개인정보보호법 법제 정비와 감독기구 일원화

작성일 : 2018년 12월 3일 작성자 : 김보라미 in KISO저널 제33호, 국내외 주요 소식

-인재근의원 대표 발의 개보법 개정안 소개

1. 박근혜 정부의 비식별화가이드라인의 문제점

비식별화 가이드라인으로부터 시작된 개인정보보호규제체계에 대한 수년간의 논쟁이 법안으로 현실화되어 가고 있다.

비식별화 가이드라인의 최초 안은 미래창조과학부가 2013년 12월 11일 [빅데이터산업발전전략]을 박근혜 정부 창조경제 및 정부 3.0의 핵심동력이라고 소개한 이래, 그로부터 7일 후인 2013년 12월 18일 [빅데이터 페어 2013]행사에서 공개된 개인정보를 동의없이 활용할 수 있는 [빅데이터 개인정보보호 가이드라인]을 발표하면서 시작되었다.

그러나 개인정보보호위원회는 “[빅데이터 개인정보 가이드라인]이 규정하고 있는 공개된 개인정보, 이용내역정보라 하더라도 개인정보인 이상 개인정보 보호법 제15조, 정보통신망법 제22조, 제24조에도 적용되며, 제3자에게 적용하는 경우에는 원칙적으로 동의를 받아야 한다]라고 비판하는 의견을 개진하였다.

이후 비식별조치가 이루어지는 경우 동의없는 수집, 이용, 제3자 제공 등의 개인정보처리를 광범위하게 인정하는 범정부 [비식별화 가이드라인]이 제정되었다. 그러나 이 비식별화 가이드라인은 ① 재식별이 90%까지 가능함이 실증보고서에 검증되었음에도, 개인정보가 아닌 것으로 처리하고, ② 개인정보주체들에게 통제권이나 투명성을 인정하지 않는 점 등이 큰 문제로 드러나 참여연대, 민변 등에 의하여 개인정보보호법 및 정보통신망법 등으로 형사고발을 당하였다. 이후 이 비식별조치 가이드라인의 적용은 잠정 중단되었다.

2. 대통령 직속 4차 산업혁명위원회

대통령 직속 4차산업혁명위원회는, 이후 수년간 산업계와 시민사회의 합의가 이루어지지 않았던 개인정보보호법제 논쟁에 대하여, 2018년 4월 3일과 4일 양일간 열린 [제3차 규제・제도 혁신해커톤]에서 다음과 같이 산업계, 법조계, 시민단체가 참석하여 합의가 이루어졌음을 발표하였다.

[가명정보]

가명정보는 ① 공익을 위한 기록 보존의 목적, ② 학술연구목적, ③통계목적을 위하여 당초 수집 목적 외의 용도로 이용할 수 있거나 이를 제3자에게 제공할 수 있으며, 가명처리를 포함한 기술적, 관리적 조치 등 안전조치가 취해져야 한다. 이 때 학술연구목적에는 산업적 연구 목적이, 통계목적에는 상업적 목적이 포함될 수 있다.

[최초 수집목적과 양립되는 추가적인 개인정보의 처리]

정부는 유럽연합 일반개인정보보호법 등 해외 입법례를 참조하여, 가명처리 여부 등 여러 사정을 고려하여 개인정보를 당초 수집한 목적과 상충되지 아니하는 목적으로 활용할 수 있도록 하는 제도를 마련한다.

[익명처리의 절차, 기준 평가]

정부는 익명 처리의 적정성을 평가하기 위한 절차와 기준을 마련할 수 있고, 이러한 절차와 기준은 기술적 중립성에 입각한 것이어야 하며, 강제적인 것이거나 최종적인 것으로 해석되어서는 아니된다. 이때 정부는 적정성 평가를 위해 정보의 속성과 산업별 특성을 반영하여 신뢰할 수 있는 제3의 기관 전문가를 활용하는 등 다양한 제도적 장치를 마련할 수 있으며, 신뢰할 수 있는 제3의 기관은 현행 비식별조치 가이드라인하의 전문기관을 지칭하는 것은 아니다.

[데이터결합]

데이터결합은 사회적 후생을 증진하는 중요한 역할을 할 수 있으나 그 과정에서 발생할 수 있는 개인정보침해의 위험성도 간과되어서는 안된다. 정부는 데이터 결합의 법적 구성방식들을 구체화하고 개인정보 침해 위험에 비례하여 사전적 또는 사후적 통제방안을 마련하도록 노력해야 한다.

