무늬만 정보주체 권리강화, 실질은 개인정보 유통! 정부의 개인정보보호법 개정안에 대한 입법의견서

9개 시민단체, 「개인정보보호법」정부안에 대한 입법 의견서 국회 제출

무늬만 정보주체 권리강화, 내용은 여전히 개인정보 ‘활용’에 방점

국회는 개인정보 자기결정권 보장하는 방향으로 법안 논의해야

 

오늘(11/16) 무상의료운동본부, 서울YMCA 시청자시민운동본부, 소비자시민모임, 전국민주노동조합총연맹, 진보네트워크센터, 참여연대, 한국소비자연맹, 경실련, 민변 디정위 등 9개 시민단체들은 지난 9월 28일 정부(개인정보보호위원회)가 국회에 제출한 개인정보보호법 개정안에 대한 의견서를 제출하였다. 

이들 단체는 이번 정부 개정안이 ‘무늬만’ 정보주체 권리강화일 뿐 여전히 개인정보 활용에 방점을 두고 있다고 지적했다. 예를 들어, 가명정보의 특례 조항인 제28조의2는 동의없는 개인정보의 활용 범위를 기업의 영리 목적의 연구까지 지나치게 확대하고 있어 가장 심각한 문제로 지적되어 왔음에도 개선하기는 커녕, 가명정보의 처리 뿐만 아니라 가명처리까지 명시적 동의 없이 활용할 수 있도록 오히려 범위를 넓혔다고 평가했다. 또한 계약의 체결 및 이행을 목적으로 개인정보를 수집하는 요건도 현행 규정에 비해 완화하고, 정보주체의 통제권 강화라는 그럴듯한 명분으로 도입하겠다는 정보전송권은 사실상 마이데이터 산업 육성을 통한 개인정보의 유통과 활용을 확대하겠다는 것과 다르지 않다고 지적했다. 자동화된 결정에 대한 정보주체의 권리 또한 인공지능 시대에 당연히 도입되어야 할 권리이지만, 유럽연합에 비해 권리 보장의 폭이 협소하다. 유럽연합과 일반개인정보보호법(GDPR) 적정성 평가 절차까지 진행하고 있는 마당에 우리 국민의 권리를 유럽 시민의 권리보다 약화시킨 합리적 이유는 제시되지 않았다. 

시민단체들은 지난 2021년 1월 정부가 입법예고한 안에 대해서 검토 의견을 제시함과 함께 개정안에 포함되어야 할 추가 의제도 제안하였다. 정부가 법개정 취지로 내세운 정보주체의 권리를 강화하겠다는 명분에 일말의 진정성이라도 있다면, 시민사회가 제안한 바와 같이 ▷개인정보의 처리에 관한 정보를 제공받을 권리, ▷정보주체로부터 개인정보를 직접 수집하지 않을 경우 정보주체의 고지받을 권리, ▷개인정보의 처리 여부 및 방법에 대한 정보주체의 열람권 등을 보완해야 한다고 촉구했다. 또한 ▷설계 및 기본설정에 의한 개인정보보호 규정, 개인정보 영향평가의 민간 확대 등 신기술 환경에서 개인정보처리자의 책임성을 강화할 수 있는 규정 역시 포함할 것을 요구했다.

특히, 수사기관을 포함한 국가 또는 지방자치단체가 법령에서 정하는 소관 업무의 수행을 명분으로 촬영 사실을 표시하거나 알리지 않고 이동형 영상정보처리장치를 사용할 수 있도록 함으로써, 드론 등을 통한 몰래 감시를 허용하고 있는 것도 기본권을 수호해야 할 개인정보 감독기구로서의 역할을 망각한 입법안이라고 강조했다. 

이들 단체들은 국회가 이번 정부 개정안의 독소조항을 그대로 통과시켜서는 안되며 시민사회의 의견을 충분히 반영하여 우리 국민의 개인정보 자기결정권을 보장하는 방향으로 법안 논의할 것을 촉구하였다. 

보도자료[원문보기/다운로드]

<정부가 국회 제출한 개인정보보호법 개정안에 대한 시민사회의견서>

 

 

정부 개인정보보호법개정안에 대한 의견

 

1. 개인정보의 수집ㆍ이용

 

현행

개정안

제15조(개인정보의 수집ㆍ이용) 

① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.

1. 정보주체의 동의를 받은 경우

2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우

3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우

4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우

5. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우

6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.

제15조(개인정보의 수집ㆍ이용) ①

  1. ∼ 3. (현행과 같음)

  4. 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우

  5.ㆍ6. (현행과 같음)

  7. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우

 

 

  • 제15조 제1항 제4호 개정에 반대함

    • ‘불가피하게‘를 삭제할 경우 계약의 체결 및 이행을 위하여 필수적인 정보 이상의 개인정보를 수집할 수 있는 것으로 해석될 우려가 있음. 현행 문구를 사용하더라도 계약의 체결 및 이행을 위하여 필요한 최소한의 정보를 수집할 수 있는 것으로 해석될 수 있기 때문에 굳이 개정의 필요성이 없음. 

 

 

 

2. 이동형 영상정보처리기기 운영 기준 마련 

 

제25조(고정형 영상정보처리기기의 설치ㆍ운영 제한) ① ————————————– 고정형 영상정보처리기기———————.

6. 촬영된 영상정보를 저장하지 아니하는 경우로서 대통령령으로 정하는 경우 <신설> 

 

제25조의2(이동형 영상정보처리기기의 운영 제한) ① 업무를 목적으로 이동형 영상정보처리기기를 운영하려는 자는 다음 각 호의 경우를 제외하고는 공개된 장소에서 이동형 영상정보처리기기로 사람 또는 그 사람과 관련된 사물의 영상(개인정보에 해당하는 경우로 한정한다. 이하 같다)을 촬영하여서는 아니 된다.

  1. 제15조제1항 각 호의 어느 하나에 해당하는 경우

  2. 제3항에 따라 촬영 사실을 명확히 표시하여 정보주체가 촬영사실을 알 수 있도록 하였음에도 불구하고 촬영 거부 의사를 밝히지 아니한 경우. 이 경우 정보주체의 권리를 부당하게 침해할 우려가 없고 합리적인 범위를 초과하지 아니하는 경우로 한정한다.

  3. 그 밖에 제1호 및 제2호에 준하는 경우로서 대통령령으로 정하는 경우

  ② 누구든지 불특정 다수가 이용하는 목욕실, 화장실, 발한실, 탈의실 등 개인의 사생활을 현저히 침해할 우려가 있는 장소의 내부를 볼 수 있는 곳에서 이동형 영상정보처리기기로 사람 또는 그 사람과 관련된 사물의 영상을 촬영하여서는 아니 된다. 다만, 인명의 구조ㆍ구급 등을 위하여 필요한 경우로서 대통령령으로 정하는 경우에는 그러하지 아니하다.

  ③ 제1항 각 호에 해당하여 이동형 영상정보처리기기로 사람 또는 그 사람과 관련된 사물의 영상을 촬영하는 경우에는 불빛, 소리, 안내판 등 대통령령으로 정하는 바에 따라 촬영 사실을 표시하고 알려야 한다. 다만, 촬영 사실을 표시하는 경우 국가 또는 지방자치단체가 법령에서 정하는 소관 업무의 수행이 불가능한 때에는 촬영 사실을 표시하거나 알리지 아니할 수 있다.

