‘지역전략사업 육성’ 명목하 비식별화 법정화 시도 중단!
국민 개인정보 보호 강화하고 ‘정상화’ 약속도 지켜야!
지난 5월 30일 새누리당 이학재 의원은 개인정보보호 관련 법률 적용을 배제하는 특례조항이 포함된 「지역전략산업육성을 위한 규제프리존의 지정과 운영에 관한 특별법」(이하 「규제프리존 특별법」)을 대표발의 했습니다. 경실련 시민권익센터, 언론개혁시민연대, 진보네트워크센터, 참여연대는 헌법에서 보호하고 있는 기본권인 개인정보의 자기결정권을 ‘지역전략산업육성’이라는 명목 하에 제한하는 「규제프리존법 특별법」 제정을 강력히 반대합니다.
「규제프리존 특별법」은 ▲자율주행자동차 전자장비가 수집한 개인정보 및 위치정보(「위치정보의 보호 및 이용 등에 관한 법률」), ▲영상정보 자동처리기기로 수집된 개인정보(「개인정보보호법」), ▲사물인터넷을 기반을 통해 수집된 개인정보(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」)에 대한 관련 법률의 적용을 배제시켜 기업들이 현행 개인정보 보호 법제도를 우회하여 이용자의 개인정보를 마구잡이로 사용할 수 있도록 하고 있습니다. 이는 기업의 이득을 위해 디지털 시대 중요한 인권으로 주목받고 있는 개인정보에 대한 자기결정권을 중대하게 침해하는 것입니다.
가명 또는 암호화 등으로 ‘비식별화’ 처리를 하면 기업들이 개인정보를 이용하거나 제공, 심지어 거래할 때에 이용자의 동의권을 박탈하도록 한 법안 내용은 논란 많은 ‘비식별화’ 개념을 최초로 법정화하고 있습니다.
‘비식별화’는 개인정보 보호법에 이미 규정되어 있는 ‘익명화’와 다른 개념으로서, 특례 규정으로 이 개념을 최초로 입법하는 것은 국가적인 개인정보 규범체계를 무너뜨린다는 점에서 매우 위험합니다.
규제프리존 특별법은 최순실 국정농단 사건의 한 축으로서 관련 의혹에 대한 수사가 필요한 상황입니다.
박근혜 정부와 산업계가 초법적으로 추진해 왔다는 점에서 관련 상임위원회에서 줄곧 논란을 빚어온 ‘비식별화’를 이 법 특례규정으로 입법하는 것은 사회적 논란과 국민적 반발을 야기할 것이며 건강한 미래 산업의 육성 또한 위태롭게 할 것이 분명합니다.
특히 우리나라의 경우 반복적인 개인정보 대량 유출과 주민등록번호의 무분별한 사용으로 국민 한사람 한사람의 개인정보에 대한 식별성이 매우 높은 상태로 세계적으로 우리 국민의 개인정보가 암암리에 거래되는 매우 위태로운 형편입니다.
정부와 국회는 불과 2년 전에 발생한 카드3사 사건에서 국민의 개인정보 보호를 강화하고 ‘정상화’하겠다고 국민 앞에 약속한 바 있습니다. 일부 산업의 이득을 위해 국민의 개인정보에 대한 동의권을 박탈하는 것은 국민과의 ‘약속’을 저버리는 행위로 사회적 반발과 논란을 야기할 것입니다.
경실련 시민권익센터, 언론개혁시민연대, 진보네트워크센터, 참여연대는 시민들의 안전과 개인정보 보호를 위해 관련 특례에 대한 공동 반대 의견서를 국회 해당 상임위에 제출하고, 적극적인 대응을 지속할 것입니다. 끝.
경실련 시민권익센터, 언론개혁시민연대, 진보네트워크센터, 참여연대
별첨. 규제프리존 – 비식별화 관련 의견서(총 11매) (하단, PDF파일로도 첨부되었습니다)
별첨자료1. 의견서
「지역전략산업육성을 위한 규제프리존의 지정과 운영에 관한 특별법안」 관련 의견서
개인정보 보호 관련 특례 조항에 반대한다!
