개인정보보호법의견서

개인정보보호법 및 신용정보보호법 시행령(안)에 대한 시민사회 의견서

By 2020/05/11 No Comments
  1. 오늘(5월 11일) 경제정의실천시민연합, 민주사회를 위한 변호사모임 디지털정보위원회, 서울YMCA, 연구공동체 건강과대안, 전국민주노동조합총연맹, 진보네트워크센터, 참여연대, 한국소비자연맹 등 8개 시민사회단체는 행정안전부 및 금융위원회에 지난  3월 31일 입법예고된  「개인정보 보호법 시행령 일부개정령안」 및 「신용정보의 이용 및 보호에 관한 법률 시행령 일부개정령안」에 대한 시민사회 공동 의견서를 전달했다. 
  2. 우선 단체들은 서로 다른 개인정보 보호법제 간 혼란 해소와 일원화가 이번 법 개정의 취지였음에도 불구하고, 개정 개인정보보호법과 신용정보보호법이 유사한 조항에 대해 여전히 서로 다른 개념과 표현을 사용하고 있어 수범자의 혼란을 확대하고 있음을 우려했다.  시행령에서라도 이러한 혼란을 최소화하는 방향으로 개정되어야 하며, 개인정보보호법이 기본법이고 개인정보 보호위원회가 개인정보 정책의 컨트롤타워 역할을 하기 때문에, 신용정보보호법에서 달리 규정해야 할 특별한 이유가 없다면 기본적으로 개인정보보호법의 기준에 따라 신용정보보호법 시행령을 개정할 것을 권고했다. 
  3. 특히, 가명정보의 결합과 관련된 조항은 상당히 개선될 필요가 있다. 개인정보보호법에 따른 가명정보 결합의 경우, 결합 신청이 ‘통계작성, 과학적 연구, 공익적 기록보존 등을 위한 목적’으로 수행되는지 판단하는 절차, 연구자의 자격 요건을 검증하는 절차, ‘신뢰할 수 있는 제3자’를 통한 결합 절차, 결합 데이터 반출의 기준, 연구 목적 달성 후에 폐기를 의무화하는 절차, 해당 결합과 관련된 제반 정보 공개를 위한 투명성 원칙 등 전반적인 데이터 거버넌스 체제를 제대로 구축해야 한다.
    신용정보보호법에 따른 결합은 더욱 문제가 많은데 결합키를 결합의뢰기관이 생성하고 결합된 정보집합물을 결합의뢰기관에 반출할 수 있도록 하는 등 사실상 박근혜 정부 당시 <개인정보 비식별조치 가이드라인> 수준으로 개인정보 침해우려가 심각하다. 개인정보보호법 시행령의 경우에는 그나마 별도의 분석공간 내에서 결합된 데이터에 접근할 수 있도록 하는 반면, 신용정보보호법은 최소한의 안전장치도 배제하고 있는 것이다. 더구나 신용정보보호법의 경우 신용정보와 비신용정보 사이의 이종간 데이터 결합을 허용하고 있기 때문에 기업들이 개인정보보호법 상의 규제를 우회하려고 할 가능성이 크다. 개인정보보호법 시행령도 개선되어야 함을 전제로, 신용정보보호법 상의 결합 관련 규정을 개인정보보호법과 통일할 필요가 있다.
  1. 그 외에 시민사회가 개인정보보호법 시행령에 대해 개선을 권고한 주요 내용은 다음과 같다.
    첫째, 개인정보 보호위원회의 운영과 관련하여, 보호위원회 위원의 겸직금지 관련 조항, 전문위원회의 구성과 운영 관련 조항, 보호위원회 의사(議事) 공개 관련 조항의 개선을 통해 보호위원회가 보다 투명하고 민주적으로 운영되도록 할 것.
    둘째, 개인정보의 ‘추가적인 이용·제공’이 개인정보를 수집목적 외로 무분별하게 사용하는 것을 합리화하지 않기 위해서는 정보주체가 합리적으로 기대할 수 있는 범위를 벗어나지 않도록 엄격하게 규정되어야 함.
    셋째, 민감정보에 대한 시행령(안) 제18조 4호는 ‘인종이나 민족에 관한 정보’로 만 규정해야 하며, 법률에 근거를 두지 않고 공공기관의 편의에 따라 민감정보 보호를 배제하고 있는 시행령 18조의 단서 조항은 삭제하는 것이 바람직함.
    넷째, 가명정보를 처리 목적 달성 후에 폐기하도록 한 것은 긍정적이나, 처리 목적이 지나치게 폭넓게 규정될 경우 파기 조항이 무의미해질 수 있으므로 가명정보의 처리 목적을 구체적으로 규정해야 함.
  1. 신용정보보호법의 경우, 우선 시행령(안)의 수많은 조항에서 법에서 위임받은 주요 부분을 다시 고시로 재위임하고 있어  법령의 정확한 내용을 파악하기 힘들어질 뿐만 아니라 위법의 소지가 많기 때문에 고시로의 위임을 최소화할 것을 권고하였다. 그 밖에 개선을 권고한 주요 내용은 다음과 같다.
    첫째, 법률의 위임범위를 벗어나 전문개인신용평가업자가 금융거래정보를 취급할 있는 예외를 인정하고 있는 제5조 1항의 단서 조항은 삭제되어야 함.
    둘째, 공개된 개인정보의 동의가 있었다고 인정되는 범위를 판단할 때 고려해야 할 요소 일부를 개선할 것과 정보주체가 그 판단의 적절성을 다툴 수 있도록 하는 방안을 포함해야 함.
    셋째, 가명처리된 개인신용정보도 (가명처리한) 목적 달성에 필요한 최소기간 동안만 보유할 필요가 있으며 그 이후에는 폐기될 수 있도록 해야 함. 시행령(안) 제17조의2에서 4호를 제외하고는 모두 삭제되어야 함.
  2. 한편, 한국인터넷기업협회(이하, ‘인기협’)도 시행령(안)에 대한 의견서를 홈페이지를 통해 공개하였다. 그런데 협회의 의견      서를 통해 드러난 인터넷 기업들의 입장은 고객인 정보주체의 권리를 전혀 존중하지 않고 있어 매우 우려스럽다.
    우선, 시행령(안) 제14조의2(개인정보의 추가적인 이용·제공 기준 등)와 관련하여, 이 조항을 통해 개인정보의 목적 외 활용을 지나치게 확대하려는 것은 아닌지 우려하지 않을 수 없다. 이 조항에 따른 추가적인 목적 외 이용은 정보주체가 합리적으로 예측가능한 범위 내에서만 이루어져야 한다.
    둘째, 민감정보와 관련하여 인기협은 “GDPR에서 사용하는 용어인 안면 영상(facial images), 지문 정보(dactyloscopic data)와 같은 명확한 용어를 사용할 필요가 있”다고 의견을 제시하고 있지만, 이 표현은 GDPR의 서설(recital)에서 그것도 예시로 제시되고 있는 표현일 뿐이며,  GDPR도 9조에서 “자연인을 유일하게 식별하기 위한 목적의 생체인식정보(biometric data for the purpose of uniquely identifying a natural person)”로 표현하고 있다. 또한 “추가된 민감정보 중 그 식별성과 침해 위험도 등에 따라 차등적인 규제를 적용할 필요”가 있다고 하고 있지만 민감정보 조항에서 이처럼 달리 규정하고 있는 사례는 찾아보기 힘들다. 그리고 ‘차별적 의미를 내포하거나, 차별할 목적으로 처리될 것이 합리적으로 예상되는 민족 또는 인종에 관한 정보’로 수정 제안하고 있지만, 시민사회 의견서에서 지적한 바와 같이 다른 민감정보와 달리 굳이 ‘민족이나 인종에 관한 정보’만 한정해서 규정할 이유가 없다.
    셋째, 인기협 의견서의 가장 큰 문제는 가명정보의 결합과 관련된 부분이다. “개인정보보호법 시행령과 신용정보법 시행령이 서로 다르게 규정하고 있어 실무상 큰 혼란이 예상”된다고 옳게 지적하면서도, 인기협은 개인정보 침해 위험이 더 큰 신용정보법 상의 절차를 선호하고 있다. 인기협이 ‘신뢰할 수 있는 제3자(한국인터넷진흥원)’ 방식이 아니라 결합신청자(기업 등)에 의한 결합키 생성과 결합 데이터의 반출을 선호하면서도, “한국인터넷진흥원에 전달되는 과정에서 유출·침해 등의 위험이 높아질 우려”를 거론하는 것은 기만적이라고 하지 않을 수 없다. 결합된 데이터가 원래의 기업에게 제공되었을 때 재식별의 위험이 없을 것이라 어떻게 장담하는지 의문이다.
    넷째, 가명정보에 대해 파기하지 않고 무기한 활용할 수 있도록 해달라는 요구는 차라리 개인정보의 무한 활용에 대한 솔직한 욕망을 드러낸 것으로 보일 지경이다.

    국내 기업들의 개인정보에 대한 인식 수준은 개인정보 감독기구의 명칭을 ‘개인정보보호위원회’가 아니라 ‘개인정보위원회’로 하자는 요구에서 드러난다. 인터넷 기업들의 개인정보에 대한 무책임성, 어쩌면 이것이 국내 이용자들의 개인정보 자기결정권에 대한 가장 큰 위협이다. 국내 개인정보보호법은 GDPR에 비해 기업들이 개인정보 처리에 대한 책임성을 갖도록 하는 제도적 장치가 여전히 부족하다. 정부는 기업들이 개인정보를 잘 보호하는 것이 해당 기업의 경쟁력에도 도움이 된다는 인식을 가질 수 있는 제도적 환경을 조성해야 한다.

2020년 5월 11일

경제정의실천시민연합, 민주사회를 위한 변호사모임 디지털정보위원회, 서울YMCA, 연구공동체 건강과대안, 전국민주노동조합총연맹, 진보네트워크센터, 참여연대, 한국소비자연맹

 

 

  1. 개인정보보호법과 신용정보보호법의 통일성 필요

 

  • 서로 다른 개인정보 보호법제 간 혼란 해소와 일원화가 이번 법 개정의 취지였음에도 불구하고, 개인정보보호법과 신용정보보호법의 개정 조항 자체가 유사한 조항에 대해 서로 다른 개념과 표현을 사용하고 있어 수범자의 혼란을 확대하고 있다는 비판이 이미 수차례 제기된 바 있음. 다음 표는 이러한 혼란을 야기하는 사례의 일부임.

 

개인정보보호법 신용정보보호법
제2조(정의)

1의2. “가명처리”란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말한다.

15. “가명처리”란 추가정보를 사용하지 아니하고는 특정 개인인 신용정보주체를 알아볼 수 없도록 개인신용정보를 처리(그 처리 결과가 다음 각 목의 어느 하나에 해당하는 경우로서 제40조의2제1항 및 제2항에 따라 그 추가정보를 분리하여 보관하는 등 특정 개인인 신용정보주체를 알아볼 수 없도록 개인신용정보를 처리한 경우를 포함한다)하는 것을 말한다.

가. 어떤 신용정보주체와 다른 신용정보주체가 구별되는 경우

나. 하나의 정보집합물(정보를 체계적으로 관리하거나 처리할 목적으로 일정한 규칙에 따라 구성되거나 배열된 둘 이상의 정보들을 말한다. 이하 같다)에서나 서로 다른 둘 이상의 정보집합물 간에서 어떤 신용정보주체에 관한 둘 이상의 정보가 연계되거나 연동되는 경우

다. 가목 및 나목과 유사한 경우로서 대통령령으로 정하는 경우

제15조(개인정보의 수집ㆍ이용)

③ 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용할 수 있다.

