부처 이기주의로 개인정보 감독기구 일원화는 지지부진
기업의 이익을 위한 개인정보 제3자 제공은 3개인정보 매매 합법화
무분별한 개인정보 규제완화는 박근혜 정부 과오를 되풀이 하는 것!
- 오는 8월 23일(목), 문재인 대통령이 현장 방문을 통해 개인정보 규제개혁 방안을 발표한다고 합니다. 그동안 논란이 되어 왔던, 빅데이터 산업 활성화를 위한 개인정보 활용 및 결합에 대한 정부의 입장이 발표될 것으로 예상됩니다. 우리는 혼란스러운 개인정보 보호법제의 개선과 감독기구의 일원화는 지지부진한 상황에서, 개인정보의 무분별한 활용에만 앞장서는 현 정부의 태도에 실망을 금할 수 없습니다. 현재 정부의 태도는 법적 근거도 없이 <개인정보 비식별조치 가이드라인>을 강행하던 이전 박근혜 정부와 다를 바가 없습니다.
- 여당인 더불어민주당 역시 마찬가지입니다. 더불어민주당은 혁신 경제라는 미명하에 공공적 규제를 묻지마 면제해주는 소위 규제 샌드박스 5법을 발의한 바 있습니다. 나아가 박근혜 정부의 적폐로 스스로도 비판했던 규제프리존특별법도 8월 임시국회에서 합의 처리하겠다고 합니다.
- 정의당과 시민사회는 개인정보를 절대 활용할 수 없다고 주장하는 것이 아닙니다. 개인정보를 안전하게 보호할 수 있는 법제도적 환경을 갖추고, 개인정보 보호원칙에 따라 활용해야 한다는 것입니다. 정보주체의 동의를 받거나 개인을 식별할 수 없도록 익명처리를 한다면 현행 개인정보 보호법제 하에서도 얼마든지 활용할 수 있습니다. 사회적인 가치가 큰 학술 연구나 통계 작성 목적으로는, 적절한 안전조치를 갖추고 가명처리된 개인정보를 활용할 수 있을 것입니다. 물론 개인정보 활용에 대한 동의를 실질화시키고 어떻게 활용되는지 감시하고 통제할 수 있는 제도적 장치도 마련되어야 합니다. 그러나 단지 빅데이터 산업을 활성화한다는 명분으로, 가명처리된 개인정보를 정보주체의 동의도 없이 제3자에게 제공하거나 영리 목적으로 활용하는 것에 동의할 수는 없습니다.
- 정부와 여당이 진정으로 개인정보 보호에 대한 의지가 있다면, 개인정보를 안전하게 활용할 수 있도록 하겠다면, 우선 분산되고 체계가 없는 개인정보 보호법제부터 정비해야 합니다. 수범자의 혼란과 중복규제를 야기하고 있기 때문입니다. 행정안전부, 방통위, 금융위 등으로 분산된 개인정보의 감독기능도 개인정보보호위원회로 일원화해야 합니다. 효과적인 감독은 개인정보 보호의 핵심이기 때문입니다. 그러나 각 정부부처의 부처 이기주의로 인해 개인정보 보호법제의 개선과 감독기구 일원화는 교착 상태에 빠져 있습니다.
- 정의당 추혜선 국회의원과 경실련, 서울 YMCA, 소비자시민모임, 진보네트워크센터, 참여연대 공익법센터, 한국소비자연맹, 함께하는시민행동 등 시민사회단체들은 정부 여당의 무분별한 개인정보 규제완화를 규탄하고, 개인정보의 보호와 안전한 활용을 위한 대안을 제시하는 기자회견을 다음과 같이 개최하였습니다.
개인정보 감독기구 통합 없는 무분별한 규제완화 반대 기자회견
- 일시와 장소 : 2018년 8월 22일(수) 13:40, 국회정론관
- 주최 : 국회의원 추혜선(정의당), 경실련, 서울 YMCA, 소비자시민모임, 진보네트워크센터, 참여연대 공익법센터, 한국소비자연맹, 함께하는시민행동
- 참가자 및 발언
모두 발언 : 추혜선 (정의당 국회의원)
발언 1 : 오병일 (진보네트워크센터 활동가)
발언 2 : 한석현 (서울YMCA 팀장)
기자회견문 낭독 : 윤명 (소비자시민모임 사무총장)문의 : 이광식(추혜선 의원실, 02-784-9740), 오병일 (진보네트워크센터, 02-774-4551)
▣ 별첨1 : 기자회견문
▣ 별첨2 : 대안적 개인정보 정책 방안에 대한 제안
별첨자료1. 기자회견문
기자회견문
개인정보 팔아 혁신경제? 무분별한 개인정보 규제완화 규탄한다!
