[오픈넷 포럼 요약문] 빅데이터와 사물인터넷 시대, 비식별화 정보는 개인정보인가?

지역

[오픈넷 포럼 요약문] 빅데이터와 사물인터넷 시대, 비식별화 정보는 개인정보인가?

익명 (미확인) 님 | 목, 2016/03/24- 13:11

[오픈넷 포럼 요약문]

빅데이터와 사물인터넷 시대, 비식별화 정보는 개인정보인가?

- 빅데이터와 사물인터넷 시대에 개인정보는 어떻게 보호되어야 할까요? (2016.03.21. 개최)

* 참조(발제문 및 토론문): http://opennet.or.kr/11312

빅데이터와 사물인터넷 시대에 개인정보는 어떤 범위에서 얼마나 보호되어야 할까요? 최근 가장 논란이 되고 있는 것은 과연 비식별화 정보가 개인정보인가?입니다. 요즘 주목받고 있는 빅데이터, 사물인터넷 사업을 하기 위해서는 개인정보를 활용하는 것이 필요합니다. 이때 비식별화 정보는 개인정보가 아니므로 제한없이 자유롭게 이용할 수 있어야 할지, 비식별화정보라 하더라도 개인정보보호 위반의 문제가 발생하므로 여전히 보호가 필요한 것인지에 대해 의견이 분분합니다. 이번 오픈넷 포럼에서는 개인정보의 비식별화 관련된 쟁점들을 살펴보고 개인정보를 보호하면서도 산업 발전에 이용할 수 있도록 하는 방향의 해결책을 함께 모색해보고자 합니다.

Ⅰ. 발제

개인정보 비식별화 또는 익명화 쟁점 (심우민 | 국회입법조사처 입법조사관)

발제를 진행한 심우민 입법조사관은 세계적으로 개인정보보호입법과 관련해서 어떠한 쟁점이 있는지를 설명한 후 방송통신위원회에서 2014년 발표한 ｢빅데이터 개인정보보호 가이드라인｣을 비판적으로 검토하고, 개인정보보호 관련 입법 시 고려해야 할 요소가 무엇인지 설명하였습니다. 그리고 개인정보보호법제의 패러다임 변화가 필요하다는 점을 강조하였습니다.

먼저 개인정보 보호입법 개선논의는 급격한 정보화를 겪고 있는 대부분 국가들의 문제라고 하며, 우리나라 개인정보 개념정의 규정이 매우 포괄적이어서 문제가 있다는 지적이 있지만, 실제 각국의 개인정보 보호법제의 개념정의 규정들과 비교해보면 우리나라보다 포괄적인 경우도 존재한다고 지적하였습니다. 물론 형사제재의 경우에는 과도하다는 문제가 있다고 합니다.

개인정보 보호법제를 둘러싼 논란은 결국 빅데이터, 사물인터넷과 같은 새로운 정보통신 환경의 변화로부터 기인하였으며, 근원적인 이유 중 하나는 개인정보 또는 프라이버시 보호법제의 ‘패러다임 교착현상’ 때문이라고 합니다. 프라이버시와 같은 개념은 모호하고 추상적입니다. 그런데 이러한 프라이버시를 보호하기 위해 세계각국의 현행 법제들과 법원은 개인정보자기결정권이라는 권리 개념을 만들어서 식별성을 전제한 개인정보를 보호하고 있습니다. 그러나 식별성이 전제되지 않은 프라이버시 개념이든, 식별성이 전제된 개인정보든 결국 법원의 해석을 요구한다는 것입니다.

예전에는 정보와 결합해서 개인정보가 식별성을 가지는 경우가 많지 않았으므로 개인정보자기결정권을 정의하는 것이 용이하였으나, 빅데이터 등이 등장하는 현재의 기술적 발전상황에서는 결국 법원의 해석 여지가 더욱 넓어지고 개인 식별 가능성을 중심으로 한 현행 개인정보보호법제는 한계에 이르게 됩니다. 그 결과 식별 가능성을 전제로 정보주체의 개인정보자기결정권의 실현방식을 동의권을 중심으로 규정하고 있는 현행 법제 또한 한계에 봉착하게 되는 것입니다.

방송통신위원회가 2014년 12월에 공표한 ｢빅데이터 개인정보보호 가이드라인｣의 주요내용은 ①개인정보의 개념 설정과 ②동의요건의 면제입니다. 가이드라인을 살펴보면 제2조에서 비식별화 정보에 대해 설명하고 있는데 그 중 가명처리(pseudonymous)를 포함하고 있습니다. EU Directive에서는 가명처리는 적절한 익명화(또는 비식별화) 방법이 아니라고 하였는데 우리나라의 경우에는 이를 비식별화 방식으로 포함시키고 있다는 점이 특징입니다.

최근 EU의 GDPR논의에서 가명처리정보(pseudonymous data)도 개인정보의 일종으로 포함시켜 규제하기 위한 시도가 이루어지고 있다는 점도 유의할 필요가 있다고 합니다. 이 가이드라인을 법처럼 적용하려는 시도가 많습니다. 그러나 가이드라인의 경우 현행 개인정보법제와 개인정보 요건이 다르고, 동의요건을 면제하고 있으므로 기본권으로서 개인정보자기결정권 제한 가이드라인제정이 아니라 현행법을 개정해야 한다고 합니다. 참고로 EU Directive의 경우 어떤 규범력을 가지는 법적인 근거로 작용하고 있지는 않다고 합니다.

결국 심우민 입법조사관이 강조하는 것은 개인정보 보호법제의 패러다임이 변화해야 한다는 것입니다. 식별정보와 비식별정보를 구별하지 않고 모두 보호대상으로 하며, 실질적인 위험을 기반으로 하는 정보에 대해 규제 및 집행이 이루어져야 한다는 것입니다. 현재 산업계를 중심으로 보호영역을 축소해야 하고, 동의요건을 개정해야 한다는 의견이 많지만 그것이 입법에 있어서의 본질적 문제는 아니라고 합니다. 실질적인 이용자 프라이버시 보호방안에 대한 진지한 고민이 더 필요하다는 것입니다.

Ⅱ. 토론

1. 개인정보보호에서 비식별화의 기술적 문제점과 트렌드 (이영환 | 건국대학교 기술경영학과 교수)

이영환 교수는 우리나라의 경우 기술과 관련된 법을 만들 때 기술자와 같은 전문가에게 묻지 않고 법을 만드는 것이 문제라고 합니다. 가장 먼저 생각해야 하는 것은 알고리즘이라고 합니다. 즉 정밀한 알고리즘을 바탕으로 하여 비식별화하는 것이 맞는것인지 생각해야 한다는 것입니다.

현재 비식별화(deidentification)는 알고리즘이 정확히 나오고 있으며, 익명화(anonymisation)는 정확한 알고리즘이 나오지 않고 있다고 합니다. 현재 익명화된 정보의 다양성을 확보하도록 하여 유용성을 확보하면서도 개인정보를 추출하기 어렵도록 하는 비식별화 알고리즘이 있습니다.(K-anonymization, T-closeness) 다만 문제는 비실용적이라는 것입니다(NP-Hard). 파일 하나 익명화하는데 3,500년이 걸릴 수 있다고 합니다.

이때 제일 좋지 않은 방향은 비식별화를 전제로 유통화를 하자고 하는 것이라고 합니다. 전혀 쓸모없는 정보를 유통시키자고 하는 것과 같다는 것입니다. 물론 개인정보를 보호하는 것은 좋습니다. 그러나 이런 식으로 데이터 유통을 막아서 가장 손해를 많이 보는 개인은 서민들입니다. 예를 들어 저축은행의 대출을 받는 사람의 50%가 30%대의 금리에 시달립니다. 이들은 대부분 중금리층 서민, 청년들입니다. 약탈적 금융에 시달리는 것입니다. 이러한 금리 양극화를 해소하기 위해서는 데이터가 유통되어야 한다고 합니다. 데이터가 없다보니 부실 비율이 높아지고, 대부업체들이 영세해지는 것입니다. 개인정보가 유통되지 못하게 막는 것이 좋은 것은 아니라는 것입니다.

우리나라의 경우 개인이 개인정보를 판매하는 길이 막혀 있다고 합니다. 그러나 외국의 경우 개인정보 데이터를 팔아서 돈을 법니다. 이영환 교수가 강조하는 것을 한 줄로 정리하면 “데이터는 유통되어야 한다”입니다. 개인정보 보호보다 더 중요한 것이 유통이며, 데이터 유통을 위한 새로운 비즈니스에 나서야 한다는 것입니다. 몇몇 개인의 개인정보를 보호하기 위해 산업을 그만둬야 하는 것은 아니라는 것입니다.

2. 비식별화된 개인정보 문제 (박경신 | 고려대 법학전문대학원 교수)

박경신 교수는 개인정보보호법에 대해 너무 어렵게 생각하는 것이 인권 차원에서든 산업 차원에서든 제대로 된 대응을 어렵게 한다고 합니다.

먼저 개인정보의 개념과 관련하여 어느 나라든 식별가능성이 개인정보의 요건이며, 식별가능성이 없으면 개인정보가 아닌 것이라고 합니다. 그런데 이러한 개인정보의 식별가능성은 누구의 기준이냐에 따라서 다르다고 합니다. 즉 개인정보는 상대성을 가진다는 것입니다. 예를 들어 이동통신사가 가지고 있는 통화기록은 고객정보를 가진 이동통신사에게는 개인정보가 됩니다. 그러나 고객정보를 가지지 않은 제3자에게는 개인정보가 아니라고 합니다.

