개인정보보호의견서입장

대안적 개인정보 정책 방안에 대한 제안

By 2018/08/22 9월 18th, 2018 No Comments

 

□ 개인정보 법제 정비

오히려 분산되고 체계 없는 개인정보 법제도가 개인정보 활용의 걸림돌
° 수범자의 혼란 야기

– 개인정보보호법, 정보통신망법, 신용정보법, 위치정보법 등으로 분산되어 있고, 중복되고 유사한 조항을 다수 포함
– 일반법과 특별법의 관계 모호함

개인정보보호법
개인정보 수집/이용 정당화 사유 제15조
1. 정보주체의 동의
2. 법률의 특별한 규정
3. 공공기관의 소관업무 수행
4. 계약체결 및 이행
5. 급박한 생명, 신체, 재산의 이익
6. 개인정보처리자의 이익이 정보주체의 이익보다 명백하게 우월한 경우
22조
1. 이용자의 동의
2. 계약의 이행을 위해 필요
3. 요금정산을 위해 필요
4. 법률의 특별한 규정
동의없는 개인정보 수집에 대한 처벌 제75조 1호
5천만원 이하의 과태료
제71조
5년 이하의 징역 또는 5천만원 이하의 벌금
개인정보 목적 내 제3자 제공 정당화 사유 제17조
1. 정보주체의 동의
2. 법률의 특별한 규정
3. 공공기관의 소관업무 수행
4. 급박한 생명, 신체, 재산의 이익
제24조의2
1. 이용자의 동의
2. 요금정산을 위해 필요
3. 법률의 특별한 규정
개인정보 목적 외 제3자 제공 정당화 사유 제18조
1. 정보주체의 동의
2. 법률의 특별한 규정
3. 급박한 생명, 신체, 재산의 이익
4. 통계 및 학술연구 목적으로 특정 개인을 알아볼 수 없는 형태로 제공
5. 공적 영역 : 공공기관의 소관업무 수행, 조약 이행 등, 범죄 수사 등, 재판, 형 집행 등
규정 없음.
즉, 정보통신서비스 제공자는 정보통신 이용자 정보를 목적 외로 이용하거나 제3자에게 제공할 수 없음
기타 많은 조항이 유사하지만 서로 다른 규정을 포함하고 있음.
° 중복규제 불가피

– 규제기관별 규제 영역 확보를 위한 경쟁
· 2016년 방통위는 정보통신망법 위반으로 아시아나항공에 과태료 부과
· 2017년 행정자치부는 개인정보보호법 위반으로 대한항공에 과태료 부과
– 예를 들어, 은행의 경우에는 개인정보보호법, 정보통신망법, 신용정보법, 위치정보법 등을 모두 고려해야할 수 있음.

개선방안
  • 개인정보보호법을 중심으로 개인정보 보호법제 정비.
  • 정보통신망법, 신용정보법, 위치정보법 등 특별법은 각 영역에서 특별히 다뤄야할 내용만 남기도록 함.

□ 개인정보 감독기구 일원화

독립적인 개인정보 감독기구의 설립은 개인정보보호의 핵심적 요소(유럽사법재판소)
° 국제기준
  • 유엔 전산처리된 개인정보파일의 규제 지침 (1990) : 모든 국가들은 열거된 원칙들의 준수를 감시할 독립된 기관을 설치하도록 결의
  • 유럽평의회, 감독기구와 국경 간 정보이동과 관련한 개인정보의 자동처리에 관한 개인 보호 협약의 추가의정서 (2001년) : 조사권, 명령권, 의견제시권, 사법소추권 등 개인정보 감독기관의 구체적인 권한 명시
  • EU GDPR : 제52조(독립성) 에서 감독기관은 자신의 임무와 권한을 완전히 독립적으로 수행한다고 규정
° 세계 감독기구 현황

– 세계 주요국은 독립적인 단일·전담기관 체제로 운용되고 있음
– 2017년 개인정보보호 감독기구 협의체(ICDPPC) 조사 결과, 감독기구 84.88%에 달하는 대부분이 공공과 민간 부문을 모두 소관

– 대다수 감독기구가 개인정보보호법 집행, 법률 제개정권 등 보유

* 출처 : ICDPPC, “Counting on Commissioners: High level results of the ICDPPC Census 2017”

° 국내 현황 및 문제점

– 개인정보 감독기구 역시 행정안전부, 방송통신위원회, 금융위원회, 개인정보보호위원회로 분산되어 있음.

– 인력 및 자원의 분산으로 효율적인 감독에 한계

  • 행안부, 방통위, 금융위, 보호위 등의 인력을 합하면 세계적인 수준이지만, 유럽 GDPR과 같은 체계적인 개인정보 정책 수립과 집행에 한계.

