개인정보보호

정부의 713한국판뉴딜 중 디지털뉴딜 비판 기자설명회 개최{/}[보도자료] <디지털뉴딜, ‘국민사생활’ 팔아 경제성장하겠다는 것>

By 2020/07/21 9월 21st, 2020 No Comments

수 신 : 언론사 사회부․법조 담당
발 신 : 무상의료운동본부,민변 디지털정보위원회, 경실련, 진보네트워크센터, 서울YMCA, 참여연대 (담당 이지은 간사 02-723-0666 )
제 목 : [보도자료] <디지털뉴딜, ‘국민사생활’ 팔아 경제성장하겠다는 것>
발 신 일 : 2020년 7월 21일(화)

보도자료


디지털뉴딜, ‘국민사생활’ 팔아 경제성장하겠다는 것
정부의 713한국판뉴딜 중 디지털뉴딜 비판 기자설명회 개최


1. 오늘 (7/21) 무상의료운동본부,민주사회를위한변호사모임 디지털정보위원회, 진보네트워크센터, 서울YMCA, 참여연대, 경실련 등 6개 시민사회단체는 참여연대 2층 아름드리홀에서 기자설명회 <디지털뉴딜, ‘국민사생활’ 팔아 경제성장하겠다는 것-713한국판뉴딜 중<디지털 뉴딜> 진단>을 개최하였다.

2. 정부가 지난 2020. 7.13. 발표한 한국판 뉴딜은 코로나 19 이후 사회 경제적 구조 변화에 선도적으로 대비한다는 명분 아래 디지털경제로의 이행을 가속화하겠다는 것이다. 그런데 데이터경제란 결국 국민의 개인정보를 모아 데이터화 하고 이를 경제적 용도로 활용하겠다는 것임에도 정작 데이터 생산의 주체인 국민의 정보인권에 미칠 영향에 대한 어떠한 고려도 보이지 않는다는 비판이 거세다.

3. 우리 민주주의 경험에서 인권이 배제되거나 희생하고 얻은 경제성장은 반드시 국민의 비판을 받았다. 단체들은 정보인권과 떼려야 뗄 수 없는 불가분의 관계에 있음에도 이에 대한 그 어떤 정책적 고려도 보이지 않는 이번 713디지털뉴딜을 포함하여 문재인 정부의 데이터/개인정보 정책 기조를 진단하고 비판하였다. 특히 행정안전부가 주도하고 있는 「개인정보보호법 시행령」 개정안은 1차 입법예고 안에서 결합된 가명정보의 결합전문기관 외부로의 반출을 원칙적으로 제한하는 규정을 최소한의 안전장치로 두고 있었는데 재입법예고를 하면서 이를 제거해 버렸다. 단체들은 7월 20일 행안부에 제출한 <개인정보보호법시행령 재입법예고(안)에 대한 시민사회 공동의견서>에서 기업들의 요구를 그대로 수용한 재입법예고는 사실상 정부가 개인정보보호를 포기했다고 선언한 것이라고 지적했다. 마지막으로, 단체들은 개정 개인정보보호법에 따라 8.5 출범하는 통합 개인정보 보호위원회의 역할을 확인하고 보호위원회가 국민의 개인정보보호라는 설립 취지를 제대로 수행할 것을 주문했다. 끝.

붙임1.

정보인권‌ ‌보호가‌ ‌규제혁파‌ ‌대상인가‌

[공동성명]정보인권‌ ‌보호가‌ ‌규제혁파‌ ‌대상인가‌

지난 4월 29일, 정부는 홍남기 부총리 겸 기획재정부 장관 주재로 「제1차 비상경제 중앙대책본부 회의」를 개최하고 「10대 산업분야 규제혁신 방안」(이하 ‘방안’)을 논의하였다. 그런데 이 방안은 ‘코로나19 대응 및 경제활력 제고’를 목적으로 하고 있지만, 대부분 코로나19와 직접적인 관계가 있다기 보다는 경제위기 극복을 명분으로 기업들의 기존 민원을 해결해주겠다는 것에 불과하다. 문제는 ‘규제혁파’라는 포장과 달리 오히려 인권 보호와 공공성을 위한 제도적 안전망을 해체하고 있다는 점이다. 개인정보에 대한 권리 역시 예외가 아니다. 문재인 정부는 개인정보 보호가 ‘대못규제’라는 대한상의의 민원을 그대로 수용하고 있다. 시민사회가 ‘개인정보 도둑법’이라 비판한 소위 ‘데이터 3법’이 올해 1월 국회를 통과했지만 개인정보를 동의없이 활용하고자 하는 기업들의 욕망은 끝이 없다. 현재 ‘데이터 3법’ 시행령 개정안이 논의되고 있는 와중에 정부가 불법 논란이 있는 개인정보 활용까지 부추기고 있는 것은 매우 우려스럽다.

