(사)정보화사회실천연합

개인정보보호법 7월 입법예고 시행령은 개악 시행령

0 584

데이터3법 개정에 따라 개인정보를 가명 처리하여 이를 제한적으로 활용하도록 한 취지를 살려 국민의 개인정보가 특정집단(개인정보를 대량으로 보유하고 있는 집단)의 이익을 위한 전유물이 되어서는 안 된다.

가명정보의 활용은 데이터 자체에 대한 가치보다 이를 활용하여 분석된 결과를 기반으로 다양한 신규 서비스 및 제품의 개발 그리고 사회적 문제를 해결하는 것을 목적으로 한다.

이러한 목적은 반드시 국민의 개인정보를 기반으로 한 가명정보의 안전한 관리 및 오남용에 따른 사생활의 침해를 방지하여야 한다.

 

개인정보보호법 개정안의 8월 시행을 위하여 3월 시행령을 행정예고를 통하여 의견을 수렴하였다. 그리고 7월 동 시행령을 수정하여 재 행정예고를 하였다.

그런데 내용이 수정되었는데도 토의과정도 없고 입법예고 결과, 특기할 사항도 없는데 행정안정부는 시행령의 내용을 수정하여 재 행정예고(기간2020. 7.14~2020.7.20)를 하였다.

  1. 당초 3월 입법예고 안에서 당초 수집목적과 ‘상당한 관련성이 있을 것’에서 ‘관련성이 있는지 고려해야 한다’로 후퇴점
  2. 안전하고, 통제 가능한 결합전문기관의 분석공간을 포기하고 결합신청기관으로 반출을 당연시한 점
  3. 중립성과 안전을 책임져야 할 결합전문기관으로 ‘민간결합전문기관’을 지정해 기업 스스로가 결합신청자가 될 수 있는 가능성을 열어 놓은 점
  4. 가명처리 목적 달성 후 가명정보의 파기 규정을 삭제해 무한정 기업이 가명정보를 보유할 수 있게 한 점

7월에 입법예고한 개인정보보호법 시행령은  가명정보의 이용 및 제공이 아니라 정보주체의 동의없이 개인정보를 기업마음되로 활용하고 제3자에게 제공이 가능하도록 조장하고 있다.

 

가명정보의 부정이용 어떻게 방지할 수 있는가?

3월 시행령 행정예고 후 기업측의 요구는 결합한 가명정보를 분석하기 위하여 결합전문기관에 가서 분석을 하는것이 기업에게 시간적 비용적으로 부담이 된다는 내용으로 결합정보의 반출을 허용해달라는 내용이 반영되어 7월 시행령이 개정되었다.

1) 가명정보의 반출과 관련하여 a. 글라우드 컴퓨팅 시대에 분석을 반드시 물리적인 장소로 이동하여 분석한다는것 시대착오적발상을 근거로 규제정책으로 호도하고 있다.

b. 반출된 가명정보의 결합정보에는 결합신청기업(예 : A보험사와 B병원) 양쪽의 가명정보가 반출되게 된다. 아시다시피 가명정보는 익명화정보와 달리 정보에 대한 실명으로 누구인지 알 수 없을 뿐이지 개별로는 정보가 구별되는 상태로 있기 때문에 결합된 가명정보와 기업이 보유한 개인정보와 매핑을 하게 되면 예시로든 A보험사는 B병원이 보유한 개인의 진료기록을 통하여 특정 개인의 질병기록을 파악하여 이를 활용하는 상황을 방지할 수 없다.

물론 정부는 징벌적 손해배상이란 벌칙조항으로 기업이 그러한 부정이용을 하지 못할 것이라고 주장할 것이다. 그러나 기업 내부에서 일어나는 행위는 외부에서 감시 및 통제가 불가능한 상황에서 기업윤리에만 가명정보를 맞기는 것은 국민의 개인정보에 대한 권리를 심각하게 침해하는 것이다.