개인정보 보호법제 개선과 감독기구 일원화가 먼저다!
내일 8월 23일(목), 문재인 대통령이 현장 방문을 통해 개인정보 규제개혁 방안을 발표한다고 한다. 이는 의료기기 규제완화, 인터넷 전문은행 은산분리 완화에 이은 세 번째 현장방문 행보다. 이번에는 그동안 논란이 되어왔던 개인정보 규제완화 방안이 발표될 것으로 예상된다. 더불어민주당도 혁신 경제라는 미명하에 공공적 규제를 묻지마 면제해주는 소위 규제 샌드박스 5법을 발의한 것에 이어, 과거 문재인 대통령도 비판했던 규제프리존특별법을 8월 임시국회에서 합의 처리하겠다고 한다.
박근혜 정부는 개인정보를 팔아 창조경제를 달성하기 위해 <개인정보 비식별조치 가이드라인>을 강행했다. 이제 이름은 혁신경제로 바뀌었고, 가명정보 활용의 법적 근거를 만들려고 한다는 점이 달라졌을 뿐, 산업 육성을 위해 개인정보 거래를 확대하려는 정부의 기조는 변하지 않았다. 개인정보를 보호할 수 있는 안전장치도 없이 말이다. 촛불 혁명으로 탄생한 문재인 정부의 개인정보 보호에 대한 인식과 의지가 이 정도인지 실망스럽기 그지없다.
개인정보 활용, 개인정보 보호원칙에 근거해야
산업계와 정부는 시장조사나 산업적 연구 등 기업의 영리 목적으로 가명정보의 이용과 제3자 제공을 허용해야 한다고 주장한다. 일부 식별자를 제거했다고 하지만, 가명정보도 개인정보다. 다국적 기업인 IMS 헬스는 전국 약국과 병원에서 수집한 우리 국민 4천5백만 명의, 가명처리된 개인정보 50억 건을 사들여 빅데이터 분석을 위해 불법적으로 사들였다. 내 개인정보가, 그것도 민감한 건강정보가 나도 모르는 사이에 외국 기업에 팔린 것이다. 산업계와 정부의 주장은 이러한 개인정보의 매매를 허용하자는 것에 다름없다.
개인정보는 절대 활용해선 안된다는 것이 아니다. 개인정보를 안전하게 보호할 수 있는 법제도적 환경을 갖추고 개인정보 보호원칙에 따라 활용해야 한다는 것이다. 정보주체의 동의를 받거나 개인을 식별할 수 없는 익명 정보의 경우에는 현행 개인정보 보호법제 하에서도 얼마든지 활용할 수 있다. 다만, 동의 자체가 형식적으로 이루어지는 경우가 많기 때문에, 기업들은 이를 실질화하기 위해 노력해야 하고 정부는 이에 대한 감독을 철저하게 해야 한다. 우리는 학술 연구나 통계 작성 목적으로, 적절한 안전조치를 갖춘다면 가명처리된 개인정보를 활용하는 것에도 동의한다. 이는 정보주체의 권리를 다소 제한하는 것이지만, 학술 연구나 통계 작성의 공공적 가치가 크기 때문이다. 그러나 단지 기업의 사적 이익을 위해 정보주체의 권리를 제한해야 할 이유는 도무지 찾을 수 없다.
부처 이기주의에 지지부진 한 개인정보 감독기구 일원화
정부와 여당이 진정으로 개인정보 보호에 대한 의지가 있다면, 그리고 개인정보를 안전하게 활용할 수 있도록 하겠다면, 우선 분산되고 체계가 없는 개인정보 보호법제부터 정비해야 한다. 수범자의 혼란과 중복규제를 야기하고 있기 때문이다. 행정안전부, 방통위, 금융위 등으로 분산된 개인정보의 감독기능도 개인정보보호위원회로 일원화해야 한다. 독립적이고 효과적인 감독은 개인정보 보호의 핵심이기 때문이다. 더구나 개인정보 보호체계 효율화는 문재인 대통령의 대선 공약이자 국정과제이다. 그러나 각 정부부처의 부처 이기주의로 인해 개인정보 법제의 개선과 감독기구 일원화는 교착 상태에 빠져 있다. 정부 여당이 무능한 것인가, 아니면 의지가 없는 것인가.
