본인확인 등 주민번호 수집 및 사용 정책에 대한 건의
2012년 8월 28일
진보네트워크센터
국가인권위원회에 대하여, 국가인권위원회법 제19조에 따라 방송통신위원회에, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제23조의2 내지 제23조의4에 대하여 개선 권고를 하여 주실 것을 건의합니다.
개인정보보호위원회에 대하여, 개인정보보호법 제8조에 따라 방송통신위원회에, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제23조의2 내지 제23조의4에 대하여 개선 의견을 의결하여 주실 것을 제안합니다.
원 인
2011년 SK커뮤니케이션즈에서 운영하는 네이트와 싸이월드에서 약 3,500만 명의 개인정보가 유출된데 이어 올해 KT에서도 870만 명의 개인정보가 유출되는 등 최근 정보통신서비스제공자로부터 대규모 개인정보 유출이 잇따르고 있습니다. 주무부처인 방송통신위원회는 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)을 개정하고 주민번호 보호에 나섰습니다. 그러나 방송통신위원회가 이 법에 의해 주민번호 수집 및 사용이 제한되는 대상으로, 대규모 유출 사고를 일으킨 KT 등 이동통신사와 신용정보업체를 제외시켜 논란이 일고 있습니다. 휴대전화와 아이핀이 본인 인증에 사용된다는 이유에서 이들 업체들을 본인확인기관으로 인정한 것입니다.
그러나 지난 23일 헌법재판소에서는 정보통신망법상 본인확인제에 대하여 위헌 결정을 내렸습니다. 따라서 본인확인 업무에 필요하다는 이유에서 특정 업체들에 주민번호 수집과 사용을 예외적으로 허용하는 것은 입법 취지에 어긋나는 일일뿐더러 위헌적입니다. 특히 이동통신사가 휴대전화 개통과 사용을 위하여 고객의 주민번호를 수집하고 사용하는 것은 아무런 정당성과 법률적 근거가 없는 사적 행위인 관계로, 이를 근거로 정부가 이동통신사를 본인확인기관으로 지정하고, 같은 이유로 또다시 주민번호 사용 제한의 법적 예외로 인정하는 것은 자의적인 법집행이며 논리의 악순환이라 할 것입니다.
따라서 방송통신위원회가 본인확인기관을 자의적으로 지정하고 이를 통해 법상 의무를 회피할 수 있도록 인정한 정보통신망법 제23조의3 내지 제23조의4 및 제23조의2 제1항 제1호는 폐지되어야 합니다. 더불어, 방송통신위원회가 자의적 기준으로 고시를 발표하고 이를 통해 법상 의무를 회피할 수 있도록 인정한 정보통신망법 제23조의2 제1항 제3호 또한 폐지되어야 합니다.
관련 법령
정보통신망 이용촉진 및 정보보호 등에 관한 법률
제23조의2(주민등록번호의 사용 제한) ① 정보통신서비스 제공자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 이용자의 주민등록번호를 수집·이용할 수 없다.
1. 제23조의3에 따라 본인확인기관으로 지정받은 경우
2. 법령에서 이용자의 주민등록번호 수집·이용을 허용하는 경우
3. 영업상 목적을 위하여 이용자의 주민등록번호 수집·이용이 불가피한 정보통신서비스 제공자로서 방송통신위원회가 고시하는 경우
② 제1항 제2호 또는 제3호에 따라 주민등록번호를 수집·이용할 수 있는 경우에도 이용자의 주민등록번호를 사용하지 아니하고 본인을 확인하는 방법(이하 "대체수단"이라 한다)을 제공하여야 한다.
제23조의3(본인확인기관의 지정 등) ① 방송통신위원회는 다음 각 호의 사항을 심사하여 대체수단의 개발·제공·관리 업무(이하 "본인확인업무"라 한다)를 안전하고 신뢰성 있게 수행할 능력이 있다고 인정되는 자를 본인확인기관으로 지정할 수 있다.
1. 본인확인업무의 안전성 확보를 위한 물리적·기술적·관리적 조치계획
2. 본인확인업무의 수행을 위한 기술적·재정적 능력
3. 본인확인업무 관련 설비규모의 적정성
② 본인확인기관이 본인확인업무의 전부 또는 일부를 휴지하고자 하는 때에는 휴지기간을 정하여 휴지하고자 하는 날의 30일 전까지 이를 이용자에게 통보하고 방송통신위원회에 신고하여야 한다. 이 경우 휴지기간은 6개월을 초과할 수 없다.
