[divide style=”2″]
개인정보, 무엇을 어떻게 보호할 것인가
- AI 시대, 세계 각국의 개인정보 보호제도
- 대한민국 발명품 ‘가명정보’, 그것이 문제로다
- 개인정보 주체가 더 두텁게 권리를 보호받으려면
- 개인정보처리자의 책임성 강화: 아홉 가지 제언
- 범죄예방와 개인정보: ‘EU 경찰 디렉티브’를 중심으로
- 국가인권기구와 개인정보 감독기관
- 개인정보, 무엇을 어떻게 보호할 것인가
[divide style=”2″]
“개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다(‘개인정보 보호법」 제2조제5호). 즉, 국가기구는 물론이고, 기업과 비영리단체, 개인도 개인정보처리자가 될 수 있다.
이하 개인정보처리자의 책임성을 강화하기 위한 아홉 가지 제언을 간략히 정리한다.
1. 컨트롤러, 프로세서, 공동 컨트롤러의 개념과 책임 강화
유럽연합의 일반개인정보보호법(General Data Protection Regulation, 이하 ‘GDPR’)은 컨트롤러와 프로세서, 공동 컨트롤러 개념을 정의하고, 그 구분 기준을 구체화해 나가고 있는데, 이는 우리 개인정보 보호법에서도 수용할만한 점이다. GDPR은 개인정보파일의 처리 목적과 방법을 결정하는 자를 컨트롤러로 보고, 실제로 그 자가 개인정보파일에 접근하거나, 해당 개인정보파일을 처리하지 않더라도 그에게 컨트롤러로서의 책임을 부과한다.
우리나라는 개인정보파일의 운용도 타인에게 지시하였다면 그 자는 개인정보처리자로 볼 수 없고, 해당 지시자는 개인정보 보호법과 관련해서는 어떤 의무도 부담하지 않게 되는데, 이는 오늘날 개인정보를 처리하는 업무를 전문으로 하는 서비스가 확산되는 현실에서 권한과 책임이 상응하는 것으로 보기 어렵다.
그래서 우리 법제에도 개인정보처리자의 개념을 명확하게 하고, 실질적으로 개인정보 처리에 대한 결정을 하는 자에 대해서 책임을 부담할 수 있도록 처리자의 개념을 현재의 운용자보다는 완화하는 것이 바람직하다. 아울러 처리자의 구별 기준을 명확하게 하면서, 이를 현실에 부합하도록 끊임없이 구체화하는 노력이 이루어질 필요가 있다.
또한, 우리나라 법제에도 ‘공동개인정보처리자’라는 개념을 도입할 필요가 있다. 현행 법제상으로도 공동개인정보처리자가 인정되지 않는다고 보기는 어려울 수도 있지만, 공동개인정보처리자 개념을 도입하면서, 공동개인정보처리자 상호의 책임이나 역할 등을 명료하게 규율하고 정보주체에게 알리도록 하여 투명성과 책임성을 강화할 필요가 있다.
아울러 우리나라 개인정보 보호법은 GDPR과 달리 개인정보 처리자가 개인정보 처리를 위탁하는 경우의 요건과 절차 및 책임성과 투명성을 보장할 수 있는 규율이 매우 빈약하다. 따라서 우리나라 법제에도 개인정보를 대신 처리하도록 하는 경우의 요건과 절차 및 책임성과 투명성을 보장할 수 있는 규율을 신설할 필요가 있다. 우리나라 개인정보 보호법은 위탁 처리시의 손해배상 책임에 대하여 수탁자를 위탁자의 소속 직원으로 본다고 하여 사용자 책임의 요건을 충족하는 경우에만 위탁자가 책임을 부담하는 것으로 규정하고 있는데, 이런 태도는 컨트롤러에게 많은 책임을 부여하는 GDRR의 규정과 비교해 개인정보 처리자의 책임을 지나치게 약화시키는 태도이다. 따라서 우리 법제에도 개인정보 처리위탁의 민사상 손해배상 책임에 대해서도 책임성을 강화하는 방향으로 개선할 필요가 있다.
