메뉴 건너뛰기

참여연대 공식일정+ 더보기

공익법센터    공익소송으로 인권과 민주주의를 지킵니다

  • 정보인권
  • 2021.03.31
  • 212

EU 적정성 결정, 개인정보 보호법제 개선의 계기로 삼아야

정보수사기관의 개인정보 처리에 대한 감독 강화 필요 

상업적 연구 목적의 가명정보 활용 개선해야 

개인정보처리자의 책임성 강화 등 개인정보 보호법제 개선 필요

 

 

어제(3/30) 개인정보 보호위원회는 유럽연합(EU)과 한국 간의 적정성 논의가 성공적으로 마무리되었다고 발표하였다. 적정성 결정이란 EU 역외의 국가가 유럽연합의 일반 개인정보보호법 (General Data Protection Regulation, 이하 GDPR)이 요구하는 수준과 동등한 수준의 개인정보 보호조치가 있는지를 확인‧승인하는 제도이다. 물론 아직 EU의 적정성 결정이 확정된 것은 아니다. 유럽연합 집행위원회(EC)와의 공식적인 확인 이후 EU 정보보호이사회(EDPB) 및 회원국의 의견 수렴을 거쳐야 하고, EU 집행위 전원회의에서 의결하는 절차가 남았다. 이 과정에서 국내 개인정보 보호법제의 문제점이 지적되고 적정성 결정이 또다시 지연될 수도 있다.

 

우리 시민사회단체는 개인정보 보호위원회가 EU 적정성 평가를 계기로 현행 개인정보보호 법제의 문제점을 개선하기를 촉구한다. EU 적정성 평가 통과만이 목표가 될 수는 없다. 한국의 개인정보 보호법이 빅데이터, 인공지능 등 새로운 기술 환경에서 더욱 위태로워진 개인정보를 안전하게 보호하도록 만드는 것이 목표여야 하며, 개인정보 보호위원회는 이 점을 가장 중심에 두어야 한다. 

 

개인정보 보호위원회는 유럽연합 집행위원회(EC)의 이번 초기 결정이 한국의 법체계가 EU 개인정보보호법(GDPR)과 동등한 수준임을 확인한 것으로 보고 있지만, 이는 섣부른 판단이다. EC의 경우 주요한 무역 파트너인 한국과의 무역 활성화라는 경제적 측면을 고려하여 정치적인 결정을 내렸을 수 있지만, EU 정보보호이사회(EDPB)는 실제 개인정보 보호 측면의 문제가 없는지 엄격하게 평가할 가능성이 크기 때문이다. 설사 이번에 적정성 결정을 통과하더라도 4년 주기로 이루어지는 재검토, 혹은 소송을 통해 적정성 결정에 대한 문제제기가 이루어질 수도 있다. 이를 고려할 때 현재 한국의 개인정보 보호법제가 가지고 있는 몇 가지 커다란 문제점을 해결할 필요가 있다. 

 

우선 한국의 개인정보보호 법제는 정보수사기관의 개인정보 처리에 대한 보호가 매우 미흡하다. 개인정보 보호법 2차 개정안에 대한 시민사회 의견에서 이미 지적한 바 있듯이, 현행 개인정보보호법은 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우 등에 있어서 공공기관이 보유한 개인정보를 영장없이 제공할 수 있도록 하고 있으며, 이에는 민감정보도 포함된다. 정보수사기관이 보유하고 있는 개인정보 파일은 개인정보 보호위원회에 등록할 필요가 없기 때문에 어떠한 목적으로 어떠한 개인정보 파일을 운용하고 있는지에 대한 감독이 이루어지고 있지 않으며, 이에 따라 정보주체의 열람 및 정정‧삭제권과 처리정지권의 행사, 정보주체의 고지 받을 권리 또한 제한된다. 국가정보원 등 정보기관의 개인정보 처리에는 개인정보 보호법이 제3장부터 제7장까지 포괄적으로 적용 배제된다. 

