– 일부 조항 2008년 이전으로 후퇴하는 등 기업에 유리한 개정안에 반대
– 고객 모르게 개인정보 판매되는 현실 개선할 방안 선행되어야
경실련 시민권익센터, 녹색소비자연대 ICT소비자정책연구소, 진보네트워크센터, 참여연대 민생희망본부는 오늘(11/2) 방송통신위원회의 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 일부개정안 입법예고에 대한 의견서를 제출하였다.
이들 단체는 홈플러스와 롯데(우리)홈쇼핑 사건에서 볼 수 있듯이, 고객 모르게 개인정보가 판매되는 현실이 우선 개선되어야 한다고 지적하였다. 그런 점에서 ‘개인정보 유상 제공 여부’에 대해 이용자에게 고지하도록 규정하는 것에 대하여 찬성하였다.
그러나 개정안의 나머지 부분은 이용자 권리 보장보다 기업에 유리한 개인정보 보호 완화에 치중되어 있다는 점에서 반대하였다.
우선 ‘서비스 개선’을 이유로 동의 없이 이용자의 개인정보를 수집·이용할 수 있도록 개정하는 것은 기업이 자의적으로 해석하여 이용자 권리를 제한할 수 있다.
또 현행 동의 철회권을 처리정지 요구권으로 변경하고 거절 사유를 폭넓게 인정한 것 역시 이용자 권리에 대한 침해가 우려된다. 기업의 이익을 위해 이용자의 처리정지 요구가 거절될 수 있을 뿐더러, 처리정지 요구에도 불구하고 계속 이용하거나 제3자에게 제공하는 기업을 처벌하는 규정을 두지 않았다.
기업에 대하여 이용자가 개인정보의 열람 등을 요구하는 방법을 개인정보 수집방법보다 쉽게 하도록 한 현행 규정은 제대로 지켜지지 않고 있다는 지적을 받아 왔다. 그런데도 개정안은 이에 대한 시정이나 개선에 나서기보다 오히려 방법을 표시, 고지하는 것으로 사업자의 의무를 한정한 것 역시 기업 편의를 봐준 것으로 보인다.
전반적으로 2007년 이전의 조항으로 후퇴하는 조항이 많았다는 점도 문제이다.
개인정보 유출과 오남용이 기승을 부리자 2007년 이후 국회는 우리나라 정보통신망의 상황을 특별히 고려한 보호 규정을 도입하는 내용으로 몇 차례 정보통신망법을 개정하였다. 그 가운데 정보통신서비스의 제공에 관한 계약을 이행하기 위하여 필요한 개인정보로서 경제적ㆍ기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우에 한해 사전동의 예외를 인정하고, 개인정보 처리위탁시 이용자가 동의하도록 하였으며(이상 2007년), 사전동의 위반에 대해 형사처벌에 처하는 조항(2008년) 등이 도입되었다.
그런데 이번 개정안은 위 규정들을 모두 이전으로 후퇴하였다. 서비스 계약을 체결 또는 이행하기 위하여 불가피한 경우 사전동의의 예외로 삼고, 개인정보 처리위탁시 이용자 동의권을 박탈하였으며, 사전동의 위반에 대한 형벌 적용기준을 완화하였다.
국민 개인정보가 여전히 글로벌한 인터넷에 유출되어 있는 상황에서 이를 이전 기준으로 후퇴하겠다는 것은, 당시 국회의 법률 개정 취지에 반하는 것이다. 그러나 개정안은 꼭 그래야만 할 합리적인 이유도 설명하지 않았다.
방송통신위원회는 이번 개정안이 “글로벌 스탠더드”에 맞추기 위함에 있다고 그 취지를 설명하였으나, 실제로는 기업에게 유리한 내용으로 점철되어 있을 뿐, 관련 글로벌 스탠더드는 뚜렷치 않다.
결론적으로 이 개정안은 빅데이터 시대 정보통신서비스 제공자의 개인정보 오남용에 대해 이용자의 불안감이 커지는 데 부응하여 이용자의 권리를 보장하기 보다는, 전반적으로 산업계의 이해를 우선하는 명목으로 현행 규정보다 개인정보 보호를 완화하고 있다는 점에서 이들 단체는 반대 의견을 표하였다.
별첨자료. 의견서
「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 일부개정안 입법예고에 대한 의견서
「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 일부개정안 입법예고에 대한 의견제출
2016년 11월 2일
경실련 시민권익센터 (권태환 간사 T. 02-766-5624)
녹색소비자연대 ICT 소비자정책연구원 (윤문용 정책국장 T. 02-3273-7117)
진보네트워크센터 (장여경 정책활동가 T. 02-774-4551)
참여연대 민생희망본부 (최인숙 팀장 T. 02-723-5303)
방송통신위원회 공고 제2016-56호 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 일부개정안 입법예고에 대하여 우리 단체들은 다음과 같은 의견을 제출합니다.
