개정 「개인정보 보호법」의 의미와 과제

1. 2차 개정의 배경과 의의

2011년 「개인정보 보호법」이 제정되었으나 대부분 민간 영역은「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 “정보통신망법”)이 적용됨으로써 반쪽짜리「개인정보 보호법」이라는 비난이 제기되었다. 특히 개인정보 보호가 “개인정보보호위원회”(이하 “보호위”)외에 방송통신위원회, 금융위원회 등으로 분산되어 독립된 개인정보 감독기구의 실효성도 의문이었다. 그밖에 가명정보의 활용 근거 마련, 글로벌 규범과의 조화 필요성도 제기되었다. 그 결과 2020년「개인정보 보호법」·「정보통신망법」·「신용정보의 이용 및 보호에 관한 법률」(이하 “신용정보법”)이라 일컫는 ‘데이터 3법’의 개정을 단행하였다. 정보 주체의 동의 없이 과학적 연구, 통계 작성, 공익적 기록 보존의 목적으로 가명 정보를 이용할 수 있는 근거를 마련하였으며, 정보통신망법상 개인정보 규정과 방송통신위원회의 개인정보 보호 기능이 「개인정보 보호법」과 보호위로 이관되었고 독자적 집행 권한을 갖는 독립적 개인정보 감독기구로서 보호위가 출범하게 되었다.

그러나 정보통신망에서의 개인정보 보호에 대한 특례규정을 여전히 별도로 규정함으로써 온-오프라인을 이원화된 방식으로 규제하는 등 실질적 체계화를 이루지 못하였다. 또한 「신용정보법」에서 우선적으로 시행된 마이데이터 사업의 근거가 되는 개인정보 전송요구권의 체계화된 도입 필요성, 이동형 영상정보처리기기에 대한 법적 근거 마련, 개인정보 국외 이전 규정 정비 등 개선 필요성이 제기되었고 이러한 문제를 해결하기 위한 2차 개정안이 2023. 3. 14 공포되어. 2023. 9. 15. 시행을 앞두고 있다.¹

2. 주요 개정 내용

2차 개정은 (i) 개인정보 전송요구권, 자동화된 결정에 대한 거부권 및 설명요구권 등을 신설하여 정보주체의 권리를 확대하고, (ii) 정보통신서비스제공자 등에 대한 특례를 대부분 삭제하며, (iii) 형벌 중심의 제재를 과징금 등 경제적 제재 중심으로 전환하는 내용 등을 담고 있다. 주요 내용은 다음 표와 같다.

표 「개인정보 보호법」2차 개정 주요 내용

3. 2차 개정의 한계

가. 분쟁조정안의 수락 간주

개정에 의하면 분쟁조정의 통지를 받은 경우 특별한 사유가 없는 한 분쟁조정에 참여하여야 하는 대상이 공공기관에서 모든 민간 개인정보처리자로 확대되었으며, 분쟁조정위원회로부터 조정안을 제시받은 날부터 15일 이내에 수락 여부를 알리지 아니할 경우 종전에는 조정안을 거부한 것으로 간주하던 것을, 조정안을 수락한 것으로 간주하도록 변경되었다.

그러나 조정의 본질은 ‘사적자치’에 기반한 분쟁 해결이다. 즉 조정수락 결정에 대한 당사자의 본질적 권한이 배제되어서는 안 된다. 특히 조정수락의 효력은 ‘재판상 화해’ 즉 확정판결과 동일한 효력을 가지므로 명시적 의사가 없이 수락으로 인정하는 것은 자칫 재판청구권의 과도한 제한이 될 수 있다. 유사하게 ‘수락’으로 보는 소비자분쟁조정에 대하여도 이러한 측면에서 비판² 이 제기되고 있는바 신중한 재검토가 필요하다.