2. 안전조치를 취할 책임과 설명과 입증 의무
우리 개인정보 보호법에도 개인정보처리자에게 기술적, 조직적 조치를 취할 의무를 부과하는 규정이 있는데(개인정보 보호법 제29조), 기술적, 조직적 조치 의무의 범위가 ‘분실, 도난, 유출, 위조, 변조 또는 훼손되지 아니하도록’ 하는 것에 국한되는 것으로 오인될 가능성이 있다. 명확하게 모든 개인정보 처리에 대하여 안전조치 의무가 있다는 내용이 포함되도록 하는 것이 바람직하다.
개인정보 보호법은 내부 관리계획 수립, 접속기록 보관 등을 열거하면서, 대통령령으로 안전성 확보에 필요한 기술적, 관리적, 물리적 조치를 두도록 하고 있다. 개인정보 보호위원회는 열거된 조치에 대해서 ‘최소한의 기준’이라고 규정하고 있지만, 실질적으로는 열거된 조치에 준하는 책임을 다하면 보호 의무를 다한 것으로 해석될 소지가 충분하다. 따라서 오해의 소지를 없앨 수 있도록, 안전조치의 범위를 포괄적으로 표시하고, 기술적, 조직적 조치의 범주와 내용도 그에 부합하도록 수정할 필요가 있다.
또한, 우리 법제에도 설명 및 입증의무(accountability)를 도입하여, 법률 준수를 위해 적절한 기술적, 조직적 조치를 취하고 있다는 것을 입증할 수 있는 조치를 취할 의무를 도입하는 것이 바람직할 것이다. 그리고 적절한 기술적, 조직적 조치의 판단기준을 ‘처리의 성격, 범위, 맥락 및 목적과 자연인의 권리와 자유에 대한 가능성과 심각성의 정도가 다양한 위험’을 고려한다는 점을 분명하게 규정하여 위험수준에 기반한 접근방법을 명시할 필요가 있다. 더불어 GDPR과 같이 적절한 기술적, 조직적 조치를 필요시 검토하고 갱신되어야 한다는 점을 분명하게 규정할 필요가 있다.
3. 개인정보 처리의 보안에 관한 규정
우리 개인정보 보호법에도 이 법을 준수하여 개인정보의 처리가 될 수 있도록 처리의 모든 영역에서 보안과 관련된 안전조치를 취할 책임이 처리자에게 있다는 것을 명시할 필요가 있다. 그 내용으로는 위험에 대한 적절한 수준의 보안을 보장하기 위해 적절한 기술적, 조직적 조치를 이행할 의무가 있다는 점을 명시하여 위험기반 접근을 도입하는 것이 바람직할 것이다.
아울러 판단 기준에는 최신 기술, 실행 비용, 처리의 성격, 범위, 맥락 및 목적, 그리고 처리가 자연인의 권리와 자유에 대해 갖는 가능성과 심각성의 정도가 다양한 위험을 고려하도록 하는 것이 좋을 것이다. 아울러 전송 또는 보관되거나 달리 처리되는 개인정보의 우발적 또는 불법적 파괴, 손실, 변경, 무단 공개나 그에 대한 접근 등 개인정보 처리에서 드러나는 위험을 특히 고려할 것을 규정할 수 있을 것이다.
적절한 수준의 보안을 보장하기 위한 적절한 기술적, 조직적 초치의 내용도 범주별로 구체화할 수 있다. 그 예시는 다음과 같다.
- 개인정보의 가명화와 암호화 능력
- 처리 시스템 및 서비스의 지속적인 기밀성, 무결성, 가용성 및 복원력 보장 능력
- 물리적 또는 기술적 사고 발생시 적시에 개인정보의 가용성과 접근성 복원력
- 처리 보안 보장을 위한 기술적, 조직적 조치의 효과를 정기적으로 시험, 평가, 감정하는 절차
승인된 행동강령이나 승인된 인증 메커니즘을 준수하는 것이 보안에 대한 적절한 기술적, 조직적 조치를 취한 것임을 입증하는 요소로 사용될 수 있다는 점도 규정하면 좋을 것이다.