방송통신위원회의 가이드라인에 대해 시민단체들이 반대했던 이유 중 하나는 이동통신사가 고객의 통화기록을 가지고 있는데, 이 통화기록이 이동통신사에게는 개인정보가 되지만, 이를 비식별화해서 제3자에게 넘겨주면 제3자에게는 개인정보가 되지 않는다는 점이었다고 합니다. 이 점을 어떻게 해석할 것인가? 하는 문제 때문에 분쟁이 발생하였다는 것입니다.

이동통신사가 고객통화기록을 넘겨줄 때 원본을 통째로 넘겨주는 것이 아닙니다. 복제본을 만들어서 그 복제본을 비식별화해서 넘길 것입니다. 그렇다면 비식별화한 복제본을 만들었다 하더라도 원본 데이터베이스를 가지고 있게 됩니다. 통화기록에 대해 제3자가 본래 넘긴 목적과 다른 목적의 연구를 진행할 경우 이동통신사는 그 연구결과를 통해 통화기록을 넘길 때와 다른 목적의 가공된 개인정보 데이터를 취하게 됩니다. 이것은 개인정보보호법의 취지에 반한다고 합니다.

그래서 2015. 12. GDPR 에서는 가명화 데이터에 대한 규정들을 두었다고 합니다. 제6조, 제7조가 가장 중요한 조항인데, 예외로서 암호화 및 가명화를 고려하여 수집 목적과 다른 목적으로 이용 가능하지만 가명화할 때는 실명화되지 않기 위한 기술적 조치를 요구합니다. 가명화가 익명화가 아니라고 하는 경우는 재실명화가 합리적으로 개연성이 있을 때를 말한다고 합니다. 이동통신사의 예를 들자면 원본 데이터를 가지고 있고, 데이터 복제본을 떠서 데이터 연관 회사에 넘겼을 때 원본 데이터(Key)를 가지고 있으면 몇 가지 정보를 가지고 누구의 정보에 대해 연구한 것인지 알게 됩니다. 그런 것들을 할 수 없도록 조치를 하라는 것입니다. 즉 키가 되는 데이터들을 조직 내에서 접근할 수 있는 사람을 제한하고 암호화할 것을 요구하는 것입니다.

박경신 교수는 이 문제는 매우 구체적인 문제라고 하며, 심우민 조사관이나 이영환 교수가 말한 것처럼 근본적인 가치 판단을 요구하는 복잡한 문제는 아니라고 하였습니다. GDPR에 나와 있는 가이드라인에 따라서 재실명화하는 Key에 대한 보안, 조직적 격리 조치를 통해서 비식별화한 데이터가 산업적으로 쓰일 수 있도록 하는 방법이 있지 않을까 생각한다며 토론을 마무리 지었습니다.

3. 익명화, 비식별화, 개인정보에 관하여 (전응준 | 유미 법무법인 변호사)

전응준 변호사는 익명화, 가명화, 비식별화라는 용어의 정의를 먼저 짚었습니다. 먼저 ｢익명화｣(anonymisation)는 독일 연방데이터보호법에 정의가 나온다고 합니다. 주목할 것은 합리적인 비용, 시간, 노력 내에서 식별이 되지 않는다면 익명화라고 보고 있다는 점이라고 합니다. 2014년 EU 데이터보호법 핸드북에서도 같은 취지로 합리적인 노력 하에서 식별이 안되면 익명화라고 보았다고 합니다.

｢가명화｣(pseudonymisation)의 경우 GDPR에서는 추가적인 정보가 없고 특정인에 대해 식별이 안되는 것이라고 정의하고 있다고 합니다. 전제조건은 추가정보가 별도로 보관되고 재식별화되지 않도록 기술적 보호조치가 취해져야 한다는 것입니다. 독일 연방데이터보호법에서는 식별자를 다른 레이블로 대체한 것, 차명 또는 가명화되고 이것이 결국 실제적으로 식별이 어렵게 되었을 때(불가능해진 것이 아니라) 가명화되었다고 봅니다. 데이터보호 핸드북도 마찬가지입니다. 결과적으로 간단한 암호화에 해당합니다.

개인정보보호법의 규제의 대상이 되지 않는 경우와 대상이 되는 경우를 구별하려면 용어 구별이 필요하다고 합니다. 익명화는 원본 데이터로 회복이 불가능한 것을 말하고, 비식별화는 식별성을 완전히 제거하는 것이 아니라 리스크를 최소화하는 것을 의미한다고 합니다. 비식별화 정보는 명백하게 개인정보에 해당합니다. EU 데이터보호법 핸드북에서도 해당한다고 밝히고 있습니다. GDPR 제10조에서는 명시적으로 가명처리한 경우 면제될 수 있다고 하고 있습니다. 그 외 제32조에서는 암호화 등 데이터를 인식불가능하게 한 경우 데이터 유출 시 정보주체에게 통지를 면제하는 등의 관련 규정을 두고 있다고 합니다.

전응준 변호사는 특히 참고할만한 사례로 미국 건강보험법(HIPAA, Health Insurance Portability and Accountability Act)을 들었습니다. 이 법에 따르면 의료정보기관이 관련 전문가의 개별적인 판단을 받고, 18개 식별자를 모두 제거하는 경우에는 프라이버시 규율에서 벗어날 수 있다고 합니다. 물론 이용자들의 프라이버시를 완전하게 침해하지 않는다고 할 수는 없지만 나름의 기준에 근거하여 의료정보에 대한 문제점을 체크할 수 있는 제도로 대중에 데이터를 제공할 수 있도록 하는 방법이므로 참고할 만하다고 합니다.

우리 개인정보보호법은 엄밀한 체계를 가지고 있다고 합니다. 일본법은 ‘익명가공정보’, ‘특정성 저감 데이터’ 와 같은 개념을 적용하여 그러한 데이터에 대해 개인정보보호법이 완화되는 시도를 한 바 있습니다. 이러한 개념이 없는 우리나라의 경우에는 일부 완화된 해석을 통해 할 수 있을 것이라 합니다. 즉 제한 해석하면 식별정보의 범위가 줄어들 수 있다는 것입니다. 독일법처럼 원본데이터로 돌릴 수 없는 정보 정도로 보는 해석이 유효하지 않나 생각한다고 합니다. 법을 개정하는 것보다는 해석론으로 해결하는 것이 더 용이할 것이라는 점도 덧붙였습니다.

결국 비식별 방법론 알고리즘, 통계적 연구가 절대적으로 필요하다고 합니다. 이론도 필요하지만 실제로 어느 정도로 비식별화 했을 때 안전하게 정보를 유통할 수 있는지가 선결적으로 해결되어야 한다고 합니다.

Ⅲ. 플로어 토론

F= Floor, A=Answer

F. 개인정보보호법이 꼭 필요한 법이기는 하지만 지나친 처벌 조항이 있어 현장에서는 개인정보를 아예 수집하지말자는 분위기가 형성되어 있습니다. 즉 정보를 모아 사업화하는 것 자체를 원천봉쇄하는 것입니다. 활용에 대해 개인의 의사 결정을 존중해주는 제도가 없습니다. 개인정보보호법은 보호를 위주로 하기 때문에 그런 방면의 생각이 결여되어 있습니다. 다른 법을 활용해서라도 그런 부분을 열어야 합니다. 빅데이터 활용을 어떻게 해야 하는지, 알고리즘은 어떤 항목을 해야하는지 구체화가 필요합니다.

A. 이영환: 하나하나 데이터를 들여다 보면서 해야 하는 부분이 있습니다. 결국 관련 연구가 지속적으로 이루어질 수 있는 팀이 필요합니다. 리포트를 계속 만들어내야 합니다.

F. 결국 어떻게 해야 하는가에 대한 구체적인 답은 없는 것 같습니다. 구체적인 방법론이 제시되지 않고 있습니다.

A. 이영환: 관련 정부 부처에서도 지속적으로 무언가 해야 한다는 필요성을 느끼지만 그것이 잘 안되고 있습니다. 연구팀이 있어야 합니다. 이런 것에 대한 가이드라인을 국가적으로 제시해야 합니다.

전응준: HIPPA 이야기를 했었습니다. 의료정보의 18개의 식별자를 정해서 그게 없으면 비식별 정보이므로 유통이 가능하고, 16개만 있으면 일부 규제를 받습니다. 즉 프라이버시 룰을 정한 것입니다. 위험성이 없다고 할 수는 없지만 미국은 이러한 방법론을 제시하고 있으므로 참조할만합니다.

박경신: Key를 자기가 가지고 있어도 암호화 또는 조직 내 보관을 잘 하고 있으면 익명정보로 보아 개인정보보호법이 적용되지 않도록 하는 반면, GDPR은 가명화를 하더라도 재실명화할 수 있는 Key를 본인 또는 조직이 가지고 있으면 그 개인정보에 대해서는 몇 가지만 제외하고 다른 개인정보와 같이 봅니다. 식별자를 떼고 넘긴다는 동의를 얻어야 할 것입니다. HIPPA 방식, 제한적 비식별화시 개인정보로 보지 않는 방식, GDPR 방식을 두고 논쟁이 있어야 하는데 그러한 논쟁 없이 방송통신위원회의 가이드라인이 나와 버렸습니다.

