무상의료운동본부, 민변 디지털정보위원회, 서울YMCA 시청자시민운동본부, 소비자시민모임, 전국민주노동조합총연맹, 진보네트워크센터, 참여연대, 한국소비자연맹, 경제정의실천시민연합
-
오늘(11/16) 무상의료운동본부, 서울YMCA 시청자시민운동본부, 소비자시민모임, 전국민주노동조합총연맹, 진보네트워크센터, 참여연대, 한국소비자연맹, 경실련, 민변 디정위 등 9개 시민단체들은 지난 9월 28일 정부(개인정보보호위원회)가 국회에 제출한 개인정보보호법 개정안에 대한 의견서를 제출하였다.
-
이들 단체는 이번 정부 개정안이 ‘무늬만’ 정보주체 권리강화일 뿐 여전히 개인정보 활용에 방점을 두고 있다고 지적했다. 예를 들어, 가명정보의 특례 조항인 제28조의2는 동의없는 개인정보의 활용 범위를 기업의 영리 목적의 연구까지 지나치게 확대하고 있어 가장 심각한 문제로 지적되어 왔음에도 개선하기는 커녕, 가명정보의 처리 뿐만 아니라 가명처리까지 명시적 동의 없이 활용할 수 있도록 오히려 범위를 넓혔다고 평가했다. 또한 계약의 체결 및 이행을 목적으로 개인정보를 수집하는 요건도 현행 규정에 비해 완화하고, 정보주체의 통제권 강화라는 그럴듯한 명분으로 도입하겠다는 정보전송권은 사실상 마이데이터 산업 육성을 통한 개인정보의 유통과 활용을 확대하겠다는 것과 다르지 않다고 지적했다. 자동화된 결정에 대한 정보주체의 권리 또한 인공지능 시대에 당연히 도입되어야 할 권리이지만, 유럽연합에 비해 권리 보장의 폭이 협소하다. 유럽연합과 일반개인정보보호법(GDPR) 적정성 평가 절차까지 진행하고 있는 마당에 우리 국민의 권리를 유럽 시민의 권리보다 약화시킨 합리적 이유는 제시되지 않았다.
-
시민단체들은 지난 2021년 1월 정부가 입법예고한 안에 대해서 검토 의견을 제시함과 함께 개정안에 포함되어야 할 추가 의제도 제안하였다. 정부가 법개정 취지로 내세운 정보주체의 권리를 강화하겠다는 명분에 일말의 진정성이라도 있다면, 시민사회가 제안한 바와 같이 ▷개인정보의 처리에 관한 정보를 제공받을 권리, ▷정보주체로부터 개인정보를 직접 수집하지 않을 경우 정보주체의 고지받을 권리, ▷개인정보의 처리 여부 및 방법에 대한 정보주체의 열람권 등을 보완해야 한다고 촉구했다. 또한 ▷설계 및 기본설정에 의한 개인정보보호 규정, 개인정보 영향평가의 민간 확대 등 신기술 환경에서 개인정보처리자의 책임성을 강화할 수 있는 규정 역시 포함할 것을 요구했다. 특히, 수사기관을 포함한 국가 또는 지방자치단체가 법령에서 정하는 소관 업무의 수행을 명분으로 촬영 사실을 표시하거나 알리지 않고 이동형 영상정보처리장치를 사용할 수 있도록 함으로써, 드론 등을 통한 몰래 감시를 허용하고 있는 것도 기본권을 수호해야 할 개인정보 감독기구로서의 역할을 망각한 입법안이라고 강조했다.
-
이들 단체들은 국회가 이번 정부 개정안의 독소조항을 그대로 통과시켜서는 안되며 시민사회의 의견을 충분히 반영하여 우리 국민의 개인정보 자기결정권을 보장하는 방향으로 법안 논의할 것을 촉구하였다. 끝.
▣ 붙임1 : 정부의 「개인정보보호법개정안」에 대한 9개 시민단체 입법의견서
▣ 붙임1
입법 의견서
우리 단체들은 2021년 9월 28일, 정부가 제출한 개인정보보호법 일부개정법률안(의안번호 2112723)에 대해 아래와 같이 의견을 제출합니다.
2021년 11월 16일
무상의료운동본부, 서울YMCA 시청자시민운동본부, 소비자시민모임, 전국민주노동조합총연맹, 진보네트워크센터, 참여연대, 한국소비자연맹, 경제정의실천시민연합, 민주사회를 위한 변호사모임 디지털정보위원회
정부 개인정보보호법개정안에 대한 의견
1. 개인정보의 수집ㆍ이용
-
제15조 제1항 제4호 개정에 반대함
-
‘불가피하게‘를 삭제할 경우 계약의 체결 및 이행을 위하여 필수적인 정보 이상의 개인정보를 수집할 수 있는 것으로 해석될 우려가 있음. 현행 문구를 사용하더라도 계약의 체결 및 이행을 위하여 필요한 최소한의 정보를 수집할 수 있는 것으로 해석될 수 있기 때문에 굳이 개정의 필요성이 없음.
