개인정보보호위원회의 개인정보 보호법 개정안에 대한 의견 제출

사단법인 오픈넷은 2021. 2. 16. 개인정보위원회의 개인정보 보호법 일부개정법률안에 대한 검토의견을 아래와 같이 제출했다. 

문의: 오픈넷 사무국 02-581-1643, master@opennet.or.kr

『개인정보 보호법 일부개정법률안』 의견서

I. 다른 법률과의 관계 규정 정비(안 제6조)

1. 주요내용

  • 다른 법률 제‧개정 시 개인정보 보호 원칙을 준수하도록 하고 다른 개별법과의 경합 시 발생할 수 있는 혼란을 방지하고자 함

2. 검토의견: 일부 찬성, 일부 반대

  • 현행법은 다른 법률에 특별한 규정이 있는 경우에는 그 법을 따르도록 규정하고 있어 개인정보 보호법 상의 개인정보 보호 원칙 적용이 일관되지 않는 문제가 발생하고 있음. 따라서 안 제6조 제1항과 같이 다른 법률 제‧개정 시 개인정보 보호 원칙을 준수하도록 규정하는 것에 대해서 찬성함
  • 다만 안 제6조 제2항과 같이 다른 법률과의 경합 발생 시 개인정보 보호법을 우선 적용하도록 하고 정보주체의 개인정보 보호에 유리한 경우에만 다른 법률을 적용하도록 한다면, 개인정보 보호법이 개인정보에 관한 일반법이라는 점과 성범죄자 신상정보 공개·고지 제도나 판결문 공개 제도와 같이 개인정보 보호 정도를 완화할 필요가 있는 예외적인 경우도 있다는 점을 고려할 때 불합리한 결과를 낳을 수 있으므로 반대함

II. 가명정보 처리 특례 정비(안 제28조의2, 제28조의7, 제60조)

1. 주요내용

  • 가명정보도 파기의무 대상에 포함하고 가명정보 결합업무에 대한 비밀유지 의무를 신설하는 등 안전한 가명정보 처리환경을 완비하고자 함

2. 검토의견: 수정

  • ‘가명정보의 처리’가 ‘개인정보의 가명처리’를 포함한다는 사항을 법률에서 명확히 규정한 것과 가명정보의 ‘파기의무’ 및 반출심사위원 등의 ‘비밀유지의무’ 등을 규정한 것은 바람직함
  • 그러나 가명정보도 개인정보임에도 불구하고 가명정보에 대해서는 개인정보 열람권(제35조), 정정·삭제권(제36조), 처리거부권(제37조) 등 정보주체의 권리를 인정하지 않고 있음. 또한 개인정보처리자 입장에서도 가명정보의 재식별화가 예외없이 금지되어 있기 때문에 정보주체가 열람권 등 자신의 권리를 행사하고자 할 때도 재식별화를 할 수 없어 권리 보장이 불가능함(개인정보보호법 제28조의5). 예를 들어, 병원은 개인정보 유출시의 피해를 최소화 하기 위해 입원기록을 가명처리하여 보관할 수도 있는데, 환자가 자신의 입원기록을 보여달라고 해도 가명처리를 한 이상 재식별화해서 보여줄 수 없는 상황임
  • GDPR에서는 ‘과학적 연구, 통계, 공익적 기록 등의 목적’을 위해서 이용된 경우에만 열람권, 정정권, 처리거부권 등이 제한되고 있고, 해석상 정보주체의 권리 보장을 위한 가명정보의 재식별화는 자유롭게 허용하고 있음. 가명정보 제도 활성화를 위해서는 GDPR과 유사하게 가명정보에 대한 정보주체의 권리를 보장할 필요가 있음
  • 제28조의5에 정보주체의 권리 보장을 위한 재식별화만을 허용하는 단서 조항과 제28조의7에 “통계작성, 과학적 연구, 공익적 기록보존 등”을 위해 가명정보가 처리된 경우에만 적용범위를 제한하는 단서 조항을 추가하는 등의 수정이 필요함

III. 개인정보 전송 요구권 도입(안 제35조의2)

1. 주요내용

  • 국민의 개인정보에 대한 적극적인 통제권을 보장하기 위하여 정보주체가 개인정보처리자에 대하여 자신의 개인정보를 본인, 다른 개인정보처리자 또는 개인정보관리 전문기관에 전송을 요구할 수 있는 권리를 도입하고자 함

2. 검토의견: 찬성

  • 개인정보 전송 요구권은 정보주체의 권리인 열람권을 정보기술을 이용해 더 강화한 권리로서 이러한 권리의 도입은 정보주체의 개인정보 통제권을 강화하는 것이므로 바람직함
  • 다만, 현재 「신용정보의 이용 및 보호에 관한 법률」 제33조의2는 ‘개인신용정보 전송 요구권’에 대해 규정하고 있는데, 전송 요구 대상을 본인 외 국가가 지정한 일부 사업자로 한정하고 있어 데이터 집적과 독점을 강화시킨다는 문제가 있으며, 개인신용정보도 개인정보라는 점에서 전송 요구권을 개인정보 보호법으로 일원화하여 일관성 있는 정보주체 권리 강화를 모색할 필요 있음

IV. 자동화 의사결정에 대한 배제등의 권리 도입(안 제37조의2)

1. 주요내용

  • 인공지능 등 신기술의 확대 적용에 따라 국민의 생명ㆍ신체ㆍ재산 등에 중대한 영향을 미치는 자동화 의사결정 등에 대하여 거부, 이의제기, 설명요구권을 도입하고자 함

2. 검토의견: 찬성

  • 자동화된 의사결정에의 대응권 도입은 자동화된 개인정보 처리에 의존한 결정으로 정보주체의 기본권이 침해되는 것을 방지하기 위한 권리를 보장하는 것이므로 찬성함