악화시킨 데 따른 문제가 있습니다. 특히 국민은 출생시 부여받는 주민등록번호를 공공, 보건의료, 금융, 통신 등 일상생활에서 광범위하게 제출할 것을 요구받고 있는데 유출 사고로 정신적, 물질적 침해를 입어도 주민등록번호의 변경조차 쉽지 않습니다. 헌법재판소는 2012년 인터넷실명제와 2015년 주민등록번호 변경불허에 대하여 각각 위헌과 헌법불합치를 결정하였으나 사회 전체적으로 주민등록번호 의존 정책이 크게 변화하지 않았으며, 임의번호 도입 등 후속조치와 국민의 기본권 보장이 아직 미비합니다.
특히 한국의 독립적이고 전문적인 개인정보 감독체계는 국제기준에 비해 매우 미비합니다. 2014년 카드3사에서 1억4백만 건의 개인금융정보가 유출된 후 정부는 「개인정보보호 정상화 대책」을 통해 개인정보보호위원회 기능강화를 약속했으나 부분적인 데 그쳤습니다.
정보수사기관이 발전된 통신감시기술을 이용하여 국민의 통신비밀을 침해하는 데 따른 논란도 계속 커지고 있습니다.
경찰은 2011년 희망버스 행진과 2013년 철도노동조합 파업 당시 많은 인권활동가, 노동조합활동가에 대해 휴대전화 실시간 위치추적을 광범위하게 실시하였으며 이때 초등학생 등 미성년 국민도 활동가의 가족이라는 이유만으로 추적되었습니다. 또 2012년 경찰 및 검찰이 정당 집회 참석자를 확인하기 위하여 참석자 및 기자 들에 대하여 광범위한 기지국수사를 실시한 사실이 드러났습니다. 이 사건들에 대해서는 헌법소원이 제기되어 현재 심사 중입니다.
한국에서 집행되는 대부분의 감청을 비밀정보기관인 국가정보원이 실시하고 있으며(국가통계 중 98% 이상), 그중 일부는 인터넷 회선 전체에 대하여 집행되는 패킷 감청(Deep Packet Inspection)입니다. 그러나 한국에서 국가정보원의 감청에 대해서는 민주적인 통제가 전혀 이루어지고 있지 못하며, 지난 2015년 국가정보원이 이탈리아에서 해킹프로그램(RCS)을 수입·운용해왔다는 사실이 드러났을 때도 법원이나 국회조차 그 사실에 대해 전혀 모르고 있었습니다. 국가정보원의 패킷 감청에 대해서는 2차례에 걸친 헌법소원이 제기되어 현재 심사 중입니다.
지난 2016년 제정된 테러방지법으로 인해 국가정보원의 통신 및 사이버공간 감시에 대한 국민의 우려가 증폭되기도 하였습니다.
모바일 환경이 확산됨에 따라 많은 국민이 휴대전화를 통해 의사소통을 하고 있지만 수사기관에 대한 자료 제공이 과도하고 충분히 통제받고 있지 않습니다. 경찰은 2014년 이후 세월호 참사에 항의하는 국민들의 불법 집회를 수사한다는 이유로 카카오톡 등 모바일 플랫폼 회사는 물론 휴대전화 그 자체에 대해서도 광범위한 압수수색을 집행 하였습니다. 법원의 영장에 따른 집행이라고는 하지만 수사 대상과 같은 단체카톡방에 속했다는 이유만으로 많은 국민들의 개인정보가 수사기관에 제공되었으며 그 사실에 대한 사후 통지도 이루어지지 않았습니다. 2016년에는 국정원, 경찰 등 정보수사기관이 국내 이동통신사에 대하여 법원의 영장도 없이 통신가입자의 이름, 주민등록번호 등 광범위한 통신자료를 제공받아온 관행이 국민적 지탄을 받았습니다. 국가통계에서 통신자료 제공이 연간 1천만 건을 넘어서는 것으로 집계되고 있습니다. 이 사건들에 대해서도 헌법소원이 제기되어 현재 심사 중입니다.
최근 빅데이터 분석 기술이 발전하고 이를 통해 경제적 가치를 창출하려는 욕구가 증가하면서 개인정보 매매 등 그에 대한 상업적 이용이 증가하고 있지만, 개인정보에 대한 국민들의 결정권은 보장되고 있지 못합니다.
2011년부터 2014년까지 대형마트 홈플러스는 자사 온라인 회원 및 경품응모자들의 개인정보 2천 4백만 건을 10개 보험사에 판매하여 수백억 원의 수익을 올렸지만 당사자 정보주체는 그 사실을 전혀 알지 못했습니다. 또 다른 대형마트 및 보험사에서도 이런 매매 관행이 일반화되어 있었다는 사실이 확인되었습니다.
미국 빅데이터업체인 IMS헬스가 2011년부터 2014년까지 국내 약국 및 병원에서 우리 국민 4천 4백만 명 50억 건에 달하는 처방전을 구입하여 전세계를 대상으로 가공 판매하고 있습니다. 우리 국민들은 민감한 건강정보의 유출 사실에 대하여 전혀 알지 못했으며 정부는 유출된 처방전을 회수하려는 노력도 하고 있지 않습니다. 시민사회는 최근 정부가 추진하는 보건의료 빅데이터 정책이 이와 마찬가지의 결과를 낳게 될지 모른다는 사실을 우려하고 있습니다.
지난 박근혜 정부는 정부 차원에서 개인정보에 대한 상업적 이용을 활성화하기 위한 정책을 추진했습니다. 특히 국민의 개인정보를 보유한 기업이 그 개인정보에 대해 정부가 권장하는 비식별화 조치를 취한 경우 이를 ‘개인정보가 아닌’ 것으로 추정하고 개인정보 보호법제의 적용을 배제하여 자유롭게 이용하도록 한 정책(범정부 비식별조치 가이드라인, 2016)에 대해서는 많은 시민사회가 그 적법성의 문제를 지적해 왔습니다.
문재인 정부는 대통령 후보 시절 시민 사회 앞에 ㅇ개인정보의 목적외 이용 규제 및 로직 설명 요구권리, 프로파일링 거부권, 생체정보 보호 ㅇ개인정보 유상판매에 대한 정보주체 알권리와 동의권 보장 ㅇ비식별조치 가이드라인 재검토를 약속하였으며,
공식 공약으로 △ 개인정보 보호 체계 효율화, 개인정보보호위원회의 위상 강화 △ 무더기 정보 이용 동의(일괄 동의)를 통한 무분별한 신용정보 활용 금지 △ 목적 외, 그룹 내 무단 정보 사용에 대한 제재 강화를 국민들에게 약속하였습니다.
또 문재인 정부는 출범후 국정과제로 “2018년부터 개인정보 보호 거버넌스 강화 및 개인정보 보호 체계 효율화, 무분별한 개인정보 이용에 대한 제재 강화”를 제시하였습니다.
유엔 국제인권기구에서 디지털 프라이버시권 분야에서 한국 정부에 대해 이루어진 주요 권고로는 다음과 같은 것이 있습니다.
사생활 보호를 위해 주민등록제도 재검토 및 주민등록번호를 공공서비스 제공을 위해 엄격히 필요한 경우로 제한할 것 (2008년 1차 UPR),영장 없는 통신자료 제공, 집회 참가자를 특정하기 위한 기지국 수사, 국가정보원의 폭넓은 감청과 이들에 대한 불충분한 감독에 대해 우려를 밝히고 모든 감시가 국제인권규약에 부합하도록 보호하는 내용으로 법을 개정할 것 (2015년 유엔 자유권위원회)
그밖에 유엔은 다음과 같은 국제 규범을 가지고 있습니다.