개인정보는 수집 기업의 자산인가?

2) 개인정보는 기업의 서비스를 이용하기 위하여 법률에 의하여 불가피하게 제공하는 정보이므로 이를 기업의 자산으로 보는데는 한계가 있으며, 공공재로 보는것이 합당할 것이다. 따라서 개인정보를 활용하는 방안으로 개인정보에 영역에 속하는 가명정보의 결합 및 활용은 반드시 안전며 통제가능한 공간에 두고 개인정보를 보유하고 있지 안는 데이터분석전문기업 및 스타트업들이 적절상 비용을 지불하고 활용할 수 있도록하여야만 개인정보에 대한 대량 보유기업만의 전유물에서 벗어 날 수 있다.

 

이는 데이터 경제 활성화가 아니라 기업간에 개인정보를 불법적으로 판매하는 것을 조장하는 시행령이 되고 있다.

이는 가명정보를 개인정보가 아닌 익명정보로 보는 행정기관의 잘못된 인식에서 부터 시작된것으로 보이며, 개념없는 공무원의 탁상 행정이 국민의 개인정보 및 민감정보를 송두리째 기업이 마음데로 사용하도록하는 행태를 보이고 있다.

이는 2016년 박근혜 정부가 만든 ‘개인정보 비식별조치 가이드라인’ 통한 개인정보활용보다도 더 안전하지 못하는 조치로 ‘국민이 주인인 국가’, ‘개인정보의 안전한 활용’을 강조해 왔던 “문재인 정부”는 국민을 기만하지 말아야 할 것이다.

가명정보 활용 방향

개인정보보호법 시행령 의견 2020.04.11

 

7월 개인정보보호법 시행령 재 입법예고 내용

4. 주요토의과제
없 음
5. 참고사항
가. 관계법령 : 생 략
나. 예산조치 : 별도조치 필요 없음
다. 합 의 : 방송통신위원회 등과 합의되었음
라. 기 타 : 1) 신ㆍ구조문대비표, 별첨
2) 입법예고(2020. 3. 31. ~ 5. 11.) 결과, 특기할 사항 없음
3) 행정규제 : 규제개혁위원회와 협의 결과, 이견 없음
– 규제 신설 3건(정보주체의 개인정보자기결정권 보호, 가명정보의 활용의 안전성 강화, 가명정보의 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손 방지)
– 규제 강화 1건(개인정보 보호 강화)

 

가명정보 관련 3월과 7월 개정 시행령의 비교표

3월 개정 시행령 7월 재 개정 시행령 개인정보보호 독소조항
제14조의2(개인정보의 추가적인 이용·제공 기준 등) 법 제15조제3항 및 법 제17조제4항에서 “대통령령으로 정하는 바”란 다음 각 호의 사항을 모두 충족하는 경우를 말한다. 이 경우 법 제17조제4항에 관하여는 ‘이용’을 ‘제공’으로 본다.

1. 개인정보를 추가적으로 이용하려는 목적이 당초 수집 목적과 상당한 관련성이 있을 것

2. 개인정보를 수집한 정황과 처리 관행에 비추어 볼 때 추가적으로 이용할 수 있을 것으로 예측 가능할 것

3. 개인정보의 추가적 이용이 정보주체 또는 제3자의 이익을 부당하게 침해하지 아니할 것

4. 가명처리를 하여도 추가적 이용 목적을 달성할 수 있는 경우에는 가명처리하여 이용할 것

제14조의2(개인정보의 추가적인 이용ㆍ제공의 기준 등) ① 개인정보처리자는 법 제15조제3항 또는 법 제17조제4항에 따라 정보주체의 동의 없이 개인정보를 이용 또는 제공(이하 “개인정보의 추가적인 이용 또는 제공”이라 한다)하는 경우에는 다음 각 호의 사항을 고려해야 한다.