심우민: 리스크 매니지먼트적 접근이라는 말이 모호하기는 하지만 개인정보 개념정의의 문제로 접근하면 개념적 범주가 어디에 해당하는지를 두고 논쟁할 수밖에 없습니다. 실제로 사업자가 방지하기 위한 노력을 했느냐, 위험발생시 어떤 노력을 했느냐는 측면에서 접근을 해야 사업자로서는 규제에서 벗어날 수 있습니다. 지금 너무 개념이나 범주, 방식에만 집중하다보니 실제 풀어줘야 할 규제는 풀고 있지 않습니다. 또한 개인정보 문제로 소송을 하게 되면 이용자에게 피해가 가며, 법령상에 있는 조치만 다하면 이용자에게 책임을 전가합니다. 사업자를 위해 규제를 완화할 필요도 있지만 위험 예방적인 측면도 함께 고려되어야 합니다. 또한 사업 아이템 구상의 문제인 것인지, 식별화·비식별화가 문제인 것인지 검토해볼 필요성도 있습니다.

F. 사업은 구체적이지 않으면 시작할 수 없습니다. 구체적인 이야기를 하려고 해도 될 가능성이 없으면 드러낼 수가 없는 것입니다. 행정부와 같은 곳에서 제대로 얘기를 해주지 않습니다.

A. 심우민: 결국에는 방통위에서 가이드라인을 만들었지만 규범력을 지니지 못하므로 혼선만 초래했다고 봅니다. 개인정보규제의 동의요건 때문에 사업구상을 못하는 것은 넌센스입니다. 규제개혁을 하려면 구체적인 타깃이 필요합니다. 식별성·비식별성, 동의요건 담론으로 가는 것은 문제입니다.

F. (심우민 답에 대한 반론) 우리나라는 무조건 개인정보 수집을 통제하는 데 골몰하고 있습니다. 사업을 할 때 가장 불만인 것이 불확실성입니다. 예측불가능한 경우에는 사업을 시작할 수 없습니다. 우리나라의 개인정보 정의 규정만 보면 뭐가 뭔지 모르겠고, 결합가능성 하나 때문에 되느냐 안되느냐를 고민하게 됩니다. 휴대폰 뒷자리, 유심번호 등이 개인정보라고 판단되는 현실에서 다른 생각을 하기도 어렵습니다. 모든 데이터가 개인정보가 될 수 있습니다. 내가 가지고 있는 정보에 이동통신사의 정보가 결합되면 또 개인정보가 됩니다. 정의가 지나치게 넓게 해석되고 있습니다. 그것을 줄이기 위해 정의규정이 문제라고 하는 것입니다. 업계에서 볼 때 우리나라 법제에서는 포괄적 묵시적 동의가 불가능합니다. 다른 나라에서 가능한 방식이 우리나라에서는 불가능합니다. 무엇 하나 잘못하면 형사처벌을 받게 됩니다. 이러한 상황에서 어떻게 서비스산업이 발전하겠습니까. 우리나라는 예외규정이 없어서 무조건 다 동의를 받아야 합니다. 예를 들어 119 구급대가 경찰에게 정보를 동의 없이 넘겨주지 못합니다. 그래서 집 근처를 수색하다가 결국 피해자가 범죄의 피해를 입기도 하는 사건이 있었습니다. 모든 상황에서 결합된 상태의 서비스를 하지 못하게 합니다. 그러다보니 찾은 것이 비식별화 논의입니다. 어떻게든 동의를 받아서 수집하였는데 다른 목적이 생기면 동의를 새로 받아야 합니다. 내가 가진 정보를 비식별화하면 뭔가 할 수 있는 것이 아니냐고 하는 것이 비식별화 논의입니다. 예외를 만들어보자는 것입니다. 현재 입법론이 많이 제시되고 있지만 전혀 진전이 없습니다. 빅데이터, 사물인터넷, 인공지능이 나오는 상황에서 업계에서는 방법이 없습니다.

F. 방송통신위원회의 가이드라인은 개인정보자기결정권을 가이드라인을 통해 제한한다는 점에서 위헌적입니다. 다른 나라는 결합정보 해석, 정의 규정 리스크가 있음에도 결합정보는 잔존 리스크 단계에서만 판단하겠다는 스탠스를 취하고 있습니다. 그런데 그에 대한 기본적 해석이 전혀 이루어지지 않은 상태로 외국의 법제를 받아들이는 것은 문제라고 봅니다. 리스크 매니지먼트를 쉽게 말하지만 잔존리스크 논의가 빠져 있습니다. 수집·처리·폐기과정을 한 사람이 하는 것에 반대합니다. 다른 나라에는 수집·처리·폐기 단계별 리스크 관리가 있습니다. 목적 구속 원칙이 가장 강력하게 적용되는 것이 처리 단계입니다. 개인정보보호법의 취지에는 이용을 위한다는 목적도 있습니다. 정의규정을 바꿔서 문제를 해결하기보다는 정의규정이 원래 가진 의미를 파악하는 것이 더 중요하다고 생각합니다. 리스크라는 예측불가능성에 초점을 맞추지 않는 한 변하는 것이 없습니다.

A. 심우민: 사업자 입장에서 말씀해주셨는데, 어느나라든 각국에서 정의규정에 입각했을 때 누군지 알아볼 수 있다는 표현에 입각해서 명확하게 정하지 못하는 것은 우리나라의 문제만이 아닙니다. 사법부의 해석이 문제입니다. 리스크는 사법부의 해석이 높여놓은 것입니다. 입법의 영역에서 정하는 것은 입법기술상 불가능합니다. 해석의 문제를 입법의 문제로 해결하기는 어렵습니다.

F. 기본적으로 개인정보보호법을 규제하기 위한 것이라고 보니까 문제가 된다고 봅니다. 일본의 경우 개인정보보호법 제정을 한 것은 개인정보보호법 체계 내에서 예외를 만들기 위한 것입니다. 그 예외를 위한 개념이 가명처리정보입니다. 이 법이 들어온 계기나, 예외적으로 들어온 취지에 비추어보면 규제를 완화하기 위한 것이라고 봅니다. 다만 심우민 조사관님이 말씀하신 새로운 패러다임은 이해가 잘 가지 않습니다. 개인정보자기결정권은 권리이므로 동의가 없으면 위반인데 어떻게 형량이 들어갈 수 있나요? 위험성과 해악 사이의 비교형량이라면 심우민 조사관님이 제시한 표4는 문제가 있습니다.

A. 심우민: GDPR의 입법연혁을 봤을 때 가명정보와 같은 것은 규제를 위한 측면과 활용의 측면을 모두 가지고 있습니다. 표현의 문제가 있었던 것은 맞습니다. 권리의 개념이라는 것도 해석적 형량이 필요한 부분이고, 그 부분에 대해 형량이나 해석을 함에 있어서 위험에 대한 고려가 들어가는 것이 새 시대의 새로운 법적 패러다임이라고 생각합니다.

시민들의 의견

댓글 달기

이름

Comment

텍스트 형식 정보

텍스트 형식

Plain text

웹 페이지 주소 및 이메일 주소는 자동으로 링크로 전환됩니다.
줄과 단락은 자동으로 분리됩니다.
사용할 수 있는 HTML 태그: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd>

CAPTCHA

스펨 사용자 차단 질문

참여연대, 권력감시

[긴급기자브리핑] 팩트체크 “데이터 3법, 왜 개인정보 도둑 법인가?”

팩트체크 “데이터 3법, 왜 개인정보 도둑 법인가?”

개인정보보호법,신용정보법 개정안에 반대하나

일시 장소 : 2019. 12. 04.(수) 오전 10시, 참여연대2층아름드리홀

취지와 목적

현재 국회 법제사법위원회에 계류되어 있는 개인정보보호법안, 신용정보보호법안과 국회 과학기술정보방송통신위원회에 계류되어 있는 정보통신망법(이하 개인정보3법안)에 대해 그동안 기업들은, 다른 나라에 비해 우리나라 개인정보보호규제가 너무 강해서 데이터산업이 활성화되지 못한다, AI 등 신기술 발전을 위해 개인정보를 마음대로 써야 하는데 규제가 완화가 안되어 이대로 가다간 데이터후진국이 된다, 가명처리하여 사용하므로 안전하다라고 주장하면서 법안 통과를 압박해 왔습니다.

그러나 기업들의 이와 같은 주장에 맞서 노동시민사회단체들은 이들 개인정보3법은, 가명정보라는 개념을 도입하여 정보주체의 동의없이 기업들이 활용할 수 있도록 하고 있는데, 가명정보는 언제든 다른 데이터와 결합하면 누구의 정보인지 식별이 되는 정보이므로 정보주체의 권리보호 등 안전장치가 반드시 필요하다 주장하고 있음. 개인정보3법 개정안들은 정보주체의 권리를 대폭 축소하고 있어 법안들이 이대로 국회에서 통과되면 안된다는 입장을 밝혀왔습니다.

유감스럽게도 그동안 기업 측의 주장과 시민사회의 주장에 대해 제대로 된 토론의 과정이 없었음. 정부나 국회는 이 법안들이 통과되면 개인정보보호에 어떤 변화가 일어날 것인지, 어떤 대안이 가능한지 등등에 대해 사회적 논의를 한 바가 없었습니다.