독립적인 권한이 보장되는 개인정보감독기구를 수립ㆍ유지할 것 : 유엔은 각국 정부에 여러 차례 개인정보 감독기구의 독립성과 권한 보장을 권고해 왔습니다. 일찌기 1990년 총회에서 “모든 국가들은 열거된 원칙들의 준수를 감독할 기관을 국내법에 따라 설치한다. 이 기관은 개인정보 처리를 담당하는 개인 혹은 기관에 대해 불편부당성, 독립성, 기술적 역량을 제공해야 한다.”고 선언하고(UN 컴퓨터화된 개인 정보파일의 규율에 관한 지침), 다시금 2013년 총회에서 “통신감시, 감청, 개인정보 수집 등 국가감시의 투명성 및 책임성을 보장할 수 있는 독립적이고, 효과적인 국내적 감독 체제를 수립 혹은 유지할 것”을 각국 정부에 권고하는 결의안을 채택하였습니다. (디지털시대 프라이버시권 결의안) 2017년 유엔인권이사회는 “국가의 통신 감시, 감청, 개인정보 수집에 대해 투명성과 책임성을 적절하게 보장하기 위한, 독립적이고 효과적이며 적정하게 자원이 할당되고 불편부당한 사법적, 행정적, 혹은 의회의 국내 감독 체제를 수립하거나 유지할 것”을 권고하였습니다. (디지털시대 프라이버시권 결의안)
정보주체의 동의 없이 판매, 재판매 , 기업 간 공유되는 피해 대응을 위한 규제, 예방조치 등을 개발하고 유지할 것
: 빅데이터 환경이 등장하면서 2017년 유엔 인권이사회는 “디지털시대 민감정보 등 개인정보의 수집, 처리, 공유가 상당히 증가함에 따라, 개인들이 자신의 개인정보를 재사용, 판매, 다목적 재판매하는 데 대해 자유롭고 명시적이며 충분한 설명을 들은 후 동의하고 있지 못하다”고 우려하면서 “개인의 자유롭고, 명시적이고, 충분한 설명에 따른 동의 없이 개인정보가 판매되고, 다목적으로 재판매되며 타기업에 공유되는 피해에 대응하는 규제, 예방 조치와 구제대책을 개발하고 유지할 것”을 각국 정부에 권고하는 결의안을 채택하였습니다. (디지털시대 프라이버시권 결의안)
각국 정보기관의 대량통신감시 증가에 대한 국제인권기준을 준수한 절차, 입법 등 수립 요구: 유엔은 정보기관의 대량통신감시 증가에 대해 크게 우려하고 있습니다. 유엔은 디지털시대 프라이버시권에 대한 총회 결의안(2013년 총회), 유엔인권최고대표 보고서(2014년), 유엔인권이사회 결의안(2017년)을 통해 각국 정부에 “감시·감청·수집 등 통신 감시, 감청, 개인정보 수집에 관한 절차, 관행, 입법을 검토”하고, 국가와 기업이 이를 집행할 때 국제인권기준을 준수할 것을 계속 요구하고 있습니다. 유엔은 프라이버시 특별보고관 제도를 신설하였으며, 2018년 초대 프라이버시 특별보고관의 한국방문조사가 예정되어 있습니다.
디지털 프라이버시권과 관련하여 국가인권위원회 또한 다음과 같이 권고한 바 있습니다.
독립성과 전문성이 확보된 개인정보보호위원회를 설치할 것(2003. 11. 13. 등 다수 권고)
주민등록번호 제도 개선 권고(2014. 8.) : 주민등록번호를 주민등록 관련 행정업무와 사법행정업무에 한정하여 사용할 것, 다른 공공영역에 대하여는 목적별 자기식별번호 체계를 도입할 것, 민간영역에서 주민등록번호 사용을 허용하고 있는 법령을 재정비하여 주민등록번호 사용을 최소화할 것, 임의번호로 구성된 새로운 주민등록 번호체계를 채택할 것, 주민등록번호 변경절차를 마련할 것, 주민등록번호의 목적 외 사용을 금지할 것
통신자료, 실시간 위치추적 및 통신사실확인자료 제공제도 개선 권고(2014. 4.) : 통신자료를 통신비밀보호법에서 통합 규율할 것, 통신사실확인자료 제공요건을 강화할 것, 실시간위치추적 요건을 강화할 것
비식별 정보 입법안 개선 권고(2016. 10. 신용정보보호법 개정안) : 비식별 정보를 신용정보주체의 동의 없이 목적 외로 이용하거나 제3자에게 제공할 수 있도록 함으로써 개인정보 자기결정권을 침해할 우려가 있음
개인정보보호위원회는 다음과 같이 권고하였습니다.
‘비식별’은 ‘익명’과 ‘가명’을 혼용하여 개인정보 여부가 불명확하고 국제적 통용성도 갖추고 있지 않은 개념으로 개인정보 보호법에 부합하게 규율할 것(2017. 1. 등 다수 권고)
국가인권위원회는 제1차(2007-2011) 계획에 대하여
정보인권 분야의 현황으로
△개인정보 데이터베이스가 증가하고 개인정보 자동수집기술이나 생체인식기술이 발전하여 프라이버시권 침해증가
△공공기관 및 민간영역에서 주민등록번호를 비롯한 개인정보를 과도하게 수집하고 유출 피해 증가
△개인정보 보호를 위한 법적 제도적 장치가 미흡
△개인정보를 보호하고 이용을 관리 감독할 독립적이며 전문적인 개인정보보호기구 부재
△CCTV 설치 운영에 국회가 제정한 법률에 따른 통제 미비
등의 문제를 지적하였습니다.
이에 핵심 추진과제로
▲개인정보보호기본법 제정 및 관련 법령 정비로 개인정보 보호 원칙을 확립하고 개인정보 보호정책 수립 개인정보 수집자에 대한 일상적 감독, 개인정보 침해 구제 등을 담당하는 독립적이고 전문적인 개인정보보호기구 설립
▲개인정보 침해 위험이 많은 공공 및 민간사업 추진시 프라이버시 침해 위험이 없는 다른 대안을 검토하도록 의무화하고 개인에게 프라이버시를 침해당하지 않는 다른 방법을 선택할 수 있는 선택권 부여
▲공공기관 및 민간 영역의 주민등록번호 수집 제한과 오남용 방지, 국민의 자기정보통제권을 보장하는 방향으로 주민등록제도 개선
▲프라이버시 보호의 관점에서 CCTV의 설치기준 및 보관자료의 처리기준 등을 마련하고 주무기관을 지정하여 관리의 효율성 제고 등을 권고하였습니다.
대한민국 정부는 최종 제1차 국가인권정책기본계획(2007-2011)에서 CCTV 등 감시장비로부터의 프라이버시 보호 방안 마련을 위해
△공공기관 CCTV 설치·운영 관리 강화
△민간부분 CCTV 개인영상정보 보호
△사업장 내 근로자 감시 설비 설치 노사협의 도입
주민등록번호의 사용 제한 및 제도 개선을 위해
△주민등록번호 도용 처벌 강화
△공공기관 법정서식 개선
△인터넷 상 주민등록번호 대체수단 활성화를 밝혔으며
개인정보보호기본법 제정 및 관련법령 정비
개인정보영향평가제도의 제도화 추진
개인 건강정보에 대한 보호의 강화
등의 계획을 밝혔습니다.
국가인권위원회는 제2차(2012-2016) 계획에 대하여
제1차 계획 및 이행의 평가 측면에서 「개인정보 보호법」의 제정 및 시행으로 개인정보 보호를 강화하기 위한 제도적 노력은 긍정적으로 평가할 수 있으나 개인정보 보호위원회의 독립성은 미흡하며, 기업들의 주민등록번호 수집 오ㆍ남용과 개인정보의 유출 사고, 급격하게 늘어나는 CCTV의 관리 능력 부재 등으로 개인정보 보호를 위한 이행 노력은 미흡하였다고 평가하였습니다.
이에 제2차 계획으로는 인터넷 본인확인제 기반 위에서 효율성ㆍ경제성ㆍ편의성에 바탕을 두고 무분별하게 수집ㆍ이용ㆍ제공되고 있는 개인정보 처리 관행을 정보인권 시각에서 개선 조치하고 관련 법령을 일제 정비하기 위한 방향 속에서 실명제 기반 개인정보 처리 관행 등을 개선할 것을 권고하였음. 특히
△ 주민등록번호 시스템의 폐기 또는 재정비(재권고)
△ 행정정보공유시스템, 형사사법정보시스템 등 행정기관의 정보공유 체계에 대한 개선
△ 「개인정보 보호법」중 개인정보의 목적 외 이용ㆍ제공 규정 개선을 권고하였습니다.
대한민국 정부는 최종 제2차 국가인권정책기본계획(2012-2016)에서 개인정보의 대량 유출로 주민등록번호의 도용 및 오·남용 우려가 증가하고 이에 따라 주민등록번호 변경 요구와 함께 주민등록번호 시스템 폐기 문제까지 제기되고 있어 주민등록번호 수집·이용을 제한하고 주민등록번호 도용 및 오·남용을 방지할 대책이 필요하고, 2011년 9월「개인정보 보호법」시행에 따라 영상정보처리기기(CCTV)의 설치 운영 제한, 안내판 설치, 안전성 확보 조치 등 의무규정이 준수될 수 있도록 관리·감독이 필요한 현황을 인정하고,추진과제로서
▲ 주민등록번호 개선을 위해 주민등록번호 오·남용 방지를 위한 발행번호 도입, 주민등록번호의 민간 사용 단계적 제한 방안 마련
▲ 인터넷 상 주민등록번호 대체수단(I-PIN) 활성화
▲ 민간 웹사이트에서 영리 목적의 주민등록번호 수집·이용 제한
▲ 「개인정보 보호법」시행에 따른 CCTV 관리·감독 등의 계획을 밝혔습니다.
국가인권위원회는 제3차(2017-2021) 계획에 대하여 제2차 계획 및 이행의 평가 측면에서
△ 주민등록증 발행번호 도입은 완료되지 않았고,
△ 주민등록번호 대체수단 활성화는 주민등록번호로 발생했던 문제들을 해결하지 못했고, ‘주민등록번호만 아니면 된다’는 식의 관행이 형성되어 오히려 불필요한 본인확인이 증가하는 등의 문제점이 나타났으며,
△ 민간 웹사이트에서 영리목적의 주민등록번호 수집・이용 제한은 본인확인 대체수단의 확산으로 실질적인 목적을 달성하지 못했고,
△ 반복적으로 제기되는 CCTV 관리・감독 문제 또한 제대로 이루어졌다고 보기 어렵다고 평가하였습니다.
