기사 공유하기

[divide style=”2″]

개인정보, 무엇을 어떻게 보호할 것인가

  1. AI 시대, 세계 각국의 개인정보 보호제도
  2. 대한민국 발명품 ‘가명정보’, 그것이 문제로다
  3. 개인정보 주체가 더 두텁게 권리를 보호받으려면
  4. 개인정보처리자의 책임성 강화: 아홉 가지 제언
  5. 범죄예방와 개인정보: ‘EU 경찰 디렉티브’를 중심으로
  6. 국가인권기구와 개인정보 감독기관
  7. 개인정보, 무엇을 어떻게 보호할 것인가

[divide style=”2″]

 

빅데이터 분석 목적의 개인정보 활용에 대한 논란은 결국 ‘비식별 처리된 정보’, 즉 ‘가명정보’ 활용의 적법성 논란이라고 볼 수 있다. 정부는 개인정보의 수집 목적 외 활용을 위해 가이드라인에 ‘비식별’이라는 법적 근거가 없는 개념을 도입해 가명정보를 일정한 조건 하에 활용할 수 있도록 했고, 이는 자연스럽게 개인정보 보호법 위반 논란을 일으켰다.

신기술과 개인정보

법에 근거하지 않은 개념을 사용했을 뿐 아니라, 가이드라인에 따라 비식별에 대한 개념도 바뀌어 수범자(해당 법규를 따라야 하는 사람)의 혼란을 가중시켰다. 비식별(de-identification)이란 개인정보에서 식별자를 제거하는 것을 의미하는데 식별자를 어떻게, 얼마나 제거하느냐에 따라 그 결과는 다른 정보와 결합해도 더는 개인을 식별할 수 없는 익명정보(anonymised data)가 될 수도 있고, 다른 정보와 결합하면 개인을 식별할 수 있는 가명정보(pseudonymised data)가 될 수도 있다.

인공지능 채팅봇 '이루다' (출처: 스캐터랩) '이루다' 논란은 AI의 윤리성을 담보할 기술 수준(AI의 노예화)에 관한 쟁점과 함께 개인정보의 불법 취득과 비식별 처리된 개인정보의 불완전한 익명화(다른 식별자와 결합해 개인을 특정할 수 있는 가명정보의 문제)의 문제를 낳았다.
인공지능 채팅봇 ‘이루다’ (출처: 스캐터랩) ‘이루다’ 논란은 크게 두 가지다. 1) 첫 번째는 AI의 윤리성 문제다. 이는 AI를 차별과 혐오의 도구로 학습하는 이른바 ‘AI의 노예화’를 어떻게 방지할 것인지에 관한 기술적 차원의 문제이고, 2) 두 번째는 개인정보의 불법 취득과 비식별 처리된 개인정보의 불완전한, 즉 다른 정보와 결합해 어떤 개인을 특정할 수 있는 가명정보의 문제라고 할 수 있다. 이 두 번째 문제는 기업의 자율성(자율규제, 기업 윤리) vs. 법적 규제에 관한 문제이기도 하다.

[dropcap font=”arial” fontsize=”22″]2016년 박근혜 정부[/dropcap]는 정부 부처 합동으로 ‘개인정보 비식별조치 가이드라인’을 발표하였다. 그러나 비식별 조치의 개념은 개인정보 보호법에 근거가 없을 뿐만 아니라, 비식별 처리된 정보로 인한 개인정보 침해가 발생할 경우 법적 책임을 누가 질 것인지 모호하게 규정하고 있다. 특히 결합에 사용되는 정보집합물의 경우 임시대체키를 사용하기 때문에 익명정보로 보기에는 무리가 있는데, 따라서 전문기관을 통한 정보집합물의 결합은 정보주체의 동의없는 제3자 제공으로서 개인정보 보호법 위반 소지가 있었다.

이에 시민사회단체들은 2017년 국정감사를 통해 3억 4천여 만 건의 사용자 개인정보가 동의 없이 결합되어 기업에 제공된 것이 드러나자, 비식별 전문기관과 20개 기업을 개인정보 보호법 등 위반으로 검찰에 고발하였다.

