소비자 개인정보 침해에 대한 손해배상제도의 개선방안

– 홈플러스 사건을 중심으로 -

일시장소 : 2018년 11월 12일(월) 오전10시 국회 제8간담회실

[사진]2018.11.12. 소비자 개인정보 침해에 대한 손해배상제도의 개선방안 토론회 현장

1. 취지 및 내용

홈플러스 개인정보 유출사건과 관련하여 안산소협이 제기한 소에서 제1심법원은 미동의 FMC회원 중 ‘FMC 회원, 사전필터링 인정’란에 표시된 원고들을 제외한 나머지 원고들의 경우, 피고가 위 원고들로부터 개인정보 제3자 제공에 관한 동의를 받았거나, 위 원고들의 개인정보를 사전필터링을 위해 보험회사에 제공하지 않았다는 점에 관하여 피고에게 입증책임이 있다고 보았습니다. 즉, 위 원고들의 개인정보가 사전필터링을 위해 보험회사에 제공되지 않았다는 점을 인정할 증거가 없는 이상 위 원고들의 개인정보가 사전필터링을 위해 보험회사에 제공되었다고 사실상 추정되므로 미동의 FMC회원 모두를 불법행위로 인한 피해자에 해당한다고 본 것입니다.

반면, 제2심법원은 민법 제750조의 불법행위책임이 성립하기 위해서는 가해행위의 존재, 가해자의 고의/과실 및 책임능력, 위법성, 손해 및 인과관계 등의 요건이 모두 증명되어야 하며, 개인정보보호법 등 특별법상 불법행위책임에 있어서도 고의/과실 등 일부 요건의 증명책임을 전환하거나 면제하는 것을 제외하고는 위 요건이 모두 원고로부터 입증되어야 한다고 보았습니다. 즉, 개인정보보호법 제39조, 정보통신망법 제32조, 표시광고법 제10조는 불법행위 성립을 위한 여러 요건 중 ‘고의/과실’ 요건에 한하여 증명책임을 전환하거나 면제하고 있으므로, 이를 명확히 구분한 입법자의 의사를 고려하여 가해행위의 존재에 관한 증명책임은 여전히 피해를 주장하는 원고에게 있고, 원고들로부터 자신의 개인정보가 사전필터링을 위해 보험회사에 제공되었다는 사실에 관한 입증이 없는 이상, 위 원고들을 불법행위의 피해자로 볼 수 없다고 판단한 것입니다.

그러나 제2심 판결에서 정보주체인 개인이 개인정보처리자인 사업자의 가해행위에 대하여 입증하도록 한 것은 관련 자료 대부분이 사업자에게 있으며, 사업자는 관련 자료를 훨씬 쉽게 취득하고 관리할 수 있는 점 등 사업자와 소비자간 정보의 비대칭성을 고려할 때 소비자에게 매우 불리한 것입니다. 나아가 기타 불법행위 성립 요건에 대하여도 사업자가 입증책임을 부담하도록 하는 것이 개인정보보호법이‘고의/과실’요건의 입증책임 전환규정을 둔 입법취지에도 부합할 것입니다. 결론적으로 개인정보보호법상 손해배상책임 문제를 위 제2심법원의 판시와 같이 엄격하게 본다면 결국 개인정보 유출 피해에 대한 구제가 사실상 불가능해질 것입니다. 이에 학자, 실무가, 입법관계자 등을 모시고 홈플러스 사건을 중심으로 소비자 개인정보 침해에 대한 손해배상제도의 개선방안에 대하여 토론하는 자리를 마련하고자 합니다.
 

2. 토론회 개요

- 일시 : 2018년 11월 12일(월) 오전 10시
- 장소 : 국회의원회관 제8간담회실
- 주최 : 더불어민주당 국회의원 이학영, 홍익표, 경제정의실천시민연합, 진보네트워크, 참여연대, 한국소비자단체협의회, 국회시민정치포럼
- 사회 : 이성환 변호사 (법무법인 안세)
- 발제1. 개인정보보호법상 소비자 손해배상제도의 문제점 - 김보라미 변호사(법무법인 나눔)

- 발제2. 소비자 개인정보 유출과 손해의 입증책임 - 권대우 교수(한양대 로스쿨)
- 지정토론 : 강신하 변호사 (법무법인 상록), 성춘일 변호사(참여연대 민생희망본부 실행위원), 홍대식 교수(개인정보보호위원회 제1법령평가 전문위원장), 최정민 국회 입법조사관(입법조사처 안전행정팀)

토론회 자료집 [다운로드]

소비자 개인정보 침해에 대한 손해배상제도의 개선방안

– 홈플러스 사건을 중심으로 -

일시장소 : 2018년 11월 12일(월) 오전10시 국회 제8간담회실

1. 취지 및 내용

홈플러스 개인정보 유출사건과 관련하여 안산소협이 제기한 소에서 제1심법원은 미동의 FMC회원 중 ‘FMC 회원, 사전필터링 인정’란에 표시된 원고들을 제외한 나머지 원고들의 경우, 피고가 위 원고들로부터 개인정보 제3자 제공에 관한 동의를 받았거나, 위 원고들의 개인정보를 사전필터링을 위해 보험회사에 제공하지 않았다는 점에 관하여 피고에게 입증책임이 있다고 보았습니다. 즉, 위 원고들의 개인정보가 사전필터링을 위해 보험회사에 제공되지 않았다는 점을 인정할 증거가 없는 이상 위 원고들의 개인정보가 사전필터링을 위해 보험회사에 제공되었다고 사실상 추정되므로 미동의 FMC회원 모두를 불법행위로 인한 피해자에 해당한다고 본 것입니다.

반면, 제2심법원은 민법 제750조의 불법행위책임이 성립하기 위해서는 가해행위의 존재, 가해자의 고의/과실 및 책임능력, 위법성, 손해 및 인과관계 등의 요건이 모두 증명되어야 하며, 개인정보보호법 등 특별법상 불법행위책임에 있어서도 고의/과실 등 일부 요건의 증명책임을 전환하거나 면제하는 것을 제외하고는 위 요건이 모두 원고로부터 입증되어야 한다고 보았습니다. 즉, 개인정보보호법 제39조, 정보통신망법 제32조, 표시광고법 제10조는 불법행위 성립을 위한 여러 요건 중 ‘고의/과실’ 요건에 한하여 증명책임을 전환하거나 면제하고 있으므로, 이를 명확히 구분한 입법자의 의사를 고려하여 가해행위의 존재에 관한 증명책임은 여전히 피해를 주장하는 원고에게 있고, 원고들로부터 자신의 개인정보가 사전필터링을 위해 보험회사에 제공되었다는 사실에 관한 입증이 없는 이상, 위 원고들을 불법행위의 피해자로 볼 수 없다고 판단한 것입니다.

그러나 제2심 판결에서 정보주체인 개인이 개인정보처리자인 사업자의 가해행위에 대하여 입증하도록 한 것은 관련 자료 대부분이 사업자에게 있으며, 사업자는 관련 자료를 훨씬 쉽게 취득하고 관리할 수 있는 점 등 사업자와 소비자간 정보의 비대칭성을 고려할 때 소비자에게 매우 불리한 것입니다. 나아가 기타 불법행위 성립 요건에 대하여도 사업자가 입증책임을 부담하도록 하는 것이 개인정보보호법이‘고의/과실’요건의 입증책임 전환규정을 둔 입법취지에도 부합할 것입니다. 결론적으로 개인정보보호법상 손해배상책임 문제를 위 제2심법원의 판시와 같이 엄격하게 본다면 결국 개인정보 유출 피해에 대한 구제가 사실상 불가능해질 것입니다. 이에 학자, 실무가, 입법관계자 등을 모시고 홈플러스 사건을 중심으로 소비자 개인정보 침해에 대한 손해배상제도의 개선방안에 대하여 토론하는 자리를 마련하고자 합니다.
 