이에 제3차 계획으로는 고도 정보화 사회에서 ICT 기술의 오・남용을 방지하면서 기술진보에 능동적으로 대처하여 정보인권을 보장할 수 있도록 하기 위한 목표 속에서 핵심 추진과제로
△ 개인의 통신데이터에 대한 광범위한 수집(압수・수색 및 감청, 기지국수사 및 위치정보 수집 등)으로 인한 인권침해의 소지를 최소화하기 위한 법령 정비
△ 실명제, 인터넷 내용규제, 사이버 명예훼손 등 네트워크 관련 규제의 종합적 검토(재권고)
△ 개인정보 유출, 각종 DB의 통합 등 정보인권 관련문제의 핵심 요소인 주민등록번호 시스템의 재정비
△ 녹음기기(스마트폰) 및 촬영기기(CCTV)의 기술혁신과 가격하락으로 인해 발생하고 있는 보편적 사생활 침해에 대한 법적 기준 마련(재권고)
△ 빅데이터의 통합에 따른 공기관이나 사인에 의한 정보인권침해 문제에 대한 대책마련
△ 정보주체의 통제미비, 내밀한 프라이버시 정보의 유출가능성 등 사물인터넷, 웨어러블 기술의 문제점에 대한 개인정보보호법 점검 등
△ 생체정보의 수집‧처리 및 오남용 방지, 정보주체의 권리 보호를 위한 대책 마련 등을 권고하였습니다.
우선 국내 현황으로 빅데이터, 클라우드 등 전세계적 DB 실현과 사물인터넷 등 무선센서 네트워크 시대 개막에 따라 신기술에 대응하는 개인정보보호가 요청됨
IT 기술 발전으로 인해 대량의 개인정보가 광범위하게 수집·이용되고 있으며, 현재에도 매년 15만건 이상의 개인정보 침해신고 상담이 이루어지고 있는 등 기술의 발전에 따른 개인정보 보호 필요성이 크게 대두됨 (다만, 개인정보보호의 문제는 그 방법이나 범위와 관련, 정보기술발전에 중점을 두는 견해와 정보주체 보호에 중점을 두는 견해가 대립되고 있음)
다양한 영역에서 본인 확인 수단으로 활용되던 주민등록번호 제도는 개인정보 유출에 따른 피해증가를 이유로 폐지나 대체수단 마련 등의 제도개선 요구가 있었으나, 제도개선 시 초래될 사회적 비용 문제로 현행 주민등록번호체계를 유지하되 주민등록변경 제도 도입(주민등록법 개정, ’16. 5.)
신원확인 및 본인 인증을 위한 지문․홍채․정맥 등 생체정보의 활용이 확산되고 있음에 따라 유일성․불가변성․일신전속성 등의 특성을 갖는 생체정보의 유출 및 오남용 대책 마련 필요
등으로 파악하고 제2차의 이행경과에 대하여 주민등록번호 변경제도 도입 등 주민등록번호 개선
인터넷상 주민등록번호 대체수단 활성화 및 민간 웹사이트에서 영리 목적의 주민등록번호 수집 이용 제한
개인정보보호법 시행에 따른 CCTV 관리감독에 대하여 긍정적으로 평가하고 제3차 추진과제 및 이행방안으로서 주민등록번호 시스템의 정비 (행정자치부) : 주민등록번호 제도 개선으로서 ’16. 5. 신설된 주민등록번호 변경제도 시행을 위한「주민등록번호 변경 등에 관한 규정」(대통령령) 및「주민등록번호 변경 등에 관한 규정 시행규칙」제정, 친족관계에 의한 성폭력범죄자의 주민등록표의 열람, 등본· 초본의 교부신청
녹음기기(스마트폰) 및 촬영기기(CCTV)의 기술혁신과 가격하락으로 인해 발생하고 있는 보편적 사생활 침해에 대한 법적 기준마련 (행정자치부)
: 영상정보처리기기 다양화(드론, 블랙박스 등) 및 CCTV 증가로 인한 사생활 침해에 대응하기 위해 법제 정비
정보주체의 통제 미비, 내밀한 프라이버시 정보의 유출가능성 등 사물인터넷, 웨어러블 기술의 문제점에 대한 개인정보보호법 점검 (행정자치부)
: 사물인터넷, 웨어러블 기술 등 발달에 따른 환경 변화에 대응하여 지속적으로 개인정보보호법을 점검
생체정보의 수집·처리 및 오남용 방지, 정보주체의 권리 보호를 위한 대책 마련 (행정자치부·방송통신위원회)
: 생체정보를 이용하는 기술발전에 대응, 개인정보보호 대책을 지속적으로 검토
등을 제시하였습니다.
첫째, 국가인권정책기본계획이 국제인권기구의 권고에 대하여 아무런 이행계획을 포함하고 있지 않은 것은 큰 문제입니다
심지어 법무부가 평가하고 있는 국제인권기구의 관련 권고(2015년 자유권규약위원회)에 대하여조차 아무런 계획이 없습니다.
다음과 같은 유엔의 권고 항목에 대한 계획이 포함되어야 합니다.
주민등록번호 사용제한
통신자료 제공제도 개선
기지국수사 제도 개선
국가정보원 감청제도 개선
개인정보보호위원회 독립성 강화
개인의 자유롭고, 명시적이고, 충분한 설명에 따른 동의 없이 개인정보가 판매되고, 다목적으로 재판매되며 타기업에 공유되는 피해에 대응하는 규제, 예방 조치와 구제대책 개발,국가 및 기업이 집행하는 감시·감청·수집 등 통신 감시, 감청, 개인정보 수집에 관한 절차, 관행, 입법 검토
둘째, 문재인 정부의 관련 인권 공약에 대해서는 구체적인 이행 계획으로 반영되어야 합니다.
개인정보 보호 체계 효율화 : 정보통신망법 등으로 흩어져있는 개인정보 보호법제를 개인정보보호법으로 일원화
개인정보보호위원회의 위상 강화
개인정보에 대한 목적 외, 무분별한 활용에 대한 제한
셋째, 국가인권위원회의 권고, 특히 반복적인 권고에 대해서는 반드시 포함해야 합니다.
개인의 통신데이터에 대한 광범위한 수집(압수・수색 및 감청, 기지국수사 및 위치정보 수집 등)으로 인한 인권침해의 소지를 최소화하기 위한 법령 정비,임의번호 도입 등 주민등록번호 시스템의 재정비
영상 등 디지털기록기기, 빅데이터, 사물인터넷, 생체정보 처리로부터 보호를 위한 법적 보호장치 마련
넷째, 관련부처의 자의적인 평가와 부처 편의에 따른 계획 수립 절차를 전면 재고해야 합니다.
관련 법률 정비는 관련부처의 소관사항 확보를 위한 차원이 아니라 국민의 정보인권 보장을 위해 수립되어야 합니다.
주민등록번호 개선 현황에 대한 긍정적 평가는 주무부처인 행정안전부의 이해관계에 따른 것으로, 국가인권위원회 및 시민사회의 비판적 평가와 차이가 있습니다. 이런 평가의 한계는 추가적인 개선 계획을 수립함에 있어서도 미흡한 결과를 낳을 수 밖에 없습니다.
행정안전부가 추진하고 있는 영상정보 보호법 제정안에 대해서는 이미 개인정보보호위원회가 제정 반대 의견을 밝힌 바 있는데(제2017-01-07호) 행정안전부의 관점만을 국가계획에 포함하는 것은 일부 정부부처에 편향적이라는 비판을 받을 수 밖에 없습니다. 영상기기에 따른 사생활 침해를 방지하기 위한 법제 개선은 필요하지만, 이는 개인정보보호위원회가 권고한 바와 같이 개인정보보호법 개정을 통해 이루어져야 합니다.
국가인권정책기본계획에 “개인정보보호의 문제는 그 방법이나 범위와 관련, 정보기술 정보기술 발전에 중점을 두는 견해와 정보주체 보호에 중점을 두는 견해가 대립되고 있음”이라는 단서를 명기하는 것은 매우 부적절합니다. 정보기술의 발전과 정보주체의 보호가 대립관계에 있는 것도 아닐 뿐더러, 정보기술이나 산업 발전을 위해 개인정보 보호를 완화할 수 있음을 시사하는 것은 인권정책이 취할 태도가 아닙니다.
개인정보 관련 국가계획에 대해서는 개인정보 보호위원회와 협의가 반드시 필요합니다.
2018. 2. 20
경실련, 다산인권센터, 서울YMCA 시청자시민운동본부, 인권운동사랑방, 진보네트워크센터, 참여연대
의견서원문 [보기/다운로드]
참여연대, 진보넷 등 6개 시민단체는 지난 2월 20일 법무부에 제3차 국가인권정책기본계획(NAP)의 디지털프라이버시권 분야에 대한 시민사회 의견서를 제출했습니다.
의견서 전문은 아래와 같습니다.