– 감독기구간 입장 차이로 통일적인 개인정보 정책 수립에 장애

  • 예를 들어, 행안부의 영상정보보호법안, 방통위의 EU 개인정보 부분 적정성 결정에 개인정보보호위원회가 반대 입장을 표명했음에도 불구하고 추진.

– 이해관계의 충돌

  • 방통위, 금융위 등 빅데이터 산업 육성을 명분으로 개인정보 완화 정책 추진
  • 방통위, 금융위는 각 영역의 전문성을 주장하지만, 감독기구의 독립성은 국제적인 규범임.
  • 전 세계적으로 방송통신규제기구, 금융정책기구가 개인정보 감독기구 역할을 하고 있는 사례는 없음.

– 각 부처의 밥그릇 싸움으로 감독기구 일원화 지체
– 현재 소병훈, 송희경, 변재일, 진선미의원 등이 대표발의한 개인정보보호법 국회 계류 중

개선방안
  • 행안부, 방통위, 금융위의 감독 권한을 보호위로 이관
  • 보호위를 중앙행정부처로 격상하여 인사, 예산권 부여
  • 보호위의 독립성 보장

□ 개인정보의 안전한 활용

기업의 사적 이익을 위해 가명정보의 제3자 제공을 허용하는 것은 개인정보 매매를 합법화하자는 것!

개인정보를 보험사에 판매한 홈플러스의 불법매매, 우리 국민 4천 5백만의 처방전 정보 50억건을 빅데이터 분석 명목으로 구매한 IMS 헬스의 불법행위 합법화!

° 시민사회의 입장은 개인정보를 절대 활용해서는 안된다는 것이 아니라, 적법하고 안전하게 활용해야 한다는 것임
기업들은 다음과 같은 경우 개인정보를 활용할 수 있음.

  1. 정보주체의 동의 : 이미 많은 기업들이 가입시 이용자의 동의를 받고 있음. 혁신적인 기업이라면, 더 쉽고 명확하게 동의를 받을 수 있는 방법의 개발 필요.
  2. 익명정보 활용 : 현행 개인정보보호법은 익명정보에는 적용되지 않기 때문에, 다른 국가와 마찬가지로 국내에서도 이미 익명정보는 활용 가능함. 단, 충분한 익명처리가 되지 않았을 경우 해당 기업이 책임져야 함.
  3. 학술연구 및 통계 목적의 활용 : 현행 개인정보보호법에 따르더라도, 개인을 알아볼 수 없도록 처리하는 경우 학술 연구 및 통계 목적으로 처리 가능함.
    다만, 가명처리 활용 등 법제 개선 필요
° 학술 연구 및 통계 목적의 활용

– 산업계 및 정부(행안부, 방통위, 금융위)는 가명정보를 시장조사 및 산업적 연구에 활용할 수 있도록 해야한다고 주장하고 있음.
개인정보를 수집 목적 외로 활용하는 것은 정보주체의 권리를 침해하는 것임에도 불구하고, 학술 연구 및 통계 목적의 활용을 허용하는 취지는 그것이 사회적인 공적 가치를 가지기 때문임.
– 따라서 학술적 가치가 없는, 기업의 사적 이익을 위한 시장 조사나 산업적 연구에까지 허용의 범위를 확대해서는 안됨. 기업의 사적 이익을 위한 시장 조사나 산업적 연구는 개인의 동의를 받거나, 익명처리를 통해 수행 가능함.
가명처리만 하면 자유롭게 이용할 수 있는 것이 아님. 학술연구 및 통계목적으로 제공하더라도 가명처리를 포함한 안전조치가 전제되어야 함.

· 가명정보도 개인정보이고, 따라서 시장조사나 산업적 연구 목적의 가명정보 제공은 정보주체의 동의없는 제3자 제공임.
· 정보주체의 개인정보 자기결정권이 단지 기업의 영리를 목적으로 희생되어야 할 이유는?
° 데이터 연계

– 데이터 연계는 개인정보의 제3자 제공을 전제하며, 연계 과정에서 개인 식별성이 수반되므로 매우 제한적으로만 허용되어야 함.
전 세계적으로 민간 영역의 데이터 연계를 공공기관이 지원하는 사례 없음
– 공공 데이터를 ‘학술 연구 및 통계작성’을 목적으로 연구자에게 제공하는 경우에도 학술적 가치에 대한 평가, 연계 데이터의 최소화, 데이터 보유기관과 연계기관의 분리, 안전시설에서의 접근 등 거버넌스 체제의 구축이 전제되어야 함.

