지난 7월 20일 진보네트워크센터, 민주사회를 위한 변호사 모임 디지털정보위원회, 참여연대, 무상의료운동본부,서울YMCA, (사)소비자시민모임, 연구공동체 건강과대안,전국민주노동조합총연맹, 전국사무금융노동조합연맹, 한국소비자연맹, 경실련 등 11개 단체들은 행정안전부에 「개인정보보호법 시행령」 재입법예고(안 )에 대한 의견서를 제출했다.
행안부는 지난 3월 31일 「개인정보보호법 시행령」 일부 개정령(안)을 입법예고하였고 10개 단체들은 5월 11일 의견서를 제출한 바 있다. 그런데 행정안전부가 7월 14일 개인정보 보호법 시행령 일부개정령(안)을 재입법예고 하였고 이에 대해 11개 단체들이 다시 의견을 제출한 것이다.
단체들은 이번 재입법예고안은 지난 3월 입법예고안보다도 현저히 후퇴한 안이라고 지적했다. 당시 입법예고안이 발표되자 기업들은 일제히 목적 외 이용 및 제3자 제공의 요건을 완화해 달라고 하고, 서로 다른 기업간 가명정보의 결합 후 반출 및 결합 정보의 보유를 무한정 허용해 달라는 요구를 했다. 그런데 이번 재입법예고안은 기업들의 이러한 요구를 거의 다 수용했다. 반면, 단체들은 개인정보의 수집 목적 외 추가 이용 및 제공의 범위가 무한정 확대될 위험 방지를 위한 엄격한 규정이 필요하고, 특히 서로 다른 기업들이 보유한 개인정보를 가명처리해 결합할 때의 요건 강화, 식별가능성이 높아지는 결합정보의 기업 반출의 원칙적 금지 및 목적 달성 후 결합 정보의 파기 원칙 등을 요구하였으나 행안부의 재입법예고안은 이를 전혀 수용하지 않았다.
이번 재입법예고안에서 가장 치명적인 문제는 가명정보 결합에 대한 규정이다. 3월 입법예고안은 서로 다른 기업간 가명정보를 결합할 때, 결합전문기관 내 ‘안전한 분석공간’에서 분석하고 반출은 ‘결합 목적을 달성하기 어렵거나 분석공간의 이용이 어려운 경우 등 제한적 범위에서 가능하였다. 그러나 재입법예고안은 아예 가명정보의 결합 후 반출을 기본으로 하고 있고 반출 후에도 무한정 보유할 수 있도록 하고 있다. 이는 학술연구 목적의 가명정보 결합조차도 ‘안전한 분석공간’에서 수행하도록 하는 유럽연합(EU) 등 해외 다른 나라들의 관행이나 추세와도 다르다. 특히 개정 개인정보보호법은 기업의 다양한 ‘내부 연구’ 조차 ‘과학적 연구’로 확대 해석해서 인정하고 있는데 이에 더해 이번 재입법예고안은 결합된 가명정보를 기업간 공유할 수 있도록 함으로써 재식별의 위험은 더욱 커졌고, 국제적 규범도 거스르고 있는 것이다.
또한 단체들은 재입법예고안이 ▶개인정보의 추가적 이용 제공 기준이 3월 입법예고안의 당초 수집목적과 “상당한 관련성”이 있을 것에서 당초 수집목적과 “관련성”이 있는지 여부를 고려하여야 한다로 후퇴한 점, ▶중립성과 안전을 책임져야 할 결합전문기관으로 민간결합전문기관이 지정됨으로써 스스로 결합신청자가 되지 못하도록 하는 등의 안전성 확보가 없는 점, ▶가명처리 목적 달성 후 가명정보 파기 규정을 삭제함으로써 무한정 기업이 가명정보를 보유할 수 있게 한 점, ▶침해사고 예방 대응 등을 위해 중앙행정기관의 장에게 공동 대응을 요청하여 이에 따르도록 한 안을 삭제하는 등 보호위원회의 권한을 약화시킨 점 등을 심각한 문제로 지적했다.
단체들은 이번 재입법예고안은 국민의 개인정보를 동의없이 데이터화해 기업이 상업적으로 무한정 활용하도록 하기 위해 2016년 박근혜 정부가 만든 ‘개인정보 비식별조치 가이드라인’ 수준으로 사실상 회귀한 것이라고 평가했다. 문재인 정부는 항상 개인정보의 ‘안전한’ 활용을 강조해왔지만, 이번 재입법예고안을 통해 안전한 활용은 허구임이 드러났다고 비판했다. 국민의 사생활 침해 위험이 그 어느 때보다도 커지고 있는데도 이에 대한 정책적 고려가 전혀 보이지 않는 이번 재입법예고안은 전면 수정되어야 할 것이다. 끝.
