[논평]
시민의 정보기본권을 현저히 침해하는
개인정보 3법 개악을 엄중히 규탄한다.
1. 지난 2020년 1월 9일 저녁, 국회 본회의에서 개인정보 3법(정보통신망 이용촉진 및 정보보호 등에 관한 법률, 개인정보 보호법, 신용정보의 이용 및 보호에 관한 법률 통칭)이 가결되었다. 문재인 정부는 신산업 활성화와 빅데이터 산업 육성을 위한 규제 완화를 공약하였고, 관련 부처는 개인정보 3법 개정에 사활을 걸었다. 그 과정에서 정보주체인 시민들과 개정안의 문제점을 지적한 시민사회단체들은 철저히 배제되었다. 즉 사회적 합의를 위한 공론화가 전혀 이루어지지 않은 것이다. 우리 위원회는 위 개인정보 3법안의 통과로 향후 수많은 사회적·법률적 문제가 야기되는 것에 대해 심각한 우려를 표명하며, 개정 개인정보 3법의 본질적인 문제점을 지적하고자 한다.
2. 개정 개인정보 3법의 골자는 해당 정보만으로 정보주체를 식별할 수 없도록 처리한 ‘가명정보’를 정보주체의 별도 동의 없이 활용할 수 있도록 하고, 개인정보처리자에게 부여되었던 각종 의무를 없앤 것이다. 과거에는 개인정보처리자가 수집한 개인정보를 수집목적 이외 목적에 활용하고자 하는 경우, 법에서 정한 요건을 충족하거나 정보주체의 별도 동의를 얻어야 했다. 그런데 개정법은 ‘가명처리’를 한 개인정보와 신용정보를 동의없이 활용할 수 있도록 하였다(개정 개인정보보호법 제28조의 2 제1항). 산업계는 가명정보의 활용 목적을 ‘통계작성, 과학적 연구, 공익적 기록보존 등’ 으로 제한하였으므로 범위가 제한된 것이라고 설명하나, ‘○○텔레콤 20대 사용자의 카드사용 성향분석 통계 및 연구’와 같이 가명정보를 상업적 목적의 통계작성과 연구에 활용하게 한 이상 범위 제한은 허울에 불과하다.
3. 개정법은 서로 다른 개인정보처리자 간의 가명정보를 결합할 경우 이를 보호위원회 또는 관계 중앙행정기관의 장이 지정하는 전문기관이 수행하고, 결합을 수행한 기관 외부로 결합된 정보를 반출하려는 경우에는 개인정보처리자가 전문기관 장의 승인을 받도록 정하고 있다(개정 개인정보보호법 제28조의 3). 결과적으로 정보결합과 결합정보의 외부 반출을 허용하고 있는 것이다. 가명정보는 ‘원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보’를 의미한다. 그런데 이러한 가명정보가 결합할 경우, 그 자체로 개인을 식별할 수 있는 개인정보가 될 가능성이 존재하고, 실제 전문가들도 가명정보 결합을 통해 개인 식별이 가능해진다는 의견을 지속적으로 개진하고 있다. 개정법의 핵심은 개인정보를 가명처리 하여 활용하게 한 것인데, 그 가명정보가 결합을 통해 다시 개인을 식별할 수 있는 개인정보로 환원되는 본질적인 문제를 내포하고 있다.
4. 더욱 큰 문제는 가명정보에 관해서는 개인정보처리자가 정보주체에게 활용여부를 통지할 필요가 없고, 가명처리한 정보를 파기할 의무가 없으며, 개인정보처리자가 영업양도를 하는 경우에도 정보주체에 통지하지 않고 가명정보를 이전할 수 있다. 또한 정보유출 사고가 발생해도 이를 정보주체에게 통지할 의무가 없으며, 정보주체가 자신의 개인정보를 가명화하였는지 여부에 관하여 열람·정정·삭제·처리정지를 요구할 권리가 없다(개정 개인정보보호법 제28조의7). 다시 말해, 시민들이 정보주체로서 자신의 개인정보를 보호할 수 있는 최소한의 안전장치를 보장받아야 한다는 국회 안팎의 목소리는 법률에 전혀 반영되지 않았다.
5. 실명정보를 가명정보화하는 과정 자체도 기업들이 마음대로 할 수 있게 되었고, 정보주체들은 자신의 정보가 가명정보라는 이름으로 가공되어 활용·결합되는 것에 대하여 어떠한 권리도 행사할 수 없게 되었다. 이는 문재인 대통령이 발의한 헌법 개정안에 명문으로 포함되어있는 ‘개인정보자기통제권’ 규정(헌법 개정안 제22조 제2항 “모든 사람은 자신에 관한 정보를 보호받고 그 처리에 관하여 통제할 권리를 가진다”)의 취지에 정면으로 반하고, 가명정보 개념을 도입하여 활용하고 있는 유럽 GDPR의 정보주체 권리 보장 규정에도 전혀 미치지 못한다.
6. 개정 신용정보의 이용 및 보호에 관한 법률의 문제점은 더욱 심각하다. 가명정보의 활용목적에 “상업적 목적의 통계작성”을 규정함으로써 가명정보의 상업적 활용을 전면 허용하였고, SNS 정보를 동의없이 수집·활용할 수 있도록 하였으며, 금융위원회가 스스로 특정 정보를 익명정보로 추정할 수 있도록 하였다. 이처럼 개정 신용정보의 이용 및 보호에 관한 법률은 신용정보의 상업적 활용을 과도하게 확장하고 개인정보 보호 체계에 어긋나는 내용으로 구성되어 있는 것이다.
7. 위와 같은 개정법의 문제점을 극복하기 위하여 우리 위원회는 향후 관련 단체들과 연대하여 시민들의 개인정보 보호를 위한 운동을 전개하고, 헌법소원심판 청구 등의 사법적 절차를 통하여 개정 법률 조항들에 대한 위헌성 판단까지 구해볼 계획을 세우고 있다. 나아가 입법된 법률들에 대한 개정운동 등을 통하여 개인정보 보호에 실질적으로 부합할 수 있는 제도가 마련될 수 있도록 적극적 대응할 계획이다.
2020년 1월 10일
민주사회를 위한 변호사모임
디지털정보위원회 위원장 조지훈(직인생략)