  ④ 국가 또는 지방자치단체는 제3항 단서에 해당하여 촬영 사실을 표시하지 아니하고 이동형 영상정보처리기기로 사람 또는 그 사람과 관련한 사물의 영상을 촬영한 경우에는 사후에 촬영 사실 등을 대통령령으로 정하는 방법에 따라 정보주체에게 알리거나 공지하여야 한다.

  ⑤ 제1항부터 제4항까지에서 규정한 사항 외에 이동형 영상정보처리기기의 운영에 관하여는 제25조제6항부터 제8항까지의 규정을 준용한다.

 

  • 개정안 제25조의2 제1항 제3호는 삭제되어야 함.

    • 개인영상정보는 다른 유형의 개인정보에 비하여 개인정보 주체의 권리 침해 정도가 더 크고 지속될 수 있으며, 고정형에 비하여 이동형 영상정보처리기기로 수집되는 경우에는 더욱 그러함. 따라서 이동형 영상정보처리기기에 대해서는 일반적인 개인정보 및 고정형 영상처리기기에 의하여 수집된 개인정보보다 더 강화된 보호 규범이 적용되는 것이 원칙적으로 타당함에도 불구하고, 제25조의2 제1항은 오히려 고정형 영상정보처리기기에 비해 촬영을 허용하는 범위를 확대하고 있음. 특히, 제25조의2 제1항 제3호는 “그 밖에 제1호 및 제2호에 준하는 경우로서 대통령령으로 정하는 경우”에도 이동형 영상정보처리기기를 이용한 촬영을 허용하고 있는데, 이 경우가 어떠한 경우인지 전혀 예측할 수 없음. 그나마 제25조의2 제1항 제2호는 ‘이 경우 정보주체의 권리를 부당하게 침해할 우려가 없고 합리적인 범위를 초과하지 아니하는 경우’로 제한하고 있지만, 제3호는 그러한 제한 요건도 없음. 따라서 정부가 자의적으로 허용 범위를 확대할 수 있도록 허용하는 제25조의2 제1항 제3호는 삭제할 필요가 있음. 

  • 개정안 제25조의2 제3항 단서 삭제 

    • 제3항은 “국가 또는 지방자치단체가 법령에서 정하는 소관 업무의 수행이 불가능한 때에는 촬영 사실을 표시하거나 알리지 아니”할 수 있도록 하고 있는데, 이는 소관 업무의 수행을 명분으로 국가 또는 지방자치단체가 이동형 영상정보처리기기를 통한 은밀한 촬영을 허용할 위험이 있음. 특히, 수사기관이 수사의 기밀성 유지를 위해 무단 촬영이 불가피하고, 촬영사실을 표시하면 수사 업무 수행이 불가능하다고 주장하면서 무단 촬영을 하는 것을 허용하는 것으로 악용될 우려가 큼. 수사기관이 이동형 영상정보처리기기를 이용하여 무단으로 촬영하는 것은 개인의 권리 침해의 정도에 있어 통신비밀보호법에서 엄격하게 제한하고 있는 감청에 준하는 것임. 따라서 설사 이와 같은 은밀한 촬영이 필요한 경우가 존재하더라도 이는 국가 또는 지방자치단체의 자의적인 판단에 의해서는 안되며, 통신비밀보호법 수준으로 법원의 허가를 받도록 하는 등 남용을 통제할 수 있는 조치가 도입되어야 함. 

  • 개정안 제25조의2 제4항 수정 

    • 3항 단서에서  “국가 또는 지방자치단체가 법령에서 정하는 소관 업무의 수행이 불가능한 때에는 촬영 사실을 표시하거나 알리지 아니”할 수 있도록 허용하면서 “사후에 촬영 사실 등을 대통령령으로 정하는 방법에 따라 정보주체에게 알리거나 공지”하도록 하고 있는데, 이 정도로는 정보주체에 대한 충분한 고지가 될 수 없음. 국가 또는 지방자치단체의 자의적인 은밀한 촬영은 허용되어서는 안되며 법원의 허가에 따라 제한적으로 허용될 수 있다고 하더라도, 정보주체가 자신의 권리를 보장받을 수 있도록 고지가 필요함. 즉, 단지 (홈페이지 등에) 공지하는 것으로는 정보주체가 인지하지 못할 수 있으므로 정보주체에게 직접 고지해야 하며, 법에서 고지할 내용(예를 들어, 촬영의 목적, 일시, 장소, 촬영 지속 시간, 정보주체의 권리 등)을 법에서 사전에 규정할 필요가 있음. 

 

3.  가명정보 처리 특례 정비 

 

현행 

개정안

제28조의2(가명정보의 처리 등) 

① 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다.

② 개인정보처리자는 제1항에 따라 가명정보를 제3자에게 제공하는 경우에는 특정 개인을 알아보기 위하여 사용될 수 있는 정보를 포함해서는 아니 된다.

 

제28조의7(적용범위) 가명정보는 제20조, 제21조, 제27조, 제34조제1항, 제35조부터 제37조까지, 제39조의3, 제39조의4, 제39조의6부터 제39조의8까지의 규정을 적용하지 아니한다.

제28조의2(가명정보의 처리 등) ① ————————————————————————- 개인정보를 가명처리하거나 가명정보를 —————.

 

제28조의7(적용범위) 가명정보에 관하여는 제20조, 제20조의2 ——- 제35조, 제35조의2, 제36조 및 제37조를 —————————————————–.

 

 

  • 제28조의2 개정안에 반대하며 해당 조항의 전면적인 수정이 필요함. 

  • ‘정보주체 동의 없는 가명처리’의 허용(안 제28조의2 제1항)에 대하여, 개인정보보호위원회는 현행 개인정보보호법 제28조의2 제1항의 ‘가명정보의 처리’가 ‘개인정보의 가명처리’를 포함한다는 사항을 법률에서 명확히 규정할 필요가 있다며 “가명정보를 처리할 수 있다”를 “개인정보를 가명처리하거나 가명정보를 처리할 수 있다”는 내용으로 개정안을 마련하였음. 그러나 “가명정보의 처리”와 “개인정보의 가명처리”는 개인정보보호법 제2조의 개념정의 상으로도 구분되고, 처리의 대상, 처리의 방식, 처리목적, 처리결과, 해당 처리가 정보주체에게 미치는 영향 등에 있어 현저한 차이가 있으므로 가명처리가 가명정보의 처리에 ‘포함’되는 관계라고 해석할 수 없음. 개인정보보호위원회의 「개인정보보호법령 및 지침·고시 해설(‘20.12.)」 221쪽은 법률문언의 가능한 범위를 넘어선 해석으로 부당함.  

  • 개인정보의 가명처리를 개인정보 침해위험을 줄이는 안전조치로 접근하는 것이 아니라 정보주체의 동의를 배제하는 조건으로 접근하는 개정안의 관점 자체가 부적절함. 

  • 더욱이 현행법상 동의 없는 가명정보 처리를 허용하는 목적이 너무 광범위하여, 공공적 목적이 아닌 기업들의 사적 이익 추구를 위해 가명정보 처리가 활용될 가능성을 매우 넓게 열어주고 있는데 여기에 동의 없는 ‘가명처리’까지 허용할 경우 그 폐해는 더욱 심각해질 것임. 

