개인정보보호법의견서

2016. 11. 15. 국회 미래창조과학방송통신위원회{/}빅데이터의 이용 및 산업진흥 등에 관한 법률안에 대한 의견 (장여경)

By 2016/11/15 No Comments

2016. 11. 15. 국회 미래창조과학방송통신위원회에서는 <빅데이터의 이용 및 산업진흥 등에 관한 법률안>에 대한 공청회를 개최할 예정이었습니다. 그러나 새누리당은, 빅데이터 정책에 대한 청와대와 대기업의 개입을 비판한 이은우 진술인을 배제할 것을 요구하였습니다. 결국 공청회 전체가 무산되는 초유의 사태가 벌어졌습니다. 이은우 진술인의 의견에서 어떤 점이 그렇게 문제였을까요?
더불어 이 공청회를 위해 장여경 정책활동가가 준비하였던 의견을 공개합니다.

 

1. 빅데이터 산업과 개인정보 보호는 조화해야 함

 

  • 제정안은 “국내에서는 개인정보 보호와 관련된 규제의 경직성으로 인하여 많은 기업들이 빅데이터 사업에 적극적으로 나서지 못하는 상황”이라고 진단하며, “빅데이터산업의 가치 제고를 위하여 현행 개인정보 보호 법제에서 공백으로 남겨두고 있는 비식별화된 개인정보의 취급에 관한 사항을 규정”하는 것을 주요한 제정이유로 삼고 있음
  • 그러나 다른 나라에 비해 주민등록번호 등 개인정보 유출과 그로 인한 피해를 심각하게 경험한 국민들로서는 “국내 개인정보 보호가 경직되어 있다”는 전제에 쉽게 동의할 수 없음. 최근 홈플러스, IMS헬스, 롯데홈쇼핑 등 기업들은 소비자들이 믿고 맡긴 개인정보를 당사자 모르게 수 년간 판매해 왔고, 심지어 외국 빅데이터 업체가 4천4백만 명 50억 건에 달하는 우리 국민 주민등록번호와 민감한 처방정보를 입수하여 이를 세계적으로 판매하고 있는 상황임
  • 이런 상황에서 빅데이터 산업 발전을 위하여 개인정보 보호를 희생하겠다는 것은 개인정보 유출과 판매로 세계적인 피해를 입고 있는 국민들의 반발과 사회적 논란을 야기하고 건강한 미래 산업의 육성 또한 위태롭게 할 것이 우려됨
  • 유럽, 미국 등 주요 국가들은 빅데이터 산업과 개인정보 보호라는 두 마리 토끼를 모두 잡기 위하여 최근 오히려 투명성과 이용자 통제권을 입법적으로 강화하고 있음

 

2. 빅데이터의 특성과 인권

 

  • 빅데이터는 규모나 용량의 대규모성을 넘어서서, 인간에 대한 의사결정까지 자동적으로 처리하는 기술을 의미하며, 이로 인하여 이용자의 개인정보 통제권과 인권에 큰 위기가 발생함
    • 빅데이터는 통상적으로 ‘기존의 정보처리기술로 처리할 수 없을 정도의 양’, ‘데이터의 비정형성’ 및 ‘데이터의 실시간성’ 등의 특징을 가짐 (법안심사보고서)
    • 빅데이터 시대 개인정보 처리는 △이용자가 의식적으로 기관에 제공한 정형 정보 이상이 처리되며 △거의 모든 온라인 활동을 기록하거나 스마트기기의 위치를 추적하면서 개인에 대해 관찰하거나 추론하는 일이 증가하고 △사물인터넷이 우리에 대해 추론하거나 예측하는 정보를 증가시킴 (유럽 개인정보 감독관: EDPS, 2015)
  • 제정안의 경우도 빅데이터 시대 달라지는 개인정보 처리를 전제하고 있음. 즉, 공개정보의 이용 증가, 이용자가 서비스를 이용하는 과정에서 발생하는 내역정보에 대한 이용 증가, 그리고 대규모에 이를 이러한 정보들을 이용하여 또다르게 새로운 정보와 가치를 창출해 내는 상황, 나아가 이를 다른 사업자가 이용하게 하거나 판매 등 제공하는 상황을 전제하고 있음

제2조(정의) ① 이 법에서 사용하는 용어의 뜻은 다음과 같다.