가명정보 결합·분석·반출 절차 [출처: 행정안전부]
가명정보 결합·분석·반출 절차 [출처: 행정안전부]
[dropcap font=”arial” fontsize=”22″]문재인 정부 역시[/dropcap] 빅데이터 환경에서 개인정보 활용을 모색하려는 취지로 대통령 산하 4차산업혁명위원회에서 ‘규제·제도혁신 해커톤’을 운영하였다. 2차·3차 해커톤에서는 비식별화라는 용어보다는 ‘개인정보, 가명정보, 익명정보’로 개인정보와 관련된 법적 개념체계를 정비하기로 합의하였으나 가명정보의 활용 목적과 범위에서 완전한 합의에 이르지 못하였다.

해커톤에서의 논의 이후 정부는 개인정보 보호 법제의 개정을 추진했는데, 정부가 ‘개인정보의 활용’에 초점을 두었다면 시민사회단체는 개인정보 보호법제의 정비와 감독기구의 통합을 촉구했다. 정부의 데이터 정책은 2018년 11월, 개인정보 보호법, 신용정보법, 정보통신망법 등 3개 법안의 개정안(이른바 ‘데이터 3법’)으로 구체화되어 발의되었다. 정부는 이를 ‘데이터 3법’이라고 홍보했으나 시민사회단체들은 ‘개인정보 도둑법’이라 비판하였다. 데이터 3법은 시민사회의 반대와 국회 논의 과정에서의 논란에도 불구하고, 결국 2020년 1월 9일 국회를 통과하였다.

유영민 전 과기정통부 장관 (출처: 과학기술정보통신부) https://www.msit.go.kr/web/msipContents/contents.do?mId=MTYw
유영민 전 과기정통부 장관 (출처: 과학기술정보통신부) 현 청와대 비서실장(2021.1.1.~현재). 유영민 당시 장관(현 비서실장)은 2019년 4월 4일 국회(4차산업혁명특별위원회 전체회의, 자유한국당 송희경 의원의 집문에 대해)에서 “개인정보보호위원회에서 ‘보호’라는 이름을 빼는 것에 대해 행정안전부 등과 협의하겠다.” “(개인정보의) 상업적, 산업적 활용을 활용을 할 수 없게 발목을 잡는 게 개인정보 보호법(…)”이라는 발언을 한 바 있다. 이는 문재인 정부의 개인정보에 관한 철학과 수준을 보여준다.

 

[divide style=”2″]

 

대한민국 ‘발명품’ 가명정보, 그것이 문제로다  

 

그동안 한국의 개인정보 보호체계의 문제점으로 연구자들과 시민사회에서 일관되게 지적해온 문제는 다원적인 개인정보 보호 법제와 독립적인 감독기구의 부재였다. 2016년 10월, 한국 정부가 추진해온 GDPR 적정성 평가가 개인정보 감독기구의 독립성과 권한 미비 문제로 EU 집행위원회로부터 부적격 통지를 받았고, 이후 방송통신위원회가 추진해 온 ‘부분 적정성 평가’도 원활히 이루어지지 못했다.

개인정보보호 체계의 개선과 한계

그러자 정부는 데이터 3법에서 개인정보 보호 법제 및 감독체제를 정비하기로 하였고 2020년 1월 데이터 3법 통과로 개인정보 보호 법제의 통합과 독립적인 감독기구의 설립이 일부 이루어졌다. 그러나 보호법제와 감독기구의 일원화라는 관점에서는 미흡한 점이 남아 있다.