  • 현행 제28조의2 제1항은 가명정보의 처리에 대한 정보주체의 동의권을 제한하고,  제28조의7은 가명정보에 대해 정보주체의 열람권, 정정ㆍ삭제권 등 정보주체의 권리를 총체적, 일률적으로 배제하고 있으므로, 어떤 개인정보를 가명처리하면 향후 해당 정보는 정보주체의 인식가능성이나 통제가능성을 벗어나 유통과 거래의 대상이 됨. 즉 가명처리는 정보주체의 권리행사를 총체적으로 제한하는 효과가 있기 때문에, 적어도 어떤 정보를 가명처리하여 가명정보로 만드는 그 단계에서 정보주체의 통제가능성이 보장되어야 함. 이처럼 가명정보의 처리 특례에 가명처리를 추가하는 이 부분 개정안은 현행법에 비해 정보주체의 기본권에 새롭고 중대한 변화를 초래하는 내용을 담고 있음에도, 이를 마치 기존의 규정을 조금 더 명확하게 정비하는 수준인 것처럼 주장하며 개정을 추진하는 것은 개인정보보호법의 개정이 아닌 개악이라는 비판을 피할 수 없을 것임.  

  • 한편 현행법에 가명정보의 처리 특례를 도입한 이후 ‘가명처리’에 대한 정보주체의 권리행사가 가명정보처리 특례 규정에 의해 잠탈당하는 현상이 발생하고 있음. 자신의 개인정보를 어떤 목적으로 어떤 항목을 가명처리하는지 등에 대한 열람권 행사, 향후 가명처리의 정지를 요구하는 처리정지권 등은 기존 규정의 해석을 통해서도 가능하나, 현실적으로 권리의 행사를 보다 확실히 담보하기 위한 차원에서 규정을 명확히 정비하는 방향도 고려해볼 필요가 있음.  

  • 가명정보에 대한 적용범위 개정(안 제28조의7)에 대하여, 이 부분 개정안은 가명정보에 대해 적용이 배제되는 조항들 중 개인정보처리자의 ‘파기의무’에 관한 제21조를 삭제하는 내용임. 가명정보도 여전히 개인정보이므로 개인정보 처리목적구속의 원칙이나 최소처리의 원칙 등에 비추어 보유기간 경과나 목적달성 이후에도 이를 계속 보존하도록 할 이유가 없음. 가명정보도 파기의무를 적용받도록 한 것은 지극히 당연한 내용임. 현행법 제28조의7의 문제점에 대한 지적을 일부 수용한 것으로 보임. 그러나 그 외 제28조의7이 지니고 있는 근본적인 문제점은 전혀 해결되지 않았음. 즉, 현행법은 정보주체의 권리가 총체적으로 적용배제되는 가명정보의 범위에 아무런 제한을 두고 있지 않음. 현재 이 조항은 어떤 목적으로 가명정보를 처리하더라도 정보주체의 권리가 전적으로 배제되는 것으로 해석될 수 있는데,  가명정보처리 목적의 어떤 공익성도 담보될 수 없는 상황에서 정보주체의 권리를 일방적으로 광범위하게 희생시키는 것은 헌법적으로도 정당화될 수 없음. 

  • 가명정보에 대한 정보주체의 권리를 제한하기 위해서는 그 제한을 정당화하는 목적의 설정이 필요하고, 권리를 제한하더라도 권리제한의 필요성과 비례성을 담보하기 위한 요건을 규정할 필요가 있음. 예를 들어 GDPR 제89조 제2항은 개인정보가 과학적 또는 역사적 연구목적이나 통계적 목적으로 처리되는 경우 정보주체의 열람권, 정정권, 삭제권 등 권리의 적용을 일부 제외할 수 있다고 규정하여 그 제한의 가능성을 부여하면서도, “그러한 권리가 그러한 특정목적의 달성을 불가능하게 하거나 중대하게 손상시킬 것으로 예상되고, 그러한 목적을 달성하기 위하여 적용의 일부 제외가 필요한 것이어야 한다”는 단서를 달고 있다는 점을 참고할 수 있을 것임. 

  • 가명정보에 대한 정보주체의 권리행사 또는 개인정보처리자의 의무이행이 개인정보보호법 제28조의5에서 가명정보를 특정 개인을 알아보기 위한 목적으로 처리하는 것을 금지하는 부분과 상충될 가능성이 있다면, 정당한 권리행사가 보장될 수 있도록 제28조의5를 함께 개정하는 방향, 또는 가명정보의 재식별 없이 정보주체의 권리행사가 가능한 범위와 방식을 고민하여 이를 최대한 보장할 수 있는 방향으로 개정해야 할 것임. 애초에 ‘추가정보’를 파기하는 것이 아니라 별도로 분리, 보관할 수 있다는 것은 추가정보를 통한 재식별의 가능성을 열어둔 것임에도, 어떤 경우에도 재식별을 금지하고 특히 정보주체가 정당한 권리를 행사함에도 재식별 금지의무를 내세워 권리행사를 부정하는 것은 모순적임. 

 

4.  개인정보 처리방침의 심사 

 

제30조의2(개인정보 처리방침의 평가 및 개선권고) ① 보호위원회는 개인정보 처리방침에 관하여 다음 각 호의 사항을 평가하고, 평가 결과 개선이 필요하다고 인정하는 경우에는 개인정보처리자에게 개선을 권고할 수 있다.

  1. 제30조제4항에 따른 개인정보 처리방침의 작성지침을 준수하였는지 여부

  2. 개인정보 처리방침을 알기 쉽게 작성하였는지 여부

  3. 개인정보 처리방침을 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지 여부

  ② 개인정보처리자는 제1항에 따른 권고를 받은 경우에는 권고내용을 이행하도록 노력하여야 한다.

  ③ 개인정보 처리방침의 평가 대상, 기준 및 절차 등에 필요한 사항은 대통령령으로 정한다.

 

  • 개인정보보호위원회가 개인정보보호처리방침의 개인정보보호법 위반 여부를 평가하고 개선을 권고할 수 있는 권한을 부여한 것은 비단 개인정보처리방침 뿐만 아니라 이를 통해 드러난 해당 개인정보처리자의 개인정보 처리관행을 개선할 수 있다는 점에서 제도의 도입취지는 긍정적으로 평가할 수 있음. 

  • 개인정보처리방침에 대한 심사청구 제도 도입 필요 

    • 입법예고안에서는 제한적이나마 비영리민간단체 등에 심사 청구를 할 수 있는 권한을 주었는데, 국회 발의안에서는 이와 관련된 조항이 삭제되었음. 물론 일반적인 민원을 통해 개인정보처리방침에 대한 심사를 요청할 수도 있겠으나, 심사 요청에 따라 개인정보보호위원회가 심사를 하고 답변을 해야할 의무가 부여되는 것은 아니므로 제한적일 수밖에 없음. 개인정보보호위원회가 수많은 개인정보처리방침을 모니터링할 수는 없는 바, 문제가 있을 수 있는 개인정보처리방침은 그와 관련된 이해관계자의 신고에 의해 발견될 수 있다는 점에서 개인정보처리방침 심사가 실효성을 갖출 수 있는 조치가 될 수 있음. 

    • 약관규제법에서 “약관의 조항과 관련하여 법률상 이익이 있는 자”가 약관심사를 공정거래위원회에 청구할 수 있도록 한 점을 참고하여, 해당 개인정보처리방침에 따라 자신의 개인정보가 처리되고 있거나 처리될 가능성이 있는 개인도 심사청구가 가능하도록 열어둘 필요가 있음.

 

5. 개인정보 보호책임자  

 

현재 조항

발의안

제31조(개인정보 보호책임자의 지정)

① ~ ④ 생략 

⑤ 개인정보처리자는 개인정보 보호책임자가 제2항 각 호의 업무를 수행함에 있어서 정당한 이유 없이 불이익을 주거나 받게 하여서는 아니 된다.

⑥ 개인정보 보호책임자의 지정요건, 업무, 자격요건, 그 밖에 필요한 사항은 대통령령으로 정한다.

