개인정보유출실명제의견서주민등록번호행정심의

카드사 개인정보유출 관련 국회 미래창조과학방송통신위원회 입법청문회 의견진술 (2014. 2. 13.)

By 2014/02/17 No Comments

 최근 카드사태와 관련한 미방위 소관 법률 개정안 검토와 2차 피해 방지 대책에 대한 입장

– 개인정보 보호에서 정보인권으로

 

 

장여경 (진보네트워크센터 정책활동가)

 

1. 입법안 평가

 

(1) 전기통신사업법 개정안 (9건), 이동통신기기 부정이용 방지법안(1건)

 

– 그 구체적인 내용은 다음과 같음

o 보이스피싱 예방 등을 위한 발신번호 변작 방지 의무화

o 스미싱, 스팸 방지를 위한 인터넷발송 문자서비스 규제 강화

o 대출사기 등 불법행위에 사용된 전화번호 이용 정지

o 명의도용 등의 부정이용 방지를 위한 본인확인 및 시스템 구축

 

– 기술적 조치 의무화로 전기통신사업자에 특정한 기술적 기준을 법률로 강제하는 제도는 신중히 도입할 필요가 있음. 해당 제도가 기술 발달 속도를 충분히 따라잡는 실효성을 갖출 수 있을지 의문스럽고, 법정 기술적 조치에 대한 최소 준수가 전기통신사업자의 면책 사유로 인정된다면 추후 개인정보 유출에 대한 이용자 손해배상이 어려워질 수도 있음. 특히 정보통신망 기간사업자가 불법정보 내용탐지 등을 이유로 DPI(Deep Packet Inspection) 등의 기술적 조치를 도입한다면 이용자 통신의 비밀에 중대한 위협을 초래할 수도 있음

 

– 전화번호 변작을 일반적으로 금지할 경우 글로벌한 VoIP 서비스 시대에 이용자 권리를 침해할 우려도 있음. 헌재는 “인터넷은 전세계를 망라하는 거대한 컴퓨터 통신망의 집합체로서 개방성을 그 주요한 특징으로 하므로 외국의 보편적 규제와 동떨어진 우리 법상의 규제는 손쉽게 회피될 수 있고, 그 결과 우리 법상의 규제가 의도하는 공익의 달성은 단지 허울 좋은 명분에 그치게 될 수 있음”을 경고한 바 있음(2012. 8. 23. 2010헌마47·252(병합)).

 

– 한편 방송통신위원회가 다른 법률에 따라 권한이 있는 행정기관의 요청이 있거나 범죄행위에 이용되고 있다는 수사기관의 요청이 있는 경우 특정 전화번호 회선이나 해당 이용자에 대한 전기통신역무 제공의 중지를 명할 수 있도록 하는 경우는 이용자의 이용권 자체를 박탈한다는 점에서 헌법상 기본권인 표현의 자유, 통신의 자유 침해로 이어질 수 있음. 헌재는 해당표현물의 삭제 외에 이용자의 통신망 이용권 자체를 정지 또는 금지시킬 수 있도록 한 (구)불온통신의 단속 조항에 대하여 과잉금지원칙에 위반된다고 설시한 바 있음(2002. 6. 27. 99헌마480 전원재판부).

 

– 무엇보다 부정이용 방지를 명목으로 본인확인 시스템을 확대하는 것은 실효성을 담보할 수 없는 반면 정보인권 침해를 야기할 가능성이 매우 높음. 우선 휴대전화 개통시 본인을 확인하도록 강제하면 일부 사기 수법에 대해서 제한하는 효과가 있을지 모르지만, 휴대전화를 매개로 한 대부업, 결제대행, 채권추심업무가 중단되지 않는 한 수없이 많은 변종의 사기 수법(급전이 필요한 노숙인이나 채무자 본인이 개통토록 하는 등)이 등장할 수 밖에 없음. 휴대전화를 이용한 사기수법 중에는 이용자의 개인정보를 이용하는 경우도 많아, 이용자 보호를 위하여서는 오히려 휴대전화 개통시 본인정보를 연동하는 관행을 재고해야 할 필요성이 증가하고 있음.