제32조(개인신용정보의 제공·활용에 대한 동의)

⑥ 신용정보회사등(제9호의3을 적용하는 경우에는 데이터전문기관을 포함한다)이 개인신용정보를 제공하는 경우로서 다음 각 호의 어느 하나에 해당하는 경우에는 제1항부터 제5항까지를 적용하지 아니한다.

9의4. 다음 각 목의 요소를 고려하여 당초 수집한 목적과 상충되지 아니하는 목적으로 개인신용정보를 제공하는 경우

가. 양 목적 간의 관련성

나. 신용정보회사등이 신용정보주체로부터 개인신용정보를 수집한 경위

다. 해당 개인신용정보의 제공이 신용정보주체에게 미치는 영향

라. 해당 개인신용정보에 대하여 가명처리를 하는 등 신용정보의 보안대책을 적절히 시행하였는지 여부

제28조의2(가명정보의 처리 등) ① 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다. 제32조(개인신용정보의 제공·활용에 대한 동의)

⑥ 신용정보회사등(제9호의3을 적용하는 경우에는 데이터전문기관을 포함한다)이 개인신용정보를 제공하는 경우로서 다음 각 호의 어느 하나에 해당하는 경우에는 제1항부터 제5항까지를 적용하지 아니한다.

9의2. 통계작성, 연구, 공익적 기록보존 등을 위하여 가명정보를 제공하는 경우. 이 경우 통계작성에는 시장조사 등 상업적 목적의 통계작성을 포함하며, 연구에는 산업적 연구를 포함한다.

제28조의3(가명정보의 결합 제한) ① 제28조의2에도 불구하고 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 서로 다른 개인정보처리자 간의 가명정보의 결합은 보호위원회 또는 관계 중앙행정기관의 장이 지정하는 전문기관이 수행한다.

② 결합을 수행한 기관 외부로 결합된 정보를 반출하려는 개인정보처리자는 가명정보 또는 제58조의2에 해당하는 정보로 처리한 뒤 전문기관의 장의 승인을 받아야 한다.

③ 제1항에 따른 결합 절차와 방법, 전문기관의 지정과 지정 취소 기준ㆍ절차, 관리ㆍ감독, 제2항에 따른 반출 및 승인 기준ㆍ절차 등 필요한 사항은 대통령령으로 정한다.

제17조의2(정보집합물의 결합 등) ① 신용정보회사등(대통령령으로 정하는 자는 제외한다. 이하 이 조 및 제40조의2에서 같다)은 자기가 보유한 정보집합물을 제3자가 보유한 정보집합물과 결합하려는 경우에는 제26조의4에 따라 지정된 데이터전문기관을 통하여 결합하여야 한다.

② 제26조의4에 따라 지정된 데이터전문기관이 제1항에 따라 결합된 정보집합물을 해당 신용정보회사등 또는 그 제3자에게 전달하는 경우에는 가명처리 또는 익명처리가 된 상태로 전달하여야 한다.

③ 제1항 및 제2항에서 규정한 사항 외에 정보집합물의 결합·제공·보관의 절차 및 방법에 대해서는 대통령령으로 정한다.

 

  • 가명처리의 개념, 애초 수집 목적 외의 추가적인 이용, (과학적) 연구 목적의 처리, 가명정보의 결합 등은 이번 개정의 핵심적인 내용임에도 불구하고 위 표에서 볼 수 있다시피 개인정보보호법과 신용정보보호법에서 다르게 규정하고 있음.
  • 궁극적으로는 신용정보보호법의 개정을 통해 이러한 혼란이 해소될 필요성이 있지만 일단 시행령이 이러한 혼란을 최소화하는 방향으로 개정되어야 함에도 불구하고 개인정보보호법 및 신용정보보호법의 시행령(안)을 보면 여전히 이러한 혼란을 부추기고 있음. 특히 가명정보의 결합 절차는 두 법에 따른 절차가 완전히 다르게 규정되어 있고 신용정보보호법 시행령(안)에서 이종간 데이터 결합을 허용하고 있어 오히려 개인정보보호법을 무력화할 우려도 존재함.
  • 개인정보보호법이 기본법이고 개인정보 보호위원회가 개인정보 정책의 컨트롤타워 역할을 하기 때문에, 신용정보보호법에서 달리 규정해야 할 특별한 이유가 없다면 기본적으로 개인정보보호법의 기준에 따라 신용정보보호법 및 시행령을 개정할 것을 권고함.

 

  1. 개인정보보호법 시행령(안)에 대한 의견

1) 개인정보보호위원회 관련 규정 검토

1-1) 보호위원회 위원의 겸직 금지

 

시행령(안)

제4조의2(겸직금지 등) ① 법 제7조의6제1항제3호에서 “대통령령으로 정하는 직”이란 보호위원회의 독립성을 저해하거나 보호위원회 위원으로서의 품위를 손상시킬 수 있는 직(職)을 말한다.

② 법 제7조의6제2항에 따른 “영리업무”란 보호위원회 위원이 다음 각 호의 어느 하나에 해당하는 일을 수행하면서 재산적 이득을 취하는 것을 말한다.

1. 법 제40조에 따른 개인정보에 관한 분쟁과 관련된 업무

2. 보호위원회가 법 제7조의9제1항에 따라 심의・의결하는 사항과 관련된 업무

 

  • 개정 개인정보보호법 제7조의6 겸직금지의 취지는 보호위원회의 독립성・공공성을 위한 것이며, 국가인권위원회와 감사원 등도 이러한 취지로 유사한 규정을 갖고 있음. 그런데 시행령(안) 제4조의2는 타 법의 관련 조항에 비해 추상적으로만 규정되어 있음. 예를 들어 국가인권위원회법은 상임위원과 비상임위원으로 나누어 겸직금지의 직을 구체화하고 있음.

 

국가인권위원회 인권위원의 겸직금지에 관한 규칙

제2조(겸직금지의 범위) ① 인권위원 중 상임위원은 다음 각 호의 1에 해당하는 직 또는 업무에 종사할 수 없다.

1. 국가기관·지방자치단체 또는 정부투자기관이 설치·운영하는 각종 위원회의 위원

2. 법인·단체 등의 고문·임원 또는 직원의 직. 다만, 국가인권위원회 위원장이 인권위원으로서의 품위를 손상시키지 않고, 업무수행에 지장을 주지 않는다고 판단하여 허가한 경우는 예외로 한다.

3. 다음 각 호의 1에 해당하는 금전상의 이익을 목적으로 하는 업무에 종사하는 일

가. 상업·공업·금융업 기타 영리적인 업무를 경영하는 일

나. 상업·공업·금융업 기타 영리를 목적으로 하는 사기업체의 이사·감사·업무를 집행하는 무한책임사원·발기인 등 임원이 되거나 지배인 기타 사용인이 되는 일

다. 그 직무와 관련이 있는 타인의 기업에 투자하는 일

라. 기타 계속적으로 재산상의 이득을 목적으로 하는 업무에 종사하는 일

4. 기타 국가인권위원회(이하 “인권위원회”라 한다)의 독립성을 저해하거나 인권위원으로서의 품위를 손상시킬 수 있는 직 또는 업무

② 인권위원 중 비상임위원은 다음 각 호의 1에 해당하는 직 또는 업무에 종사할 수 없다.

1. 다른 국가기관, 지방자치단체 또는 정부투자기관에서 운영하는 위원회 중 인권위원회의 업무와 특별한 이해관계가 있다고 판단되는 각종 위원회의 위원

2. 기타 인권위원회의 독립성을 저해하거나 인권위원으로서의 품위를 손상시킬 수 있는 직 또는 업무

③ 인권위원은 인권위원으로 임명된 날로부터 30일 이내에 자신이 종사하고 있는 직 또는 업무에 관한 사항을 인권위원회에 신고하여야 한다.

④ 인권위원이 인권위원으로 임명된 후 새로운 직 또는 업무에 종사하고자 하는 때에는 미리 인권위원회에 신고하여야 한다.

⑤ 인권위원회 위원장은 제3항 및 제4항의 규정에 의한 신고 내용이 제1항 또는 제2항에 해당되는지 여부에 관하여 의문이 있는 경우에는 이를 전원위원회에 회부하여야 하고, 그 해당여부에 관하여는 전원위원회의 의결로 정한다.

 

  • 시행령(안)은 영리활동 금지와 관련해서도 개인정보 분쟁업무 및 심의・의결하는 사항과 관련된 업무로만 제한하고 있음. 그런데 법 제7조의8은 보호위원회의 소관업무 전체를 규정하고 있는 바, 보호위원회의 영리활동 금지 대상에 소관업무 전체가 포함될 필요가 있음.
  • 국가인권위원회 인권위원의 겸직금지에 관한 규칙을 참조하여, 보호위원회 위원의 겸직금지 범위를 구체화하고 비상임위원의 새롭게 종사하게 된 업무를 신고하게 하는 등 관련 규정을 둘 필요가 있음. 또한, 영리활동 금지 업무에 ‘법 제7조의8에 따른 보호위원회의 소관업무’를 포함해야 함.

 

1-2) 전문위원회

 

시행령(안)

제5조(전문위원회) ① 보호위원회는 법 제7조의9제1항에 따른 심의・의결 사항에 대하여 사전에 전문적으로 검토하기 위하여 보호위원회에 분야별 전문위원회(이하 “전문위원회”라 한다)를 둘 수 있다.

② 제1항에 따라 전문위원회를 두는 경우 각 전문위원회는 위원장 1명을 포함한 20명 이내의 위원으로 구성하되, 전문위원회 위원은 다음 각 호의 사람 중에서 보호위원회의 동의를 받아 보호위원회 위원장이 임명하거나 위촉하고, 전문위원회 위원장은 보호위원회 위원장이 전문위원회 위원 중에서 지명한다.

1. ~ 4. (생  략)

③ 전문위원회의 회의는 재적위원 과반수의 출석으로 개의(開議)하고, 출석위원 과반수의 찬성으로 의결한다.

 

  • 시행령(안)은 전문위원회 위원의 임명 혹은 위촉 과정에서 ‘보호위원회의 동의를 받’는 절차를 생략하고 위원장 단독으로 임명이나 위촉할 수 있도록 하였으며, 전문위원회의 출석 및 의결정족수 규정을 삭제하였음.
  • 이번 법 개정으로 개인정보보호위원회는 방송통신위원회처럼 합의제 행정위원회일뿐 아니라 독임제 행정기관으로서의 위상 또한 갖추게 되었음. 위원장의 권한도 매우 강력해졌는데 위원장이 상임위원이 되었을 뿐만 아니라, 법 제7조의8에서 규정한 보호위원회의 소관사무를 관장하게 될 것이기 때문임.특히 위원장은 과거 “공무원이 아닌 사람”으로부터 이제 보호위원회의 감독대상인 중앙 행정부처의 공무원이 임명될 가능성을 배제할 수 없음. 또한, 보호위원회의 상당수의 근무 인력이 부처파견 공무원으로 구성될 수 있는 상황에서 위원장의 독단적 권한 행사가 많아질 경우 주요 개인정보처리자인 행정부처에 대한 감독 기능이 약해질 수 있음. 따라서 보호위원회가 독립적인 개인정보 감독기구로서 제 역할을 제대로 수행하기 위해서는 비상임 위원들의 역할이 중요함. 즉 다양성과 전문성을 보완해주는 동시에 보호위원회가 독립적으로 운영될 수 있도록 상임위원 및 사무국을 견제하는 역할을 수행할 필요가 있으며, 따라서 보호위원회가 합의제 행정위원회로서의 성격을 강화하는 것이 바람직함. 예를 들어 많은 국민의 공분을 사고 있는 n번방 사건의 경우 행정안전부의 새올시스템 관리 자체가 논란의 대상이 된 만큼 보호위원회의 감독기능은 행정안전부 등 각 부처로부터 인적으로 독립적이어야 할 뿐 아니라 민간에서 선출된 위원들의 의결구조를 통해 보호위원회의 감독기능이 올바르게 행사될 수 있도록 견제 구조를 갖추는 것이 바람직함.
  • 전문위원회 위원의 임명, 위촉 과정에서 보호위원회의 동의를 받는 과정을 생략할 경우, 자칫하면 위원장이 선호하는 인사를 독단적으로 임명할 가능성을 배제할 수 없음.
  • 전문위원회는 “심의・의결 사항에 대하여 사전에 전문적으로 검토”하는 역할을 맡고 있는 바, 사실상 심의・의결 사항에 대해 막대한 영향을 미칠 가능성이 큼. 따라서 전문위원의 회의는 민주적으로 운영되어야 하며, 비록 국가기록원에 의한 회의록 작성 대상이 아니라 하더라도 국민과 국회 등의 요청에 따른 공개에 응할 수 있도록  항상 기록을 남기는 등 투명성을 유지할 필요가 있음. 출석 및 의결정족수 규정을 삭제한다면 자칫 전문위원회가 편의적으로 운영될 우려가 있음. 이 문제가 위원 임명 과정과 결합하면 최악의 경우 위원장이 독단적으로 위원을 임명하고 특정 심의・의결 사항에 영향을 미치기 위해 전문위원회의 의견을 자의적으로 활용할 가능성을 배제할 수 없음.
  • 보호위원회의 동의를 받아 위원을 임명, 위촉하는 규정 및 전문위원회의 출석, 의결정족수 규정은 현행 유지할 것을 권고함.

