기사 공유하기

[divide style=”2″]

개인정보, 무엇을 어떻게 보호할 것인가

  1. AI 시대, 세계 각국의 개인정보 보호제도
  2. 대한민국 발명품 ‘가명정보’, 그것이 문제로다
  3. 개인정보 주체가 더 두텁게 권리를 보호받으려면
  4. 개인정보처리자의 책임성 강화: 아홉 가지 제언
  5. 범죄예방와 개인정보: ‘EU 경찰 디렉티브’를 중심으로
  6. 국가인권기구와 개인정보 감독기관
  7. 개인정보, 무엇을 어떻게 보호할 것인가

[divide style=”2″]

 

정보 주체의 권리를 보호하기 위한 개인정보 처리 원칙은 어떤 모습이어야 할까?

우리나라의 개인정보 보호법상 개인정보 보호 원칙은 국제 규범인 유럽연합 일반 개인정보 보호 규정(General Data Protection Regulation: 이하 ‘GDPR’)의 적법성·공정성·투명성 원칙에 입각하고 있다고 볼 수 있다. 하지만 원칙 규정에 있어서도, 개인정보 보호를 위한 가장 필요한 규범적 원칙은 GDPR 규정에서 보는 것처럼 구체적으로 정할 필요가 있다.

특히 다음 ‘각론’에서 좀 더 자세하고 구체적인 내용 규정이 필요하다.

  • 개인정보 처리의 목적 제한의 원칙
  • 데이터 최소화 원칙
  • 정확성 원칙
  • 보관기간 제한 원칙
  • 무결성과 기밀성 원칙

더불어 적절한 기술적, 조직적 조치를 활용한 무단 또는 불법 처리 등으로부터 개인정보의 적절한 보안을 보장하는 방식으로 개인정보처리자가 처리할 것 등 보호조치 강화와 그 책임이 강조되어야 한다.

또한, 개인정보 수집 및 보유 사유 등에 대한 명확한 증명 책임, 개인정보 처리 원칙의 준수 책임과 그에 대한 증명 책임을 개인정보처리자 등(개인정보의 처리 등에 대한 규범 준수자)에게 지우는 원칙이 필요하다.

우리나라 개인보호 원칙은 유럽연합의 개인정보보호규정(GDPR)을 많은 영역에서 참고했지만, 여전히 부족한 부분이 많습니다.
우리나라 개인보호 원칙은 유럽연합의 개인정보보호규정(GDPR)의 적법성과 공정성 그리고 투명성 원칙에 입각하고 있습니다. 다만, 여전히 각론에서는 아쉬운 점이 많습니다.

열람, 접근, 수정, 삭제, 처리 제한

우리나라 개인정보 보호법의 정보 주체의 권리는 대체로 GDPR의 정보 주체의 권리와 유사하며, 미국 캘리포니아 소비자 프라이버시 보호법(California Consumer Privacy Act 2019, 이하 ‘CCPA’)와 일본 개인정보 보호법의 정보 주체의 권리의 내용도 포함하는 것으로 볼 수 있다.

하지만 정보 주체의 권리행사를 보장하기 위한 구체적인 방법에 있어 차이가 있다.

우리나라의 개인정보 보호 규정은 GDPR뿐만 아니라 캘리포니아 프라이버시 규정과도 많은 부분에서 동일하지만,
우리나라의 개인정보 보호 규정은 GDPR뿐만 아니라 캘리포니아 소비자 프라이버시 보호법(CCPA), 그리고 일본 개인정보 보호법과 흡사합니다. 하지만 정보 주체의 권리행사를 보장하기 위한 구체적인 방법에서는 차이가 있습니다.

행사하지 않는 권리

[dropcap font=”arial” fontsize=”21″]가장 큰 문제[/dropcap]는 실제에 있어 우리나라 개인정보 보호법에 규정된 정보 주체의 권리는 그 행사가 거의 이루어지고 있지 않다는 점이다. 그 이유는 정보 주체가 자신이 행사할 수 있는 권리가 무엇이며, 그 내용은 무엇인지를 제대로 인식하지 못하고 있기 때문인 것으로 보인다.

이것은 정보 주체의 권리행사를 보장하고 실행할 수 있도록 하기 위한 법 규범이 미흡한 점에서부터 비롯한다. 이를 개선하기 위해, 특히 GDPR의 정보 주체의 권리행사를 위한 투명한 정보, 통지 및 형식에 대한 규정을 참조하여 우리 법에도 규정함으로써 개인정보 처리 정보를 제공받을 권리를 실효성 있게 강화할 필요가 있다.