4. 설계에 의한 개인정보 보호와 기본설정에 의한 개인정보 보호
우리나라의 개인정보 보호법에는 설계에 의한 개인정보 보호나 기본설정에 의한 개인정보 보호에 관한 규정이 없다. 그뿐만 아니라 개인정보처리자의 안전조치 의무도 협소하게 규정하고 있고, 보안과 관련한 안전조치 의무도 다소 형식적으로 규정되어 있기 때문에 개인정보 보호를 위한 수단이 통합된 개인정보 처리가 이루어지도록 하는 사전 규율이 미비하고, 신기술에 조응하는 개인정보 보호에도 취약하다. 이런 점을 고려한다면 설계 및 기본설정에 의한 개인정보 보호는 개인정보처리자의 책임 조항과 결합하여 매우 효과적인 사전예방의 수단이 될 수 있을 것이다.
개인정보 보호 설계를 할 때 고려할 사항으로 최신 기술, 실행 비용, 처리의 성격, 범위, 맥락 및 목적, 그리고 처리가 자연인의 권리와 자유에 대해 갖는 가능성과 심각성의 정도가 다양한 위험을 고려하도록 하는 것이 바람직할 것이다. 설계에는 개인정보 보호 법제가 요구하는 모든 사항을 준수해야 하고, 정보주체의 권리를 보호할 수 있는 조치를 포함해야 한다. 해당 기술적, 조직적 조치는 정보 최소화 등 개인정보 보호 원칙을 효과적인 방식으로 구현하고 필요한 보호조치를 처리에 통합하도록 설계해야 하며, 가명화 같은 조치도 포함된다는 점을 명시할 필요가 있다.
설계를 통해서 처리에 통합된 조직적, 기술적 조치의 적절성을 판단하는 시점은 처리 수단 결정 시점과 실제 처리 시점이 되어야 한다는 점도 분명하게 규정해야 한다. 아울러 이를 준수하는 하나의 방안으로 인증 메커니즘을 활용할 수 있다. 개인정보 감독기관은 인증 시에 해당 인증 메커니즘이 설계에 의한 개인정보 보호를 준수하는지를 포함시키도록 하고, 이를 검토하여 승인함을 통해서 구체화시킬 수 있을 것이다.
아울러 기본설정에 의한 개인정보 보호 규정도 도입할 필요가 있다. 특히 인터넷과 관련해서는 기본설정을 통해 개인정보가 개인의 개입 없이 무제한 수의 자연인이 접근 가능하게 되지 않도록 보장할 필요가 있다.
5. 개인정보보호 영향평가
우리 개인정보 보호법에도 민간분야에서도 개인정보 영향평가를 시행할 수 있도록 할 필요가 있다. 모든 민간분야에서 개인정보 영향평가를 수행하도록 하는 것보다는 고위험을 불러올 가능성이 있는 경우로 제한하여 운용할 수 있을 것이다. 고위험을 불러올 가능성이 있는 경우로는 GDPR에서 규정하는 예시를 참조할 수 있다. 즉,
- (i) 프로파일링 등의 자동화된 처리에 근거한, 개인에 관한 개인적 측면을 체계적이고 광범위하게 평가하는 것으로 해당 평가에 근거한 결정이 해당 개인에게 법적 효력을 미치거나 이와 유사하게 개인에게 중대한 영향을 미치는 경우
- (ii) 특정범주의 개인정보에 대한 대규모 처리나 범죄경력 및 범죄 행위에 관련된 개인정보에 대한 처리에 해당하는 경우
- (iii) 공개적으로 접근 가능한 지역에 대한 대규모의 체계적 모니터링의 경우 등이다.
어떤 경우에 영향평가가 필요할지를 명확한 문구로 규정하기는 쉽지 않다. 영향평가가 필요한 기준을 변화하는 신기술이나 새로운 서비스와 관련하여 적절하게 공개하는 것은 많은 도움이 될 것이다. 그래서 우리 법제에도 개인정보 보호위원회에 영향평가가 필요한 경우에 대한 지침을 제정할 수 있는 권한을 부여할 필요가 있다. 이와 관련하여 유럽연합에서 제시한 열 가지의 기준이나, 영국 정보위원회(ICO, Information Commissioner’s Office)의 기준, 프랑스 국가정보처리자유위원회(CNIL)의 기준 등도 참고할 가치가 있다.