-
2. 이동형 영상정보처리기기 운영 기준 마련
-
개정안 제25조의2 제1항 제3호는 삭제되어야 함.
-
개인영상정보는 다른 유형의 개인정보에 비하여 개인정보 주체의 권리 침해 정도가 더 크고 지속될 수 있으며, 고정형에 비하여 이동형 영상정보처리기기로 수집되는 경우에는 더욱 그러함. 따라서 이동형 영상정보처리기기에 대해서는 일반적인 개인정보 및 고정형 영상처리기기에 의하여 수집된 개인정보보다 더 강화된 보호 규범이 적용되는 것이 원칙적으로 타당함에도 불구하고, 제25조의2 제1항은 오히려 고정형 영상정보처리기기에 비해 촬영을 허용하는 범위를 확대하고 있음. 특히, 제25조의2 제1항 제3호는 “그 밖에 제1호 및 제2호에 준하는 경우로서 대통령령으로 정하는 경우”에도 이동형 영상정보처리기기를 이용한 촬영을 허용하고 있는데, 이 경우가 어떠한 경우인지 전혀 예측할 수 없음. 그나마 제25조의2 제1항 제2호는 ‘이 경우 정보주체의 권리를 부당하게 침해할 우려가 없고 합리적인 범위를 초과하지 아니하는 경우’로 제한하고 있지만, 제3호는 그러한 제한 요건도 없음. 따라서 정부가 자의적으로 허용 범위를 확대할 수 있도록 허용하는 제25조의2 제1항 제3호는 삭제할 필요가 있음.
-
-
개정안 제25조의2 제3항 단서 삭제
-
제3항은 “국가 또는 지방자치단체가 법령에서 정하는 소관 업무의 수행이 불가능한 때에는 촬영 사실을 표시하거나 알리지 아니”할 수 있도록 하고 있는데, 이는 소관 업무의 수행을 명분으로 국가 또는 지방자치단체가 이동형 영상정보처리기기를 통한 은밀한 촬영을 허용할 위험이 있음. 특히, 수사기관이 수사의 기밀성 유지를 위해 무단 촬영이 불가피하고, 촬영사실을 표시하면 수사 업무 수행이 불가능하다고 주장하면서 무단 촬영을 하는 것을 허용하는 것으로 악용될 우려가 큼. 수사기관이 이동형 영상정보처리기기를 이용하여 무단으로 촬영하는 것은 개인의 권리 침해의 정도에 있어 통신비밀보호법에서 엄격하게 제한하고 있는 감청에 준하는 것임. 따라서 설사 이와 같은 은밀한 촬영이 필요한 경우가 존재하더라도 이는 국가 또는 지방자치단체의 자의적인 판단에 의해서는 안되며, 통신비밀보호법 수준으로 법원의 허가를 받도록 하는 등 남용을 통제할 수 있는 조치가 도입되어야 함.
-
-
개정안 제25조의2 제4항 수정
-
3항 단서에서 “국가 또는 지방자치단체가 법령에서 정하는 소관 업무의 수행이 불가능한 때에는 촬영 사실을 표시하거나 알리지 아니”할 수 있도록 허용하면서 “사후에 촬영 사실 등을 대통령령으로 정하는 방법에 따라 정보주체에게 알리거나 공지”하도록 하고 있는데, 이 정도로는 정보주체에 대한 충분한 고지가 될 수 없음. 국가 또는 지방자치단체의 자의적인 은밀한 촬영은 허용되어서는 안되며 법원의 허가에 따라 제한적으로 허용될 수 있다고 하더라도, 정보주체가 자신의 권리를 보장받을 수 있도록 고지가 필요함. 즉, 단지 (홈페이지 등에) 공지하는 것으로는 정보주체가 인지하지 못할 수 있으므로 정보주체에게 직접 고지해야 하며, 법에서 고지할 내용(예를 들어, 촬영의 목적, 일시, 장소, 촬영 지속 시간, 정보주체의 권리 등)을 법에서 사전에 규정할 필요가 있음.
-
3. 가명정보 처리 특례 정비
-
제28조의2 개정안에 반대하며 해당 조항의 전면적인 수정이 필요함.