 

1-3) 보호위원회 의사 공개

 

현행 시행령

제6조(의사의 공개) 보호위원회의 의사(議事)는 공개한다. 다만, 보호위원회 위원장이 필요하다고 인정하는 경우에는 공개하지 아니할 수 있다.

 

  • 의사의 공개에 대한 현행 시행령은 개정안에 포함되지 않았음. 그런데 정보의 흐름과 통제를 다루는 보호위원회는 어느 정부부처보다 투명하고 민주적으로 운영될 필요가 있음
  • 나아가 현행 규정 또한 다른 기관과 비교해보았을 때 투명성 규정이 매우 미흡함. 위원회의 결정이 아니라 ‘위원장’이 필요하다고 인정하기만 하면 공개하지 않을 수 있으며, 비공개를 해야할 사유도 명확하지 않음.
  • 국가인권위원회와 방송통신위원회는 위원회 의사의 공개를 ‘법에서’ 다음과 같이 규정하고 있음. 특히 방송통신위원회의 경우 위원회 의결이 있어야 비공개할 수 있을 뿐만 아니라 비공개할 수 있는 사유를 구체적으로 규정하고 있음.

 

국가인권위원회법

제14조(의사의 공개) 위원회의 의사는 공개한다. 다만, 위원회, 상임위원회 또는 소위원회가 필요하다고 인정하면 공개하지 아니할 수 있다.

방송통신위원회의 설치 및 운영에 관한 법률

제13조(회의)

④ 위원회의 회의는 공개한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 위원회의 의결로 공개하지 아니할 수 있다.

1. 공개하면 국가안전보장을 해칠 우려가 있는 경우

2. 다른 법령에 따라 비밀로 분류되거나 공개가 제한된 내용이 포함되어 있는 경우

3. 공개하면 개인ㆍ법인 및 단체의 명예를 훼손하거나 정당한 이익을 해칠 우려가 있다고 인정되는 경우

4. 감사ㆍ인사관리 등에 관한 사항으로 공개하면 공정한 업무수행에 현저한 지장을 초래할 우려가 있는 경우

 

  • 보호위원회 역시 의사 공개 여부에 대한 판단을 다른 기관에서와 같이 위원장 독단이 아니라 위원회의 결정에 의하고 비공개할 수 있는 사유를 구체적으로 규정할 필요가 있음. 장기적으로는 시행령이 아니라 법률에서 규정해야 함.

 

1-4) 개인정보 보호위원회 관련 기타 사항

 

  • 개인정보 감독기구로서 개인정보보호위원회의 헌법적 책무는 개인정보 처리자의 개인정보처리로부터 국민인 정보주체의 개인정보자기결정권을 보호하는 데 있음. 이에 유럽사법재판소는 개인정보감독기구를 “기본권의 수호자”로 설시해 왔음.
  • 보호위원회 위원 및 자문위원회 등 개인정보 감독기구의 인적 구성에 있어서도 이러한 취지를 반영할 필요가 있음. 향후 보호위원회 공무원 정원배정 및 직제시행규칙을 마련함에 있어 개방직을 확대하여 인권 전문가를 채용할 필요가 있음.

 

2) 개인정보의 추가적인 이용·제공 기준

 

시행령(안)

제14조의2(개인정보의 추가적인 이용·제공 기준 등) 법 제15조제3항 및 법 제17조제4항에서 “대통령령으로 정하는 바”란 다음 각 호의 사항을 모두 충족하는 경우를 말한다. 이 경우 법 제17조제4항에 관하여는 ‘이용’을 ‘제공’으로 본다.

1. 개인정보를 추가적으로 이용하려는 목적이 당초 수집 목적과 상당한 관련성이 있을 것

2. 개인정보를 수집한 정황과 처리 관행에 비추어 볼 때 추가적으로 이용할 수 있을 것으로 예측 가능할 것

3. 개인정보의 추가적 이용이 정보주체 또는 제3자의 이익을 부당하게 침해하지 아니할 것

4. 가명처리를 하여도 추가적 이용 목적을 달성할 수 있는 경우에는 가명처리하여 이용할 것

 

  • 이 조항이 개인정보의 법 제15조 제3항 및 법 제17조제4항에 신설된 개인정보의 ‘추가적인 이용·제공’에 관련된 것임을 고려할 때, 개인정보처리자의 자의적인 해석에 따라 개인정보가 애초 수집 목적 외로 무분별하게 활용될 위험성이 매우 큼. 따라서 시행령에서 추가적인 이용·제공의 조건을 엄격하게 규정해줄 필요가 있는데, 무엇보다 정보주체의 합리적인 기대를 벗어나지 않도록 해야 함. 즉, 정보주체가 합리적으로 예상할 수 있는 범위 내에서 추가적인 이용이 이루어진다면, 또 다시 동의를 해야 하는 정보주체의 부담을 오히려 완화해주는 효과가 있지만, 정보주체가 기대하는 범위를 넘어선다면 이는 정보주체의 개인정보 자기결정권을 침해하는 결과가 될 것임. 따라서 시행령(안)의 조건들이 개인정보처리자에게 수집 목적 외로 폭넓게 이용할 수 있다는 잘못된 신호를 주어서는 안되며, 정보주체의 합리적인 기대를 벗어나 목적 외 활용을 정당화한다면 이는 법률에서 위임한 범위를 벗어난 것임.
  • 개정 조항의 모델이 되고 있는 유럽연합 개인정보보호법(GDPR)의 경우에는 제6조 4항 양립가능한 처리의 고려사항으로 (a) 수집 목적과 의도된 추가처리 목적 간의 연관성; (b) 특히 정보주체와 정보처리자 관계의 맥락에서 개인정보가 수집된 상황; (c) 특히 개인정보의 성격이 제9조의 특정 범주의 개인정보의 처리 여부, 또는 제10조의 범죄경력 및 범죄행위와 관련한 개인정보의 처리 여부; (d) 의도된 추가처리가 정보주체에 초래할 수 있는 결과; (e) 암호처리(encryption) 및 가명처리(pseudonymisation) 등 적절한 보호수단의 유무를 제시하고 있음.
  • 시행령(안) 제2호의 경우 “수집한 정황과 처리 관행”이라는 표현은 개인정보처리자 관점의 판단을 함축하고 있음. 왜냐하면 정보주체의 입장에서는 개인정보처리자 내부적인 처리 관행을 파악하기 힘들기 때문임. 수집한 정황, 처리의 관행이 정보주체의 관점을 반영하여 객관적으로 정보주체가 합리적으로 기대할 수 있는 범위 내여야 함을 드러낼 수 있도록 수정될 필요가 있음.
  • 시행령(안)은 민감정보인지 여부에 대해 특별히 고려하고 있지 않음. 민감정보의 경우 특별한 보호가 필요하다는 점을 고려할 때, 민감정보의 경우 더욱 엄격하게 해석될 수 있도록 할 필요가 있음.
  • 법 제3조(개인정보 보호원칙)는 가급적 익명처리의 원칙을 표방하고 있음. GDPR에서도 가명처리는 여러 안전조치의 하나로 규정하고 있음. 따라서 시행령(안)의 제4호에서 굳이 가명처리만을 언급할 필요는 없어 보이며, 그보다는 ‘가명처리를 포함한 안전조치’로 확대하는 것이 바람직함.
  • 무분별한 목적 외 활용을 방지하기 위해서는 개인정보의 ‘추가적인 이용·제공’이 정보주체가 합리적으로 기대할 수 있고 정보주체의 이익을 침해하지 않는 범위 내에서 이루어질 수 있도록 엄격하게 규정되어야 함. 민감정보인지 여부 역시 고려대상에 포함되어야 함.

 

3) 민감정보의 범위

 

시행령(안)

제18조(민감정보의 범위) 법 제23조제1항 각 호 외의 부분 본문에서 “대통령령으로 정하는 정보”란 다음 각 호의 어느 하나에 해당하는 정보를 말한다. 다만, 공공기관이 법 제18조제2항제5호부터 제9호까지의 규정에 따라 다음 각 호의 어느 하나에 해당하는 정보를 처리하는 경우의 해당 정보는 제외한다.

1. ~ 2. (현행과 같음)

3. 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보

4. 인종이나 민족에 관한 정보로서 해당 정보의 처리 목적이나 상황에 비추어 개인을 부당하게 차별할 우려가 있는 정보

 

  • 생체인식정보, 인종 및 민족에 관한 정보를 민감정보의 범위에 포함시킨 것은 긍정적임. 다만, 시행령에 규정된 민감정보는 행정부처의 자의적인 판단에 좌우되지 않도록 향후 법에 규정될 수 있도록 할 필요가 있음.
  • 다른 민감정보는 사상ㆍ신념, 노동조합ㆍ정당의 가입ㆍ탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 유전정보, 범죄경력자료에 해당하는 정보와 같이 해당 정보 자체를 지칭하고 있는데, 4호의 인종이나 민족에 관한 정보의 경우에만 “해당 정보의 처리 목적이나 상황에 비추어 개인을 부당하게 차별할 우려가 있는 정보”로 한정해서 규정하고 있음. 이렇게 규정하면 인종이나 민족에 관한 정보가 민감정보에 포함되는지에 대해 개인정보처리자가 일단 자의적인 판단을 할 수밖에 없음. 이는 다른 민감정보와의 형평성이 맞지 않고 정보 그 자체의 민감성 때문에 특별한 보호를 하고 있는 민감정보의 취지에도 부합하지 않음. GDPR에서도 제9조 Processing of special categories of personal data 에서 ‘personal data revealing racial or ethnic origin’으로만 규정하고 있음.
  • 또한 현행 시행령은 법률에 근거를 두지 않은 단서조항으로 “다만, 공공기관이 법 제18조제2항제5호부터 제9호까지의 규정에 따라 다음 각 호의 어느 하나에 해당하는 정보를 처리하는 경우의 해당 정보는 제외한다.”를 규정하고 있음. 이는 법률이 엄격하게 보호하고 있는 국민의 민감정보에 대한 보호를 공공기관의 편의에 따라 제외하도록 한 조항으로서, 법률에서 위임한 범위를 명백히 일탈하고 민감정보 보호 범위에 대한 해석상 혼란을 낳고 있음. 이는 이번 시행령 개정안에 포함된 것은 아니지만 그동안 비판이 제기되어 온 규정이므로 이번 기회에 수정될 필요가 있음.
  • 4호를 ‘인종이나 민족에 관한 정보’로 만 규정할 것을 권고함. 또한 법률에 근거를 두지 않고 있는 단서 조항은 삭제하는 것이 바람직함

 

4) 고유식별정보의 범위에서 주민등록번호 제외

 

현행 시행령

제19조(고유식별정보의 범위) 법 제24조제1항 각 호 외의 부분에서 “대통령령으로 정하는 정보”란 다음 각 호의 어느 하나에 해당하는 정보를 말한다. 다만, 공공기관이 법 제18조제2항제5호부터 제9호까지의 규정에 따라 다음 각 호의 어느 하나에 해당하는 정보를 처리하는 경우의 해당 정보는 제외한다.