우리나라 개인정보 보호법은 정보 주체의 동의를 받을 때에만, ‘알아보기 쉽게 표현’하라고 규정되어 있을 뿐이다. 따라서 동의에서부터 처리에 이르기까지, 정보 주체에게 자신의 권리 및 행사 방법을 고지하고, 정확하고 투명하며 이해하기 쉬운 형식으로 명확하고 평이한 언어를 사용하여 제공할 것을 명확히 규정할 필요가 있다.

열람, 정정, 삭제권 등 정보 주체가 행사할 수 있는 권리의 존재 및 권리행사 방법, 향후 동의를 철회할 수 있는 권리, 감독기관에 민원을 제기할 수 있는 권리, 처리의 법적 근거, 개인정보를 제공할 의무가 있는지 여부, 위탁할 경우 위탁자 및 위탁의 내용(현재 개인정보 처리 방침에만 공개하도록 하고 있음) 등 정보 주체의 권리행사 등을 위해 필요한 항목에 관한 내용 개선이 필요하다.

권리는 있지만, 권리 위에서 잠만 자고 행사하지 않는다면?
권리는 있지만, 권리 위에서 잠만 자고 행사하지 않는다면? 하지만 그 책임을 정보 주체에게만 돌릴 수는 없습니다.

열람권

우리나라 개인정보 보호법은 개인정보의 처리 여부를 확인하고 개인정보에 대하여 사본의 발급을 포함한 열람을 요구할 권리를 보장하고(제4조), 구체적으로는 처리하는 자신의 개인정보에 관한 열람을 보장한다(제35조). 하지만 ‘개인정보의 처리 여부 및 처리의 방법’이 열람권 대상으로 제35조(자기 정보 열람권)에 명시되어 있지 않다는 점은 문제이다. 따라서 이 경우에도 정보 주체 자신의 개인정보의 처리 및 처리자가 보유하고 있는 개인정보, 정보 주체의 권리 및 행사 방법 등 모든 관련 정보를 열람할 수 있도록 개선해야만 한다.

또한, 열람권 행사를 위해서는 개인정보처리자가 서면, 전화, 전자우편, 인터넷 등 정보 주체가 쉽게 활용할 수 있는 방법으로 제공하며 인터넷 홈페이지에 열람 요구 방법과 절차를 명시하는 등의 방법으로 이루어지도록 하고 있다. 그 방법 제공에 있어서는 GDPR이나 CCPA와 거의 같다. 그러나 GDPR과 CCPA는 정보 주체의 접근 및 열람의 편의성을 더욱 강하게 보장하는 방법을 취하여, 정보 주체가 원하는 방식으로 정보 주체의 권리행사에 관한 정보를 제공하도록 규정한다. 이러한 방식은 개인정보처리자가 제공하는 방법과 절차에 의해 정보 주체가 열람권을 행사하도록 하는 우리나라 법과 크게 다른 점이다.

과연 정보 주체가 원하는 방식대로 제공되고 있습니까?
과연 우리나라 개인정보 보호법상 열람권 행사는 정보 주체가 원하는 방식대로 제공되고 있습니까?

우리나라의 개인정보 보호법에서 어떤 경우에는 개인정보처리자가 마련한 방법과 절차를 따르도록 하고 있고, 어떤 경우에는 고시에서 정하는 바에 따라 요청 또는 답변을 하도록 하고 있다. 예를 들어, 고시 제3조 제6항 별지 제8호 서식 [개인정보 열람요구서]는 보호위원회를 통해 공공기관에 열람을 요구하는 경우에 사용하는 서식이고, 고시 제3조 제6항 별지 제9호 서식 [열람의 연기·거절 통지서]는 모든 개인정보처리자로 되어 있다. 이것은 시행령에서 규정하고 있는 것이지만, 열람요구서와 열람의 연기·거절 통지서의 적용 범위가 달라 혼란을 초래할 수 있다.