-
‘정보주체 동의 없는 가명처리’의 허용(안 제28조의2 제1항)에 대하여, 개인정보보호위원회는 현행 개인정보보호법 제28조의2 제1항의 ‘가명정보의 처리’가 ‘개인정보의 가명처리’를 포함한다는 사항을 법률에서 명확히 규정할 필요가 있다며 “가명정보를 처리할 수 있다”를 “개인정보를 가명처리하거나 가명정보를 처리할 수 있다”는 내용으로 개정안을 마련하였음. 그러나 “가명정보의 처리”와 “개인정보의 가명처리”는 개인정보보호법 제2조의 개념정의 상으로도 구분되고, 처리의 대상, 처리의 방식, 처리목적, 처리결과, 해당 처리가 정보주체에게 미치는 영향 등에 있어 현저한 차이가 있으므로 가명처리가 가명정보의 처리에 ‘포함’되는 관계라고 해석할 수 없음. 개인정보보호위원회의 「개인정보보호법령 및 지침·고시 해설(‘20.12.)」 221쪽은 법률문언의 가능한 범위를 넘어선 해석으로 부당함.
-
개인정보의 가명처리를 개인정보 침해위험을 줄이는 안전조치로 접근하는 것이 아니라 정보주체의 동의를 배제하는 조건으로 접근하는 개정안의 관점 자체가 부적절함.
-
더욱이 현행법상 동의 없는 가명정보 처리를 허용하는 목적이 너무 광범위하여, 공공적 목적이 아닌 기업들의 사적 이익 추구를 위해 가명정보 처리가 활용될 가능성을 매우 넓게 열어주고 있는데 여기에 동의 없는 ‘가명처리’까지 허용할 경우 그 폐해는 더욱 심각해질 것임.
-
현행 제28조의2 제1항은 가명정보의 처리에 대한 정보주체의 동의권을 제한하고, 제28조의7은 가명정보에 대해 정보주체의 열람권, 정정ㆍ삭제권 등 정보주체의 권리를 총체적, 일률적으로 배제하고 있으므로, 어떤 개인정보를 가명처리하면 향후 해당 정보는 정보주체의 인식가능성이나 통제가능성을 벗어나 유통과 거래의 대상이 됨. 즉 가명처리는 정보주체의 권리행사를 총체적으로 제한하는 효과가 있기 때문에, 적어도 어떤 정보를 가명처리하여 가명정보로 만드는 그 단계에서 정보주체의 통제가능성이 보장되어야 함. 이처럼 가명정보의 처리 특례에 가명처리를 추가하는 이 부분 개정안은 현행법에 비해 정보주체의 기본권에 새롭고 중대한 변화를 초래하는 내용을 담고 있음에도, 이를 마치 기존의 규정을 조금 더 명확하게 정비하는 수준인 것처럼 주장하며 개정을 추진하는 것은 개인정보보호법의 개정이 아닌 개악이라는 비판을 피할 수 없을 것임.
-
한편 현행법에 가명정보의 처리 특례를 도입한 이후 ‘가명처리’에 대한 정보주체의 권리행사가 가명정보처리 특례 규정에 의해 잠탈당하는 현상이 발생하고 있음. 자신의 개인정보를 어떤 목적으로 어떤 항목을 가명처리하는지 등에 대한 열람권 행사, 향후 가명처리의 정지를 요구하는 처리정지권 등은 기존 규정의 해석을 통해서도 가능하나, 현실적으로 권리의 행사를 보다 확실히 담보하기 위한 차원에서 규정을 명확히 정비하는 방향도 고려해볼 필요가 있음.
-
가명정보에 대한 적용범위 개정(안 제28조의7)에 대하여, 이 부분 개정안은 가명정보에 대해 적용이 배제되는 조항들 중 개인정보처리자의 ‘파기의무’에 관한 제21조를 삭제하는 내용임. 가명정보도 여전히 개인정보이므로 개인정보 처리목적구속의 원칙이나 최소처리의 원칙 등에 비추어 보유기간 경과나 목적달성 이후에도 이를 계속 보존하도록 할 이유가 없음. 가명정보도 파기의무를 적용받도록 한 것은 지극히 당연한 내용임. 현행법 제28조의7의 문제점에 대한 지적을 일부 수용한 것으로 보임. 그러나 그 외 제28조의7이 지니고 있는 근본적인 문제점은 전혀 해결되지 않았음. 즉, 현행법은 정보주체의 권리가 총체적으로 적용배제되는 가명정보의 범위에 아무런 제한을 두고 있지 않음. 현재 이 조항은 어떤 목적으로 가명정보를 처리하더라도 정보주체의 권리가 전적으로 배제되는 것으로 해석될 수 있는데, 가명정보처리 목적의 어떤 공익성도 담보될 수 없는 상황에서 정보주체의 권리를 일방적으로 광범위하게 희생시키는 것은 헌법적으로도 정당화될 수 없음.