2. 토론회 개요

- 일시 : 2018년 11월 12일(월) 오전 10시
- 장소 : 국회의원회관 제8간담회실
- 주최 : 더불어민주당 국회의원 이학영, 홍익표, 경제정의실천시민연합, 진보네트워크, 참여연대, 한국소비자단체협의회, 국회시민정치포럼
- 사회 : 이성환 변호사 (법무법인 안세)
- 발제1. 개인정보보호법상 소비자 손해배상제도의 문제점 - 김보라미 변호사(법무법인 나눔)

- 발제2. 소비자 개인정보 유출과 손해의 입증책임 - 권대우 교수(한양대 로스쿨)
- 지정토론 : 강신하 변호사 (법무법인 상록), 성춘일 변호사(참여연대 민생희망본부 실행위원), 홍대식 교수(개인정보보호위원회 제1법령평가 전문위원장), 최정민 국회 입법조사관(입법조사처 안전행정팀)

반복된 개인정보유출, 그래도 규제완화가 우선인가

국회의원이 구청의 유권자 개인정보 빼내 선거운동 활용 드러나

감독시스템 구축, 동의제도 실질화, 정보주체 통제장치 마련이 우선

과거 새누리당이 구청이 보유한 주민명부를 빼내는 등 불법적으로 유권자정보를 수집해 선거운동에 활용하는 일이 비일비재했다는 관련자 폭로가 나왔다. 2011년 서대문갑 지역 유권자 수만 명의 이름, 주소, 주민번호 앞자리, 전화번호, 휴대전화번호가 엑셀파일로 공유된 증거도 제시되었다. 백군기 현 용인시장도 지자체 공무원으로부터 관할지역 주민들의 개인정보를 넘겨받아 선거에 활용했다는 의혹을 받고 있다. 국민의 개인정보를 안전하게 보호, 관리해야 할 공무원들이 불법행위를 저지른 것이다. 이것이 현실이다. 

이는 우리 개인정보 보호시스템이 한 개인의 일탈을 막아내지 못하고 있다는 것을 의미한다. 그래서 범죄행위를 저지른 공무원 개인의 문제로 보면 해결책을 마련할 수 없다. 구조적인 문제가 있다. 개인정보 보호수준이 세계최강이라고 주장하기 전에 우리 개인정보 보호시스템의 구조적 취약점을 진단하고 이를 개선해야 했는데 이를 외면하고 미룬 결과다. 그런데도 그동안 정부, 국회, 산업계가 개인정보 보호시스템 개선이 아니라 개인정보 보호 수준을 완화할 궁리만 해 왔으니 개인정보보호가 제대로 될 리 없었다. 

국가나 공공기관은 건강정보, 전과기록, 가족관계 등 각종 민감한 정보들도 국가의 행정목적 수행을 위해 개별적 동의 없이도 장기간에 걸쳐 축적하고 있다. 개인의 내밀한 사생활이 그대로 드러날 수 있는 정보들이 유출되면 개인의 프라이버시는 한순간에 무너질 수밖에 없다. 그래서 공공영역에서 수집, 관리되는 개인정보에 대한 국민적 이해관계는 매우 강력하다 . 그런데 이번에 드러난 유권자 정보 불법유출사례는 지방자치단체의 개인정보 관리실태가 얼마나 부실한지 여실히 드러낸다. 권력에 대한 의지 앞에서 정보주체의 권리 따위는 쉽게 무시되었다. 

한국사회에서 개인정보 유출과 무단활용은 하루이틀의 일이 아니다. 약학정보원은 2011년부터 2014년 사이 전국 약국과 병원에서 수집한 국민 4천4백만 명의 진료정보, 처방 내역 등 47억 건을 동의 없이 다국적 기업인 IMS 헬스에 판매했다. 건강보험심사평가원은 2014년부터 2017년 사이 민간보험사와 민간보험연구기관에게 6,420만명 분에 해당하는 개인건강정보를 판매했다. 2016년 정부가 법적근거 없는 비식별조치가이드라인을 만들자마자 기업들은 거센 위법성 논란에도 3억 4천만 건의 개인정보를 동의 없이 과감하게 상호 결합시켰다. 이렇게 반복되는 개인정보 유출과 무단활용은 영리 목적으로 개인정보를 활용하려는 기업들의 강력한 동기가 법적 규제, 기술적 관리적 조치들까지도 쉽게 무력화시킨다는 것을 보여준다.  

개인정보의 활용에 있어 가장 중요한 전제조건인 개인정보 보호에 대한 신뢰는 이미 추락할 대로 추락했다. 이런 상황에서 산업활성화를 위해 국가가 공적 목적으로 수십년간 축적해온 개인정보를 사기업에 넘기거나 사기업의 정보와 결합하는 걸 제도화하겠다는 것은 현실을 전혀 모르거나 무시하는 것이다. 이런 데도 데이터 산업을 활성화하겠다는 미명 하에 문재인 정부는 개인정보의 실질적 보호를 위한 정책은 추진하지 않은 채 규제완화만 밀어붙이고 있다. 무모하다고 해야 할 지 무심하다고 해야 할 지 모를 일이다. 바야흐로 빅데이터 시대에 정부가 해야 할 일은 데이터를 좀더 안전하게 활용할 수 있는 환경을 조성하는 것이다. 난맥상을 보이는 개인정보에 관한 규범체계를 정비하고 실질적이고 일원화된 감독시스템을 구축하는 것이 필요하다. 또, 정보주체가 자신의 정보에 대해 실질적으로 동의권을 행사할 수 있도록 동의제도를 개선하고, 개인정보 처리여부와 과정에 대해 정보주체가 열람, 처리중지 요구 등의 통제장치를 제대로 마련하는 등 정보주체가 자기 정보를 실질적으로 통제하고 관리할 수 있는 제도를 마련해야 한다. 그런데 보호는 뒷전이고 규제만 풀어주면, 지금도 무법천지나 다름없는 데이터시장에서 합법적인 데이터거래, 유통을 조장하는 것이다. 이것이 빅데이터 산업 활성화라는 이름으로 자행되고 있다.

사전규제를 완화하는 대신 사후규제나 개인정보처리자의 책임성을 강화하겠다고도 주장하지만 이는 현실성이 없다. 개인정보를 탐내는 자들이 권력을 이용해 불법행위를 저지르고도 7년이 지나서야 폭로된 것에서도 알 수 있듯이 개인정보의 무단수집, 활용은 은밀하게 이루어져 정보주체나 감독기구로서는 이를 알아채거나 적발하기 쉽지 않다. 강력한 사후규제로 늘 얘기되는 집단소송이나 징벌적 배상은 규제실패나 규제완화를 무마하기 위한 정치적 수사로 사용되고 있다. 규제를 풀기 위해서는 적절한 보호장치를 마련하는 것이 우선되어야 한다. 

