사단법인 정보인권연구소가 2020년 11월 <유럽연합 「개인정보보호 규정」(GDPR) 등 국제인권기준에 따른 개인정보 보호 법제도 개선방안 연구> 보고서를 발간하였습니다. 이 연구에 진보네트워크센터도 함께 참여하였습니다.
최근 정부와 기업은 데이터 산업 활성화를 위해 개인정보 보호를 완화하는 여러 정책을 추진하고 있습니다. 쇼핑내역은 물론 민감한 건강정보에 이르기까지 많은 개인정보가 정보주체의 동의 없이 광범위하게 가명처리 후 거래되기 시작했습니다. 개인정보 보호법은 지난해 데이터3법 논란에 이어 2차 개정을 눈앞에 둔 상황입니다.
정보주체인 국민들이 지금의 데이터 환경을 신뢰할 수 있을까요. 소비자와 이용자의 개인정보를 부당하게 매매하거나 유출한 기업들은 충분히 책임을 지는 모습을 보여주지 못해 왔습니다. 데이터 산업이 정당하고 투명하지 못하다면 국민에게 어떤 이익이 돌아올 수 있을지 의문입니다. 무엇보다 개인정보 자기결정권은 헌법이 보호하는 기본권으로서 산업 발전을 위하여 이를 부당하게 제한해서는 안 될 것입니다.
데이터 환경은 인공지능 등 기술의 발전으로 갈수록 불투명해지고 있습니다. 그러나 우리 사회에서 정보주체의 권리 보장에 대한 진지한 고민은 4차 산업혁명의 구호 속에 실종되어 가는 듯 합니다. 반면 유럽연합 GDPR 등 국제기준에서는 정보주체가 자신의 개인정보 처리에 대하여 정보를 제공받을 권리, 접근할 권리, 수정할 권리, 삭제할 권리, 처리를 제한할 권리, 이동시킬 권리, 프로파일링 및 자동화된 의사결정에 대하여 행사할 수 있는 권리 등을 정교화해 나가고 있습니다.
또 최근 유럽에서는 기업 등 개인정보를 처리하는 자의 책임성 또한 강화되고 있습니다. 개인정보를 처리하는 자는 제품과 서비스에서 설계에 의한 개인정보 보호(data protection by design)와 기본설정에 의한 개인정보 보호(data protection by default)의 의무가 있고, 특히 고위험 개인정보 처리를 하는 경우 공공은 물론 민간에게도 개인정보 보호 영향평가의 의무가 있습니다. 나아가 개인정보 처리 활동을 기록해야 하고 독립적인 정보보호 책임자(DPO)를 두도록 하고 있기도 합니다. 그러나 안타깝게도 우리의 현행법과 개정안에서는 개인정보 처리자의 책임성 보장이 매우 부실한 상황입니다.
이에 연구보고서는 국내외 현황을 다각도로 살펴보고 정보주체에게 공정하고 투명하고 책임감 있는 개인정보 처리를 위한 정책 권고를 담았습니다. 우리의 개인정보 보호 법제도들은 정보주체의 권리를 충분히 보장하고 개인정보 처리자들의 책임성 또한 강화하는 방향으로 개선해야 할 필요가 있습니다. 또한 인공지능 등 신기술 환경에서 정보 인권을 보장하기 위한 거버넌스와 절차가 마련되어야 하고 국가인권위원회와 개인정보 보호위원회가 제 역할을 해야 합니다. 신용정보법과 개인정보 보호법으로 분산되어 있는 개인정보 보호 체계는 일원화되어야 하고, 정보기관 및 수사기관에 광범위한 예외를 구체적으로 한정할 필요가 있습니다.
국가인권위원회가 발주한 이 실태조사 연구보고서는, 사단법인 정보인권연구소 이사장 이호중 교수(서강대학교 법학전문대학원)가 책임을 맡았습니다. 이은우 변호사(법무법인 지향), 오병일 대표(진보네트워크센터), 장여경 이사(정보인권연구소), 김재완 박사(한국방송통신대학교)가 공동연구원으로 참여하고 희우 활동가(진보네트워크센터)가 연구보조원으로 참여했습니다.
※보고서 전문은 국가인권위원회 또는 [첨부: 유럽연합 「개인정보보호 규정」(GDPR) 등 국제인권기준에 따른 개인정보 보호 법제도 개선방안 연구]를 클릭하여 내려받으실 수 있습니다.