▣ 붙임1 : 「개인정보보호법 시행령」 재입법예고(안)에 대한 시민사회 2차 의견서
▣ 붙임1
의견서
「개인정보보호법 시행령」 재입법예고(안)에 대한 시민사회 2차 의견서
행정안전부는 지난 2020년 3월 31일 개인정보 보호법 시행령 일부개정령(안)을 입법예고한 바 있으며, 이에 대해 아래 서명한 단체들은 5월 11일에 의견서를 제출한 바 있습니다. 이후 행정안전부는 7월 14일, 개인정보 보호법 시행령 일부개정령(안)을 재입법예고 하였습니다. 이에 우리 단체들은 이에 대해 다시 의견을 제출합니다. 다만, 이 의견서에서 포함하고 있지 않은 쟁점에 대해서는 기존의 의견서에서 제시한 의견을 참고하시기 바랍니다.
2020년 7월 20일
경제정의실천시민연합 (사무총장 : 윤순철)
무상의료운동본부 (대표 : 유재길, 김정범)
민주사회를 위한 변호사모임 디지털정보위원회 (대표 : 조지훈)
서울YMCA (대표 : 회장 이석하)
(사)소비자시민모임 (대표:백대용)
연구공동체 건강과대안(대표 : 김의동)
전국민주노동조합총연맹(대표: 김명환)
전국사무금융노동조합연맹(대표 이재진)
진보네트워크센터 (대표 : 오병일)
참여연대(대표 : 정강자, 하태훈)
한국소비자연맹 (대표 : 강정화)
1. 총평 : 박근혜 정부 비식별조치 가이드라인으로 회귀하는 개인정보 정책, 개인정보 공유, 결합, 판매의 노골적 허용
수정된 입법예고(안)은 기업들의 요구를 대폭 수용한 결과 사실상 2016년 박근혜 정부 당시 ‘개인정보 비식별조치 가이드라인’ 수준으로 회귀하였음. 3월 31일 입법예고안에서 최소한의 안전장치로 포함되었던 규정들, 즉 결합된 가명정보에 대한 분석을 안전한 ‘분석공간’ 내에서 시행해야 한다는 것, 그리고 가명정보의 처리목적이 끝난 후에는 파기해야 한다는 조항을 삭제하였음. 이로써 기업들은 서로 다른 기업의 고객정보를 결합한 후에 이를 서로 공유할 수 있게 되었고 특정 연구가 끝난 후에도 만일을 위해 영구적으로 보관할 수 있게 되었음. 즉, 기업들은 ‘연구’라고 주장하기만 하면 서로 고객정보를 판매할 수 있고, 결합 전문기관을 통해 결합하고 공유할 수 있으며, 심지어 영구히 보관할 수도 있음. 이것이 문재인 정부가 얘기하는 개인정보의 ‘안전한 활용’인지 답해야 할 것임.
지난 7월 16일, 유럽사법재판소는 미국과 유럽연합 사이의 개인정보 이전에 관한 ‘프라이버시 쉴드 프레임워크’를 무효화하였음. 유럽사법재판소는 지난 2015년에도 미국과 유럽연합사이의 ‘세이프하버 협정’을 무효화한 바 있으며 ‘프라이버시 쉴드’는 그 후속으로 만들어진 것인데 다시 무효화된 것임. 이는 미국의 개인정보 보호체계가 미국의 감시 프로그램에 기반한 개인정보 남용을 통제하는 데 있어 유럽연합의 개인정보 보호기준을 충족하지 못한다고 보았기 때문임. 현재 한국은 유럽연합과 개인정보 적정성 결정을 협의하고 있는데, 이처럼 개인정보 보호원칙을 한참 벗어나는 입법이 이루어질 경우 적정성 결정 자체에 부정적인 영향을 미칠 뿐만 아니라, 설사 적정성 결정이 이루어지더라도 향후 유럽사법재판소에 의해 뒤집힐 가능성이 크다는 것을 염두에 두어야 함.
시민사회가 3월 31일 입법예고안에 제출했던 의견은 수정된 입법예고안에 거의 반영되지 않았음. 민감정보에 ‘인종이나 민족에 관한 정보’를 포함하는 규정의 문구는 시민사회의 입장을 수용했지만 이는 국제규범을 고려했을 때 당연한 조치일 뿐임. 그 외에 개인정보 보호위원회 의원의 겸직금지를 규정한 제4조의2, 전문위원회와 관련된 제5조, 그리고 아래에 서술하고 있는 주요 쟁점에 대한 시민사회 의견은 거의 수용되지 않음. 불수용의 이유와 근거를 상세하게 설명을 할 것을 행정안전부에 요구함.
2. 개인정보의 추가적인 이용·제공 기준
3월 31일에 입법예고된 시행령(안)과 7월 14일에 입법예고된 안을 비교해보면, 산업계의 의견을 수용하여 판단 기준이 대폭 완화되었음을 알 수 있음.
시민사회 역시 기존 의견서에서 “정보주체의 입장에서는 개인정보처리자 내부적인 처리 관행을 파악하기 힘들기 때문”에 정보주체의 관점에서 “합리적으로 기대할 수 있는 범위 내”여야 한다는 점과 “민감정보 여부에 대한 특별한 고려”가 필요하다는 점을 제안하였으나 수용되지 않았음. 이는 유럽연합 개인정보보호법(GDPR)의 관련 조항보다 후퇴한 것으로 판단됨. 시민사회의 의견을 고려하여 재수정할 것을 촉구함.