첫째, 이 방안은 8월까지 해설서를 마련하여 “민감정보 활용 촉진을 위해 민감정보도 가명정보에 포함된다는 기준을 제시하는 가이드라인을 제시”하겠다고 한다. 우선 이 과제를 왜 ‘과기정통부’가 주무하는지 의문이다. 개인정보보호법의 해석은 현재는 행정안전부, 데이터 3법이 발효되는 8월 5일 이후에는 통합 개인정보보호위원회 소관이다. 개인정보에 대한 전문성도 인권 의식도 없는 과기정통부가 주무하는 것은 월권이다. 과기정통부가 직접 담당하지 않더라도, 이처럼 ‘데이터 경제 활성화’를 목적으로 개인정보보호법의 해석 기준을 제시하는 것은 우려스럽다. 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보 등 민감정보는 말 그대로 특별한 보호를 필요로 하며 개인정보보호법 23조에 근거해서만 처리되어 왔으며 정부 역시 <개인정보보호법 해설서> 그렇게 해석을 해왔다. 문재인 정부에게는 프라이버시 침해가 큰 민감정보마저 그저 활용의 대상일 뿐인가. 최소한 정부가 자의적으로 해석하는 것이 아니라 먼저 법률에서 어떠한 조건에서 활용할 수 있는지 명확하게 규정해야 하지 않는가.

둘째, 이 방안은 특히 의료데이터를 적극적으로 활용하겠다는 의지를 표명하고 있다. 이를 위해 가명처리된 환자 기록이 의료법 제21조 적용대상이 아님을 보건복지부 지침 개정을 통해 명확화하고, 가명정보를 활용하는 연구는 기관생명윤리위원회(IRB) 심의 면제에 해당하도록 가이드라인 개정하겠다고 한다. 그러나 정부 보도자료에서도 인정하고 있다시피 의료데이터는 민감성이나 재식별 가능성이 매우 높다. 의료법은 제19조, 21조 등에서 의료정보를 제3자에게 제공하지 못하도록 하고 있으며 가명정보 역시 개인정보임은 명확하다. 정부가 자의적인 해석으로 이를 허용하겠다니, 문재인 정부에게 개인정보의 권리나 생명윤리는 신산업 육성을 위해 무시되어도 좋은 가치인가.

셋째, 결합된 가명정보의 전문기관 외부반출 기준을 정립하겠다고 한다. “개인정보보호법과 신용정보법상 결합된 가명정보를 전문기관 외부로 반출할 수 있는 기준이 다르게 규정되어 혼란을 야기”하고 있는 점은 당연히 해결되어야 한다. 그런데 결합된 가명정보의 외부반출은 원칙적으로 허용되어서는 안된다. 왜냐하면 원래의 개인정보처리자가 결합된 가명정보를 반출할 경우 재식별의 위험성이 커지기 때문이다. 개인정보보호법 시행령은 원칙적으로 결합된 가명정보를 ‘분석공간’에서 접근하도록 하고 있는데, 신용정보법 시행령 역시 이를 기준으로 맞춰져야 한다. 외부반출을 적극 허용하는 것은 사실상 2016년 박근혜 정부 당시 <비식별조치 가이드라인>으로 후퇴하는 것이나 다름아니다.

넷째, 가명정보의 결합 전문기관으로 민간기업을 지정하겠다고 한다. 그런데 가명정보의 연계는 정보주체의 동의 없이 이루어질 뿐만 아니라 결합을 통해 식별 가능성이 높아지기 때문에 일반적인 개인정보 처리보다 위험성이 크다. 그래서 국내 개인정보보호법은 개인정보 연계를 개인정보 영향평가 대상으로 규정하고 있으며, 유럽연합 개인정보보호법(GDPR) 역시 마찬가지다. 민간기업 가명정보의 결합을 정부가 지원하는 세계적인 사례가 없다는 점에서 시민사회는 이에 반대해왔는데, 이마저 공공기관이 책임성을 갖고 운영하는 것이 아니라 민간기업이 상업적으로 운영하는 것마저 허용한다면 가명정보 결합으로 인한 개인정보 침해 위험이 더욱 커질 수밖에 없다.