③ 본인확인기관이 본인확인업무를 폐지하고자 하는 때에는 폐지하고자 하는 날의 60일 전까지 이를 이용자에게 통보하고 방송통신위원회에 신고하여야 한다.
④ 제1항부터 제3항까지의 규정에 따른 심사사항별 세부 심사기준·지정절차 및 휴지·폐지 등에 관하여 필요한 사항은 대통령령으로 정한다.
제23조의4(본인확인업무의 정지 및 지정취소) ① 방송통신위원회는 본인확인기관이 다음 각 호의 어느 하나에 해당하는 때에는 6개월 이내의 기간을 정하여 본인확인업무의 전부 또는 일부의 정지를 명하거나 지정을 취소할 수 있다. 다만, 제1호 또는 제2호에 해당하는 때에는 그 지정을 취소하여야 한다.
1. 거짓이나 그 밖의 부정한 방법으로 본인확인기관의 지정을 받은 경우
2. 본인확인업무의 정지명령을 받은 자가 그 명령을 위반하여 업무를 정지하지 아니한 경우
3. 지정받은 날부터 6개월 이내에 본인확인업무를 개시하지 아니하거나 6개월 이상 계속하여 본인확인업무를 휴지한 경우
4. 제23조의3제4항에 따른 지정기준에 적합하지 아니하게 된 경우
② 제1항에 따른 처분의 기준, 절차 및 그 밖에 필요한 사항은 대통령령으로 정한다.
이 유
□ 최근 대규모 개인정보 유출 사고가 증가하고 있습니다.
○ 2008년 옥션에서 약 1,800만 명의 주민등록번호가 유출된 데 이어, 2011년에는 SK컴즈에서 운영하는 네이트와 싸이월드에서 약 3,500만 명이, 초중학생이 주로 이용하는 넥슨의 게임사이트 메이플스토리에서 1,300만 명의 주민등록번호가 유출되는 등 대규모 개인정보 유출이 계속되어 왔습니다. 올해인 2012년에도 KT에서 870만 명의 개인정보가 유출되는 등 최근 정보통신서비스제공자로부터 대규모 개인정보 유출이 잇따르고 있습니다. 현재 대한민국 인구가 약 5천만 명이고 경제활동인구가 약 2,500만명임을 감안하였을 때, 국민 대다수의 주민등록번호가 이미 유출된 것으로 추정됩니다.
○ 이처럼 대규모 개인정보 유출이 계속되는 원인으로는, 주민등록번호를 식별자로 한 온/오프라인 공공/민간 서비스의 증가와 그에 따른 사회적 이득이 증가해옴에 따라 타인의 주민등록번호를 사용하고자 하는 합법적/불법적 욕구 또한 증가해 왔다는 사실이 꼽힙니다. 유출된 주민등록번호를 이용한 명의도용이나 보이스피싱 등 2차 피해가 급증하여 사회 문제가 되어 왔고, 보안업계는 대규모 유출 사태 이후 주민등록번호를 식별자로 한 본인확인의 효용성이 소멸하였음을 경고해 왔습니다.
○ 헌법재판소는 2012년 8월 23일 정보통신망법 제44조의5 제1항 제2호, 같은 법 시행령 제29조, 제30조 제1항이 헌법에 위반된다고 결정하였습니다. 헌재는 결정문에서 “본인확인제에 의하더라도 가해자가 주민등록번호와 명의를 도용하는 경우에는 가해자를 특정하기 어려움”을 지적하며 정보통신망법상 본인확인제가 본인확인의 입법목적 달성에 실패하였다고 진단하였습니다. 또한 “본인의 이름, 주민등록번호 등의 노출에 따른 규제나 처벌 등 불이익”이 발생할 수 있다는 점을 인정하였으며, “나아가 현재 주로 이용되고 있는 신용정보회사에 의한 게시판 이용자의 이름, 주민등록번호 일치 여부를 확인하는 방법에 의한 본인확인은, 주민등록번호를 부여받을 수 없는 외국인이나 주민등록번호가 없는 재외국민에 대하여 게시판에의 정보 게시를 봉쇄함으로써 그들의 표현의 자유를 사실상 박탈하는 결과에 이르고 있다”고 하며 현재 이루어지고 있는 본인확인업무의 문제점 또한 명확히 적시하고 있습니다.
□ 정부와 국회에서 주민등록번호의 수집과 사용을 제한하려는 목적으로 입법이 이루어졌습니다.
○ 대규모 개인정보 유출 사고가 계속된 후로, 범정부적으로 주민등록번호의 수집과 이용을 제한하는 법제도 개선이 추진되어 왔습니다.
