[공동 보도자료]
개인정보보호법 및 신용정보보호법 시행령(안)에 대한 시민사회 공동 의견서 제출
-개인정보보호법 중심으로 신용정보법 시행령 규정 정비 필요
-개인정보보호위원회의 책임성 강화
-가명정보 결합시 개인정보 보호 등 시행령(안) 개선 필요
-개인정보 무분별한 활용 욕망 드러낸 인기협의 의견 유감
1. 오늘(5월 11일) OOO 등 O개 시민사회단체는 행정안전부 및 금융위원회에 지난 3월 31일 입법예고된 「개인정보 보호법 시행령 일부개정령안」 및 「신용정보의 이용 및 보호에 관한 법률 시행령 일부개정령안」에 대한 시민사회 공동 의견서를 전달했다.
2. 우선 단체들은 서로 다른 개인정보 보호법제 간 혼란 해소와 일원화가 이번 법 개정의 취지였음에도 불구하고, 개정 개인정보보호법과 신용정보보호법이 유사한 조항에 대해 여전히 서로 다른 개념과 표현을 사용하고 있어 수범자의 혼란을 확대하고 있음을 우려했다. 시행령에서라도 이러한 혼란을 최소화하는 방향으로 개정되어야 하며, 개인정보보호법이 기본법이고 개인정보 보호위원회가 개인정보 정책의 컨트롤타워 역할을 하기 때문에, 신용정보보호법에서 달리 규정해야 할 특별한 이유가 없다면 기본적으로 개인정보보호법의 기준에 따라 신용정보보호법 시행령을 개정할 것을 권고했다.
3. 특히, 가명정보의 결합과 관련된 조항은 상당히 개선될 필요가 있다. 개인정보보호법에 따른 가명정보 결합의 경우, 결합 신청이 ‘통계작성, 과학적 연구, 공익적 기록보존 등을 위한 목적’으로 수행되는지 판단하는 절차, 연구자의 자격 요건을 검증하는 절차, ‘신뢰할 수 있는 제3자’를 통한 결합 절차, 결합 데이터 반출의 기준, 연구 목적 달성 후에 폐기를 의무화하는 절차, 해당 결합과 관련된 제반 정보 공개를 위한 투명성 원칙 등 전반적인 데이터 거버넌스 체제를 제대로 구축해야 한다.
4. 신용정보보호법에 따른 결합은 더욱 문제가 많은데 결합키를 결합의뢰기관이 생성하고 결합된 정보집합물을 결합의뢰기관에 반출할 수 있도록 하는 등 사실상 박근혜 정부 당시 <개인정보 비식별조치 가이드라인> 수준으로 개인정보 침해우려가 심각하다. 개인정보보호법 시행령의 경우에는 그나마 별도의 분석공간 내에서 결합된 데이터에 접근할 수 있도록 하는 반면, 신용정보보호법은 최소한의 안전장치도 배제하고 있는 것이다. 더구나 신용정보보호법의 경우 신용정보와 비신용정보 사이의 이종간 데이터 결합을 허용하고 있기 때문에 기업들이 개인정보보호법 상의 규제를 우회하려고 할 가능성이 크다. 개인정보보호법 시행령도 개선되어야 함을 전제로, 신용정보보호법 상의 결합 관련 규정을 개인정보보호법과 통일할 필요가 있다.
5. 그 외에 시민사회가 개인정보보호법 시행령에 대해 개선을 권고한 주요 내용은 다음과 같다.
첫째, 개인정보 보호위원회의 운영과 관련하여, 보호위원회 위원의 겸직금지 관련 조항, 전문위원회의 구성과 운영 관련 조항, 보호위원회 의사(議事) 공개 관련 조항의 개선을 통해 보호위원회가 보다 투명하고 민주적으로 운영되도록 할 것.
둘째, 개인정보의 ‘추가적인 이용·제공’이 개인정보를 수집목적 외로 무분별하게 사용하는 것을 합리화하지 않기 위해서는 정보주체가 합리적으로 기대할 수 있는 범위를 벗어나지 않도록 엄격하게 규정되어야 함.
셋째, 민감정보에 대한 시행령(안) 제18조 4호는 ‘인종이나 민족에 관한 정보’로 만 규정해야 하며, 법률에 근거를 두지 않고 공공기관의 편의에 따라 민감정보 보호를 배제하고 있는 시행령 18조의 단서 조항은 삭제하는 것이 바람직함.
넷째, 가명정보를 처리 목적 달성 후에 폐기하도록 한 것은 긍정적이나, 처리 목적이 지나치게 폭넓게 규정될 경우 파기 조항이 무의미해질 수 있으므로 가명정보의 처리 목적을 구체적으로 규정해야 함.
6. 신용정보보호법의 경우, 우선 시행령(안)의 수많은 조항에서 법에서 위임받은 주요 부분을 다시 고시로 재위임하고 있어 법령의 정확한 내용을 파악하기 힘들어질 뿐만 아니라 위법의 소지가 많기 때문에 고시로의 위임을 최소화할 것을 권고하였다. 그 밖에 개선을 권고한 주요 내용은 다음과 같다.