유엔인권최고대표는 국가인권정책기본계획(NAP) 개발에 있어 △ 시민사회 및 국민과 함께 하는 절차와 결과가 중요하고 △ 보편적 인권기준을 수용해야 하며 △ 국제인권 의무사항을 이행하고 △ 인권의 상호의존성 및 불가분성을 보장해야 하며 △ 실천지향적이고 △ 대중적으로 널리 공표되고 △ 모니터링과 평가를 받아야 하며 △ 계획수립과 이행이 지속적이고 △ 구체적인 이행 방법을 책임져야 하며 △ 국제적 차원에서 수립되어야 한다는 원칙을 확인한 바 있습니다(국가인권정책기본계획 안내서, 2002). 특히 유엔은 국가인권정책기본계획 개발 과정에 국가인권기구는 물론 시민사회가 참여하는 것이 중요하다는 점을 강조하고 있습니다.
그러나 지난 10년간 한국 국가인권정책기본계획은 그 절차와 내용 모두에서 국제규범에 부합하지 못했다는 비판적 평가를 받고 있습니다. 문재인 정부는 국민 앞에 약속한 인권 공약은 물론, 국제인권규범을 구체적으로 이행할 수 있는 국가 인권정책을 수립할 것을 요구받고 있습니다.
특히 제3차 국가인권정책기본계획은 빅데이터, 인공지능 등 새로운기술이 빠른 속도로 도입되고 있는 디지털 사회에서 국민들의 정보인권을 실질적으로 증진시킬 수 있는 국가계획이 되어야 할 것입니다. 이에 한국 시민사회는 디지털 프라이버시권 분야에서 국가인권정책기본계획에 대한 의견을 다음과 같이 제시합니다.
국민의 일상생활이 디지털 네트워크 및 모바일 환경에 크게 의존하고 있지만 디지털 프라이버시권이 충분히 보장받고 있다고 보기 어렵습니다. 특히 한국 시민사회는 최근 몇년 간 한국 사회에서 다음과 같은 논란이 크게 불거진 데 대하여 문제의식을 갖고 있습니다.
한국에서 인터넷을 통한 대규모 개인정보 유출이 계속하여 매우 심각한 문제로 불거지고 있으나 개인정보보호체계는 아직 미비합니다.
개인정보 유출 사건의 직접적인 원인은 해킹, 내부자 유출 등 범죄행위로 인한 것이지만, 그 배경에는 정부가 주민등록번호 등 인권침해적인 제도적 관행에 몰인식하고 인터넷 실명제 등의 정책으로 그 문제점을 악화시킨 데 따른 문제가 있습니다. 특히 국민은 출생시 부여받는 주민등록번호를 공공, 보건의료, 금융, 통신 등 일상생활에서 광범위하게 제출할 것을 요구받고 있는데 유출 사고로 정신적, 물질적 침해를 입어도 주민등록번호의 변경조차 쉽지 않습니다. 헌법재판소는 2012년 인터넷실명제와 2015년 주민등록번호 변경불허에 대하여 각각 위헌과 헌법불합치를 결정하였으나 사회 전체적으로 주민등록번호 의존 정책이 크게 변화하지 않았으며, 임의번호 도입 등 후속조치와 국민의 기본권 보장이 아직 미비합니다.
특히 한국의 독립적이고 전문적인 개인정보 감독체계는 국제기준에 비해 매우 미비합니다. 2014년 카드3사에서 1억4백만 건의 개인금융정보가 유출된 후 정부는 「개인정보보호 정상화 대책」을 통해 개인정보보호위원회 기능강화를 약속했으나 부분적인 데 그쳤습니다.
정보수사기관이 발전된 통신감시기술을 이용하여 국민의 통신비밀을 침해하는 데 따른 논란도 계속 커지고 있습니다.
경찰은 2011년 희망버스 행진과 2013년 철도노동조합 파업 당시 많은 인권활동가, 노동조합활동가에 대해 휴대전화 실시간 위치추적을 광범위하게 실시하였으며 이때 초등학생 등 미성년 국민도 활동가의 가족이라는 이유만으로 추적되었습니다. 또 2012년 경찰 및 검찰이 정당 집회 참석자를 확인하기 위하여 참석자 및 기자 들에 대하여 광범위한 기지국수사를 실시한 사실이 드러났습니다. 이 사건들에 대해서는 헌법소원이 제기되어 현재 심사 중입니다.
한국에서 집행되는 대부분의 감청을 비밀정보기관인 국가정보원이 실시하고 있으며(국가통계 중 98% 이상), 그중 일부는 인터넷 회선 전체에 대하여 집행되는 패킷 감청(Deep Packet Inspection)입니다. 그러나 한국에서 국가정보원의 감청에 대해서는 민주적인 통제가 전혀 이루어지고 있지 못하며, 지난 2015년 국가정보원이 이탈리아에서 해킹프로그램(RCS)을 수입·운용해왔다는 사실이 드러났을 때도 법원이나 국회조차 그 사실에 대해 전혀 모르고 있었습니다. 국가정보원의 패킷 감청에 대해서는 2차례에 걸친 헌법소원이 제기되어 현재 심사 중입니다.
지난 2016년 제정된 테러방지법으로 인해 국가정보원의 통신 및 사이버공간 감시에 대한 국민의 우려가 증폭되기도 하였습니다.
모바일 환경이 확산됨에 따라 많은 국민이 휴대전화를 통해 의사소통을 하고 있지만 수사기관에 대한 자료 제공이 과도하고 충분히 통제받고 있지 않습니다. 경찰은 2014년 이후 세월호 참사에 항의하는 국민들의 불법 집회를 수사한다는 이유로 카카오톡 등 모바일 플랫폼 회사는 물론 휴대전화 그 자체에 대해서도 광범위한 압수수색을 집행 하였습니다. 법원의 영장에 따른 집행이라고는 하지만 수사 대상과 같은 단체카톡방에 속했다는 이유만으로 많은 국민들의 개인정보가 수사기관에 제공되었으며 그 사실에 대한 사후 통지도 이루어지지 않았습니다. 2016년에는 국정원, 경찰 등 정보수사기관이 국내 이동통신사에 대하여 법원의 영장도 없이 통신가입자의 이름, 주민등록번호 등 광범위한 통신자료를 제공받아온 관행이 국민적 지탄을 받았습니다. 국가통계에서 통신자료 제공이 연간 1천만 건을 넘어서는 것으로 집계되고 있습니다. 이 사건들에 대해서도 헌법소원이 제기되어 현재 심사 중입니다.
최근 빅데이터 분석 기술이 발전하고 이를 통해 경제적 가치를 창출하려는 욕구가 증가하면서 개인정보 매매 등 그에 대한 상업적 이용이 증가하고 있지만, 개인정보에 대한 국민들의 결정권은 보장되고 있지 못합니다.
2011년부터 2014년까지 대형마트 홈플러스는 자사 온라인 회원 및 경품응모자들의 개인정보 2천 4백만 건을 10개 보험사에 판매하여 수백억 원의 수익을 올렸지만 당사자 정보주체는 그 사실을 전혀 알지 못했습니다. 또 다른 대형마트 및 보험사에서도 이런 매매 관행이 일반화되어 있었다는 사실이 확인되었습니다.
미국 빅데이터업체인 IMS헬스가 2011년부터 2014년까지 국내 약국 및 병원에서 우리 국민 4천 4백만 명 50억 건에 달하는 처방전을 구입하여 전세계를 대상으로 가공 판매하고 있습니다. 우리 국민들은 민감한 건강정보의 유출 사실에 대하여 전혀 알지 못했으며 정부는 유출된 처방전을 회수하려는 노력도 하고 있지 않습니다. 시민사회는 최근 정부가 추진하는 보건의료 빅데이터 정책이 이와 마찬가지의 결과를 낳게 될지 모른다는 사실을 우려하고 있습니다.
지난 박근혜 정부는 정부 차원에서 개인정보에 대한 상업적 이용을 활성화하기 위한 정책을 추진했습니다. 특히 국민의 개인정보를 보유한 기업이 그 개인정보에 대해 정부가 권장하는 비식별화 조치를 취한 경우 이를 ‘개인정보가 아닌’ 것으로 추정하고 개인정보 보호법제의 적용을 배제하여 자유롭게 이용하도록 한 정책(범정부 비식별조치 가이드라인, 2016)에 대해서는 많은 시민사회가 그 적법성의 문제를 지적해 왔습니다.
문재인 정부는 대통령 후보 시절 시민 사회 앞에 ㅇ개인정보의 목적외 이용 규제 및 로직 설명 요구권리, 프로파일링 거부권, 생체정보 보호 ㅇ개인정보 유상판매에 대한 정보주체 알권리와 동의권 보장 ㅇ비식별조치 가이드라인 재검토를 약속하였으며,
공식 공약으로 △ 개인정보 보호 체계 효율화, 개인정보보호위원회의 위상 강화 △ 무더기 정보 이용 동의(일괄 동의)를 통한 무분별한 신용정보 활용 금지 △ 목적 외, 그룹 내 무단 정보 사용에 대한 제재 강화를 국민들에게 약속하였습니다.
또 문재인 정부는 출범후 국정과제로 “2018년부터 개인정보 보호 거버넌스 강화 및 개인정보 보호 체계 효율화, 무분별한 개인정보 이용에 대한 제재 강화”를 제시하였습니다.