우리는 다음과 같이 요구한다.
문재인 정부는 무분별한 개인정보 규제 완화 행보를 중단하라!
더불어민주당은 규제 샌드박스 5법을 철회하라!
정부와 여당은 개인정보 보호법제와 감독기구 일원화를 즉각 추진하라!
별첨자료2. 대안적 개인정보 정책 방안에 대한 제안
대안적 개인정보 정책 방안에 대한 제안
□ 개인정보 법제 정비
“오히려 분산되고 체계 없는 개인정보 법제도가 개인정보 활용의 걸림돌”
° 수범자의 혼란 야기
– 개인정보보호법, 정보통신망법, 신용정보법, 위치정보법 등으로 분산되어 있고, 중복되고 유사한 조항을 다수 포함
– 일반법과 특별법의 관계 모호함
개인정보보호법 | ||
---|---|---|
개인정보 수집/이용 정당화 사유 | 제15조 1. 정보주체의 동의 2. 법률의 특별한 규정 3. 공공기관의 소관업무 수행 4. 계약체결 및 이행 5. 급박한 생명, 신체, 재산의 이익 6. 개인정보처리자의 이익이 정보주체의 이익보다 명백하게 우월한 경우 |
22조 1. 이용자의 동의 2. 계약의 이행을 위해 필요 3. 요금정산을 위해 필요 4. 법률의 특별한 규정 |
동의없는 개인정보 수집에 대한 처벌 | 제75조 1호 5천만원 이하의 과태료 |
제71조 5년 이하의 징역 또는 5천만원 이하의 벌금 |
개인정보 목적 내 제3자 제공 정당화 사유 | 제17조 1. 정보주체의 동의 2. 법률의 특별한 규정 3. 공공기관의 소관업무 수행 4. 급박한 생명, 신체, 재산의 이익 |
제24조의2 1. 이용자의 동의 2. 요금정산을 위해 필요 3. 법률의 특별한 규정 |
개인정보 목적 외 제3자 제공 정당화 사유 | 제18조 1. 정보주체의 동의 2. 법률의 특별한 규정 3. 급박한 생명, 신체, 재산의 이익 4. 통계 및 학술연구 목적으로 특정 개인을 알아볼 수 없는 형태로 제공 5. 공적 영역 : 공공기관의 소관업무 수행, 조약 이행 등, 범죄 수사 등, 재판, 형 집행 등 |
규정 없음. 즉, 정보통신서비스 제공자는 정보통신 이용자 정보를 목적 외로 이용하거나 제3자에게 제공할 수 없음 |
기타 많은 조항이 유사하지만 서로 다른 규정을 포함하고 있음. |
° 중복규제 불가피
– 규제기관별 규제 영역 확보를 위한 경쟁
· 2016년 방통위는 정보통신망법 위반으로 아시아나항공에 과태료 부과
· 2017년 행정자치부는 개인정보보호법 위반으로 대한항공에 과태료 부과
– 예를 들어, 은행의 경우에는 개인정보보호법, 정보통신망법, 신용정보법, 위치정보법 등을 모두 고려해야할 수 있음.
개선방안
- 개인정보보호법을 중심으로 개인정보 보호법제 정비.
- 정보통신망법, 신용정보법, 위치정보법 등 특별법은 각 영역에서 특별히 다뤄야할 내용만 남기도록 함.
□ 개인정보 감독기구 일원화
“독립적인 개인정보 감독기구의 설립은 개인정보보호의 핵심적 요소” (유럽사법재판소)
° 국제기준
|
° 세계 감독기구 현황
– 세계 주요국은 독립적인 단일·전담기관 체제로 운용되고 있음
– 2017년 개인정보보호 감독기구 협의체(ICDPPC) 조사 결과, 감독기구 84.88%에 달하는 대부분이 공공과 민간 부문을 모두 소관
– 대다수 감독기구가 개인정보보호법 집행, 법률 제개정권 등 보유
* 출처 : ICDPPC, “Counting on Commissioners: High level results of the ICDPPC Census 2017”
° 국내 현황 및 문제점
– 개인정보 감독기구 역시 행정안전부, 방송통신위원회, 금융위원회, 개인정보보호위원회로 분산되어 있음.
– 인력 및 자원의 분산으로 효율적인 감독에 한계
- 행안부, 방통위, 금융위, 보호위 등의 인력을 합하면 세계적인 수준이지만, 유럽 GDPR과 같은 체계적인 개인정보 정책 수립과 집행에 한계.