  • 첫째, 신용정보법의 개인정보 관련 조항은 여전히 그대로 남아있으며 금융위원회 역시 개인신용정보에 대한 감독권한을 유지하고 있다.
  • 둘째, 개인정보 보호법과 신용정보법의 유사ㆍ중복 규정으로 인한 혼란이 여전히 남아있으며, 오히려 심화된 측면도 있다. 예를 들어, 개인정보의 정의에서부터 유사하지만 차이가 있으며, 개인정보 보호법에는 익명처리의 개념이 없지만 신용정보법에서는 두고 있다. 개인정보 보호법에서는 ‘과학적 연구’라는 개념을 사용하고 정의 규정을 두고 있지만, 신용정보법은 정의 규정 없이 ‘연구’라는 개념을 사용하고 있다.
  • 셋째, 정보통신망법의 개인정보 관련 조항을 개인정보 보호법으로 흡수한 것은 바람직한 방향이지만, ‘특례’ 형식으로 포함되었기 때문에 여전히 정보통신서비스 제공자인지 여부에 따라 별도의 취급을 받게 되었다.
  • 넷째, 새로 출범한 개인정보보호위원회의 독립성에 대해서도 우려가 제기되고 있다. 개인정보 보호와 관련된 법령의 개선이나 개인정보 보호와 관련된 정책에 있어서 여전히 국무총리의 지휘ㆍ감독을 받고 있기 때문에 개인정보 감독기관으로서 전문성이 아니라 정부의 정치적 지향에 영향을 받을 우려가 있다.
2011년 9월 30일 시행된 개인정보보호법은 2020년 8월 5일 개인정보’도둑법’으로 개정되었습니다. 대한민국 국민의 개인정보에 애도를 표합니다.
2011년 9월 30일 시행된 개인정보보호법은 2020년 8월 5일 개인정보’도둑법’으로 개정되었습니다. 대한민국 국민의 개인정보에 애도를 표합니다.

개정 개인정보 보호법의 쟁점 

1. 개인정보의 비식별 vs. 재식별

국내에 처음 ‘비식별’ 개념이 도입된 것은 2013년 9월 발표된 ‘공공정보 개방·공유에 따른 개인정보 보호 지침’이다. 이 지침은 “공공정보 개방 공유 및 개인 맞춤형 서비스 확대에 따른 개인정보 침해 요소에 대한 선제적 보호조치 강화 및 안전한 활용 기반 마련”을 목적으로 만들어진 것인데, ‘비식별화’를 다음과 같이 규정한다:

“개인정보의 일부 또는 전부를 삭제하거나 다른 정보로 대체함으로서 다른 정보와 쉽게 결합하여서도 특정 개인을 식별하기 어렵도록 하는 일련의 조치”

그러면서 “비식별화된 정보가 다른 정보와의 연계(매칭) 등을 통해 특정 개인을 알아볼 수 있는 개인정보가 되는 것”을 ‘재식별화’로 규정했는데, 이는 비식별화된 정보가 다시 재식별될 수 있음을 염두에 둔 것이다.

당시 개인정보 보호법은 제2조 1호에서 ‘개인정보’를 다음과 같이 정의한다.

“살아있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통해 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합해 알아볼 수 있는 것을 포함한다)를 말한다.”

따라서 비식별화된 정보 역시 다른 정보와 결합해 재식별될 수 있다면 개인정보에 해당한다. 그럼에도 불구하고 이 지침은 개인정보를 애초 수집 목적 외로 분석, 활용하려는 경우, 그 법적 근거가 없을 때에는 “비식별화 조치 후 분석”할 수 있도록 하고 있다. 또한, “공공정보 개방·공개 시에는 특정 개인을 알아볼 수 있는 요소를 삭제하거나 비식별화 처리 후 개방·공개 가능”하도록 하고 있다. 그러나 이는 개인정보의 목적 외 이용 및 제공에 해당해 개인정보 보호법 위반이 될 수 있다.

유럽연합(EU)의 일반개인정보보호규정(GDPR)
유럽연합(EU)의 일반개인정보보호규정(GDPR)

유럽연합의 일반개인정보보호규정(이하 ‘GDPR’ 전문 26)이 개인정보 식별의 주체를 ‘컨트롤러나 다른 사람(by the controller or by another person)’로 보는 것과 달리, 대한민국 정부는 2016년 ‘개인정보 비식별조치 가이드라인’ 안내서에서부터 2020년 ‘가명정보 처리 가이드라인’에 이르기까지 ‘알아볼 수 있는’의 의미를 “해당 정보를 ’처리하는 자’의 입장에서” 판단해야 한다고 폭좁게 해석하고 있다. 즉, 해당 정보를 ‘처리하는 자’의 입장에서 알아볼 수 없다면 개인정보가 아니라는 것인데 개인정보성을 부정하는 것은 아예 개인정보 보호법 자체를 배제하게 되기 때문에 위험하다.