1. “공개정보”란 이용자 및 정당한 권한이 있는 자에 의하여 공개 대상이나 목적의 제한 없이 합법적으로 일반 공중에게 공개된 부호·문자·음성·음향 및 영상 등의 정보를 말한다.

2. “이용내역정보”란 이용자가 정보통신서비스를 이용하는 과정에서 자동으로 발생하는 서비스 이용기록, 인터넷 접속정보 및 거래기록 등의 정보를 말한다.

3. “빅데이터”란 정보처리능력을 가진 장치를 통하여 공개정보 및 이용내역정보 등을 처리(수집, 생성, 저장, 조합, 분석, 그 밖에 이와 유사한 행위를 말한다. 이하 같다)하여 생성되는 정보 및 이로부터 가치를 추출하고 결과를 분석하는 기술을 말한다.
(중략)

5. “빅데이터서비스”란 빅데이터를 처리하고, 이를 다른 사업자가 이용하게 하거나 제공하는 서비스를 말한다.

  • 유럽연합은 빅데이터의 두 가지 측면을 분리하여 접근하고 있음. 즉, (1) 일반적인 트렌드나 정보의 연관성을 파악하는 빅데이터와 (2) 개인에게 직접적인 영향을 미치는 빅데이터를 나누어서 살펴볼 필요가 있음.
    • 전자와 같은 빅데이터는 책임감 있는 보호 조치를 보장하면 교통 정책 등 특정 영역에서 사용될 때 사회적인 이익과 효율성 향상을 가져올 수 있음.
    • 반면 취향, 행동, 태도 등 개인에 초점을 맞추어 분석하고 예측하는 후자의 빅데이터는 인권적 측면에서 논란이 됨. 따라서 유럽연합은 빅데이터 중 개인에 대한 정보를 처리하는 경우에는, 개인정보의 당사자인 정보주체가 자신의 개인정보를 처리하는 데 대하여 자유롭고, 구체적이고, 충분한 정보에 입각한, 그리고 명확한 ‘옵트인’ 동의권을 보장받아야 한다고 봄 (유럽연합 제29조 개인정보보호 작업반: WP29, 2013)
  • 빅데이터 시대에는 개인이 더이상 자신이 취했던 행동에 의해 평가받지 않고 장차 취할 수 있는 행동이라고 데이터가 표시하는 바에 기반하여 평가받게 되는 상황이 늘어나면서 빅데이터의 인권침해 문제가 심각해질 수 있음.
    • 사회적으로는 불공정하고 차별적인 의사결정을 야기할 수 있으며 사회문화적인 분리와 배제에 대한 기존의 스테레오타입을 강화하고 창조적 활동과 혁신에 위축을 불러올 우려가 있음(EDPS, 2015).
    • 개인적으로는 빅데이터 처리에 대해 충분한 정보를 제공받지 못한 채 그 배경을 알거나 통제할 수 없는 의사결정에 종속되는 불투명성이 증가하고, 통계적 추측으로 인한 부정확성도 발생하며, 사회적 차별과 배제의 영속화에 처할 수 있음. 무엇보다 구직 기회, 금융 대출, 건강 보험 선택 등에 있어 경제적 불균형이 증가할 뿐 아니라 빅데이터로 인한 정부 감시가 증가할 수 있다는 점이 빅데이터 시대 임박한 문제점으로 지적되고 있음 (WP29, 2013)
  • 이에 유럽연합은 빅데이터 산업 발전과 빅데이터 활용이 소비자 보호, 공정한 경쟁, 사생활 보호의 가치 안에서 이루어져야 한다는 원칙을 표방하였음. 빅데이터 산업은 ▲투명성, ▲이용자 통제권, ▲프라이버시 중심 설계 및 설정(Privacy by design and by default), ▲책임성이라는 4대 원칙을 충족해야 함 (EDPS, 2015)
- 유럽연합 개인정보보호 감독관(EDPS) Opinion 7/2015