제31조(개인정보 보호책임자의 지정 등) ①  ———————————————————————————–. 다만, 종업원 수, 매출액 등이 대통령령으로 정하는 기준에 해당하는 개인정보처리자의 경우에는 지정하지 아니할 수 있다.

  ② 제1항 단서에 따라 개인정보 보호책임자를 지정하지 아니하는 경우에는 개인정보처리자의 사업주 또는 대표자가 개인정보 보호책임자가 된다.

  ③ (현행 제2항과 같음)

  ④ —————— 제3항 ————————————————————————————————————————.

  ⑤ (현행 제4항과 같음)

  ⑥ ———————————– 제3항 ——————————————————————– 되며, 개인정보 보호책임자가 업무를 독립적으로 수행할 수 있도록 보장하여야 한다.

  ⑦ 개인정보처리자는 개인정보의 안전한 처리 및 보호, 정보의 교류, 그 밖에 대통령령으로 정하는 공동의 사업을 수행하기 위하여 제1항에 따른 개인정보 보호책임자를 구성원으로 하는 개인정보 보호책임자 협의회를 구성ㆍ운영할 수 있다.

  ⑧ 보호위원회는 제7항에 따른 개인정보 보호책임자 협의회의 활동에 필요한 지원을 할 수 있다.

  ⑨ 제1항에 따른 개인정보 보호책임자의 자격요건, 제3항에 따른 업무 및 제6항에 따른 독립성 보장 등에 필요한 사항은 매출액, 개인정보의 보유 규모 등을 고려하여 대통령령으로 정한다.

 

  • 개인정보 보호책임자의 독립성을 강화하는 것은 바람직한 일이지만 실질적인 독립성의 보장을 위한 의사결정과 업무처리에 대한 구체적인 규정이 추가될 필요가 있음. 

  • 제31조 제1항에서 “개인정보의 처리에 관한 업무를 총괄해서 책임”지는 자를 개인정보 보호책임자로 규정한 이상, 독립적인 개인정보보호 감독관과는 그 위상이 다름. 어느 개인정보 처리자나 개인정보 업무를 총괄할 책임자가 필요하다는 점에서 개인정보 보호책임자는 필요하지만, 그와 별개로 개인정보 처리자를 자문하고 감독할 독립 개인정보보호 감독관(DPO) 도입이 필요함. 

  • 제31조 제7항, 제8항 삭제 

    • 개인정보 보호책임자를 구성원으로 하는 개인정보 보호책임자 협의회는 자발적으로 구성할 문제이지 굳이 법에 둘 필요는 없으며, 또한 사업자들의 이익집단이 될 수 있는 협의회에 필요한 경비를 보호위원회가 지원할 필요가 있는지 의문임. 제31조 제6항 및 7항의 신설에 반대함. 

    • 개인정보 보호책임자 협의회가 수행해야 할 ‘대통령령으로 정하는 공동의 사업’이 무엇인지 법에 아무런 근거를 두지 않은 것도 큰 문제임. 

 

6. 개인정보 전송요구권 및 개인정보관리 전문기관 

 

제35조의2(개인정보의 전송 요구) ① 정보주체는 개인정보처리자에게 그가 처리하는 자신의 개인정보를 다음 각 호의 자에게 전송할 것을 요구할 수 있다.

  1. 정보주체 본인

  2. 제35조의3제1항에 따른 개인정보관리 전문기관

  3. 제29조에 따른 안전조치의무를 이행하고 대통령령으로 정하는 시설 및 기술 기준을 충족하는 자

  ② 제1항에 따른 전송 요구는 다음 각 호의 요건을 모두 갖추어야 한다.

  1. 정보주체가 전송을 요구하는 개인정보가 정보주체 본인에 관한 개인정보로서 다음 각 목의 어느 하나에 해당하는 정보일 것

가. 제15조제1항제1호, 제23조제1항제1호 또는 제24조제1항제1호에 따른 동의를 받아 처리되는 개인정보

나. 제15조제1항제4호에 따라 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 처리되는 개인정보

  2. 전송을 요구하는 개인정보가 개인정보처리자가 수집한 개인정보를 기초로 분석ㆍ가공하여 별도로 생성한 정보가 아닐 것

  3. 전송을 요구하는 개인정보가 컴퓨터 등 정보처리장치로 처리되는 개인정보일 것

  4. 전송 요구를 받은 개인정보처리자가 매출액, 개인정보의 규모, 개인정보 처리능력, 산업별 특성 등을 고려하여 대통령령으로 정하는 기준에 해당할 것

  ③ 개인정보처리자는 제1항에 따른 전송 요구를 받은 경우에는 시간, 비용, 기술적으로 허용되는 합리적인 범위 내에서 해당 정보를 컴퓨터 등 정보처리장치로 처리 가능한 형태로 전송하여야 한다.

  ④ 개인정보처리자는 정보주체의 본인 여부가 확인되지 아니하는 경우 등 대통령령으로 정하는 경우에는 제1항에 따른 전송 요구를 거절하거나 전송을 중단할 수 있다.

  ⑤ 정보주체는 제1항에 따른 전송 요구로 인하여 다른 사람의 권리나 정당한 이익을 침해하여서는 아니 된다.

  ⑥ 제1항부터 제5항까지에서 규정한 사항 외에 전송 요구, 전송 방법, 전송 요구의 거절 및 전송 중단의 방법 등에 필요한 사항은 대통령령으로 정한다.

 

제35조의3(개인정보관리 전문기관) ① 다음 각 호의 업무를 수행하려는 자는 보호위원회 또는 관계 중앙행정기관의 장으로부터 개인정보관리 전문기관의 지정을 받아야 한다.

  1. 제35조의2에 따른 개인정보의 전송 요구권 행사 지원

  2. 정보주체의 권리행사를 지원하기 위한 개인정보 전송시스템의 구축 및 표준화

  3. 정보주체의 권리행사를 지원하기 위한 개인정보의 관리ㆍ분석

  4. 그 밖에 정보주체의 권리행사를 효과적으로 지원하기 위하여 대통령령으로 정하는 업무

  ② 제1항에 따른 개인정보관리 전문기관의 지정요건은 다음 각 호와 같다.

  1. 개인정보를 전송ㆍ관리ㆍ분석할 수 있는 기술수준 및 전문성을 갖추었을 것

  2. 개인정보를 안전하게 관리할 수 있는 안전성 확보조치 수준을 갖추었을 것

  3. 개인정보관리 전문기관의 안정적인 운영에 필요한 재정능력을 갖추었을 것

  ③ 보호위원회 및 관계 중앙행정기관의 장은 개인정보관리 전문기관이 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보관리 전문기관의 지정을 취소할 수 있다. 다만, 제1호에 해당하는 경우에는 지정을 취소하여야 한다.

  1. 거짓이나 부정한 방법으로 개인정보관리 전문기관으로 지정을 받은 경우

  2. 제2항에 따른 개인정보관리 전문기관의 지정요건을 갖추지 못하게 된 경우

  ④ 보호위원회 및 관계 중앙행정기관의 장은 개인정보관리 전문기관에 대하여 업무 수행에 필요한 지원을 할 수 있다.

  ⑤ 개인정보관리 전문기관은 정보주체의 요구에 따라 제1항 각 호의 업무를 수행하며, 정보주체로부터 그 업무 수행에 필요한 비용을 받을 수 있다.

  ⑥ 제1항에 따른 개인정보관리 전문기관 지정요건의 세부기준, 지정절차, 관리ㆍ감독 및 비용 등에 필요한 사항은 대통령령으로 정한다.