1. 「주민등록법」 제7조의2제1항에 따른 주민등록번호

2. ~ 4. (생략)

 

  • 주민등록번호의 경우 제정 시행령으로부터 고유식별정보의 하나로 열거되어 있었으나, 2014년 8월 개정 시행된 법에서 주민등록번호 법정주의를 시행함에 따라 법 제24조의2 (주민등록번호 처리의 제한) 신설로 주민등록번호 처리에 대한 규정이 별도로 마련되었음. 이에 주민등록번호의 처리는 (1) 법령 등에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우 (2) 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우로 그 제한이 강화되고 정보주체의 동의에 따른 처리가 금지되었음
  • 그럼에도 현행 시행령 제19조에서 주민등록번호가 여전히 고유식별정보로 열거되어 있는 바, 타법 하위법령이나 민간업체들의 처리 규범에서 주민등록번호를 고유식별번호로 오해하고 정보주체로부터 동의받은 후 처리하는 관행이 잔존해 왔음
  • 주민등록번호 처리의 제한에 대한 혼란을 없애기 위하여 현행 시행령 제19조 고유식별번호에 대한 열거조항에서 주민등록번호(제1호)를 삭제할 필요가 있음

 

5) 가명정보의 결합

 

시행령(안)

제29조의2(개인정보처리자 간 가명정보의 결합 등) ① 법 제28조의3제1항에 따른 전문기관(이하 “결합전문기관”이라 한다)에 가명정보의 결합을 신청하려는 개인정보처리자(이하 “결합신청자”라 한다)는 보호위원회가 정하여 고시하는 결합신청서를 해당 결합전문기관에 제출하여야 한다.

② 결합전문기관은 특정 개인을 알아볼 수 없도록 보호위원회가 정하여 고시하는 절차와 방법에 따라 가명정보를 결합하여야 한다. 이 경우 보호위원회는 결합전문기관이 특정 개인을 알아볼 수 없도록 하는데 필요한 지원업무를 한국인터넷진흥원이 수행하도록 할 수 있다.

③ 결합신청자는 보호위원회가 정하여 고시하는 바에 따라 결합전문기관에 설치된 안전성 확보에 필요한 기술적·관리적·물리적 조치가 된 공간(이하 “분석공간”이라 한다)에서 제2항에 따라 결합된 정보를 분석할 수 있다.

④ 제3항에도 불구하고 분석공간에서는 결합 목적을 달성하기 어렵거나 분석공간의 이용이 어려운 경우로서 결합신청자가 제2항에 따라 결합된 정보의 반출을 신청하는 경우, 결합전문기관은 개인을 다시 알아볼 가능성 등을 고려하여 보호위원회가 정하여 고시하는 바에 따라 평가한 후 반출을 승인할 수 있다.

⑤ 결합전문기관은 이 조에 따른 결합, 반출 등에 필요한 비용을 결합신청자에게 청구할 수 있다.

⑥ 제1항부터 제5항까지 규정한 사항 외에 가명정보 결합 절차와 방법, 반출 및 승인 등에 필요한 세부사항은 보호위원회가 정하여 고시한다.

 

  • 개인정보의 결합과 관련하여, 해외에서는 서로 다른 공공기관이 보유하고 있는 개인정보를 결합하여  ‘학술연구’ 목적의 연구자에게 제공하기 위해 별도의 전문기관을 두거나 통계청이 이러한 역할을 하는 사례를 찾아볼 수 있는데, 이 경우에도 개인정보의 안전한 활용을 위한 상세한 데이터 거버넌스 체제를 구축하고 있음. 각 국가마다 구체적인 구현 방식이 다르기는 하지만, 대체적으로 해당 연구 프로젝트가 적절한 학술적 가치를 가지고 있는지 및 프로젝트에 필요한 최소한의 정보만을 제공하는지 심사하는 절차, 해당 연구자가 개인정보 보호를 위한 적절한 교육과 훈련을 이수하였는지 심사하거나 보안 서약을 받는 절차, 개인정보를 보유하고 있는 기관과 결합키를 제공하는 기관(통상 ‘신뢰할 수 있는 제3자’ Trusted Third Party 라고 지칭함), 연구자에게 결합된 데이터를 제공하는 기관을 분리하기 위한 절차, 안전한 공간 내에서 결합 데이터에 접근할 수 있도록 하기 위한 보안 요구조건, 연구 결과물에 개인정보가 포함되어 있는지 점검하는 절차 등으로 이루어져 있음. 그러나 시행령(안) 제29조의2에서 규정하고 있는 절차나 요구조건은 해외에서 ‘학술 연구’에 적용되는 제반 안전조치에도 미치지 못할 정도로 미흡한 수준임.
  • 정보주체 동의 없이 개인정보처리자 간 가명정보를 결합하는 것은 결국 헌법에서 보장하고 있는 정보주체의 개인정보 자기결정권을 제한하는 것이기 때문에 그 목적은 정당하고 수단은 적합하며 침해는 최소한이어야 하고 법익은 균형적이어야 함. 뉴질랜드 통계청, 영국 ADRN 등 해외 여러나라는 △연구자의 안전성(Safe people), △사업 목적의 안전성(Safe project), △안전조치(Safe data) △보안시설(Safe environment/settings), △결과물의 안전성(Safe results/output) 등 5가지 단계의 안전조치를 갖추도록 하고 있음(예) 뉴질랜드 통계청 IDI의 원칙
  • 법 제28조의3에 따르면 전문기관의 가명정보 결합은 “통계작성, 과학적 연구, 공익적 기록보존 등을 위”한 목적으로 수행되어야 함. 그런데 시행령(안)에서는 이러한 목적으로 가명정보의 결합 신청이 이루어진 것인지 판단하는 절차가 존재하지 않음. 이렇게 될 경우 목적 여부를 불문하고 결합신청서의 형식적 요건만 충족하면 모든 신청에 대해서 결합을 허용하는 결과를 초래하며, 결국 법에서 규정한 목적 규정을 형해화할 위험이 있음. 시행령이 이러한 위험을 최소화하고 법률에서 위임한 절차를 충실히 마련하기 위해서는 전문기관 내에 (가칭) 연구평가위원회를 구성하여 해당 결합 신청이 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 목적에 부합하는지, 더불어 결합의 대상이 되는 가명정보가 해당 목적을 달성하기 위한 최소한의 데이터인지 심사하는 절차를 둘 필요가 있음.
  • (가칭)연구평가위원회에서의 심사 기준으로서 그리고 개인정보처리자의 혼란을 방지하기 위해, ‘과학적 연구’가 포괄하는 범위가 어디까지인지 보다 구체적인 기준을 제시할 필요가 있음. 단지 개인정보처리자가 ‘과학적 연구’라고 주장하는 것으로는 불충분하며 해당 분야의 방법론이나 윤리적 기준을 준수하는지, 연구 결과물이 사회의 지식 기반 확대에 기여하는지 등을 종합적으로 고려할 필요가 있음.
  • 결합된 가명정보를 접근, 처리할 연구자는 개인정보 보호의 중요성과 이에 필요한 조치에 대해 충분히 인지하고 있을 필요가 있음. 해외에서는 연구자를 위한 교육 및 훈련을 시행하고 있으며, 이 과정을 이수한 연구자에게만 데이터에 대한 접근을 허용하기도 함. 국내에서도 연구자가 개인정보 관련 교육 및 훈련을 받을 수 있도록 전문기관이 관련 프로그램을 제공하고 필요할 경우 교육을 받았음을 인증할 수 있는 제도를 운영할 필요가 있음. 또한 이와 별개로 가명정보의 결합 및 결합 데이터에 대한 접근을 요구하는 기관 및 연구자에게 개인정보 보호 이행을 서약할 수 있는 절차가 마련되어야 함.
  • 원래의 개인정보 보유기관, 서로 다른 가명정보의 결합키를 제공하는 기관, 결합된 가명정보를 연구자(결합신청자)에게 제공하는 기관(본 시행령안에서는 결합전문기관)은 서로 분리하는 것이 원칙임(기능분리 원칙 / 개인정보보호위원회 결정 제2017-15-125호). 즉, 결합키 생성기관과 이를 결합하여 제공하는 기관이 식별정보와 속성정보 모두에 접근할 수 없도록 해야 함. 행정안전부 등 관계부처가 합동으로 발표한 보도자료(<데이터 3법 시행령 입법예고 주요사항>, 2020.3.31)에 따르면, 결합에 필요한 연계정보를 생성하는 ‘신뢰할 수 있는 제3자’ 역할을 한국인터넷진흥원이 수행하는 것으로 되어 있으나 시행령에서는 “특정 개인을 알아볼 수 없도록 하는데 필요한 지원업무”로 표현되어 있어 명확하지 않음. 시행령의 표현대로라면 한국인터넷진흥원이 ‘신뢰할 수 있는 제3자’ 역할이 아니라, 단지 비식별조치를 지원하는 역할에 중점을 둔 것으로 해석이 됨. 이렇게 될 경우 결합신청자가 결합키의 생성에 관여하거나 혹은 결합전문기관이 식별정보와 속성정보 모두에 접근할 수 있는 위험이 존재함.
  • 신용정보보호법 시행령(안)에서도 결합키를 삭제하도록 하고 있는데 개인정보보호법 시행령(안)에서는 관련 규정이 없음. 가명정보의 결합 후에 연구자에게 제공하기 전에 결합키를 삭제하고 제공하는 것이 더 안전성 확보에 도움이 될 것임.
  • 2016년 <개인정보 비식별조치 가이드라인>에서와 달리 ‘분석공간’ 내에서 분석하는 것을 원칙으로 한 것은 긍정적임. 하지만 ‘분석공간에서는 결합 목적을 달성하기 어렵거나 분석공간의 이용이 어려운 경우’에는 반출을 할 수 있도록 하고 있어, 자칫 분석공간 내에서 분석을 한다는 원칙이 무의미해질 가능성이 있음. 결합 데이터가 반출될 경우 원래의 개인정보보유자가 가명처리된 데이터를 재식별할 위험이 매우 큼.
  • 결합데이터 반출이 극히 예외적으로만 허용되기 위해서는 그 기준이 명확해야 함. 그런데 법률에도 그 기준이 나와있지 않고, 시행령(안)에서도 “분석공간에서는 결합 목적을 달성하기 어렵거나 분석공간의 이용이 어려운 경우”, “개인을 다시 알아볼 가능성 등을 고려”하도록 할 뿐, 다시 ‘고시’로 구체적인 판단 기준을 위임하고 있음. 최소한 시행령에서 어떤 경우에 반출이 허용되는지에 대한 기준과 요건을 명확하게 규정할 필요가 있음. 특히 법률에서 “가명정보 또는 제58조의2에 해당하는 정보(익명정보)로 처리한 뒤” 반출하도록 한 바, 어떤 경우가 가명정보 또는 익명정보로 반출이 가능한지 구체적으로 규정해야 함. 특히 결합물이 개인정보에 해당하는 가명정보 상태로 반출될 경우 익명정보 반출보다 국민의 개인정보 자기결정권에 미치는 영향이 심대하므로, 원칙적으로 익명정보로 반출하도록 하되 예외적인 사유에 한해 가명정보로 반출하도록 구체적으로 제한해야 함.
  • 개정 법 제3조 7항은 “개인정보처리자는 개인정보를 익명 또는 가명으로 처리하여도 개인정보 수집목적을 달성할 수 있는 경우 익명처리가 가능한 경우에는 익명에 의하여, 익명처리로 목적을 달성할 수 없는 경우에는 가명에 의하여 처리될 수 있도록” 하고 있음. 따라서 결합된 데이터는 반드시 가명정보일 필요는 없으며 익명처리로 목적을 달성할 수 있을 경우에는 익명처리되어야 함. (가칭)연구평가위원회는 연구 프로젝트에 대한 평가 뿐만 아니라, 결합된 데이터가 최소화의 원칙을 준수하고 있는지 역시 평가할 필요가 있음.
  • 결합된 데이터는 목적 달성 후에 폐기되어야 하며, 이에 관한 규정이 시행령에 포함되어야 함.
  • 비록 가명정보 결합이 정보주체의 동의없이 이루어지기는 하지만 정보주체의 최소한의 권리 보장 및 가명절차의 투명한 관리를 위해 특정 가명정보 결합에 대한 정보가 전문기관 홈페이지를 통해 공개되어야 함. 해외에서도 특정 기관이 지원한 학술 연구 결과물을 홈페이지에 공개하는 사례를 찾아볼 수 있음. 해당 연구의 목적, 연구의 기간, 연구기관 및 책임자,  결합에 활용된 가명정보를 보유한 개인정보처리자, 결합의 건수 및 사용된 항목 등 관련 정보 일체를 공개하도록 할 필요가 있음.
  • 보호위원회는 전문기관을 통한 가명정보 결합 과정에서 개인정보 침해 위험은 없는지  전문기관을 자문하고 감독해야 함. 결합 데이터의 반출 승인이 필요할 경우, 전문기관이 아니라 보호위원회가 승인하는 방안을 검토할 필요가 있음.
  • 과학적 연구 프로젝트에 대한 심사로부터 연구결과물에 대한 검토까지 보호위원회가 개인정보의 안전한 결합과 활용을 위한 데이터 거버넌스를 제대로 구축할 필요가 있음.