 

– 또한 주민번호를 이용한 본인확인 시스템 확대는 특정 본인확인업체(현재 신용정보업체 3개, 공인인증발급기관 5개, 이동통신 3사)에 주민번호와 성명 등 본인확인 정보를 국가정책적으로 집중시키고 영리적 이용을 예외적으로 허용함으로써 대규모 개인정보 오남용과 유출 위험을 조장할 위험이 매우 큼. 이동통신사업자 역시 내외부자를 통한 개인정보 유출 사고에서 자유롭지 않았으며(2012년 KT와 SK텔레콤의 협력업체 직원이 19만건의 휴대전화 가입자 정보를 흥신소 등에 유출 / KT에서 870만명의 고객정보 유출) 이번 카드사 정보유출의 범인이 본인확인기관인 코리아크레딧뷰로 직원으로 밝혀지는 등 본인확인기관 또한 개인정보 집중과 그로 인한 유출에서 자유롭지 못한 상황이라는 점을 엄중 경고하고자 함

 

현재 주로 쓰이고 있는 본인확인방법은 본인확인서비스를 제공하는 제3자인 신용정보회사를 통하여 이용자의 이름, 주민등록번호, 휴대폰, 신용카드 등의 정보를 이용하여 게시판 이용자가 본인인지 여부를 확인하는 것이다 (…) 본인확인제에 의하더라도 가해자가 주민등록번호와 명의를 도용하는 경우에는 가해자를 특정하기 어려움은 마찬가지이고, 위와 같은 가해자의 은폐시도에 따른 특정의 어려움은 통상의 불법행위에서도 발생하는 문제로서 일반적인 수사기법에 의하여 극복될 수 있다 (…) 나아가 현재 주로 이용되고 있는 신용정보회사에 의한 게시판 이용자의 이름, 주민등록번호 일치 여부를 확인하는 방법에 의한 본인확인은, 주민등록번호를 부여받을 수 없는 외국인이나 주민등록번호가 없는 재외국민에 대하여 게시판에의 정보 게시를 봉쇄함으로써 그들의 표현의 자유를 사실상 박탈하는 결과에 이르고 있다. (2012. 8. 23. 2010헌마47·252(병합)

– 민간 영업을 위하여 행정정보 공동이용과 같은 국가정보 시스템을 이용한 본인확인을 의무화하는 것은 해당 개인정보의 목적 외 이용일 뿐 아니라 기본권을 과잉제한한다는 점에서 위헌적임

 

– 무엇보다 우리 개인정보보호법과 헌법에서는 익명 표현의 자유를 보장하고 있다는 사실을 상기할 필요가 있음. 휴대전화 명의 설정 역시 이용자의 사적 선택권의 문제임.

 

개인정보 보호법 제3조(개인정보 보호 원칙)
⑦ 개인정보처리자는 개인정보의 익명처리가 가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다.

 

 

헌법 제21조 제1항에서 보장하고 있는 표현의 자유는 사상 또는 의견의 자유로운 표명(발표의 자유)과 그것을 전파할 자유(전달의 자유)를 의미하는 것으로서, 그러한 의사의 ‘자유로운’ 표명과 전파의 자유에는 자신의 신원을 누구에게도 밝히지 아니한 채 익명 또는 가명으로 자신의 사상이나 견해를 표명하고 전파할 익명표현의 자유도 포함된다 (…) 그런 측면에서 볼 때, 이 사건 본인확인제는 게시판 이용자가 게시판에 정보를 게시함에 있어 본인 확인을 위하여 자신의 정보를 게시판 운영자에게 밝히지 않을 수 없도록 함으로써 표현의 자유 중 게시판 이용자가 자신의 신원을 누구에게도 밝히지 아니한 채 익명으로 자신의 사상이나 견해를 표명하고 전파할 익명표현의 자유를 제한한다. (2012. 8. 23. 2010헌마47·252(병합)

 

 

(2) 정보통신망 이용촉진 및 정보보호 등에 관한 법률 개정안(15건)

 

– 그 구체적인 내용은 다음과 같음

o 통신과금서비스(휴대폰 소액결제) 이용자 권리보호

o 개인정보 유출 방지 및 대응 의무 강화

o 불법스팸 전송 규제 강화

 

– 통신과금 서비스와 정보통신서비스 이용에 있어 소비자의 동의권, 통지권 행사를 보완하고 개인정보 파기 등 개인정보 자기결정권을 보호하려는 조치들에는 일정한 의미가 있음.

 

– 그러나 기술적 조치 의무화에 대한 우려는 앞서 밝힌 바 대로임

 

– 개인정보 유출에 대한 손해배상의 경우 판례를 통해 그 대상과 정도가 정착해 가고 있으나, 사업자가 해당 이용자에 대한 유출 사실 통지 의무를 해태하거나 입증자료를 제공하지 않아 피해자가 피해사실 인지나 입증에 어려움을 겪는 경우가 있음. 이에 대한 제도 보완이 필요함.