또한, 공공기관이 아닌 일반 개인정보처리자의 경우 스스로 마련한 방법과 절차에 따라 열람 청구, 정정·삭제 청구를 받고 있는데, 열람 통지, 연기·거절 통지 등은 고시에서 정한 서식으로 하도록 하고 있다. 이러한 서식에 따르지 않았을 경우 어떻게 되는지도 모호하다. 규제기관이 하나의 예시로 서식 등을 제시할 수는 있다. 하지만, 서식의 형식과 상관없이, 정보 주체의 권리행사 등을 위해 필요한 항목 등의 내용을 서식에 반드시 포함하도록 하는 방식으로 개인정보 보호법에 규정하는 것이 바람직하다.

정보 주체가 원하는 가장 쉽고 간단하며 편한 방식으로!
정보 주체가 원하는 가장 쉽고 간단하며 편한 방식으로!

한편 우리나라 개인정보 보호법에서는 동의를 받을 때에만 정보 주체에게 개인정보 수집·이용 목적 등 일부 내용을 고지하도록 하고 있는데, 다른 적법 근거(계약, 법률에 근거 혹은 정당한 이익 등)에 따라 개인정보를 수집할 경우에도 정보 주체에게 관련 사항을 고지하도록 개선해야 할 것이다. 또한, 고지하는 내용이 너무 제한적이므로 열람, 정정, 삭제권 등 정보 주체가 행사할 수 있는 권리의 존재 및 권리행사 방법, 감독기관에 민원을 제기할 수 있는 권리 등 정보 주체의 권리에 대한 내용들도 고지 내용에 포함되도록 하는 것이 바람직하고 필요하다.

정보 주체에게 직접 개인정보를 수집하지 않는 경우, 우리나라 개인정보 보호법은 “정보 주체의 요구가 있을 경우에만” 수집 목적 등 관련 내용을 알리도록 하고 있을 뿐만 아니라 동의가 아닌 다른 법적 근거에 의해 제3자에 제공되는 경우 제공하는 처리자 및 제공받는 처리자가 모두 관련 사항을 고지할 의무가 없다는 점도 문제이다.

즉, 5만 명 이상의 정보 주체에 관하여 민감정보 또는 고유식별정보를 처리하는 자 또는 100만 명 이상의 정보 주체에 관하여 개인정보를 처리하는 자가 정보 주체 이외로부터 개인정보를 수집하여 처리하는 때에는 개인정보의 수집 출처, 처리 목적, 개인정보 처리의 정지를 요구할 권리가 있다는 사실을 정보 주체에게 알려야 하는데, 이 경우에도 정보 주체의 동의를 받아 수집하는 경우에만 적용될 뿐이므로, SNS등 공개된 개인정보를 수집하거나 다른 적법 근거에 따라 다른 소스로부터 개인정보를 수집했을 경우에는 적용되지 않는 문제가 있다. 따라서 GDPR처럼 정보 주체에게 직접 개인정보를 수집하지 않는 경우에도, 고지가 현실적으로 불가능한 예외적인 경우가 아니라면, 주요 개인정보 처리 내용을 고지하도록 개선할 필요가 있다.

제대로 고지하고, 설명하고 있습니까?
정보 주체의 요구가 없더라도 어떤 사람의 개인정보를 간접적으로 혹은 다른 적법 근거에 따라 수집했다면, 해당 정보 주체에게 고지하고, 설명해야 하지 않을까요?

더 나아가서 정보 주체의 권리를 더욱 강하게 보장하고 그 행사를 실효성 있게 하기 위해서는 정보 주체의 권리행사의 편의성을 더욱 높이는 방법과 절차를 강구해야 할 필요성이 있다. 급속하게 변화하는 디지털 환경에서 개인정보 처리 등 관련 정보와 권리에 대한 제공 방법 및 절차에 있어 정보 주체의 가독성과 편의성을 높일 수 있도록 하는 방안을 모색해야만 정보 주체의 권리가 실효성 있게 보장될 수 있을 것이다. 개인정보 처리방침 등을 사이트 홈페이지에 게시하고 있으나, 이러한 방식만으로는 정보 주체의 권리보장 및 행사를 실효성 있게 하지 못한다.

정보 주체가 가입하여 개인정보 처리 등에 대한 동의 절차 등을 거친 후에, 개인정보처리자가 정보 주체에게 보장되어 있는 권리들을 쉽고 간단한 문구를 사용하여 이메일, 메시지, 앱의 알림 등 정보 주체가 원하는 방법으로 알려주도록 강제하여야 한다. 그리고 이러한 권리 내용에 대한 제공은 그 권리와 관련된 사항이 발생했을 때 직접 관련되는 권리 내용을 고지하는 것은 물론이고, 정기적으로도 알려주도록 하는 방법도 강구할 필요가 있다. 또한 해당 정보 주체가 자신의 권리 및 그 행사 등에 대해서 묻고, 이에 답변할 수 있는 방법(예를 들어, 상담 채팅 등의 활용)도 개인정보처리자에게 마련하도록 할 필요가 있다.