유엔 국제인권기구에서 디지털 프라이버시권 분야에서 한국 정부에 대해 이루어진 주요 권고로는 다음과 같은 것이 있습니다.
사생활 보호를 위해 주민등록제도 재검토 및 주민등록번호를 공공서비스 제공을 위해 엄격히 필요한 경우로 제한할 것 (2008년 1차 UPR),영장 없는 통신자료 제공, 집회 참가자를 특정하기 위한 기지국 수사, 국가정보원의 폭넓은 감청과 이들에 대한 불충분한 감독에 대해 우려를 밝히고 모든 감시가 국제인권규약에 부합하도록 보호하는 내용으로 법을 개정할 것 (2015년 유엔 자유권위원회)
그밖에 유엔은 다음과 같은 국제 규범을 가지고 있습니다.
독립적인 권한이 보장되는 개인정보감독기구를 수립ㆍ유지할 것 : 유엔은 각국 정부에 여러 차례 개인정보 감독기구의 독립성과 권한 보장을 권고해 왔습니다. 일찌기 1990년 총회에서 “모든 국가들은 열거된 원칙들의 준수를 감독할 기관을 국내법에 따라 설치한다. 이 기관은 개인정보 처리를 담당하는 개인 혹은 기관에 대해 불편부당성, 독립성, 기술적 역량을 제공해야 한다.”고 선언하고(UN 컴퓨터화된 개인 정보파일의 규율에 관한 지침), 다시금 2013년 총회에서 “통신감시, 감청, 개인정보 수집 등 국가감시의 투명성 및 책임성을 보장할 수 있는 독립적이고, 효과적인 국내적 감독 체제를 수립 혹은 유지할 것”을 각국 정부에 권고하는 결의안을 채택하였습니다. (디지털시대 프라이버시권 결의안) 2017년 유엔인권이사회는 “국가의 통신 감시, 감청, 개인정보 수집에 대해 투명성과 책임성을 적절하게 보장하기 위한, 독립적이고 효과적이며 적정하게 자원이 할당되고 불편부당한 사법적, 행정적, 혹은 의회의 국내 감독 체제를 수립하거나 유지할 것”을 권고하였습니다. (디지털시대 프라이버시권 결의안)
정보주체의 동의 없이 판매, 재판매 , 기업 간 공유되는 피해 대응을 위한 규제, 예방조치 등을 개발하고 유지할 것
: 빅데이터 환경이 등장하면서 2017년 유엔 인권이사회는 “디지털시대 민감정보 등 개인정보의 수집, 처리, 공유가 상당히 증가함에 따라, 개인들이 자신의 개인정보를 재사용, 판매, 다목적 재판매하는 데 대해 자유롭고 명시적이며 충분한 설명을 들은 후 동의하고 있지 못하다”고 우려하면서 “개인의 자유롭고, 명시적이고, 충분한 설명에 따른 동의 없이 개인정보가 판매되고, 다목적으로 재판매되며 타기업에 공유되는 피해에 대응하는 규제, 예방 조치와 구제대책을 개발하고 유지할 것”을 각국 정부에 권고하는 결의안을 채택하였습니다. (디지털시대 프라이버시권 결의안)
각국 정보기관의 대량통신감시 증가에 대한 국제인권기준을 준수한 절차, 입법 등 수립 요구: 유엔은 정보기관의 대량통신감시 증가에 대해 크게 우려하고 있습니다. 유엔은 디지털시대 프라이버시권에 대한 총회 결의안(2013년 총회), 유엔인권최고대표 보고서(2014년), 유엔인권이사회 결의안(2017년)을 통해 각국 정부에 “감시·감청·수집 등 통신 감시, 감청, 개인정보 수집에 관한 절차, 관행, 입법을 검토”하고, 국가와 기업이 이를 집행할 때 국제인권기준을 준수할 것을 계속 요구하고 있습니다. 유엔은 프라이버시 특별보고관 제도를 신설하였으며, 2018년 초대 프라이버시 특별보고관의 한국방문조사가 예정되어 있습니다.
디지털 프라이버시권과 관련하여 국가인권위원회 또한 다음과 같이 권고한 바 있습니다.
독립성과 전문성이 확보된 개인정보보호위원회를 설치할 것(2003. 11. 13. 등 다수 권고)
주민등록번호 제도 개선 권고(2014. 8.) : 주민등록번호를 주민등록 관련 행정업무와 사법행정업무에 한정하여 사용할 것, 다른 공공영역에 대하여는 목적별 자기식별번호 체계를 도입할 것, 민간영역에서 주민등록번호 사용을 허용하고 있는 법령을 재정비하여 주민등록번호 사용을 최소화할 것, 임의번호로 구성된 새로운 주민등록 번호체계를 채택할 것, 주민등록번호 변경절차를 마련할 것, 주민등록번호의 목적 외 사용을 금지할 것
통신자료, 실시간 위치추적 및 통신사실확인자료 제공제도 개선 권고(2014. 4.) : 통신자료를 통신비밀보호법에서 통합 규율할 것, 통신사실확인자료 제공요건을 강화할 것, 실시간위치추적 요건을 강화할 것
비식별 정보 입법안 개선 권고(2016. 10. 신용정보보호법 개정안) : 비식별 정보를 신용정보주체의 동의 없이 목적 외로 이용하거나 제3자에게 제공할 수 있도록 함으로써 개인정보 자기결정권을 침해할 우려가 있음
개인정보보호위원회는 다음과 같이 권고하였습니다.
‘비식별’은 ‘익명’과 ‘가명’을 혼용하여 개인정보 여부가 불명확하고 국제적 통용성도 갖추고 있지 않은 개념으로 개인정보 보호법에 부합하게 규율할 것(2017. 1. 등 다수 권고)
국가인권위원회는 제1차(2007-2011) 계획에 대하여
정보인권 분야의 현황으로
△개인정보 데이터베이스가 증가하고 개인정보 자동수집기술이나 생체인식기술이 발전하여 프라이버시권 침해증가
△공공기관 및 민간영역에서 주민등록번호를 비롯한 개인정보를 과도하게 수집하고 유출 피해 증가
△개인정보 보호를 위한 법적 제도적 장치가 미흡
△개인정보를 보호하고 이용을 관리 감독할 독립적이며 전문적인 개인정보보호기구 부재
△CCTV 설치 운영에 국회가 제정한 법률에 따른 통제 미비
등의 문제를 지적하였습니다.
이에 핵심 추진과제로
▲개인정보보호기본법 제정 및 관련 법령 정비로 개인정보 보호 원칙을 확립하고 개인정보 보호정책 수립 개인정보 수집자에 대한 일상적 감독, 개인정보 침해 구제 등을 담당하는 독립적이고 전문적인 개인정보보호기구 설립
▲개인정보 침해 위험이 많은 공공 및 민간사업 추진시 프라이버시 침해 위험이 없는 다른 대안을 검토하도록 의무화하고 개인에게 프라이버시를 침해당하지 않는 다른 방법을 선택할 수 있는 선택권 부여
▲공공기관 및 민간 영역의 주민등록번호 수집 제한과 오남용 방지, 국민의 자기정보통제권을 보장하는 방향으로 주민등록제도 개선
▲프라이버시 보호의 관점에서 CCTV의 설치기준 및 보관자료의 처리기준 등을 마련하고 주무기관을 지정하여 관리의 효율성 제고 등을 권고하였습니다.
대한민국 정부는 최종 제1차 국가인권정책기본계획(2007-2011)에서 CCTV 등 감시장비로부터의 프라이버시 보호 방안 마련을 위해
△공공기관 CCTV 설치·운영 관리 강화
△민간부분 CCTV 개인영상정보 보호
△사업장 내 근로자 감시 설비 설치 노사협의 도입
주민등록번호의 사용 제한 및 제도 개선을 위해
△주민등록번호 도용 처벌 강화
△공공기관 법정서식 개선
△인터넷 상 주민등록번호 대체수단 활성화를 밝혔으며
개인정보보호기본법 제정 및 관련법령 정비
개인정보영향평가제도의 제도화 추진
개인 건강정보에 대한 보호의 강화
등의 계획을 밝혔습니다.
국가인권위원회는 제2차(2012-2016) 계획에 대하여
제1차 계획 및 이행의 평가 측면에서 「개인정보 보호법」의 제정 및 시행으로 개인정보 보호를 강화하기 위한 제도적 노력은 긍정적으로 평가할 수 있으나 개인정보 보호위원회의 독립성은 미흡하며, 기업들의 주민등록번호 수집 오ㆍ남용과 개인정보의 유출 사고, 급격하게 늘어나는 CCTV의 관리 능력 부재 등으로 개인정보 보호를 위한 이행 노력은 미흡하였다고 평가하였습니다.
