개인정보 보호법 일부개정법률안에 대한 의견표명

Ⅰ.의견표명의 배경 빅데이터(Big Data) 등 개인정보 이용 활성화를 전제로 하는 혁신적 차 세대 신기술 개발과 신산업 육성이 많은주목을 받고 있다. 빅데이터 등 신 기술 활용을 촉진하기 위하여 법률상의 개인정보 개념에서 개인을 식별할 수 있는 요소를 제거한 이른바 "가명정보" 개념을 도입하여 이를 활용하는 방안이 제안되고 있다. 이러한 신기술과 신산업은 그 필요성만큼이나 그로 인한 개인정보 침해의 위험성도 우려되고 있다. 가명정보는 개인을 식별할 수 있는 요소를 제거하였다고는 하나 개인정보 침해의 가능성은 없는지, 정 보인권보호가충분한지의문이제기되고있다. 한편 개인정보 보호법은 개인정보 보호 감독기구로서 개인정보 보호 위원회의 설립.운영을 규정하고 있으나, 위원회는 독립성이 충분하지 못하 고기능과권한이한정되어있다는지적이제기되고있다. 제20대 국회에는 이른바 가명정보 개념을 신설하여 개인정보 이용 활 성화를 통한 신산업을 육성하고, 개인정보 보호위원회의 독립성 및 권한을 강화하는 것을 주요 내용으로 하는 개인정보 보호법 일부개정법률안이 다수 발의되어 있다. 그 중 인재근 국회의원(더불어민주당)이 2018. 11. 15. 대표 발의한 개인정보 보호법 일부개정법률안은 당정 협의를 거쳐 의원 발의한것이다. 이에 국가인권위원회(이하 “인권위”라 한다)는 인재근 의원 대표발의 개인정보 보호법 일부개정법률안의 내용 중 가명정보 및 개인정보 보호위 원회 관련 사항이 개인정보자기결정권 등 정보인권의 보호에 부합하는지를 검토하였다. Ⅱ.판단 기준 대한민국헌법 제10조, 제17조, 제37조, 개인정보 보호법 , 헌법재판 소 2005. 5. 26. 99헌마513, 2004헌마190(병합) 결정, 헌법재판소 2008. 7. 31. 2004헌바81 결정, 유엔 전산 처리된 개인정보파일의 규율에 관한 지침 (Guidelines for the Regulation of Computerized Personal Data Files), 유 럽연합 개인정보 보호 규정 (General Data Protection Regulation; GDPR) 등을판단및참고기준으로하였다. Ⅲ.가명정보 처리 관련 규정에 대한 판단 1.가명정보 관련 기본권 및 보호 기준 가.개인정보자기결정권 헌법재판소는 정보주체가 자신의 개인정보의 공개와 이용 등에 관하여 스스로 결정할 수 있는 권리 즉 개인정보자기결정권을 헌법상 기본권의 하 나로 보고 있다. 헌법재판소는 개인정보를 대상으로 하는 조사, 수집, 보관, 이용 등의 행위는 모두 원칙적으로 개인정보자기결정권에 대한 제한에 해 당된다고 판시하였다(헌법재판소 2005. 5. 26. 99헌마513, 2004헌마190(병합) 결정). 개인정보 보호법 제2조 제1호에 의하면 "개인정보"란 살아 있는 개인 에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정 보와 쉽게 결합하여 알아볼 수 있는 것 포함)를 말한다. 법원은 특정 정보 항목이 개인정보에 해당하는지 여부가 쟁점이 된 판결에서 그 자체로는 특 정 개인을 알아볼 수 없는 정보라 하더라도 다른 정보와 용이하게 결합하 여 해당 개인을 식별할 수 있으면 개인정보에 해당한다고 판시한다. 