다섯째, 신용카드사가 업무와 관련하여 취득한 정보를 가명·익명조치 후 자문서비스에 활용하는 업무 등을 신고 없이 영위할 수 있도록 하겠다고 한다. 우선 자문서비스에 활용하는 업무 등을 수행하기 위해서는 정보주체의 동의가 필요하다. 자문서비스가 (과학적) 연구에 해당하거나 애초 수집목적과 합리적으로 관련된 범위라고 보기는 힘들기 때문이다. 또한 신용카드사는 여신전문금융업법에 따라 ‘금융이용자 보호 및 건전한 거래질서를 해할 우려가 없는 업무’가 아니라면 금융위원회에 부수업무에 대한 신고가 필요하다. 가명정보를 이용한 자문서비스는 정보주체의 개인정보 자기결정권을 침해할 우려가 있기 때문에 당연히 금융이용자의 보호에 부정적 영향을 미칠 수 있다. 따라서 이 정책은 법적인 근거도 미약할 뿐만 아니라 신용정보주체의 권리를 침해할 우려가 크다.
정보주체의 개인정보 자기결정권은 헌법재판소가 인정한 헌법상 기본권이며 문재인 정부 역시 헌법 개정안에 명시적으로 포함하려고 했다. 또한 최근 빅데이터, 인공지능 기술 등 변화하는 기술 환경 속에서 개인정보의 권리는 침해에 더욱 취약해지고 있다. 그런데 경제 활성화를 명분으로 개인정보에 대한 전문성도 권한도 없는 부처들이 개인정보 정책을 좌지우지하는 것은 바람직한 일이 아니다. 개인정보 보호정책은 오로지 정보주체의 권리를 어떻게 효과적으로 보호할 수 있을지에 대한 관점으로 수립되어야 하고, 개인정보의 활용은 정보주체의 권리를 침해하지 않는 방식으로 이루어져야 한다.시민사회는 「10대 산업분야 규제혁신 방안」을 즉각 폐기할 것을 요구한다. (2020년 5월 6일, 건강권실현을 위한 보건의료단체연합 (건강사회를 위한 약사회, 건강사회를 위한 치과의사회, 노동건강연대, 인도주의실천의사협의회, 참의료실현청년한의사회), 무상의료운동본부, 민주사회를위한변호사모임 디지털정보위원회, 전국민주노동조합총연맹, 진보네트워크센터,참여연대 공동발표)
.

붙임2.

디지털 뉴딜, 정보인권과 함께 가야 한다‌

[성명]디지털 뉴딜, 정보인권과 함께 가야 한다

어제(7월 14일) 문재인 정부는 청와대 영빈관에서 ‘한국판 뉴딜 국민보고대회’를 개최하고 한국판 뉴딜의 두 축인 디지털 뉴딜과 그린 뉴딜의 세부 구상을 발표하였다. 2025년까지 한국판 뉴딜에 국고 114조원을 직접 투자하고 190만개의 일자리를 창출하겠다고 한다. 세부 사업별로 투자 금액과 창출될 일자리 개수가 나와있지만, 보도자료만으로 그 타당성을 검증하는 것은 불가능하다. 그러나 비단 디지털 뉴딜이라는 이름으로 밀어붙이기에는 신중하게 접근해야 할 사업들도 눈에 띈다. 관련된 제도가 섬세하게 마련되지 않으면 생색내기에 그치거나 오히려 심각한 인권침해를 초래할 수 있기 때문이다.

과학기술정보통신부를 중심으로 추진되고 있는 소위 ‘데이터 댐’ 과제를 우려하지 않을 수 없다. 데이터 댐이란 “데이터 수집, 가공, 거래, 활용 기반을 강화하여 데이터 경제를 가속화하고 5G 전국망을 통한 전산업 5G, AI 융합 확산”을 위한 과제라고 한다. 정부는 여전히 ‘데이터’로만 보고 있지만, 그 데이터의 중요한 부분은 바로 우리의 ‘개인정보’다. ‘개인정보가 아닌 데이터’, 그래서 공유되고 활용됨으로써 더 많은 가치를 가질 수 있는 데이터와 ‘개인정보인 데이터’, 그래서 정보주체의 권리를 침해하지 않는 방식으로 처리되어야 할 데이터를 구분하지 않는 것은 심각한 문제다. 정부가 과기정통부를 중심으로 데이터를 산업 육성의 관점에서만 밀어붙인다면, 소위 데이터 3법(속칭 개인정보도둑법)을 둘러싼 사회적 갈등을 반복할 수밖에 없을 것이다.
최근 데이터청 설립이 거론되고 있는 점도 우려한다. <한국판 뉴딜 종합계획>에서도 “범국가적 데이터 정책 수립, 공공 민간데이터 통합관리, 연계, 활용 활성화, 데이터 산업 지원 등을 위한 민관합동 컨트롤타워 마련(‘20. ) 下”라고 여지를 남겼다. 공공데이터 주무 기관과 통계청 등도 존재하는 마당에 별도의 기구를 둘 필요가 있는지도 의문이고, 공공민간데이터 통합 관리, 연계, 활용 활성화를 명분으로 자칫 개인정보보호위원회의 권한까지 무력화하려는 것은 아닌지 우려된다.