개인정보 영향평가는 개인정보처리자가 개인정보를 처리하기 이전에 하는 것이 정상이다. 그러나, 개인정보의 처리 작업으로 초래되는 위험에 변화가 있을 때에도 영향평가가 필요할 수도 있으므로 이에 대한 규율을 할 필요도 있다. 또한 개인정보 영향평가가 포함해야 할 최소한의 내용을 규정할 필요가 있다. 여기에는 다음과 같은 설명과 평가 그리고 조치가 포함되어야 한다.
- (i) 예상되는 처리 작업 및 개인정보처리자의 정당한 이익 등 개인정보 처리의 목적에 대한 체계적인 설명
- (ii) 목적과 관련한 처리 작업의 필요성 및 비례성에 대한 평가,
- (iii) 개인정보주체의 권리와 자유에 대한 위험성 평가, 개인정보주체와 기타 관련인의 권리 및 정당한 이익을 고려하여 개인정보의 보호를 보장하고 본 규정의 준수를 입증하기 위한 안전조치, 보안조치, 메커니즘 등 위험성 처리에 예상되는 조치
또한, GDPR에서와 같이, 개인정보처리자로 하여금 상업적 이익이나 공익의 보호 또는 처리 작업의 보안을 침해하지 않고, 예정된 처리에 대한 개인정보주체 또는 그 대리인의 의견을 구해야 한다는 규정을 도입할 필요가 있다. GDPR은 개인정보 영향평가에도 불구하고 위험을 억제하는 적절한 수단을 갖추지 못한 경우에는 개인정보 감독기관에게 사전 자문을 구하게 하는 절차를 두고 있는데, 개인정보 보호법에도 해당 규정을 도입할 필요가 있다.
예정된 개인정보 처리가 초래하는 위험을 파악하고, 그에 대한 위험 억제 수단을 적절하게 갖추지 못한 경우에는 개인정보 보호위원회가 조치를 취할 수 있도록 할 수 있다. 이 규정을 도입하게 되면 고위험이 예상되는 개인정보 처리는 해당 처리가 도입되기 전에 개인정보 영향평가를 거쳐야 하고, 위험이 존재한다면 개인정보 보호위원회와의 사전협의를 거쳐야 하므로, 위험을 파악하고 통제할 수 있는 것으로 평가된 서비스만이 제공될 수 있게 하는 역할을 한다.
특히, 사전 자문 시에 ① 가능한 경우, 처리에 관여하는 컨트롤러, 공동 컨트롤러 및 프로세서의 개별 책임, 특히 사업체집단 내의 처리에 대한 책임, ② 예정된 처리의 목적 및 방법, ③ 본 규정에 따라 개인정보주체의 권리와 자유를 보호하기 위해 제공되는 조치 및 안전조치, ④ 가능한 경우, 독립 정보보호 책임자(DPO)의 상세 연락처, ⑤ 개인정보 영향평가, ⑥ 감독기관이 요청한 기타 정보를 제공하도록 하는 규정도 함께 도입할 필요가 있다.
6. 개인정보처리자의 처리 활동 기록 의무
우리 개인정보 보호법은 GDPR과 달리 개인정보 처리방침에 기재하는 내용은 인터넷의 홈페이지를 통해서 일반 공개를 하도록 하고 있다. 반면 GDPR은 일반 공개가 아닌 요청 시 제공할 의무로 규정하고 있다. 따라서 처리 활동 기록 의무를 범위를 나누어서 일반에게 공개할 사안과 일반에게 공개되는 것이 불합리한 사안에 대해서는 요구에 따른 제공 의무로 두는 것이 바람직해 보인다.
예를 들어 개인정보 보호를 위한 안전조치의 내용은 일반 공개로 하는 경우, 오히려 보안을 취약하게 할 수도 있기 때문에 일반 공개보다는 요청 시 제공으로 하는 것이 적정할 수 있다. 개인정보 수집의 목적 등은 널리 일반 공개를 하더라도 문제가 없을 수 있다. 따라서 처리의 내용을 기록하도록 하되, 일반 공개의 대상과 요구 시 제공의 대상으로 나누는 것이 좋을 것이다.