두차례에 걸친 이른바 ‘해커톤’을 마치 기업과 시민사회와의 합의 과정인양 홍보하지만 실상은 기업측의 입장을 대변하는 전문가들 일색에 구색맞추기로 시민사회 몇 명을 끼워 넣은 것이란 비판을 받아왔음. 또한 그동안 언론보도도 기업측의 주장에 좀더 힘을 실어주는 기사가 대부분이었습니다.

이에 개인정보3법의 개악에 반대하며, 법안심사를 중단하고 지금부터라도 찬반의 입장을 경청하는 사회적 논의를 시작해 개인정보와 데이터활용의 균형을 맞추는 노력을 해야 한다고 주장해 온 노동시민사회는 아래와 같이 긴급 기자브리핑을 개최하여 그동안 기업측의 규제완화와 그 주장의 근거에 대해 시민사회의 입장을 밝히려고 합니다.

2. 개요

제목 : [긴급기자브리핑] 팩트체크 “데이터 3법, 왜 개인정보 도둑 법인가?”

우리는 왜 개인정보보호법,신용정보법 개정안에 반대하나

일시 장소 : 2019. 12. 4(수) 오전10시-11시/ 참여연대 2층아름드리홀

주최 : 건강과 대안, 무상의료운동본부, 민주사회를 위한 변호사모임 디지털정보위원회, 전국민주노동조합총연맹, 진보네트워크센터, 참여연대

주요 순서
- 참가자 소개 / 인사말
- 개인정보 3법 개정에 대한 노동시민사회단체 입장 요약 발표
- 개인정보 3법 개정 관련 기업 등의 주요 주장에 대한 팩트체크
- 질의 응답
  
  * 팩트체크 항목은 기자브리핑 당일날 배포합니다.

문의 : 참여연대 정보인권사업단(이지은 간사 02-723-0666/이경민 간사 02-723-5056)

원문https://drive.google.com/open?id=1f9lsLJyL44taiNrtkhaR58SbUHERIPxTZPEMlF... rel="nofollow">보기/다운로드

빅데이터, 의료정보, 개인정보자기결정권, 민주주의, 감시사회, 마이데이터, 의료민영화, 신용정보법, 개인정보법, 채이배, 지상욱, 4차산업혁명, 데이터산업

화, 2019/12/03- 20:02

참여연대, 권력감시

[기자회견] 개인정보 도둑법 강행하는 정부 규탄한다

http://www.peoplepower21.org/files/attach/images/37219/166/668/001/ec76d... style="width:850px;height:638px;" />개인정보 도둑법 강행하는 정부 규탄한다

‘국민이 주인인 나라’ 표방하는 문재인 정부, 정보인권 외면

제대로 된 개인정보보호,활용 조화 위한 사회적 논의 시작해야

취지

오늘(12/9) 건강과대안, 건강권실현을위한보건의료단체연합, 무상의료운동본부, 민주사회를위한변호사모임 디지털정보위원회, 전국민주노동조합총연맹, 진보네트워크센터, 참여연대는 청와대 분수대 앞에서 개인정보3법(개인정보보호법개정안, 신용정보보호법개정안, 정보통신망법개정안)을 통과시킬 것을 압박하고 있는 문재인 정부 규탄 기자회견을 개최했다. 그동안 정부와 국회는 4차 산업혁명과 경제혁신을 위해 데이터 3법이 반드시 통과되어야 한다고 주장해 왔다. 그러나 세 법안은 국민의 개인정보보호 체계를 근본적으로 바꾸는 중대한 사안임에도 그간 사회적 논의와 합의 없이 일방적으로 추진되었다. 정부가 사실상 법안마련을 주도한 것으로 알려진 이들 법안의 주요내용은 정보 주체자인 국민의 동의없이 개인정보를 상업적으로 활용할 수 있도록 하고 있고 정보주체의 권리는 대폭 축소 또는 폐지하는 등 안전장치가 거의 전무하다. 지금이라도 정부가 이들 3법안 강행을 중단하고 제대로 된 개인정보보호 체계를 마련하기 위한 사회적 논의를 시작할 것을 촉구한다.

지난 12/4일 국회 과학기술정보방송통신위원회가 <정보통신망법안>을 졸속으로 통과시킴으로써 이제 개인정보3법안은 모두 법제사법위원회의 체계 자구 심사와 본회의만을 남겨두고 있다. 수차례 지적했듯이, 개인정보 3법은 기업들이 가명처리된 고객정보를 정보주체의 동의없이 판매, 공유, 결합할 수 있도록 허용하는 ‘개인정보 도둑법’이다. 공공의 이익도 아니고 사기업의 이윤을 위해, 그것도 충분한 안전장치도 없이 정보주체의 권리를 일방적으로 희생할 것을 요구하는 것은 국민의 기본권 보호를 국가의 책무로 규정하고 있는 헌법에도 위배된다.

개인정보보호와 활용의 균형을 이루겠다는 법개정 취지는 말속임에 지나지 않는다. 건강정보나 금융정보와 같이 개인의 가장 사적이고 민감한 정보에 대해서초자 안전장치를 찾기 어렵다. 가명처리만 하면 애초 수집 목적 외로 다른 기업에 제공할 수 있도록 하고 있으며, 더구나 한번 제공된 가명정보는 목적달성 후 삭제,폐기의무도 없다.이 뿐인가? 서로 다른 기업의 고객정보를 공공기관이 결합해주도록 하고 있다. 이는 전세계 유례가 없는 일이다. 정부는 유럽연합의 일반개인정보보호규정(GDPR) 적정성 평가를 위해서도 개인정보3법 통과를 서둘러야 한다고 하고 있다. 그러나 이들 3법안은 유럽연합의 GDPR에 비해 개인정보처리자의 책임성을 강화하는 조항도 부재하다. 무엇보다 GDPR의 수준에 맞게 개인정보감독기구의 독립성과 권한을 강화하는 게 선행되어야 했다. 정부의 주장대로 적정성 평가를 위해 법개정을 서둘러야 한다면 문제가 되는 법안 내용 중 개인정보보호위원회의 독립성과 권한을 강화하는 조항만 통과시키면 된다.

이와 같이 개인정보3법안이 개인정보보호와 활용의 조화를 구현하겠다는 법개정 취지와는 반대로 가고 있음이 명백한데도 정부가 법안 통과를 적극 요구하고 있을 뿐 아니라 비쟁점법안이라며 국회 역시 통과를 서두르겠다고 하고 있다. 노동시민사회는 경제혁신을 위해 국민의 정보인권을 일방적으로 희생할 것을 요구만 할 것이 아니라 지금부터라도 사회적 논의를 시작한다면 제대로 된 개인정보보호와 활용 정책을 모색해 나갈 수 있을 것이라고 주장했다. ‘국민이 주인인 나라’를 표방하는 문재인정부가 현명한 선택을 할 것을 기대한다고 밝혔다.

개요

제목 : 기자회견 <개인정보 도둑법 강행하는 정부 규탄한다>

일시 장소 : 2019. 12. 09(월) 11시 / 청와대 분수대 앞

주최 : 건강과대안, 건강권실현을위한보건의료단체연합, 무상의료운동본부, 민주사회를위한변호사모임 디지털정보위원회, 전국민주노동조합총연맹, 진보네트워크센터, 참여연대

참가자

사회 김재헌 (무상의료운동본부 사무국장)

발언 1 오병일 (진보네트워크센터 대표)

발언 2 전진한 (보건의료단체연합 정책국장)

발언 3 양홍석 (참여연대 공익법센터 소장)

발언 4 양동규 (전국민주노동조합총연맹 부위원장)

퍼포먼스

문의 : 민변 디지털정보위원회(서채완 변호사 02-522-7284), 민주노총(우문숙 정책국장 010-5358-2260),진보네트워크센터(희우 활동가 02-774-4551), 무상의료운동본부(김재헌 국장 010-7726-2792), 참여연대(이경민 간사 010-7266-7727), 전진한(보건의료단체연합 정책국장 010-9699-8840)

▣ 붙임1 : 기자회견문

기자회견문

개인정보 도둑법 강행하는 문재인 정부 규탄한다

문재인 정부는 소위 4차 산업혁명과 혁신 경제라는 명분으로 개인정보 3법(개인정보보호법 개정안, 정보통신망법 개정안, 신용정보법 개정안) 개악을 강행하고 있다. 지난 12월 4일 정보통신망법이 상임위를 통과함으로써, 이제 개인정보 3법은 법제사법위원회와 본회의를 앞두고 있다. 노동시민사회의 반대에도 불구하고 여당은 개인정보 3법을 ‘비쟁점 법안’으로 분류하고 밀어붙이려 하고 있다. ‘창조경제’를 명분으로 ‘개인정보 비식별조치 가이드라인’을 강행하여 개인정보를 침탈했던 박근혜 정부와 무엇이 다른지 알 수 없다.

데이터 3법이 아니라 개인정보 도둑법이다

수차례 지적했듯이, 개인정보 3법은 기업들이 가명처리된 고객정보를 정보주체의 동의없이 판매, 공유, 결합할 수 있도록 허용하는 ‘개인정보 도둑법’이다. 공공의 이익도 아니고 사기업의 이윤을 위해, 그것도 충분한 안전장치도 없이 정보주체의 권리를 희생해야 할 이유가 무엇인지 묻지 않을 수 없다.