정부는 공공데이터 개방을 얘기하고 있지만 산업적 활용을 위한 데이터 개방에 초점을 맞출 뿐, 정부의 투명성 강화를 위한 정보(데이터) 공개에는 관심이 없다. 진정으로 공공데이터를 개방할 의지가 있다면, 국가안보, 업무수행, 심지어 개인정보보호를 명분으로 국민이 알고 싶은 정보들을 가급적 알려주지 않으려는 관행부터 개선해야하지 않겠는가. 국민이 알고 싶은 데이터가 아니라 정부가 공개해도 상관없는 데이터만 공개한다면 별 가치가 없는 데이터에 불과할 것이다.

‘K-사이버 방역체계를 구축’하겠다며 사이버위협 증가에 효과적 대응을 위해 ‘사이버 보안체계’를 강화하겠다고 하는데, 어떠한 사이버보안체계를 의미하는지 구체적으로 나오있지는 않다. 현재 국가정보원이 국가 사이버보안을 담당하고 있기 때문에 원활한 민관협력과 이해관계자의 참여를 저해하고 국가 감시의 우려를 불러일으키고 있다. 이러한 사이버보안 거버넌스 체계에 대한 해결없이, 단지 보안 유망기술 및 기업만 육성한다고 사이버 보안체계가 강화될 수 있겠는가.

스마트시티에 교통, 방범 등 CCTV 연계 통합플랫폼을 구축하겠다고 하는데, 이미 구축되어 사실상 경찰이 운영하고 있는 지자체 CCTV 통합관제센터도 법적 근거 없이 위법적으로 운영되고 있어 국가인권위원회와 국회 입법조사처의 지적을 받아왔다. 통합관제센터의 개인정보책임자는 누구인지, 정보주체의 권리는 누가 어떻게 보장하는지도 명확하지 않다. CCTV가 지능화되면 국민들에 대한 감시 역시 고도화될 것이다. 국가감시 우려를 해소할 수 있는 안전장치를 비롯하여 정교한 법적 통제를 갖추어야 하며, 사회적 토론 없이 CCTV의 고도화와 연계만 몰아붙여서는 안된다.

어르신 등 건강취약계층 12만명을 대상으로 IoT, AI를 활용한 디지털 돌봄, 만성질환자 20만명을 대상으로 웨어러블 기기를 보급, 질환 관리를 하겠다고 하는데, 건강취약계층과 만성질환자의 가장 큰 곤란이 스마트 기기가 없었기 때문이었을까. 혹여나 환자들의 개인정보를 수집해서 활용하려는 것이 1차적인 목적이 아닌지 의심스럽다. 한국 공공의료의 가장 시급한 과제가 무엇인지 시민사회단체 및 전문가들과 먼저 논의해보기를 바란다.
중소기업 원격근무를 위해 “영상회의 품질 향상기술, 보안기술, 업무관리 SW 등 개발을 지원”하겠다고 하는데, 굳이 디지털 뉴딜이라는 이름으로 정부가 이런 것까지 지원해야할까. 원격근무 지원 도구에 대한 수요가 있으면 자연스럽게 관련 기술과 도구들이 개발되고 사용될 것이다. 차라리 정부의 지원을 보다 공공적인 부문에 돌리는 것이 낫다.
5G 전국망 구축과 5G 융합서비스 개발을 지원하겠다고 하는데, 이 자체에 대해서 이견이 있는 것은 아니지만 ‘무조건 세계 최초’를 위해 충분한 준비도 없이 추진하여 수많은 이용자들이 5G 서비스를 이용하도록 몰아넣은 실책을 되풀이해서는 안된다. 그리고 5G 활성화를 명분으로 망중립성 정책을 완화해서는 안될 것이다.