– 유럽연합 개인정보보호 감독관(EDPS) Opinion 7/2015

    • 이러한 원칙 속에서 유럽연합은 사물인터넷의 경우에도 최종 이용자(end user)의 동의권 등 정보주체의 권리를 보장해야 한다는 점을 강조하고 있음. 유럽연합 제29조 개인정보보호 작업반은 2014년 9월 16일 발표한 사물인터넷 관련 의견서에서 설령 가명화(pseudonymised)하더라도 예외없이 개인정보로서 보호할 것을 권고하고 있으며 사물인터넷 환경에서는 심지어 익명인 것처럼 보였던 정보에서도 개인 식별이 충분히 이루어질 수 있다는 사실을 경고하고 있음
  • 일반적인 개인정보보호법이 부재한 미국에서도 빅데이터 시대 소비자 권리 위축에 대한 사회적 우려가 증가하여 왔음.
    • 2014년 5월 미국 대통령실에서는 “빅데이터 : 기회를 잡고 가치도 지키자(BIG DATA: SEIZING OPPORTUNITIES, PRESERVING VALUES)” 보고서를 통해 빅데이터 시대 투명성과 이용자 통제권 보장을 강화하는 정책 방향을 제시하였음
    • 2016년 10월 27일에는 광대역통신망 사업자가 마케팅 목적으로 사용하는 소비자 개인정보에 대해 옵트인을 의무화하는 규정이 통신법에 처음으로 입법됨. 주 차원에서 개인정보 보호를 강화하는 입법조치 역시 확산되는 추세임

 

3. 한국 소비자/이용자의 위태로운 현실

 

  • 한국의 경우 출생시 생년월일, 성별, 지역 등 개인정보를 노출시키는 주민등록번호의 의무적 부여, 그 무분별한 사용, 반복적인 개인정보 대량 유출과 탈취로 인해 국민 한 사람 한 사람의 개인정보에 대한 식별성이 다른 나라보다 특히 높은 상태임.
    • 2014년 서울과학기술대학교 연구, 페이스북에 공개된 개인정보를 이용하여 11만 5615명 중 45%의 주민번호 조합성공
    • 2015년 미국 하버드대학교 연구, 미국 IMS헬스에 팔린 한국인 주민번호 암호화 방식에 대하여 2만 3163개 재식별 성공
    • 현재도 수없이 많은 우리 국민의 개인정보 데이터셋이 세계적으로 판매되는 위험한 상황이며 보이스피싱이나 신원절도 등 한국 국민을 겨냥한 범죄가 끊이지 않고 있음
- 한겨레신문 2016. 9. 25.

– 한겨레신문 2016. 9. 25.

  • 홈플러스, IMS헬스, 롯데홈쇼핑 등 믿고 맡긴 개인정보를 기업들이 자신도 모르는 새 판매하는 사건이 증가한 데 대하여 국민들은 분노하고 있음.
    • 특히 다국적 통계회사 IMS헬스 코리아가 전국 약국과 병원에서 총 4,400만 명에 해당하는 국민 처방전 정보 47억 건을 빅데이터 처리하여 판매한 사건은 형사기소되어 12월 23일 1심 판결을 앞두고 있음. 약학정보원 등 이 사건 피고는 주민등록번호를 암호화하였다며 개인정보 판매에 대한 무죄를 주장하여 국민들에게 충격을 주었음. 검사는 암호화 등의 처리도 역시 정보주체의 동의가 있어야 한다는 취지로 기소함. 비식별화를 입법하면 향후 모든 산업에서 유사한 피해 사례가 확산될 수 있다는 점에 국민은 불안함.
  • 빅데이터 시대는 개인정보에 기반하여 고용, 금융, 보험 등에서 개인에 대한 자동화된 의사결정이 급증할 것이 예견되고 있음. 빅데이터 기술을 이용하면 서로 다른 데이터셋을 결합하여 개인정보를 재식별하는 것이 어렵지 않은 일이며, 우리 사회는 오히려 손쉬운 개인정보 결합과 재식별 가능성에 대한 대책을 마련해야 할 때임
  • 그러나 지난 5월 18일 박근혜 대통령이 기업들과 함께 규제개혁장관회의를 가진 이후 정부는 개인정보 규제완화와 비식별화 가이드라인을 발표함
- 2016. 5. 18. 박근혜 대통령 주재 <제5차 규제개혁장관회의 및 민관합동규제개혁점검회의>