나. 가명정보의 파기

개정에 의하면 가명정보의 처리목적을 달성한 경우 파기 의무를 부여할 수 있도록 가명정보에 대한 적용 제외 대상에서 제21조³ 가 삭제되었다. 그러나 가명정보 파기는 현실적으로 그 실효성이 문제 될 수 있다. 가명정보는 통계작성, 과학적 연구, 공익적 기록보존을 위해서는 정보주체의 동의 없이 처리할 수 있으며 여기서 가명정보의 처리에는 개인정보처리자가 스스로 이용하는 행위뿐만 아니라 제3자 제공, 가공·편집도 포함한다.⁴ 따라서 이렇게 처리된 경우 현실적으로 가명정보의 추적, 분리가 곤란하다. 제3자에게 단순 제공된 경우뿐만 아니라, 轉傳제공된 경우 파기의무의 주체는 어디까지인지 의문이다. 또한 가명정보에 다른 정보를 결합하여 제3의 데이터셋이 만들어진 경우 그러한 제3의 데이터셋도 파기하여야 하는지의 문제가 발생한다. 즉 가명정보를 가공·편집한 경우 파기의 대상이 되는 가명정보는 원 가명정보를 다시 추출해서 파기해야 하는지, 아니면 가공·편집된 가명정보를 파기해야 하는지 역시 불분명하다. 또한 보유기간 경과, 개인정보 처리목적 달성 등 개인정보가 불필요하게 되었을 때가 언제인지도 의문이다. 정보주체의 동의 없이 통계작성을 위해 가명정보를 처리하는 경우 통상 통계작성은 거의 반영구적 목적으로 이루어지게 되며 다른 정보와 합쳐져서 편집, 가공되어 통계가 완성되므로, 그러한 통계에서 가명정보만 파기하는 것이 현실적으로 곤란하다. 뿐만 아니라 공익적 기록보존을 위해 가명정보를 처리하는 경우 보유기간, 개인정보의 처리목적 달성 시기 즉 파기시점을 사전에 설정하는 것이 의미가 있을지 의문이다. 그리고 정보주체의 동의 없이 과학적 연구를 위해 가명정보를 처리하는 경우는 기술의 개발과 실증, 기초연구, 응용연구 및 민간 투자 연구 등 과학적 방법을 적용하는 연구를 말한다(제2조제8호 참고). 일례로 코로나19 위험 경고를 위해 생활패턴과 코로나19 감염률의 상관관계에 대한 가설을 세우고, 건강관리용 모바일 앱을 통해 수집한 생활습관, 위치정보, 감염증상, 성별, 나이, 감염원 등으로 가명처리하고 감염자의 데이터와 비교·분석하여 가설을 검증하는 경우 가명정보를 삭제한다면 가설검증 자체가 불가능하며, 검증결과의 신뢰성 상실하게 된다. 또 다른 예로 연령, 성별에 따른 체중관리 운동 시뮬레이션 프로그램 또는 운동관리 애플리케이션을 개발하기 위하여 웨어러블 기기를 이용하여 수집한 맥박, 운동량, 평균 수면시간 등에 관한 정보와 이미 보유한 성별, 연령, 체중을 가명 처리하여 활용하는 경우, 가명정보를 파기한다면 해당 서비스 자체가 불가능하게 된다. 이러한 경우 파기 시점을 해당 서비스 종료 시로 설정할 수밖에 없는데 그러한 경우 파기시점 설정이 의미가 있을지 의문이다.

한편 가명정보 처리의 위험성은 결국 가명정보에 의한 재식별 가능성이라고 할 수 있다. 이미 재식별 방지를 위해 가명정보 처리에 있어서 안전성 조치, 재식별 금지, 재식별 시 회수·파기 조치 등을 규정하고 있으며, 이러한 가명정보에 대하여 파기의 실익이 있는지 의문이다.⁵

다. 징벌적 손해배상

이번 개정에서 기존 실손해의 3배 배상까지 가능하던 징벌적 손해배상을 5배 배상까지 가능하도록 가중하였다. 그러나 징벌적 손해배상이 예정하고 있는 개인정보의 “분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손” 자체는 전형적으로 침해사고가 발생하는 행위유형으로 그 비난 가능성의 가중이 타당한지 그 근거가 불분명하다. 또한 5배 징벌적 손해배상을 규정하고 있는 다른 법령과의 형평성 문제도 제기될 수 있다.⁶ 뿐만 아니라 오히려 해외에서 개인정보를 처리하는 국내사업자가 징벌적 손해배상을 명한 외국법원의 확정판결을 국내에서 집행하도록 하는 부담을 부담케 하는 빌미가 될 수 있다.⁷ 따라서 징벌적 손해배상을 가중한 개정법률은 신중한 재고가 필요하다.