 

6) 가명정보 등의 안전성 확보조치

 

시행령(안)

제29조의5(가명정보 등의 안전성 확보조치 등) ① 개인정보처리자는 법 제28조의4제1항에 따라 가명정보 및 추가 정보에 대하여 다음 각 호의 안전성 확보에 필요한 조치를 하여야 한다.

1. 내부 관리 계획의 수립·시행 등 제30조에 따른 개인정보의 안전성 확보 조치(이 경우 “법 제29조”는 “법 제28조의4제1항”으로, “개인정보”는 “가명정보 및 추가 정보”로 보며, 법 제28조의3제2항에 따라 반출한 가명정보를 포함한다)

2. 추가 정보의 별도 분리 보관 및 추가 정보에 대한 접근 권한 분리

3. 가명정보 또는 추가 정보에 대한 접근 권한 관리 및 물리적·기술적 안전조치에 관한 내부 관리 계획 수립·시행

② 개인정보처리자가 가명정보를 처리하고자 하는 경우 가명정보의 처리 목적, 처리 및 보유기간, 추가 정보의 이용 및 파기 등 보호위원회가 정하여 고시하는 사항을 작성하여 보관하여야 한다.

③ 개인정보처리자는 가명정보의 처리 목적이 달성되거나 가명정보 보유 기간이 경과한 때에는 그 가명정보를 지체 없이 파기하여야 한다. 이 경우, 해당 가명정보는 제16조제1항제1호·제2호의 구분에 따른 방법으로 파기하여야 한다.

 

  • 가명정보의 처리 역시 개인정보의 처리에 해당하므로 개인정보처리자가 홈페이지를 통해 공개하는 개인정보 보호정책에 그 처리 내용, 즉 개인정보의 가명처리 혹은 가명정보의 처리가 이루어지는 목적, 처리 및 보유기간, 제3자 제공시 가명정보를 제공받는 대상 등이 공개되어야 함. 시행령(안) 제29조의5 2항은 관련 사항의 ‘보관’만을 규정하고 있는데, 보관을 넘어 홈페이지를 통해 공개되어야 함. 그래야 정보주체가 자신의 개인정보가 가명처리되는지, 가명정보가 누구에게 제공되는지에 대한 정보를 제공받을 수 있음.
  • 가명정보의 처리 목적 달성 후에 지체없이 파기하도록 한 것은 긍정적임. 그러나 처리 목적이 지나치게 폭넓게 규정될 경우 파기 조항이 무의미해질 수 있음. 예를 들어, A라는 특정 연구 목적이 아니라 포괄적으로 ‘인공지능 연구목적’으로 규정하면 거의 무기한 보관할 수도 있음. 따라서 가명정보가 무기한 보관되지 않도록 가명정보 처리 목적을 구체적으로 규정하도록 해야 함.
  • 시행령(안) 제29조의5의 ‘개인정보처리자’는 자신이 보유한 개인정보를 가명처리한 처리자 뿐만 아니라 다른 처리자로부터 가명정보 형태로 제공받은 개인정보처리자까지 포함한 것임을 명확히 해야 함. 가명정보를 제공받은 개인정보처리자는 추가 정보를 보유하고 있지 않겠지만, 제공받을 때 처리 목적, 보유기간 등을 규정할 수 있을 것이며, 홈페이지 개인정보 보호정책 통해 누구로부터, 어떠한 목적으로 가명정보를 제공받았는지 공개할 수 있을 것임.
  • 가명정보가 무기한 보관되지 않도록 가명정보 처리 목적을 구체적으로 규정하도록 시행령의 문구를 보완할 것을 권고함.

 

  1. 신용정보보호법 시행령(안)에 대한 의견

 

1) 금융위원회 고시로의 지나친 재위임

 

  • 신용정보법의 여러 조항들은 국민의 권리(개인정보자기결정권 등)와 직접 관련된 것이므로 중요한 사항은 법률에 직접 정해야 하고, 위임을 하더라도 구체적으로 범위를 정하여 시행령에 위임하여야 함. (법률 ==> 시행령) 그리고 이와 같이 법률에서 위임받은 시행령은 시행령 자체에서 위임받은 사항에 대하여 구체적으로 정해야하고, 이를 고시에 재위임하는 것은 자제되어야 함. 특히 법률이 시행령에 위임하였는데, 시행령에서 더 구체화하지 않고 그대로 고시에 재위임하는 것은 위법 소지가 다분함. (시행령 ==> 고시)
  • 그런데 신용정보보호법 시행령(안)은 많은 조항에서 법에서 위임받은 주요 부분을  고시로 재위임하고 있음. 이에 따라 주요 내용이 법이나 시행령이 아니라 지나치게 하위 규범에서 정해지고 법령의 정확한 내용을 파악하기 힘들어지며 고시에 어떠한 내용이 규정될 지 모호하여 법적 불안정성이 커짐.
  • 금융위원회 고시로의 재위임은 최소화해야 함.

 

1-1) 재위임 일반적인 문제

 

  • 시행령에서 구체적으로 충분히 정할 수 있음에도 불구하고 시행령에서 정하지 않고 고시에 재위임한 문제점. (다만, 대체로 열거를 어느 정도한 후 “그밖에 금융위원회가 정하여 고시하는”라고 하고 있기는 함.)

 

[유사한 구조의 조항들]

법 제11조(겸영업무) 제2항 제4호와 시행령 제11조 제1항 제5호

법 제11조 제3항 제4호와 시행령 제11조 제2항 제4호

법 제11조 제4항 제3호와 시행령 제11조 제3항 제9호

법 제11조 제6항 제2호와 시행령 제11조 제5항 제7호

법 제11조의 2(부수업무) 제2항 제6호와 시행령 제11조의 2(부수업무) 제1항 제7호,

법 제11조의 2 제4항 제5호와 시행령 제11조의 2 제2항 제10호

법 제11조의 2 제5항 제3호와 시행령 제11조의 2 제3항 제3호

법 제11조의 2 제6항 제4호와 시행령 제11조의 2 제4항 제5호

법 제20조(신용정보 관리책임의 명확화 및 업무처리기록의 보존) 제6항과 시행령 제17조 제7항 제4호

법 제22조의 4(개인신용평가회사의 행위규칙) 제2항 제3호와 시행령 제18조의 3 제1항 제3호

법 제22조의 4 제3항과 시행령 제18조의 3 제2항 제3호

법 제22조의 5(개인사업자 신용평가회사의 행위규칙) 제2항 제2호와 시행령 제18조의 4 제1항 제7호

법 제22조의 5 제3항 제5호와 시행령 제18조의 4 제2항 제5호

법 제22조의 6(기업신용조회회사의 행위규칙) 제2항 제1호와 시행령 제18조의 5 제2항 제13호

법 제22조의 6 제3항 제5호와 시행령 제18조의 5 제3항 제5호

법 제22조의 6 제4항과 시행령 제18조의 5 제4항 제3호

법 제22조의 9(본인신용정보관리회사의 행위규칙) 제3항 제1호와 시행령 제18조의 6 제5항 제15호

법 제22조의 9 제4항과 시행령 제18조의 6 제7항 제5호

법 제26조의 4(데이터 전문기관) 제4항과 시행령 제22조의 4 제4항 제1호 나목

법 제26조의 4 제4항 제2호와 시행령 제22조의 4 제4항 제2호 다목

법 제33조의 2(개인신용정보의 전송요구) 제1항 제5호와 시행령 제28조의 3 제2항 제2호

법 제33조의 2 제5항 제5호와 시행령 제28조의 3 제5항 제2호

법 제33조의 2 제8항과 시행령 제28조의 3 제7항 제6호

법 제34조의 3(정보활용 동의등급) 제1항 후단과 시행령 제29조의3 제2항 제3호

법 제34조의 3 제3항과 시행령 제29조의3 제4항 제4호

법 제35조의 3(신용정보 제공·이용자의 사전통지) 제1항과 시행령 제30조의 3 제1항 제4호

법 제35조의 3 제1항 제4호와 시행령 제30조의 3 제2항 제3호

법 제40조의 2(가명처리·익명처리에 관한 행위규칙) 제1항과 시행령 제34조의 5 제1항

 

  • 규정 형식상으로는 그대로 재위임하는 문제가 있더라도, 직접적으로 국민의 권리를 제한하는 조항이 아닌 경우는 큰 문제는 없을 수 있음. 그러나 국민의 권리와 직접 관련이 있는 조항에서의 포괄적 재위임은 위법 소지가 있음.

 

신용정보보호법 시행령(안) 문제점
제2조

1의2. 제1호가목의 “특정 신용정보주체를 식별할 수 있는 정보”란 다음 각 목의 정보를 말한다.

가. 살아 있는 개인에 관한 정보로서 다음 각각의 정보

1) 성명, 주소, 전화번호 및 그 밖에 이와 유사한 정보로서 대통령령으로 정하는 정보

제2조(정의) ① 「신용정보의 이용 및 보호에 관한 법률」(이하 “법”이라 한다) 제2조제1의2가목1)에서 “대통령령으로 정하는 정보”란 다음 각 호의 어느 하나에 해당하는 정보를 말한다.