3. 인재근 의원안 소개

인재근 의원은 당정합의하에 정부의 개인정보보호법 개정안을 2018년 11월 15일 의원입법형식으로 대표 발의하였다.

가. 개인정보 정의 규정 개정

제2조

1. “개인정보”란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.

가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보

나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보(이 경우, 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다)

제58조의2(적용제외) 이 법은 시간·비용·기술 등 개인정보처리자가 활용할 수 있는 모든 수단을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보에는 적용하지 아니한다.

이 조항은 개인정보의 범위를 “개인정보처리자”를 기준으로 식별가능한 것으로 규정하고 있다. 만약 위와 같은 취지로 개인정보의 정의가 해석될 경우, 그간 개인정보로 해석되어 온 휴대전화번호 IMEI 번호나 IP주소는 개인정보로 해석되지 않을 가능성이 있다.

나. 가명정보의 활용

제2조

8. “과학적 연구”란 기술의 개발과 실증, 기초연구, 응용연구 및 민간 투자 연구 등 과학적 방법을 적용하는 연구를 말한다.

제28조의2(가명정보의 처리 등) ① 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다.

② 개인정보처리자는 제1항에 따라 가명정보를 제3자에게 제공하는 경우에는 특정 개인을 알아보기 위하여 사용될 수 있는 정보를 포함하여서는 아니 된다.

제28조의3(정보집합물의 결합) ① 제28조의2에도 불구하고 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 개인정보처리자간 정보집합물의 결합은 대통령령으로 정하는 기준에 따라 보안시설을 갖춘 전문기관이 수행한다.

② 결합을 수행한 기관 외부로 결합된 정보집합물을 반출하려는 개인정보처리자는 제2조제1호다목 또는 제58조의2에 해당하는 정보로 처리한 뒤 전문기관의 장의 승인을 받아야 한다.

이 조항은 가명처리의 활용범위 및 기업들에게 데이터결합을 허용하였으나, 이의 안전을 담보할 장치들이 법률에 근거하지 아니하고 대통령령에 근거하고 있다.

다. 합리적인 범위내에서의 개인정보의 동의없는 활용 허용

제15조

③ 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위 내에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령이 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용할 수 있다.

제17조

④ 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위 내에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령이 정하는 바에 따라 정보주체의 동의 없이 개인정보를 제공할 수 있다.

이 조항은 유럽 개인정보보호법의 [수집목적과 양립가능한 경우에 관한 규정]을 참조하여 만들어진 규정이나, 중요한 요건사항을 대통령령에 사실상 포괄적으로 위임하였다는 점에서 그 요건들이 구체적이지 아니하다.

라. 개인정보 감독기구의 독립성과 권한

제7조(개인정보보호위원회) ① 개인정보 보호에 관한 사무를 독립적으로 수행하기 위하여 국무총리 소속으로 개인정보 보호위원회(이하 “보호위원회”라 한다)를 둔다.

② 보호위원회는 「정부조직법」 제2조에 따른 중앙행정기관으로 본다. 다만, 다음 각 호의 사항에 대하여는 「정부조직법」 제18조를 적용하지 아니한다.

1. 제7조의8제1항에서 정하는 소관사무 중 제3호 및 제4호의 사무

2. 보호위원회의 심의·의결 사항 중 제1호에 해당하는 사항

행정안전부 및 방송통신위원회가 보유하고 있던 개인정보 감독 권한을 개인정보보호위원회로 이관하고, 개인정보보호위원회를 중앙행정기관으로 격상하여 재정 및 인사권의 독립성을 부여하였다. 그러나 금융위원회의 개인정보감독기능은 위 이관범위내에 포함되지 아니하였다.

제7조의2(보호위원회의 구성 등) ① 보호위원회는 상임위원 2명(위원장 1명, 부위원장 1명)을 포함한 7명의 위원으로 구성한다.

② 보호위원회의 위원은 개인정보 보호에 관한 경력과 전문지식이 풍부한 다음 각 호의 사람 중에서, 위원장과 부위원장은 국무총리의 제청으로 대통령이 임명하고 그 외 위원은 위원장의 제청으로 대통령이 임명 또는 위촉한다.

1. 개인정보 보호 업무를 담당하는 3급 이상 공무원(고위공무원단에 속하는 공무원을 포함한다)의 직에 있거나 있었던 사람

2. 판사·검사‧변호사의 직에 10년 이상 있거나 있었던 사람

3. 공공기관 또는 단체(개인정보처리자로 구성된 단체를 포함한다)에 3년 이상 임원으로 재직하였거나 이들 기관 또는 단체로부터 추천받은 사람으로서 개인정보 보호 업무를 담당하였던 사람

4. 개인정보 관련 분야에 전문지식이 있고 「고등교육법」 제2조제1호에 따른 학교에서 부교수 이상으로 5년 이상 재직하고 있거나 재직하였던 사람

개인정보보호위원회의 구성에 있어서 국회의 통제가 아닌, 대통령의 임명에 의하며, 그 구성에 현직 고위 공무원 등을 포함할 수 있도록 되어 있다.