2016년 11월 23일
경실련 시민권익센터, 언론개혁시민연대, 진보네트워크센터, 참여연대
1. 법안의 제정 취지에 반대함
▪ 이학재 의원이 2016. 5. 30. 발의한 「지역전략산업육성을 위한 규제프리존의 지정과 운영에 관한 특별법안」(의안번호 26, 이하 「규제프리존법안」)에는 개인정보 보호 관련 법률의 적용을 배제하는 특례 조항들이 포함되어 있음
▪ 기획재정부는 2016. 3. 28. ‘보도참고자료’를 내어 이 법안이 “지역전략산업 육성을 위해 필요한 맞춤형 규제특례”라고 주장하였음
▪ 그러나 「규제프리존법안」에서 지역전략산업육성이라는 명목으로 「위치정보의 보호 및 이용 등에 관한 법률」, 「개인정보 보호법」과 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에 대한 특례 규정을 두어야 할 타당성을 찾을 수 없음
▪ 반면, 가명 또는 암호화 등으로 ‘비식별화’ 처리를 하면 기업들이 개인정보를 이용하거나 제공, 심지어 거래할 때에 이용자의 동의권을 박탈하도록 한 법안 내용은 논란 많은 ‘비식별화’ 개념을 최초로 법정화하려 함
― ‘비식별화’는 「개인정보 보호법」에 이미 규정되어 있는 ‘익명화’와 다른 개념으로서, 특례 규정으로 이 개념을 최초로 입법하는 것은 국가적인 개인정보 규범체계를 무너뜨린다는 점에서 매우 위험함
― 박근혜 정부와 산업계가 초법적으로 추진해 왔다는 점에서 관련 상임위원회에서 줄곧 논란을 빚어온 ‘비식별화’를 이 법 특례규정으로 입법하는 것은 사회적 논란과 국민적 반발을 야기할 것이며 건강한 미래 산업의 육성 또한 위태롭게 할 것이 분명함
▪ 무엇보다 「규제프리존법안」은 최순실 국정농단 사건의 한 축으로서 관련 의혹에 대한 수사가 필요한 상황임
– 2014년 박근혜 대통령의 지시와 대기업 출자금으로 창조경제혁신센터가 전국적으로 설립함
– 2015년 7월 24일, 박근혜 대통령은 전국 창조경제혁신센터장과 지원기업 대표를 청와대로 불러 모아 오찬간담회 후 주요그룹 총수들과 독대함
– 2015년 12월 9일, 전경련이 ‘7대 유망서비스산업 활성화 방안’에서 ‘서비스산업 특별구역’을 지정해 지자체 규제완화를 주장함
– 2015년 12월 16일, 정부는 ‘규제프리존 도입을 통한 지역경제 발전방안’을 확정함
– 2016년 3월 24일, ‘지역전략산업육성을 위한 규제프리존의 지정과 운영에 관한 특별법안’이 발의됨 (강석훈 의원 대표발의) ※19대 임기만료 폐기
– 2016년 3월 28일, 기획재정부가 ‘보도참고자료’로 의원입법안의 내용을 이례적으로 홍보함
– 2016년 5월 30일, 20대 국회 개원후 같은 내용의 법안이 재발의됨 (이학재 의원 대표발의)
▪ 결론적으로 관련 기업 이익을 위하여 국민의 헌법상 기본권인 개인정보에 대한 자기결정권을 중대하게 침해하는 「규제프리존법안」에 반대함
2. 개인정보 특례 규정을 두어야 할 국내외적 타당성이 없음
▪ 디지털 정보 및 정보통신 기술을 활용하는 서비스의 경우는 권역이 무의미하기 때문에 규제 완화의 효과를 규제프리존 안으로만 제한할 수 없음. 해당 기업들이 규제프리존을 이유로 「개인정보 보호법」의 규범을 회피하는 사업을 추진할 경우 전국적 혼란이 불가피함
▪ 유럽, 미국 등 주요 국가들은 빅데이터 산업과 개인정보 보호라는 두 마리 토끼를 모두 잡기 위하여 최근 오히려 투명성과 이용자 통제권을 입법적으로 강화하고 있음. 특히 기존에 존재하는 개인정보 보호법을 우회하여 국민의 동의권을 박탈하려는 국가는 어디에서도 찾을 수 없음