이러한 점을 고려할 때 식별요소가 일부 제거된 개인정보라 하더라도 다른 개인정 보와 결합하여 개인을 식별할 수 있는 이상 개인정보자기결정권의 보호 대 상에포함된다할것이다. 나.개인정보 처리 관련 국내.외 기준 개인정보의 활용이 확대되고 정보주체의 권리 보호 필요성이 증대됨에 따라 경제협력개발기구(OECD)의 1980년 프라이버시 보호 및 개인정보의 국제유통에 대한 가이드라인 , 유엔의 1990년 전산 처리된 개인정보파일의 규제 지침 등은 상세한 개인정보 보호 기준을 마련하고 있다. 이들 국제 기준은 개인정보의 정의 및 수집, 목적 외 이용이나 제3자 제공의 제한 등 의 원칙을 정한다. 독일, 영국, 호주, 캐나다, 일본 등 주요 선진 국가들도 개인정보보호관련법률을제정하고상세한보호원칙을규정하고있다. 2011년 제정된 개인정보 보호법은 개인정보 보호 국제기준, 주요 국 가의 개인정보 보호 법률, 헌법상의 법률유보 원칙 및 과잉금지 원칙 등을 반영하여 개인정보 처리 원칙을 규정한다. 특히 개인정보 보호법 제15조 제1항은 개인정보처리자는 정보주체의 동의를 받은 경우, 법률에 특별한 규 정이 있거나 법령상 의무 준수를 위해 불가피한 경우 등에 한하여 개인정 보를 수집ㆍ이용할 수 있다고 규정하고, 같은 법 제18조 제1항 및 제2항은 당초 수집ㆍ이용 목적을 벗어나 개인정보를 이용하거나 제3자에게 제공하 는 것을 금지하되 다만 정보주체의 별도동의를 받은 경우, 다른법률에 특 별한 규정이 있는 경우 등에만 예외적으로 이를 허용한다. 같은 법 제75조 제1항 제1호는 개인정보 수집ㆍ이용 위반 시 5천만원 이하의 과태료를 부 과하는 반면, 같은 법 제71조 제2호는 개인정보의 목적 외 이용ㆍ제3자 제 공 위반 시 5년 이하의 징역 또는 5천만원 이하의 벌금을 부과하는 점으로 미루어 볼 때 개인정보 보호법은 개인정보의 목적 외 이용ㆍ제3자 제공 위반행위를보다엄격히규제하는태도를취함을알수있다. 2.빅데이터 등 신기술과 가명정보 가.빅데이터 개관 빅데이터(Big Data)란 기존의 통상적인 규모를 넘어서는 대규모ㆍ대용 량의 데이터 그 자체, 또는 이러한 대규모ㆍ대용량의 데이터를 분석하여 다 시 새롭고 유용한 정보나 가치를 창출해 내는 신기술을 의미한다. 2012년 세계경제포럼(World Economic Forum; WEF, 일명 다보스포럼)은 빅데이터 를 "세상을 바꿀 신기술" 1위로 선정하는 등 향후 4차 산업혁명 시대의 핵 심 기술과 미래의 새로운 성장 동력으로 주목받고 있다. 빅데이터는 정보분 석을 통한 그 자체의 효용성은 물론, 인공지능(Artificial Intelligence; AI), 사물인터넷(Internet of Things; IoT) 등 다른 신기술과 결합하여 더욱 유용 하게활용될수있을것으로기대받고있다. 나.빅데이터와 개인정보 보호 빅데이터는 기상정보, 재난정보 등 非개인정보를 활용하는 경우도 있으 나, 활용 사례의 상당수는 대량의 개인정보를 수집ㆍ활용ㆍ분석하는 것으로 알려져 있다. 특히 빅데이터 분석 기술 등을 이용하여 특정한 인물의 개인 적인 특성이나 성향, 건강, 행동, 관심사, 신뢰도 등을 예측ㆍ평가하는 기술 을이른바 "프로파일링"(profiling)이라고지칭하기도한다. 