[디정위][공동 논평] 정보주체 권리 보호와 처리자의 책임 강화를 위한 개인정보보호법 개정안 발의를 환영한다.
[공동 논평]
정보주체 권리 보호와 처리자의 책임 강화를 위한
개인정보보호법 개정안 발의를 환영한다.
최근 민병덕 의원(더불어민주당)과 배진교 의원(정의당)이 각각 개인정보보호법 개정안을 발의하였다. 이 개정안들은 정보주체와 시민사회의 요구를 수렴하여, 정보주체의 권리 보호와 개인정보 처리자의 책임성을 강화하는 내용을 담고 있다. 우리 시민사회단체들은 개정안 발의를 적극 환영하며, 국회 심의 과정에서 심도있는 논의를 통해 법개정에 반영되기를 기대한다.
지난 2021년 9월 28일, 개인정보보호위원회는 개인정보보호법 개정안을 발의하였다.. 개보위는 국회 정무위원회 회의에서 정부 발의안이 시민사회의 의견을 수렴한 결과인 것처럼 얘기하고 있으나 이는 전혀 사실이 아니다. 입법예고 이전, 개정안에 포함될 의제 선정 단계에서도 시민사회는 의견을 제출할 기회조차 가질 수 없었으며, 입법예고안에 대해서도 시민사회 의견서를 제출하였지만 (개인정보보호법 2차 개정안에 대한 시민사회 의견서, 2021년 2월 16일 발표) 최종 발의안에 그 내용이 반영되지 않았다.이에 우리는 정부 발의안이 시민사회의 기대와 국제적인 규범 수준에 미치지 못하는 미흡한 법안임을 비판한 바 있다. (「개인정보보호법」정부안에 대한 시민사회의 입법 의견서 참조, 2021년 11월 16일 발표)
민병덕 의원, 배진교 의원이 각각 발의한 개정안은 이와 같은 정부 발의안의 미흡함을 보완할 수 있는 안이다. 우선 민병덕 의원이 대표발의한 개정안은 정보주체의 고지받을 권리, 정보주체에게 중대한 영향을 미치는 자동화된 의사결정에 대한 배제 등의 권리를 신설하여 빅데이터, 인공지능 환경에서 정보주체의 개인정보에 대한 통제권을 강화하는 내용을 담고 있다. 배진교 의원이 대표발의한 개정안은 설계 및 기본설정에 의한 개인정보보호(Privacy by Design / Privacy by Default), 개인정보영향평가 제도 확대, 개인정보 보호감독관제도 신설 등 주로 개인정보 처리자의 책임성을 강화하는 내용을 포함하고 있다. 이 두 개정안은 최근 한국의 개인정보보호 적정성 결정을 승인한 유럽연합의 개인정보보호법(GDPR)과 가장 호환가능한 법률안이기도 하다.
지난 2020년에 국회를 통과한 이른바 ‘데이터 3법’은 정보주체의 권리를 배제한 채, 정보주체의 동의없는 개인정보 활용에 초점을 맞춘 바 있다. 당시 정부 여당은 2차 개정을 통해 정보주체의 권리 보호를 강화하겠다고 약속한 바 있다. 민병덕 의원, 배진교 의원의 개정안이 현행 개인정보보호법에 반영되어야 그러한 균형이 비로소 달성될 수 있을 것이다. 국회가 이 개정안을 심사 과정에서 적극 반영할 것을 촉구한다.
2022년 1월 6일
경실련, 민주사회를 위한 변호사모임 디지털정보위원회,
서울YMCA 시민중계실, 소비자시민모임, 전국민주노동조합총연맹, 진보네트워크센터, 참여연대, 한국소비자연맹
<참고 자료>
민병덕 의원 대표발의 개인정보보호법 개정안의 주요 내용
가. 개인정보의 적법한 처리 근거의 정비
나. 동의 외의 법적 근거에 따라 처리할 때에도 고지받을 수 있도록 정보주체의 고지받을 권리 확대
다. 범죄수사목적의 개인정보 제3자 제공시 적법절차 원칙 정비
라. 정보주체 이외로부터 수집한 경우에도 고지받을 수 있도록 정보주체의 고지받을 권리 확대
마. 정보주체가 개인정보처리자에게 그가 처리하는 자신의 개인정보를 정보주체 본인, 다른 개인정보처리자에게 전송할 것을 요구할 수 있는 개인정보의 전송 요구권 및 개인정보관리 전문기관에 대한 감독근거 규정 신설
바. 인공지능을 포함한 신기술의 적용에 따라 생명ㆍ 신체ㆍ재산 등에 중대한 영향을 미치는 자동화 의사결정 등에 대하여 일정한 경우를 제외하고는 그 대상이 되지 않도록 하고, 그 대상이 될 경우라도 이의제기 및 설명을 요구할 수 있는 권리 신설
배진교 의원 대표발의 개인정보보호법 개정안의 주요 내용
가. 범죄수사 목적으로 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공하는 것을 제한함.
나. 민감정보의 처리 제한 관련 조항을 추가적으로 규정함
다. 통계작성 등을 위한 개인정보 처리 요건 및 절차를 보완하여 정보주체의 권리 침해를 최소화함
라. 설계 및 기본설정에 의한 개인정보보호가 이루어지도록 함
마. 개인정보보호위원회의 직권 또는 정보주체 등의 청구로 개인정보 처리방침에 대한 적정성을 심사할 수 있도록 개인정보 처리방침에 대한 심사 제도를 도입하고자 함
바. 개인정보 보호감독관 제도를 도입함
사. 개인정보 영향평가 제도의 취지에 맞게 민간의 개인정보처리자도 개인정보 침해 우려가 있는 경우 개인정보 영향평가를 수행하도록 하며, 영향평가의 결과를 공개하도록 하고 필요한 경우 보호위원회의 사전자문을 받도록 함
아. 개인정보처리자가 위반행위를 하는 경우 전체 매출액의 100분의 4 이하에 해당하는 금액을 과징금으로 부과할 수 있도록 하고, 개인정보보호법의 과징금 관련 규정을 통합ㆍ정비함 |