안전조치도 부실하다. 개인건강정보와 같은 민감한 개인정보인지, 정보인권을 침해할 다른 우려는 없는지 등을 고려하지 않고 가명처리만 하면 애초 수집 목적 외로 다른 기업에 제공할 수 있도록 하고 있으며, 더구나 한번 제공된 가명정보는 삭제되지 않고 계속 사용 할 수 있도록 보장하고 있다. 서로 다른 기업의 고객정보를 공공기관이 결합해주는 서비스는 전 세계적으로 유례없는 일이다. 유럽연합의 일반개인정보보호규정(GDPR)과 같이 개인정보처리자의 책임성을 강화하는 조항도 부재하다. 개인정보보호위원회의 권한을 강화한다고 하지만, 독립성은 여전히 미약해서 정부가 간섭하려는 의도가 엿보인다.

이 법이 없으면 데이터 활용이 불가능하다고, 빅데이터나 인공지능의 발전이 불가능하다고 호도하지 말기 바란다. 정보주체의 동의를 받는다든지, 개인정보가 아닌 익명정보를 활용한다든지 혹은, 학술 연구를 활용하는 등 다양한 방법이 존재한다. 개인정보의 권리를 침해해야 가능한 사업 모델을 갖고있다면 차라리 지금 사업을 포기하는 것이 나을 것이다.

유럽연합과의 적정성 평가를 위해서 개인정보 3법의 조속한 통과가 필요하다는 주장도 있다. 그렇다면 개인정보보호위원회의 독립성과 권한을 강화하는 조항만 통과시키면 된다. 애초에 적정성 평가의 가장 큰 장애물은 우리나라에 독립적인 개인정보감독기구가 없다는 것이었다. 차라리 개인정보보호위원회를 독립적인 감독기구로 바로 세우고 개인정보 보호법제를 전반적으로 재검토하도록 하는 게 효율적인 방법일 수 있다.

밀어붙일수록 늦어진다.

내용도 문제이지만 추진 과정도 실망스럽다. 문재인 정부를 과연 민주적으로 운영되는 정부라 부를 수 있는가. 정부 부처는 인권보다는 산업 중심주의자의 편에 서 있다. 정부의 잘못된 정책 추진에 제 목소리를 내지 못하는 여당 의원들도 한심하기는 마찬가지다. 한 사람 한 사람 입법기관으로서 개인정보의 상품화에 찬성하는 것인지 의견을 밝힐 것을 요구했지만, 소신은 간 데 없고 정부의 거수기 역할만 하고 있다.

박근혜 정부는 충분한 논의없이 ‘개인정보 비식별조치 가이드라인’을 밀어붙였지만, 2016년 이후 현재까지 4년 동안 개인정보의 보호와 활용 체계에 어떠한 진전도 가져오지 않았다. 오히려 정부와 기업이 개인정보를 무분별하게 활용하려 한다는 불신만 가중시켰을 뿐이다.

문재인 정부에서 개인정보 3법을 충분한 의견수렴도 없이 이렇게 밀어붙인다면 그 결과는 충분히 예상된다. 이런 방식으로 개인정보 3법이 통과된다면 우리는 내 개인정보를 상업적 연구 목적으로 처리하지 말라는 대대적인 거부 운동을 벌여나갈 것이다. 고객의 개인정보를 허투루 취급하는 기업들은 그에 합당한 충분한 대가를 치르게 할 것이다. ‘사람이 먼저다’라는 문재인 정부의 슬로건도 웃음거리가 될 것이다.

개인정보 3법은 국회에 있지만, 우리는 다시 청와대 앞으로 왔다. 개인정보 도둑법을 강행하는 배후에는 궁극적으로 문재인 정부가 있기 때문이다. 문재인 정부에 마지막으로 촉구한다. 개인정보 3법 강행을 중단하고, 개인정보 보호체계 업그레이드를 위한 제대로 된 사회적 논의를 시작해야 한다.

2019년 12월 9일

건강과대안, 건강권실현을위한보건의료단체연합, 무상의료운동본부, 민주사회를위한변호사모임 디지털정보위원회, 전국민주노동조합총연맹, 진보네트워크센터, 참여연대

빅데이터, 의료정보, 개인정보보호, 민주주의, 감시사회, 마이데이터.감시사회, 개인정보자기결정권, 데이터3법

월, 2019/12/09- 20:39

[판결비평] 가명처리는 안전조치로 도입되어야 했다

통신3사는 그간 가명처리된 정보라는 이유로 가입자의 개인정보가 어떻게 활용되었는지를 공개하지 않고, 이를 중단해달라는 요구도 수용하지 않아왔습니다. 자신의 정보가 어떻게 처리되었는지 알수 없었던 이용자들이 정보공개청구 및 향후 가명처리와 무단활용을 하지 말아달라고 요청했지만, SKT는 거절했습니다. 이에 이용자들은 법원에 소송을 제기했고, 법원은 이용자들의 손을 들어주었습니다. 정보주체의 가명처리정지권 보장의 중요성을 인정한 이번 판결에 대해 김보라미 변호사가 비평했습니다.

광장에 나온 판결 : 229번째 이야기

SKT를 상대로 한 개인정보 가명처리정지권 이행 소송 1심 판결

서울중앙지방법원 제29민사부 한정석(재판장), 강석규, 김소연 판사 2023. 01. 19 선고. 2021가합509722 [판결문 보기]

김보라미 변호사 / 법률사무소 디케

「개인정보보호법」이 2020년 2월 4일 통과된 이후 “가명정보”라는 개념이 도입되었다. 「개인정보보호법」 법 제2조 정의에서 가명처리에 대하여는 “개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아 볼 수 없도록 처리하는 것”이라고 정의(법 제2조 제1의2호)하고, 가명정보에 대하여는 “개인정보를 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보”(제2조 제1호 다목)라고 정의하고 있다. 위 정의에서 “가명정보”는 ”추가정보“를 보유하고 있는 개인정보처리자 입장에서는 언제든지 특정 개인을 알아볼 수 있는 정보이기 때문에 개인 정보라는 점이 강조되어 있다.

우리 법에서 ”가명처리“의 정의는, EU GDPR¹⁾의 가명처리(pseudonymisation)(제4조 제5호)²⁾와 동일한 정의규정을 가져와 유사하게 제정한 것이나, 정작 GDPR에서 가명처리는 안전조치의 하나로 도입되었을 뿐이라는 점에서 큰 차이가 있다. EU GDPR에서는 가명처리는 개인들의 권리행사를 배제하거나 기타 개인정보보호조치를 배제시키려는 의도로 도입된 것이 아니다(전문 제28조)³⁾.

그러나 우리 법문 제3절에서는 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 처리 근거로서 EU GDPR 제87조를 차용하였으면서도, 완전히 다른 법체계로 조문구성이 되었다. 이렇게 된 이유는 우리 법에서는 가명처리가 안전조치로 고려되지 않았기 때문이었다. 정의에서 언급된 가명처리는 더 이상 (안전조치로도) 언급되지 않고, ”가명정보“만 과거 사회적 논란속에서 사라져간 「개인정보 비식별조치 가이드라인」(2016. 6. 30. 공표)에서의 ”비식별조치“와 유사한 맥락으로 활용되고 있다.

특히 현행 「개인정보보호법」는 ”가명정보“일 경우 개인정보주체의 동의없이 활용할 수 있는 특례를 허용해 주면서도 별도의 조건이나 제한 없이 수집출처 등 고지의무(제20조), 개인정보 파기의무(제21조), 영업양도 등에 따른 사전 통지의무(제27조), 개인정보 유출 통지의무(제34조), 열람권(제35조), 정정・삭제에 관한 권리(제36조), 처리정지 요구권(제37조), 정보통신서비스 제공자의 개인정보 수집・이용에 관하여 이용자로부터 동의 등을 받을 의무(제39조의3), 개인정보 유출통지 및 신고의무(제39조의4), 개인정보 파기의무(제39조의6), 동의 철회에 관한 권리(제39조의7) 등의 개인의 기본적 권리 행사도 모두 불가능하게 규정(법제28조의7)했다는 점에서 그 문제가 심각하다.

위 규정대로라면 ”가명정보“는 개인정보라고 강조하며 정의하고 있는데, 제3절의 가명정보의 처리 특례를 통해 ”개인정보“가 아닌 것처럼 역할하고 있는 것이다.