라. 자동화된 의사결정 거부권

개정법은 정보주체에게 “완전히 자동화된 시스템으로 개인정보를 처리하여 이루어지는 결정이 자신의 권리 또는 의무에 중대한 영향을 미치는 경우에는 해당 결정에 대하여 거부할 수 있는 권리와 설명을 요구할 수 있는 권리”를 부여하고 있다. 그러나 ‘완전히 자동화된 시스템’의 의미, ‘인적 개입에 의한 재처리’의 범위, ‘중대한 영향’의 판단기준 등은 매우 중요한 법률의 내용이나 매우 모호하고 불분명하다. 이해관계자의 다양한 의견을 수렴하여 하위 법령이나 지침, 해설서 등을 통해 구체화 될 필요가 있다.

4. 향후 과제

2차 개정은 온-오프라인 개인정보 보호를 일원화하고, 개인정보 이동권자동화 의사결정에 대한 대응권 등 정보주체에게 새로운 권리를 부여하였으며, 규제 사각지대로 지목된 이동형 영상정보처리기기에 대한 규율을 강화하는 등 그간의 개정 요구를 상당 부분 반영하였다고 볼 수 있다. 그러나 초거대 AI, 디지털 혁신의 속도를 고려할 때 여전히 다음과 같은 과제가 남아있다.

가. 인공지능(AI) 환경에서 개인정보 처리 수요 반영

기계학습 기반 AI 개발 비용의 60% 이상이 데이터의 수집, 통합 및 학습용 데이터로의 전환과 품질 검수에 사용된다고 할 정도로 AI의 성능은 학습용 데이터의 양과 품질에 의존한다. 최근 기계학습 연구자들이 AI 시스템의 성능을 높이기 위해 학습 모형 또는 알고리즘 개선보다는 양질의 데이터를 지속적인 수집, 구축, 활용하는 데 주목하는 것도 이러한 이유다.⁸ 여기서 ‘개인정보’는 학습용 데이터의 핵심이라고 할 수 있다. 그러나 개인정보를 학습용 데이터로 처리하기 위해서는 ‘사전고지 및 동의’ 요건을 갖추어야 한다.

한편 개인정보가 AI학습용 데이터로 처리되는 것에 대한 우려는 특정인을 식별할 가능성, 또는 학습 결과인 알고리즘에 원본 데이터를 포함할 가능성 때문이다. 그렇다면 특정인 식별목적을 금지하고 결과값에 원본데이터 포함을 금지한다면 AI학습용 데이터로 공개된 개인정보의 처리를 허용하는 방안에 대한 검토가 필요하다.

나. 적법처리 요건의 융통성/유연성 확보

우리나라는 유럽의 입법례와 유사하게 개인정보처리에 있어서 6가지 적법 요건을 규정하고 있다. 그러나 실제 민간에서 적법 요건으로 적용할 수 있는 것은 1)정보주체의 동의를 받거나(제15조제1항 제1호) 2)정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우(제15조제1항 제4호), 3)개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우(이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한함)(제15조제1항 제6호)로 제한된다. 그러나 대부분 개인정보 처리는 6가지 적법 요건이 무색하리만큼 ‘동의’에 의존하고 있는 것이 현실이다. 특히 제16조 제1항 제2문에서 최소수집이라는 점에 대한 입증책임이 개인정보처리자에게 있기 때문에 제4호 또는 제6호를 활용하는데 제약이 있을 수밖에 없다. 결국 민간영역에서 대부분의 개인정보 처리는 대부분 정보주체의 동의에 의존할 수밖에 없다.

그러나 동의의 한계를 차치하고, 무엇보다도 이러한 열거식 개인정보 적법 요건은 기술/서비스 변화 속도가 빠르고 복잡한 디지털 사회의 적법처리 요건으로 한계를 지닐 수밖에 없다. 더구나 데이터 처리 환경이 나날이 변화ㆍ발전하고 있는 상황에서 개인정보의 처리가 사회 일반의 시각에서 허용되어야 할 필요성이 있을 때마다 이러한 엄격한 적법 요건은 현실과의 괴리를 넓힐 뿐이다. 이러한 문제를 인식하고 다양한 개인정보처리 맥락에서 사회가 허용하는 범위 내에서의 합리적인 처리를 뒷받침하기 위한 일반적 이익형량 규정(제15조 제1항 제6호)⁹ 이 적법 요건으로 도입되었으나, 이는 매우 예외적인 상황에서 엄격한 요건을 충족한 경우에만 적용되어 사실상 개인정보의 적법처리 근거로 제 역할을 하고 있다고 보기 어렵다. 정보주체의 권리와 개인정보처리자의 정당한 이익간 균형을 도모하는 방향으로 ‘개인정보처리자의 정당한 이익’(제15조제1항제6호)의 적용기준이 마련될 필요가 있다.