– 2016. 5. 18. 박근혜 대통령 주재 <제5차 규제개혁장관회의 및 민관합동규제개혁점검회의>

- 2016. 7. 5. 경제관계 장관회의 <서비스경제 발전전략>

- 2016. 7. 5. 경제관계 장관회의 <서비스경제 발전전략>

– 2016. 7. 5. 경제관계 장관회의 <서비스경제 발전전략>

  • 6월 30일 발표된 <범정부 비식별 조치 가이드라인>에 따르면, 기업들이 비식별화 조치를 취한 개인정보에 대하여 ‘개인정보가 아닌 것으로 추정하여’ 정보주체 동의 없이 자유롭게 처리하고 판매할 수 있다고 하였음

6-country

- 2016. 6. 30. 범정부 <개인정보 비식별 조치 가이드라인>

– 2016. 6. 30. 범정부 <개인정보 비식별 조치 가이드라인>

  • 2016. 6. 30. <범정부 비식별 조치 가이드라인> 이전에도 2014. 12. 방송통신위원회에서 <빅데이터 개인정보보호 가이드라인>을 발표하는 등 박근혜 정부는 기업 이익에 편중된 ‘비식별화’ 가이드라인을 발간해 왔음. 그 배경에는 전국경제인연합 등 기업들의 요구가 있었음
- 전국경제인연합회, “창조경제 실현을 위한 제언”(미래창조과학부 제출자료), 2013. 8. 8.

– 전국경제인연합회, “창조경제 실현을 위한 제언”(미래창조과학부 제출자료), 2013. 8. 8.

※ 김성수 의원실 자료

  • 최근 <범정부 비식별 조치 가이드라인>을 토대로 5조 건의 국민 건강보험 정보는 물론, 금융, 통신 위치정보 등 개인정보가 빠른 속도로 공개되고 있음
- 2016. 8. 30. 비식별 처리 후 건강보험자료 공개 방침을 밝힌 보건복지부 보도자료

– 2016. 8. 30. 비식별 처리 후 건강보험자료 공개 방침을 밝힌 보건복지부 보도자료

- 2016. 8. 31. 비식별 처리 후 신용정보 공개 방침을 밝힌 금융위원회 보도자료

– 2016. 8. 31. 비식별 처리 후 신용정보 공개 방침을 밝힌 금융위원회 보도자료

  • 통신, 금융, 의료 업체의 경우 공익적 목적으로 주민등록번호 보유가 예외적으로 허용되고 있음. 정부의 비식별조치 가이드라인은 이들 기업들로 하여금 당사자 정보주체 동의 없이 개인정보를 거래할 수 있는 기술적 방법을 안내하는 내용임. 공익적 목적으로 허용된 이들 업체들의 정확한 개인정보가 오히려 높은 상업적 가치로 자신들의 동의 없이 거래대상이 되는데 대하여 국민들은 배신감을 느낄 수 밖에 없음
  • 산업계의 이익을 위해 비식별화 등 특정한 기술적 조치를 했다는 이유로 국민의 개인정보를 개인정보가 아닌 것으로 ‘추정’하고 동의권 등 헌법적으로 보장받고 있는 개인정보 자기결정권을 일방적으로 제한하는 것은 위헌적인 인권침해임

 

4. ‘비식별화’ 개념의 법정화에 반대함

 

  • 제정안은 그간 정부와 기업이 요구해온 바와 같은 내용으로 ‘비식별화’의 개념을 법정화하고 있음. ‘비식별화’의 정의는 2014. 12. 방송통신위원회에서 발간한 <빅데이터 개인정보보호 가이드라인>의 정의와 동일함

제정안

제2조 (정의)

6. “비식별화”란 데이터 값 삭제, 가명처리, 총계처리, 범주화, 데이터 마스킹 등을 통하여 개인정보의 일부 또는 전부를 삭제하거나 대체함으로써 다른 정보와 쉽게 결합하여도 특정 개인을 식별할 수 없도록 하는 조치를 말한다.

