오픈넷, 가명정보 열람권 등 정보주체 권리 배제하는 가명정보 특례조항들에 대해 헌법소원 청구

사단법인 오픈넷은 6월 27일 개인정보보호법 제28조의5, 제28조의7이 청구인의 개인정보자기결정권을 침해하여 위헌임을 확인하는 헌법소원(2021헌마748)을 제기했다. 개인정보보호법 제28조의5는 가명정보에 대한 재식별을  전면적으로 금지하고 제28조의7은 열람권 등 정보주체의 권리 및 권리보장을 위해 필요한 개인정보처리자의 의무에 관한 조항들의 적용을 배제하고 있어 개인정보자기결정권을 침해하기 때문에 위헌이다.

소위 “데이터3법” 중 하나였던 개인정보보호법 개정안은 2020. 1. 9. 국회를 통과한 뒤 2020. 8. 5.부터 시행되었다. 이로 인해 개인정보보호법에 유럽의 일반개인정보보호법(General Data Protection Regulation, 이하 “GDPR”)과 유사한 ‘가명정보’란 개념이 도입되었다.  ‘가명정보’란 개인정보를 ‘가명처리’(개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것)함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보를 의미한다(제2조 제1호 다목). 가명정보도 개인정보이지만, 개인정보처리자는 “통계작성, 과학적 연구, 공익적 기록보존 등”을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다(제28조 제1항).

문제는 GDPR의 경우 공익적 기록보존 등의 목적이 있는 가명정보 이용에 한하여 정보주체의 권리를 제한하고 있는데, 우리나라는 데이터3법을 졸속으로 통과시키면서, 개인정보보호법 제28조의2의 목적 제한과 별개로 제28조의7에서 모든 가명정보에 대해 정보주체의 열람요구권, 정정·삭제요구권, 처리정지요구권 등 권리들을 총체적으로 배제하고 있다는 점이다. 개인정보보호위원회는 그 이유를 제28조의5가 누구든지 가명정보를 개인이 알아볼 목적으로 처리하는 것(‘재식별’)을 금지하고 있는데 이러한 권리들에 관한 규정은 개인을 알아보아야만 가능하기 때문이라고 하고 있다. 물론 제28조의5는 가명정보의 재식별을 원천적으로 방지하여 개인정보자기결정권을 보호하려는 목적으로 규정되었겠지만 가명정보를 재식별하지 못하면 권리를 행사하는 것이 불가능하게 되어 도리어 개인정보자기결정권을 제한하는 효과를 내고 있는 것이다. 제28조의5와 같은 제한은 GDPR에서는 찾아볼 수 없다. 결론적으로 개인정보처리자들은 가명처리를 하는 것만으로 개인정보인 가명정보에 대한 정보주체의 권리 행사를 완전히 거부할 수 있게 되었다. 이는 가명정보의 이용이라는 목적을 위해 정보주체의 권리를 현저히 불합리하고 불공정하게 제한하는 것으로 적합한 수단이 될 수 없으며, GDPR처럼 목적 제한을 두지도 않아 침해 최소성의 요건도 갖추지 못하였다. 또한 이로 인해  가명정보에 대한 개인정보자기결정권을 형해화시켜 법익의 균형성도 인정되지 않는다.

개인정보인 가명정보에 대해서 재식별을 원천적으로 금지하고 정보주체의 권리를 전면 배제하는 개인정보보호법상 가명정보 특례조항들은 과잉금지원칙에 반하여 국민의 개인정보자기결정권을 침해하고 있다. 이 조항들로 인해 이 사건의 청구인은 실제로 권리 행사의 제한을 받았으며 이에 헌법소원을 청구하게 되었다. 헌법재판소가 가명정보 특례조항들의 위헌성을 확인해주기를 기대한다.

2021년 6월 30일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, master@opennet.or.kr

[관련글]
[보도자료] 오픈넷·민병덕 의원실, “가명정보 열람권 등 정보주체 권리 보장을 위한 토론회” 개최 (12/7, 유튜브 라이브) (2020.12.01.)
[논평] 가명정보에 대한 정보주체의 열람권 보장하는 민병덕 의원의 개인정보 보호법 개정안을 환영한다 (2021.04.23.)
[논평] 오픈넷, EU에 대한민국 GDPR 적정성 평가시 가명정보특례조항에 대한 검토 요구 (2021.03.31.)
[입법정책의견] 개인정보보호위원회의 개인정보 보호법 개정안에 대한 의견 제출 (2021.02.17.)
[논평] 개인정보보호법 가명화 도입, 입법불비부터 선결되어야 GDPR 수준의 정보보호 할 수 있다. (2020.04.06.)