이에 제2차 계획으로는 인터넷 본인확인제 기반 위에서 효율성ㆍ경제성ㆍ편의성에 바탕을 두고 무분별하게 수집ㆍ이용ㆍ제공되고 있는 개인정보 처리 관행을 정보인권 시각에서 개선 조치하고 관련 법령을 일제 정비하기 위한 방향 속에서 실명제 기반 개인정보 처리 관행 등을 개선할 것을 권고하였음. 특히
△ 주민등록번호 시스템의 폐기 또는 재정비(재권고)
△ 행정정보공유시스템, 형사사법정보시스템 등 행정기관의 정보공유 체계에 대한 개선
△ 「개인정보 보호법」중 개인정보의 목적 외 이용ㆍ제공 규정 개선을 권고하였습니다.
대한민국 정부는 최종 제2차 국가인권정책기본계획(2012-2016)에서 개인정보의 대량 유출로 주민등록번호의 도용 및 오·남용 우려가 증가하고 이에 따라 주민등록번호 변경 요구와 함께 주민등록번호 시스템 폐기 문제까지 제기되고 있어 주민등록번호 수집·이용을 제한하고 주민등록번호 도용 및 오·남용을 방지할 대책이 필요하고, 2011년 9월「개인정보 보호법」시행에 따라 영상정보처리기기(CCTV)의 설치 운영 제한, 안내판 설치, 안전성 확보 조치 등 의무규정이 준수될 수 있도록 관리·감독이 필요한 현황을 인정하고,추진과제로서
▲ 주민등록번호 개선을 위해 주민등록번호 오·남용 방지를 위한 발행번호 도입, 주민등록번호의 민간 사용 단계적 제한 방안 마련
▲ 인터넷 상 주민등록번호 대체수단(I-PIN) 활성화
▲ 민간 웹사이트에서 영리 목적의 주민등록번호 수집·이용 제한
▲ 「개인정보 보호법」시행에 따른 CCTV 관리·감독 등의 계획을 밝혔습니다.
국가인권위원회는 제3차(2017-2021) 계획에 대하여 제2차 계획 및 이행의 평가 측면에서
△ 주민등록증 발행번호 도입은 완료되지 않았고,
△ 주민등록번호 대체수단 활성화는 주민등록번호로 발생했던 문제들을 해결하지 못했고, ‘주민등록번호만 아니면 된다’는 식의 관행이 형성되어 오히려 불필요한 본인확인이 증가하는 등의 문제점이 나타났으며,
△ 민간 웹사이트에서 영리목적의 주민등록번호 수집・이용 제한은 본인확인 대체수단의 확산으로 실질적인 목적을 달성하지 못했고,
△ 반복적으로 제기되는 CCTV 관리・감독 문제 또한 제대로 이루어졌다고 보기 어렵다고 평가하였습니다.
이에 제3차 계획으로는 고도 정보화 사회에서 ICT 기술의 오・남용을 방지하면서 기술진보에 능동적으로 대처하여 정보인권을 보장할 수 있도록 하기 위한 목표 속에서 핵심 추진과제로
△ 개인의 통신데이터에 대한 광범위한 수집(압수・수색 및 감청, 기지국수사 및 위치정보 수집 등)으로 인한 인권침해의 소지를 최소화하기 위한 법령 정비
△ 실명제, 인터넷 내용규제, 사이버 명예훼손 등 네트워크 관련 규제의 종합적 검토(재권고)
△ 개인정보 유출, 각종 DB의 통합 등 정보인권 관련문제의 핵심 요소인 주민등록번호 시스템의 재정비
△ 녹음기기(스마트폰) 및 촬영기기(CCTV)의 기술혁신과 가격하락으로 인해 발생하고 있는 보편적 사생활 침해에 대한 법적 기준 마련(재권고)
△ 빅데이터의 통합에 따른 공기관이나 사인에 의한 정보인권침해 문제에 대한 대책마련
△ 정보주체의 통제미비, 내밀한 프라이버시 정보의 유출가능성 등 사물인터넷, 웨어러블 기술의 문제점에 대한 개인정보보호법 점검 등
△ 생체정보의 수집‧처리 및 오남용 방지, 정보주체의 권리 보호를 위한 대책 마련 등을 권고하였습니다.
우선 국내 현황으로 빅데이터, 클라우드 등 전세계적 DB 실현과 사물인터넷 등 무선센서 네트워크 시대 개막에 따라 신기술에 대응하는 개인정보보호가 요청됨
IT 기술 발전으로 인해 대량의 개인정보가 광범위하게 수집·이용되고 있으며, 현재에도 매년 15만건 이상의 개인정보 침해신고 상담이 이루어지고 있는 등 기술의 발전에 따른 개인정보 보호 필요성이 크게 대두됨 (다만, 개인정보보호의 문제는 그 방법이나 범위와 관련, 정보기술발전에 중점을 두는 견해와 정보주체 보호에 중점을 두는 견해가 대립되고 있음)
다양한 영역에서 본인 확인 수단으로 활용되던 주민등록번호 제도는 개인정보 유출에 따른 피해증가를 이유로 폐지나 대체수단 마련 등의 제도개선 요구가 있었으나, 제도개선 시 초래될 사회적 비용 문제로 현행 주민등록번호체계를 유지하되 주민등록변경 제도 도입(주민등록법 개정, ’16. 5.)
신원확인 및 본인 인증을 위한 지문․홍채․정맥 등 생체정보의 활용이 확산되고 있음에 따라 유일성․불가변성․일신전속성 등의 특성을 갖는 생체정보의 유출 및 오남용 대책 마련 필요
등으로 파악하고 제2차의 이행경과에 대하여 주민등록번호 변경제도 도입 등 주민등록번호 개선
인터넷상 주민등록번호 대체수단 활성화 및 민간 웹사이트에서 영리 목적의 주민등록번호 수집 이용 제한
개인정보보호법 시행에 따른 CCTV 관리감독에 대하여 긍정적으로 평가하고 제3차 추진과제 및 이행방안으로서 주민등록번호 시스템의 정비 (행정자치부) : 주민등록번호 제도 개선으로서 ’16. 5. 신설된 주민등록번호 변경제도 시행을 위한「주민등록번호 변경 등에 관한 규정」(대통령령) 및「주민등록번호 변경 등에 관한 규정 시행규칙」제정, 친족관계에 의한 성폭력범죄자의 주민등록표의 열람, 등본· 초본의 교부신청
녹음기기(스마트폰) 및 촬영기기(CCTV)의 기술혁신과 가격하락으로 인해 발생하고 있는 보편적 사생활 침해에 대한 법적 기준마련 (행정자치부)
: 영상정보처리기기 다양화(드론, 블랙박스 등) 및 CCTV 증가로 인한 사생활 침해에 대응하기 위해 법제 정비
정보주체의 통제 미비, 내밀한 프라이버시 정보의 유출가능성 등 사물인터넷, 웨어러블 기술의 문제점에 대한 개인정보보호법 점검 (행정자치부)
: 사물인터넷, 웨어러블 기술 등 발달에 따른 환경 변화에 대응하여 지속적으로 개인정보보호법을 점검
생체정보의 수집·처리 및 오남용 방지, 정보주체의 권리 보호를 위한 대책 마련 (행정자치부·방송통신위원회)
: 생체정보를 이용하는 기술발전에 대응, 개인정보보호 대책을 지속적으로 검토
등을 제시하였습니다.
첫째, 국가인권정책기본계획이 국제인권기구의 권고에 대하여 아무런 이행계획을 포함하고 있지 않은 것은 큰 문제입니다
심지어 법무부가 평가하고 있는 국제인권기구의 관련 권고(2015년 자유권규약위원회)에 대하여조차 아무런 계획이 없습니다.
다음과 같은 유엔의 권고 항목에 대한 계획이 포함되어야 합니다.
주민등록번호 사용제한
통신자료 제공제도 개선
기지국수사 제도 개선
국가정보원 감청제도 개선
개인정보보호위원회 독립성 강화
개인의 자유롭고, 명시적이고, 충분한 설명에 따른 동의 없이 개인정보가 판매되고, 다목적으로 재판매되며 타기업에 공유되는 피해에 대응하는 규제, 예방 조치와 구제대책 개발,국가 및 기업이 집행하는 감시·감청·수집 등 통신 감시, 감청, 개인정보 수집에 관한 절차, 관행, 입법 검토
둘째, 문재인 정부의 관련 인권 공약에 대해서는 구체적인 이행 계획으로 반영되어야 합니다.
개인정보 보호 체계 효율화 : 정보통신망법 등으로 흩어져있는 개인정보 보호법제를 개인정보보호법으로 일원화
개인정보보호위원회의 위상 강화
개인정보에 대한 목적 외, 무분별한 활용에 대한 제한
셋째, 국가인권위원회의 권고, 특히 반복적인 권고에 대해서는 반드시 포함해야 합니다.
개인의 통신데이터에 대한 광범위한 수집(압수・수색 및 감청, 기지국수사 및 위치정보 수집 등)으로 인한 인권침해의 소지를 최소화하기 위한 법령 정비,임의번호 도입 등 주민등록번호 시스템의 재정비
영상 등 디지털기록기기, 빅데이터, 사물인터넷, 생체정보 처리로부터 보호를 위한 법적 보호장치 마련
넷째, 관련부처의 자의적인 평가와 부처 편의에 따른 계획 수립 절차를 전면 재고해야 합니다.