7. 개인정보 침해 통지 제도
우리 개인정보 보호법은 개인정보 유출통지에 대한 규정을 두고 있는데, 대체로 GDPR의 규정과 대동소이하다. 양자의 가장 큰 차이는 GDPR은 모든 개인정보 침해를 통지의 대상으로 하지 않고, 위험 발생의 우려를 기준으로 하고 있는데 반하여 우리 개인정보 보호법은 침해 통지를 하지 않아도 되는 경우를 규정하지 않고 있다.
8. ‘CPO’에서 ‘DPO’로
우리 개인정보 보호법에서도 ‘개인정보 보호책임자’(CPO: Chief Privacy Officer) 아니라, 독립적인 지위에서 감독과 조언 및 정보제공을 할 수 있는 ‘독립 정보보호 책임자(DPO: Data Protection Officer)’를 도입할 필요가 있다. 이 경우 기존의 개인정보 보호책임자 규정은 폐지하고, DPO를 신설하는 것이 바람직할 것이다. 왜냐하면 CPO에 해당하는 개인정보 보호책임자는 굳이 개인정보 보호법에 규정하지 않아도 기업에서는 당연히 선임하는 직책이기 때문이다.
DPO 선임 의무를 도입한다면, 이를 모든 기업에 선임 의무를 부과하는 것보다는 위험성이 높은 방식으로 개인정보를 처리하거나, 위험성이 높은 개인정보를 처리하는 경우에만 선임할 의무를 부과하는 것이 바람직할 것이다. GDPR의 경우와 같이, 개인정보처리자의 핵심 활동(core activities)이 정보주체에 대한 대규모의 정기적, 체계적 모니터링을 필요로 하는 처리 작업으로 구성되는 경우로 규정할 수도 있을 것이다. 공공기관이나 공적 업무를 수행하는 조직인 경우는 규모와 관련 없이 선임의 필요성이 있다. 다만, 이 경우는 여러 조직을 통합하여 DPO가 지정될 수 있게 할 수 있다. 기업의 경우에도 다수의 계열사를 포괄하여 단일한 DPO를 지정할 수 있도록 허용할 수 있다.
DPO는 전문성을 갖는 자로 선임하도록 할 필요가 있고, 그에 대한 자격증과 인증기관에 대한 규정도 마련하는 것이 좋을 것이다. 이와 관련해서는 현재의 CPO 포럼과 같이 개인정보처리자를 회원으로 하고 CPO들의 협의체와 같은 성격을 갖는 조직은 독립성을 가진 것으로 보기 어려우므로, 이들 보다는 DPO들이 구성하는 협회 등을 통해서 해당 업무가 이루어질 수 있도록 할 필요가 있다.
DPO의 지위와 관련해서는 다음과 같은 규정이 필요할 것으로 보인다.
- (i) 관여 보장: 개인정보 보호와 관련한 모든 문제에, 적시에 적절한 방식으로 관여할 수 있도록 보장하고,
- (ii) 필요한 자원 제공과 지원의무: DPO가 업무를 수행할 수 있도록 해당 업무와 개인정보 및 처리 작업에 대한 접근을 수행하고, 전문지식을 유지하는 데 필요한 자원을 제공하여 DPO를 지원하도록 해야 한다. 그리고
- (iii) 지시 금지 보장
- (iv) 불이익 금지
- (v) 직접 보고
- (vi) 정보주체의 연락가능성
- (vii) 이해충돌 금지
- (viii) 기밀 보호 의무 등을 규정할 필요가 있다.
DPO의 업무로는 다음과 같은 것들을 규정할 수 있다.