반면 법원은 ‘쉽게 결합하여’의 의미를 “쉽게 다른 정보를 구하기 쉬운지 어려운지와는 상관없이 해당 정보와 다른 정보가 특별한 어려움 없이 쉽게 결합하여 특정 개인을 알아볼 수 있게 되는 것을 말한다”고 판시하고 IMEI와 USIM 일련번호 역시 개인정보라고 보았다는 점에서 정부의 해석과 차이가 있다. 유럽사법재판소도 유동 IP 주소가 개인정보인지 여부에 대한 판결에서 유사한 해석을 내린 바 있다.

2. 우리나라에서 ‘발명’한 개념, 가명정보

개인정보 보호법의 개념 체계를 GDPR로부터 차용했음에도 불구하고, ‘가명처리’ 개념이 활용되는 맥락은 GDPR과 차이가 있다. GDPR은 가명정보를 정의하고 있지 않으며, 유럽기본권청이 발간한 ‘유럽의 개인정보 보호법률 핸드북’에서는 유럽 법률에는 ‘가명정보(pseudonymised data)’라는 개념이 없다고 설명한다. 즉, 유럽에서는 가명정보라는 특정한 상태나 그 방법이 정해져있는 것이 아니라, 개인정보 침해 위험을 줄이기 위한 암호처리 등 여러 ‘안전조치’의 하나로서 가명처리를 인식하고 있으며 다양한 방식과 수준의 가명처리가 가능하다고 보고 있다.

반면 개정 개인정보 보호법에서는 가명정보의 개념을 정의하여 마치 특정한 가명정보가 존재하는 것처럼 오해할 수 있을 뿐만 아니라, 서로 다른 개념인 가명처리와 가명정보의 처리를 같은 것으로 다룸으로써 관련된 여러 규정에 혼란을 일으키고 있다.

일본 기발한 발명품
한국의 발명품  ‘가명정보’에 맞선 일본의 발명품들 (원본 출처 미상)

예를 들어, 제28조의7은 가명정보에 대해 정보주체의 열람권을 배제하는데 가명처리에 대해서도 열람권을 배제하는 것인지가 문제가 될 수 있다. 또한, GDPR에서는 개인정보를 목적 외로 활용하든 그렇지 않든, 개인정보의 가명처리가 가능하다면 안전조치의 하나로서 하는 것이 좋다고 보고 있는 데 반해, 개정 개인정보 보호법은 당초 수집 목적 외 처리를 위한 조건으로 가명처리를 인식하고 있다. 즉, 마치 가명처리만 하면 정보주체의 동의 없이 과학적 연구 목적으로 사용할 수 있는 것처럼 규정하고 있으며, 그 자체로 원래의 개인정보를 보유하고 있는 개인정보처리자 뿐만 아니라 가명정보를 제공받는 제3자 개인정보처리자 역시 별도의 적법성 요건을 갖출 필요 없이 과학적 연구 목적으로 활용할 수 있도록 하고 있다.

3. 주체 동의 필요 없는 ‘과학적 연구의 범위’, 그것이 문제로다 

개인정보 보호법 개정 과정에서 가장 논란이 되었던 이슈 중 하나가 과학적 연구의 범위였다. 시민사회는 빅데이터나 인공지능 기술의 개발에 반대하는 것은 아니지만, 정보주체의 동의 없는 개인정보의 목적 외 활용‘학술연구’로 제한되어야 한다고 본다. “누군가 자신의 행위를 ‘연구’라고 지칭한다고 무조건 허용하는 것이 아니라, 과학적 방법을 사용하고 과학적 가치가 있는 것이어야”하며, “연구 결과물의 공개 등을 통한 과학적, 기술적 기반 확대라는 사회적인 기여가 인정되어야”한다는 것이다.