알람

우리나라는 정보 주체가 자신의 개인정보를 열람한 후에 정정권 및 삭제권을 부여하는 방식을 취하고 있다. 반면 GDPR, CCPA, 일본 개인정보 보호법 그 어디에도 그러한 방식을 취하고 있지 않다. 정정권 및 삭제권의 행사를 열람권의 행사를 전제로 할 경우, 정보 주체의 권리행사에 넘어야 할 장애물을 하나 더 설치하는 것과 같은 효과를 가지게 되므로 이를 개선하는 것이 바람직하다.

우리나라는 정보 주체가 자신의 개인정보 처리의 정지를 요구할 수 있는 조건을 제한하고 있지 않으며, 처리 전체에 대한 정지 및 처리의 일부 정지도 가능하게 하고 있다. GDPR은 정보 주체의 처리에 대한 제한권은 처리자가 개인정보를 보유는 하며 개인정보의 처리 전체를 하지 못하도록 하고, 제18조 제1항 (a)호부터 (d)호까지에 해당하는 경우 처리 제한권을 부여하고 있다. 즉, 우리나라의 처리정지권은 GDPR보다 넓게 인정된다.

하지만 그러한 처리정지권이 현실적으로 거의 활용되고 있지 않다는 점이 문제로 지적된다. 따라서 이러한 정보 주체의 처리정지권도 앞서 논한 것과 마찬가지로, 그 행사 및 방법을 실효성 있도록 하는 절차와 내용이 필요하다. 또한, GDPR은 정보 주체의 삭제권, 처리 제한권 행사의 예외로 “법적 권리의 확립, 행사 또는 방어를 위한 경우”를 규정하고 있다. 이러한 예외 규정은 우리나라에도 도입할 필요가 있는 것으로 보인다.

개인정보 이동권

개인정보 이동권은 정보 주체가 자신의 개인정보를 보유하고 있는 한 IT업체 등에서 다른 업체 등으로 이동할 수 있도록 정보 주체에게 권리를 주는 것으로, 데이터 산업의 활성화와 경쟁 강화 및 새로운 서비스산업 등의 창출을 위한 맥락에서 고안된 것으로 볼 수 있다. 하지만 디지털 환경에서 데이터 산업의 발전과 확대에 따라 개인정보 침해의 위험도 함께 증대할 것이라는 점을 쉽게 예상할 수 있다.

GDPR은 개인정보 이동권의 행사가 삭제권을 침해하지 않아야 한다고 규정한다(제20조 제3항). 그러나 일반적으로 개인정보 이동권의 행사는 정보 주체가 한 처리자로부터 탈퇴하여 개인정보를 삭제하고, 다른 처리자로 옮기는 방법으로 실현하는 것을 상정한 것이다.

우리나라 개인정보 보호법에서는 개인정보 이동권에 대한 규정이 마련되어 있지 고, 신용정보법에서 규정하고 있다(2021년 2월 4일 시행). 그리고 신용정보법은 신용정보 주체가 해당 개인신용정보의 정확성 및 최신성이 유지될 수 있도록 정기적으로 같은 내역의 개인신용정보를 전송하여 줄 것을 요구할 수 있다는 점(제33조의2 4항)에서, 기존 처리자에 의한 처리와는 별개로 마이데이터 사업자에 대한 통합 처리 및 개인정보 유통을 고려하여 둔 규정이라는 것을 알 수 있는데, 이 점에서 GDPR이 상정하고 있는 모델과 큰 차이가 있다.

우리나라 개인정보 보호법에는 뭔가 중요한 게 없습니다.
우리나라 개인정보 보호법에는 뭔가 중요한 게(‘개인정보 이동권’) 없습니다.

GDPR은 프로파일링 등에 의해 추론되거나 파생된 개인정보를 개인정보 이동권의 대상에서 제외함으로써 위험성을 줄이고자 하며, 특히 컨트롤러에게 일반적으로 완전성 및 기밀성에 따라 적절한 기술적, 조직적 수단을 이용해 무허가 또는 불법적인 처리와 돌발적인 손실, 파괴 또는 손상으로부터의 보호를 비롯한 개인정보의 적절한 보안을 보장하도록 하는 의무를 지움으로써 개인정보 침해의 위험성을 실효성 있게 막고자 한다.