지능형 정부를 추진하는 것에 대해 반대하는 것은 아니지만, 동시에 민주적이고 인권적인 정부를 원한다. 인공지능 기술을 도입한다고 정부가 자동으로 스마트해지는 것은 아닐 것이다. 오히려 똑똑한 정부가 민주적이지 않다면 국민에 대한 감시만 강화될 것이다. 그런 면에서 문재인 정부에서도 주민등록번호 제도를 근본적으로 개혁할 생각이 없을 뿐만 아니라, 온라인 주민번호인 연계정보(CI) 제도를 더욱 활성화해 온-오프라인 본인확인과 추적을 강화하는 것에 대해 우려하지 않을 수 없다. (예를 들어, 정부 부처는 이용자 편의를 명분으로 특정 기업의 메신저를 이용한 온라인 전자고지 정책을 도입하고 있는데, 이는 우리가 정부부처에 별도의 회원가입을 하지 않았음에도 주민번호와 CI를 이용해 온라인에서 개인 추적과 식별이 가능했기 때문이다.) 또한 모바일 신분증을 활성화한다고 하는데, 기존 오프라인 신분증을 단지 모바일로 변환하는 것이라고 본다면 지나치게 단순한 생각이다. 오프라인 신분증과 달리 모바일 신분증은 개인이 신분증을 사용하는 모든 순간이 기록으로 남아 사후 및 실시간으로 추적할 수 있기 때문에 프라이버시 침해 위험이 훨씬 크다. 모바일 신분증 도입 전에 충분한 사회적 논의가 필요한 이유다. 특히 이들 CI를 이용한 전자고지제도 및 모바일 신분증은 규제샌드박스에서 일정 기간을 전제로 완화된 정책으로서, 상시 제도가 되기 위해서는 그 위험성에 대한 충분한 사회적 평가와 반대권(the right to object)등 국민의 권리 보장이 제도적으로 보장될 필요가 있다.

국회, 중앙도서관 소장 학술지, 도서 등 디지털화하여 지식플랫폼을 구축한다고 하는데, 단지 디지털화에 그치는 거라면 90년대 후반 공공근로사업을 반복하는 것이나 다름없다. 저작권 때문에 어차피 온라인 열람이 불가능한데 디지털화하는 것이 국민에게 무슨 의미가 있겠는가. 정부가 지식플랫폼 구축의 의지가 있다면, 학술저작물의 오픈액세스 지원 및 공정이용의 확대 정책이 병행되어야 할 것이다.

디지털 뉴딜, 그린 뉴딜 사업에 수많은 사업과 수많은 정보인권이 결부되어 있다. 문재인 정부의 뉴딜 사업이 과거 정부들이 그러했듯 ‘속도가 중요하다’는 이유로 충분한 사회적 논의없이 일방적으로 추진되지 않을지 우려스럽다. 개인정보 보호와 공공정보 공개, 공정이용과 망중립성을 비롯해 디지털 인권의 중요한 가치를 돌아보지 않고 디지털 뉴딜을 밀어붙여서는 안 될 것이다. 그런 식으로 밀어붙였다가는 오히려 사회적 비용만 높아질 뿐 애초 상정했던 목표 달성은 오히려 지연될 것이라는 것을 인식하기 바란다. 기업과 기술에 돈을 뿌리는 것이 국민의 권리 향상으로 이어지지 못하고 나아가 국민의 정보인권을 침해하게 된다면 역사적으로 환영받는 결과를 낳지 못할 것이다.

더불어 조만간 출범할 통합 개인정보보호위원회가 정부의 산업 육성 정책 드라이브에 보조를 맞추는 것이 아니라 독립적인 개인정보 감독기구로서 제대로된 정보인권 안전망의 역할을 해주길 바란다. 디지털 뉴딜은 데이터3법을 통과시키면서 정부와 여당이 개인정보 처리의 안전장치로 강조했던 보호위원회가 국민을 실망시키지 않도록 제 역할을 할 수 있을지에 대한 실험대가 될 것이다. (2020년 7월 15일 , 진보네트워크센터)

붙임3.

시행앞둔 개인정보보호법, 신정법 시행령 각 개정안에 대한 의견서 제출

[보도자료]시행앞둔 개인정보보호법, 신정법 시행령 각 개정안에 대한 의견서 제출

오늘(5월 11일) 참여연대, 진보네트워크센터,민주사회를 위한 변호사모임 디지털정보위원회,서울YMCA,연구공동체 건강과대안, 전국민주노동조합총연맹,진보네트워크센터,한국소비자연맹 등 8개 시민사회단체는 행정안전부 및 금융위원회에 지난 3월 31일 입법예고된 「개인정보 보호법 시행령 일부개정령안」 및 「신용정보의 이용 및 보호에 관한 법률 시행령 일부개정령안」에 대한 시민사회 공동 의견서를 전달했다.