  • 그러나 정보주체가 자신의 개인정보에 대하여 동의권 등 개인정보 자기결정권을 행사할 수 있는 권리는 우리 헌법과 국제규범에 의해 보호받고 있으며, 그에 대한 제한은 극히 예외적으로만 허용됨

개인정보자기결정권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리이다. 즉 정보주체가 개인정보의 공개와 이용에 관하여 스스로 결정할 권리를 말한다. 개인정보자기결정권의 보호대상이 되는 개인정보는 개인의 신체, 신념, 사회적 지위, 신분 등과 같이 개인의 인격주체성을 특징짓는 사항으로서 그 개인의 동일성을 식별할 수 있게 하는 일체의 정보라고 할 수 있고, 반드시 개인의 내밀한 영역이나 사사(私事)의 영역에 속하는 정보에 국한되지 않고 공적 생활에서 형성되었거나 이미 공개된 개인정보까지 포함한다. 또한 그러한 개인정보를 대상으로 한 조사·수집·보관·처리·이용 등의 행위는 모두 원칙적으로 개인정보자기결정권에 대한 제한에 해당한다.

– 헌법재판소 결정 2005. 5. 26. 99헌마513 등

  • 현행 개인정보 보호법은 보호대상인 개인정보와 그렇지 않은 익명화된 정보로 나누어 규율하고 있음. 익명화는 더이상 개인을 식별할 수 없는 ‘탈식별화’ 상태임
개인정보 (제2조 제1호) 익명화된 정보 (제18조 제2항 제4호)
살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다) 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우 (법적용 예외)
  • 비식별화는 익명화와 별도의 개념임.
    • 미국 상무성 산하 국립표준기술원의 기술적 정의에 의하면, 비식별 정보(de-identified information)는 “개인식별정보를 충분히 가리거나 애매하게 하여 남아있는 정보만으로는 특정 개인을 식별할 수 없거나 식별가능하다고 믿기에는 합리적인 이유가 없는 정보”를 의미하며, 익명 정보(anonymized information)는 식별정보를 탈식별화하여 재식별화의 요소가 되는 코드나 기타의 조합이 더 이상 존재하지 않는 것을 의미함
    • 더 이상 개인을 식별할 수 없도록 완전히 ‘익명화’가 되었을 때만 개인정보가 아닌 것으로 볼 수 있음. 완전한 익명화가 되려면 더 이상 개인을 식별할 수 없어야 하고, 재식별될 가능성도 없어야 함. 일본 개인정보 보호법의 경우에도 ‘복원불가능성’을 전제로 함. 익명화된 정보는 이미 우리 개인정보 보호법의 예외대상으로 적법하게 활용되어 왔음
  • ‘비식별화’라는 개념은 우리 헌법 정신과 개인정보 보호법 체계에 비추어 볼 때 제도화하기에 부적절함. 개인정보 / 익명화된 정보로 나누어 규율하는 현행 개인정보 보호법의 체계를 유지하는 것이 바람직함.
- 2014. 12. 한국정보화진흥원 <개인정보 비식별화에 대한 적정성 자율평가 안내서>

– 2014. 12. 한국정보화진흥원 <개인정보 비식별화에 대한 적정성 자율평가 안내서>

    • ‘암호화’ 등 일부 비식별 조치는 우리 법률 체계 내에서 개인정보에 대한 기술적 보호 조치의 하나로 도입되어 왔음. 그러나 그것을 이유로 개인정보 자기결정권의 행사를 제외하지는 않았음