– 유럽연합은 빅데이터 산업 발전과 빅데이터 활용이 소비자 보호, 공정한 경쟁, 사생활 보호의 가치 안에서 이루어져야 한다는 원칙을 표방하였음. 빅데이터 산업은 ▲투명성, ▲이용자 통제권, ▲프라이버시 중심 설계 및 설정(Privacy by design and by default), ▲책임성이라는 4대 원칙을 충족해야 함 (EDPS, 2015)
– 유럽연합은 빅데이터 시대 개인정보에 대한 정보주체의 권리를 강화하는 <일반 개인정보 보호 규정>(GDPR)을 제정하고(4월 14일 유럽의회 최종 통과) ‘가명처리 정보’는 ‘익명정보’와 달리 개인정보의 권리 대상임을 명확히 함
– 일반적인 개인정보 보호법이 부재한 미국에서도 2014년 5월 대통령실에서 “빅데이터 : 기회를 잡고 가치도 지키자(BIG DATA: SEIZING OPPORTUNITIES, PRESERVING VALUES)” 보고서를 통해 빅데이터 시대 투명성과 이용자 통제권 보장을 강화하는 정책 방향을 제시하였음. 2016년 10월 27일에는 광대역통신망 사업자가 마케팅 목적으로 사용하는 소비자 개인정보에 대해 옵트인을 의무화하는 규정이 통신법에 처음으로 입법됨
3. 비식별화 개념의 법정화에 반대함
▪ ‘비식별화’는 수집한 개인정보에 대하여 데이터 값 삭제, 총계처리, 범주화, 데이터 마스킹 등을 통하여 개인정보의 일부 또는 전부를 삭제하거나 대체함으로써 특정 개인을 식별할 수 없도록 하는 조치로서(「규제프리존 법안」 제36조), 박근혜 정부의 ‘개인정보 규제완화’의 주요한 한 축임
▪ 2016년 6월 30일 발표된 <범정부 비식별 조치 가이드라인>에 따르면, 기업들이 비식별화 조치를 취한 개인정보에 대하여 ‘개인정보가 아닌 것으로 추정하여’ 정보주체 동의 없이 자유롭게 처리하고 판매할 수 있다고 하였음
▪ 원칙적으로 개인정보에 대한 수집 등 처리는 정보주체의 동의를 받아야 하는 것이 국제규범 및 우리 헌법이 보장하고 있는 개인정보 자기결정권의 본질적인 내용임. 현행 개인정보 보호법은 보호대상인 개인정보와 그렇지 않은 익명화된 정보로 나누어 규율하고 있음. 익명화는 더 이상 개인을 식별할 수 없는 ‘탈식별화’ 상태임
개인정보 (제2조 제1호) | 익명화된 정보 (제18조 제2항 제4호) |
살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다) | 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우 (법적용 예외) |
▪ 비식별화는 익명화(탈식별화)와 별도의 개념으로서, 우리 헌법 정신과 개인정보 보호법 체계에 비추어 볼 때 제도화하기에 부적절함
– 개인정보 / 익명화된 정보로 나누어 규율하는 현행 개인정보 보호법의 체계를 유지하는 것이 바람직함
– 정부 안내서(2014)에서도 비식별화는 ‘익명화’와 달리 ‘재식별 위험’이 상존함
▪ 한국의 경우 생년월일, 성별, 지역 등 개인정보를 노출시키는 주민등록번호의 의무적 부여, 그 무분별한 사용, 반복적인 개인정보 대량 유출과 탈취로 인해 국민 한 사람 한 사람의 개인정보에 대한 세계적인 식별성이 다른 나라보다 특히 높은 상태임
– 다국적 통계회사 IMS헬스 코리아가 전국 약국과 병원에서 총 4,400만 명에 해당하는 국민 처방전 정보 47억 건을 빅데이터 처리하여 판매한 사건은 형사기소되어 12월 23일 1심 판결을 앞두고 있음. 약학정보원 등 이 사건 피고는 주민등록번호를 암호화하였다며 개인정보 판매에 대한 무죄를 주장하여 국민들에게 충격을 주었음. 반면 검사는 암호화 등의 처리도 역시 정보주체의 동의가 있어야 한다는 취지로 기소함.