관련 법률 정비는 관련부처의 소관사항 확보를 위한 차원이 아니라 국민의 정보인권 보장을 위해 수립되어야 합니다.
주민등록번호 개선 현황에 대한 긍정적 평가는 주무부처인 행정안전부의 이해관계에 따른 것으로, 국가인권위원회 및 시민사회의 비판적 평가와 차이가 있습니다. 이런 평가의 한계는 추가적인 개선 계획을 수립함에 있어서도 미흡한 결과를 낳을 수 밖에 없습니다.
행정안전부가 추진하고 있는 영상정보 보호법 제정안에 대해서는 이미 개인정보보호위원회가 제정 반대 의견을 밝힌 바 있는데(제2017-01-07호) 행정안전부의 관점만을 국가계획에 포함하는 것은 일부 정부부처에 편향적이라는 비판을 받을 수 밖에 없습니다. 영상기기에 따른 사생활 침해를 방지하기 위한 법제 개선은 필요하지만, 이는 개인정보보호위원회가 권고한 바와 같이 개인정보보호법 개정을 통해 이루어져야 합니다.
국가인권정책기본계획에 “개인정보보호의 문제는 그 방법이나 범위와 관련, 정보기술 정보기술 발전에 중점을 두는 견해와 정보주체 보호에 중점을 두는 견해가 대립되고 있음”이라는 단서를 명기하는 것은 매우 부적절합니다. 정보기술의 발전과 정보주체의 보호가 대립관계에 있는 것도 아닐 뿐더러, 정보기술이나 산업 발전을 위해 개인정보 보호를 완화할 수 있음을 시사하는 것은 인권정책이 취할 태도가 아닙니다.
개인정보 관련 국가계획에 대해서는 개인정보 보호위원회와 협의가 반드시 필요합니다.
2018. 2. 20
경실련, 다산인권센터, 서울YMCA 시청자시민운동본부, 인권운동사랑방, 진보네트워크센터, 참여연대
의견서원문 [보기/다운로드]
지난 11월 27일 더민주당 신경민 의원이 대표발의한 전기통신사업법 개정안은 부가통신역무의 정의를 구체화하고, 특수한 유형의 부가통신역무를 확대하며, 부가통신사업자에게도 기간통신사업자와 같은 의무를 일부 부과하는 내용을 포함하고 있다. 그러나 대한민국의 부가통신사업자들은 이미 세계적으로 유례를 찾기 힘든 진입규제에 의해 규율되고 있어 국가의 눈치를 계속 봐야 하는 상태에 놓여 있다. 이 상황에서 부가통신사업자에 대한 규제를 더 얹는 것은 무한한 가능성을 가진 인터넷 산업에 대한 족쇄이자 혁신을 저해하는 갈라파고스적 규제로 결국 인터넷 이용자들의 정보인권을 제약하고 다양한 서비스 선택권에서 나오는 편익을 저해하게 된다. 사단법인 오픈넷은 개정안의 부가통신서비스 규제 강화 조항에 반대한다.
현 전기통신사업법은 제2조 제12호에서 부가통신역무를 “기간통신역무 외의 전기통신역무”라고 규정하고 있다. 기간통신사업자는 간단하게는 통신사와 ISP를 , 부가통신사업자는 이러한 기간통신에 기반한 서비스를 제공하는 사업자로 모든 인터넷 사업자를 포함한다. 부가통신사업자에게는 신고(특수한 유형의 부가통신사업자는 등록) 의무가 있는데, 사업자는 신고하고 1년 이내 사업을 시작해야 하고, 신고 사항의 변경, 사업의 양도·양수 또는 합병·상속, 사업의 휴지·폐지도 모두 신고를 해야 하며, 이러한 제한을 위반할 경우 과학기술정보통신부장관에 의해 사업의 전부 또는 일부의 폐지를 당하고 징역형 또는 벌금형에 처해질 수 있는 매우 강력한 진입규제로 운영되고 있다.
인터넷은 컴퓨터 이용자들의 자발적인 결합체로서 구조상 중심이 없고 각 이용자는 오프라인 상의 영향력에 관계 없이 온라인 상으로는 동일한 지위를 갖는다. 이에 따라 인터넷은 힘없는 개인이나 영세한 스타트업도 정부기관이나 막강한 대기업과 경쟁할 수 있는 정보력과 전파력을 가질 수 있도록 하는 해방적 사회적 기능을 수행하고 있다. 그런데 인터넷을 통해 타인의 정보를 매개하는 행위 모두를 “부가통신역무”이라고 정의하여 신고제 등의 진입규제를 가하는 것은 이와 같은 기능을 훼손한다.
또한 부가통신서비스는 계속 새로운 유형의 서비스가 생겨나고 서비스의 규모나 중요도도 다양하므로 일괄적인 진입규제는 혁신을 저해하게 되며 사실상 가능하지도 않다. 그렇기에 대부분의 IT 강국에서는 부가통신서비스를 진입규제 대상으로 삼고 있지 않다. 이렇게 비교법적으로도 유례가 드문 우리나라의 강력한 부가통신서비스 규제는 시급하게 해소가 필요한 단계인데 이를 강화하자는 목소리는 인터넷에 대한 몰이해를 반영한다.
변화무쌍한 부가통신서비스의 특성상 국가별로 그 정의가 매우 다르며, 국제적으로 합의된 분류체계도 존재하지 않는다. 그런데 개정안은 제안이유에서 “부가통신역무에 대한 규정이 미흡한 상황”이라고 하면서 “부가통신역무에 대한 새로운 법적 정의가 필요”하다며 부가통신역무를 다음과 같이 5가지로 분류했다.
개정안 제2조
12. “부가통신역무”란 기간통신역무 외에 다음 각 목의 어느 하나에 해당하는 전기통신역무를 말한다.
가. 인터넷 주소·정보 등의 검색과 전자우편·커뮤니티·디지털콘텐츠 등을 종합적으로 제공하는 전기통신역무
나. 음성·데이터·영상 등의 송신 또는 수신을 제공하는 전기통신역무
다. 통신기기를 작동 및 제어하는 장기운영체제를 제공하는 전기통신역무
라. 「전자상거래 등에서의 소비자보호에 관한 법률」제2조제4호에 따른 통신판매중개 중 통신기기를 이용하는 전기통신역무
마. 가목부터 라목까지에서 규정한 역무 외에 과학기술정보통신부장관이 정하여 고시한 전기통신역무
우선 “부가통신역무”를 “기간통신역무 외의 모든 전기통신역무”라는 네거티브 방식으로 정의하여 기간통신사업자 외에 전기통신역무를 제공하는 모든 사업자를 규제대상으로 삼던 것을 포지티브 방식으로 정의하려 한 것은 의미가 있다. 그러나, 실제 내용으로 들어가보면 “디지털콘텐츠 등을 제공” , “데이터. . 의 송신 또는 수신을 제공” 등의 폭넓은 문구들이 들어 있어 결국 현재의 온라인 서비스 업체 어느 곳도 배제되지 않아 개정의 의도가 불분명하다. 더 큰 문제는 과학기술정보통신부장관의 고시에 따라 신고제 대상 사업자가 결정되도록 해서 현재 “전기통신역무”의 정의도 불분명한 상태에서 행정기관의 자의적인 판단에 따라 대상 사업자들이 확대될 수 있다는 점이다.
현행법상 스팸문자 규제를 위해 정의된 제2조 제13호 나목의 특수한 유형의 부가통신사업자는 등록이라는 더 강화된 진입규제 하에 있으며, 송신인의 전화번호가 변작 등 거짓으로 표시되는 것을 방지하기 위한 기술적 조치를 실시해야 하고, 요금신고를 하고 신고 내용을 공개해야 할 의무도 있다. 개정안에서는 서비스의 범위를 “문자메세지” 발송에서 “문자메시지·전자메일·팩스·문서” 발송으로 대폭 확대했는데, 문자메시지는 항시수신상태를 유지하고 있어야 되기 때문에 스팸문자메시지는 침입적 성격이 크지만 그렇지 않은 전자메일 서비스 등을 특별히 더 강하게 규제할 이유를 찾을 수가 없으며, 이렇게 규정되면 그 대상도 SNS, 메일시스템을 갖추고 있는 웹사이트 운영자 등 무한대로 넓어질 수 있다. 그리고 송신인의 “전화번호”가 아닌 “정보”에 관해 기술적 조치를 실시해야 하는데 전화번호와 달리 정보가 개인정보를 말하는 것인지 그 내용을 포함한 것인지, 정보 변작 방지를 위한 기술적 조치가 가능한지도 알 수 없다. 이런 유형의 서비스들은 대부분 무료로 제공되기 때문에 요금신고를 해야 할 타당성도 찾을 수 없다.