□ 안 제24조의2 제1항의 개정에 찬성함
이용자가 유상판매 여부를 인지하여 제3자 제공 동의를 선택할 수 있도록, ‘개인정보 유상 제공 여부’에 대해 이용자에게 고지하도록 규정하는 것에 대하여 찬성함
이용자의 개인정보를 고객에게 알리지 않고 보험사 등에 판매한 혐의로 홈플러스와 롯데(우리)홈쇼핑이 각각 형사기소 및 과징금을 부과받은 바 있음. 정보통신서비스 제공자와의 신뢰관계 속에 개인정보의 수집 및 이용에 동의한 이용자들은 자신들이 모르는새 기업들이 개인정보를 판매하는 데 대해 큰 배신감을 느끼고 있음. 그러나 법적 미비로 아직도 관련 실태가 개선되지 않고 있는 관계로 개정이 필요함
□ 안 제22조 제1항의 개정에 반대함
‘기존 서비스와 합리적인 관련성이 있는 기능 추가 등 서비스 개선’은 수집ㆍ이용 목적의 변경으로 보지 않도록 단서조항을 신설한 데 대하여 반대함
이 조항은 정보통신서비스 제공자에 의해 마케팅 관련 개인정보 이용 행위를 ‘서비스 개선’과 관련이 있는 것으로 자의적이고 모호하게 해석될 가능성이 매우 큼. 실제로 과거 SK브로드밴드 개인정보 유출소송 당시 피고 측은 텔레마케팅 광고전화를 ‘광고’가 아니라 “서비스와 합리적 관련성”이 있다고 주장한 바 있음. 이 조항은 이용자의 개인정보 자기결정권을 부당하게 제한하는 결과를 낳을 우려가 있으며 관련 글로벌 스탠다드도 찾아볼 수 없음. ‘정보통신서비스의 제공에 관한 계약을 이행하기 위하여 필요한’ 경우에는 현행 법률에서도 동의 없이 이용자의 개인정보를 수집•이용할 수 있음
한편, 현행 개인정보 보호법은 “개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있”도록 하고, “개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.”(제15조 제1항 제6호)고 규정하고 있음.
□ 안 제22조 제2항 제1호의 개정에 반대함
개인정보 수집ㆍ이용 및 제3자 제공 시 사전동의 예외 조항으로 ‘정보통신서비스의 제공에 관한 계약을 체결 또는 이행하기 위하여 불가피하게 필요한 경우’로 완화한 것에 대하여 반대함
개정안은 “정보통신서비스의 제공에 관한 계약을 이행하기 위하여 필요한 개인정보로서 경제적ㆍ기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우” 예외를 적용하도록 한 현행 규정을 “정보통신서비스의 제공에 관한 계약을 체결 또는 이행하기 위하여 불가피하게 필요한 경우”로 완화하였음
그러나 이용자의 동의 없이 개인정보를 수집 이용할 수 있는 범위를 경제적 기술적인 사유로 한정함으로써 정보통신서비스제공자들의 책임범위를 비교적 명확하게 규정하고 있는 현행 규정과 비교하였을때, 개정안은 불가피하다는 추상적 문언을 사용함으로써 예외 범위를 사실상 제한없이 열어둠. 사업자들이 불가피하다는 주장만 하면 예외로 인정해 준다면, 그동안 이뤄져 오던 최소한의 경제적, 기술적 조치를 취할 동기마저도 없어지는 것임. 만약 현행보다 후퇴하는 안으로의 개정이 필요하다면 이에 대한 구체적이고도 합리적 근거를 제시해야 할 것임.
연혁적으로 볼 때 이 조항은 본래 “정보통신서비스 이용계약의 이행을 위하여 필요한 경우”에 예외를 적용하도록 했었으나, 개인정보 유출과 오남용이 기승을 부리는 우리나라 정보통신망의 상황을 특별히 고려하여 2007년 1월 26일 “정보통신서비스의 제공에 관한 계약의 이행을 위하여 필요한 개인정보로서 경제적·기술적인 사유로 통상의 동의를 받는 것이 현저히 곤란한 경우”에 예외를 적용하도록 개정되어 현행에 이르고 있음. 국민의 개인정보가 여전히 글로벌한 인터넷에 유출되어 있는 상황에서 이를 다시 후퇴하겠다는 것은 국회의 개정 취지에 반하는 것임. 그러나 개정안은 꼭 그래야만 할 합리적인 이유도 설명하지 않음
□ 안 제30조의 개정에 반대함
현행 동의 철회권을 처리정지 요구권으로 변경하고 거절 사유를 폭넓게 인정한 데 대하여 반대함
동의없이 개인정보를 수집・이용・제공하는 경우에도 이용자가 사후에 처리정지를 요구할 수 있도록 하자는 취지는 원칙적으로 바람직함. 그러나 현실적으로 이용자가 정보통신서비스 제공자가 자신의 개인정보를 처리하는지 여부를 명확하게 알 수 없는 상태에서 이에 대한 처리정지권의 도입이 자기결정권의 실질적인 보장에 기여할 수 없음. 동의없이 개인정보를 수집・이용・제공하는 모든 정보통신서비스 제공자가 이용자에게 그 이용내역을 통지하는 것이 아님(제30조의2). 처리정지 요구권이 현실적으로 이용자 권리 보장에 기여하기 위해서는 실제로는 거의 기능하지 않는 개인정보 열람요구(제30조 제2항)부터 강화될 필요가 있음.