CCPA는 개인정보 이동권을 접근권의 하나로 인정하고, 개인정보 이동권의 대상이 되는 개인정보를 이동권을 청구하는 시점에서 12개월 전까지 수집된 정보에만 한정하는 제한을 가함으로써 일정 부분 개인정보 침해 위험성을 줄이고자 한다. 또한, 정보 주체가 개인정보를 받아서 그것을 다른 기업에 방해 없이 자유롭게 전송할 수 있도록 하고, GDPR처럼 한 기업에서 다른 기업으로 바로 전송되게 할 의무까지는 인정하지 않음으로써 정보 주체인 소비자의 개입과 결정권을 강화하고 있는 것으로 보인다.

우리나라는 신용정보법에서만 GDPR과는 취지를 달리하는 개인신용정보의 전송요구권을 규정한다. 우리나라도 4차 산업혁명에 따른 데이터 산업의 활성화 및 경쟁 강화를 표방하고 있다. 또한 그에 따른 개인정보 침해의 위험성도 증대된다. 그러나 개인정보 보호법에 일반적인 개인정보 이동권 및 규제에 관한 규정을 마련하지 않음으로써, 개인신용정보와 직접 관련이 없는 데이터 산업에서의 개인정보 전송 등에 대한 개인정보 침해의 위험에 대해 정보 주체의 권리가 보장되지 못하는 한계와 문제점을 가지게 될 수 있다.

따라서 GDPR의 정보 주체의 개인정보 이동권에 관한 규정과 CCPA의 일부 규정을 토대로 개인정보 보호법에 일반적인 정보 주체의 개인정보 이동권을 보장하고, 그에 따른 개인정보 침해에 대한 실효성 있는 방지 및 사후규제에 관한 규정을 마련해야 한다.

프로파일링과 자동화된 의사결정

알고리즘의 자동화된 의사결정 과정에는 우선순위 결정, 분류, 관련짓기, 필터링이라는 일련의 과정이 존재하게 된다. 이 과정에서 인간의 개입에 따른 오류와 편향성, 검열의 가능성 등과 같은 본질적인 차별적 성격이 투입될 수도 있게 된다. 따라서 편향적인 데이터와 이를 통해 학습한 인공지능 알고리즘이 만들어내는 부정적인 결과인 차별, 편견, 배제 등을 효과적으로 규제하고 교정할 수 있는 방안들도 함께 모색되어야 할 필요성이 제기된다.

인공지능 채팅봇 '이루다' (출처: 스캐터랩) '이루다' 논란은 AI의 윤리성을 담보할 기술 수준(AI의 노예화)에 관한 쟁점과 함께 개인정보의 불법 취득과 비식별 처리된 개인정보의 불완전한 익명화(다른 식별자와 결합해 개인을 특정할 수 있는 가명정보의 문제)의 문제를 낳았다.
인공지능 채팅봇 ‘이루다’ (출처: 스캐터랩) ‘이루다’ 논란은 AI의 윤리성을 담보할 기술 수준(AI의 노예화)에 관한 쟁점과 함께 개인정보의 불법 취득과 비식별 처리된 개인정보의 불완전한 익명화(다른 식별자와 결합해 개인을 특정할 수 있는 가명정보의 문제)의 문제를 낳았다.

GDPR은 제22조에서 정보 주체에게 프로파일링을 포함해 자동화된 처리만을 바탕으로 한 결정으로서 자신과 관련한 법적 영향 또는 이와 유사하게 중대한 영향을 미치는 결정의 대상이 되지 않을 권리를 인정하고 있다. 또한, 프로파일링 및 자동화된 의사결정에 관련된 개인정보 처리와 관련된 정보를 제공받을 권리를 두고 있으며, 부정확한 개인정보에 기반한 프로파일링 및 자동화된 의사결정에 대한 수정권, 삭제권(잊힐 권리), 프로파일링 등에 관련된 개인정보의 처리에 대한 제한권, 거부권 등도 인정된다.