우선 단체들은 서로 다른 개인정보 보호법제 간 혼란 해소와 일원화가 이번 법 개정의 취지였음에도 불구하고, 개정 개인정보보호법과 신용정보보호법이 유사한 조항에 대해 여전히 서로 다른 개념과 표현을 사용하고 있어 수범자의 혼란을 확대하고 있음을 우려했다. 시행령에서라도 이러한 혼란을 최소화하는 방향으로 개정되어야 하며, 개인정보보호법이 기본법이고 개인정보 보호위원회가 개인정보 정책의 컨트롤타워 역할을 하기 때문에, 신용정보보호법에서 달리 규정해야 할 특별한 이유가 없다면 기본적으로 개인정보보호법의 기준에 따라 신용정보보호법 시행령을 개정할 것을 권고했다.

특히, 가명정보의 결합과 관련된 조항은 상당히 개선될 필요가 있다. 개인정보보호법에 따른 가명정보 결합의 경우, 결합 신청이 ‘통계작성, 과학적 연구, 공익적 기록보존 등을 위한 목적’으로 수행되는지 판단하는 절차, 연구자의 자격 요건을 검증하는 절차, ‘신뢰할 수 있는 제3자’를 통한 결합 절차, 결합 데이터 반출의 기준, 연구 목적 달성 후에 폐기를 의무화하는 절차, 해당 결합과 관련된 제반 정보 공개를 위한 투명성 원칙 등 전반적인 데이터 거버넌스 체제를 제대로 구축해야 한다.

신용정보보호법에 따른 결합은 더욱 문제가 많은데 결합키를 결합의뢰기관이 생성하고 결합된 정보집합물을 결합의뢰기관에 반출할 수 있도록 하는 등 사실상 박근혜 정부 당시 <개인정보 비식별조치 가이드라인> 수준으로 개인정보 침해우려가 심각하다.
개인정보보호법 시행령의 경우에는 그나마 별도의 분석공간 내에서 결합된 데이터에 접근할 수 있도록 하는 반면, 신용정보보호법은 최소한의 안전장치도 배제하고 있는 것이다. 더구나 신용정보보호법의 경우 신용정보와 비신용정보 사이의 이종간 데이터 결합을 허용하고 있기 때문에 기업들이 개인정보보호법 상의 규제를 우회하려고 할 가능성이 크다. 개인정보보호법 시행령도 개선되어야 함을 전제로, 신용정보보호법 상의 결합 관련 규정을 개인정보보호법과 통일할 필요가 있다.

그 외에 시민사회가 개인정보보호법 시행령에 대해 개선을 권고한 주요 내용은 다음과 같다.

첫째, 개인정보 보호위원회의 운영과 관련하여, 보호위원회 위원의 겸직금지 관련 조항, 전문위원회의 구성과 운영 관련 조항, 보호위원회 의사(議事) 공개 관련 조항의 개선을 통해 보호위원회가 보다 투명하고 민주적으로 운영되도록 할 것.

둘째, 개인정보의 ‘추가적인 이용·제공’이 개인정보를 수집목적 외로 무분별하게 사용하는 것을 합리화하지 않기 위해서는 정보주체가 합리적으로 기대할 수 있는 범위를 벗어나지 않도록 엄격하게 규정되어야 함.

셋째, 민감정보에 대한 시행령(안) 제18조 4호는 ‘인종이나 민족에 관한 정보’로 만 규정해야 하며, 법률에 근거를 두지 않고 공공기관의 편의에 따라 민감정보 보호를 배제하고 있는 시행령 18조의 단서 조항은 삭제하는 것이 바람직함.
넷째, 가명정보를 처리 목적 달성 후에 폐기하도록 한 것은 긍정적이나, 처리 목적이 지나치게 폭넓게 규정될 경우 파기 조항이 무의미해질 수 있으므로 가명정보의 처리 목적을 구체적으로 규정해야 함.

신용정보보호법의 경우, 우선 시행령(안)의 수많은 조항에서 법에서 위임받은 주요 부분을 다시 고시로 재위임하고 있어 법령의 정확한 내용을 파악하기 힘들어질 뿐만 아니라 위법의 소지가 많기 때문에 고시로의 위임을 최소화할 것을 권고하였다. 그 밖에 개선을 권고한 주요 내용은 다음과 같다.

첫째, 법률의 위임범위를 벗어나 전문개인신용평가업자가 금융거래정보를 취급할 있는 예외를 인정하고 있는 제5조 1항의 단서 조항은 삭제되어야 함.

둘째, 공개된 개인정보의 동의가 있었다고 인정되는 범위를 판단할 때 고려해야 할 요소 일부를 개선할 것과 정보주체가 그 판단의 적절성을 다툴 수 있도록 하는 방안을 포함해야 함.

셋째, 가명처리된 개인신용정보도 (가명처리한) 목적 달성에 필요한 최소기간 동안만 보유할 필요가 있으며 그 이후에는 폐기될 수 있도록 해야 함. 시행령(안) 제17조의2에서 4호를 제외하고는 모두 삭제되어야 함.