다. 신용정보법·위치정보법 등 중복·유사 규정의 정비

‘데이터3법’과 이번 2차 개정을 통해 개인정보 보호 관련 법령이 어느 정도 체계화가 이루어졌다고 볼 수 있다. 그러나 여전히 법령 간 적용 대상 정보의 범위, 법 수범자의 범위, 유사·중복 규정 간 적용관계에 있어서 혼란이 남아있는 영역이 있다. 「신용정보법」과 「위치정보의 보호 및 이용 등에 관한 법률」(이하 “위치정보법”)이다. 「신용정보법」의 경우 ‘개인신용정보’에 대하여「개인정보 보호법」과 매우 유사한 규정을 두고, 금융위원회가 감독기관으로서 역할을 하고 있다. 「신용정보법」상의 ‘신용정보관리·보호인’, ‘신용정보활용체제’, ‘신용정보 누설통지’ 제도와 「개인정보 보호법」상의 ‘개인정보 보호책임자’제도, ‘개인정보 처리방침’, ‘개인정보 유출 통지’ 제도는 거의 중복되는 내용이다. 「신용정보법」상의 ’신용정보제공·이용자‘, 「개인정보 보호법」상의 ’개인정보처리자‘의 지위를 동시에 가지고 있는 대부분 사업자는 혼란스러울 수밖에 없다. 「위치정보법」역시 ‘개인위치청보’에 대하여「개인정보 보호법」의 특별법으로 적용되나, 그 내용은 ‘특별’한 규정이라기보다 상당 부분「개인정보 보호법」과 중복된다. ‘8세 이하의 아동 등의 보호를 위한 위치정보 이용(「위치정보법」제26조)’ 등 극히 몇 개의 특칙을 제외한다면 개인정보 보호를 위한 별도의 특별법 체계를 유지하여야 할 타당한 이유가 없다.

국민을 비롯한 법 적용·집행기관 등 수범자의 편의와 법률 명확성의 원칙 등에 비추어 볼 때 특히 법률적용과정에서 발생할 수 있는 모호성을 제거하기 위해서는 이러한 중복·유사 규정이 「개인정보 보호법」체계 안에서 통합, 일원화되어 통일성과 일관성, 체계성을 도모할 필요가 있다.¹⁰

<참고문헌>

김현경, 개인정보 법체계 정합성 확보를 위한 소고-금융, 의료, 정보통신 법역(法域)을 중심으로-, 성균관법학 제28권 제1호, 2016. 3.

김현경, 개인신용정보의 범위에 대한 비판적 고찰- 기본적 상행위 거래정보는 모두 개인신용정보인가? -, 이화여자대학교 법학논집 제25권 제2호 통권 72호, 2020. 12.

김현경, 정보주체의 권리보장과 ‘동의’제도의 딜레마, 성균관법학 제32권제3호, 2020.9.

류승훈, “소비자집단분쟁 해결을 위한 집단분쟁 조정절차의 운영실태 및 개선방안과 관련하여”, 재산법연구 제30권 제4호, 2014.

이용 외, 인공지능 학습 데이터 공유활용 현황과 서비스 구축방향, KISTI ISSUE BRIEF, 제51호, 2022.12.

이인호. 개인정보보호법제 개선을 위한 정책연구보고서 중 “개인정보처리(수집 이용 제공)의 법적 기준에 대한 타당성 분석” 2013.2, 프라이버시 정책연구 포럼, 2013. 2

이해원, 개정「개인정보 보호법」의 사법상 쟁점, 2023년 (사)개인정보보호법학회 봄 학술세미나 발표문, 2023. 5

함영주, “소비자집단분쟁조정제도에 관한 고찰”, 민사소송 제14권, 2010.