우리나라의 개인정보 보호 법제에는 프로파일링 및 자동화된 의사결정에 대한 직접적인 정의 규정은 마련되어 있지 다. 개인정보 보호법에서는 ‘처리’란 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그 밖에 이와 유사한 행위를 말하는 것으로 정의한다(제2조 제2호). 신용정보의 이용 및 보호에 관한 법률(신용정보법)에서는 ‘처리’란 신용정보의 수집(조사를 포함), 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 결합, 제공, 공개, 파기, 그 밖에 이와 유사한 행위를 말하는 것으로 정의하고(제2조 제13호), ‘자동화평가’란 신용정보회사 등의 종사자가 평가 업무에 관여하지 아니하고 컴퓨터 등 정보처리장치로만 개인신용정보 및 그 밖의 정보를 처리하여 개인인 신용정보 주체를 평가하는 행위를 말하는 것으로 정의한다(제2조 제14호).

개인정보 보호법에서는 프로파일링 및 자동화된 의사결정에 관한 규정은 전혀 ‘없’으며, 신용정보법은 신용정보와 관련해서만 부분적으로 자동화 평가를 규정하고 있을 뿐이다. 신용정보법은 자동화 평가는 기본적으로 가능하고 단지 자동화평가와 관련된 설명을 요구하고 추가 정보를 제공할 권리만을 인정하고 있다. 이에 인적 개입을 요구할 권리의 여지는 볼 수가 없다.

또한, 신용정보 주체의 자동화된 평가가 모두 GDPR 제22조의 의미에서 ‘법적 영향을 발생시키거나 이와 유사하게 중대한 영향을 미치는 자동화된 처리’인지, 아니면 GDPR보다 폭넓게 규제하고자 하는 것인지는 모호하다. 더욱 큰 문제는 처음부터 신용평가 자체가 정보 주체의 동의 없이 이루어지고 있다는 점이다. 마찬가지로 신용정보법은 정보 주체의 권리에 대해 사전에 정보 주체에게 고지할 의무를 포함하고 있지 않다.

우리나라 등급
우리나라 처음부터 신용평가 자체가 정보 주체의 동의 없이 이루어지고 있다. 즉, 신용정보법은 정보 주체의 권리에 관해 사전에 이를 고지할 의무가 없다고 규정한다.

개인정보의 보호를 위한 일반법이자 기본법이라고 할 수 있는 개인정보 보호법에서 인공지능시스템으로 인한 개인정보 침해 문제를 규율할 수 있는 기초적인 규범조차 마련되지 않은 것은 커다란 문제다. 우리나라의 개인정보 보호 법제에서 프로파일링 및 자동화된 의사결정에 대한 직접적인 규정이 마련되어 있지 않기 때문에, 이에 대한 정보 주체의 권리 인정 및 감독기관의 감독 규제에 한계와 공백을 초래하게 될 것이다. 따라서 GDPR의 프로파일링 및 자동화된 의사결정에 관한 개념 및 정보 주체의 권리 규정을 참조하여 우리나라 개인정보 보호 법제에 마련해야 할 것으로 보인다.

동의제도, 어떻게 바꿀 것인가 

현행 동의 제도가 지나치게 복잡하고 현실성이 없다고 비판하며 개선해야 한다는 주장이 제기되고 있다. 현행 동의제도의 문제점으로는 동의 절차가 형식적이라는 점, 사물인터넷과 같은 기술 환경에 적용하기 힘들다는 점, 지나치게 엄격하고 복잡하다는 점 등이 제기된다.

우선, 형식화되어 있는 현행 동의제도를 개선하기 위해서는 우선 정보에 기반한 동의(informed consent)를 실질화하는 방안을 모색할 필요가 있다. 중요한 내용은 단순하고 명확하게 전달하면서도 원하는 사람은 찾아볼 수 있도록 전체 정책에 접근하는 방법을 제공할 수도 있다. 중요한 것은 정보 주체에게 실질적이고 효율적으로 정보를 제공하는 방법을 모색해야 한다는 것이다.

이와 병행하여 소비자단체, 개인정보 보호위원회, 소비자보호원 등 전문기관들이 주요 개인정보처리자들의 약관이나 개인정보 처리방침이 문제가 있는지 사전에 검토함으로써 불공정한 개인정보 처리방침으로 인한 피해를 방지할 수 있다. 현행 동의제도를 포괄 동의로 전환하자거나 사전 규제를 없애자는 제안도 있지만, 이것이 어떻게 정보 주체의 보호로 이어지는지 납득하기 어렵다. 사후적으로 개인정보 오남용에 대해 강력히 제재하자는 것은 사전 동의제도와 양립할 수 없는 것이 아니다.