1. 당초 수집 목적과 관련성이 있는지 여부

2. 개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용 또는 제공에 대한 예측 가능성이 있는지 여부

3. 정보주체의 이익을 부당하게 침해하는지 여부

4. 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부

② 개인정보처리자는 제1항 각 호의 고려사항에 대한 판단 기준을 법 제30조제1항에 따른 개인정보 처리방침에 미리 공개하고, 법 제31조제1항에 따른 개인정보 보호책임자가 해당 기준에 따라 개인정보의 추가적인 이용 또는 제공을 하고 있는지 여부를 점검해야 한다.

“제14조의2(개인정보의 추가적인 이용ㆍ제공의 기준 등)  ~ 고려해야 한다”는 것은 3월 개정안 보다 조문이 명확하지 못하고 있어 개인정보의 추가적 이용이 남용될 가능성이 높다.

 

3월 개정 시행령 7월 재 개정 시행령 개인정보보호 독소조항
제29조의2(개인정보처리자 간 가명정보의 결합 등) ① 법 제28조의3제1항에 따른 전문기관(이하 “결합전문기관”이라 한다)에 가명정보의 결합을 신청하려는 개인정보처리자(이하 “결합신청자”라 한다)는 보호위원회가 정하여 고시하는 결합신청서를 해당 결합전문기관에 제출하여야 한다.

② 결합전문기관은 특정 개인을 알아볼 수 없도록 보호위원회가 정하여 고시하는 절차와 방법에 따라 가명정보를 결합하여야 한다. 이 경우 보호위원회는 결합전문기관이 특정 개인을 알아볼 수 없도록 하는데 필요한 지원업무를 한국인터넷진흥원이 수행하도록 할 수 있다.

③ 결합신청자는 보호위원회가 정하여 고시하는 바에 따라 결합전문기관에 설치된 안전성 확보에 필요한 기술적·관리적·물리적 조치가 된 공간(이하 “분석공간”이라 한다)에서 제2항에 따라 결합된 정보를 분석할 수 있다.

④ 제3항에도 불구하고 분석공간에서는 결합 목적을 달성하기 어렵거나 분석공간의 이용이 어려운 경우로서 결합신청자가 제2항에 따라 결합된 정보의 반출을 신청하는 경우, 결합전문기관은 개인을 다시 알아볼 가능성 등을 고려하여 보호위원회가 정하여 고시하는 바에 따라 평가한 후 반출을 승인할 수 있다.

⑤ 결합전문기관은 이 조에 따른 결합, 반출 등에 필요한 비용을 결합신청자에게 청구할 수 있다.

⑥ 제1항부터 제5항까지 규정한 사항 외에 가명정보 결합 절차와 방법, 반출 및 승인 등에 필요한 세부사항은 보호위원회가 정하여 고시한다.

제29조의2(개인정보처리자 간 가명정보의 결합 및 반출 등) ① 법 제28조의3제1항에 따른 전문기관(이하 “결합전문기관”이라 한다)에 가명정보의 결합을 신청하려는 개인정보처리자(이하 “결합신청자”라 한다)는 다음 각 호의 서류를 첨부하여 보호위원회가 정하여 고시하는 결합신청서를 결합전문기관에 제출해야 한다.

1. 사업자등록증, 법인등기부등본 등 결합신청자 관련 서류

2. 결합 대상 가명정보에 관한 서류

3. 결합 목적을 증명할 수 있는 서류

4. 그 밖에 가명정보의 결합 및 반출에 필요하다고 보호위원회가 정하여 고시하는 서류

② 제1항에 따른 결합신청서를 제출받은 결합전문기관은 특정 개인을 알아볼 수 없도록 가명정보를 결합해야 한다. 이 경우 보호위원회는 필요하면 한국인터넷진흥원 또는 보호위원회가 지정하여 고시하는 기관으로 하여금 특정 개인을 알아볼 수 없도록 하는 데에 필요한 업무를 지원하도록 할 수 있다.