– 감독기구간 입장 차이로 통일적인 개인정보 정책 수립에 장애
- 예를 들어, 행안부의 영상정보보호법안, 방통위의 EU 개인정보 부분 적정성 결정에 개인정보보호위원회가 반대 입장을 표명했음에도 불구하고 추진.
– 이해관계의 충돌
- 방통위, 금융위 등 빅데이터 산업 육성을 명분으로 개인정보 완화 정책 추진
- 방통위, 금융위는 각 영역의 전문성을 주장하지만, 감독기구의 독립성은 국제적인 규범임.
- 전 세계적으로 방송통신규제기구, 금융정책기구가 개인정보 감독기구 역할을 하고 있는 사례는 없음.
– 각 부처의 밥그릇 싸움으로 감독기구 일원화 지체
– 현재 소병훈, 송희경, 변재일, 진선미의원 등이 대표발의한 개인정보보호법 국회 계류 중
개선방안
- 행안부, 방통위, 금융위의 감독 권한을 보호위로 이관
- 보호위를 중앙행정부처로 격상하여 인사, 예산권 부여
- 보호위의 독립성 보장
□ 개인정보의 안전한 활용
“기업의 사적 이익을 위해 가명정보의 제3자 제공을 허용하는 것은 개인정보 매매를 합법화하자는 것!”
개인정보를 보험사에 판매한 홈플러스의 불법매매, 우리 국민 4천 5백만의 처방전 정보 50억건을 빅데이터 분석 명목으로 구매한 IMS 헬스의 불법행위 합법화!
° 시민사회의 입장은 개인정보를 절대 활용해서는 안된다는 것이 아니라, 적법하고 안전하게 활용해야 한다는 것임
기업들은 다음과 같은 경우 개인정보를 활용할 수 있음.
|
° 학술 연구 및 통계 목적의 활용
– 산업계 및 정부(행안부, 방통위, 금융위)는 가명정보를 시장조사 및 산업적 연구에 활용할 수 있도록 해야한다고 주장하고 있음.
– 개인정보를 수집 목적 외로 활용하는 것은 정보주체의 권리를 침해하는 것임에도 불구하고, 학술 연구 및 통계 목적의 활용을 허용하는 취지는 그것이 사회적인 공적 가치를 가지기 때문임.
– 따라서 학술적 가치가 없는, 기업의 사적 이익을 위한 시장 조사나 산업적 연구에까지 허용의 범위를 확대해서는 안됨. 기업의 사적 이익을 위한 시장 조사나 산업적 연구는 개인의 동의를 받거나, 익명처리를 통해 수행 가능함.
– 가명처리만 하면 자유롭게 이용할 수 있는 것이 아님. 학술연구 및 통계목적으로 제공하더라도 가명처리를 포함한 안전조치가 전제되어야 함.
· 가명정보도 개인정보이고, 따라서 시장조사나 산업적 연구 목적의 가명정보 제공은 정보주체의 동의없는 제3자 제공임. · 정보주체의 개인정보 자기결정권이 단지 기업의 영리를 목적으로 희생되어야 할 이유는? |
° 데이터 연계
– 데이터 연계는 개인정보의 제3자 제공을 전제하며, 연계 과정에서 개인 식별성이 수반되므로 매우 제한적으로만 허용되어야 함.
– 전 세계적으로 민간 영역의 데이터 연계를 공공기관이 지원하는 사례 없음
– 공공 데이터를 ‘학술 연구 및 통계작성’을 목적으로 연구자에게 제공하는 경우에도 학술적 가치에 대한 평가, 연계 데이터의 최소화, 데이터 보유기관과 연계기관의 분리, 안전시설에서의 접근 등 거버넌스 체제의 구축이 전제되어야 함.
° 개인정보의 안전한 활용을 보장하기 위해 개인정보 보호법제의 개선 및 감독기구 일원화가 전제되어야 함
개선방안
- 개인정보 보호법제의 개선 및 감독기구 일원화가 전제되어야 함
- 정보주체의 동의, 익명처리에 기반한 개인정보 활용에 동의함
- 학술 연구 및 통계목적을 위한 개인정보의 목적 외 활용을 허용하되, 가명처리 등 안전조치를 취해야 함
- 목적 외 활용의 범위를 시장 조사 및 산업적 연구로 확대하는 것에 반대함
- 민간 영역의 데이터 연계에 반대함
□ 규제혁신 5법
““방대한 양의 개인정보를 처리하는 기관은 선택된 비지니스 모델과 상관없이 항상 개인정보보호 준거법을 준수해야 한다.” (유럽 개인정보보호감독관 EDPS 보고서)
° 규제 샌드박스 5법의 문제점
– 「산업융합촉진법 개정안」, 「정보통신 진흥 및 융합 활성화 등에 관한 특별법 개정안」, 「지역특화발전특구에 대한 규제특례법 개정안」
- 가명정보의 활용인지, 익명정보의 활용인지 모호함.