그리고 개정안은 기존에 기간통신사업자에게만 부과하던 일부 의무를 부가통신사업자에게 확대했다. 안 제29조의 요금 감면 조항과 제34조의 경쟁상황 평가 실시 조항이 그것이다. 내용의 당부를 떠나 기간통신사업자와 부가통신사업자는 전혀 다르기 때문에 동일하게 규제해서는 안 된다. 기간통신산업은 전통적으로 필수설비의 존재, 대규모 매몰비용과 규모의 경제로 인해 높은 진입장벽이 존재하며, 그렇기 때문에 통상 국영기업 또는 공기업의 형태로 운영되어 오다가 민영화의 과정을 거친 후 소수의 사기업이 참여하는 독과점적인 구조를 유지하는 자연독점사업의 특성을 지니고 있다. 반면에 부가통신산업은 무한대의 다양한 서비스 창출이 가능해 원칙적으로는 진입장벽이 낮고 경쟁적인 시장이다. 기간통신사업자에게 적용되는 ‘망중립성 원칙’과 유사하게 부가통신사업자에게는 ‘플랫폼 중립성’이나 ‘검색 중립성’ 원칙을 적용해야 한다는 논의가 있으나 지지를 받지 못하는 이유도 양 산업의 근본적 차이에 있는 것이다.
결론적으로 부가통신서비스에 대한 진입규제 또는 사전규제를 강화하고 기간통신사업자와 같이 강하게 규제하려는 이러한 시도는 인터넷 생태계에 독이 되며 갈라파고스적 규제로 역차별을 초래해 결국 국내 사업자들만 피해를 볼 뿐만 아니라, 인터넷을 통해 사람들을 연결해주고자 하는 사업자들을 위축시켜 이용자들의 표현의 자유를 저해하게 된다. 지금은 부가통신서비스 규제 강화가 아닌 완화가 필요한 시점이다.
2017년 12월 27일
사단법인 오픈넷
문의: 오픈넷 사무국 02-581-1643, [email protected]
사물인터넷 환경에서의 개인정보보호와 보안” 주제로 국회에서 31일 토론회 열려
오는 8월 31일(목) 오후2시 국회의원회관 제1세미나실에서 “사물인터넷 환경에서의 개인정보보호와 보안”을 주제로 토론회가 개최됩니다.
개인정보보호와 보안 측면에서 사물인터넷 및 자율주행차량 관련 국내외 논의를 검토하고 정보인권 보장을 위한 시사점을 도출해 볼 31일 토론회는 정보인권연구소 오병일 이사가 발제를 맡았습니다. 한국소비자연맹 정지연 사무총장의 사회로 강장묵 교수(고려대학교 연구교수), 권석철 대표(큐브피아), 박준우 사무처장(함께하는시민행동). 좌혜선 변호사(한국소비자단체협의회 사무국장), 김호성 단장(한국인터넷진흥원 개인정보기술단)이 토론에 참여할 예정입니다.
우선 ‘사물인터넷(Intenet of Things)’은 사람, 사물, 데이터 등 모든 것이 인터넷으로 서로 연결되어, 정보가 생성, 수집, 공유, 활용되는 기술, 서비스를 통칭하는 개념입니다. 사물인터넷은 소비자 생활의 편익을 향상시킬 수 있지만, 다른 한편으로 최근 유럽과 미국 등에서는 사물인터넷과 개인정보보호 위협 요소에 대한 검토도 이루어져 왔습니다. 특히 사물인터넷의 보안위험성은, 무단 접근 및 개인정보 남용, 다른 시스템에 대한 공격 수단으로 이용, 개인 안전에 대한 위험이 지적되고 있습니다. 이에 발제자는 해외 개인정보보호 및 소비자 관련 기구들이 그에 대한 대책으로 △보안 중심설계(Security by Design) △보안 침해시 소비자 고지 등의 정책을 추진하고 있는 현황을 소개하고, 최근 한국 사회에서 사물인터넷 환경을 빗대 고지 및 동의 제도, 최소 수집 원칙을 완화시켜야 한다는 일부 주장에 대하여 비판적으로 검토하였습니다. 마지막으로 발제자는 “이용자의 개인정보 보호에 대한 신뢰가 IoT 성장의 열쇠”라고 강조하였습니다.
한편 이로써 5차에 걸쳐 개최된 「 ‘4차 산업혁명’과 정보인권 」 연속토론회 가 대단원의 막을 내렸습니다. 이번 연속토론회는 문재인 정부 공약 사항인 ‘4차 산업혁명’과 ‘개인정보 보호 강화’를 조화시키고 미래 신기술로부터 국민의 정보인권을 보호할 수 있는 방안을 모색하고자 개최되었으며, 국회 과학기술정보방송통신위원회 변재일(더불어민주당, 충북 청주시청원구), 김성수(더불어민주당, 비례대표), 추혜선(정의당, 비례대표), 국회 행정안전위원회 진선미(더불어민주당, 서울 강동구갑), 권은희(국민의당, 광주 광산구을), 이재정(더불어민주당, 비례대표) 의원과 언론개혁시민연대, 정보인권연구소, 진보네트워크센터, 참여연대, 한국소비자단체협의회, 함께하는시민행동 등 시민사회단체가 공동으로 주최하고 국가인권위원회가 후원했습니다.
지난 7월 24일 ‘정보·수사기관과 미래 신기술, 어떻게 만나야 하는가’ 주제로 개최된 제1차 토론회를 시작으로, ‘빅데이터 활용과 개인정보 보호, 바람직한 균형은 무엇인가’를 주제로 했던 제2차 토론회(7/26), ‘빅데이터 활용과 개인정보 보호, 바람직한 균형은 무엇인가’를 주제로 한 제3차 토론회(8/8) 및 ‘빅데이터 시대 이용자의 권리 - 프로파일링 규제를 중심으로’를 주제로 한 제4차 토론회(8/17)까지 성황리에 마친 바 있습니다. 「 ‘4차 산업혁명’과 정보인권 」 연속토론회 가 한국사회의 이른바 ‘4차 산업혁명’ 논의 속에서 시민과 노동자, 소비자의 정보인권을 보장하기 위한 방안을 모색하고 사회적 토론을 촉발하는 기회가 되었기를 기대해 봅니다.
관심 있는 많은 분들의 참여와 취재를 바랍니다.
1차 토론회 4차산업혁명과 정보인권- 수사기관과 미래 신기술, 어떻게 만나야 하는가
2차 토론회 당신의 사생활을 삽니다? -빅데이터 활용과 개인정보 보호, 바람직한 균형은 무엇인가
3차 토론회 어디에 믿고 맡길 수 있나, 내 개인정보? 개인정보보호 컨트롤타워
4차 토론회 빅데이터 시대, 이용자의 권리
사단법인 오픈넷은 문재인 정부가 국민으로부터 정책을 제안받기 위해 조직한 국민인수위원회를 통해 정보통신 관련 정책을 제출하는 행사를 연다.
오픈넷은 7월 4일 오후 6시 20분에 서울 세종로공원에 설치된 ‘광화문1번가’에서 여는 행사에서, 그동안 추진해 온 정책 중 시급하고 주요한 사안을 정리하여 정부에 제출한다. 해당 정책은 방송통신위원회(‘방통위’), 방송통신심의위원회(‘방심위’), 문화체육관광부(‘문화부’) 소관 내용으로, 행사장에는 이들 부서의 담당자가 나와 정책 제안을 접수하고 대담할 예정이다.
오픈넷이 제출할 정책은 △정보통신망법상 임시조치 제도 개선 △청소년유해매체물 차단수단 강제 폐지 △휴대폰 실명제 단계적 폐지(이상 방통위 소관) △통신심의대상 정보의 한정화 및 효율화(방심위 소관) △저작권 정책 개선(문화부 소관) 등이다.
새 정부가 이 같은 정책의 필요성과 중요성을 인식하고 신속하게 국정에 반영함으로써 인터넷 이용자와 일반 시민의 정보인권을 향상시키는 계기로 삼아야 한다. 오픈넷은 “온라인과 오프라인의 민의 분출을 통해 탄생한 정부이니만치 높아진 시민의 눈높이에 맞춰 정보통신 정책을 전향적으로 개편함으로써 국민의 표현의 자유와 알 권리, 문화물 향유 보장에 나서야 한다”라고 말한다.
광화문1번가는 서울 세종로공원에 설치된 새 정부의 소통 공간으로, 국민인수위원회는 이 공간을 통해 다양한 국민과 시민사회의 정책 제안을 받고 이를 국정에 반영하게 된다. 오는 7월 12일까지 매주 화,목요일에 ‘열린 포럼’을 열어 주제별 정책 이슈를 집중 논의하고, 그외에도 소규모 간담회, ‘국민 마이크’ 등 다양한 방식으로 민의를 수렴한다.
문의: 오픈넷 사무국 02-581-1643, [email protected]
▶ 영상으로 보기: http://opennet.or.kr/opentalk/13900
김가연 변호사 <정보통신망법상 임시조치 제도 개선/청소년유해매체물 차단수단 강제 폐지/휴대폰 실명제 단계적 폐지>
손지원 변호사 <방심위 통신심의 권한 축소 및 조직, 위원 구성의 독립성, 다양성 확립>
박지환 변호사 <저작권 정책 개선>
허광준 정책실장 “저희와 함께 살고 있는 이웃들, 네티즌들, 동료 시민들을 위해서 계속 이야기하고 문제제기를 하고 두들기고 열 것입니다”
시민들의 의견
댓글 달기