제7조의11(위원의 제척·기피·회피) ① 위원은 다음 각 호의 어느 하나에 해당하는 경우에는 심의·의결에서 제척된다.

1. 위원 또는 그 배우자나 배우자였던 자가 해당 사안의 당사자가 되거나 그 사건에 관하여 공동의 권리자 또는 의무자의 관계에 있는 경우

2. 위원이 해당 사안의 당사자와 친족이거나 친족이었던 경우

3. 위원이 해당 사안에 관하여 증언, 감정, 법률자문을 한 경우

4. 위원이 해당 사안에 관하여 당사자의 대리인으로서 관여하거나 관여하였던 경우

제7조의12(소위원회)

① 보호위원회는 효율적인 업무 수행을 위하여 개인정보 침해 정도가 경미하거나 유사‧반복되는 사항 등을 심의‧의결할 소위원회를 둘 수 있다.

③ 소위원회가 제1항에 따라 심의‧의결한 것은 보호위원회가 심의·의결한 것으로 본다.

위원의 제척, 기피와 관련하여, 현 개인정보보호법 시행령은 [위원 또는 위원의 배우자, 4촌 이내의 혈족, 2촌 이내의 인척인 사람이나 그 사람이 속한 기관·단체와 이해관계가 있는 사항]에 대하여 제척, 기피제도를 두고 있으나, 개정안은 이보다 좁게 제척, 기피제도를 규정하고 있다. 또한 소위원회의 판단으로 전체위원회 의결을 완전히 생략하는 경우를 규정하고 있다.

4. 개인정보 주체의 권리 및 책임성 조항의 보완의 필요성

정보주체들에게 실질적으로 개인정보통제권을 보장하는 규정들을, 규제완화의 이슈로 접근할 수는 없다. 개인정보통제권 보장이 되지 않는 사회의 민주주의는, 스노든의 폭로 및 최근 캠브리지 애널리티카 등의 사례에서 드러난 것처럼, 심각한 위해에 노출되어 갈 수 밖에 없다.

한편, 4차 산업혁명이라는 구호하에 창조경제정책이 드러냈던 규제완화에 편향된 문제들이 반복될 가능성이 점점 커지고 있다. 지금 당장 그 위협이 드러나지 않더라도 [다목적 강제형식의 주민등록제도]과 [실명제 정책]이 제도가 도입된 지 짧게는 수년 길게는 수십년이 지나 전체 대한민국 국민들의 삶의 안전을 위협하였던 것처럼, [개인정보규제완화]정책 역시 시간이 그 해법을 찾을 수 없을 정도로 사회에 큰 해악을 미칠 가능성이 크다. 따라서 이제는 기술발전에 보조를 맞추어 좀 더 구체적이며, 실질적으로 개인정보통제권을 보장하는 방법들을 섬세하게 고민해야 한다.

인재근 대표발의 개인정보보호법 개정안은, 개인정보처리의 투명성 및 실질적인 통제권 행사가 가능할 수 있어야 함에도 불구하고 이에 대한 안전장치는 명확하게 규정되지 아니하고 있다. 정보주체의 입장에서는 프로파일링을 거부하거나 설명을 요구할 권리가 중요하게 대두되고 있고, 국내에서도 이러한 프로파일링 및 자동화된 처리가 광범하게 도입되고 있으나, 이 법안에서는 이러한 측면의 보호장치는 법률안에서는 드러나지 않고 있다.

이번 개정안이 유럽개인정보보호법을 참조하여 활용을 위한 근거를 규정하였다면, 보호역시 유럽개인정보보호법에서 규정하는 수준을 규정할 필요가 있다. 설계 단계에서부터 개인정보 보호를 고려하도록 한 개인정보 보호 중심 설계(Privacy by Design), SNS나 사물인터넷 기기 등의 기본 설정을 개인정보 친화적으로 하도록 요구하는 개인정보 보호 기본설정(Privacy by Default) 등을 의무화해야 하며, 개인정보 영향평가 역시 강조되어야 할 필요가 있다.

태그 : 가명정보, 감독기구일원화, 개인정보보호법, 유럽개인정보보호법, 인재근의원