1. 다만 일부 규정은 공포된 후 1년이 경과한 날부터, 개인정보 전송요구권에 관한 규정은 공포된 후 1년이 경과한 날부터 공포 후 2년이 넘지 않는 범위에서 시행령으로 정하는 날부터 시행될 예정이다. [본문으로]
2. 류승훈, “소비자집단분쟁 해결을 위한 집단분쟁 조정절차의 운영실태 및 개선방안과 관련하여”, 재산법연구 제30권 제4호, 2014, 205쪽; 함영주, , “소비자집단분쟁조정제도에 관한 고찰”, 민사소송 제14권, 2010, 93쪽.; 김윤정, “소비자분쟁조정제도의 현황과 과제”, 소비자문제연구 제46권 제3호, 2015, 244쪽 [본문으로]

3. 「개인정보 보호법」 제21조(개인정보의 파기) ① 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다.

   제28조의7(적용범위) 제28조의2 또는 제28조의3에 따라 처리된 가명정보는 제20조, 제20조의2, 제27조, 제34조제1항, 제35조, 제35조의2, 제36조 및 제37조를 적용하지 아니한다. <개정 2023. 3. 14.>

   [본문으로]

4. 제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다.

   2. “처리”란 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.

   [본문으로]

5. 한편 유사 규정을 두고 있는 신용정보법 역시 이러한 특수성을 반영하여 일반적인 개인정보에 비해 삭제를 유예할 수 있는 특례를 규정한 것으로 보인다. 즉 개인신용정보의 보유기간에 대한 예외로 ”가명정보를 이용하는 경우로서 그 이용 목적, 가명처리의 기술적 특성, 정보의 속성 등을 고려하여 대통령령으로 정하는 기간 동안 보존하는 경우“를 규정하고(신용정보법 제20조의2제2항) 대통령령에서는 I) 추가정보ㆍ가명정보에 대한 관리적ㆍ물리적ㆍ기술적 보호조치 수준, ii) 가명정보의 재식별 시 정보주체에 미치는 영향, iii) 가명정보의 재식별 가능성, iv) 가명정보의 이용목적 및 그 목적 달성에 필요한 최소기간 등을 고려하여 가명처리를 한 자가 가명처리 시 기간을 정하도록 규정하고 있다(신용정보법 시행령 제17조의2 제3항). [본문으로]
6. 징벌적 손해배상은 현재까지 대략 19개 정도의 법률에 규정되어 있는데, 절대 다수는 ‘실손해액의 최대 3배’를 손해배상액의 상한으로 설정하고 있다. ‘실손해액의 최대 5배’를 손해배상책임 한도로 규정하고 있는 법률은 신용정보법(제43조), 「자동차관리법」(제74조의2), 「중대재해 처벌 등에 관한 법률」(제15조) 정도인 것으로 보인다. 이해원, “개정「개인정보 보호법」의 사법상 쟁점”, 2023년 (사)개인정보보호법학회 봄 학술세미나 자료집, 39쪽 [본문으로]
7. 이와 관련하여 2023.5.18. 개최된 개인정보보호법학회 학술세미나에서 이해원 교수는 “외국 법원이 개인정보 침해 사고에 관하여 국내 개인정보처리자에게 징벌적 손해배상을 선고하고 그 판결이 확정되면, 기존 판례법리에 따라 확정된 외국 판결에서의 손해배상액 중 적어도 ‘실손해액의 5배’까지는 특별한 사정이 없는 한 국내법원이 집행을 승인할 것으로 예측된다”고 한 바 있다. 이해원, 앞의 발표문, 42쪽 [본문으로]
8. 이용 외, 인공지능 학습 데이터 공유활용 현황과 서비스 구축방향, KISTI ISSUE BRIEF, 제51호, 2022.12.26., 1-3쪽 [본문으로]
9. 개인정보보호법 제15조 제1항 제6호 : 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우(이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한함 [본문으로]
10. 김현경, 개인정보 법체계 정합성 확보를 위한 소고-금융, 의료, 정보통신 법역(法域)을 중심으로-, 성균관법학 제28권 제1호(2016.03), 31~68쪽; 김현경, 개인신용정보의 범위에 대한 비판적 고찰- 기본적 상행위 거래정보는 모두 개인신용정보인가? -, 이화여자대학교 법학논집 제25권 제2호 통권 72호 (2020. 12), 257~291쪽 [본문으로]