정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령

제15조(개인정보의 보호조치)
④ 법 제28조제1항제4호에 따라 정보통신서비스 제공자등은 개인정보가 안전하게 저장·전송될 수 있도록 다음 각 호의 보안조치를 하여야 한다.  <개정 2014.11.28.>
1. 비밀번호의 일방향 암호화 저장
2. 주민등록번호, 계좌정보 및 바이오정보(지문, 홍채, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보를 말한다) 등 방송통신위원회가 정하여 고시하는 정보의 암호화 저장
3. 정보통신망을 통하여 이용자의 개인정보 및 인증정보를 송신·수신하는 경우 보안서버 구축 등의 조치
4. 그 밖에 암호화 기술을 이용한 보안조치

  • 범정부 가이드라인의 경우, 개인정보 자기결정권 행사의 예외대상으로 삼은 ‘비식별 정보’에 대하여 재식별 가능성이 ‘현저하지 않은 정도’면 된다고 보고 있음. 그러나 재식별 위험이 있는 정보는 정보주체의 동의권 등이 보장되어야 할 개인정보임.
    • 빅데이터 시대 기술이 발달할수록 다른 정보와의 결합을 통해 재식별될 가능성이 높아질 개인정보를 특정한 기술적 조치를 취했다는 이유로 정보주체 모르게 마구 공개하는 것은 매우 위험함
    • 미국 대통령실 빅데이터 보고서는 비식별화가 “기술적 보호조치로서는 유용하지만”, “근미래 등장할 재식별 수단으로부터 방어할 수 있을 만큼 강력하지 않기에” 유용한 정책적 기반이 될수 없다고 지적하고 있음
    • 미국 상무성 산하 국립표준기술원은 2015년 10월 보고서에서 개인정보를 활용해서 돈을 벌려는 동기가 강해짐에 따라 재식별화 기술이 날로 발전하고 있어서 “기존의 비식별화 조치의 효과성을 검증하거나 비식별 조치 결과의 유용성 상실을 측정하는 표준이 존재한다고 보기 어렵다”고 경고한 바 있음
  • 국가인권위원회는 “비식별 조치를 통해 그 정보 자체만으로는 특정 개인을 알아볼 수 없는 형태로 처리한 정보인 비식별 정보 역시 다른 정보와의 결합 등을 통해 정보주체를 식별할 수 있는 가능성이 완전히 제거된 수준에 이르기 전에는 개인정보라 할 수 있을 것”이라고 보았음 (국가인권위원회, 2016)
  • 제정안은 ‘비식별화’하면 개인정보를 정보주체의 동의 없이 처리하도록 하였음

제8조(공개정보의 수집·이용) ① 정보통신서비스 제공자는 이용자의 개인정보가 포함된 공개정보를 수집하는 경우에는 이를 비식별화한 이후 이용자의 동의 없이 처리할 수 있다. 다만, 다른 법률에서 개인정보가 포함된 공개정보를 동의 없이 처리할 수 있도록 한 경우에는 그 법률에서 정하는 바에 따른다.
② 정보통신서비스 제공자는 제1항에 따라 이용자의 개인정보가 포함된 공개정보를 처리하는 경우 공개정보의 수집 출처, 처리하는 사실 및 그 목적을 이용자가 언제든지 쉽게 확인할 수 있도록 개인정보 취급방침을 통하여 공개하여야 한다.

제9조(이용내역정보의 수집·이용) ① 정보통신서비스 제공자는 개인정보가 포함된 이용내역정보를 수집하는 경우에는 이를 비식별화한 이후 이용자의 동의 없이 처리할 수 있다. 다만, 다른 법률에서 개인정보가 포함된 이용내역정보를 동의 없이 처리할 수 있도록 한 경우에는 그 법률에서 정하는 바에 따른다. (중략)

제10조(새로운 정보의 생성) ① 정보통신서비스 제공자는 비식별화된 공개정보 및 이용내역정보에 대해서는 이용자의 동의 없이 이를 조합·분석하여 새로운 정보를 생성할 수 있다.
② 정보통신서비스 제공자는 제1항에 따라 개인정보가 포함된 정보가 생성될 수 있다는 사실 및 그 처리 방법을 이용자가 언제든지 쉽게 확인할 수 있도록 개인정보 취급방침을 통하여 공개하여야 한다.