 대통령은 23일 빅데이터 활성화를 위한 개인정보 규제완화 관련 내용을 발표한다고 한다. 대통령은 이미 개인정보규제를 우회하기 위한 각종 규제특례법도 조속히 처리할 것을 주문했고, 여야는 8월 임시국회에서 이를 처리하겠다고 한다. 시민사회의 우려와 분노는 커질 대로 커지고 있다. 개인정보, 특히 디지털화된 개인정보가 데이터시장에 풀리는 순간 이를 돌이킬 방법은 없다. 대책을 마련해야 한다. 이런 식으로 규제를 풀어준다고 해서 산업활성화가 되는 것이 아니다. 지금이라도 늦지 않았다. 문재인 정부가 대기업의 개인정보 장사를 위해 국민들의 개인정보 보호를 희생시킨 정권으로 기록되지 않길 바란다. 시민사회의 우려와 의견을 진지하게 받아들여 개인정보의 보호와 활용을 위한 정책 전반을 재검토할 것을 요구한다. 끝.

마이데이터사업, 동의제도 실질화 우선돼야

요식적 동의 거쳐 방대한 개인정보 불공정하게 거래될 위험 높아

위법한 보건의료빅데이터시범사업 중단해야 한다

국민의 민감정보 동의없이 결합해 민간에 제공할 법적 근거 없어

보건의료 빅데이터 활용 관련 법적 정비와 사회적 공론화 필요 

건강보험공단, 건강보험심사평가원 등 4개 공공기관이 수집, 보유하고 있는 국민의 보건의료정보를 법적 근거 없이 결합하여 민간에 제공하는 “보건의료빅데이터 시범사업”이 현재 진행 중이다. 참여연대 공익법센터(소장 양홍석 변호사)는 국민의 민감정보를 법적 근거나 정보주체 동의도 없이 결합하여 민간에 제공하는 불법적인 보건의료빅데이터 시범사업을 당장 중단할 것을 요구한다. 

이 사업은 지난 박근혜 정부 당시 법적 근거 없는 ‘비식별조치 가이드라인’에 기대어 빅데이터를 활용한 의료산업을 활성화하겠다는 명분으로 시작되었다. 초기 단계부터 많은 보건의료단체와 시민사회단체들은 법적 근거 미비, 공론화 부재, 민감정보 유출과 재식별 위험성, 건강정보의 영리적 활용과 불평등 심화 우려 등을 주장하며 강력히 반대해왔다. 이에 보건복지부는 데이터 활용 목적과 범위를 조정하거나 시민사회를 일부 참여시키는 거버넌스 구축 등을 추진하고 있지만, 법적 근거가 없다는 가장 근본적인 문제점은 무시한 채 계속 사업을 강행하고 있다.

시범사업에서 연계하려는 정보들은 대부분 ‘건강에 관한 정보’로서 개인정보보호법 제23조가 ‘민감정보’로 규정하여 그 처리를 매우 엄격히 제한하고 있는 정보이다. 특히 전국민 강제가입 단일의료보험체계와 주민등록번호제도에 의해 한국 정부는 엄청난 양과 밀도, 연계성을 지닌 국민보건의료정보를 집적하고 있다. 전세계 어느 나라보다 많은 개인정보가 수집, 축적되는 현실을 고려하면 개인정보 활용에 있어서도 더욱 엄격한 요건과 절차를 마련하지 않으면 안된다. 특히 보건의료정보의 민감성, 유출시 피해, 악용가능성에 대한 문제제기가 있는 만큼 법제 정비가 우선되어야 한다.

개인정보보호법 제23조에 따르면 이러한 민감정보를 처리할 수 있는 경우는 정보주체의 별도 동의가 있거나 ‘법령에서 민감정보의 처리를 요구하거나 허용하는 경우’로 엄격히 제한된다. 그런데 보건의료 빅데이터 시범사업은 수십억 건의 민감정보를 동의 없이 결합하고 제3자에 제공하는 것을 내용으로 하고 있음에도, 이를 허용하는 법령상 근거가 전혀 없다. 보건복지부는 최초에는 박근혜 정부에서 만들어진 ‘비식별조치 가이드라인’에 기대어 동의 없이 민감정보를 활용하려 했다. 그러다 비식별조치 가이드라인의 불법성 지적이 계속되고 사실상 사회적으로 해당 가이드라인이 유효성을 상실하자, 이제 ‘보건의료기술진흥법’ 제26조를 정당화 근거로 내세우고 있다. 보건의료기술진흥법 제26조는 한국보건의료연구원이 연구를 위해 공공기관으로부터 자료제출을 요청해 자료를 통합할 수 있다는 내용을 담고 있다. 그러나 이 조항만으로는 보건의료빅데이터시범사업을 정당화할 수 없다. 

개인정보보호법 제23조에서 말하는 “법령에서 민감정보의 처리를 요구하거나 허용하는 경우”란 민감정보의 처리가 필요한 사무와 민감정보의 종류를 명시적으로 열거하고 민감정보의 처리를 요구하거나 허용하는 경우로 제한되는 것이다(법제처의 유권해석이나 행정안전부의 개인정보보호법 해설서도 이를 명확히 밝히고 있다). 그런데 보건의료기술진흥법 제26조는 민감정보의 처리가 필요한 사무를 그저 “연구를 위하여”라고 광범위하게 규정하고 있고, 민감정보의 종류도 전혀 열거하지 않은 채 그저 모든 국가기관과 대통령령으로 정하는 공공기관이 보유한 “자료”라고만 추상적으로 규정하고 있다. ‘연구’를 위한 ‘자료’ 통합이 가능하다는 추상적 규정 하나로 수십 종류, 수십억 건의 민감정보 처리를 정당화하는 것은 불가능하다. 하위법규에도 이 자료통합과 관련된 범위나 절차, 방법, 안전조치 등을 구체화하는 내용이 전혀 존재하지 않는다. 이 조항은 애초에 민감정보의 처리를 정당화하기에 불충분하다.

또한 해당 조항은 연구의 주체, 자료제출 요청이나 자료통합의 주체로 ‘한국보건의료연구원’을 명시하고 있기 때문에 한국보건의료연구원이 주체가 된 연구가 아니라면 당연히 데이터 결합이나 이용이 불가능함이 명확하다. 그런데 보건복지부가 추진하는 보건의료빅데이터 플랫폼은 그 이용자를 중앙행정기관, 지방자치단체, 공공기관, 지방공공기관, 국내 의료기관, 학계, 연구기관으로 상정하고 있다. 즉 플랫폼을 통해 연계된 보건의료정보를 제공받아 연구에 활용하는 주체는 한국보건의료연구원이 아닌 민간연구기관을 포함한 다양한 제3자다. 현재 시범사업의 하나로 추진 중인 ‘보건의료 빅데이터 연계·활용 강화연구’ R&D 과제도 한국보건의료연구원이 아닌 다양한 국내 의료기관과 대학 소속 연구진들이 수행하는 것으로, 공모에 선정된 이들이 데이터를 제공받아 활용할 예정이다. 연구과제를 발주하면서 “연구과제 수행시 ‘한국보건의료연구원’과 협력체계를 구축하여 관리할 예정”이라는 문구를 삽입하였지만, 그런 문구를 넣는다고 그 연구가 한국보건의료연구원이 수행하는 연구가 되는 것도 아니다. 이는 어떻게든 보건의료기술진흥법 제26조를 정당화의 근거로 만들어보고자 하는 보건복지부의 꼼수에 불과하다. 