 

에드워드 스노든이 미국 국가안보국(NSA)의 인터넷 대량 감청을 폭로한 이후, EU의 적정성 평가 과정에서 국가기관(정보수사기관)의 개인정보 접근 문제가 중요하게 고려되고 있음을 인식할 필요가 있다. 이 때문에 EU-미국간 개인정보 이전을 위한 세이프하버 협정이 2015년 무효 판결을 받은데 이어, 이를 대체한 프라이버시 쉴드 협정조차 지난 2020년 7월, 유럽사법재판소에 의해 또 다시 무효 판결을 받았다. 이러한 점을 고려할 때, EU 정보보호이사회로부터 한국의 정보수사기관의 개인정보 처리가 높은 평가를 받을 수 있을지 의문이다. 

 

이와 관련하여 개인정보 보호위원회는 <한국으로 이전된 개인정보의 처리와 관련한 「개인정보 보호법」의 해석과 적용을 위한 보완 규정>에서 국가안보와 관련한 개인정보 처리, 즉 국가정보원 등의 개인정보 처리와 관련해서도 “침해신고 등 민원의 처리와 시정조치 및 권고를 포함한 보호위원회의 업무와 권한을 규정하는 제60조 내지 제65조” 등이 적용된다고 해석하고 있다. 만일 그렇다면 개인정보 보호위원회는 최근 사실의 일부가 드러나고 있는 국가정보원의 불법 사찰 사건에 대해, 개인정보 보호법 제63조에 따라 자료 제출을 요구하는 등 조사를 진행하고 그 결과에 따라 제64조에 따른 시정조치를 할 필요가 있다. 이와 같이 중대한 개인정보 침해에 대해 개인정보 보호위원회가 지금처럼 손을 놓고 있다면, 위 보완규정은 실질적 권한이라고 보기 어려운 유명무실한 규정일 뿐이다. 

 

둘째, 가명처리만 하면 ‘통계작성, 과학적 연구, 공익적 기록보존 등’을 목적으로 정보주체의 동의없이 개인정보를 목적 외로 활용하고 결합할 수 있도록 허용하고 있는 ‘개인정보 도둑법’(정보통신망법,신용정보보호법,개인정보보호법, 이른바 ‘데이터 3법’)의 핵심조항들도 추후 EU 정보보호이사회(EDPB) 및 회원국의 의견 수렴 과정에서 문제가 될 소지가 다분하다. 과학적 연구를 ‘과학적 방법을 사용하는 연구’로 폭넓게 정의하여 연구라고 주장하는 모든 개인정보 처리 목적으로 활용할 수 있도록 열어놓고 있기 때문이다. 이 규정대로라면 한국으로 이전된 유럽 시민의 개인정보 역시 가명처리만 하면 애초 수집 목적 외로 활용되고 제공, 결합될 수 있다. 

 

셋째, 현행 개인정보 보호법에는 GDPR의 핵심적인 조항들이 많이 빠져있다. 이번에 입법예고된 2차 개정안에 포함되어 있기는 하지만, 개인정보의 자동화된 처리에 대한 규정이 현재 빠져있고, 개인정보 중심설계나 기본설정 등 개인정보 처리자의 책임성을 강화하는 규정은 2차 개정안에도 포함되어 있지 않다. 물론 EU 적정성 평가가 GDPR과 똑같은 개인정보보호 법제를 요구하는 것은 아니지만, 개인정보 보호에 있어서의 취약점이 드러난다면 향후 불리하게 작용할 수도 있다. 