 

  • 개정안 제35조의2는 정보주체가 일정 요건을 충족하는 개인정보처리자가 처리하는 자신의 개인정보를 1) 자신, 2) 다른 개인정보처리자, 3) 제35조의3 제2항에 따른 개인정보관리 전문기관에게 전송할 것을 요구할 수 있는 권리를 도입하는 내용임

  • 정부는 개인정보 전송요구권의 도입 취지로 정보주체의 통제권 강화를 내세우고 있으나 현재의 형식화된 동의제도, 정보주체 개인과 기업간의 정보력, 판단력과 협상력의 불균형 등을 고려할 때, 전송요구권의 도입이 과연 정보주체의 통제권을 강화할 수 있을지 의문임. 그 보다는 정보주체의 ‘전송요구’라는 포괄적이고 요식적인 행위를 거쳐 기업들이 대량의 개인정보를 합법적으로 수집, 통합하여 활용하는 방향으로 전개될 가능성이 높음.  

  • 정보주체가 전송되는 정보의 항목, 범위, 정보의 양, 전송받는 업체를 통해 통합되는 정보의 내용, 전송받은 업체의 정보 활용목적 등에 대해 충분히 고지받고 판단할 수 있어야 함. 개인정보처리자가 기만적인 방법으로 또는 부당하게 정보전송 요구권행사를 유인하는 것을 금지하는 등의 구체적 기준, 부당한 전송요구에 대한 개인정보처리자의 거절 또는 전송 중단, 정보주체의 전송요구 중단이나 철회, 전송한 정보의 회수나 파기를 요구할 수 있는 권리 등이 실질적으로 보장될 수 있도록 추가적인 규정이 필요할 것임. 의료정보 등 민감정보에 대한 보호 및 국외이전에 관한 절차적 통제 방안도 마련될 필요가 있음. 그러나 개정안은 정보전송권의 개념정의에 가까운 내용만을 마련하고 있을 뿐 대부분의 내용을 포괄적으로 대통령령에 위임하고 있어 불충분함. 정보전송요구권의 실질적 행사를 위한 보다 구체적인 규정과, 적절한 통제장치들을 함께 법률 단계에 규정해야 함. 

  • 개정안은 ‘개인정보관리 전문기관’ 제도를 도입하고 있는데, 이는 소위 ‘마이데이터’ 사업자인 것으로 보임. 그러나 개인정보관리 전문기관 제도를 둘 필요가 있는지에 대해서는 보다 충분한 검토와 논의가 필요함. 우선, 개인정보 이동권과 마이데이터 사업은 별개의 이슈임. GDPR에서 규정하고 있는 개인정보 이동권은 정보주체의 권리 보장과 함께 서비스 사업자 간의 전환을 용이하게 함으로써 사용자가 특정한 사업자에 종속(Lock-in)되는 것을 방지하고 공정한 경쟁을 촉진하려는 취지임. 반면, 마이데이터 사업은 개인정보의 유통과 활용을 촉진하기 위한 목적으로 서로 다른 개인정보처리자가 보유하고 있는 개인정보를 마이데이터 사업자로 집중시키는 모델임. 즉, 공정한 경쟁의 촉진보다는 개인정보의 유통과 활용에 중점을 두고 있는 제도임. 따라서 개정안이 정보주체의 권리 강화를 명분으로 하면서 개인정보관리 전문기관 제도를 은근슬쩍 도입하는 것은 기만적임. 개인정보 이동권(전송 요구권)을 도입하더라도, 개인정보관리 전문기관 제도까지 도입할 필요는 전혀 없음. 

  • 또한 개인정보 보호위원회만 개인정보관리 전문기관을 지정할 수 있는 것은 아니지만, 보호위원회가 개인정보의 유통과 활용을 목적으로 하는 마이데이터 사업자의 인허가를 담당하는 것이 보호위원회의 적절한 역할인지 의문임. 보호위원회는 산업의 촉진이 아니라 개인정보 자기결정권의 보호를 목적으로 하는 기관임을 유념할 필요가 있음. 따라서 보호위원회는 오히려 개인정보관리 전문기관 혹은 마이데이터 사업자가 개인정보의 집중과 통합을 통해 인권을 침해할 우려가 없는지 감독하는 역할에 초점을 맞출 필요가 있음. 만일 서로 다른 분야의 개인정보를 통합관리하게 될 경우 특정 전문기관이 개인에 대한 총체적인 개인정보를  보유할 수 있어 개인 감시의 우려가 있음. 예를 들어 어떤 업체가 내 통신 내역, 금융 이용 내역, 진단 내역 등을 모두 알 수  있다면 당사자가 인지하지 못하는 사이에 특정 개인에 대한 총체적인 파악이 가능해질 수 있으며, 이러한 정보가 다양한 방식으로 악용될 가능성을 배제할 수 없음. 또한 마이데이터 업체로부터 개인정보가 유출될 경우 그 피해는 특정 부문 업체에서의 유출보다 훨씬 커질 것임. 더불어 수사기관이 마이데이터 사업자가 보유한 개인정보에 접근할 수 있는데, 만일 마이데이터 사업이 없었다면 그러한 접근 자체가 불가능했을 것이라는 점에서, 이러한 위험성까지 정보주체에게 충분히 고지될 것인지 의문임. 보호위원회는 개인정보관리 전문기관에 의한 개인정보 집적의 위험성에 대해서 우선 충분한 연구와 분석을 시행할 필요가 있음. 

  • 개인정보보호위원회는 개인정보 이동권, 특히 정보전송 요구권의 행사와 관련하여 정보주체가 자신의 권리행사 내용을 명확히 이해하고, 정보주체의 자유로운 의사결정과 프라이버시를 실질적으로 보장하는 방안을 마련하여야 함. 개인정보처리자가 기만적인 방법으로 또는 부당하게 정보전송권 행사를 유인하는 것을 금지하는 등의 구체적인 기준, 부당한 전송요구에 대한 개인정보처리자의 거절 또는 전송 정지·중단에 관한 규정 및 민감정보에 대한 보호 및 국외이전에 관한 절차적 통제 방안을 마련하여야 함.

 

7. 자동화된 의사결정에 대한 정보주체의 권리 도입

 

제37조의2(자동화된 결정에 대한 정보주체의 권리 등) ① 정보주체는 완전히 자동화된 시스템(인공지능 기술을 적용한 시스템을 포함한다)으로 개인정보를 처리하여 이루어지는 결정이 자신의 권리 또는 의무에 중대한 영향을 미치는 경우에는 해당 개인정보처리자에 대하여 해당 결정을 거부하거나 해당 결정에 대한 설명 등을 요구할 수 있다. 다만, 자동화된 결정에 대한 거부는 개인정보가 제15조제1항제3호 또는 제5호부터 제7호까지의 규정에 따라 처리되는 경우에만 할 수 있다.

  ② 개인정보처리자는 제1항에 따라 정보주체가 자동화된 결정을 거부하거나 이에 대한 설명 등을 요구한 경우에는 정당한 사유가 없는 한 그에 따라야 한다.

  ③ 개인정보처리자는 자동화된 결정의 기준과 절차를 정보주체가 쉽게 확인할 수 있도록 공개하는 등 필요한 조치를 하여야 한다.

  ④ 제1항부터 제3항까지에서 규정한 사항 외에 자동화된 결정의 기준ㆍ절차의 공개 등에 필요한 사항은 대통령령으로 정한다.