이처럼 보건의료빅데이터 시범사업은 그 법적 근거를 전혀 갖추지 못한 채로 추진되고 있다. 보건복지부가 현재 거버넌스 체계를 구축하거나, 시민사회 등 각계의 다양한 목소리를 정책수립과 집행에 반영하려는 시도를 하고 있지만, 중요한 것은 그러한 거버넌스에 시민사회가 참여한다고 하여, 명백한 불법성이 치유될 수는 없다는 점이다. 보건복지부는 거버넌스를 불법적인 사업을 합리화하는 도구로 이용해서는 안된다. 법적 근거도 정보주체의 동의도 없이 민감정보를 대량으로 연계해 민간이 이용하도록 하는 것은 불법이라는 점은 달라지지 않는다. 

무엇보다 우리는 이 사업이 보건의료 빅데이터의 산업적, 상업적 활용 요구를 배경으로 추진되고 있다는 것에 주목한다. 건강보험심사평가원은 영리 목적에 활용될 것을 알면서도 수년간 민간보험회사에 6천만 건이 넘는 국민의 건강정보 데이터를 비식별화를 거쳤다며 제공했고, 약학정보원은 미국의 빅데이터 업체인 IMS헬스에 50억 건에 달하는 처방전 정보를 판매했다가 재판을 받고 있다. 이처럼 보건의료정보는 영리적, 산업적 활용을 위해 그 개방의 요구가 거세고, 위법 논란을 감수하면서까지 활용이 추진되고 있다. 보건의료 빅데이터를 공공적 연구에 활용할 때 일정한 사회적 가치가 발생할 가능성이 있겠지만, 수천만 국민의 보건의료정보에 대한 통제권을 후퇴시키면서까지 데이터 연계 및 제공에 나서야만 하는 절박한 상황이라고 보기는 어려울 것이다. 

정부는 빅데이터가 가져올 것이라는 장밋빛 전망에 기대어 보호해야 할 전국민의 민감한 의료정보를 쉽게 내어주는 것은 아닌지 점검해야 한다. 보건의료 빅데이터 연구 문제는 앞으로 더 많은 사회적 공론화의 과정을 거쳐야 하고 법적 보호체계도 정비되어야 한다. 정부는 불법적인 정책을 추진할 것이 아니라, 적어도 법적 근거가 제대로 마련되기 전까지 현재의 보건의료빅데이터 시범사업을 중단해야 한다. 보건복지부는 법적 근거 마련을 위한 연구용역을 이번 7월에 발주하고 입법개선을 추진하겠다고 하는데, 그것이 완비되기 전에는 아무리 시범사업이라 해도 데이터를 연계하거나 제공해서는 안 된다.

<참고> 보건의료기술진흥법 제26조

개헌정책토론회  「정보기본권과 개헌」 개최

 - 디지털시대 정보인권 침해 논란 계속돼 개헌안에 ‘정보기본권’ 신설 논의

 - 오는 22일 오전10시 국회의원회관 제4간담회의실에서 개최

□ 개요

   (제목) 토론회 「정보기본권과 개헌」 개최

   (일시) 3월 22일(목) 오전10:00

   (장소) 국회의원회관 제4간담회의실

   (주최)

    - 시민사회 : 민주사회를위한변호사모임, 사단법인 오픈넷, 정보인권연구소, 진보네트워크센터, 참여연대

    - 국회 : 더불어민주당 이종걸 의원(경기 안양시만안구), 박주민 의원(서울 은평구갑), 민주평화당 조배숙 의원(전북 익산시을), 천정배 의원(광주 서구을), 정의당 이정미 의원(비례대표)

국민적 관심이 일고 있는 개헌과 관련하여 국회의원과 시민사회단체가 공동으로 주최하는 「정보기본권과 개헌」 토론회 가 오는 22일 국회에서 개최됩니다.

이번 토론회는 국회 더불어민주당 이종걸 의원(경기 안양시만안구), 박주민 의원(서울 은평구갑), 민주평화당 조배숙 의원(전북 익산시을), 천정배 의원(광주 서구을), 정의당 이정미 의원(비례대표) 의원과 민주사회를위한변호사모임, 사단법인 오픈넷, 정보인권연구소, 진보네트워크센터, 참여연대 등 시민사회단체가 공동으로 주최합니다.

최근 국회와 정부, 그리고 국가인권위원회에서 논의되었거나 논의중인 개헌안에는 “정보기본권 신설”이 검토되어 왔습니다. 디지털시대 국민의 정보인권 침해와 관련한 여러 논란을 겪어 온 우리 사회에는 정보기본권 신설이 필요하다는 공감대가 어느정도 형성되어 있습니다. 구체적인 개헌안이 논의되는 이 즈음, 국민의 정보기본권을 실질적으로 향상시키기 위하여 어떠한 권리가 어떻게 보장될 필요가 있는지에 대하여 보다 심도 깊은 토론이 필요합니다. 

이호중 교수(정보인권연구소 이사장, 서강대학교 법학전문대학원)의 사회로 진행될 토론회는 정보기본권의 분야별로 △알권리 및 정보접근권 분야에서는 한상희 교수(참여연대 사법감시센터 실행위원, 건국대학교 법학전문대학원), △개인정보 자기결정권 분야에서는 조지훈 변호사(민변 디지털정보위원회 위원장), △정보문화향유권 및 과학문화권 분야는 남희섭 변리사(사단법인 오픈넷 이사), △정보격차해소 및 정보독점 분야는 이은우 변호사(정보인권연구소 이사) △인터넷 표현의자유 분야는 오병일 정책활동가(진보네트워크센터)가 각각 발표할 예정입니다.

□ 프로그램

   사회 : 이호중 (정보인권연구소 이사장, 서강대학교 법학전문대학원 교수)

   주최의원 인사말

   주제별 발표

    - [알권리 및 정보접근권 분야] 한상희 (참여연대 사법감시센터 실행위원, 건국대학교 법학전문대학원 교수)

    - [개인정보 자기결정권 분야] 조지훈 (민변 디지털정보위원회 위원장, 변호사)

    - [정보문화향유권 및 과학문화권 분야] 남희섭 (사단법인 오픈넷 이사, 변리사)

    - [정보격차해소 및 정보독점 분야] 이은우 (정보인권연구소 이사, 변호사)

    - [인터넷 표현의자유 분야] 오병일 (진보네트워크센터 정책활동가)

   종합토론

문의 : 참여연대 정책기획실 (02-723-0808) / 정보인권연구소 장여경 상임이사 02-701-7687

참여연대, 진보넷 등 6개 시민단체는 지난 2월 20일 법무부에 제3차 국가인권정책기본계획(NAP)의 디지털프라이버시권 분야에 대한 시민사회 의견서를 제출했습니다.

의견서 전문은 아래와 같습니다.

제3차 국가인권정책기본계획의 디지털프라이버시권 분야에 대한 시민사회 의견서

1. 국가인권정책기본계획(NAP)과 시민사회

유엔인권최고대표는 국가인권정책기본계획(NAP) 개발에 있어 △ 시민사회 및 국민과 함께 하는 절차와 결과가 중요하고 △ 보편적 인권기준을 수용해야 하며 △ 국제인권 의무사항을 이행하고 △ 인권의 상호의존성 및 불가분성을 보장해야 하며 △ 실천지향적이고 △ 대중적으로 널리 공표되고 △ 모니터링과 평가를 받아야 하며 △ 계획수립과 이행이 지속적이고 △ 구체적인 이행 방법을 책임져야 하며 △ 국제적 차원에서 수립되어야 한다는 원칙을 확인한 바 있습니다(국가인권정책기본계획 안내서, 2002). 특히 유엔은 국가인권정책기본계획 개발 과정에 국가인권기구는 물론 시민사회가 참여하는 것이 중요하다는 점을 강조하고 있습니다. 