-
가명정보에 대한 정보주체의 권리를 제한하기 위해서는 그 제한을 정당화하는 목적의 설정이 필요하고, 권리를 제한하더라도 권리제한의 필요성과 비례성을 담보하기 위한 요건을 규정할 필요가 있음. 예를 들어 GDPR 제89조 제2항은 개인정보가 과학적 또는 역사적 연구목적이나 통계적 목적으로 처리되는 경우 정보주체의 열람권, 정정권, 삭제권 등 권리의 적용을 일부 제외할 수 있다고 규정하여 그 제한의 가능성을 부여하면서도, “그러한 권리가 그러한 특정목적의 달성을 불가능하게 하거나 중대하게 손상시킬 것으로 예상되고, 그러한 목적을 달성하기 위하여 적용의 일부 제외가 필요한 것이어야 한다”는 단서를 달고 있다는 점을 참고할 수 있을 것임.
-
가명정보에 대한 정보주체의 권리행사 또는 개인정보처리자의 의무이행이 개인정보보호법 제28조의5에서 가명정보를 특정 개인을 알아보기 위한 목적으로 처리하는 것을 금지하는 부분과 상충될 가능성이 있다면, 정당한 권리행사가 보장될 수 있도록 제28조의5를 함께 개정하는 방향, 또는 가명정보의 재식별 없이 정보주체의 권리행사가 가능한 범위와 방식을 고민하여 이를 최대한 보장할 수 있는 방향으로 개정해야 할 것임. 애초에 ‘추가정보’를 파기하는 것이 아니라 별도로 분리, 보관할 수 있다는 것은 추가정보를 통한 재식별의 가능성을 열어둔 것임에도, 어떤 경우에도 재식별을 금지하고 특히 정보주체가 정당한 권리를 행사함에도 재식별 금지의무를 내세워 권리행사를 부정하는 것은 모순적임.
4. 개인정보 처리방침의 심사
-
개인정보보호위원회가 개인정보보호처리방침의 개인정보보호법 위반 여부를 평가하고 개선을 권고할 수 있는 권한을 부여한 것은 비단 개인정보처리방침 뿐만 아니라 이를 통해 드러난 해당 개인정보처리자의 개인정보 처리관행을 개선할 수 있다는 점에서 제도의 도입취지는 긍정적으로 평가할 수 있음.
-
개인정보처리방침에 대한 심사청구 제도 도입 필요
-
입법예고안에서는 제한적이나마 비영리민간단체 등에 심사 청구를 할 수 있는 권한을 주었는데, 국회 발의안에서는 이와 관련된 조항이 삭제되었음. 물론 일반적인 민원을 통해 개인정보처리방침에 대한 심사를 요청할 수도 있겠으나, 심사 요청에 따라 개인정보보호위원회가 심사를 하고 답변을 해야할 의무가 부여되는 것은 아니므로 제한적일 수밖에 없음. 개인정보보호위원회가 수많은 개인정보처리방침을 모니터링할 수는 없는 바, 문제가 있을 수 있는 개인정보처리방침은 그와 관련된 이해관계자의 신고에 의해 발견될 수 있다는 점에서 개인정보처리방침 심사가 실효성을 갖출 수 있는 조치가 될 수 있음.
-
약관규제법에서 “약관의 조항과 관련하여 법률상 이익이 있는 자”가 약관심사를 공정거래위원회에 청구할 수 있도록 한 점을 참고하여, 해당 개인정보처리방침에 따라 자신의 개인정보가 처리되고 있거나 처리될 가능성이 있는 개인도 심사청구가 가능하도록 열어둘 필요가 있음.
-
5. 개인정보 보호책임자
-
개인정보 보호책임자의 독립성을 강화하는 것은 바람직한 일이지만 실질적인 독립성의 보장을 위한 의사결정과 업무처리에 대한 구체적인 규정이 추가될 필요가 있음.
-
제31조 제1항에서 “개인정보의 처리에 관한 업무를 총괄해서 책임”지는 자를 개인정보 보호책임자로 규정한 이상, 독립적인 개인정보보호 감독관과는 그 위상이 다름. 어느 개인정보 처리자나 개인정보 업무를 총괄할 책임자가 필요하다는 점에서 개인정보 보호책임자는 필요하지만, 그와 별개로 개인정보 처리자를 자문하고 감독할 독립 개인정보보호 감독관(DPO) 도입이 필요함.
-
제31조 제7항, 제8항 삭제
-
개인정보 보호책임자를 구성원으로 하는 개인정보 보호책임자 협의회는 자발적으로 구성할 문제이지 굳이 법에 둘 필요는 없으며, 또한 사업자들의 이익집단이 될 수 있는 협의회에 필요한 경비를 보호위원회가 지원할 필요가 있는지 의문임. 제31조 제6항 및 7항의 신설에 반대함.
-
개인정보 보호책임자 협의회가 수행해야 할 ‘대통령령으로 정하는 공동의 사업’이 무엇인지 법에 아무런 근거를 두지 않은 것도 큰 문제임.