- (i) 정보와 조언 제공: 정보처리를 하는 자들에게 자신들의 의무에 대한 정보와 조언 제공,
- (ii) 모니터링과 감사, 교육,
- (iii) 개인정보 영향평가에 관한 조언 제공,
- (iv) 감독기관과의 협력과 연락 업무 등
9. 개인정보 보호 행동강령과 인증 등과 관련하여 자율규제의 촉진과 그 조건
우리나라의 자율규제 단체는 자율규제 규약을 자율적으로 제정하는데, 해당 자율규제 규약이 개인정보 보호법에 조응하는 것인지 여부에 대한 판단을 받는 구조가 마련되어 있지 않다. 아울러 해당 단체에 소속된 개인정보처리자는 자율규제 규약을 준수할 의무도 없다. 게다가 자율규제 단체나 독립된 인증기관이 규약의 준수 여부를 모니터링하는 구조도 갖추고 있지 않다. 따라서 현재 우리나라의 자율규제는 아무런 구속력이 없는 순수한 자율규제의 유형으로 볼 수 있다.
그런데, 이러한 순수 자율규제의 유형보다는 자율규제 규약에 대한 승인 제도를 두고, 만약 승인된 자율규제 규약을 채택하여 개인정보 보호법 준수에 대한 외부적인 인증의 효과를 누릴 수 있도록 하려면, 자율규제 규약에 대한 승인절차를 두는 것이 좋을 것이다. 이 경우, 자율규제 규약이 개인정보 보호법에 부합하는지 여부를 개인정보 보호위원회에 승인을 신청하여 승인을 받을 수 있는 절차를 둘 필요가 있다. 개인정보 보호위원회는 해당 자율규제 규약이 개인정보 보호법에 비추어 타당하다고 인정되는 경우에는 승인을 하고 이를 공고하게 된다.
현재 우리나라의 자율규제에는 공정성을 담보할 수 있는 독립적이고 전문적인 자율규제 모니터링 기관이 존재하지 않는다. 우리도 자율규제 규약의 준수 여부를 감독하고 모니터링할 수 있는 제도를 마련할 필요가 있는데, 이 모니터링 기관은 해당 개인정보처리자로 구성된 협회나 단체 또는 해당 개인정보처리자로부터 독립성이 있어야 하고 전문성을 갖추어야 한다. 이 모니터링 기관에는 각 개인정보처리자에 대한 권리구제 신청 등에 대응하여 권리구제를 처리할 수 있는 권한도 부여되는 것이 좋다. 한편, 각 개인정보처리자가 자율규제 규약을 준수하지 않을 경우 인증을 취소하여야 한다.
현재 우리 법제상 정보보호관리체계(ISMS) 인증은 특정한 요건에 해당하는 기업에 법률상 인증을 받도록 인증제도가 운용되고 있다. 반면, 개인정보보호관리체계(PIMS)는 자발적인 참여에 바탕을 둔 인증제도이다.
우리나라에는 인증과 관련하여 독립적이고 전문적인 모니터링 수행기관이 없다. 그런데, 인증제도가 신뢰받기 위해서는 인증에 대한 모니터링을 수행할 기관이 신뢰할 수 있어야 하고, 독립적이고 전문적인 능력을 갖춘 곳이어야 한다. 그런 점에서 현재의 구조는 심사기관의 독립성을 신뢰하기 어려운 구조이다. 예를 들어 한국정보통신진흥협회는 정보통신서비스 제공자 및 정보통신망과 관련된 사업을 경영하는 자로 구성된 협회이다 . 따라서 독립적이고 전문적인 모니터링 기관을 통한 모니터링이 이루어질 수 있도록 제도를 개선하는 것이 바람직할 것이다.
[divide style=”2″]
[box type=”note”]
이 글은 2020년도 국가인권위원회 일반과제 실태조사 연구용역 최종보고서 [유럽연합「개인정보보호 규정」(GDPR) 등 국제인권기준에 따른 개인정보보호 법제도 개선 방안 연구](2020. 11. 16.)의 요약문을 슬로우뉴스 원칙에 맞게 편집한 글입니다.
보고서의 작성 주체는 사단법인 정보인권연구소이고, 연구 책임자는 이호중 이사장, 공동 연구원은 이은우 이사, 오병일 연구위원, 장여경 이사와 김재완 법학박사입니다. 더불어 보조연구원으로 정선화 진보네트워크센터 활동가가 참여했습니다. (편집자)
[/box]