한편, 한국인터넷기업협회(이하, ‘인기협’)도 시행령(안)에 대한 의견서를 홈페이지를 통해 공개하였다. 그런데 협회의 의견서를 통해 드러난 인터넷 기업들의 입장은 고객인 정보주체의 권리를 전혀 존중하지 않고 있어 매우 우려스럽다.

우선, 시행령(안) 제14조의2(개인정보의 추가적인 이용·제공 기준 등)와 관련하여, 이 조항을 통해 개인정보의 목적 외 활용을 지나치게 확대하려는 것은 아닌지 우려하지 않을 수 없다. 이 조항에 따른 추가적인 목적 외 이용은 정보주체가 합리적으로 예측가능한 범위 내에서만 이루어져야 한다.

둘째, 민감정보와 관련하여 인기협은 “GDPR에서 사용하는 용어인 안면 영상(facial images), 지문 정보(dactyloscopic data)와 같은 명확한 용어를 사용할 필요가 있”다고 의견을 제시하고 있지만, 이 표현은 GDPR의 서설(recital)에서 그것도 예시로 제시되고 있는 표현일 뿐이며, GDPR도 9조에서 “자연인을 유일하게 식별하기 위한 목적의 생체인식정보(biometric data for the purpose of uniquely identifying a natural person)”로 표현하고 있다. 또한 “추가된 민감정보 중 그 식별성과 침해 위험도 등에 따라 차등적인 규제를 적용할 필요”가 있다고 하고 있지만 민감정보 조항에서 이처럼 달리 규정하고 있는 사례는 찾아보기 힘들다. 그리고 ‘차별적 의미를 내포하거나, 차별할 목적으로 처리될 것이 합리적으로 예상되는 민족 또는 인종에 관한 정보’로 수정 제안하고 있지만, 시민사회 의견서에서 지적한 바와 같이 다른 민감정보와 달리 굳이 ‘민족이나 인종에 관한 정보’만 한정해서 규정할 이유가 없다.

셋째, 인기협 의견서의 가장 큰 문제는 가명정보의 결합과 관련된 부분이다. “개인정보보호법 시행령과 신용정보법 시행령이 서로 다르게 규정하고 있어 실무상 큰 혼란이 예상”된다고 옳게 지적하면서도, 인기협은 개인정보 침해 위험이 더 큰 신용정보법 상의 절차를 선호하고 있다. 인기협이 ‘신뢰할 수 있는 제3자(한국인터넷진흥원)’ 방식이 아니라 결합신청자(기업 등)에 의한 결합키 생성과 결합 데이터의 반출을 선호하면서도, “한국인터넷진흥원에 전달되는 과정에서 유출·침해 등의 위험이 높아질 우려”를 거론하는 것은 기만적이라고 하지 않을 수 없다. 결합된 데이터가 원래의 기업에게 제공되었을 때 재식별의 위험이 없을 것이라 어떻게 장담하는지 의문이다.

넷째, 가명정보에 대해 파기하지 않고 무기한 활용할 수 있도록 해달라는 요구는 차라리 개인정보의 무한 활용에 대한 솔직한 욕망을 드러낸 것으로 보일 지경이다.

국내 기업들의 개인정보에 대한 인식 수준은 개인정보 감독기구의 명칭을 ‘개인정보보호위원회’가 아니라 ‘개인정보위원회’로 하자는 요구에서 드러난다. 인터넷 기업들의 개인정보에 대한 무책임성, 어쩌면 이것이 국내 이용자들의 개인정보 자기결정권에 대한 가장 큰 위협이다. 국내 개인정보보호법은 GDPR에 비해 기업들이 개인정보 처리에 대한 책임성을 갖도록 하는 제도적 장치가 여전히 부족하다. 정부는 기업들이 개인정보를 잘 보호하는 것이 해당 기업의 경쟁력에도 도움이 된다는 인식을 가질 수 있는 제도적 환경을 조성해야 한다.

붙임4.

「가명정보 결합 및 반출 고시(안)」에 대한 시민사회 공동 의견서 제출

「가명정보 결합 및 반출 고시(안)」에 대한 시민사회 공동 의견서 제출

6월 16일, 경제정의실천시민연합 소비자정의센터, 무상의료운동본부, 민주사회를 위한 변호사모임 디지털정보위원회, 서울YMCA 시청자시민운동본부, 연구공동체 건강과대안, 전국민주노동조합총연맹, 진보네트워크센터, 참여연대, 한국소비자연맹 등 9개 시민사회단체는 지난 6월 3일 행정예고된 「가명정보의 결합 및 반출 등에 관한 고시(안)」에 대한 시민사회 공동 의견서를 전달했다.