-
6. 개인정보 전송요구권 및 개인정보관리 전문기관
-
개정안 제35조의2는 정보주체가 일정 요건을 충족하는 개인정보처리자가 처리하는 자신의 개인정보를 1) 자신, 2) 다른 개인정보처리자, 3) 제35조의3 제2항에 따른 개인정보관리 전문기관에게 전송할 것을 요구할 수 있는 권리를 도입하는 내용임
-
정부는 개인정보 전송요구권의 도입 취지로 정보주체의 통제권 강화를 내세우고 있으나 현재의 형식화된 동의제도, 정보주체 개인과 기업간의 정보력, 판단력과 협상력의 불균형 등을 고려할 때, 전송요구권의 도입이 과연 정보주체의 통제권을 강화할 수 있을지 의문임. 그 보다는 정보주체의 ‘전송요구’라는 포괄적이고 요식적인 행위를 거쳐 기업들이 대량의 개인정보를 합법적으로 수집, 통합하여 활용하는 방향으로 전개될 가능성이 높음.
-
정보주체가 전송되는 정보의 항목, 범위, 정보의 양, 전송받는 업체를 통해 통합되는 정보의 내용, 전송받은 업체의 정보 활용목적 등에 대해 충분히 고지받고 판단할 수 있어야 함. 개인정보처리자가 기만적인 방법으로 또는 부당하게 정보전송 요구권행사를 유인하는 것을 금지하는 등의 구체적 기준, 부당한 전송요구에 대한 개인정보처리자의 거절 또는 전송 중단, 정보주체의 전송요구 중단이나 철회, 전송한 정보의 회수나 파기를 요구할 수 있는 권리 등이 실질적으로 보장될 수 있도록 추가적인 규정이 필요할 것임. 의료정보 등 민감정보에 대한 보호 및 국외이전에 관한 절차적 통제 방안도 마련될 필요가 있음. 그러나 개정안은 정보전송권의 개념정의에 가까운 내용만을 마련하고 있을 뿐 대부분의 내용을 포괄적으로 대통령령에 위임하고 있어 불충분함. 정보전송요구권의 실질적 행사를 위한 보다 구체적인 규정과, 적절한 통제장치들을 함께 법률 단계에 규정해야 함.
-
개정안은 ‘개인정보관리 전문기관’ 제도를 도입하고 있는데, 이는 소위 ‘마이데이터’ 사업자인 것으로 보임. 그러나 개인정보관리 전문기관 제도를 둘 필요가 있는지에 대해서는 보다 충분한 검토와 논의가 필요함. 우선, 개인정보 이동권과 마이데이터 사업은 별개의 이슈임. GDPR에서 규정하고 있는 개인정보 이동권은 정보주체의 권리 보장과 함께 서비스 사업자 간의 전환을 용이하게 함으로써 사용자가 특정한 사업자에 종속(Lock-in)되는 것을 방지하고 공정한 경쟁을 촉진하려는 취지임. 반면, 마이데이터 사업은 개인정보의 유통과 활용을 촉진하기 위한 목적으로 서로 다른 개인정보처리자가 보유하고 있는 개인정보를 마이데이터 사업자로 집중시키는 모델임. 즉, 공정한 경쟁의 촉진보다는 개인정보의 유통과 활용에 중점을 두고 있는 제도임. 따라서 개정안이 정보주체의 권리 강화를 명분으로 하면서 개인정보관리 전문기관 제도를 은근슬쩍 도입하는 것은 기만적임. 개인정보 이동권(전송 요구권)을 도입하더라도, 개인정보관리 전문기관 제도까지 도입할 필요는 전혀 없음.
-
또한 개인정보 보호위원회만 개인정보관리 전문기관을 지정할 수 있는 것은 아니지만, 보호위원회가 개인정보의 유통과 활용을 목적으로 하는 마이데이터 사업자의 인허가를 담당하는 것이 보호위원회의 적절한 역할인지 의문임. 보호위원회는 산업의 촉진이 아니라 개인정보 자기결정권의 보호를 목적으로 하는 기관임을 유념할 필요가 있음. 따라서 보호위원회는 오히려 개인정보관리 전문기관 혹은 마이데이터 사업자가 개인정보의 집중과 통합을 통해 인권을 침해할 우려가 없는지 감독하는 역할에 초점을 맞출 필요가 있음. 만일 서로 다른 분야의 개인정보를 통합관리하게 될 경우 특정 전문기관이 개인에 대한 총체적인 개인정보를 보유할 수 있어 개인 감시의 우려가 있음. 예를 들어 어떤 업체가 내 통신 내역, 금융 이용 내역, 진단 내역 등을 모두 알 수 있다면 당사자가 인지하지 못하는 사이에 특정 개인에 대한 총체적인 파악이 가능해질 수 있으며, 이러한 정보가 다양한 방식으로 악용될 가능성을 배제할 수 없음. 또한 마이데이터 업체로부터 개인정보가 유출될 경우 그 피해는 특정 부문 업체에서의 유출보다 훨씬 커질 것임. 더불어 수사기관이 마이데이터 사업자가 보유한 개인정보에 접근할 수 있는데, 만일 마이데이터 사업이 없었다면 그러한 접근 자체가 불가능했을 것이라는 점에서, 이러한 위험성까지 정보주체에게 충분히 고지될 것인지 의문임. 보호위원회는 개인정보관리 전문기관에 의한 개인정보 집적의 위험성에 대해서 우선 충분한 연구와 분석을 시행할 필요가 있음.