그러나 지난 10년간 한국 국가인권정책기본계획은 그 절차와 내용 모두에서 국제규범에 부합하지 못했다는 비판적 평가를 받고 있습니다. 문재인 정부는 국민 앞에 약속한 인권 공약은 물론, 국제인권규범을 구체적으로 이행할 수 있는 국가 인권정책을 수립할 것을 요구받고 있습니다.

특히 제3차 국가인권정책기본계획은 빅데이터, 인공지능 등 새로운기술이 빠른 속도로 도입되고 있는 디지털 사회에서 국민들의 정보인권을 실질적으로 증진시킬 수 있는 국가계획이 되어야 할 것입니다. 이에 한국 시민사회는 디지털 프라이버시권 분야에서 국가인권정책기본계획에 대한 의견을 다음과 같이 제시합니다.

2. 한국 디지털 프라이버시권 기초 현황

국민의 일상생활이 디지털 네트워크 및 모바일 환경에 크게 의존하고 있지만 디지털 프라이버시권이 충분히 보장받고 있다고 보기 어렵습니다. 특히 한국 시민사회는 최근 몇년 간 한국 사회에서 다음과 같은 논란이 크게 불거진 데 대하여 문제의식을 갖고 있습니다.

한국에서 인터넷을 통한 대규모 개인정보 유출이 계속하여 매우 심각한 문제로 불거지고 있으나 개인정보보호체계는 아직 미비합니다.

개인정보 유출 사건의 직접적인 원인은 해킹, 내부자 유출 등 범죄행위로 인한 것이지만, 그 배경에는 정부가 주민등록번호 등 인권침해적인 제도적 관행에 몰인식하고 인터넷 실명제 등의 정책으로 그 문제점을 악화시킨 데 따른 문제가 있습니다. 특히 국민은 출생시 부여받는 주민등록번호를 공공, 보건의료, 금융, 통신 등 일상생활에서 광범위하게 제출할 것을 요구받고 있는데 유출 사고로 정신적, 물질적 침해를 입어도 주민등록번호의 변경조차 쉽지 않습니다. 헌법재판소는 2012년 인터넷실명제와 2015년 주민등록번호 변경불허에 대하여 각각 위헌과 헌법불합치를 결정하였으나 사회 전체적으로 주민등록번호 의존 정책이 크게 변화하지 않았으며, 임의번호 도입 등 후속조치와 국민의 기본권 보장이 아직 미비합니다.

특히 한국의 독립적이고 전문적인 개인정보 감독체계는 국제기준에 비해 매우 미비합니다. 2014년 카드3사에서 1억4백만 건의 개인금융정보가 유출된 후  정부는 「개인정보보호 정상화 대책」을 통해 개인정보보호위원회 기능강화를 약속했으나 부분적인 데 그쳤습니다.

정보수사기관이 발전된 통신감시기술을 이용하여 국민의 통신비밀을 침해하는 데 따른 논란도 계속 커지고 있습니다.

경찰은 2011년 희망버스 행진과 2013년 철도노동조합 파업 당시 많은 인권활동가, 노동조합활동가에 대해 휴대전화 실시간 위치추적을 광범위하게 실시하였으며 이때 초등학생 등 미성년 국민도 활동가의 가족이라는 이유만으로 추적되었습니다. 또 2012년 경찰 및 검찰이 정당 집회 참석자를 확인하기 위하여 참석자 및 기자 들에 대하여 광범위한 기지국수사를 실시한 사실이 드러났습니다. 이 사건들에 대해서는 헌법소원이 제기되어 현재 심사 중입니다.

한국에서 집행되는 대부분의 감청을 비밀정보기관인 국가정보원이 실시하고 있으며(국가통계 중 98% 이상), 그중 일부는 인터넷 회선 전체에 대하여 집행되는 패킷 감청(Deep Packet Inspection)입니다. 그러나 한국에서 국가정보원의 감청에 대해서는 민주적인 통제가 전혀 이루어지고 있지 못하며, 지난  2015년 국가정보원이 이탈리아에서 해킹프로그램(RCS)을 수입·운용해왔다는 사실이 드러났을 때도 법원이나 국회조차 그 사실에 대해 전혀 모르고 있었습니다. 국가정보원의 패킷 감청에 대해서는 2차례에 걸친 헌법소원이 제기되어 현재 심사 중입니다.

지난 2016년 제정된 테러방지법으로 인해 국가정보원의 통신 및 사이버공간 감시에 대한 국민의 우려가 증폭되기도 하였습니다.

모바일 환경이 확산됨에 따라 많은 국민이 휴대전화를 통해 의사소통을 하고 있지만 수사기관에 대한 자료 제공이 과도하고 충분히 통제받고 있지 않습니다. 경찰은 2014년 이후 세월호 참사에 항의하는 국민들의 불법 집회를 수사한다는 이유로 카카오톡 등 모바일 플랫폼 회사는 물론 휴대전화 그 자체에 대해서도 광범위한 압수수색을 집행 하였습니다. 법원의 영장에 따른 집행이라고는 하지만 수사 대상과 같은 단체카톡방에 속했다는 이유만으로 많은 국민들의 개인정보가 수사기관에 제공되었으며 그 사실에 대한 사후 통지도 이루어지지 않았습니다. 2016년에는 국정원, 경찰 등 정보수사기관이 국내 이동통신사에 대하여 법원의 영장도 없이 통신가입자의 이름, 주민등록번호 등 광범위한 통신자료를 제공받아온 관행이 국민적 지탄을 받았습니다. 국가통계에서 통신자료 제공이 연간 1천만 건을 넘어서는 것으로 집계되고 있습니다. 이 사건들에 대해서도 헌법소원이 제기되어 현재 심사 중입니다.

최근 빅데이터 분석 기술이 발전하고 이를 통해 경제적 가치를 창출하려는 욕구가 증가하면서 개인정보 매매 등 그에 대한 상업적 이용이 증가하고 있지만, 개인정보에 대한 국민들의 결정권은 보장되고 있지 못합니다.

2011년부터 2014년까지 대형마트 홈플러스는 자사 온라인 회원 및 경품응모자들의 개인정보 2천 4백만 건을 10개 보험사에 판매하여 수백억 원의 수익을 올렸지만 당사자 정보주체는 그 사실을 전혀 알지 못했습니다. 또 다른 대형마트 및 보험사에서도 이런 매매 관행이 일반화되어 있었다는 사실이 확인되었습니다.

미국 빅데이터업체인 IMS헬스가 2011년부터 2014년까지 국내 약국 및 병원에서 우리 국민 4천 4백만 명 50억 건에 달하는 처방전을 구입하여 전세계를 대상으로 가공 판매하고 있습니다. 우리 국민들은 민감한 건강정보의 유출 사실에 대하여 전혀 알지 못했으며 정부는 유출된 처방전을 회수하려는 노력도 하고 있지 않습니다. 시민사회는 최근 정부가 추진하는 보건의료 빅데이터 정책이 이와 마찬가지의 결과를 낳게 될지 모른다는 사실을 우려하고 있습니다.