– 방송통신위원회는 인터넷상에서 주민등록번호의 수집이나 이용을 원칙적으로 금지하고 이미 보유 중인 주민등록번호도 2년 이내에 파기하도록 하는 내용의 정보통신망법을 개정 시행하고 있습니다(제23조의2). 다만 ① 정보통신망법에 따른 본인확인기관으로 지정받거나, ② 법령에서 주민등록번호 수집·이용을 허용하는 경우 ③ 영업목적상 주민등록번호 이용이 불가피하여 방통위가 고시하는 경우 이 법의 예외로 두었습니다.
○ 이 조항의 시행으로, 정보통신서비스 제공자의 주민번호 수집과 이용에 대한 강력한 규제의 법적 근거가 마련된 것은 매우 바람직합니다.
– 이와 같은 입법 조치는 지난 2011년 9월 제정시행된 개인정보보호법에서 원칙적으로 고유식별정보의 처리를 제한하도록 규정한 조항(개인정보보호법 제24조)이 신설됨에 따라 기존에는 단지 ‘주민등록번호 외의 회원가입 방법’만을 규정하였던 정보통신망법상의 조항 또한 그에 균형을 맞추기 위해 개정한 측면이 있습니다.
□ 그러나 주민등록번호에 대한 수요가 큰 업종에 대해서 방송통신위원회가 법상 의무에서 예외를 인정한 데 대한 국민적 불신이 계속되고 있습니다. 이는 이 개정 조항(정보통신망법 제23조의2)이 방송통신위원회가 자의적으로 본인확인기관 지정(제1항 제1호)과 고시(동항 제3호)를 통하여 법상 의무에서 예외를 인정할 수 있도록 한데 따른 것입니다. 이는 행정기관의 자의적인 법 해석과 집행을 위헌적으로 허용하는 것은 물론 그로 인하여 이 법의 입법 취지를 비롯하여 개인정보보호법상 고유식별정보의 처리 제한 규정에도 위배되는 결과를 초래하고 있습니다.
□ 본인확인기관 예외에 있어 문제점은 다음과 같습니다(제23조의2 제1항 제1호).
○ 방송통신위원회는 헌재의 본인확인제 위헌 결정에도 불구하고 “본인확인을 위해 이를 유지한다고 해도 불법은 아니다.”고 발표하였습니다. 이는 본인확인제가 익명 표현의 자유를 제한하고 있으며, 주민번호 등 본인확인정보 보관은 게시판 이용자의 개인정보가 외부로 유출되거나 부당하게 이용될 가능성을 증가시킨다는 헌재의 결정 취지를 왜곡하는 해석입니다.
– 헌재의 결정 이후 민간 차원에서 본인확인제를 시행하더라도 국민들의 익명 표현의 자유가 침해되지 않도록 하고, 특히 본인확인을 이유로 주민번호가 수집사용되지 않도록 규제하는 것이야 말로 방송통신위원회의 책무가 되어야 합니다.
– 특히 행정부처인 방송통신위원회가 본인확인기관 지정 권한을 이용하여 법상 예외를 인정함으로써 특정 업종의 주민번호의 수집과 사용을 계속하여 감싸고 도는 것은 주민번호의 수집과 사용을 원칙적으로 제한하도록 한 정보통신망법과 개인정보보호법의 입법 취지를 왜곡하는 행태임은 물론, 법이 행정부처에게 위임한 권한을 넘어서는 위헌적 월권이 아니라 할 수 없습니다.
○ I-PIN을 발급하는 신용정보업체들을 법상 의무에서 예외로 인정하는 것은 바람직하지 않습니다.
– 정부는 주민등록번호 대체수단으로 온라인으로는 I-PIN 등을 권장하고 있습니다. I-PIN은 이를 발급하는 3개 민간 신용정보업체가 이 제도의 집행을 위해 국민들로부터 주민등록번호를 집중적으로 수집하고 이를 본인확인용으로 이용하도록 하는 제도입니다.
– 그러나 이 업체들이 본인확인용으로 사용하는 이름/주민등록번호 데이터베이스의 합법성이 명확하지 않습니다.
– 또한 이들 신용정보업체들은 공공정책으로 확보한 본인확인 정보들을 자사 데이터베이스로의 신규 편입 및 이용, 그리고 유료 가입이력관리 등의 영리적 목적으로 이용하고 있습니다.