-
개인정보보호위원회는 개인정보 이동권, 특히 정보전송 요구권의 행사와 관련하여 정보주체가 자신의 권리행사 내용을 명확히 이해하고, 정보주체의 자유로운 의사결정과 프라이버시를 실질적으로 보장하는 방안을 마련하여야 함. 개인정보처리자가 기만적인 방법으로 또는 부당하게 정보전송권 행사를 유인하는 것을 금지하는 등의 구체적인 기준, 부당한 전송요구에 대한 개인정보처리자의 거절 또는 전송 정지·중단에 관한 규정 및 민감정보에 대한 보호 및 국외이전에 관한 절차적 통제 방안을 마련하여야 함.
7. 자동화된 의사결정에 대한 정보주체의 권리 도입
-
안 제37조의2는 자동화 의사결정에 대한 정보주체의 권리를 신설하고 있다는 점에서 일부 긍정적으로 볼 수 있음. 그러나 개정안은 GDPR에서 규정하고 있는 것보다 훨씬 약화된 권리를 규정하고 있음. 한국의 정보주체들이 어떤 이유로 약한 권리를 부여받아야 하는지 의문임.
-
우선 GDPR의 경우 ‘자동화된 개인정보 처리에만 의존하여 특정 정보주체에게 개별적으로 법적 효력 또는 생명ㆍ 신체ㆍ 정신ㆍ 재산에 중대한 영향을 미치는 의사결정’을 원칙적으로 금지하되, 계약의 체결 및 이행, 법률이 허용하는 경우, 정보주체의 명백한 동의의 경우에만 허용하고 있는 반면, 개정안은 완전히 자동화된 시스템으로 이루어지는 의사결정을 원칙적으로 허용하되 동의, 계약의 체결 및 이행, 법률이 허용하는 경우 외에는 정보주체가 거부할 수 있도록 하고 있음. 즉, GDPR과 달리 개정안은 다른 적법 요건의 경우에도 완전히 자동화된 의사결정을 허용하고 있는 것임. 이는 정보주체의 권리에 치명적인 부정적 영향을 미칠 수 있는데, 예를 들어 개인정보처리자가 자신의 ‘정당한 이익’을 근거로 정보주체의 권리와 의무에 중대한 영향을 미치는, 완전히 자동화된 시스템을 통한 의사결정을 할 수 있는데, 이는 GDPR에서는 금지된 것임. 특히 GDPR에 비해 우리 개인정보보호법은 정보주체의 고지받을 권리가 약하다는 점을 고려하면, 개인정보처리자가 정당한 이익을 근거로 이 조항을 활용했을 때 정보주체는 그 사실을 제대로 인지하지 못할 가능성이 큼. 따라서 우리도 완전히 자동화된 의사결정을 원칙적으로 금지하고 예외적으로만 허용하는 방식으로 입법할 필요가 있음.
-
GDPR의 경우 ‘명백한 동의’에 기반해서만 자동화된 의사결정을 허용하는데 반해 개정안은 단지 ‘동의’에 근거해서 허용하고 있는 점도 상대적으로 정보주체의 권리 보장이 약화된 점임.
-
또한 GDPR의 경우 ‘본인에 관한 법적 효력을 초래하거나 이와 유사하게 본인에게 중대한 영향을 미치는’ 자동화된 처리에만 의존하는 결정을 대상으로 하고 있는데, 개정안은 ‘권리 또는 의무에 중대한 영향을 미치는 경우’를 대상으로 하고 있어 GDPR에 비해 그 적용범위가 협소할 수 있음. 즉, 권리 또는 의무와 관련이 없지만 정보주체에게 중대한 영향을 미치는 경우가 배제될 수 있음. 유럽연합과 한국의 법체계가 다르다는 점을 고려해야겠지만, 자동화된 결정에 대한 우리 국민의 권리가 유럽연합 시민의 권리와 최소한 동등하게 보장받을 수 있도록 해야 함.