지난 박근혜 정부는 정부 차원에서 개인정보에 대한 상업적 이용을 활성화하기 위한 정책을 추진했습니다. 특히 국민의 개인정보를 보유한 기업이 그 개인정보에 대해 정부가 권장하는 비식별화 조치를 취한 경우 이를 ‘개인정보가 아닌’ 것으로 추정하고 개인정보 보호법제의 적용을 배제하여 자유롭게 이용하도록 한 정책(범정부 비식별조치 가이드라인, 2016)에 대해서는 많은 시민사회가 그 적법성의 문제를 지적해 왔습니다.

3. 문재인 정부의 공약 

문재인 정부는 대통령 후보 시절 시민 사회 앞에 ㅇ개인정보의 목적외 이용 규제 및 로직 설명 요구권리, 프로파일링 거부권, 생체정보 보호 ㅇ개인정보 유상판매에 대한 정보주체 알권리와 동의권 보장 ㅇ비식별조치 가이드라인 재검토를 약속하였으며, 

공식 공약으로  △ 개인정보 보호 체계 효율화, 개인정보보호위원회의 위상 강화 △ 무더기 정보 이용 동의(일괄 동의)를 통한 무분별한 신용정보 활용 금지 △ 목적 외, 그룹 내 무단 정보 사용에 대한 제재 강화를 국민들에게 약속하였습니다.

또 문재인 정부는 출범후 국정과제로 “2018년부터 개인정보 보호 거버넌스 강화 및 개인정보 보호 체계 효율화, 무분별한 개인정보 이용에 대한 제재 강화”를 제시하였습니다.

4. 관련 국내외 기구의 권고

유엔 국제인권기구에서 디지털 프라이버시권 분야에서 한국 정부에 대해 이루어진 주요 권고로는 다음과 같은 것이 있습니다.

사생활 보호를 위해 주민등록제도 재검토 및 주민등록번호를 공공서비스 제공을 위해 엄격히 필요한 경우로 제한할 것 (2008년 1차 UPR),영장 없는 통신자료 제공, 집회 참가자를 특정하기 위한 기지국 수사, 국가정보원의 폭넓은 감청과 이들에 대한 불충분한 감독에 대해 우려를 밝히고 모든 감시가 국제인권규약에 부합하도록 보호하는 내용으로 법을 개정할 것 (2015년 유엔 자유권위원회)

그밖에 유엔은 다음과 같은 국제 규범을 가지고 있습니다.

독립적인 권한이 보장되는 개인정보감독기구를  수립ㆍ유지할 것 : 유엔은 각국 정부에 여러 차례 개인정보 감독기구의 독립성과 권한 보장을 권고해 왔습니다. 일찌기 1990년 총회에서 “모든 국가들은 열거된 원칙들의 준수를 감독할 기관을 국내법에 따라 설치한다. 이 기관은 개인정보 처리를 담당하는 개인 혹은 기관에 대해 불편부당성, 독립성, 기술적 역량을 제공해야 한다.”고 선언하고(UN 컴퓨터화된 개인 정보파일의 규율에 관한 지침), 다시금 2013년 총회에서 “통신감시, 감청, 개인정보 수집 등 국가감시의 투명성 및 책임성을 보장할 수 있는 독립적이고, 효과적인 국내적 감독 체제를 수립 혹은 유지할 것”을 각국 정부에 권고하는 결의안을 채택하였습니다. (디지털시대 프라이버시권 결의안) 2017년 유엔인권이사회는 “국가의 통신 감시, 감청, 개인정보 수집에 대해 투명성과 책임성을 적절하게 보장하기 위한, 독립적이고 효과적이며 적정하게 자원이 할당되고 불편부당한 사법적, 행정적, 혹은 의회의 국내 감독 체제를 수립하거나 유지할 것”을 권고하였습니다. (디지털시대 프라이버시권 결의안)

정보주체의 동의 없이 판매, 재판매 , 기업 간 공유되는 피해 대응을 위한 규제, 예방조치 등을 개발하고 유지할 것

: 빅데이터 환경이 등장하면서 2017년 유엔 인권이사회는 “디지털시대 민감정보 등 개인정보의 수집, 처리, 공유가 상당히 증가함에 따라, 개인들이 자신의 개인정보를 재사용, 판매, 다목적 재판매하는 데 대해 자유롭고 명시적이며 충분한 설명을 들은 후 동의하고 있지 못하다”고 우려하면서 “개인의 자유롭고, 명시적이고, 충분한 설명에 따른 동의 없이 개인정보가 판매되고, 다목적으로 재판매되며 타기업에 공유되는 피해에 대응하는 규제, 예방 조치와 구제대책을 개발하고 유지할 것”을 각국 정부에 권고하는 결의안을 채택하였습니다. (디지털시대 프라이버시권 결의안)

각국 정보기관의 대량통신감시 증가에 대한 국제인권기준을 준수한 절차, 입법 등 수립 요구: 유엔은 정보기관의 대량통신감시 증가에 대해 크게 우려하고 있습니다. 유엔은 디지털시대 프라이버시권에 대한 총회 결의안(2013년 총회), 유엔인권최고대표 보고서(2014년), 유엔인권이사회 결의안(2017년)을 통해 각국 정부에 “감시·감청·수집 등 통신 감시, 감청, 개인정보 수집에 관한 절차, 관행, 입법을 검토”하고, 국가와 기업이 이를 집행할 때 국제인권기준을 준수할 것을 계속 요구하고 있습니다. 유엔은 프라이버시 특별보고관 제도를 신설하였으며, 2018년 초대 프라이버시 특별보고관의 한국방문조사가 예정되어 있습니다.

디지털 프라이버시권과 관련하여 국가인권위원회 또한 다음과 같이 권고한 바 있습니다.

독립성과 전문성이 확보된 개인정보보호위원회를 설치할 것(2003. 11. 13. 등 다수 권고)

주민등록번호 제도 개선 권고(2014. 8.) : 주민등록번호를 주민등록 관련 행정업무와 사법행정업무에 한정하여 사용할 것, 다른 공공영역에 대하여는 목적별 자기식별번호 체계를 도입할 것, 민간영역에서 주민등록번호 사용을 허용하고 있는 법령을 재정비하여 주민등록번호 사용을 최소화할 것, 임의번호로 구성된 새로운 주민등록 번호체계를 채택할 것, 주민등록번호 변경절차를 마련할 것, 주민등록번호의 목적 외 사용을 금지할 것 

통신자료, 실시간 위치추적 및 통신사실확인자료 제공제도 개선 권고(2014. 4.) : 통신자료를 통신비밀보호법에서 통합 규율할 것, 통신사실확인자료 제공요건을 강화할 것, 실시간위치추적 요건을 강화할 것

비식별 정보 입법안 개선 권고(2016. 10. 신용정보보호법 개정안) : 비식별 정보를 신용정보주체의 동의 없이 목적 외로 이용하거나 제3자에게 제공할 수 있도록 함으로써 개인정보 자기결정권을 침해할 우려가 있음

개인정보보호위원회는 다음과 같이 권고하였습니다.