제11조(비식별화된 정보의 제3자 제공) 정보통신서비스 제공자는 비식별화된 공개정보, 이용내역정보 및 제10조에 따라 생성된 정보에 대해서는 이용자의 동의 없이 제3자에게 이를 제공할 수 있다.

  • 제8조나 제10조의 경우 이미 개인정보가 포함된 정보를 처리할 때에도 정보주체의 동의권 행사를 제한함. 이는 명백히 위헌적인 개인정보 처리임
  • 제정안이 비식별화하면 동의 없이 사용할 수 있다고 본 제9조 ‘이용내역 정보’(이용자가 정보통신서비스를 이용하는 과정에서 자동으로 발생하는 서비스 이용기록, 인터넷 접속정보, 거래기록 등의 정보) 등 대부분의 정보는 현재도 정보주체의 동의를 받으면 수집·이용 및 제3자 제공이 가능함. 다만 민감한 개인정보일 때는 특별한 보호가 필요함. 통신사실에 대한 자료는 현행 통신비밀보호법에 따라 수사기관에 제공될 때 법원의 허가가 필요함. 쇼핑 내역, 검색 내역, 통신 내역, 의료 등의 이용내역 정보 또한 개인의 사상, 종교, 성적 취향, 정치적 신조, 노동조합 가입여부, 인종, 건강, 성생활에 대한 정보 등 매우 민감한 정보를 포함할 수 있다는 점에서 현재 추가적인 동의가 필요함
  • 비식별화 개념의 법정화는 △개인정보와 익명화된 정보의 중간에 어떤 단계를 만들고 △정보주체의 동의 등 현행 개인정보 보호 규범이 요구하는 의무를 모두 우회하는 효과를 낳을 것임. 일부 기업은 이미 정부의 유권해석을 받아들여 비식별화 처리 후 정보주체 모르게 개인정보를 수집, 이용, 심지어 판매하고 있는 것으로 알려져 있음
  • 국가인권위원회 또한 2016. 10. 13. ‘「신용정보의 이용 및 보호에 관한 법률 일부개정법률안」에 대한 의견표명’에서 “신용정보회사 등이 비식별 정보를 신용정보주체의 동의없이 목적 외로 이용하거나 제3자에게 제공할 수 있도록 함으로써 개인정보자기결정권을 침해할 우려가 있으므로” “비식별 정보의 목적 외 이용․제공 제한해야 한다”는 내용으로 의견을 표명하였음 (국가인권위원회, 2016)
    • 인권위는 “비식별 조치를 적용했다는 이유만으로 목적 외 이용이나 제3자 제공을 광범위하게 허용하도록 하는 것은 「헌법」이 보장하는 개인정보자기결정권을 침해할 우려가 있다.”고 명확한 입장을 밝혔음
    • 특히 인권위는 유럽연합의 「일반 개인정보보호 규정」 및 일본의 「개인정보의 보호에 관한 법률」이 비식별 정보라 하더라도 개인정보로 복원 또는 재식별될 가능성이 있으면 개인정보로 간주하며, 비식별 조치에 대한 구체적 개념 등을 규정하고 있다는 점을 짚었음
    • 인권위가 언급한 유럽연합 「일반 개인정보보호 규정」(GDPR)는 익명정보와 가명처리(비식별화)를 구분하여 다루고 있으며, 가명처리 정보가 개인정보의 식별 위험성을 줄이는 보호조치가 될 수는 있지만, 여전히 개인정보에 대한 권리 행사 대상이라는 점을 명확히 함