 

  • 안 제37조의2는 자동화 의사결정에 대한 정보주체의 권리를 신설하고 있다는 점에서 일부 긍정적으로 볼 수 있음. 그러나 개정안은 GDPR에서 규정하고 있는 것보다 훨씬 약화된 권리를 규정하고 있음. 한국의 정보주체들이 어떤 이유로 약한 권리를 부여받아야 하는지 의문임. 

  • 우선 GDPR의 경우  ‘자동화된 개인정보 처리에만 의존하여 특정 정보주체에게 개별적으로 법적 효력 또는 생명ㆍ 신체ㆍ 정신ㆍ 재산에 중대한 영향을 미치는 의사결정’을 원칙적으로 금지하되, 계약의 체결 및 이행, 법률이 허용하는 경우, 정보주체의 명백한 동의의 경우에만 허용하고 있는 반면, 개정안은 완전히 자동화된 시스템으로 이루어지는 의사결정을 원칙적으로 허용하되 동의, 계약의 체결 및 이행, 법률이 허용하는 경우 외에는 정보주체가 거부할 수 있도록 하고 있음. 즉, GDPR과 달리 개정안은 다른 적법 요건의 경우에도 완전히 자동화된 의사결정을 허용하고 있는 것임. 이는 정보주체의 권리에 치명적인 부정적 영향을 미칠 수 있는데, 예를 들어 개인정보처리자가 자신의 ‘정당한 이익’을 근거로 정보주체의 권리와 의무에 중대한 영향을 미치는, 완전히 자동화된 시스템을 통한 의사결정을 할 수 있는데, 이는 GDPR에서는 금지된 것임. 특히 GDPR에 비해 우리 개인정보보호법은 정보주체의 고지받을 권리가 약하다는 점을 고려하면, 개인정보처리자가 정당한 이익을 근거로 이 조항을 활용했을 때 정보주체는 그 사실을 제대로 인지하지 못할 가능성이 큼. 따라서 우리도 완전히 자동화된 의사결정을 원칙적으로 금지하고 예외적으로만 허용하는 방식으로 입법할 필요가 있음. 

  • GDPR의 경우 ‘명백한 동의’에 기반해서만 자동화된 의사결정을 허용하는데 반해 개정안은 단지 ‘동의’에 근거해서 허용하고 있는 점도 상대적으로 정보주체의 권리 보장이 약화된 점임. 

  • 또한 GDPR의 경우 ‘본인에 관한 법적 효력을 초래하거나 이와 유사하게 본인에게 중대한 영향을 미치는’ 자동화된 처리에만 의존하는 결정을 대상으로 하고 있는데, 개정안은 ‘권리 또는 의무에 중대한 영향을 미치는 경우’를 대상으로 하고 있어 GDPR에 비해 그 적용범위가 협소할 수 있음. 즉, 권리 또는 의무와 관련이 없지만 정보주체에게 중대한 영향을 미치는 경우가 배제될 수 있음. 유럽연합과 한국의 법체계가 다르다는 점을 고려해야겠지만, 자동화된 결정에 대한 우리 국민의 권리가 유럽연합 시민의 권리와 최소한 동등하게 보장받을 수 있도록 해야 함. 

  • 더불어 개정안은 자동화된 결정에 대한 정보주체의 권리로서 거부권과 설명 요구권을 규정하고 있는데, 이는 입법예고안에서 이의제기권도 포함하고 있던 것에 비해 후퇴한 것일 뿐더러, 최소한 개인정보처리자에게 인적 개입을 요구할 권한, 본인의 관점을 피력하고 결정에 이의를 제기할 수 있는 정보주체의 권한을 포함하여 정보주체의 권리와 자유 및 정당한 이익을 보장하기 위한 조치를 요구하는 것에 비하면 정보주체의 권리가 매우 협소함. 또한 GDPR에서는 프로파일링을 포함하여 자동화된 의사결정과 관련한 정보에 대해 정보주체에게 고지하고 ‘로직’에 대한 설명을 요구할 수 있도록 하고 있는데, 개정안은 ‘정보주체가 쉽게 확인할 수 있도록 공개하는 등 필요한 조치’를 취하도록만 하고 있음. 그러나 정보주체가 인지할 수 있도록 고지하는 것과 단지 공개하는 것은 큰 차이가 있음. 또한 이 조항이 인공지능의 발전에 대응하여 정보주체의 권리를 보호하기 위해 도입된 조항임을 고려하면, 자동화된 시스템이 어떠한 결정을 하는 로직, 혹은 알고리즘에 대한 정보주체의 알권리를 보장할 필요가 있음. 

  • 자동화의사결정으로 초래될 수 있는 정보주체의 권리 침해의 위험성을 고려했을 때, 영향평가가 필수적으로 이루어질 필요가 있는데, 이와 관련한 개정이 부재하다는 점도 문제점으로 지적될 수 있을 것임. 또한 아동의 개인정보에 대한 자동화 의사결정은 엄격히 규율되어야 하는 영역임. 그러나 법안은 아동의 개인정보에 대한 자동화 의사결정에 대해서 특별히 규정하고 있지 않음.

  • 법안은 자동화 의사결정의 광범위한 허용을 전제하고 있는데, 민감정보에 대해서도 동일하게 적용되는지 그 입장이 불분명 함. 만약 민감정보에 대해서도 안 제37조의2가 적용된다는 입장이라면, 해당 조항은 보다 세부적으로 규정될 필요 있음. 가령 GDPR의 경우에는 정보주체의 ‘명백한 동의’ 혹은 ‘중대한 공익상의 목적’을 위해 ‘법률에 의해서’, 그리고 ‘충분한 안전조치’가 취해진 경우에 한하여 민감정보에 대한 자동화 의사결정을 허용하고 있음. 

 

8. 적용의 일부 제외 규정 정비 

 

현행

개정안

제58조(적용의 일부 제외) 

① 다음 각 호의 어느 하나에 해당하는 개인정보에 관하여는 제3장부터 제7장까지를 적용하지 아니한다.

1. 공공기관이 처리하는 개인정보 중 「통계법」에 따라 수집되는 개인정보

2. 국가안전보장과 관련된 정보 분석을 목적으로 수집 또는 제공 요청되는 개인정보

3. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리되는 개인정보

4. 언론, 종교단체, 정당이 각각 취재ㆍ보도, 선교, 선거 입후보자 추천 등 고유 목적을 달성하기 위하여 수집ㆍ이용하는 개인정보

② 제25조제1항 각 호에 따라 공개된 장소에 영상정보처리기기를 설치ㆍ운영하여 처리되는 개인정보에 대하여는 제15조, 제22조, 제27조제1항ㆍ제2항, 제34조 및 제37조를 적용하지 아니한다.

제58조(적용의 일부 제외) ① —————————————————— 제8장——————–.

  1.ㆍ2. (현행과 같음)

  <삭  제>

  4. (현행과 같음)

  ② ——————————– 고정형 영상정보처리기기————————— 대해서는 제15조, 제22조, 제22조의2, ———————————————.

 

  • 제58조 제1항 제1호 삭제 

    • 입법예고안에서는 제58조 제1항 제1호 ‘공공기관이 처리하는 개인정보 중 「통계법」에 따라 수집되는 개인정보’ 역시 삭제하였는데, 발의안에서는 개정 대상에서 제외되었음. 그런데 ‘공공기관이 처리하는 개인정보 중 「통계법」에 따라 수집되는 개인정보’ 의 경우 어차피 통계법에 규정이 있으면 통계법을 따르게 되고, 그렇지 않을 경우 개인정보보호법을 따르면 되는데 굳이 제58조에 따라 개인정보보호법의 적용을 배제해야 하는지 의문임. 