또한, 이용자가 ‘동의철회’를 요구하는 경우 이는 회원탈퇴, 제명, 계약관계 종료와 유사하게 정보통신서비스 제공자가 지체 없이 해당 개인정보를 파기해야 한다는 해석이 이루어져 온 반면(개인정보 보호법령 및 지침‧고시 해설, 행정안전부, 2011. 12.), 이용자가 ‘처리정지’를 요구하는 경우 지체 없이 해당 개인정보를 파기해야 하는지는 불분명함. 처리정지된 개인정보가 즉시 파기되지 않고 계속 보관된다면 정보통신서비스 제공자가 이에 대해 오남용할 가능성이 높음
더구나 현행 법률이 “이용자는 정보통신서비스 제공자등에 대하여 언제든지 개인정보 수집ㆍ이용ㆍ제공 등의 동의를 철회할 수 있다.”고 하여 예외 없는 동의 철회를 이용자의 권리로 보장하고 있는 데 비하여, 개정안은 처리정지 요구에 대한 거절 사유를 폭넓게 인정함으로써 실질적인 권리 행사를 제약하고 있음.
특히 “다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우”(안 제30조 제2항 제2호) 처리정지 요구를 거절할 수 있도록 하는 것은, ‘다른 사람’에 ‘기업’이 포함될 경우 이용자의 처리 정지 요구가 폭넓게 거절될 수 있으며 관련 글로벌 스탠다드도 찾아볼 수 없음.
“개인정보를 처리하지 아니하면 계약의 이행이 곤란한 경우로서 이용자가 그 계약의 해지 의사를 명확하게 밝히지 아니한 경우”(안 제30조 제2항 제3호) 처리정지 요구를 거절할 수 있도록 하는 것은, 계약의 해지 의사를 명확히 밝히지 않았다는 이유를 들어 기업이 개인정보를 계속 처리할 우려가 있으며 처리정지 예외사유의 입증책임을 이용자에게 부과한다는 점에서 문제가 있음
개인정보 보호법상 ‘처리의 정지’ 조항과 비교해 볼 때도 개정안에는 문제점이 있음. 개인정보 보호법에 따르면 SNS 등 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 “제37조에 따른 개인정보 처리의 정지를 요구할 권리가 있다는 사실”을 즉시 정보주체에게 알려야 하지만(개인정보 보호법 제20조) 이 법에는 그런 규정이 없음. 더불어 개인정보 보호법에서는 “제37조제2항을 위반하여 개인정보의 처리를 정지하지 아니하고 계속 이용하거나 제3자에게 제공한 자”를 “2년 이하의 징역 또는 2천만원 이하의 벌금에 처한다.”고 처벌하고 있지만(제73조) 개정안에는 아무런 처벌 규정을 두고 있지 않음
결론적으로 이 안에서는 이용자의 동의 철회권을 처리 중지권으로 변경하면서 실질적으로 이용자의 권리 행사를 보장하는 제도가 미비하며, 거절 사유 역시 정보통신서비스 제공자의 이익에 편중되어 있음
□ 안 제30조 제8항의 개정에 반대함
정보통신서비스 제공자등으로 하여금 이용자가 개인정보의 열람 등을 요구하는 방법을 ‘쉽게 알 수 있도록 표시하거나 고지하여야 한다’로 완화한 것에 대하여 반대함
개정안은 “정보통신서비스 제공자등은 제1항에 따른 동의의 철회 또는 제2항에 따른 개인정보의 열람ㆍ제공 또는 오류의 정정을 요구하는 방법을 개인정보의 수집방법보다 쉽게 하여야 한다”는 현행 규정을 “… 쉽게 알 수 있도록 표시하거나 고지하여야 한다”로 완화하였음
이 조항은 현행 법률보다 후퇴하여 이용자의 개인정보자기결정권을 축소시킴. 현재 가입은 인터넷 등으로 손쉽게 이루어지고 이와 동시에 개인정보가 수집되는 것과 대조적으로 자신의 정보에 대한 열람, 제공 요구 등이 절차나 인적물적 비용을 지나치게 요구하고 있는 실정임. 이동통신 3사는 작년 2015년 11월 이후에서야 인터넷을 통해 수사기관에 대한 통신자료(개인정보)제공 내역을 확인할 수 있게 조치를 취하였음. 그러나 여전히 알뜰폰 등 영세통신업자들과 정보통신서비스 사업자들은 개인정보의 제공 내역 등을 인터넷으로 확인할 수 있는 필요한 조치를 하지 않고 있음.