③ 법 제28조의3제2항에 따라 결합전문기관이 결합한 정보를 결합전문기관 외부로 반출하려는 결합신청자는 결합전문기관에 설치된 안전성 확보에 필요한 기술적ㆍ관리적ㆍ물리적 조치가 된 공간에서 제2항에 따라 결합된 정보를 가명정보 또는 법 제58조의2에 해당하는 정보로 처리한 뒤 결합전문기관의 승인을 받아야 한다.

④ 결합전문기관은 다음 각 호의 기준에 따라 제3항에 따라 결합된 정보의 반출을 승인해야 한다. 이 경우 결합전문기관은 결합된 정보의 반출을 승인하기 위하여 반출심사위원회를 구성해야 한다.

1. 결합 목적과 반출 정보가 관련성이 있을 것

2. 특정 개인을 알아볼 가능성이 없을 것

3. 반출 정보에 대한 안전조치 계획이 있을 것

⑤ 결합전문기관은 결합 및 반출 등에 필요한 비용을 결합신청자에게 청구할 수 있다.

⑥ 제1항부터 제5항까지에서 규정한 사항 외에 가명정보의 결합 절차와 방법, 반출 및 승인 등에 필요한 사항은 보호위원회가 정하여 고시한다.

3월 고시한 시행령의   ③ 결합신청자는 보호위원회가 정하여 고시하는 바에 따라 결합전문기관에 설치된 안전성 확보에 필요한 기술적·관리적·물리적 조치가 된 공간(이하 “분석공간”이라 한다)에서 제2항에 따라 결합된 정보를 분석할 수 있다.

④ 제3항에도 불구하고 분석공간에서는 결합 목적을 달성하기 어렵거나 분석공간의 이용이 어려운 경우로서 결합신청자가 제2항에 따라 결합된 정보의 반출을 신청하는 경우, 결합전문기관은 개인을 다시 알아볼 가능성 등을 고려하여 보호위원회가 정하여 고시하는 바에 따라 평가한 후 반출을 승인할 수 있다.

상기 조항은 가명정보의 활용을 원칙적으로 통제 가능한 안전 공간인 분석공간에서 활용(분석)하도록 하며, 예외적으로 반출을 규정하고 있어 가명정보의 오남용에 대한 안전성을 확보하는 최소한의 조항이 기업들의 요청에 의하여 결합 정보(기관 보유정보와 타 기관 보유정보)를 통제가 불가능한 장소로 반출이 당연하도록 개정되었다.

이는 개인정보와 별다른 차이가 없는 가명정보를 정보주체의 동의 없이 기업들간의 개인정보 거래를 묵인하는 독소조항이다.

 

 

3월 개정 시행령 7월 재 개정 시행령 개인정보보호 독소조항
제29조의5(가명정보 등의 안전성 확보조치 등) ① 개인정보처리자는 법 제28조의4제1항에 따라 가명정보 및 추가 정보에 대하여 다음 각 호의 안전성 확보에 필요한 조치를 하여야 한다.

1. 내부 관리 계획의 수립·시행 등 제30조에 따른 개인정보의 안전성 확보 조치(이 경우 “법 제29조”는 “법 제28조의4제1항”으로, “개인정보”는 “가명정보 및 추가 정보”로 보며, 법 제28조의3제2항에 따라 반출한 가명정보를 포함한다)

2. 추가 정보의 별도 분리 보관 및 추가 정보에 대한 접근 권한 분리

3. 가명정보 또는 추가 정보에 대한 접근 권한 관리 및 물리적·기술적 안전조치에 관한 내부 관리 계획 수립·시행

② 개인정보처리자가 가명정보를 처리하고자 하는 경우 가명정보의 처리 목적, 처리 및 보유기간, 추가 정보의 이용 및 파기 등 보호위원회가 정하여 고시하는 사항을 작성하여 보관하여야 한다.