  • 제58조 제1항 수정 반대 

    • 개정안 제58조 제1항은 적용제외 대상을 “제3장부터 제7장”에서 “제3장부터 제8장”으로 확대하고 있음. 제7장과 제8장은 피해 구제절차를 규정하고 있는데 특정한 개인정보 처리에 있어 피해를 입은 사람을 위 구제절차에서 배제하는 것은 합리적 근거가 없는 차별이자 피해자로서 실효성 있는 구제를 받을 권리를 침해하는 것임. 즉, 설사 제58조 제1항 각 호의 경우 개인정보보호법의 적용을 배제하더라도, 정보주체의 피해가 발생할 경우에는 어떤 식으로든 구제될 필요가 있음. 따라서 제7장과 제8장은 적용 일부 제외 범위에 포함되어서는 안됨. 

  • 제58조의 전면적인 개정 필요 

    • 특정한 경우 개인정보보호법의 일부 조항을 적용하지 않을 필요를 인정한다고 하더라도,  제3장부터 제8장까지를 일괄적으로 배제하는 것은 과도함. 일괄적인 적용 배제가 아니라, 제외가 필요한 조항을 구체적으로 특정하여 규정하는 방식으로 개정될 필요가 있음. 

 

9. 개인정보 분쟁조정제도 실질화 

 

현행 

개정안 

제40조(설치 및 구성) 

① 개인정보에 관한 분쟁의 조정(調停)을 위하여 개인정보 분쟁조정위원회(이하 “분쟁조정위원회”라 한다)를 둔다.

② 분쟁조정위원회는 위원장 1명을 포함한 20명 이내의 위원으로 구성하며, 위원은 당연직위원과 위촉위원으로 구성한다. 

③ 위촉위원은 다음 각 호의 어느 하나에 해당하는 사람 중에서 보호위원회 위원장이 위촉하고, 대통령령으로 정하는 국가기관 소속 공무원은 당연직위원이 된다.  

1. 개인정보 보호업무를 관장하는 중앙행정기관의 고위공무원단에 속하는 공무원으로 재직하였던 사람 또는 이에 상당하는 공공부문 및 관련 단체의 직에 재직하고 있거나 재직하였던 사람으로서 개인정보 보호업무의 경험이 있는 사람

2. 대학이나 공인된 연구기관에서 부교수 이상 또는 이에 상당하는 직에 재직하고 있거나 재직하였던 사람

3. 판사ㆍ검사 또는 변호사로 재직하고 있거나 재직하였던 사람

4. 개인정보 보호와 관련된 시민사회단체 또는 소비자단체로부터 추천을 받은 사람

5. 개인정보처리자로 구성된 사업자단체의 임원으로 재직하고 있거나 재직하였던 사람

④ 위원장은 위원 중에서 공무원이 아닌 사람으로 보호위원회 위원장이 위촉한다.  <개정 2013. 3. 23., 2014. 11. 19., 2015. 7. 24.>

⑤ 위원장과 위촉위원의 임기는 2년으로 하되, 1차에 한하여 연임할 수 있다.  <개정 2015. 7. 24.>

⑥ 분쟁조정위원회는 분쟁조정 업무를 효율적으로 수행하기 위하여 필요하면 대통령령으로 정하는 바에 따라 조정사건의 분야별로 5명 이내의 위원으로 구성되는 조정부를 둘 수 있다. 이 경우 조정부가 분쟁조정위원회에서 위임받아 의결한 사항은 분쟁조정위원회에서 의결한 것으로 본다.

⑦ 분쟁조정위원회 또는 조정부는 재적위원 과반수의 출석으로 개의하며 출석위원 과반수의 찬성으로 의결한다.

⑧ 보호위원회는 분쟁조정 접수, 사실 확인 등 분쟁조정에 필요한 사무를 처리할 수 있다.  <개정 2015. 7. 24.>

⑨ 이 법에서 정한 사항 외에 분쟁조정위원회 운영에 필요한 사항은 대통령령으로 정한다.

 

제43조(조정의 신청 등) 

① 개인정보와 관련한 분쟁의 조정을 원하는 자는 분쟁조정위원회에 분쟁조정을 신청할 수 있다.

② 분쟁조정위원회는 당사자 일방으로부터 분쟁조정 신청을 받았을 때에는 그 신청내용을 상대방에게 알려야 한다.

③ 공공기관이 제2항에 따른 분쟁조정의 통지를 받은 경우에는 특별한 사유가 없으면 분쟁조정에 응하여야 한다.

 

제45조(자료의 요청 등) 

① 분쟁조정위원회는 제43조제1항에 따라 분쟁조정 신청을 받았을 때에는 해당 분쟁의 조정을 위하여 필요한 자료를 분쟁당사자에게 요청할 수 있다. 이 경우 분쟁당사자는 정당한 사유가 없으면 요청에 따라야 한다.

② 분쟁조정위원회는 필요하다고 인정하면 분쟁당사자나 참고인을 위원회에 출석하도록 하여 그 의견을 들을 수 있다.

제40조(설치 및 구성) ① (현행과 같음)

  ② —————————— 30명 ————————————————————.

  ③ ∼ ⑨ (현행과 같음)

 

제43조(조정의 신청 등) ①ㆍ② (현행과 같음)

  ③ 개인정보처리자가 ——————————————————————–.

 

제45조(자료의 요청 및 사실조사 등) ① (현행과 같음)

  ② 분쟁조정위원회는 분쟁의 조정을 위하여 사실 확인이 필요한 경우에는 분쟁조정위원회의 위원 또는 대통령령으로 정하는 사무기구의 소속 공무원으로 하여금 사건과 관련된 장소에 출입하여 관련 자료를 조사하거나 열람하게 할 수 있다.

  ③ 제2항에 따른 조사ㆍ열람을 하는 위원 또는 공무원은 그 권한을 표시하는 증표를 지니고 이를 조사대상자에게 내보여야 한다.

  ④ 분쟁조정위원회는 분쟁의 조정을 위하여 필요하다고 인정하면 관계 기관 등에 자료 또는 의견의 제출 등 필요한 협조를 요청할 수 있다.

  ⑤ (현행 제2항과 같음)

 

제45조의2(진술의 원용 제한) 조정절차에서의 의견과 진술은 소송에서 원용(援用)하지 못한다.

 

제47조(분쟁의 조정) ①ㆍ② (현행과 같음)

  ③ 제2항——————————————————————————— 수락————.

  ④ —————- 수락한 경우(제3항에 따라 수락한 것으로 보는 경우를 포함한다) ——————— 기명날인 또는 서명—. 다만, 제3항에 따라 수락한 것으로 보는 경우에는 각 당사자의 기명날인 및 서명을 생략할 수 있다.

  ⑤ (현행과 같음)

 

제50조의2(개선의견의 통보) 분쟁조정위원회는 소관 업무 수행과 관련하여 개인정보 보호 및 정보주체의 권리 보호를 위한 개선의견을 보호위원회 및 관계 중앙행정기관의 장에게 통보할 수 있다.

 

 

  • 개정에 찬성함. 

    • 분쟁조정위원회 인원을 확대(안 제40조), 분쟁조정신청 시 응해야 하는 주체 확대(안 제43조), 자료요청 및 사실조사 등 권한을 확대(안 제45조), 분쟁조정 수락간주(안 제47조), 시효중단(안 제49조의2), 제도개선 의견 통지(안 제50조) 등 모든 조항은 분쟁조정제도의 실질화에 기여하는 조항으로 판단 됨. 분쟁조정제도의 실질화는 피해자의 실효성 있는 구제를 받을 권리를 적극적으로 보장하기 위해 필요하므로 위와 같은 개정에 찬성함.  