첫째, 법률의 위임범위를 벗어나 전문개인신용평가업자가 금융거래정보를 취급할 있는 예외를 인정하고 있는 제5조 1항의 단서 조항은 삭제되어야 함.
둘째, 공개된 개인정보의 동의가 있었다고 인정되는 범위를 판단할 때 고려해야 할 요소 일부를 개선할 것과 정보주체가 그 판단의 적절성을 다툴 수 있도록 하는 방안을 포함해야 함.
셋째, 가명처리된 개인신용정보도 (가명처리한) 목적 달성에 필요한 최소기간 동안만 보유할 필요가 있으며 그 이후에는 폐기될 수 있도록 해야 함. 시행령(안) 제17조의2에서 4호를 제외하고는 모두 삭제되어야 함.
7. 한편, 한국인터넷기업협회(이하, ‘인기협’)도 시행령(안)에 대한 의견서를 홈페이지를 통해 공개하였다. 그런데 협회의 의견서를 통해 드러난 인터넷 기업들의 입장은 고객인 정보주체의 권리를 전혀 존중하지 않고 있어 매우 우려스럽다.
우선, 시행령(안) 제14조의2(개인정보의 추가적인 이용·제공 기준 등)와 관련하여, 이 조항을 통해 개인정보의 목적 외 활용을 지나치게 확대하려는 것은 아닌지 우려하지 않을 수 없다. 이 조항에 따른 추가적인 목적 외 이용은 정보주체가 합리적으로 예측가능한 범위 내에서만 이루어져야 한다.
둘째, 민감정보와 관련하여 인기협은 “GDPR에서 사용하는 용어인 안면 영상(facial images), 지문 정보(dactyloscopic data)와 같은 명확한 용어를 사용할 필요가 있”다고 의견을 제시하고 있지만, 이 표현은 GDPR의 서설(recital)에서 그것도 예시로 제시되고 있는 표현일 뿐이며, GDPR도 9조에서 “자연인을 유일하게 식별하기 위한 목적의 생체인식정보(biometric data for the purpose of uniquely identifying a natural person)”로 표현하고 있다. 또한 “추가된 민감정보 중 그 식별성과 침해 위험도 등에 따라 차등적인 규제를 적용할 필요”가 있다고 하고 있지만 민감정보 조항에서 이처럼 달리 규정하고 있는 사례는 찾아보기 힘들다. 그리고 ‘차별적 의미를 내포하거나, 차별할 목적으로 처리될 것이 합리적으로 예상되는 민족 또는 인종에 관한 정보’로 수정 제안하고 있지만, 시민사회 의견서에서 지적한 바와 같이 다른 민감정보와 달리 굳이 ‘민족이나 인종에 관한 정보’만 한정해서 규정할 이유가 없다.
셋째, 인기협 의견서의 가장 큰 문제는 가명정보의 결합과 관련된 부분이다. “개인정보보호법 시행령과 신용정보법 시행령이 서로 다르게 규정하고 있어 실무상 큰 혼란이 예상”된다고 옳게 지적하면서도, 인기협은 개인정보 침해 위험이 더 큰 신용정보법 상의 절차를 선호하고 있다. 인기협이 ‘신뢰할 수 있는 제3자(한국인터넷진흥원)’ 방식이 아니라 결합신청자(기업 등)에 의한 결합키 생성과 결합 데이터의 반출을 선호하면서도, “한국인터넷진흥원에 전달되는 과정에서 유출·침해 등의 위험이 높아질 우려”를 거론하는 것은 기만적이라고 하지 않을 수 없다. 결합된 데이터가 원래의 기업에게 제공되었을 때 재식별의 위험이 없을 것이라 어떻게 장담하는지 의문이다.
넷째, 가명정보에 대해 파기하지 않고 무기한 활용할 수 있도록 해달라는 요구는 차라리 개인정보의 무한 활용에 대한 솔직한 욕망을 드러낸 것으로 보일 지경이다.
국내 기업들의 개인정보에 대한 인식 수준은 개인정보 감독기구의 명칭을 ‘개인정보보호위원회’가 아니라 ‘개인정보위원회’로 하자는 요구에서 드러난다. 인터넷 기업들의 개인정보에 대한 무책임성, 어쩌면 이것이 국내 이용자들의 개인정보 자기결정권에 대한 가장 큰 위협이다. 국내 개인정보보호법은 GDPR에 비해 기업들이 개인정보 처리에 대한 책임성을 갖도록 하는 제도적 장치가 여전히 부족하다. 정부는 기업들이 개인정보를 잘 보호하는 것이 해당 기업의 경쟁력에도 도움이 된다는 인식을 가질 수 있는 제도적 환경을 조성해야 한다. 끝.
▣ 붙임1 : 개인정보보호법 및 신용정보보호법 시행령(안)에 대한 시민사회 의견서