왜냐하면, “학술 연구나 통계작성을 위해 일정하게 정보주체의 권리를 제약하는 것은 그에 상응하는 사회적인 가치와 기여가 있기 때문”이며, 순전히 사적인 이익을 위한 개인정보 활용을 위해 정보주체의 권리를 제한해야 할 이유가 없다는 것이다.

"과학적 연구"의 범위
정보주체의 동의 없는 개인정보의 목적 외 활용이 가능한 “과학적 연구의 범위”에 관해 시민단체는 ‘학술연구’로 제안되어야 한다고 주장한다.

GDPR은 과학적 연구(scientific research)에 대한 정의를 별도로 두고 있지 않다. 다만, 유럽개인정보보호감독관(‘EDPS’: European Data Protection Supervisor)은 과학적 연구의 개념을 검토하면서 “개인정보처리자가 단지 과학적 연구 목적이라고 주장하는 것으로는 충분하지 않”으며, “과학적 연구가 전체 사회에 유용하며 과학적 지식이 촉진되고 지원해야 할 공공재라는 점을 공통된 전제로 한다”고 보고 있다. 또한 과학적 연구를 위한 개인정보 보호체계의 하나의 기준으로 연구가 주로 사적인 이익이 아니라 사회 전체적인 지식 및 복리의 향상을 목적으로 수행될 것 등을 제시하고 있다.

4. 가명정보의 결합 반출? 아, 기업의 고객정보 판매 허용! 

2016년 ‘개인정보 비식별조치 가이드라인’ 당시부터 큰 논란의 대상이 되었던 이슈 중 하나가 개인정보의 결합이었다.

개정 개인정보 보호법에서는 일정한 요건을 갖추면 개인정보보호위원회나 관계 중앙행정기관의 장이 민간업체도 전문기관으로 지정할 수 있도록 하였고, 시행령에서 한국인터넷진흥원을 결합키 관리기관으로 지정하여, 결합키를 생성하는 결합키 관리기관과 결합을 수행하는 전문기관의 역할을 구분하였다.

문제는 결합된 가명정보를 원 개인정보처리자가 반출할 수 있도록 허용한 것이다. 이에 시민사회단체들은 가명정보 결합에 대해 “기업들에 고객정보를 판매하고 공유할 수 있도록 하는 것”에 다름 아니라고 비판한다. 비록 가명처리를 하더라도 결합된 개인정보는 재식별의 위험성이 높아질뿐더러, 나아가 원래의 개인정보 데이터베이스를 보유하고 있는 개인정보처리자는 최소한 기술적으로는 재식별이 쉽게 가능할 수 있기 때문이다.

국가인권위원회는 개인정보 보호법 시행령 일부개정령안에 대한 검토서에서 “가명 결합정보의 구체적 반출요건을 전면 재검토하고, 고시가 아닌 시행령에 구체적으로 규정할 것”과 외부 반출된 결합가명정보가 금전적 대가를 받고 판매·거래되는 행위를 금지하는 명시적 규정을 보완할 것을 권고하였지만, 수용되지 않았다.

대한민국은 돈이 되다면 의료정보도 함부로 사고파고 가공해 다시 사고파는 게 대체로 권장되는 나라입니다. 대한민국에 오신 것을 환영합니다.
대한민국은 돈이 되다면 의료정보도 함부로 사고파고 가공해 다시 사고파는 게 대체로 권장되는 나라입니다. 대한민국에 오신 것을 환영합니다.

5. 가명정보에 대한 정보주체의 권리 제한

개정 개인정보 보호법 제28조의7가명정보에 대해 정보주체의 권리와 관련된 다수 규정의 적용을 배제한다.

[box]

개인정보 보호법 제28조의7(적용범위)

“가명정보는 제20조, 제21조, 제27조, 제34조제1항, 제35조부터 제37조까지, 제39조의3, 제39조의4, 제39조의6부터 제39조의8까지의 규정을 적용하지 아니한다.”