통계작성, 과학적 연구, 공익적 기록보존 등을 위한 처리근거 비교표. 우리 개인정보보호법과 유럽 GDPR을 비교하고 있다. 체계. 우리 개인정보보호법. 개인정보 처리근거와 무관하게 맥락없는 가명정보의 특례로 “동의받지 않고 활용할 수 있다”라고 구성되어 있음(제3절 가명정보의 처리에 관한 특례). 유럽GDPR. 양립가능성(제6조 제4항 본문)을 근거로 하여 공익적 기록보존 목적, 과학적 또는 역사적 연구 목적, 또는 통계 목적을 위한 추가 처리를 양립가능성 범위내로 예시함(전문 제50조, 제5조 제1항 b호 후문). 요건. 우리 개인정보보호법. 가명정보. 유럽GDPR. 가명처리는 안전조치의 하나일 뿐이지, 가명처리되었다고 하여 안전조치가 전부 충족된 것은 아니다. 정보주체의 권리 배제. 우리 개인정보보호법. 별도의 조건이나 제한없이 수집출처 등 고지의무(제20조), 개인정보 파기의무(제21조), 영업양도등에 따른 사전 통지의무(제27조), 개인정보 유출 통지의무(제34조), 열람권(제35조), 정정・삭제에 관한 권리(제36조), 처리정지 요구권(제37조), 정보통신서비스 사업자의 정보통신서비스 제공자의 개인정보 수집・이용에 관하여 이용자로부터 동의 등을 받을 의무(제39조의3), 개인정보 유출통지 및 신고의무(제39조의4), 개인정보 파기의무(제39조의6), 동의 철회에 관한 권리(제39조의7) 등 정보주체의 권리행사배제 (법 제28조의7). 유럽GDPR. - 과학적 또는 역사적 연구 목적, 통계 목적으로 처리되는 경우 일부 정보주체의 권리[제15조(열람권) , 제16조(정정권), 제18조(처리에 대한 제한권), 제21조(반대할 권리)]를 배제할 수 있으나, 이 경우에도 해당 권리가 목적의 달성을 불가능하게 하거나 중대하게 손상시키고, 그러한 배제가 목적달성에 필요한 경우에만 배제를 허용함. - 공익적 기록보존 목적일 경우에는 [제15조(열람권) , 제16조(정정권), 제18조(처리에 대한 제한권), 제19조(고지의무), 제20조(개인정보이동권), 제21조(반대할 권리)]를 배제할 수 있으나, 이 경우에도 해당 권리가 목적의 달성을 불가능하게 하거나 중대하게 손상시키고, 그러한 배제가 목적달성에 필요한 경우에만 배제를 허용함.

헌법재판소는 개인정보자기결정권에 대해서 헌법 제10조 제1문에서 도출되는 일반적 인격권, 헌법 제17조의 사생활의 비밀과 자유에 근거하여 독자적인 기본권으로 인정하여 왔다.(헌재 2005. 5. 26. 자 99헌마513 등) 이러한 개인정보자기결정권에는 개인이 개인정보 처리에 관하여 동의할 수 있는 권리, 동의 범위 등을 선택하고 결정할 수 있는 권리, 열람을 요구할 수 있는 권리, 개인정보의 처리 정지, 정정·삭제 및 파기를 요구할 권리가 실질적으로 구현되어야 한다. 이러한 권리가 구현되지 않는 개인정보자기결정권은 존재하지 않는 것과 같다.

개인정보자기결정권은 개인정보를 식별가능한 상태로 처리함으로써 개인의 사생활이 침해된다는 것에 대해 방어할 수 있는 권리에 그치는 것이 아니라, 개인이 자신의 정보흐름에 대해 주도권을 가지지 못하고 배제됨으로써 겪는 인격권 침해를 막고 적극적으로 참여할 수 있도록 하는 권리이기도 하다. 그러므로 ”개인이 행사하여야만 하는 헌법상 기본권“을 처리의 목적 달성 여부나 필요성, 최소 침해성 여부 등을 전혀 고려하지 않고 전면 배제하여 통제권을 유명무실한다면 이는 헌법상 과잉금지원칙 위반이라고 해석될 수 있다.

이번 SKT 사건 판결은, 「개인정보보호법」에서 가명정보 특례 조항들이 가지고 있는 문제를 본격적으로 짚었을 뿐만 아니라, 개인정보자기결정권이라는 기본권을 침해여부에 대한 헌법적 평가까지 함께 했다는 점에서 의미가 크다. 판결문에서는 명시적으로 언급되지 않았으나, 우리 법에서 명확하게 규정하지 않은 식별가능한 개인정보가 가명정보화되는 처리과정 및 처리근거에 대한 문제제기 역시 같은 맥락에서 검토될 수 있다.

해당 판결에서는 가명정보의 특례를 통해 개인들의 권리행사가 부당하게 제한되고 있다는 점에 대하여 ① 개인들의 권리행사가 왜 필요한가라는 측면 (필요성), ② 개인들의 권리행사를 전면 배제하는 것의 과잉침해성 (최소 침해성) 등을 언급하며 ”부당하다“고 평가하고 있다.

판결문 제9쪽 내지 제10쪽

가명정보가 … (중략)… 동일한 정보주체에 관한 여러 가명정보가 사용・결합되거나 그 밖에 이와 유사한 상황이 발생할 경우에는 정보주체에 대한 식별이 가능하게 될 위험이 존재하고 … (중략)… 개인정보가 정보주체의 의사와 무관하게 유출되는 경우에는 정보주체에게 심각한 피해가 초래될 가능성이 높고 그로 인하여 정보주체에 발생한 피해는 사후적으로 금전적 보상 또는 배상이 이루어지는 것만으로 회복될 수 있는 성질의 것이 아닌 이상 정보주체가 개인정보처리자에 대하여 식별가능정보에 대한 가명처리 내지 가명정보에 대한 처리에 관한 결정권을 충분히 자유롭게 행사할 수 있도록 할 필요성이 존재한다고 할 것이다.

그런데 개정된 개인정보 보호법은, … (중략)… 식별가능정보를 가명처리하여 생성된 가명정보에 대하여는 ①개인정보처리자의 정보주체 이외로부터 수집한 개인정보의 수집출처 등 고지의무(제20조), 개인정보 파기의무(제21조), 영업양도등에 따른 사전 통지의무(제27조), 개인정보 유출 통지의무(제34조)와 ②정보통시서비스 제공자의 개인정보 수집・이용에 관하여 이용자로부터 동의 등을 받을 의무(제39조의3), 개인정보 유출통지 및 신고의무(제39조의4), 개인정보 파기의무(제39조의6) 및 ③정보주체의 열람권(제35조), 정정・삭제에 관한 권리(제36조), 처리정지 요구권(제37조), 동의 철회에 관한 권리(제39조의7) 등의 적용을 모두 배제함으로써(제28조의7) 정보주체의 가명정보의 처리에 대한 결정권을 상당하게 제한하고 있다.

그렇다면 개정된 개인정보보호법 제28조의7에서 처리정지 요구권의 적용을 배제하고 있는 ‘가명정보’에 식별가능정보를 가명처리하는 것까지 포함된다고 해석할 경우 정보주체가 개인정보처리자에 대하여 가명정보에 대한 개인정보자기결정권을 행사할 수 있는 방법이 원척적으로 봉쇄되는 부당한 결론에 이르게 된다.

또한 해당 판결에서는 가명정보로 처리되기 전에 자신의 식별정보에 대한 가명처리정지를 요구할 수 있다는 점에 대하여 ‘개인정보 보호 법령 및 지침・고시 해설’ 등의 유권해석을 근거로 판단하고 있는데 더하여, 헌법적 평가를 시도하고 있다. 즉, ”식별가능정보의 가명처리에 대한 정보주체의 처리정지 요구권의 행사를 원천적으로 제한함으로써 침해되는 정보주체의 사익이 그로 인하여 얻을 수 있는 공익에 비하여 결코 작다고 단정할 수 없다“고 판단한 것이다. 이러한 판단은 향후 유사한 ”개인“들의 권리행사에 있어서도 다른 공익과의 비교형량의 중요 기준으로 활용될 수 있는 근거로서 검토될 수 있을 것이다.

오늘날 저장장치 및 빅데이터와 강력한 기계학습알고리즘 등의 발전으로, 인간의 눈에는 식별할 수 없는 것처럼 보이더라도 개인으로부터 파생되거나 추론되는 데이터들이 쉽게 민감한 데이터로까지 추론되는 시대를 살고 있다. 비루해 보이는 토끼굴이 사실은 석·박사들이 포진한 데이터처리회사라는 이상한 나라까지 쭉 연결되는 것처럼 말이다.

EU GDPR을 중심으로 세계적으로 개인정보보호법제가 디지털 시대에 개인정보주체에게 보다 적극적인 통제권을 부여하고, 개인의 인권을 침해하는 개인정보처리를 제한하는 방향으로 변화되고 있다. 관련된 캘리포니아 주 법은 이에 영향을 받아 두 차례에 걸쳐 개정되었으며, 미 연방 개인정보보호법안도 발의된 바 있다.

이번 판결에서 문제가 된 「개인정보보호법」 제3절 가명정보의 특례는 개인정보보호법 전체 맥락과 견주어 보아도 어떤 개인정보처리규정과도 연결점이 없이 갑자기 툭 튀어나온 모습이다. ”활용”과 ”데이터 결합”을 위해 보호법에 특별한 특혜규정을 열어준 것이다. 지금이라도 법체계내에서 ”가명정보“라는 개념은 폐기하고, 가명처리를 안전조치의 일종으로 검토하여 개인정보보호법의 본래적 목적에 맞는 법개정이 이루어져야 한다. 또한 근본적으로 헌법상 개인정보자기결정권을 실질화하는 개인의 권리를 복원해야 한다.

1) EU GDPR(General Data Protection Regulation, EU 일반 개인정보보호법). 2016년 공포된 유럽의회 통합 규정으로써 유럽 시민들의 개인정보 보호를 강화하기 위해 시행된 규정으로 유럽 연합 시민의 데이터를 활용하는 경우 준수해야 한다. 개인정보 유출에 대한 심각성이 강조되면서 유럽뿐 아니라 전세계적으로 채택되거나 이와 유사한 법제가 도입되고 있다.