1. 전자우편주소

2. 사회 관계망 서비스(Social Network Service) 주소

3. 그 밖에 이와 유사한 정보로서 금융위원회가 정하여 고시하는 정보

시행령에서 전자우편주소, SNS주소만을 구체화하고 나머지는 법률과 같은 형식(그밖에 이와 유사한)으로 재위임
제2조

1의 2.

나. 기업(사업을 경영하는 개인 및 법인과 이들의 단체를 말한다. 이하 같다) 및 법인의 정보로서 다음 각각의 정보

1) 상호 및 명칭

2) 본점·영업소 및 주된 사무소의 소재지

3) 업종 및 목적

4) 개인사업자(사업을 경영하는 개인을 말한다. 이하 같다)·대표자의 성명 및 개인식별번호

5) 법령에 따라 특정 기업 또는 법인을 고유하게 식별하기 위하여 부여된 번호로서 대통령령으로 정하는 정보

6) 1)부터 5)까지와 유사한 정보로서 대통령령으로 정하는 정보

제2조

⑤ 법 제2조제1호의2나목 6)에서 “대통령령으로 정하는 정보”란 다음 각 호의 어느 하나에 해당하는 정보를 말한다.

1. 설립연월일

2.  팩시밀리번호

3. 그 밖에 법 제2조제1호의2나목 1)부터 5)까지 및 제1호 및 제2호와 유사한 정보로서 금융위원회가 정하여 고시하는 정보

시행령에서 설립연월일, 팩시밀리 번호를 구체화한 것을 제외하고는 나머지는 법률과 같은 형식(그밖에 이와 유사한)으로 재위임
제40조의2(가명처리·익명처리에 관한 행위규칙) ① 신용정보회사등은 가명처리에 사용한 추가정보를 대통령령으로 정하는 방법으로 분리하여 보관하거나 삭제하여야 한다. 제34조의5(가명처리ㆍ익명처리에 관한 행위규칙) ① 법 제40조의2제1항에 따른 대통령령으로 정하는 방법이란 금융위원회가 정하여 고시하는 기술적ㆍ물리적ㆍ관리적 보호조치를 통해 추가 정보에 대한 접근을 통제하는 방법을 말한다. 법 제40조의 2 제1항과 시행령 제34조의 5 제1항의 경우는 가명처리에 사용한 추가 정보의 분리, 보관, 삭제에 관한 조항으로서 국민의 권리에 직접 영향을 미칠 수 있으므로 금융위 고시에 포괄적으로 재위임하지 않고 시행령에서 보다 구체적으로 정하는 것이 타당함.
[유사한 구조의 조항들]

법 제2조 제1호의 3 바목과 시행령 제2조 제7항 제6호

법 제2조 제1호의 4 나목 5)와 시행령 제2조 제8항 제2호

법 제2조 제1호의 6 아목과 시행령 제2조 제17항 제9호

 

1-2) 입법자의 의사와 배치되는 것으로 추정되는 재위임

 

신용정보보호법 제2조

9의2. “본인신용정보관리업”이란 개인인 신용정보주체의 신용관리를 지원하기 위하여 다음 각 목의 전부 또는 일부의 신용정보를 대통령령으로 정하는 방식으로 통합하여 그 신용정보주체에게 제공하는 행위를 영업으로 하는 것을 말한다.

가. 제1호의3가목1)·2) 및 나목의 신용정보로서 대통령령으로 정하는 정보

나. 제1호의3다목의 신용정보로서 대통령령으로 정하는 정보

다. 제1호의3라목의 신용정보로서 대통령령으로 정하는 정보

라. 제1호의3마목의 신용정보로서 대통령령으로 정하는 정보

마. 그 밖에 신용정보주체 본인의 신용관리를 위하여 필요한 정보로서 대통령령으로 정하는 정보

신용정보보호법 시행령 (안) 제2조 제23항

법 제2조제9호의2마목에서 “대통령령으로 정하는 정보”란 다음 각 호의 어느 하나에 해당하는 정보를 말한다.

1. 법 제1호의3가목3) 및 같은 호 같은 목4)의 신용정보로서 별표5에 해당하는 정보

2. 그 밖에 금융위원회가 정하여 고시하는 정보

 

  • 시행령 제2조 제23항 제1호의 문제점
    • 법률 제2조 제9호의 2 가~라목에 비추어 보아 시행령 제2조 제23항 제1호에서 정한 “법 제1호의3 가목3) 및 같은 호 같은 목 4)”을 본인신용정보관리업의 영업 대상에 포함하고자 했다면, 법률에서 이를 규정했을 것으로 보임. 그럼에도 불구하고 이를 법률에 포함하지 않은 것(즉, 법률 제2조 제9호의 2에서 가목1),2) 및 나목만을 포함하고 있을 뿐 가목3)과 4)는 제외하고 있음)은 입법자의 의사라고 이해하는 것이 타당함. 그럼에도 불구하고 이를 시행령에 포함한 것은 입법자의 의사와 배치됨.
  • 시행령 제2조 제23항 제2호의 문제점
    • 시행령(별표5)에서 어느 정도 구체적으로 정하고 있으므로, 굳이 2호에서 “그밖에 금융위원회가 정하여 고시하는 정보”를 둘 이유는 없음. 필요하다면 별표5에 포함하면 되는 것임.
    • 가사 2호와 같은 규정이 필요하다고 보더라도 그 범위를 제한하는 문구가 병기되어야 함.

 

1-3) 위임 범위 일탈한 재위임

 

  • 일부 조항은 법률이 대통령령에 위임한 범위를 벗어나서 고시에 재위임하고 있기도 함.

 

신용정보보호법 시행령(안) 문제점
제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다.

1. “신용정보”란 금융거래 등 상거래에서 거래 상대방의 신용을 판단할 때 필요한 정보로서 다음 각 목의 정보를 말한다.

가. 특정 신용정보주체를 식별할 수 있는 정보(나목부터 마목까지의 어느 하나에 해당하는 정보와 결합되는 경우만 신용정보에 해당한다)

나. 신용정보주체의 거래내용을 판단할 수 있는 정보

다. 신용정보주체의 신용도를 판단할 수 있는 정보

라. 신용정보주체의 신용거래능력을 판단할 수 있는 정보

마. 가목부터 라목까지의 정보 외에 신용정보주체의 신용을 판단할 때 필요한 정보

1의2. 제1호가목의 “특정 신용정보주체를 식별할 수 있는 정보”란 다음 각 목의 정보를 말한다.

가. 살아 있는 개인에 관한 정보로서 다음 각각의 정보

1) 성명, 주소, 전화번호 및 그 밖에 이와 유사한 정보로서 대통령령으로 정하는 정보

2) 법령에 따라 특정 개인을 고유하게 식별할 수 있도록 부여된 정보로서 대통령령으로 정하는 정보(이하 “개인식별번호”라 한다)

3) 개인의 신체 일부의 특징을 컴퓨터 등 정보처리장치에서 처리할 수 있도록 변환한 문자, 번호, 기호 또는 그 밖에 이와 유사한 정보로서 특정 개인을 식별할 수 있는 정보

4) 1)부터 3)까지와 유사한 정보로서 대통령령으로 정하는 정보

제2조

③ 법 제2조제1호의2가목 4)에서 “대통령령으로 정하는 정보”란 다음 각 호의 어느 하나에 해당하는 정보를 말한다.

1. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제23조의3에 따른 본인확인기관이 특정 개인을 고유하게 식별할 수 있도록 부여한 정보

2. 특정 개인을 고유하게 식별하거나 동일한 신용정보주체를 구분하기 위하여 부여된 정보

3. 그 밖에 법 제2조제1호, 제2조제1호의2가목1)부터 3) 및 제2호와 유사한 정보로서 금융위원회가 정하여 고시하는 정보

○ 법률이 시행령에 위임한 범위는 법 제2조 제1호의 2 가목 1)부터 3)까지와 유사한 정보

○ 시행령이 고시에 재위임한 범위는 법률이 시행령에 위임한 법 제2조 제1호의2가목 1)부터 3) 뿐 아니라, 법 제2조제1호, (시행령 제2조 제3항) 제2호와 유사한 정보도 포함됨.

○ 법 제2조 제1호 가목의 의미를 구체화하기 위하여 시행령에 위임한 것인데, 그 시행령에서 다시 법 제2조 제1호를 인용하고 있다는 점에서 순환 반복이라는 체계상의 문제도 있음.

제2조 1의3. 제1호나목의 “신용정보주체의 거래내용을 판단할 수 있는 정보”란 다음 각 목의 정보를 말한다.

가. 신용정보제공·이용자에게 신용위험이 따르는 거래로서 다음 각각의 거래의 종류, 기간, 금액, 금리, 한도 등에 관한 정보

1) 「은행법」 제2조제7호에 따른 신용공여

2) 「여신전문금융업법」 제2조제3호·제10호 및 제13호에 따른 신용카드, 시설대여 및 할부금융 거래

3) 「자본시장과 금융투자업에 관한 법률」 제34조제2항, 제72조, 제77조의3제4항 및 제342조제1항에 따른 신용공여

4) 1)부터 3)까지와 유사한 거래로서 대통령령으로 정하는 거래

⑥ 법 제2조제1호의3가목 4)에서 “대통령령으로 정하는 거래”란 다음 각 호의 거래를 말한다.

1. 「상호저축은행법」 제2조제6호에 따른 신용공여

2. 「신용협동조합법」 제2조제5호에 따른 대출등

3. 「새마을금고법」 제28조제1호나목에 따른 대출

4. 「대부업법」제6조에 따른 대부계약에 따른 거래

5. 「보험업법」 제2조제13호에 따른 신용공여 또는 같은 법 제100조제1항제1호에 따른 대출등

6. 「온라인투자연계금융업 및 이용자 보호에 관한 법률」 제2조 제1호에 따른 연계대출

7. 그 밖에 법 제2조제1호의3가목 1)부터 3)까지 및 제1호부터 제5호까지와 유사한 정보로서 금융위원회가 정하여 고시하는 정보

법률이 시행령에 위임한 사항은 “거래”인데, 시행령 제6항 제7호는 “정보”에 대하여 정하고 있음. 시행령 제2조 제6항 제1~5호는 “거래”이므로 “유사한 정보”라는 문구와도 맞지 않음.

 

2) 국내거소신고번호 누락

 

현행 (개정 전) 시행령 입법예고된 시행령(안)
제29조(개인식별정보의 제공ㆍ이용) 법 제34조에서 “대통령령으로 정하는 정보”란 생존하는 개인의 성명, 주소, 다음 각 호의 번호, 성별, 국적 등 개인을 식별할 수 있는 정보를 말한다. <개정 2015. 9. 11., 2017. 6. 27.>

1.「주민등록법」 제7조의2제1항에 따른 주민등록번호

2.「여권법」 제7조제1항제1호에 따른 여권번호

3.「도로교통법」 제80조에 따른 운전면허의 면허번호

4.「출입국관리법」 제31조제4항에 따른 외국인등록번호

5.「재외동포의 출입국과 법적 지위에 관한 법률」 제7조제1항에 따른 국내거소신고번호

[신용정보보호법]

제2조 제1호의 2 가목 2)

2) 법령에 따라 특정 개인을 고유하게 식별할 수 있도록 부여된 정보로서 대통령령으로 정하는 정보(이하 “개인식별번호”라 한다)

[시행령(안)]

② 법 제2조제1호의2가목 2)에서 “대통령령으로 정하는 정보”란 다음 각 호의 정보를 말한다.