○ 가장 큰 문제는 방송통신위원회가 대규모 개인정보 유출 사고를 일으킨 KT 등 이동통신사를 이 법에서 예외적으로 주민번호 수집 및 사용을 허용한 것입니다. 휴대전화가 본인 인증에 사용된다는 이유에서 이들 기관을 본인확인기관으로 지정한 것입니다. 그러나 이동통신사가 휴대전화 개통과 사용을 위하여 고객의 주민번호를 수집하고 사용하는 것은 아무런 정당성과 법률적 근거가 없는 사적 행위입니다.
– 이들 통신사가 고객의 주민번호를 수집 및 이용하는 통신 실명제를 운영하는 것은 채권추심수단 확보를 위한 사적 관행일 뿐입니다.
– 실제로 이동통신사들은 가족요금할인이라는 명목 하에 가족 중 1인에게 집중하여 명의 변경을 하도록 권장하는 정책을 시행하기도 했으며, 이 과정에서 본인 명의가 아닌 휴대전화를 사용하고 있는 국민이 상당수에 이릅니다. 결국 본인이 원할 경우 본인인증용으로 휴대전화를 사용하기 위해 주민번호를 제공할 수 있지만, 기본적으로 휴대전화 명의 설정은 이용자의 사적 선택권의 문제일 뿐입니다.
– 또한 얼마전 KT의 870만 명 이동통신 고객정보 유출 사고에서 볼 수 있듯이, 이동통신사의 주민번호 수집과 사용 관행은 개인정보에 대한 대규모 유출과 오남용을 조장할 뿐 아니라, 개인정보보호법에서 인정하고 있는 고유식별정보의 처리 사유에도 해당하지 않습니다(개인정보보호법 제24조).
– 따라서, 휴대전화가 모두 본인 명의라는 잘못된 전제 하에 정부가 이동통신사를 본인확인기관으로 지정하고, 같은 이유로 또다시 주민번호 사용 제한의 법적 예외로 인정하는 것은 자의적인 법집행이며 논리의 악순환이라 할 것입니다. 특히 국민 대다수의 주민등록번호가 이미 유출된 상황에서 정부 부처가 본인확인수단으로 휴대전화를 권장하는 것은 대포폰 등 명의 도용과 이를 위한 주민번호 유출을 오히려 정책적으로 조장할 위험이 있습니다.
○ 설령 본인확인기관의 지정 제도의 공익성을 인정한다 하더라도 문언상의 ‘본인확인’이란, 원칙적으로 대면에 의해 본인임을 확인하는 절차를 의미합니다. 이때 대면으로 본인을 확인한 후 식별번호를 부여하더라도 본인확인기관에서 고유로 부여하는 식별번호를 사용할 수 있으므로, 본인확인기관이 주민번호를 반드시 수집해야 할 필요성이 있는 것은 아닙니다. 한편, 이미 대규모로 성명, 주민번호, 휴대전화 번호가 유출된 상황에서, 성명, 주민번호, 휴대전화 번호를 온라인상으로 대조하는 제도는 본인확인 기능을 인정하기 어렵습니다.
□ 한편, 고시에 의한 예외에 있어 문제점은 다음과 같습니다(제23조의2 제1항 제3호).
– 보험사의 경우 금융위원회의 적극적인 개입으로 방송통신위원회가 이 업종을 이 법의 예외로 인정하였다는 언론보도가 있었습니다.
– 그러나 “주민등록번호 수집·이용이 불가피한” 사업자를 행정부처가 정하게 하는 것은 주민번호 수집/이용의 문호개방여부를 행정기관에게 허용하는 것으로서 주민번호 수집과 사용을 원칙적으로 제한하려는 입법 취지를 형해화하고 있습니다.
□ 결론적으로, 인터넷 본인확인제가 위헌인 이상, 방송통신위원회가 본인확인기관을 자의적으로 지정하고 이를 통해 법상 의무를 회피할 수 있도록 인정한 정보통신망법 제23조의3 내지 제23조의4 및 제23조의2 제1항 제1호는 폐지되어야 합니다. 더불어, 방송통신위원회가 자의적 기준으로 고시를 발표하고 이를 통해 법상 의무를 회피할 수 있도록 인정한 정보통신망법 제23조의2 제1항 제3호 또한 폐지되어야 합니다. 이것이야말로 행정기관의 자의적인 법 해석과 집행으로부터 주민번호 수집과 사용을 제한하고자 하는 입법취지를 살리는 길이며 주민번호 유출이 계속되는 가운데 국민의 개인정보 자기결정권을 바로 세우는 길입니다. <끝>
2012-08-27