– 이미 미국 빅데이터 기업이 이미 전세계를 상대로 우리 국민들의 주민등록번호와 결합된 민감한 처방정보를 팔고 있는 상황에서 땡땡땡(OOO) 처리에 불과한 비식별화로 국민 개인정보를 보호할 수 있을 것이라는 박근혜 정부의 주장은 사실이 아님
– 나아가 비식별화를 입법하면 향후 모든 산업에서 IMS헬스 사건과 유사한 피해 사례가 확산될 수 있다는 점에 국민은 불안함
▪ 결국 ‘비식별화’ 개념의 법정화는 기업들로 하여금 국민의 개인정보를 보호하고 있는 기존의 법제도를 우회하여 개인정보에 대한 거래를 활성화하겠다는 선언에 다름 아님
4. 조항별 문제점 및 의견
(1) 제36조 : 반대
제36조(「위치정보의 보호 및 이용 등에 관한 법률」 등에 관한 특례) 규제프리존 내 지역전략산업과 관련된 자율주행자동차 전자장비의 인터넷 주소를 이용하여 자동수집장치 등에 의해 개인정보 및 위치정보를 수집하고 수집한 개인정보에 대하여 데이터 값 삭제, 총계처리, 범주화, 데이터 마스킹 등을 통하여 개인정보의 일부 또는 전부를 삭제하거나 대체함으로써 특정 개인을 식별할 수 없도록 하는 조치(이하 “비식별화”라 한다)를 한 경우에는 「위치정보의 보호 및 이용 등에 관한 법률」 및 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」을 적용하지 아니한다. |
▪ 가명 또는 암호화 등 비식별화를 하는 경우 위치정보법과 정보통신망법 등 기존 개인정보 보호법제의 적용을 배제하는 것은 기업이 국민의 개인정보를 무분별하게 수집하고 이용, 나아가 판매하는 결과를 야기할 것임
▪ 반면 자율주행자동차 산업 육성을 위해 동의권 등 국민의 개인정보 자기결정권을 제한해야 할 불가피한 사정이 보이지 않음. 해외 어디에도 자율주행자동차 산업 육성을 위해 정보주체의 동의 없는 개인정보처리를 허용하는 입법례를 발견할 수 없음
▪ 오히려 유럽자동차공업협회(The European Automobile Manufacturers’ Association, ACEA)는 빅데이터 처리로부터 개인정보 보호를 강화한 GDPR의 통과를 환영하는 성명을 발표하며 업계의 개인정보 보호 원칙으로서 ① 투명성(transparency) ② 소비자선택권(customer choice) ③ 프라이버시 중심 설계(privacy by design) ④ 정보 보안(data security) ⑤ 비례적 정보 이용(the proportionate use of data)을 제시하였음.
(2) 제39조 : 반대
제39조(「개인정보 보호법」에 관한 특례) 규제프리존 내 지역전략산업과 관련하여 역내사업자는 영상정보를 수집하여 특정개인을 알아볼 수 없도록 조치하는 경우에는 「개인정보 보호법」 제25조제1항에도 불구하고 시·도에서 정한 조례에 따라 영상정보처리기기를 설치·운영할 수 있다. |
▪ 개인정보 보호법의 경우 영상정보 자동처리기기의 특수성을 감안하여 그 설치와 운영의 목적을 제한하고 있고(제25조), 목적외 이용과 제3자 제공 등에 대해서는 일반적인 개인정보 보호 규정을 적용하고 있음
▪ 반면 이 조항에 따르면 비식별 조치를 취했다는 이유만으로 영상정보 처리에 대한 국민의 기본권을 법률이 아닌 조례에 의해 제한하도록 함
▪ 디지털 네트워크의 특성상 특정지역에서 수집된 영상정보라 하더라도 가공하여 다른 지역, 나아가 다른 국가에서 이용 혹은 판매될 가능성을 감안해 볼 때 특정지역을 이유로 영상정보 보호 규정의 적용을 배제하는 것은 불합리함
(3) 제40조 : 반대
제40조(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에 관한 특례) ① 규제프리존 내 지역전략산업과 관련하여 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제3호에 따른 정보통신서비스 제공자 중 역내사업자에 대하여는 규제프리존 내 설치된 사물인터넷 기반을 통하여 수집한 같은 법 제2조제6호에 따른 개인정보에 대하여 비식별화를 하는 경우에 같은 법 제24조 및 제24조의2를 적용하지 아니한다.