1. 「주민등록법」 제7조의2제1항에 따른 주민등록번호

2. 「여권법」 제7조제1항제1호에 따른 여권번호

3. 「도로교통법」 제80조에 따른 운전면허의 면허번호

4. 「출입국관리법」 제31조제4항에 따른 외국인등록번호

 

  • 재외동포에 대한 국내거소신고번호가 개인식별정보에서 누락됨.

 

3) 신용정보업 등의 허가 대상

 

제5조(신용정보업 등의 허가 대상) ① 법 제5조제1항 각 호 외의 부분 단서에서 “대통령령으로 정하는 금융거래에 관한 개인신용정보”란 다음 각 호의 어느 하나에 해당하는 정보를 말한다. 다만, 전문개인신용평가업의 취지를 훼손하지 않는 범위 내에서 해당 정보의 처리를 금지하는 것이 신용정보주체의 이익을 침해하는 경우로써 금융위원회가 정하여 고시하는 경우에는 해당 정보를 처리할 수 있다.

1. 신용정보주체의 거래내용을 판단할 수 있는 정보 중 금융거래와 관련된 정보

2. 신용정보주체의 신용도를 판단할 수 있는 정보 중 금융거래와 관련된 정보

3. 그 밖에 이와 유사한 정보로서 금융위원회가 정하여 고시하는 정보

 

  • 법률 제5조 제1항은 전문개인신용평가업자가 다룰 수 없는 금융정보를 규정하였고 이를 대통령령으로 정하도록 하였음. 법률 제5조 제1항은 금융거래정보를 취급하는 전문개인신용평가업을 허용하지 않으려는 취지임
  • 시행령 제5조 단서는 전문개인신용평가업자가 금융거래정보를 취급할 있는 예외를 인정하고 있음. 즉 시행령 제5조 단서를 통해 전문개인신용평가업자에게 금융거래정보를 처리할 수 있도록 규정하는 것임. 이는 다룰 수 없는 금융정보만을 시행령에서 규정하도록 한 법률 제5조 제1항의 위임 범위를 벗어난 것이고, 전문개인신용평가업자에게 금융거래정보를 처리할 수 없도록 한 취지를 몰각시키는 것임
  • 시행령(안) 제5조 1항의 단서 조항 삭제를 권고함.

 

4) 공개된 개인정보의 동의가 있었다고 인정되는 범위

 

제12조의2(수집 및 처리의 원칙) ① 법 제15조제2항제2호다목에 따른 동의가 있었다고

객관적으로 인정되는 범위란 다음 각 호의 사정을 객관적으로 고려할 때 신용정보주체의 동의가 있었다고 객관적으로 인정되는 범위를 말한다.

1. 공개된 개인정보의 성격, 공개의 형태, 대상 범위

2. 제1호로부터 추단되는 신용정보주체의 공개 의도 및 목적

3. 신용정보회사등의 개인정보 처리의 형태

4. 수집 목적이 신용정보주체의 원래의 공개 목적과 상당한 관련성이 있는지 여부

5. 정보 제공으로 인하여 공개의 대상 범위가 원래의 것과 달라졌는지 여부

6. 개인정보의 성질 및 가치와 이를 활용하여야할 사회ㆍ경제적 필요성

 

  • 법 제15조제2항제2호다목의 경우 ‘해당 신용정보주체의 동의가 있었다고 객관적으로 인정되는 범위 내’에서 ‘신용정보주체가 스스로 사회관계망서비스 등에 직접 또는 제3자를 통하여 공개한 정보’를 신용정보주체의 동의없이 활용할 수 있도록 하고 있음. ‘신용정보주체의 동의가 있었다고 객관적으로 인정되는 범위 내’에서만 활용하겠다고 하지만 그 경계는 현실적으로 명확하지 않은 바, 입법적으로 공개된 개인정보의 활용을 허용할 경우, 특히 SNS에 공개된 개인정보의 활용을 명시적으로 허용할 경우 이용자의 개인정보 자기결정권을 침해하고 SNS를 통한 표현의 자유를 위축시킬 우려가 여전히 존재함.
  • 시행령(안)에서는 동의가 있었다고 객관적으로 인정되는 범위를 판단할 때 고려해야 할 사항을 열거하고 있음. 이는 기존 법원의 판결에 근거하여 규정된 것으로 보이는데, 대법원은 “공개된 개인정보의 성격, 공개의 형태와 대상 범위, 그로부터 추단되는 정보주체의 공개 의도 내지 목적뿐만 아니라, 정보처리자의 정보제공 등 처리의 형태와 정보제공으로 공개의 대상 범위가 원래의 것과 달라졌는지, 정보제공이 정보주체의 원래의 공개 목적과 상당한 관련성이 있는지 등을 검토하여 객관적으로 판단”해야 한다는 기준을 제시한 바 있음.(대법원 2016. 8. 17. 선고 2014다235080 판결)
  • 대법원이 일정한 경우 공개된 개인정보에 대해 별도의 동의를 받을 필요가 없다고 본 것은 “또다시 정보주체의 별도의 동의를 받을 것을 요구한다면 이는 정보주체의 공개의사에도 부합하지 아니하거니와 정보주체나 개인정보처리자에게 무의미한 동의절차를 밟기 위한 비용만을 부담시키는 결과”를 초래하기 때문임. 즉, 공개된 개인정보의 동의없는 처리는 이처럼 정보주체 관점에서 명확하게 별도의 동의를 받을 필요가 없는 경우로 제한되어야 할 것임.
  • 한편, ‘개인정보의 성질 및 가치와 이를 활용하여야 할 사회ㆍ경제적 필요성’을 신용정보주체의 동의 여부를 판단하는 기준으로 포함할 필요가 있을지 의문임. 이 문구가 판결문의 다른 부분에 언급되는 것은 사실이지만, 이는 ‘(신용정보회사등이) 정보처리로 얻은 이익의 정도와 그 정보처리로 인하여 정보주체의 이익이 침해될 우려의 정도’를 형량하여 위법성을 판단하는데 사용되는 기준일 뿐으로, 객관적 동의여부를 판단하는 다른 기준과 동등하게 언급되는 것은 부적절함. 만일 이 기준이 포함된다면 ‘정보주체의 이익이 침해될 우려의 정도’ 역시 포함되어야 할 것임.
  • ‘신용정보주체의 동의가 있었다고 객관적으로 인정되는 범위’인지 여부는 1차적으로 신용정보회사등의 자의적인 판단에 의존할 수밖에 없는데, 정보주체는 자신이 공개한 개인정보가 신용정보회사등에 의해 수집, 처리되고 있다는 사실 자체를 인지할 수 없을 경우 그 판단의 적절성을 다툴 수 없게 될 우려가 있음. 다른 불가피한 사정이 없다면 정보주체에게 직접 개인정보를 수집하지 않는 경우 해당 정보주체에게 통지할 수 있도록 법에서 규정할 필요가 있음. 우선 시행령에서는 해당 신용정보주체에게 처리사실이 알려졌는지 여부 등을 고려요소에 포함할 수 있을 것임.

 

5) 정보집합물의 결합

 

시행령(안)

제14조의2(정보집합물의 결합 등) ① 법 제17조의2제1항에서 “대통령령으로 정하는 자”란 법 제45조의3에 따른 상거래기업 및 법인(이하 “상거래 기업 및 법인”이라 한다)을 말한다.

② 법 제17조의2제1항에 따라 정보집합물을 결합하려는 신용정보회사등과 제3자(이하 이 조에서 “결합의뢰기관”이라 한다)는 공동으로 데이터전문기관에 금융위원회가 정하여 고시하는 양식에 따라 정보집합물의 결합을 신청하여야 한다.

③ 결합의뢰기관 및 데이터전문기관은 정보집합물을 결합ㆍ제공ㆍ보관하는 경우에는 다음 각 호의 사항을 모두 준수하여야 한다.

1. 결합의뢰기관이 정보집합물을 데이터전문기관에 제공하는 경우 다음 각 목의 조치를 하여 제공할 것

가. 하나의 정보집합물과 다른 정보집합물간에서 둘 이상의 정보를 연계, 연동하기 위하여 사용되는 정보는 해당 개인을 식별할 수 없으나 구별할 수 있는 정보(이하 “결합키”라 한다)로 대체할 것

나. 개인신용정보가 포함된 정보집합물은 가명처리할 것

2. 결합의뢰기관이 결합키를 생성하는 절차와 방식은 금융위원회가 정하여 고시하는 바에 따라 결합의뢰기관간 상호 협의하여 결정할 것

3. 결합의뢰기관이 데이터전문기관에 정보집합물을 제공하거나 데이터전문기관이 결합한 정보집합물을 결합의뢰기관에 전달하는 경우에는 해당 정보집합물의 내용을 제3자가 알 수 없도록 암호화 등의 보호조치를 하여 전달할 것

4. 데이터전문기관은 결합된 정보집합물을 결합의뢰기관에 전달하기 전 결합키를 삭제하거나 금융위원회가 정하여 고시하는 방법으로 대체할 것

5. 데이터전문기관은 결합된 정보집합물의 가명처리 또는 익명처리의 적정성을 평가한 후 적정하지 않다고 판단되는 경우 다시 가명처리 또는 익명처리하여 전달할 것

6. 데이터전문기관은  결합한 정보집합물을 결합의뢰기관에 전달한 후 결합한 정보집합물 및 결합전 정보집합물을 지체없이 삭제할 것

④ 데이터전문기관은 금융위원회가 정하여 고시하는 방법에 따라 결합관련 사항을 기록ㆍ관리하고 1년에 1회 정기적으로 금융위원회에 보고하여야 한다.

⑤ 데이터전문기관은 데이터 결합 등에 필요한 비용을 결합의뢰기관에 청구할 수 있다.

⑥ 그 밖에 정보집합물 결합ㆍ제공ㆍ처리ㆍ보관의 절차 및 방법과 관련하여 필요한 사항은 금융위원회가 정하여 고시한다.

 

  • 개정 신용정보보호법의 ‘정보집합물의 결합’ 방식은 2016년 <개인정보 비식별조치 가이드라인>에 머물러 있으며, 개인정보보호법 시행령(안)의 ‘가명정보의 결합’보다 안전조치 수준이 떨어짐. 무엇보다 개인정보보호법 시행령(안)과 같이 안전한 분석공간에서의 접근을 원칙으로 하지 않고 결합된 정보집합물을 결합의뢰기관에 제공하도록 허용함으로써 개인정보가 침해될 우려가 매우 큼. 원 개인정보처리자는 결합키 생성 절차 및 가명처리의 방법을 알고 있기 때문에 결합된 정보집합물에서 결합키를 삭제한 후에 결합의뢰기관(즉, 원 개인정보처리자)에 전달한다고 하더라도 원 개인정보처리자가 결합된 정보집합물로부터 원래의 개인정보을 복원할 가능성을 배제할 수 없음.
  • 개정 신용정보보호법은 신용정보회사등과 제3자의 정보집합물 결합도 허용하고 있는데, 이와 같이 데이터 결합과 관련된 신용정보보호법 상의 규율이 개인정보보호법보다 완화되어 있을 경우, 제3자 업체들이 신용정보회사등과의 정보집합물 결합을 선호하게 될 우려가 있음. 신용정보가 일반 국민에게 매우 민감하게 인식된다는 점을 고려하면 여타 가명정보의 결합보다 더 완화된 규율을 적용하는 것은 형평에 맞지 않을 뿐만 아니라 개인정보보호법 시행령에 따른 안전한 결합을 회피하는 유인으로 작용할 우려가 있음.
  • 위 시행령(안)은 정보집합물의 결합 과정에서 신뢰할 수 있는 제3자 방식을 배제하고 있고, 결합 요청의 목적이나 연구자에 대한 심사 과정이 없는 등, 개인정보보호법 시행령(안)에 대해 지적한 문제점들을 동일하게 가지고 있음.
  • 3항 1호 나에서 ‘개인신용정보가 포함된 정보집합물은 가명처리할 것’이라고 하여 개인신용정보가 아닌 경우에는 가명처리하지 않아도 된다는 의미로 오해될 수 있으므로 모든 개인정보를 가명처리하도록 의미를 명확히 할 필요가 있음.
  • 3항 4호에서 ‘금융위원회가 정하여 고시하는 방법’이 무엇인지 모호함. 결합키 삭제 외에 어떠한 조건에서는 다른 방법으로 할 수 있다는 것인지 시행령에서 명확히 규정할 필요가 있음.
  • 정보집합물의 결합 방식을 개인정보보호법 시행령(안)과 통일시킬 것을 권고함. (다만, 개인정보보호법 시행령(안) 역시 본 의견서에서 지적한 바와 같이 개선될 필요가 있음.)