3. 가명정보의 결합
수정된 입법예고(안)에서 가장 후퇴한 쟁점임. 처음 입법예고(안)에서는 그나마 결합된 가명정보의 분석을 안전한 ‘분석공간’에서 수행하는 것을 원칙으로 하였으나, 기업들의 요구를 수용하여 결합된 가명정보의 반출을 원칙으로 변경하였음. 이는 2016년 박근혜 정부 당시 ‘비식별조치 가이드라인’의 수준으로 후퇴하는 것으로 개인정보의 공유를 허용하겠다는 의사를 노골적으로 드러낸 것에 다름 아님. 아무리 법에서 결합된 가명정보의 안전조치를 요구한다고 하더라도, 애초 개인정보처리자에게 결합된 가명정보를 반출하는 것은 재식별의 위험성을 높일 수밖에 없음. 또한 가명정보를 무기한 보관할 수 있도록 함으로써(아래 참조) 결합기관을 통해 서로 다른 기업들의 고객정보를 무한정 공유하도록 함.
해외에서는 학술연구 목적의 가명정보 제공조차 안전한 ‘분석공간’에서 수행하는 것이 관행인 반면, 국내에서는 기업 내부적인 연구조차 ‘과학적 연구’로 확대해석하여 인정하고 있는 것에 더하여 아예 결합된 가명정보를 공유할 수 있도록 허용하는 것은 개인정보에 대한 국제적인 규범을 훨씬 벗어나는 것이며 현재 추진 중인 유럽연합의 ‘개인정보 적정성 결정’에도 부정적인 영향을 미칠 것임.
반면 시민사회는 과학적 연구인지 여부에 대한 평가 절차, 연구자에 대한 교육 훈련의 필요성, 익명처리의 원칙, 결합된 가명정보의 목적 달성 후 폐기 의무화 등의 거버넌스 체제 구축을 제안했으나 하나도 수용되지 않음.
4. 민간 결합전문기관의 소위 ‘셀프결합’ 통제 필요
개인정보보호법은 일정 기준만 갖추면 민간업체를 결합전문기관으로 지정할 수 있도록 허용하고 있음. 시민사회는 민간업체를 결합전문기관으로 지정하는 것에 반대함. 민간업체의 경우 공익성에 근거한 최소한의 가명정보 결합이 아니라, 자신의 영리를 추구하기 위해 무분별하게 가명정보의 결합을 추진할 위험성이 있기 때문임.
나아가 자신의 고객정보를 보유하면서 독자적인 사업을 영위하는 업체(예를 들어 통신사, 포털, 금융회사 등)가 민간 결합전문기관으로 지정될 경우, 자신이 보유하고 있는 고객정보와 제3자 기업의 고객정보를 결합할 위험이 있게 됨. 이 경우 결합전문기관으로서 중립성과 안전을 책임져야 할 의무와 결합신청자로서의 이해관계가 충돌하게 되므로 허용되어서는 안되지만 법과 시행령에서 이를 구체적으로 규정하지 않고 있음. 시행령 제29조의2에서 결합전문기관은 스스로 결합신청자가 될 수 없음을 명시할 필요가 있음.
5. 가명정보 등의 안전성 확보조치
3월 31일 입법예고안에 있었던 제29조의5 3항을 삭제함. 이는 가명정보 처리 목적이 달성된 경우 파기하도록 한 조항인데, 이는 개인정보 보호원칙 상 당연한 조치일 뿐임. 오히려 시민사회는 ‘가명정보의 처리 목적’을 보다 구체적으로 규정하도록 해야 함을 요구한 바 있음.
수정된 입법예고안에서 이 조항을 삭제한 것은 가명정보의 경우 지금 당장 필요하지 않더라도 향후의 필요를 위해 무한정 보관하는 것을 허용하는 것에 다름 아님. 정부는 개인정보 보호원칙 자체를 형해화하는 이와 같은 조항을 즉각 철회해야 함.
5. 보호위원회 권한 약화
기업들의 요구를 수용하여 개인정보의 무분별한 활용의 가능성은 열어놓으면서도 오히려 감독기구인 개인정보 보호위원회의 권한은 약화시키고 있음. 수정된 입법예고안의 일부 조항에서는 애초안보다 개인정보 보호위원회의 권한을 후퇴시키고 있는데, 예를 들어 제60조의2에서는 관계 중앙행정기관의 장이 조치 결과를 보호위원회에 통보하도록 하고 있는데, 수정안에서는 ‘이행하도록 노력’만 하면 되도록 하고 있음. 또한 제60조의3에서 보호위원회의 공동대응 요청을 특별한 사정이 없으면 관계 중앙행정기관의 장이 따르도록 하고 있는 조항을 삭제하였음. 이는 관계 중앙행정기관이 보호위원회의 의견이나 요청을 무시하도록 함으로써 개인정보 보호를 위한 보호위원회 집행력을 약화시키는 결과를 초래할 우려가 있음. 끝.