② 제1항에 따른 역내사업자는 비식별화 정보를 이용하는 과정에서 개인정보가 생성되는 경우 이를 지체 없이 파기하거나 추가적인 비식별화 조치를 하여야 한다. ③ 제2항을 위반한 자에게는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제24조 및 제24조의2를 적용한다. ④ 제1항부터 제3항까지에서 규정한 사항 외에 역내사업자의 지정방법, 관리방법 및 기타 절차에 관한 사항과 비식별화의 수준 및 방법 등 필요한 사항은 미래창조과학부장관과 방송통신위원회가 협의하여 정하는 바에 따른다. |
▪ 사물인터넷 환경에서는 오히려 광범위하고 자동적인 개인정보의 수집과 이용이 많아지면서 그로부터 국민의 개인정보 자기결정권을 보장하기 위한 국가적 조치가 필요함
▪ 반면 이 조항은 사물인터넷 환경에서 가명 및 암호화 등 ‘비식별화’ 처리를 하면 정보통신망법상 개인정보의 이용 제한(제24조) 및 제공 동의(제24조의2) 절차를 생략할 수 있도록 하였음
▪ 비식별화를 하는 경우 정보통신망법 등 기존 개인정보 보호법제의 적용을 배제하는 것은 기업이 국민의 개인정보를 무분별하게 수집하고 이용, 나아가 판매하는 결과를 야기할 것임. 특히 개인정보를 비식별화하였다가 재식별화하는 경우 개인정보 처리에 정보주체의 동의를 받거나 즉시 ‘처리 중단’하는 것이 아니라 선택적으로 ‘추가적인 비식별화’를 하겠다는 것은 결국 기업이 비식별화 정보가 재식별된 후에도 계속 이용하는 것을 보장하고 있음
▪ 정보통신망법상 정보통신서비스 제공자의 경우 정보통신망을 통한 서비스 대상이 역내에 그치지 않고 전국, 혹은 전세계에 걸쳐 있음. 결국 이 조항은 지역전략산업을 이유로 국민의 개인정보에 대한 자기결정권을 전국 혹은 전세계에 걸쳐 무력화하는 효과를 불러올 것으로 보임
▪ 반면 사물인터넷 산업 육성을 위해 동의권 등 국민의 개인정보 자기결정권을 제한해야 할 불가피한 사정이 보이지 않음. 해외 어디에도 사물인터넷 산업 육성을 위해 정보주체의 동의 없는 개인정보 처리를 허용하는 입법례를 발견할 수 없다는 점에서 이는 과잉 제한에 해당함
▪ 오히려 유럽연합은 사물인터넷의 경우에도 최종 이용자(end user)의 동의권 등 정보주체의 권리를 보장해야 한다는 점을 강조하고 있음. 유럽연합제29조 개인정보 보호 작업반은 2014년 9월 16일 발표한 사물인터넷 관련 의견서에서 가명화(pseudonymised)하더라도 개인정보에 대한 정보주체의 권리를 보장할 것을 권고하고 있음
5. 결론
▪ 한국의 경우 반복적인 개인정보 유출과 주민등록번호의 무분별한 사용으로 인해 국민 한 사람 한 사람의 개인정보에 대한 식별성이 매우 높은 상태로, 지금도 국제적으로 우리 국민 개인정보에 대한 판매가 암암리에 이루어지고 있는 위태로운 상황임
▪ 빅데이터 시대에는 개인정보에 대한 자동화된 처리가 더욱 급증할 것이 예견되고 있음. 이에 대한 국가의 책무는 국민의 개인정보를 더욱 안전하게 보호할 수 있는 방안을 마련하는 데 있다고 할 것임.
▪ 지역전략산업 육성의 명목으로 기존에 잘 작동해온 개인정보 보호 법제의 적용을 오히려 배제하는 것은 시대적 요구와 국민적 기대에 역행하는 처사임
▪ 개인정보 처리에 대한 동의권 등 개인정보 자기결정권은 헌법상 기본권(헌재 2005. 5. 26. 99헌마513 등)으로서 특정지역에서 거주하거나 이동 하였다는 이유만으로 국민에게 그 행사의 포기를 강요하는 것은 위헌적임
▪ 비식별화에 대한 입법은 해외에서도 그 예를 찾아볼 수 없을 뿐 아니라 빅데이터 시대 개인정보 보호를 강화하는 유럽 등 국제 추세에 역행함
▪ 디지털 네트워크를 통해 특정 지역에서 뿐 아니라 전국, 나아가 전 세계적으로 국민의 개인정보를 위험에 빠뜨리는 결과를 낳을 것임
▪ 정부와 국회는 불과 이년 전에 발생한 카드3사 사건에서 국민의 개인정보 보호를 강화하고 ‘정상화’하겠다고 국민 앞에 약속한 바 있음. 일부 산업의 이익을 위해 국민의 개인정보에 대한 동의권을 박탈하는 것은 국민과의 “약속을 저버리는” 행위로서 국민적 반발과 사회적 논란을 야기할 것으로 보임. 나아가 건강한 미래 산업의 육성 또한 위태롭게 할 것인 바,
▪ 개인정보 보호에 대한 대책은 지역전략산업 육성의 측면에서도 결코 소홀히 할 수 없는 국가적 과제임
<끝>