 

정보집합물 결합 관련 개인정보보호법 시행령(안) 개선 방안 참조

  • 가명정보 결합은 “통계작성, 과학적 연구, 공익적 기록보존 등을 위”한 목적으로 수행되어야 함. 그런데 시행령(안)에서는 이러한 목적으로 가명정보의 결합 신청이 이루어진 것인지 판단하는 절차가 존재하지 않음. 이렇게 될 경우 목적 여부를 불문하고 결합신청서의 형식적 요건만 충족하면 모든 신청에 대해서 결합을 허용하는 결과를 초래하며, 결국 법에서 규정한 목적 규정을 형해화할 위험이 있음. 시행령이 이러한 위험을 최소화하고 법률에서 위임한 절차를 충실히 마련하기 위해서는 전문기관 내에 (가칭) 연구평가위원회를 구성하여 해당 결합 신청이 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 목적에 부합하는지, 더불어 결합의 대상이 되는 가명정보가 해당 목적을 달성하기 위한 최소한의 데이터인지 심사하는 절차를 둘 필요가 있음.
  • (가칭)연구평가위원회에서의 심사 기준으로서 그리고 개인정보처리자의 혼란을 방지하기 위해, ‘과학적 연구’가 포괄하는 범위가 어디까지인지 보다 구체적인 기준을 제시할 필요가 있음. 단지 개인정보처리자가 ‘과학적 연구’라고 주장하는 것으로는 불충분하며 해당 분야의 방법론이나 윤리적 기준을 준수하는지, 연구 결과물이 사회의 지식 기반 확대에 기여하는지 등을 종합적으로 고려할 필요가 있음.
  • 결합된 가명정보를 접근, 처리할 연구자는 개인정보 보호의 중요성과 이에 필요한 조치에 대해 충분히 인지하고 있을 필요가 있음. 해외에서는 연구자를 위한 교육 및 훈련을 시행하고 있으며, 이 과정을 이수한 연구자에게만 데이터에 대한 접근을 허용하기도 함. 국내에서도 연구자가 개인정보 관련 교육 및 훈련을 받을 수 있도록 전문기관이 관련 프로그램을 제공하고 필요할 경우 교육을 받았음을 인증할 수 있는 제도를 운영할 필요가 있음. 또한 이와 별개로 가명정보의 결합 및 결합 데이터에 대한 접근을 요구하는 기관 및 연구자에게 개인정보 보호 이행을 서약할 수 있는 절차가 마련되어야 함.
  • 원래의 개인정보 보유기관, 서로 다른 가명정보의 결합키를 제공하는 기관, 결합된 가명정보를 연구자(결합신청자)에게 제공하는 기관은 서로 분리하는 것이 원칙임(기능분리 원칙 / 개인정보보호위원회 결정 제2017-15-125호). 즉, 결합키 생성기관과 이를 결합하여 제공하는 기관이 식별정보와 속성정보 모두에 접근할 수 없도록 해야 함.
  • 2016년 <개인정보 비식별조치 가이드라인>에서와 달리 ‘분석공간’ 내에서 분석하는 것을 원칙으로 한 것은 긍정적임. 하지만 ‘분석공간에서는 결합 목적을 달성하기 어렵거나 분석공간의 이용이 어려운 경우’에는 반출을 할 수 있도록 하고 있어, 자칫 분석공간 내에서 분석을 한다는 원칙이 무의미해질 가능성이 있음. 결합 데이터가 반출될 경우 원래의 개인정보보유자가 가명처리된 데이터를 재식별할 위험이 매우 큼.
  • 결합데이터 반출이 극히 예외적으로만 허용되기 위해서는 그 기준이 명확해야 함. 그런데 법률에도 그 기준이 나와있지 않고, 시행령(안)에서도 “분석공간에서는 결합 목적을 달성하기 어렵거나 분석공간의 이용이 어려운 경우”, “개인을 다시 알아볼 가능성 등을 고려”하도록 할 뿐, 다시 ‘고시’로 구체적인 판단 기준을 위임하고 있음. 최소한 시행령에서 어떤 경우에 반출이 허용되는지에 대한 기준과 요건을 명확하게 규정할 필요가 있음. 특히 법률에서 “가명정보 또는 제58조의2에 해당하는 정보(익명정보)로 처리한 뒤” 반출하도록 한 바, 어떤 경우가 가명정보 또는 익명정보로 반출이 가능한지 구체적으로 규정해야 함. 특히 결합물이 개인정보에 해당하는 가명정보 상태로 반출될 경우 익명정보 반출보다 국민의 개인정보 자기결정권에 미치는 영향이 심대하므로, 원칙적으로 익명정보로 반출하도록 하되 예외적인 사유에 한해 가명정보로 반출하도록 구체적으로 제한해야 함.
  • 개정 개인정보보호법 제3조 7항은 “개인정보처리자는 개인정보를 익명 또는 가명으로 처리하여도 개인정보 수집목적을 달성할 수 있는 경우 익명처리가 가능한 경우에는 익명에 의하여, 익명처리로 목적을 달성할 수 없는 경우에는 가명에 의하여 처리될 수 있도록” 하고 있음. 따라서 결합된 데이터는 반드시 가명정보일 필요는 없으며 익명처리로 목적을 달성할 수 있을 경우에는 익명처리되어야 함. (가칭)연구평가위원회는 연구 프로젝트에 대한 평가 뿐만 아니라, 결합된 데이터가 최소화의 원칙을 준수하고 있는지 역시 평가할 필요가 있음.
  • 비록 가명정보 결합이 정보주체의 동의없이 이루어지기는 하지만 정보주체의 최소한의 권리 보장 및 가명절차의 투명한 관리를 위해 특정 가명정보 결합에 대한 정보가 전문기관 홈페이지를 통해 공개되어야 함. 해외에서도 특정 기관이 지원한 학술 연구 결과물을 홈페이지에 공개하는 사례를 찾아볼 수 있음. 해당 연구의 목적, 연구의 기간, 연구기관 및 책임자,  결합에 활용된 가명정보를 보유한 개인정보처리자, 결합의 건수 및 사용된 항목 등 관련 정보 일체를 공개하도록 할 필요가 있음.
  • 보호위원회는 전문기관을 통한 가명정보 결합 과정에서 개인정보 침해 위험은 없는지  전문기관을 자문하고 감독해야 함. 결합 데이터의 반출 승인이 필요할 경우, 전문기관이 아니라 보호위원회가 승인하는 방안을 검토할 필요가 있음.

 

6) 가명처리한 개인신용정보의 보유기간

 

시행령(안)

제17조의2(개인신용정보의 관리방법 등)

③ 법 제20조의2제2항제2호의2에서 “대통령령으로 정하는 기간”이란 다음 각 호의 사항을 고려하여 가명처리한 자가 가명처리시 정한 기간을 말한다.

1.  추가정보 및 가명정보에 대한 관리적ㆍ물리적ㆍ기술적 보호조치 수준

2. 가명정보의 재식별시 정보주체에 미치는 영향

3. 가명정보의 재식별 가능성

4. 가명정보의 이용목적 및 그 목적 달성에 필요한 최소기간

 

  • 수집 목적이 다하면 폐기하는 것이 기본적인 개인정보 보호원칙임. 비록 가명처리된 개인정보를 애초 수집 목적 이상으로 보유하는 것을 허용하더라도 가명처리의 목적이 다하면 해당 가명정보를 폐기해야 함.
  • 시행령(안)에서 ‘가명처리한 자가 가명처리시 정한 기간’ 동안 가명정보를 보유할 수 있도록 허용하는 것은 가명처리한 자가 보관 기간을 자의적으로 정할 수 있도록 한 것으로 목적에 필요한 한도 내에서 보관이라는 개인정보 기본원칙을 훼손하는 것임. 3항 4호의 ‘가명정보의 이용목적 및 그 목적 달성에 필요한 최소기간’ 외에 다른 요소를 고려할 필요가 없음. 다른 요소를 고려하는 것은 그러한 요소에 따라 필요 최소기간 이상으로 보유할 수 있는 가능성을 열어주는 결과를 초래할 뿐임.
  • 개인정보보호법 시행령(안)에 대한 의견에서 지적한 바와 같이, 가명정보의 이용목적은 특정한 처리로 좁게 규정되어야 함. 그렇지 않으면 가명정보를 애초 수집 목적 이상으로 보관할 수 있는 것에 더하여, 해당 개인정보처리자가 특정한 연구나 사업을 지속하는 한 무한정 보관하는 것을 허용하게 됨.
  • 가명처리된 개인신용정보도 (가명처리한) 목적 달성에 필요한 최소기간 동안만 보유할 필요가 있으며 그 이후에는 폐기될 수 있도록 해야 함. 시행령(안)에서 4호를 제외하고는 모두 삭제되어야 함.

 

7) 적정성평가위원회의 구성 및 운영

 

제22조의4(데이터전문기관)

② 법 제26조의4제3항에 따라 적정성평가위원회(이하 “평가위원회”라 한다)의 업무는 다음 각 호와 같다.

1. 데이터전문기관이 결합한 정보집합물의 가명처리 또는 익명처리에 대한 적정성 평가

2. 신용정보회사등의 익명처리에 대한 적정성 평가

3. 제1호 및 제2호와 유사한 업무로서 금융위원회가 정하여 고시하는 업무

③ 평가위원회의 구성 및 운영 등에 필요한 세부적 사항은 데이터전문기관의 장이 정한다.

 

  • 법 제26조의4 5항은 ‘적정성평가위원회의 구성·운영에 관하여 필요한 사항’을  대통령령으로 정하도록 하고 있음. 그런데 시행령제22조의4는 2항에서 적정성평가위원회의 업무에 대해서만 규정하고 있을 뿐 구성 및 운영에 대해서는 데이터전문기관의 장이 정하도록 하고 있음.
  • 시민사회는 데이터전문기관이 가명처리 또는 익명처리에 대해 적정성 평가를 하는 것에 반대해왔음. 자의적인 적정성 평가에 의해 부적절한 가명 혹은 익명처리가 정당화될 위험이 있고 문제가 발생할 경우 책임 소재가 모호해질 수 있기 때문임. 그럼에도 불구하고 개정 신용정보보호법은 적정성 평가 규정을 포함한 바, 시민사회의 우려가 현실화되지 않기 위해서는 적정성 평가 위원회가 전문적이면서 공정하게 구성 및 운영될 필요가 있음.
  • 그런데 시행령(안)은 법에서 요구한 사항을 반영하고 있지 않을 뿐만 아니라, 데이터전문기관의 장이 자의적으로 구성 및 운영하도록 하는 것은 적정성 평가 위원회의 전문성과 공정성을 담보하기 힘들 것임.
  • 시행령(안)에서 평가위원회의 구성 및 운영에 대한 구체적인 기준을 정해줄 필요가 있음.