(26) 개인정보보호원칙은 식별되었거나 또는 식별될 수 있는 개인에 관한 일체의 정보에 적용될 수 있다. 가명처리 정보는, 추가 정보를 이용하여 개인을 식별할 수 있는 정보로서 식별할 수 있는 개인정보로 간주되어야 한다. 어떤 개인이 식별가능한지를 판단하기 위해서는 특정개인의 식별 등 처리자 또는 제3자 모두가 개인을 직접 또는 간접적으로 확인하기 위해 사용할 것으로 합리적으로 예상되는(reasonably likely) 모든 수단을 고려해야 한다. 개인을 식별하기 위해 사용될 것으로 합리적으로 예상되는 수단인지를 확인하기 위해서는, 식별하기 위해 소요되는 비용과 시간 등 객관적인 요소를 모두 고려하고, 처리 당시 가용한 기술과 기술적 발전을 모두 고려하여야 한다. 익명정보에는 개인정보보호원칙이 적용되지 않는다. 다시 말해서 이 원칙은 식별되었거나 또는 식별될 수 있는 개인과 관련되지 않는 정보 또는 그런 방식으로 익명처리되어 더 이상 식별될 수 없는 정보주체에는 적용되지 않는다. 따라서 이 법은 통계목적 및 연구 목적 등을 위한 익명정보의 처리에는 적용되지 않는다.

(28) 개인정보의 가명처리는 해당 정보주체가 갖는 위험성을 줄일 수 있으며 정보처리자와 수탁처리자가 그들의 개인정보보호의 의무를 준수할 수 있도록 돕는다. 이 법에서 명시적으로 가명처리를 도입하는 것은 여러 어떤 개인정보보호 조치를 방해할 의도가 아니다. (가명처리를 했다고 해서 정보보호 조치가 면제되는 것이 아니다.)

 

5. 결론

 

  • 빅데이터 산업과 개인정보 보호는 조화해야 함. 개인정보가 없는 일반적인 빅데이터의 활용은 개인정보 보호법과 무관한 이용이 가능하지만, 개인정보를 포함한 빅데이터의 경우 국제규범 및 우리 헌법에 따른 개인정보 보호 체계 안에서 그 처리가 이루어져야 함
  • 특히 한국 소비자/이용자의 개인정보는 그간의 오남용으로 인해 세계적으로 비교해 볼 때 매우 위태로운 상황에 처해 있음. 외국 빅데이터 업체 한 곳에서만도 4천4백만 명 50억 건에 달하는 우리 국민 주민등록번호와 민감한 처방정보를 입수하여 이를 세계적으로 판매하고 있는 상황에서 비식별 조치가 사실상 무력한 상황임
  • 그럼에도 박근혜 정부가 산업계의 이익을 위해 비식별화 등 특정한 기술적 조치를 했다는 이유로 국민의 개인정보를 개인정보가 아닌 것으로 ‘추정’하고 동의권 등 개인정보 자기결정권을 일방적으로 제한하는 것은 위헌적인 인권침해임.
  • 제정안은 정부와 기업이 요구해온 ‘비식별화’의 개념을 법정화하고 있음. 정보주체 소비자와 이용자의 권리를 박탈하는 내용으로 ‘비식별화’ 개념을 법정화하는 것에 반대함
  • 정부와 국회는 불과 이 년여 전에 발생한 카드3사 사건에서 국민의 개인정보 보호를 강화하고 ‘정상화’하겠다며 국민 앞에 약속한 바 있음. 일부 산업의 이익을 위해 국민의 개인정보에 대한 동의권을 박탈하는 것은 국민과의 “약속을 저버리는” 행위로서 국민적 반발과 사회적 논란을 야기할 것으로 보임. 나아가 건강한 미래 산업의 육성 또한 위태롭게 할 것임. 빅데이터 산업 발전, 빅데이터 활용은 소비자 보호, 공정한 경쟁, 사생활 보호의 가치 안에서 이루어져야 함.
  • 마지막으로, 기존의 법률로도 빅데이터 산업을 진흥하고자 하는 목적을 달성할 수 있다는 지적에 대하여 동의함. 끝.

 

<참고자료>

  • 국가인권위원회, 2016. 「신용정보의 이용 및 보호에 관한 법률 일부개정법률 안」에 대한 의견표명(2016. 10. 13).
  • European Data Protection Supervisor(EDPS), 2015. “Opinion 7/2015 : Meeting the challenges of big data”, 19 November 2015.
  • Article 29 Data Protection Working Party(WP29), 2013. “00569/13/EN WP 203 : Opinion 03/2013 on purpose limitation”, Adopted on 2 April 2013.