2) ‘pseudonymisation’ means the processing of personal data in such a manner that the personal data can no longer be attributed to a specific data subject without the use of additional information, provided that such additional information is kept separately and is subject to technical and organisational measures to ensure that the personal data are not attributed to an identified or identifiable natural person;

3) The application of pseudonymisation to personal data can reduce the risks to the data subjects concerned and help controllers and processors to meet their data-protection obligations. The explicit introduction of ‘pseudonymisation’ in this Regulation is not intended to preclude any other measures of data protection

참여연대 사법감시센터는 최근 판결 중 사회 변화의 흐름을 반영하지 못하거나 국민의 법 감정과 괴리된 판결, 기본권과 인권보호에 기여하지 못한 판결, 또는 그 와 반대로 인권수호기관으로서 위상을 정립하는데 기여한 판결을 소재로 [판결비평-광장에 나온 판결]사업을 진행하고 있습니다. 주로 법률가 층에만 국한되는 판결비평을 시민사회 공론의 장으로 끌어내어 다양한 의견을 나눔으로써 법원의 판결이 더욱더 발전될 수 있다는 생각 때문입니다.

The post [판결비평] 가명처리는 안전조치로 도입되어야 했다 appeared first on 참여연대.

[MD] section1**주요이슈, [메인편집] Main**Display, 사법감시센터, 판결/결정, SKT가명정보, 가명정보, 가명처리, 개인정보, 참여연대, 판결비평

월, 2023/02/20- 18:36

IT운동

“데이터현지화의 목표는 역차별해소일 수는 없다”

박경신, 2019/7/19 공정경쟁과 데이터 세미나 토론문

공정경쟁을 위한 데이터현지화(data localization)가 화두이다. 그런데 데이터현지화 담론의 가장 큰 허점은 목적이 무엇인지가 불분명하다는 것이다. 목적으로 제시되는 이유는 (1) 규제상의 역차별” 완화 (2) “망이용료” 상의 역차별 완화 (3) 세법 상의 역차별 완화이다. 참고로 GDPR도 데이터현지화를 한정적으로 요구하고 있지만 자국민의 프라이버시보호를 목적으로 하고 있어 프라이버시가 개인정보보호수준이 낮은 나라로의 이전만을 규제하고 있는 것과 달리 우리나라의 논의는 반드시 우리나라 안에 데이터를 둬야 한다는 면에서 차이가 있다.

우선 전반적으로 인터넷이 문명에게 준 선물은 힘없는 개인들도 정부나 기업과 같은 홍보력과 정보력을 가지도록 한다는 것인데 이 홍보력과 정보력에는 외국문물로부터의 정보를 수집할 자유 그리고 외국인들에게 홍보할 자유가 큰 부분을 차지하고 있다. 이와 함께 착신지의 다양성 뿐만 자신이 선택한 communication governance를 통해 통신할 자유도 포함하는 것인데 현재 데이터현지화의 대상이 되는 플랫폼업체들은 사실 자신의 데이터가 아니라 이용자들간의 소통을 mediate하고 있습니다.

과연 이를 역차별이라고 할 수 있는가. 알아보자.

(1) “역외적용” 담론 마저도 일관되게 갈라파고스적

“인터넷사업자는 국내법상 존재하는 각종 규제를 준수해야 하지만 해외사업자는 동일한 법 적용을 받지 않고 있어 국내 기업의 경쟁력이 현저히 저하되고 있다. 이 역차별을 해소하기 위해 외국업자에게 똑같은 규제를 적용해야 한다”는 주장이 정부여당 내에서 인기를 얻고 있다.

적반하장이라고 밖에 말할 수 없다. 국내인터넷기업을 ‘차별’하는 것은 정부와 국회가 우리나라에서만 유일무이하게 만들어 적용하고 있는 갈라파고스적 규제들이다. 게시물이 불법이 아니라도 요청만 있으면 30일 동안 게시물을 차단해야 하는 임시조치제도, 게시물이 불법이 아니라도 ‘건전한 통신윤리 함양을 위해 필요’하다면 삭제차단하겠다는 방송통신심의위원회의 시정요구제도, 우리 국민이 접속하는 웹사이트로서 자본금 1억 이상이라면 무조건 신고를 해야 하는 부가통신사업자신고제도, 불법물을 사전차단하지 않으면 형사처벌까지 당할 수 있는 ‘기술적 조치’ 의무조항들, 청소년의 합법적인 콘텐츠 접근을 막기 위해 실명제까지 하라는 청소년유해매체물실명제, 청소년유해물도 아닌 인터넷게임을 하려는 사람들도 실명확인을 하라는 인터넷게임실명제, 이들 실명제를 위한 온라인 상의 본인확인 방식도 이동통신사의 배만 불리는 고비용의 휴대폰본인확인을 선택할 수 밖에 없게 강요하는 본인확인기관제도, PC방을 포함한 모든 스타트업들의 전용회선료를 세계 최고 수준으로 높이고 있는 발신자부담 종량제 상호접속고시, 모든 온라인결제와 행정민원 서명에 공인인증서를 요구하는 공인인증서제도, 밤12시부터 새벽6시 사이에 청소년을 잠을 자야 한다는 폭력적인 전제에 만들어진 게임셧다운제, 진실이나 감정표현도 불법물로 분류하여 매년 1만건 넘는 기소가 이루어지는 명예훼손/모욕죄 법규 등 수많은 제도들이 국내기업들을 괴롭혀 왔다. 이 법들이 우리나라에 공익적으로 좋은지 안좋은지를 지금 다투지 않겠다. 중요한 것은 이 규제들은 OECD국가들 중에서 우리나라에서만 존재하고 있으면 우리나라 인터넷기업들의 발목을 잡고 있다는 것이다. 이는 마치 미국에서 50년대에 법률로 유색인종들인 기차 버스 앞에 못타게 하였는데 그 ‘차별’을 해소하기 위해 백인들도 기차 버스 앞에 못타게 하겠다는 것과 마찬가지이다.

보통 국가가 공익적인 목적으로 만든 규제에 대해 기업들이 과도하다고 불만을 표시하면 공익을 훼손하지 않는 범위에서 제도개선 가능성을 검토하는 것이 보통이다. 그런데 우리나라 정부는 해외인터넷기업들에까지 그 제도를 적용해서 ‘평등한 규제환경’을 만들겠다는 특이한 자세를 보이고 있다. 도대체 어느 나라가 자국규제 때문에 기업들이 힘들어하는 것을 두고 ‘역차별’이라고 부르면서 외국기업에 부담을 돌리려 하는가? 갈라파고스제도로 사고를 쳐놓고 갈라파고스적인 해법을 내놓는 형국이다.

(2) “망이용료” 상의 역차별

“망이용료”라는 말 자체가 국제적으로 존재하지 않는 말이다. 아래 그림을 보면 외국업체들은 국내이용자와의 접속(하늘색 루트)만 구매하는 것이고 – 반드시 외국업체가 필요해서 구매하는 것이 아니라 국내망사업자가 외국업체의 정보를 중앙의 핑크색루트를 통해서 받을 경우 너무 많은 양의 접속(transit)용량을 상위 ISP로부터 구매해야 하기 때문에 국내망사업자의 필요에 의해서 매매가 이루어지는 것(그러니 무료거래도 발생하는 것)이고 – 국내망사업자들은 전세계 단말들과의 접속루트(핑크색 루트 전체)를 구매하는 것이다. 한쪽은 캐시서버 접속료이고 한쪽은 전체 인터넷에 대한 접속료이다. 당연히 역차별을 논의할 수 없다. 외국단말과의 통행량이 적어도 (“2.6%”, 2019.11.10. 인터넷상생협 토론회 중 SK 윤세은 상무 발언) 마찬가지이다. 아무리 작은 통행량이라도 그것이 없다면 소비자들은 그 인터넷업체들을 회피할 것이다.

(3) 세법 상의 역차별 완화

지금 논의되고 있는 것이 해외CP들이 국내에서 콘텐츠를 팔 경우 이에 대해 세금을 부여하고 싶다는 것이다. 그런데 중국차가 미국에서 차가 팔린다고 해서 미국국세청이 중국제조업체에게 소득세를 부과하는가? 좀더 자세히 살펴보자면 다음과 같다.

디지털무역은 디지털콘텐츠를 해외에 파는 방식으로 이루어진다. 디지털콘텐츠는 주로 인터넷을 통해 판매된다. 이에 따라 유튜브 동영상, 페이스북 콘텐츠 등의 사본을 이용자들이 자신의 PC를 통해 받아보는 방식으로 디지털무역으로 이루어진다. 이때 이용자들이 직접 콘텐츠 이용에 대한 대가를 내는 것은 아니며 이들이 콘텐츠를 주의(attention)을 제공하고 콘텐츠 업자는 이 주의를 이용자들을 잠재적 고객으로 생각하는 광고주들에게 팔아서 현금화함으로써 디지털무역이 완성된다.

이에 대해서 소득세과세를 하고 싶다면 소득세의 기본원리를 바꿔야 한다. 이를 위한 국제적 논의를 따라가야 할 필요가 있는데 그것과 분리되어서 세법 상의 역차별을 말하는 것은 온당치 않다.

오픈블로그, 표현의 자유, 프라이버시, 혁신과 규제

수, 2019/11/20- 00:24

IT운동

[발제문] “가짜뉴스 규제” – 한국언론, 길을 묻다 토론회(2019.11.14.)