° 개인정보의 안전한 활용을 보장하기 위해 개인정보 보호법제의 개선 및 감독기구 일원화가 전제되어야 함
개선방안
  • 개인정보 보호법제의 개선 및 감독기구 일원화가 전제되어야 함
  • 정보주체의 동의, 익명처리에 기반한 개인정보 활용에 동의함
  • 학술 연구 및 통계목적을 위한 개인정보의 목적 외 활용을 허용하되, 가명처리 등 안전조치를 취해야 함
  • 목적 외 활용의 범위를 시장 조사 및 산업적 연구로 확대하는 것에 반대함
  • 민간 영역의 데이터 연계에 반대함

□ 규제혁신 5법

“방대한 양의 개인정보를 처리하는 기관은 선택된 비지니스 모델과 상관없이 항상 개인정보보호 준거법을 준수해야 한다.(유럽 개인정보보호감독관 EDPS 보고서)
° 규제 샌드박스 5법의 문제점

– 「산업융합촉진법 개정안」, 「정보통신 진흥 및 융합 활성화 등에 관한 특별법 개정안」, 「지역특화발전특구에 대한 규제특례법 개정안」

  • 가명정보의 활용인지, 익명정보의 활용인지 모호함.
  • 지정 검증기관의 적정성 검증의 법적 효과 : 적정성 검증을 통과한 경우 면책을 주는 것이라면 불완전한 익명처리를 합리화할 가능성.
  • 사실상 폐기된 비식별조치 가이드라인과 유사한 구조임

– 「금융혁신지원특별법 제정안」

  • 혁신금융사업자에게 개인정보보호법을 포함한 금융관련법령의 규정 배제
  • 개인정보보호법을 배제하면서 ‘개인정보의 안전한 보호 및 처리’를 하겠다는 것은 어불성설임

– 개인정보 보호법제의 개선이 추진되고 있는 상황에서 개인정보 보호법제의 예외를 먼저 만드는 것은 적절하지 않음.
– 개인정보보호법의 적용을 배제해야 할 새로운 사업 모델이 무엇인지 모호함. 특정 규제가 문제가 있다면 어떻게 개정할 것인지 사회적인 논의를 통해 해결해야 하며, 신기술이라고 무조건적인 규제 완화는 위험함.

개선방안
  • 빅데이터 등 신규 사업 모델에도 개인정보보호법이 적용되어야 하며, 그 적용을 배제해야할 이유가 없음
  • 규제 샌드박스 5법 제정에 반대함

□ 마이데이터(My Data) 정책과 자기정보통제권

개인정보의 거래가 아니라 정보주체의 열람권을 보장해야
° 마이데이터(MyData) 정책

– 대통령직속 4차산업혁명위원회는 “정보주체가 기관으로부터 자기 정보를 직접 내려받아 이용하거나 제3자 제공을 허용하는 방식으로 데이터 활용체계를 정보주체 중심으로 전환”하기 위해 “데이터 이동권 확립 : 국민의 데이터 주권 찾기(MyData)”를 추진하겠다고 함.
– 이에 따라 [의료] 건강관리, [금융] 자산관리, [통신] 요금제추천 등 주요 분야에서 시범사업을 추진하겠다고 함.

° 마이데이터(MyData) 정책의 문제점

– 개인의 동의를 받는다고 하지만, 이는 동의를 받을 때 해당 정보수집으로 인한 이익 뿐만 아니라 그 위험성까지 충분히 설명하고 동의를 받는 것이 전제되어야 함.
– 설명 후 동의(informed consent)가 없으면, 정보주체를 꼬드겨 개인정보 거래를 활성화하겠다는 것에 불과함. 그 피해는 결국 정보주체에게 돌아갈 위험이 있음.
– 또한 마이데이터 관리 및 거래를 매개 할 데이터 브로커를 양산할 것임. 즉, 현재의 마이데이터 정책은 개인정보의 상업적 거래 활성화가 목표임.

° 정보주체의 자기정보통제권 보장 방안

– 지난 2017년 시민사회단체는 공동으로, 29개 주요 온라인 업체를 대상으로 한 <개인정보 열람 실태조사>를 수행한 바 있음. 그 결과 상당수 업체가 정보주체의 열람신청에 대해 답변을 하지 않거나 부실한 답변을 하는 등 정보주체의 열람권이 제대로 보장되지 않고 있음을 확인하였음.
– 또한 <개인정보 비식별조치 가이드라인>에 따라 개인정보를 비식별처리하여 결합한 기업들도 ‘내 개인정보가 비식별처리되어 제공되었는지’에 대한 이용자들의 질의에 답변을 제공하지 않음.
정보주체의 자기정보통제권 보장을 위해서는 기업들이 내 정보를 어떻게 이용하고, 누구에게 제공하는지에 대해 정보주체가 보다 쉽고 정확하게 열람, 정정, 삭제 청구할 수 있도록 보장되어야 함.

개선방안
  • My Data 사업은 정보주체에의 충분한 고지와 설명이 전제되어야 함
  • My Data 이전에 정보주체의 열람권 보장이 우선되어야 함