- 지정 검증기관의 적정성 검증의 법적 효과 : 적정성 검증을 통과한 경우 면책을 주는 것이라면 불완전한 익명처리를 합리화할 가능성.
- 사실상 폐기된 비식별조치 가이드라인과 유사한 구조임
– 「금융혁신지원특별법 제정안」
- 혁신금융사업자에게 개인정보보호법을 포함한 금융관련법령의 규정 배제
- 개인정보보호법을 배제하면서 ‘개인정보의 안전한 보호 및 처리’를 하겠다는 것은 어불성설임
– 개인정보 보호법제의 개선이 추진되고 있는 상황에서 개인정보 보호법제의 예외를 먼저 만드는 것은 적절하지 않음.
– 개인정보보호법의 적용을 배제해야 할 새로운 사업 모델이 무엇인지 모호함. 특정 규제가 문제가 있다면 어떻게 개정할 것인지 사회적인 논의를 통해 해결해야 하며, 신기술이라고 무조건적인 규제 완화는 위험함.
개선방안
- 빅데이터 등 신규 사업 모델에도 개인정보보호법이 적용되어야 하며, 그 적용을 배제해야할 이유가 없음
- 규제 샌드박스 5법 제정에 반대함
□ 마이데이터(My Data) 정책과 자기정보통제권
“개인정보의 거래가 아니라 정보주체의 열람권을 보장해야”
° 마이데이터(MyData) 정책
– 대통령직속 4차산업혁명위원회는 “정보주체가 기관으로부터 자기 정보를 직접 내려받아 이용하거나 제3자 제공을 허용하는 방식으로 데이터 활용체계를 정보주체 중심으로 전환”하기 위해 “데이터 이동권 확립 : 국민의 데이터 주권 찾기(MyData)”를 추진하겠다고 함.
– 이에 따라 [의료] 건강관리, [금융] 자산관리, [통신] 요금제추천 등 주요 분야에서 시범사업을 추진하겠다고 함.
° 마이데이터(MyData) 정책의 문제점
– 개인의 동의를 받는다고 하지만, 이는 동의를 받을 때 해당 정보수집으로 인한 이익 뿐만 아니라 그 위험성까지 충분히 설명하고 동의를 받는 것이 전제되어야 함.
– 설명 후 동의(informed consent)가 없으면, 정보주체를 꼬드겨 개인정보 거래를 활성화하겠다는 것에 불과함. 그 피해는 결국 정보주체에게 돌아갈 위험이 있음.
– 또한 마이데이터 관리 및 거래를 매개 할 데이터 브로커를 양산할 것임. 즉, 현재의 마이데이터 정책은 개인정보의 상업적 거래 활성화가 목표임.
° 정보주체의 자기정보통제권 보장 방안
– 지난 2017년 시민사회단체는 공동으로, 29개 주요 온라인 업체를 대상으로 한 <개인정보 열람 실태조사>를 수행한 바 있음. 그 결과 상당수 업체가 정보주체의 열람신청에 대해 답변을 하지 않거나 부실한 답변을 하는 등 정보주체의 열람권이 제대로 보장되지 않고 있음을 확인하였음.
– 또한 <개인정보 비식별조치 가이드라인>에 따라 개인정보를 비식별처리하여 결합한 기업들도 ‘내 개인정보가 비식별처리되어 제공되었는지’에 대한 이용자들의 질의에 답변을 제공하지 않음.
– 정보주체의 자기정보통제권 보장을 위해서는 기업들이 내 정보를 어떻게 이용하고, 누구에게 제공하는지에 대해 정보주체가 보다 쉽고 정확하게 열람, 정정, 삭제 청구할 수 있도록 보장되어야 함.
개선방안
- My Data 사업은 정보주체에의 충분한 고지와 설명이 전제되어야 함
- My Data 이전에 정보주체의 열람권 보장이 우선되어야 함