 

10. 보호위원회의 집행권한 강화  

 

현재 조항

발의안

제64조(시정조치 등) 

보호위원회는 개인정보가 침해되었다고 판단할 상당한 근거가 있고 이를 방치할 경우 회복하기 어려운 피해가 발생할 우려가 있다고 인정되면 이 법을 위반한 자(중앙행정기관, 지방자치단체, 국회, 법원, 헌법재판소, 중앙선거관리위원회는 제외한다)에 대하여 다음 각 호에 해당하는 조치를 명할 수 있다. 

1. 개인정보 침해행위의 중지

2. 개인정보 처리의 일시적인 정지

3. 그 밖에 개인정보의 보호 및 침해 방지를 위하여 필요한 조치

② 관계 중앙행정기관의 장은 개인정보가 침해되었다고 판단할 상당한 근거가 있고 이를 방치할 경우 회복하기 어려운 피해가 발생할 우려가 있다고 인정되면 소관 법률에 따라 개인정보처리자에 대하여 제1항 각 호에 해당하는 조치를 명할 수 있다.

 

제66조(결과의 공표) 

① 보호위원회는 제61조에 따른 개선권고, 제64조에 따른 시정조치 명령, 제65조에 따른 고발 또는 징계권고 및 제75조에 따른 과태료 부과의 내용 및 결과에 대하여 공표할 수 있다.  

② 관계 중앙행정기관의 장은 소관 법률에 따라 제1항에 따른 공표를 할 수 있다.

③ 제1항 및 제2항에 따른 공표의 방법, 기준 및 절차 등은 대통령령으로 정한다.

제64조(시정조치 등) ① 보호위원회는 ———————————————————————————————————————————————————————————————————————————-.

  1. ∼ 3. (현행과 같음)

  ②항 <삭  제>

  ③ㆍ④ (현행과 같음)

 

제66조(결과의 공표) ① ——————————————————- 제64조의2에 따른 과징금의 부과, 제65조 —————————————————-.

  ② 보호위원회는 제61조에 따른 개선권고, 제64조에 따른 시정조치 명령, 제64조의2에 따른 과징금의 부과, 제65조에 따른 고발 또는 징계권고 및 제75조에 따른 과태료 부과 처분 등을 한 경우에는 처분 등을 받은 자에게 해당 처분 등을 받았다는 사실을 공표할 것을 명할 수 있다.

  ③ 제1항 및 제2항에 따른 개선권고 사실 등의 공표 및 공표명령————.

 

 

  • 개정안 제64조는 “개인정보가 침해되었다고 판단할 상당한 근거가 있고 이를 방치할 경우 회복하기 어려운 피해가 발생할 우려가 있다고 인정되면”이라는 기존의 시정조치 요건을 삭제함으로써 보호위원회가 개인정보 보호법을 위반한 것만으로도 시정조치를 할 수 있도록 하였음.  법위반에 대해 즉각적인 시정조치가 이루어지는 것이 개인정보 보호의 실질적인 보호를 위해 필요하므로 개정에 찬성함.

  • 그런데 제64조의 제2항은 시정요구 권한을 관계 중앙행정기관의 장에게도 부여하고 있는데, 이를 삭제하였음. 제66조에서도 중앙행정기관의 결과공표 권한이 삭제되었음. 개인정보보호위원회의 권한은 변함이 없음을 고려하면, 이는 소관 분야의 개인정보 처리와 관련한 관계 중앙행정기관의 집행 권한을 약화시킬 뿐임. 이와 같은 개정의 합당한 이유가 있는지 의문임. 

 

11. 형벌 중심의 제재를 경제벌 중심으로 전환

 

  • 개정안 제64조의2 제1항은 위반행위와 관련된 매출액이 아닌 전체 매출액을 기준으로 과징금의 비율을 산정하도록 하는 등 벌칙을 강화하였는데, GDPR과 마찬가지로 위반행위와 관련된 매출액이 아닌 전체 매출액을 기준으로 과징금을 상향하는 것은 실효성 있는 제재를 위해 반드시 필요한 개정임. 

  • 기업들은 과징금을 전체 매출액 기준으로 부과하는 것에 대해 반대하고 있는데 이는 개인정보 활용은 쉽게 해달라고 요구하면서 책임은 지지 않겠다는 것이나 다름없음. 전체 매출액 기준 과징금 부과는 한국만의 독특한 정책이 아니며, 유럽연합의 개인정보보호법(GDPR)을 비롯한 국제적인 흐름이 되어가고 있음. 또한 한 기업 내에서 개인정보가 관련된 매출액을 엄밀하게 구분하는 것은 거의 불가능함. 기업들이 관련 매출액 기준을 주장하는 것은 매출액을 축소해석하여 개인정보 침해에 대한 책임을 회피하고 관련 매출액에 대한 해석 논란을 제기하여 시간을 끌자는 꼼수에 다름없음.

  • 오히려 개정안은 전체 매출액의 100분의 3 이하, 매출액이 없거나 매출액의 산정이 곤란한 경우로서 대통령령으로 정하는 경우에는 20억원 이하의 과징금을 규정하고 있는데, GDPR의 경우 최대 과징금을 일반적 위반 사항인 경우 전 세계 매출액의 2% 혹은 1천만 유로(약 125억원) 중 높은 금액으로, 중요한 위반 사항인 경우 전 세계 매출액의 4% 혹은 2천만 유로(약 250억원) 중 높은 금액으로 설정하고 있는 점에 비추어보면 오히려 약한 수준이라고 볼 수 있음. 또한, 안 제64조의2 제3항 제4호 내지 제8호에 따라 과징금 산정에 있어 고려해야 하는 사항들이 늘어났는데, 이러한 사항들이 부과되는 과징금의 액수를 사실상 대폭 완화하는 방식으로 작용할 가능성이 큼. 

  • ‘안전성 확보 조치를 이행하지 아니하여 분실, 도난, 유출, 위조, 변조 또는 훼손하는 행위’ 및 ‘정보통신서비스제공자 등의 개인정보를 파기하지 아니한 행위’에 대한 처벌규정을 삭제하고 과태료 대상으로만 규정하였음. 타당한 개선인지 의문임(가령 파기의 경우는 강한 위반으로서 형사적 제재가 필요하지 않을까 생각함).

  • 안 제75조 제2항은 제1호를 삭제함으로써 개인정보의 수집, 목적 외 제공, 업무 위탁 시 정보주체에게 알려야 할 사항을 알리지 아니한 행위(제15조 제2항, 제18조 제3항 또는 제26조 제3항)를 과태료 부과 대상에서 제외하였음. 그리고 이를 특별히 제재하는 조항이 법안에 부재한 것으로 보임. 정보주체에 알려야 할 사항을 알리지 않는 것은 정보주체의 권리를 직접 제약하는 행위에 해당하므로 최소한 현행 조항과 같이 과태료 부과대상이 되어야 할 것임. 따라서 안 제75조 제2항 제1호를 삭제하는 것에 반대함.

    2021년 11월 16일

    무상의료운동본부, 서울YMCA 시청자시민운동본부, 소비자시민모임,  전국민주노동조합총연맹, 진보네트워크센터, 참여연대, 한국소비자연맹, 경제정의실천시민연합, 민주사회를 위한 변호사모임 디지털정보위원회

 

정부지원금 0%, 회원의 회비로 운영됩니다

참여연대 후원/회원가입