-
더불어 개정안은 자동화된 결정에 대한 정보주체의 권리로서 거부권과 설명 요구권을 규정하고 있는데, 이는 입법예고안에서 이의제기권도 포함하고 있던 것에 비해 후퇴한 것일 뿐더러, 최소한 개인정보처리자에게 인적 개입을 요구할 권한, 본인의 관점을 피력하고 결정에 이의를 제기할 수 있는 정보주체의 권한을 포함하여 정보주체의 권리와 자유 및 정당한 이익을 보장하기 위한 조치를 요구하는 것에 비하면 정보주체의 권리가 매우 협소함. 또한 GDPR에서는 프로파일링을 포함하여 자동화된 의사결정과 관련한 정보에 대해 정보주체에게 고지하고 ‘로직’에 대한 설명을 요구할 수 있도록 하고 있는데, 개정안은 ‘정보주체가 쉽게 확인할 수 있도록 공개하는 등 필요한 조치’를 취하도록만 하고 있음. 그러나 정보주체가 인지할 수 있도록 고지하는 것과 단지 공개하는 것은 큰 차이가 있음. 또한 이 조항이 인공지능의 발전에 대응하여 정보주체의 권리를 보호하기 위해 도입된 조항임을 고려하면, 자동화된 시스템이 어떠한 결정을 하는 로직, 혹은 알고리즘에 대한 정보주체의 알권리를 보장할 필요가 있음.
-
자동화의사결정으로 초래될 수 있는 정보주체의 권리 침해의 위험성을 고려했을 때, 영향평가가 필수적으로 이루어질 필요가 있는데, 이와 관련한 개정이 부재하다는 점도 문제점으로 지적될 수 있을 것임. 또한 아동의 개인정보에 대한 자동화 의사결정은 엄격히 규율되어야 하는 영역임. 그러나 법안은 아동의 개인정보에 대한 자동화 의사결정에 대해서 특별히 규정하고 있지 않음.
-
법안은 자동화 의사결정의 광범위한 허용을 전제하고 있는데, 민감정보에 대해서도 동일하게 적용되는지 그 입장이 불분명 함. 만약 민감정보에 대해서도 안 제37조의2가 적용된다는 입장이라면, 해당 조항은 보다 세부적으로 규정될 필요 있음. 가령 GDPR의 경우에는 정보주체의 ‘명백한 동의’ 혹은 ‘중대한 공익상의 목적’을 위해 ‘법률에 의해서’, 그리고 ‘충분한 안전조치’가 취해진 경우에 한하여 민감정보에 대한 자동화 의사결정을 허용하고 있음.
8. 적용의 일부 제외 규정 정비
-
제58조 제1항 제1호 삭제
-
입법예고안에서는 제58조 제1항 제1호 ‘공공기관이 처리하는 개인정보 중 「통계법」에 따라 수집되는 개인정보’ 역시 삭제하였는데, 발의안에서는 개정 대상에서 제외되었음. 그런데 ‘공공기관이 처리하는 개인정보 중 「통계법」에 따라 수집되는 개인정보’ 의 경우 어차피 통계법에 규정이 있으면 통계법을 따르게 되고, 그렇지 않을 경우 개인정보보호법을 따르면 되는데 굳이 제58조에 따라 개인정보보호법의 적용을 배제해야 하는지 의문임.
-
-
제58조 제1항 수정 반대
-
개정안 제58조 제1항은 적용제외 대상을 “제3장부터 제7장”에서 “제3장부터 제8장”으로 확대하고 있음. 제7장과 제8장은 피해 구제절차를 규정하고 있는데 특정한 개인정보 처리에 있어 피해를 입은 사람을 위 구제절차에서 배제하는 것은 합리적 근거가 없는 차별이자 피해자로서 실효성 있는 구제를 받을 권리를 침해하는 것임. 즉, 설사 제58조 제1항 각 호의 경우 개인정보보호법의 적용을 배제하더라도, 정보주체의 피해가 발생할 경우에는 어떤 식으로든 구제될 필요가 있음. 따라서 제7장과 제8장은 적용 일부 제외 범위에 포함되어서는 안됨.
-
-
제58조의 전면적인 개정 필요
-
특정한 경우 개인정보보호법의 일부 조항을 적용하지 않을 필요를 인정한다고 하더라도, 제3장부터 제8장까지를 일괄적으로 배제하는 것은 과도함. 일괄적인 적용 배제가 아니라, 제외가 필요한 조항을 구체적으로 특정하여 규정하는 방식으로 개정될 필요가 있음.
-
9. 개인정보 분쟁조정제도 실질화
-
개정에 찬성함.
-
분쟁조정위원회 인원을 확대(안 제40조), 분쟁조정신청 시 응해야 하는 주체 확대(안 제43조), 자료요청 및 사실조사 등 권한을 확대(안 제45조), 분쟁조정 수락간주(안 제47조), 시효중단(안 제49조의2), 제도개선 의견 통지(안 제50조) 등 모든 조항은 분쟁조정제도의 실질화에 기여하는 조항으로 판단 됨. 분쟁조정제도의 실질화는 피해자의 실효성 있는 구제를 받을 권리를 적극적으로 보장하기 위해 필요하므로 위와 같은 개정에 찬성함.