 

– 현행법률이 이미 전화·모사전송기기에 영리목적의 광고성 정보를 전송하려는 자로 하여금 수신자의 사전 동의를 받도록 하였음에도 스팸 광고가 범람하는 이유는, 이미 휴대전화번호를 비롯한 방대한 양의 개인정보가 유출되어 불법적으로 사용되는 상황에서 기인한 측면이 큼. 그중 일부는 이용자로부터 ‘마케팅’ 목적으로 포괄동의를 받거나 사실상 강요하는 형식으로 동의를 득하여 합법적 외양을 갖추고 자사 혹은 위탁업체가 광고문자 전송을 하는 형태임. 이에 대해 정보주체가 실효성 있는 동의권 행사를 할 수 있도록 보장하는 조치가 필요함

 

2. 총평

 

(1) 정보인권 인식의 문제

 

– 아직도 개인정보 보호 문제가 ‘유출’에 국한되어 이해되는 경향이 많고, 심지어 ‘보안’ 기술의 적용과 동급으로 취급되고 있기도 한 것으로 보임. 그러나 개인정보 보호는 우선 우리 헌법재판소에서 설시한 개인정보 자기결정권의 보장 차원에서 이해될 필요가 있음

 

개인정보자기결정권의 보호대상이 되는 개인정보는 개인의 신체, 신념, 사회적 지위, 신분 등과 같이 개인의 인격주체성을 특징짓는 사항으로서 그 개인의 동일성을 식별할 수 있게 하는 일체의 정보라고 할 수 있고, 반드시 개인의 내밀한 영역이나 사사(私事)의 영역에 속하는 정보에 국한되지 않고 공적 생활에서 형성되었거나 이미 공개된 개인정보까지 포함한다. 또한 그러한 개인정보를 대상으로 한 조사·수집·보관·처리·이용 등의 행위는 모두 원칙적으로 개인정보자기결정권에 대한 제한에 해당한다 (…) 오늘날 현대사회는 개인의 인적 사항이나 생활상의 각종 정보가 정보주체의 의사와는 전혀 무관하게 타인의 수중에서 무한대로 집적되고 이용 또는 공개될 수 있는 새로운 정보환경에 처하게 되었고 (…) 개인정보자기결정권을 헌법상 기본권으로 승인하는 것은 현대의 정보통신기술의 발달에 내재된 위험성으로부터 개인정보를 보호함으로써 궁극적으로는 개인의 결정의 자유를 보호하고, 나아가 자유민주체제의 근간이 총체적으로 훼손될 가능성을 차단하기 위하여 필요한 최소한의 헌법적 보장장치라고 할 수 있다. (2005. 5. 26. 99헌마513, 2004헌마190(병합))

 

– 결국 개인정보 보호란, 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리, 즉 정보주체가 개인정보의 공개와 이용에 관하여 스스로 결정할 권리를 보장하는 차원에서 이해될 필요가 있음. 개인정보에 대한 정보주체의 결정권을 제약하는 정책은 원칙적으로 정보인권 침해로 볼 수 있음

 

– 개인정보 유출을 방지하기 위한 대책이 익명권 등 정보인권을 침해한다면 아이러니라 아니할 수 없음. 향후 대책에 있어 개인정보 보호 원칙과 정보인권을 반드시 고려해야 함

 

(2) 개인정보 보호 체계의 문제

 

– 최근 카드사 대규모 개인정보 유출 사고에 비추어 입법안 전반적으로 그와 같은 사태를 예방할 수 있는 대책으로서 한계가 있음. 유사한 대책이 반복되어 왔음에도 어째서 피해가 끊이지 않는지 근본적인 성찰이 필요할 때임. 중요한 검토 주제 중 하나로 감독 부처의 적절성을 들 수 있음

 

– 박근혜 정부 출범 직후인 2013년 2 ~ 3월, 정보통신기술(ICT) 분야에서 개인정보 보호 주무부처와 관련한 갈등이 있었던 예를 상기할 필요가 있음. 새 정부의 정부조직 개편 원안(2013. 1. 22. 대통령직 인수위원회 발표)에서 ICT 진흥을 맡은 미래창조과학부가 개인정보 보호업무를 담당하도록 한 데서 본격적으로 불거진 이 논란은 결국 최종안에서 해당 기능이 방송통신위원회에 남게 되면서 마무리됨

 

관련하여 업계는 업무 효율성이 떨어지고 보안산업을 진흥해야 한다는 이유에서 뿐 아니라 빅데이터와 클라우드 등 개인정보를 활용해야 하는 미래 성장 산업의 장애물을 제거(전자신문 2013. 2. 27)하는 차원에서 개인정보 보호 업무의 미래부 이관을 지지하였음. 이에 반해 시민사회는 “한국소비자원의 통계에서도 볼 수 있듯이, 진흥과 규제를 함께하고 있는 금융과 통신 분야의 소비자피해가 가장 많이 발생하고 있다는 사실을 직시해야” 한다며 개인정보 보호 업무의 미래부 이관을 반대하였음. 국가인권위도 “개인정보보호감독기구의 독립성 및 기능을 강화해야한다는 의견”을 밝힘