③ 개인정보처리자는 가명정보의 처리 목적이 달성되거나 가명정보 보유 기간이 경과한 때에는 그 가명정보를 지체 없이 파기하여야 한다. 이 경우, 해당 가명정보는 제16조제1항제1호·제2호의 구분에 따른 방법으로 파기하여야 한다.

제29조의5(가명정보에 대한 안전성 확보 조치) ① 개인정보처리자는 법 제28조의4제1항에 따라 가명정보 및 가명정보를 원래의 상태로 복원하기 위한 추가 정보(이하 이 조에서 “추가 정보”라 한다)에 대하여 다음 각 호의 안전성 확보 조치를 해야 한다.

1. 제30조 또는 제48조의2에 따른 안전성 확보 조치

2. 가명정보와 추가 정보의 분리 보관. 다만, 추가 정보가  불필요한 경우에는 추가 정보를 파기해야 한다.

3. 가명정보와 추가 정보에 대한 접근 권한의 분리. 다만, 「소상공인 보호 및 지원에 관한 법률」 제2조에 따른 소상공인으로서 가명정보를 취급할 자를 추가로 둘 여력이 없는 경우 등 접근 권한의 분리가 어려운 정당한 사유가 있는 경우에는 업무 수행에 필요한 최소한의 접근 권한을 부여하고 접근 권한의 보유 현황을 기록으로 보관하는 등 접근 권한을 관리ㆍ통제하는 것을 말한다.

② 법 제28조의4제2항에서 “대통령령으로 정하는 사항”이란 다음 각 호의 사항을 말한다.

1. 가명정보 처리의 목적

2. 가명처리한 개인정보의 항목

3. 가명정보의 이용내역

4. 제3자 제공 시 제공받는 자

5. 그 밖에 가명정보의 처리 내용을 관리하기 위하여 보호위원회가 필요하다고 인정하여 고시하는 사항

법 제28조의4(가명정보에 대한 안전조치의무 등) ① 개인정보처리자는 가명정보를 처리하는 경우에는 원래의 상태로 복원하기 위한 추가 정보를 별도로 분리하여 보관ㆍ관리하는 등 해당 정보가 분실ㆍ도난ㆍ유출ㆍ위조 ㆍ변조 또는 훼손되지 않도록 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다. 는 결합전문기관이 개인정보를 가명저리를 하기 위해 사용된 추가정보를 분리하여 관리하도록 하여 분실ㆍ도난ㆍ유출 시 개인정보로 재 복원되는 것을 방지하기 위한 조문이다.

3월 개정 시행령도 문제가 있지만 7월 재 개정 시행령은 “결합신청자”에게 추가정보의 반출을 허용하는 것은 가명정보를 개인정보로 복원이 가능하도록 하는 행위로 이는 가명정보를 활용하는 것이 아니라 개인정보를 정보주체의 동의 없이 활용 및 제3자에게 제공하는 것이다.

또한 ③ 개인정보처리자는 가명정보의 처리 목적이 달성되거나 가명정보 보유 기간이 경과한 때에는 그 가명정보를 지체 없이 파기하여야 한다. 이 경우, 해당 가명정보는 제16조제1항제1호·제2호의 구분에 따른 방법으로 파기하여야 한다. 이 삭제 됨으로 결합한 가명정보를 영구이 활용이 가능하므로 이는 개인에 대한 사생활 및 민감한 내용에 대하여 심각한 침해를 하는 것이다.

 

 


붙임자료

개인정보 보호법 시행령 일부개정령안(2020년3월)

개인정보 보호법 시행령 일부개정령안(2020년7월)

시행령 조문별제개정이유서(2020년7월 재입법예고)

글을 남겨주세요.

이 사이트는 스팸을 줄이는 아키스밋을 사용합니다. 댓글이 어떻게 처리되는지 알아보십시오.

이 웹 사이트에서는 사용자 환경을 개선하기 위해 쿠키를 사용합니다. 우리는 당신이 괜찮다고 생각하겠지만, 당신이 원한다면 거절할 수 있습니다. 동의 더 읽기