-
10. 보호위원회의 집행권한 강화
-
개정안 제64조는 “개인정보가 침해되었다고 판단할 상당한 근거가 있고 이를 방치할 경우 회복하기 어려운 피해가 발생할 우려가 있다고 인정되면”이라는 기존의 시정조치 요건을 삭제함으로써 보호위원회가 개인정보 보호법을 위반한 것만으로도 시정조치를 할 수 있도록 하였음. 법위반에 대해 즉각적인 시정조치가 이루어지는 것이 개인정보 보호의 실질적인 보호를 위해 필요하므로 개정에 찬성함.
-
그런데 제64조의 제2항은 시정요구 권한을 관계 중앙행정기관의 장에게도 부여하고 있는데, 이를 삭제하였음. 제66조에서도 중앙행정기관의 결과공표 권한이 삭제되었음. 개인정보보호위원회의 권한은 변함이 없음을 고려하면, 이는 소관 분야의 개인정보 처리와 관련한 관계 중앙행정기관의 집행 권한을 약화시킬 뿐임. 이와 같은 개정의 합당한 이유가 있는지 의문임.
11. 형벌 중심의 제재를 경제벌 중심으로 전환
-
개정안 제64조의2 제1항은 위반행위와 관련된 매출액이 아닌 전체 매출액을 기준으로 과징금의 비율을 산정하도록 하는 등 벌칙을 강화하였는데, GDPR과 마찬가지로 위반행위와 관련된 매출액이 아닌 전체 매출액을 기준으로 과징금을 상향하는 것은 실효성 있는 제재를 위해 반드시 필요한 개정임.
-
기업들은 과징금을 전체 매출액 기준으로 부과하는 것에 대해 반대하고 있는데 이는 개인정보 활용은 쉽게 해달라고 요구하면서 책임은 지지 않겠다는 것이나 다름없음. 전체 매출액 기준 과징금 부과는 한국만의 독특한 정책이 아니며, 유럽연합의 개인정보보호법(GDPR)을 비롯한 국제적인 흐름이 되어가고 있음. 또한 한 기업 내에서 개인정보가 관련된 매출액을 엄밀하게 구분하는 것은 거의 불가능함. 기업들이 관련 매출액 기준을 주장하는 것은 매출액을 축소해석하여 개인정보 침해에 대한 책임을 회피하고 관련 매출액에 대한 해석 논란을 제기하여 시간을 끌자는 꼼수에 다름없음.
-
오히려 개정안은 전체 매출액의 100분의 3 이하, 매출액이 없거나 매출액의 산정이 곤란한 경우로서 대통령령으로 정하는 경우에는 20억원 이하의 과징금을 규정하고 있는데, GDPR의 경우 최대 과징금을 일반적 위반 사항인 경우 전 세계 매출액의 2% 혹은 1천만 유로(약 125억원) 중 높은 금액으로, 중요한 위반 사항인 경우 전 세계 매출액의 4% 혹은 2천만 유로(약 250억원) 중 높은 금액으로 설정하고 있는 점에 비추어보면 오히려 약한 수준이라고 볼 수 있음. 또한, 안 제64조의2 제3항 제4호 내지 제8호에 따라 과징금 산정에 있어 고려해야 하는 사항들이 늘어났는데, 이러한 사항들이 부과되는 과징금의 액수를 사실상 대폭 완화하는 방식으로 작용할 가능성이 큼.
-
‘안전성 확보 조치를 이행하지 아니하여 분실, 도난, 유출, 위조, 변조 또는 훼손하는 행위’ 및 ‘정보통신서비스제공자 등의 개인정보를 파기하지 아니한 행위’에 대한 처벌규정을 삭제하고 과태료 대상으로만 규정하였음. 타당한 개선인지 의문임(가령 파기의 경우는 강한 위반으로서 형사적 제재가 필요하지 않을까 생각함).
-
안 제75조 제2항은 제1호를 삭제함으로써 개인정보의 수집, 목적 외 제공, 업무 위탁 시 정보주체에게 알려야 할 사항을 알리지 아니한 행위(제15조 제2항, 제18조 제3항 또는 제26조 제3항)를 과태료 부과 대상에서 제외하였음. 그리고 이를 특별히 제재하는 조항이 법안에 부재한 것으로 보임. 정보주체에 알려야 할 사항을 알리지 않는 것은 정보주체의 권리를 직접 제약하는 행위에 해당하므로 최소한 현행 조항과 같이 과태료 부과대상이 되어야 할 것임. 따라서 안 제75조 제2항 제1호를 삭제하는 것에 반대함. 끝.