우선 단체들은 지난 5월 「개인정보 보호법 시행령 일부개정령안」 및 「신용정보의 이용 및 보호에 관한 법률 시행령 일부개정령안」에 대한 의견서에서 가명정보 결합에 관한 조항이 개선될 필요성이 있다고 짚은 바 있다. 하지만 시민사회의 의견이 최종 시행령에 어떻게 반영되었는지에 대한 답변은 아직 받은 바 없으며, 이번에 예고된 고시(안)에 비추어 보건대 시민사회가 우려한 문제점은 여전히 존재하는 것으로 보인다.

정보는 결합되면 결합될수록 식별 가능성이 높아진다. 그러나 고시(안)은 여전히 결합 신청 목적이 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 목적’에 부합하는지 판단하는 절차, 연구자의 자격 요건을 검증하는 절차, 결합 데이터 반출에 대한 기준, 해당 결합과 관련된 제반 정보 공개 등 투명성 원칙 등 전반적인 데이터 거버넌스 체제 구축이 제대로 반영되지 않았다. 개인정보보호법 개정안에 가명정보 결합과 관련된 기준이 제대로 마련되지 않은 만큼 시행령이나 고시에서라도 명확한 기준을 세워 철저하게 관리할 필요가 있다.

시민사회가 지난 개보법 시행령(안)에 대한 의견서에서부터 지속적으로 지적해 온 내용은 다음과 같다.

‘가명정보의 결합 및 반출 실적 보고서’를 개인정보보호위원회에 제출하는 것 외에 결합전문기관의 홈페이지 등에서 결합에 관련한 최소한의 정보를 공개해 과학적 연구 등 해당 목적에 맞게 가명정보 결합이 이루어지고 있는지 등에 대해 사회적 감독을 받아야 함.

개정법에 따르면 전문기관의 가명정보 결합은 가명정보 결합은 “통계작성, 과학적 연구, 공익적 기록보존 등을 위”한 목적으로 수행되어야 한다고 정하고 있음. 그러나 시행령(안)이나 고시(안)에 목적 부합 여부에 대한 심사 여부가 명확하지 않기 때문에, 단순히 결합신청서의 형식적 요건만 충족하면 모든 신청에 대해 결합을 허용할 위험이 있음. 따라서 결합전문기관 내에 (가칭)연구평가위원회를 구성해 해당 결합 신청이 목적에 부합하는지, 더불어 해당 목적을 달성하기 위한 최소한의 데이터만 사용하는지 심사하는 절차를 둘 필요가 있음.

시민사회는 지난 의견서에서 이미 “결합에 필요한 연계정보를 생성하는 ‘신뢰할 수 있는 제3자’ 역할을 한국인터넷진흥원이 수행하는 것으로 되어 있으나 시행령에서는 “특정 개인을 알아볼 수 없도록 하는데 필요한 지원업무”로 표현되어 있어 명확하지 않”다고 지적한 바 있음. 고시(안)에서는 ‘결합키관리기관’을 정의하고 있는데, 시행령에서 이를 규정하는 것이 바람직할 것임.

안전을 위해서는 데이터 반출이 극히 예외적으로만 허용되어야 하고, 그 기준이 명확해야 함. 그런데 개정법에도 기준이 나와있지 않고 시행령(안)에서도 다시 ‘고시’로 구체적인 판단 기준을 위임하고 있음. 그러나 이번 고시(안)에서도 반출 심사 과정에서의 고려 사항만 규정하고 있을 뿐 반출을 해야만 하는 불가피한 이유에 대한 판단은 하지 않고 있음. 어떤 경우가 가명정보 또는 익명정보로 반출이 가능한지 구체적으로 정하되 원칙적으로 익명정보로 반출하도록 하되 예외적인 사유에 한해(즉, 익명처리를 하면 연구가 불가능할 경우) 가명정보로 반출하도록 제한해야 함. 또한 재식별 가능성이 매우 높기 때문에 최소한 익명처리하지 않는 이상, 원래의 개인정보처리자에게는 반출할 수 없도록 규정하는 것이 보다 명확할 것임.

가명정보의 분석 또는 반출 이후 결합전문기관이 관련 정보를 파기해야 할 의무는 규정하고 있지만, 결합된 데이터를 반출한 경우의 해당 데이터를 반출한 기관이 목적 달성 후에 파기하도록 의무화하는 조항이 없음. 결합된 데이터는 목적 달성 후에 파기되어야 하며, 이에 관한 규정이 시행령 혹은 고시에 포함되어야 함.(2020.6.17)