행정 편의를 위해 정보 주체의 동의를 생략하겠다고요?

 

둘째, 동의 외에 개인정보 수집을 위한 다른 적법 근거를 활용할 필요가 있다. 예를 들어 계약 이행을 위해 필수적인 정보라면 추가적인 동의를 요구하지 않아도 무방할 것이다. 우리나라 개인정보 보호법 제15조는 GDPR과 유사하게 동의 외에도, 개인정보의 수집 및 처리를 위한 적법 근거를 제공하고 있다.

  • 법률 규정 혹은 법령상 의무(제15조 제1항 제2호)
  • 공공기관의 소관업무 수행을 위해 불가피한 경우(제3호)
  • 계약의 체결 및 이행(제4호)
  • 정보 주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요한 경우(제5호)
  • 개인정보처리자의 정당한 이익(제6호) 등

이처럼 동의 외에 다양한 적법 근거를 인정하기 위해서는 몇 가지 전제가 필요하다. 우선 서비스 제공을 위해 필수적인 개인정보의 경우 계약의 체결 및 이행 조항을 수집 근거로 활용하더라도 필수적이지 않은 정보를 수집하고자 한다면 동의 등 다른 법적 근거가 필요하다. 민감정보 및 고유식별정보에 대한 별도의 동의 요건은 유지되어야 한다. 정보 주체에 대한 고지 의무도 강화될 필요가 있다.

또한, 동의가 아닌 다른 법적 근거에 따라 개인정보가 수집 및 처리되더라도 개인정보 처리와 관련된 정보들을 정보 주체에게 제공하도록 개인정보 보호법이 개정되어야 한다. 더불어 동의에 기반할 경우 정보 주체가 언제든지 동의를 철회할 수 있는 것과 같이, 정보 주체의 동의에 기반하지 않을 경우에는 정보 주체가 언제든 개인정보의 처리를 반대하거나 처리 정지를 요구할 수 있는 권리를 보장해야 한다.

스톱 스탑 정지

 

셋째, 사물인터넷이나 자율주행자동차와 같이 만일 일일이 동의를 받는 것이 불가능한 경우는 어떻게 해야 할까? 현재로서는 어떠한 결론을 내리기 이전에, 새로운 기술이나 서비스가 기존의 동의제도와 어떻게 충돌하는지 추가적인 연구가 필요해 보인다. 구체적인 근거 없이 동의제도를 회피하기 위한 목적으로 사물인터넷 등의 새로운 기술환경이 근거로 활용되어서는 안 된다. 사물인터넷 환경이 도래할 것이므로 옵트아웃(‘사후동의’) 방식으로 전환하자는 주장은 지나친 논리적 비약이다.

  • ‘옵트인'(opt in): 정보 주체의 개인정보 이용 수집 ‘허용 전’까지는 이를 금하는 방식. (사전동의)
  • ‘옵트아웃'(opt out): 정보 주체의 동의를 받지 않고 개인정보를 수입하고 이용한 뒤에 당사자가 거부 의사를 밝혀야 그 활용을 중지하는 방식. (사후동의) 

넷째, 법 위반 행위에 대한 강력한 처벌 등 동의 이외에 개인정보 보호를 위한 사회적 통제의 강화도 제안되고 있다. 당연히 정보 주체의 권리를 보호하기 위한 방안은 동의제도에 한정되어서는 안 된다. 개인정보 처리의 전 과정에서 개인정보를 안전하게 보호하고 개인정보처리자의 책임성을 강화할 수 있는 법제가 구축될 필요가 있으며, 이와 관련된 기술적인 보호 조치들도 수반되어야 할 것이다.

 

[divide style=”2″]

[box type=”note”]

이 글은 2020년도 국가인권위원회 일반과제 실태조사 연구용역 최종보고서 [유럽연합「개인정보보호 규정」(GDPR) 등 국제인권기준에 따른 개인정보보호 법제도 개선 방안 연구](2020. 11. 16.)의 요약문을 슬로우뉴스 원칙에 맞게 편집한 글입니다.

보고서의 작성 주체는 사단법인 정보인권연구소이고, 연구 책임자는 이호중 이사장, 공동 연구원은 이은우 이사, 오병일 연구위원, 장여경 이사와 김재완 법학박사입니다. 더불어 보조연구원으로 정선화 진보네트워크센터 활동가가 참여했습니다. (편집자)

[/box]

관련 글