  • 정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지 (개정 개인정보 보호법 제20조)
  • 개인정보의 파기 (개정 개인정보 보호법 제21조)
  • 영업양도 등에 따른 개인정보의 이전 제한 (개정 개인정보 보호법 제27조)
  • 개인정보의 유출 통지 (개정 개인정보 보호법 제34조제1항)
  • 정보주체의 권리: 열람, 정정·삭제, 처리정지 (개정 개인정보 보호법 제35조부터 제37조)
  • 정보통신서비스 제공자 등에 대한 특례조항 일부 (개정 개인정보 보호법 제39조의3, 제39조의4, 제39조의6, 제39조의7, 제39조의8)

[/box]

가명정보를 처리하더라도 항상 정보주체의 권리 보장이 불가능하거나 혹은 그 권리를 보장하는 것이 정보주체에게 해를 미치게 되는 것은 아님에도 정보주체의 권리에 해당하는 모든 조항을 무조건 적용 배제하는 방식은 타당하지 않다.

GDPR의 경우 제89조의 2항에서 개인정보가 과학적 또는 역사적 연구 목적이나 통계적 목적으로 처리되는 경우 정보주체의 권리를 일부 제한할 수는 있지만, 무조건 해당 조항의 적용을 배제하는 것이 아니라 “정보주체의 권리를 보장하는 것이 특정한 처리 목적의 달성을 불가능하게 하거나 중대하게 손상시킬 것으로 예상되고, 처리 목적을 달성하기 위하여 권리 적용을 일부 제외할 필요”가 있을 때에 한한다. 특히 개인정보 파기에 대한 제21조의 배제특정 목적에 대한 규정 없이 가명정보를 무기한 보관하는 것을 의미한다면 이는 개인정보 보호를 위한 국제규범이나 개인정보 보호법 제3조의 보호원칙에 위반된다.

이제 (전 세계 어디에도 없는 개념인) '가명처리'한 '가명정보'는 정보주체에게 파기했는지 여부를 알려주지 않아도 된다.
이제 (전 세계 어디에도 없는 개념인) ‘가명처리’한 ‘가명정보’는 정보주체에게 파기했는지 여부를 알려주지 않아도 된다. 아무리 4차산업혁명이 좋고, 돈이 좋아도 정보인권이 기본권임을 ‘공약’한 정부에서 이래도 되는 건지 모를 일이다.

6. 과학적 연구 목적의 민감정보 활용

개정 개인정보 보호법의 ‘제3절 가명정보의 처리에 관한 특례’가 제23조 민감정보에도 적용되는지에 대해서 논란이 있을 수 있다. 특히 의료정보를 포함한 개인 건강정보는 개인의 권리에 치명적인 영향을 미칠 수 있는 민감정보이지만, 보건의료 분야의 연구 등 공공적, 산업적 측면에서 활용 가치가 높은 정보로 인식되고 있다. 가명정보 역시 개인정보이기 때문에 제23조에 따라 정보주체의 별도 동의나 법령의 근거 없이는 제3절 가명정보의 처리에 관한 특례에 따라 처리할 수 없다고 볼 수 있다.

그러나 2020년 9월 보건복지부와 개인정보 보호위원회가 공동으로 발간한 ‘보건의료 데이터 활용 가이드라인’에서는 제3절의 규정이 민감정보에도 적용된다고 해석하고 있다. 국내 개인정보 보호법은 과학적 연구 목적 처리에 있어서 일반적인 정보와 민감정보의 구분이 없는 것처럼 해석한 것이다. 이는 민감정보의 처리를 원칙적으로 금지하고 특별히 보호하고자 한 취지를 무시한 것이다.

GDPR의 경우 과학적 연구 등의 목적을 위해 민감정보의 처리를 허용하되 정보주체의 권리 침해를 방지할 수 있는 충분한 안전조치를 규정하는 별도의 법률에 근거하도록 하였다.

심평원까지 나서 국민의 민감한 의료정보팔이에 나선 대한민국. 그야말로 개인정보 막장 국가라고 해도 과언은 아니다.
심평원까지 나서 국민의 민감한 의료정보팔이에 나선 대한민국. 그야말로 개인정보 막장 국가라고 해도 과언은 아니다.

7. 개인정보의 추가적인 이용·제공 기준

개정 개인정보 보호법 제15조 3항 및 제17조 4항은 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용하거나 제공할 수 있도록 규정하였다.

