[공동논평] 국회 본회의 통과한 개인정보보호법 개정안, 국제규범과 시민사회 기대에 한참 못미쳐

국회는 정보주체의 권리 강화를 위한 개인정보보호법 개정에 즉시 착수해야

지난 2월 27일, 개인정보보호법 개정안(의안번호 2120089 위원장 대안, 이하 개정안)이 국회 본회의를 통과했다. 개정안은 현행 개인정보보호법보다 일부개선된 측면이 있음에도 불구하고, 정보주체의 권리 보호와 개인정보 처리자의 책임성 강화 측면에서 국제적인 규범과 시민사회의 기대에 한참 미흡한 수준이다. 이에 다음과 같이 이번 개정안의 한계를 짚고, 향후의 개선 과제를 제안하고자 한다.

우선, 개정안이 상임위인 국회 정무위원회를 통과한 직후, 시민사회는 수사기관의 ‘원격 몰래 감시’의 가능성을 열어준 독소조항에 대한 우려를 표명한 바 있는데, 법사위 논의 과정에서 해당 문구가 삭제된 것은 다행스럽다.

그러나 개정안은 개인정보 활용을 요구하는 산업계의 로비에 밀려 국제규범에 한참 미흡한 수준으로 타협하였다.

• 법 위반 행위에 대한 과징금과 관련하여, 애초 정부안도 전체 매출액의 3%로 규정하여, 전 세계 연간 매출액의 4%까지 부과할 수 있는 유럽연합의 개인정보보호법 수준에 미치지 못하였는데, 그마저도 ‘전체 매출액에서 위반행위와 관련이 없는 매출액을 제외(신설 제64조의2 2항)’하는 것으로 후퇴하였다. 여전히 무엇이 관련 매출액인지에 대한 논란이 발생할 수밖에 없고 기업들은 이를 빌미로 소송을 제기하여 법 위반에 대한 처벌이 한없이 유예되지 않을지 우려된다.
• 인공지능 시대에 필수적인 규정인 ‘완전 자동화 의사결정’에 대한 정보주체의 권리조항은(신설 제37조의2), 유럽연합에 비해 보호 수준이 미흡하다. 유럽연합의 경우 동의, 계약, 법률에 의한 경우를 제외하고는 정보주체에게 중대한 영향을 미치는 완전 자동화 의사결정을 원칙적으로 금지하고 있지만, 개정안은 원칙적으로 허용하되 정보주체가 사후에 거부할 수 있도록 했다. 그러나 개인정보 처리자가 자신의 ‘정당한 이익’을 주장하며 완전 자동화 의사결정을 했을 경우, 이에 대해 고지조차 제대로 받지 못하는 정보주체가 어떻게 거부권을 행사할 수 있을지 실효성조차 의문이다.
• 개정안에 신설된 전송요구권(신설 제35조의2)의 경우, 정보주체 강화 명문을 내세우고 있지만, 사실 마이데이터 산업 육성을 위한 것임이 명백하다. 정보주체의 동의를 받는다고 하더라도 다크패턴이 확대되는 상황을 고려할 때, 정보 전송을 통해 개인정보가 악용될 위험과 그 결과에 대한 충분한 설명이 정보주체에게 제공되리라 신뢰하기 어렵다. 개인정보 상업화에 혈안이 된 기업들의 개인정보 집적과 남용의 위험성 여전히 상존하기 때문이다. 연계정보(CI)를 활용한 주민등록번호 기반 서비스가 확대되는 상황을 고려하면 개인정보 집적과 연계로 인한 위험성은 더욱 커진다. 무엇보다 보건의료 개인정보의 경우 정보주체의 동의가 있다하더라도 개인 건강정보의 특수성 때문에 정보 전송에 대한 공공의 통제가 요구되는 영역이다. 정부가 추진하고 내놓은 ‘의료 마이데이터’ 사업은 이런 규제를 없애 상업적 활용을 촉진하는 방향이 제시돼 있다. 전송요구권은 다른 제도들과 결합되어 개인 민감정보의 악용으로 이어질 우려가 크다. 따라서 최소한 보건의료 정보를 포함한 민감정보와 공공분야에서의 개인정보와 관련해서는 전송요구권이 남용되지 않도록 제한할 것을 요구한다. 
• 그 외에도 ‘정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우’를 ‘정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우’로 완화하는 등, 애초에 정부안에 대한 시민사회 의견서에서 지적했던 문제들이 반영되지 않았다.

이번 개정안은 이미 국회를 통과하였지만, 개인정보 보호법은 여전히 개선되어야 할 부분이 많다. 개인정보보호위원회가 정부안을 발의하는 과정에서 시민사회의 의견을 반영하지 않았고, 국회에서도 병합안을 입안하는 과정에서 시민사회의 요구가 반영되어 정보주체의 권리 보장과 개인정보처리자의 책임성 강화를 주 내용으로 하는 민병덕 의원안 및 배진교 의원안은 배제하였기 때문이다. 추후 개정에는 아래와 같은 내용이 포함되어야 한다. 

첫째, 민병덕 의원안 및 배진교 의원안을 반영하여 정보주체의 권리 보호와 개인정보 처리자의 책임성을 강화해야 한다.

• 과학적 연구 목적의 개인정보 활용 요건을 엄격히 하여,  공익적인 연구에 한하여 충분한 안전조치를 전제로 이용할 수 있도록 해야 한다. 
• 동의 외에 어떠한 적법 근거에 따라 개인정보를 처리하든, 자신의 개인정보가 어떻게 처리되는지에 대해 정보주체에게 충분한 정보를 제공해야 한다. 
• 정보수사기관이 충분한 안전조치 없이 개인정보에 접근할 수 있도록 하고 있는 현행 요건을 보다 엄격하게 제한해야 한다. 
• 개인정보 영향평가 제도를 민간의 고위험 개인정보 처리로 확대하여, 빅데이터, 인공지능 시대에 개인정보 영향평가가 실질적인 안전조치로 역할할 수 있도록 해야 한다.

둘째, 표적 광고를 목적으로 동의없이 이용자의 인터넷 행태정보를 수집하는 관행에 대한 우려가 높아지고 있고, 이에 개인정보보호위원회에서 작업반을 구성하여 표적 광고와 관련한 가이드라인을 논의하고 있는 바, 법적 확실성을 위하여 개인정보보호법에 표적 광고 목적의 식별자를 개인정보로 명확하게 규정할 필요가 있다. 표적 광고 자체가 서로 다른 개인의 취향과 관심사에 맞춰 제공되는 것임에도 불구하고, 기업들은 뻔뻔하게도 이를 개인정보가 아니라고 우기면서 정보주체의 동의 없이 이를 처리해왔기 때문이다.

아직 21대 국회가 1년 넘게 남아있는 만큼, 향후에는 진정으로 정보주체의 권리를 보호하는 방향으로 개인정보보호법을 개정할 것을 국회에 촉구한다.

2023년 3월 3일
경제정의실천시민연합, 무상의료운동본부, 전국민주노동조합총연맹,민주사회를위한변호사모임 디지털정보위원회, 서울YMCA 시민중계실, 소비자시민모임, 연구공동체  건강과대안, 전국민주노동조합총연맹, 진보네트워크센터, 참여연대, 한국소비자연맹

논평 [원문보기/다운로드]