그런데도 이에 대한 시정이나 개선보다 오히려 방법을 표시, 고지하는 것으로 사업자의 의무를 한정함으로써 이용자가 자신의 개인정보에 대한 열람, 제공 요구 등의 권리를 축소하여 사업자와 이용자간의 권리의 비대칭을 초래함.
□ 안 제24조의2 제3항, 제25조의 개정에 반대함
‘수탁자’와 ‘처리위탁 내용’을 이용자에게 고지하고 개인정보 처리방침에 공개하면 동의 없이 처리위탁이 가능하도록 개정한 데 대하여 반대함
개정안은 “정보통신서비스 제공자와 그로부터 제24조의2제1항에 따라 이용자의 개인정보를 제공받은 자…는 제3자에게 이용자의 개인정보를 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위…를 할 수 있도록 업무를 위탁…하는 경우에는 다음 각 호의 사항 모두를 이용자에게 알리고 동의를 받아야 한다”는 현행 규정을 “대통령령으로 정하는 방식으로 알리고, 이를 개인정보 처리방침에 공개하여야” 한다고 개정하였음
그러나 개인정보 처리위탁에 대한 이용자에 대한 동의권을 박탈하는 것은 우려스러움. 연혁적으로 볼 때 이 처리위탁 조항은 본래 “이용자에게 고지”만 하도록 했었으나, 개인정보 유출과 오남용이 기승을 부리는 우리나라 정보통신망의 상황을 특별히 고려하여 2007년 1월 26일 동의 규정을 신설하는 내용으로 개정되어 현행에 이르고 있음. 국민 개인정보가 여전히 글로벌한 인터넷에 유출되어 있는 상황에서 이를 다시 후퇴하겠다는 것은 국회의 개정 취지에 반하는 것임. 그러나 개정안은 꼭 그래야만 할 합리적인 이유도 설명하지 않음
□ 안 제71조의 개정에 반대함
‘부정한 수단ㆍ방법으로 개인정보를 수집한 경우’에만 형벌과 행정제재(과징금·시정명령) 병과를 규정(안 제71조)한 데 대하여 반대함
개정안은 “이용자의 동의를 받지 아니하고 개인정보를 수집한 자”를 모두 형사처벌하던 현행 규정을 “거짓이나 그 밖의 부정한 수단이나 방법으로 이용자의 동의를 받지 아니하고 개인정보를 수집한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자”만을 형사처벌하도록 대상을 완화하였음
그러나 개인정보에 대해 동의 없이 수집한 자에 대한 처벌을 완화하는 것은 우려스러움. 연혁적으로 볼 때 이 형사처벌 조항은, 개인정보 유출과 오남용이 기승을 부리는 우리나라 정보통신망의 상황을 특별히 고려하여 2008년 6월 13일 신설되어 현행에 이르고 있음. 국민 개인정보가 여전히 글로벌한 인터넷에 유출되어 있는 상황에서 이를 다시 후퇴하겠다는 것은 국회의 개정 취지에 반하는 것임. 그러나 개정안은 꼭 그래야만 할 합리적인 이유도 설명하지 않음
□ 이용자보다 기업에 유리한 개정안 마련에 대하여 반대함
언론에 보도되었듯이 방송통신위원회가 이 개정안을 마련하기까지 기업계 자문위원을 중심으로 법제연구 티에프(TF)를 운영한 것에 대하여 유감을 표함(“서비스 발전시키려다 정보인권 잡을라”, 한겨레 2016. 9. 27.)
방송통신위원회는 이번 개정안이 “글로벌 스탠더드”에 맞추기 위함에 있다고 그 취지를 설명하였으나(보도자료), 기업의 ‘서비스 개선’을 동의 예외 사유로 인정하거나 처리정지 거절사유를 폭넓게 인정하는 등의 기업에게 유리한 내용으로 점철되어 있음. 반면 관련 글로벌 스탠더드는 찾을 수 없음
결론적으로 이 개정안은 빅데이터 시대 정보통신서비스 제공자의 개인정보 오남용에 대해 이용자의 불안감이 커지는 데 부응하여 이용자의 권리를 보장하기 보다는 전반적으로 산업계의 이해를 우선하는 명목으로 현행 규정보다 개인정보 보호를 완화하고 있음
<끝>