 

한편, 이번 적정성 결정에서 금융기관의 개인정보의 경우에는 그 대상에서 제외되었다. 개인신용정보의 경우 신용정보법이 우선 적용되며 금융위원회의 감독을 받기 때문이다. 금융위원회의 부처 이기주의에 의해 개인정보 보호법이 신용정보법까지 통합하지 못한 문제가 적정성 결정까지 영향을 미친 셈이다. 개정 법률의 시행이 채 1년도 되지 않았음에도 불구하고, 마이데이터 사업자로의 개인거래정보의 이전을 둘러싸고 개인정보 보호위원회와 금융위원회의 관할권의 혼란 문제가 불거진 바도 있다. 보다 일관성있게 개인정보 보호체계를 강화하기 위해서는 신용정보법의 개인신용정보 규정을 개인정보보호법으로 통합해야 할 것이다. 금융위원회는 부처의 이익을 위해 정보주체의 권리를 약화시키는 몽니를 중단해야 한다. 

 

EU의 개인정보 적정성 결정은 개인정보의 수집 및 처리가 세계화되는 현실에서 유럽 시민의 개인정보를 보호하고자 하는 EU의 노력이다. 한국 정부 역시 우리 국민의 개인정보가 해외에서 안전하게 보호될 수 있도록 보장할 의무가 있다. 우리 국민의 개인정보가 해외로 이전될 경우 해당 기업 차원에서, 그리고 이전되는 국가의 법제 차원에서도 개인정보를 안전하게 보호할 수 있도록 요구해야 한다. 결국 세계적인 차원에서 개인정보를 안전하게 보호할 수 있는 규범이 필요하며, 타국에 이를 요구하기 위해서는 우리부터 개인정보 보호법제를 선진화할 필요가 있다. 개인정보 보호위원회는 EU 적정성 결정을 단지 유럽 시장에 진출한 우리 기업의 이익을 보호하기 위한 목적이 아니라, 국내 개인정보 보호법제를 세계적인 수준으로 개선하는 계기로 삼아야 할 것이다.

 

2021년 3월 31일 

무상의료운동본부, 민주사회를 위한 변호사모임 디지털정보위원회, 서울YMCA 시청자시민운동본부, 전국사무금융노동조합연맹, 진보네트워크센터, 참여연대

 

원문보기/다운로드

 
지금 내가 할 수 있는 참여와 행동에 동참해주세요
참여연대 회원가입·후원하기
목록
제목 날짜
참여연대 공익법센터를 소개합니다 2015.03.07
국민 안전과 기본권 보호하는 AI 규제법 마련해야   2021.04.01
우리국민 개인정보보호 수준은 과연 EU 회원국민 보호수준과 동등하기나 한가?   2021.03.31
[국회토론회] 공익소송 패소비용 제도개선을 위한 입법방안 모색   2021.03.03
진실을 말하는 것이 '범죄'가 되는 사실적시 명예훼손죄 합헌 결정 유감   2021.02.26
기업이 "안전하다"고 하기만 하면 믿어야 하나요?   2021.02.26
번지수 틀린 민주당의 '언론피해구제' 법안들   2021.02.25
‘챗봇 이루다’ 학습데이터로 사적 대화 내용 무단 사용된 앱서비스 이용자, 권리 침해 ...   2021.02.18
[헌법소원] 공익소송도 돈 있어야 할 수 있나요?   2021.02.17
[토론회] 인공지능의 공정성⋅투명성⋅책임성 보장을 위한 법제 정비 방안   2021.02.17
[의견서] 개인정보보호법 2차 개정안에 대한 시민사회 의견서 제출   2021.02.16
[소송] SKT는 고객의 정보열람청구권, 처리정지권을 과연 잘 보장하고 있는 것일까?   2021.02.09
[진정서] '이루다 챗봇' 사건 인권침해 및 차별에 대해 인권위는 침묵하면 안됩니다   2021.02.03
개인정보 보호위원회에 챗봇 '이루다' 개발사 스캐터랩에 대한 철저한 조사와 조치 요구   2021.01.20
‘개발'에만 치중한 AI산업육성, '이루다'는 예정된 참사   2021.01.13
[의견서] 개인정보보호에서 중요 한 축인 정보주체 의견 좀 들어 주세요   2021.01.06
© k2s0o1d4e0s2i1g5n. Some Rights Reserved