이 규정은 수집 목적과 다른 목적으로 추가 처리될 가능성을 배제하지 않는다는 점에서 처음부터 권리 침해의 가능성을 내포하고 있다. 이 규정은 GDPR의 제6조 제4항의 규정을 국내에 도입한 것이다. 이 규정이 정보주체의 합리적 기대를 벗어나는 방식으로 추가 처리하는 것을 합리화하지 않도록 주의할 필요가 있다.

개인정보 보호법제 개선 방향

이상에서 살펴본 바와 같이 개인정보 보호법은 문제가 많다. 따라서 조만간 개인정보 보호법의 개정이 불가피하다. 지금까지의 분석을 토대로 국내 개인정보 보호 법제의 개선 방향을 제시하자면 다음과 같다.

첫째, 우선 개인정보 보호 법제에 여전히 남아있는 모호함을 해소하는 방향으로의 정비가 필요하다. 정보통신망법과의 실질적인 통합, 가명정보 특례의 모호한 규정의 명확화, 민감정보의 과학적 연구 목적의 처리 등이다.

둘째, 개인정보 보호법과 신용정보법, 그리고 위치정보법 등 개인정보 보호 법제를 일원화하는 방향으로 추가 정비할 필요가 있다.

셋째, 빅데이터, 인공지능 등 신기술 환경에서 정보주체의 권리를 보호하고 개인정보처리자의 책임성을 강화하기 위한 새로운 규범들을 도입할 필요가 있다. 프로파일링 등 자동화된 개별 의사결정에 대한 정보주체의 권리 등의 권리를 도입하고, 개인정보 영향평가, 설계 및 기본설정에 의한 개인정보 보호 등 책임성 강화 제도의 도입도 필요하다.

넷째, 국내 개인정보 보호법의 경우 정보수사기관의 개인정보 처리에 대해서는 폭넓은 예외를 허용하고 있는 만큼, 국제적인 기준에 맞게 규범을 재정비하고 이들 기관에 대한 감독을 강화할 수 있는 방안을 모색해야 한다.

[divide style=”2″]

신용정보법의 쟁점

 

신용정보법에 대해서도 개인정보 보호법에서처럼 가명처리한 개인신용정보의 연구 목적 활용 및 연계와 관련한 논란이 제기된다. 신용정보법에 관해 고유하게 제기된 문제는 다음과 같다.

1. 개인신용정보의 범위

최근 개인신용정보의 개념에 쇼핑몰 거래 내역을 포함하는 문제가 불거진 것은 개인신용정보의 정의가 개정된 데 따른 것이다. 개인신용정보를 금융거래와 관련된 상거래로 한정하여 규정하였던 전과 달리 “상행위에 따른 상거래의 종류, 기간, 내용, 조건 등에 관한 정보”를 폭넓게 포함한 데 따른 논란이 계속되고 있다.

이는 개인정보에 대한 감독 권한이 개인정보 보호위원회와 금융위원회로 이원화된 상황이 초래한 혼란과 갈등으로 볼 수 있다. 이러한 혼란을 해소하기 위해 신용정보법은 금융 및 신용정보 산업에 대한 규율을 다루고 개인정보와 관련된 규율은 개인정보 보호법으로 일원화할 필요가 있다.

개인정보보호위원회 https://www.pipc.go.kr/np/
개인정보보호위원회

2. 익명처리에 대한 적정성 평가

신용정보법은 익명처리에 대한 적정성 평가에서, 적정성 평가가 제대로 되지 않았을 경우 그 책임에 대하여 명확히 규정하지 않았다. 익명처리가 된 것으로 생각했으나 제대로 익명처리가 되지 않아 정보주체에게 피해가 발생할 경우, 개인정보처리자가 어떻게 책임을 질 것인지, 적정성 평가를 잘못하여 피해를 야기한 금융위원회 및 데이터전문기관이 어떠한 책임을 지는 것인지 명확하지 않다. 아무런 책임도 없다면 산업 활성화를 명분으로 손쉽게 적정성 평가를 남발할 가능성을 배제할 수 없다.