2019.11.14. 서강대학교에서 남덕우기념사업회가 주최한 “한국언론, 길을 묻다” 토론회가 열렸다. 이날 토론회에는 각계 학자·언론인들이 모여 ‘가짜뉴스, 규제해야 할까?’, ‘언론의 소유에 관한 질문’, ‘한국 언론의 당파성(정파성)’을 주제로 한 발제 및 토론이 이루어졌다. 이 토론회에서 박경신 오픈넷 이사가 아래의 내용으로 가짜뉴스 규제에 대해 발표했다.

발제문_가짜뉴스 규제_박경신 다운로드

[발제문] 가짜뉴스 규제

박경신 오픈넷 이사/고려대 법학전문대학원 교수

표현의 자유 기본원리

표현의 내재적 가치
표현의 도구적 가치 : 민주주의, 진실
표현은 interactive 하다. 즉 청자와 화자의 ‘합작품’이다.
표현의 결과는 청자의 정보처리에 의해 mediate 된다.
표현의 결과에 대한 책임을 모두 화자나 정보에게 지울 수 없다.
- 명백하고 임박한 위험의 원리(미국)
- 민주사회에 필수불가결한 규제의 원리 (유럽)

허위주장에 대한 규제

위 기준에 비추어 허용되는 표현규제 (괄호 안은 해악)

명예훼손 (제3자의 피해자 기피)
사기 (청자의 재물 박탈)
폭탄헛소문법 (대중교통수단에서의 다수인들의 동시다발적 도피행위에 따른 부상, “verbal act(언사적 행위)”)
위증 (재판에서의 사실확인 노력 오도)
위조 (부당한 권리의 행사)
아동포르노그래피 (아동성학대영상 즉 제작과정에서 아동에게 발생한 피해)
혐오표현 (소수자에 대한 차별과 폭력. cf. 지배층에 대한 혐오표현?)
음란물 (예외? – 합법적인 행위를 묘사한 표현물이 유통이 끼치는 해악?)
선거법상 허위사실공표죄 (선거의 공정성 – 그러나 진실이 그렇게 중요하다면. . . )

허위사실유포죄? – 보통은 “공익”, “혼란” 등으로 포장되어 있지만 구체적인 해악이 적시되지 않음 → 위헌 및 인권침해로 받아들여짐

역사: 실제로 권위주의 정부에서 진실된 비판을 억압하기 위한 도구로 이용됨. 예) 유신정부의 긴급조치 1호의 첫번째 신설범죄 “유언비어유포죄”

사례: 미네르바

인기 경제 블로거 – 2007년 미국수출 대기업들에 유리한 고환율정책에 대한 비판
한나라당 의원들의 대검 추궁 → 미네르바 구속
블로그: “외환거래중단 공문 1호!” → 사실: 전화로 거래자제 요청
블로그: “외환거래 중단” → 사실: 외환거래 “거의” 중단
전기통신기본법 47조 “공익을 훼손하기 위해 허위의 통신을 한 죄”
한 번도 집행되지 않은 법
입법연혁 – 전파법 상 타인을 사칭한 통신을 금지한 규정
- 결론: 피고인 무죄 (“진실이라고 믿을만한 이유” → 의도 부인)
- 결론: 법 위헌 (“공익 훼손” 이유로 허위주장 처벌은 명확성 위반)
허위의 해악 통제? 국가보위를 위한 사법권력의 동원?
- 결과: 다음 아고라의 피폐화

국제인권기준

R v. Zundel (Canada, 1992): 유태인대학살 부인죄 위헌
Chavanduka & Choto (Zimbabwe, 2000): 군인 소요 가능성을 보도한 기자들에 대해 “대중을 동요하기 위해 허위주장 배포한 죄” 위헌
Minerva case (Korea, 2010): 한국정부의 외환관리 행태에 대한 블로거 논평에 대해 “공익을 훼손하기 위한 허위의 통신을 한 죄” 위헌
Andare (Kenya, 2017): 페북 댓글로 타인의 소녀 성착취 의혹을 날조하여 비난한 것에 대해 “의도적으로 심적 불안을 끼치기 위해 허위통신을 한 죄” 위헌

민주사회에서 부정확성의 가치 (Zundel)

환경운동가가 ‘브리티시 콜럼비아주에서 열대우림이 사라지고 있다’는 주장이 과학자들에 의해 허위로 밝혀질 것이 두려워 그 주장을 하지 못하는 것이 옳은가? 삼림산업에 악영향을 끼치더라도 말이다.
인근의 원자력발전소가 아이들의 건강을 위협하고 있다는 말을 과학에 의해 영향이 최소한임이 입증되는 것이 두려워 하지 못해야 하는가?
의사가 뇌수막염이 유행이라는 말이 허위로 밝혀질까봐 그 말을 하지 못하는 것이 옳을까?
소수민족이 자신의 동료들의 상황을 무시하고 있다고 말하는 것도 두려워 해야 할까?”

공통점: 화자가 가진 선의에 의해 형성될 수도 있는 공익의 가치

의도적인 허위의 가치 (Zundel)

의도적인 허위주장도 표현의 자유를 떠받치는 가치들과 관련되어 유용한 사회적 역할을 수행할 수 있다.
동물학대 반대운동가가 통계를 조작하여 ‘동물학대건수가 증가하고 있다’고 주장했다면 처벌되어야 하는가?
의사가 유행바이러스 대응을 독촉하기 위해 유병율과 유병지점을 조작했다면 처벌되어야 할까?
예술가가 특정 사회에서는 진실에 반하는 것으로 여겨지는 주장을 한다면 (예: 살만 루시디 <악마의 시>) 처벌되어야 한는가?
“이 모든 주장들은 정치적 참여를 독려하는 가치가 내재되어 있다”

화자에게 있는 약간의 악의. 이것은 사상의 자유시장에서 다투어져야 할까? 형사처벌로 다루어져야 할까?

허위사실유포죄

허위와 진실은 구분하기 어렵다.
과학철학: 진실은 잠정적이다. 과학은 반증할 수 있는 허구(가설)을 제시하고 반증에 실패하면서 진실의 범위를 넓혀가는 학문
처벌할 정도 명백한 허위? 그런 허위라면 어떤 해악을 끼칠까?
- 예) 지구평평론, 백신무용론
대부분의 문제가 되는 허위는 진실에 가깝기 때문에 해악이 있는 것. 그러나 그 해악 때문에 검찰이 칼날이 들어간다면? 목전의 진실을 밝힐 가능성은?
- 2012: 정봉주의 이명박 BBK주가조작 의혹
- 2019: “다스는 이명박 소유!”
진실은 항상 숨겨져 있다. 진실이 뚜벅뚜벅 걸어나오게 만드는 것은 오직 의혹제기뿐!

허위에 대한 사회의 대응

깨어있는 시민
언론의 각성
더 많은 사실의 공개 – 진실명예훼손죄의 폐지 + 공공데이터 개방
- (예: 판결문 공개)
Marcelo Mendoza 2010년 연구 – 칠레 지진 때 트위터를 통한 재난 관련 정보교환에서 충분한 자정작용 확인

새로운 주장: 가짜뉴스가 2016년 선거를 망쳤다!

가짜뉴스란? = 가짜 언론사 뉴스 (fake media’s news)
2012년말 버즈피드(Buzzfeed): “교황이 트럼프를 지지한다”는 등의 가짜 언론사의 페이지가 가장 많이 페이스북에서 공유되었음.
2012년말 이코노미스트/유거브(Yougov): “트럼프 투표자들의 40%가 민주당이 아동성매매조직을 운영하고 있다고 믿으며, 36%가 오바마가 케냐에서 태어났다고 믿는다.
시간이 흐른 뒤. . .
- 2018년 MIT연구 – “소셜미디어에서 허위주장이 진실보다 더 넓게 더 깊게 전파된다”

진짜 문제일까?

페이스북 공유는 공유된 가짜뉴스가 진실이라고 해서 이루어지는 것일까?
진짜 선거에 영향을 끼쳤던 뉴스는 오바마 케냐 출신설. 그러나 가짜뉴스에서 시작된 것이 아님. 공화당원들이 대통령출생증명법안을 제출하고 트럼프가 계속된 인정거부하면서 발생함. → 정치인들의 역할은 무엇인가?
정녕 문언상의 허위가 문제일까? 예) Alien Endorses Trump, 문재인 치매설

**German social network act (2017년 3월 시행)**
– 게시자에 대한 형사처벌(x)
– 플랫폼업자에 대한 벌금(O)
**– 허위사실 유포죄(X)**
**– 기존 형법에 불법으로 정해진 정보(O)**

호주 (2019년4월 시행)

Failure by a service provider to notify the Australian Federal Police, within a reasonable time, that abhorrent violent material relating to conduct which is occurring, or has occurred, in Australia is accessible on a service.
Failure by a service provider to expeditiously remove, or cease to host, abhorrent violent material that is accessible within Australia.

The changes to the Criminal Code empower the eSafety Commissioner to issue a notice giving rise to a presumption that a service provider has been reckless as to whether its service can be used to access/host material which is violent abhorrent material at the time the notice was issued, unless the service provider can prove otherwise. The receipt of a notice will in effect impose strict liability for the offence, unless a service provider acts “expeditiously” to remove the relevant material.”