 

이번에 1억 건이라는 사상 최대의 개인정보 유출사고를 금융권에서 미연에 방지하지 못한 원인 중 하나로 당국의 감독 부실이 지적되고 있다는 사실(SBS 2014. 1. 29)은 ICT 분야에 있어 개인정보 보호 체계의 올바른 수립이 어떠해야 하는지에 있어 큰 시사점을 던져 줌.

 

– 비록 미래부로 이관되지는 않았으나 개인정보 보호 업무를 방송통신위원회에서 수행하는 것에 대해서 원칙적인 검토가 필요할 때임. 인권시민단체들은 오랫동안 방통위와 행정안전부 등에 분산되어 있는 개인정보보호 업무를 개인정보보호위원회에 이관하고, 개인정보보호위원회의 역할과 권한을 강화하는 것이 개인정보보호를 위한 최선의 방안임을 주장해 왔음

 

원칙적으로 업종별 규제기관은 소관 행정부처와 관련 업계의 이해관계나 압력으로부터 자유롭지 못할 뿐 아니라, 방송통신위원회 역시 개인정보 보호를 업종의 이해관계 속에서 사고하는 한계를 노정해 옴. ‘빅데이터 산업 활성화’ 차원에서 현행 법률상 위임 범위를 넘어 이용자 동의권을 제한하는 내용의 빅데이터 가이드라인을 발표(2013. 12)한 것이 대표적임

 

유엔은 1990년 이미 “모든 국가들은 열거된 [개인정보보호] 원칙들의 준수를 감시할 독립된 기관을 설치해야만 하고 이러한 원칙들을 위반한 경우에 대비하는 처벌규정 및 개인보호규정들도 만들어야 한다”는 입장을 채택한 바 있음(개인정보 전산화 가이드라인). 따라서 정보통신망에서의 집행 기능 일부를 방통위가 담당하더라도 전문적이고 독립적인 국가 개인정보 보호 컨트롤타워로서 개인정보보호위원회를 강화할 필요가 있음

 

특히 2011년 개인정보보호법이 제정 시행된 후로는 규율 내용에 있어 정보통신망법과 중복되거나 모순되는 경우가 발생해 왔으며, 정보통신망법에 새로운 규정이 계속 추가되면서 혼란이 가중되고 있음. 이에 정보의 특수성을 고려한 항목에 대하여는 특별법적 논의를 검토하는 것이 합당하다 할지라도 그 외에는 일반법으로서 개인정보 보호법의 보충적 적용을 하는 방향으로 제도를 정비해 가는 것이 바람직하다는 의견을 청취할 필요가 있음.

 

– 정부 각 부처가 이기주의를 벗고 범정부적으로 국민의 개인정보를 보호하고자 최선을 다할 때 이미 전세계 인터넷에 유출되어 있는 개인정보로 유발될 수 있는 국민의 피해를 최소화할 수 있을 것임

 

(3) 주민번호의 원칙적 민간사용 금지

 

– 주민등록번호의 수집 및 이용은 원칙적으로 주민등록에 관한 사무에 국한해야 함. 그러나 정보통신망법은 주민등록번호의 사용 제한(제23조의2) 규정을 두어 왔음에도 “법령에서 이용자의 주민등록번호 수집·이용을 허용하는 경우”(제1항 제2호) 외에 “본인확인기관으로 지정받은 경우”(제1항 제1호)와 “방송통신위원회가 고시하는 경우”(제1항 제3호) 그 예외를 포괄적으로 인정해 왔음

 

– 인터넷 본인확인제에 대한 위헌 결정에도 불구하고 방송통신위원회가 본인확인기관이라는 기형적 산업을 육성하는 데 대한 국민적 불신과 외면이 계속되어 왔음. 이미 전세계 인터넷에 유포된 주민번호를 기초로 한 아이핀은 주민번호의 대안이 될 수 없음. 만능식별번호 체제를 유지하는 한, 전국민 주민번호 대규모 유출사고와 유사한, 전국민 휴대전화번호, 전국민 아이핀 유출 사태를 피할 길이 없음. 우리사회에 필요한 대책은 주민번호와 같은 만능식별번호 체제를 벗어나 다른 나라처럼 원칙적으로 익명권을 존중하고 꼭 필요한 경우 목적별 번호를 도입하는 것으로 충분함.

 

2014-02-15

첨부파일