3. 공개된 SNS 정보의 수집과 표현의 자유 침해 우려

개정 신용정보법은 “신용정보주체가 스스로 사회관계망서비스 등에 직접 또는 제3자를 통하여 공개한 정보“에 대하여 신용정보주체의 동의를 받지 않아도 되는 예외로 규정하였던 당초 개정안에 대하여 논란이 일자 “이 경우 대통령령으로 정하는 바에 따라 해당 신용정보주체의 동의가 있었다고 객관적으로 인정되는 범위 내로 한정한다”는 단서를 추가하였다.

그러나 국가인권위원회가 의견을 표명한 바와 같이, 정보 주체가 SNS에 스스로 공개한 개인정보라고 하더라도 신용정보 회사가 아무런 제약 없이 수집·이용할 수 있다고 보기는 어려우며, 이용자들이 신용평가를 우려하여 SNS 사용이 위축되고 표현의 자유가 침해될 우려가 있다.

SNS에 올린 정보라고 함부로 신용정보회사에서 사용해도 되나요?
신용정보주체가 스스로 SNS 등에 올린 정보는 신용정보회사가 별다른 제약 없이 수집하고 이용할 수 있다고요? ㅠㅠ

4. 개인신용정보 전송요구권과 마이데이터 사업

개정 신용정보법은 ‘개인신용정보 전송요구권’을 신설하여 마이데이터 사업자가 더 효율적으로 개인정보를 수집할 수 있는 수단을 제공하고 있다. 그러나 전송요구권이 GDPR 제20조 개인정보 이동권을 국내에 도입한 것이라는 금융위원회의 주장과 달리 마이데이터가 서로 다른 사업자들이 보유하고 있는 개인정보의 통합을 지향하고 사업자 편의를 위해 개인신용정보 활용을 촉진하고자 한다는 점에서 이용자가 한 서비스 제공자로부터 다른 서비스 제공자로 전환하는 모델을 상정하고 있는 GDPR의 이동권과 다른 개념이다. 사업자의 편의를 위한 마이데이터 사업은 정보주체의 통제권을 강화하기보다는 개인정보의 유통이나 활용을 강화할 우려가 있다.

KT 네이버 NHN 마이데이터

5. 법체계 문제 ? 하위 규범으로의 지나친 위임

신용정보법이 지나치게 많은 내용들을 하위 법령에 위임하고 있는 점도 문제로 지적된다. 또한 법률에서 시행령에 위임한 사항을 더 구체화하지 않고 고시로 재위임하고 있는 조항도 다수 발견된다. 신용정보법에서 대통령령으로 위임하고 있는 사항이 무려 약 250여 개에 이른다고 한다. 특히 ‘신용정보’의 개념과 관련하여 무려 17부분을 대통령령에 위임하였다.

'당신의 개인정보는 안녕하십니까?' 라는 질문에 실소만 생기는 4차 산업혁명(라고 쓰고) 개인정보 막장(이라고 읽는) 국가, 대한민국.
‘당신의 개인정보는 안녕하십니까?’ 라는 질문에 실소만 생기는 4차 산업혁명(라고 쓰고) 개인정보 막장(이라고 읽는) 국가, 대한민국.

[box type=”info”]

참고: ‘데이터3법’?

  • 개인정보 보호법
  • 정보통신망법(‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’)
  • 신용정보법(‘신용정보의 이용 및 보호에 관한 법률’)

[/box]

 

[divide style=”2″]

[box type=”note”]

이 글은 2020년도 국가인권위원회 일반과제 실태조사 연구용역 최종보고서 [유럽연합「개인정보보호 규정」(GDPR) 등 국제인권기준에 따른 개인정보보호 법제도 개선 방안 연구](2020. 11. 16.)의 요약문을 슬로우뉴스 원칙에 맞게 편집한 글입니다.

보고서의 작성 주체는 사단법인 정보인권연구소이고, 연구 책임자는 이호중 이사장, 공동 연구원은 이은우 이사, 오병일 연구위원, 장여경 이사와 김재완 법학박사입니다. 더불어 보조연구원으로 정선화 진보네트워크센터 활동가가 참여했습니다. (편집자)

[/box]

관련 글