‘비식별’은 ‘익명’과 ‘가명’을 혼용하여 개인정보 여부가 불명확하고 국제적 통용성도 갖추고 있지 않은 개념으로 개인정보 보호법에 부합하게 규율할 것(2017. 1. 등 다수 권고)

5. 1~2차 국가인권정책기본계획의 내용

국가인권위원회는 제1차(2007-2011) 계획에 대하여 

정보인권 분야의 현황으로 

△개인정보 데이터베이스가 증가하고 개인정보 자동수집기술이나 생체인식기술이 발전하여 프라이버시권 침해증가 

△공공기관 및 민간영역에서 주민등록번호를 비롯한 개인정보를 과도하게 수집하고 유출 피해 증가 

△개인정보 보호를 위한 법적 제도적 장치가 미흡 

△개인정보를 보호하고 이용을 관리 감독할 독립적이며 전문적인 개인정보보호기구 부재 

△CCTV 설치 운영에 국회가 제정한 법률에 따른 통제 미비 

등의 문제를 지적하였습니다.

이에 핵심 추진과제로 

▲개인정보보호기본법 제정 및 관련 법령 정비로 개인정보 보호 원칙을 확립하고 개인정보 보호정책 수립 개인정보 수집자에 대한 일상적 감독, 개인정보 침해 구제 등을 담당하는 독립적이고 전문적인 개인정보보호기구 설립 

▲개인정보 침해 위험이 많은 공공 및 민간사업 추진시 프라이버시 침해 위험이 없는 다른 대안을 검토하도록 의무화하고 개인에게 프라이버시를 침해당하지 않는 다른 방법을 선택할 수 있는 선택권 부여 

▲공공기관 및 민간 영역의 주민등록번호 수집 제한과 오남용 방지, 국민의 자기정보통제권을 보장하는 방향으로 주민등록제도 개선 

▲프라이버시 보호의 관점에서 CCTV의 설치기준 및 보관자료의 처리기준 등을 마련하고 주무기관을 지정하여 관리의 효율성 제고 등을 권고하였습니다.

대한민국 정부는 최종 제1차 국가인권정책기본계획(2007-2011)에서  CCTV 등 감시장비로부터의 프라이버시 보호 방안 마련을 위해 

△공공기관 CCTV 설치·운영 관리 강화

△민간부분 CCTV 개인영상정보 보호

△사업장 내 근로자 감시 설비 설치 노사협의 도입

주민등록번호의 사용 제한 및 제도 개선을 위해 

△주민등록번호 도용 처벌 강화

△공공기관 법정서식 개선

△인터넷 상 주민등록번호 대체수단 활성화를 밝혔으며

개인정보보호기본법 제정 및 관련법령 정비

개인정보영향평가제도의 제도화 추진

개인 건강정보에 대한 보호의 강화 

등의 계획을 밝혔습니다.

국가인권위원회는 제2차(2012-2016) 계획에 대하여

제1차 계획 및 이행의 평가 측면에서 ｢개인정보 보호법｣의 제정 및 시행으로 개인정보 보호를 강화하기 위한 제도적 노력은 긍정적으로 평가할 수 있으나 개인정보 보호위원회의 독립성은 미흡하며, 기업들의 주민등록번호 수집 오ㆍ남용과 개인정보의 유출 사고, 급격하게 늘어나는 CCTV의 관리 능력 부재 등으로 개인정보 보호를 위한 이행 노력은 미흡하였다고 평가하였습니다.

이에 제2차 계획으로는 인터넷 본인확인제 기반 위에서 효율성ㆍ경제성ㆍ편의성에 바탕을 두고 무분별하게 수집ㆍ이용ㆍ제공되고 있는 개인정보 처리 관행을 정보인권 시각에서 개선 조치하고 관련 법령을 일제 정비하기 위한 방향 속에서 실명제 기반 개인정보 처리 관행 등을 개선할 것을 권고하였음. 특히 

△ 주민등록번호 시스템의 폐기 또는 재정비(재권고)

△ 행정정보공유시스템, 형사사법정보시스템 등 행정기관의 정보공유 체계에 대한 개선

△ ｢개인정보 보호법｣중 개인정보의 목적 외 이용ㆍ제공 규정 개선을 권고하였습니다.

대한민국 정부는 최종 제2차 국가인권정책기본계획(2012-2016)에서 개인정보의 대량 유출로 주민등록번호의 도용 및 오·남용 우려가 증가하고 이에 따라 주민등록번호 변경 요구와 함께 주민등록번호 시스템 폐기 문제까지 제기되고 있어 주민등록번호 수집·이용을 제한하고 주민등록번호 도용 및 오·남용을 방지할 대책이 필요하고, 2011년 9월「개인정보 보호법」시행에 따라 영상정보처리기기(CCTV)의 설치 운영 제한, 안내판 설치, 안전성 확보 조치 등 의무규정이 준수될 수 있도록 관리·감독이 필요한 현황을 인정하고,추진과제로서

▲ 주민등록번호 개선을 위해 주민등록번호 오·남용 방지를 위한 발행번호 도입, 주민등록번호의 민간 사용 단계적 제한 방안 마련

▲ 인터넷 상 주민등록번호 대체수단(I-PIN) 활성화

▲ 민간 웹사이트에서 영리 목적의 주민등록번호 수집·이용 제한

▲ 「개인정보 보호법」시행에 따른 CCTV 관리·감독 등의 계획을 밝혔습니다.

국가인권위원회는 제3차(2017-2021) 계획에 대하여 제2차 계획 및 이행의 평가 측면에서 

△ 주민등록증 발행번호 도입은 완료되지 않았고,

△ 주민등록번호 대체수단 활성화는 주민등록번호로 발생했던 문제들을 해결하지 못했고, ‘주민등록번호만 아니면 된다’는 식의 관행이 형성되어 오히려 불필요한 본인확인이 증가하는 등의 문제점이 나타났으며,

△ 민간 웹사이트에서 영리목적의 주민등록번호 수집･이용 제한은 본인확인 대체수단의 확산으로 실질적인 목적을 달성하지 못했고,

△ 반복적으로 제기되는 CCTV 관리･감독 문제 또한 제대로 이루어졌다고 보기 어렵다고 평가하였습니다.

이에 제3차 계획으로는 고도 정보화 사회에서 ICT 기술의 오･남용을 방지하면서 기술진보에 능동적으로 대처하여 정보인권을 보장할 수 있도록 하기 위한 목표 속에서 핵심 추진과제로

△ 개인의 통신데이터에 대한 광범위한 수집(압수･수색 및 감청, 기지국수사 및 위치정보 수집 등)으로 인한 인권침해의 소지를 최소화하기 위한 법령 정비

△ 실명제, 인터넷 내용규제, 사이버 명예훼손 등 네트워크 관련 규제의 종합적 검토(재권고)

△ 개인정보 유출, 각종 DB의 통합 등 정보인권 관련문제의 핵심 요소인 주민등록번호 시스템의 재정비

△ 녹음기기(스마트폰) 및 촬영기기(CCTV)의 기술혁신과 가격하락으로 인해 발생하고 있는 보편적 사생활 침해에 대한 법적 기준 마련(재권고)

△ 빅데이터의 통합에 따른 공기관이나 사인에 의한 정보인권침해 문제에 대한 대책마련

△ 정보주체의 통제미비, 내밀한 프라이버시 정보의 유출가능성 등 사물인터넷, 웨어러블 기술의 문제점에 대한 개인정보보호법 점검 등

△ 생체정보의 수집‧처리 및 오남용 방지, 정보주체의 권리 보호를 위한 대책 마련 등을 권고하였습니다.

6. 제3차 국가인권정책기본계획 초안(2017-2021, 법무부)의 내용

우선 국내 현황으로 빅데이터, 클라우드 등 전세계적 DB 실현과 사물인터넷 등 무선센서 네트워크 시대 개막에 따라 신기술에 대응하는 개인정보보호가 요청됨

IT 기술 발전으로 인해 대량의 개인정보가 광범위하게 수집·이용되고 있으며, 현재에도 매년 15만건 이상의 개인정보 침해신고 상담이 이루어지고 있는 등 기술의 발전에 따른 개인정보 보호 필요성이 크게 대두됨 (다만, 개인정보보호의 문제는 그 방법이나 범위와 관련, 정보기술발전에 중점을 두는 견해와 정보주체 보호에 중점을 두는 견해가 대립되고 있음)

다양한 영역에서 본인 확인 수단으로 활용되던 주민등록번호 제도는 개인정보 유출에 따른 피해증가를 이유로 폐지나 대체수단 마련 등의 제도개선 요구가 있었으나, 제도개선 시 초래될 사회적 비용 문제로 현행 주민등록번호체계를 유지하되 주민등록변경 제도 도입(주민등록법 개정, ’16. 5.)

신원확인 및 본인 인증을 위한 지문․홍채․정맥 등 생체정보의 활용이 확산되고 있음에 따라 유일성․불가변성․일신전속성 등의 특성을 갖는 생체정보의 유출 및 오남용 대책 마련 필요

등으로 파악하고 제2차의 이행경과에 대하여 주민등록번호 변경제도 도입 등 주민등록번호 개선

인터넷상 주민등록번호 대체수단 활성화 및 민간 웹사이트에서 영리 목적의 주민등록번호 수집 이용 제한

개인정보보호법 시행에 따른 CCTV 관리감독에 대하여 긍정적으로 평가하고 제3차 추진과제 및 이행방안으로서 주민등록번호 시스템의 정비 (행정자치부) : 주민등록번호 제도 개선으로서 ’16. 5. 신설된 주민등록번호 변경제도 시행을 위한「주민등록번호 변경 등에 관한 규정」(대통령령) 및「주민등록번호 변경 등에 관한 규정 시행규칙」제정, 친족관계에 의한 성폭력범죄자의 주민등록표의 열람, 등본· 초본의 교부신청

녹음기기(스마트폰) 및 촬영기기(CCTV)의 기술혁신과 가격하락으로 인해 발생하고 있는 보편적 사생활 침해에 대한 법적 기준마련 (행정자치부)

: 영상정보처리기기 다양화(드론, 블랙박스 등) 및 CCTV 증가로 인한 사생활 침해에 대응하기 위해 법제 정비

정보주체의 통제 미비, 내밀한 프라이버시 정보의 유출가능성 등 사물인터넷, 웨어러블 기술의 문제점에 대한 개인정보보호법 점검 (행정자치부)

: 사물인터넷, 웨어러블 기술 등 발달에 따른 환경 변화에 대응하여 지속적으로 개인정보보호법을 점검

생체정보의 수집·처리 및 오남용 방지, 정보주체의 권리 보호를 위한 대책 마련 (행정자치부·방송통신위원회)

: 생체정보를 이용하는 기술발전에 대응, 개인정보보호 대책을 지속적으로 검토

등을 제시하였습니다.

7. 제3차 국가인권정책기본계획 초안에 대한 검토 의견

첫째, 국가인권정책기본계획이 국제인권기구의 권고에 대하여 아무런 이행계획을 포함하고 있지 않은 것은 큰 문제입니다

심지어 법무부가 평가하고 있는 국제인권기구의 관련 권고(2015년 자유권규약위원회)에 대하여조차 아무런 계획이 없습니다.

다음과 같은 유엔의 권고 항목에 대한 계획이 포함되어야 합니다.

주민등록번호 사용제한

통신자료 제공제도 개선

기지국수사 제도 개선

국가정보원 감청제도 개선

개인정보보호위원회 독립성 강화

개인의 자유롭고, 명시적이고, 충분한 설명에 따른 동의 없이 개인정보가 판매되고, 다목적으로 재판매되며 타기업에 공유되는 피해에 대응하는 규제, 예방 조치와 구제대책 개발,국가 및 기업이 집행하는 감시·감청·수집 등 통신 감시, 감청, 개인정보 수집에 관한 절차, 관행, 입법 검토

둘째, 문재인 정부의 관련 인권 공약에 대해서는 구체적인 이행 계획으로 반영되어야 합니다.

개인정보 보호 체계 효율화 : 정보통신망법 등으로 흩어져있는 개인정보 보호법제를 개인정보보호법으로 일원화

개인정보보호위원회의 위상 강화

개인정보에 대한 목적 외, 무분별한 활용에 대한 제한

셋째, 국가인권위원회의 권고, 특히 반복적인 권고에 대해서는 반드시 포함해야 합니다.

개인의 통신데이터에 대한 광범위한 수집(압수･수색 및 감청, 기지국수사 및 위치정보 수집 등)으로 인한 인권침해의 소지를 최소화하기 위한 법령 정비,임의번호 도입 등 주민등록번호 시스템의 재정비

영상 등 디지털기록기기, 빅데이터, 사물인터넷, 생체정보 처리로부터 보호를 위한 법적 보호장치 마련

넷째, 관련부처의 자의적인 평가와 부처 편의에 따른 계획 수립 절차를 전면 재고해야 합니다.

관련 법률 정비는 관련부처의 소관사항 확보를 위한 차원이 아니라 국민의 정보인권 보장을 위해 수립되어야 합니다.

주민등록번호 개선 현황에 대한 긍정적 평가는 주무부처인 행정안전부의 이해관계에 따른 것으로, 국가인권위원회 및 시민사회의 비판적 평가와 차이가 있습니다. 이런 평가의 한계는 추가적인 개선 계획을 수립함에 있어서도 미흡한 결과를 낳을 수 밖에 없습니다.

행정안전부가 추진하고 있는 영상정보 보호법 제정안에 대해서는 이미 개인정보보호위원회가 제정 반대 의견을 밝힌 바 있는데(제2017-01-07호) 행정안전부의 관점만을 국가계획에 포함하는 것은 일부 정부부처에 편향적이라는 비판을 받을 수 밖에 없습니다. 영상기기에 따른 사생활 침해를 방지하기 위한 법제 개선은 필요하지만, 이는 개인정보보호위원회가 권고한 바와 같이 개인정보보호법 개정을 통해 이루어져야 합니다. 

국가인권정책기본계획에 “개인정보보호의 문제는 그 방법이나 범위와 관련, 정보기술  정보기술 발전에 중점을 두는 견해와 정보주체 보호에 중점을 두는 견해가 대립되고 있음”이라는 단서를 명기하는 것은 매우 부적절합니다. 정보기술의 발전과 정보주체의 보호가 대립관계에 있는 것도 아닐 뿐더러, 정보기술이나 산업 발전을 위해 개인정보 보호를 완화할 수 있음을 시사하는 것은 인권정책이 취할 태도가 아닙니다. 

개인정보 관련 국가계획에 대해서는 개인정보 보호위원회와 협의가 반드시 필요합니다.

2018. 2. 20

경실련, 다산인권센터, 서울YMCA 시청자시민운동본부, 인권운동사랑방, 진보네트워크센터, 참여연대

의견서원문 [보기/다운로드]