그런데 기업이나 공공기관 등에서 개인정보를 당초 목적 외로 이용하 거나 제3자에 제공하기 위해서는 앞서 본 바와 같이 정보주체의 동의를 받 거나 법률이 정한 목적에 부합해야 하는 등의 기준에 부합하여야 한다. 그 런데 빅데이터를 통한 개인정보 처리는 보통 대용량ㆍ자동ㆍ실시간으로 이 루어지므로, 이 과정에서 특정 개인이 원치 않게 재 식별되는 문제, 정보주 체 본인의 동의나 허락 없이 개인정보가 당초 목적 외로 이용되거나 제3자 에게 제공되는 문제, 정보주체가 프로파일링 처리 과정과 결과를 알 수 없 는 문제 등이 발생할 수 있다. 따라서 국내ㆍ외를 막론하고 빅데이터 개인 정보 활용과 국제적으로 확립된 개인정보 보호 원칙이 대립하고 있으며 이 중어느것을우선시할것인가에대한논란이있다. 다.가명정보 개념 도입 빅데이터와 개인정보 보호의 대립 문제를 해결하기 위해, 개인정보의 일부 항목을 삭제하거나 대체하여 특정 개인을 식별하기 어렵도록 하면서 개인정보 분석ㆍ활용은 가능하게 한 경우 개인정보 보호 원칙 적용을 완화 또는 면제하자는 방안이 제시되고 있다. 다만 가명처리를 했다 하더라도 다 른 정보와의 결합ㆍ분석을 통해 특정 개인이 재식별될 위험성이 완전히 사 라지는 것으로 보기는 어려우며, 가명정보를 상업적 용도 등으로 무분별하 게활용하거나다른데이터베이스와결합하는문제등도지적된다. 유럽연합이 2016년 제정한 개인정보 보호 규정 (General Data Protection Regulation, 이하 “유럽연합 GDPR”이라 한다)은 개인정보의 가 명처리에 대해 규정한다. 유럽연합 GDPR 제4조 제5호는 "가명처 리"(pseudonymisation)라 함은 추가 정보를 사용하지 않고는 더 이상 특정 정보주체를 식별할 수 없도록 개인정보를 처리하는 것을 말한다고 규정한 다. 같은 규정 제5조 제1항은 개인정보는 명시적, 적법하고 특정한 목적으 로 수집하여야 하고 이 목적과 양립 불가능한 방식으로 추가 처리해서는 안된다고 규정하면서, 다만 가명처리 정보를 "공익을 위한 자료 보관 목적, 과학 또는 역사 연구 목적, 통계 목적"을 위해 당초 목적 외로 추가 처리하 는 것을 허용하고 있다. 특히 유럽연합 GDPR은 전문 (26)에서 가명처리를 거친 개인정보라 하더라도 추가 정보를 사용하여 해당 자연인을 확인할 수 있는 경우에는 개인정보로 간주하여 개인정보 보호 원칙이 적용된다고 명 확히선언하고있음을주목할필요가있다. 또한 유럽연합 GDPR 제4조 제4호는 "프로파일링"이라 함은 개인의 특 정한 개인적 측면, 특히 개인의 업무능력, 경제 상황, 건강, 개인의 성향이 나 관심사 등에 관한 측면을 분석ㆍ예측ㆍ평가하기 위해 개인정보를 사용 하는 개인정보의 자동화된 처리 형태를 의미한다고 정의하고, 같은 규정 제 21조 제1항 및 제22조 제1항은 정보주체는 언제든지 본인에 대한 프로파일 링 등 개인정보 처리에 반대할 권리, 본인에 대한 법적 효력을 초래하거나 이와 유사하게 본인에게 중대한 영향을 미칠 수 있는 프로파일링 등의 적 용을받지않을권리를가진다고규정한다. 일본이 2015년 개정한 개인정보의 보호에 관한 법률도 가명처리에 대해 규정하고 있다. 같은 법률 제2조 제1항, 제2항및 제9항은 "익명가공정 보"란 특정 개인을 식별할 수 없도록 개인정보를 가공하여 얻은 정보로서 해당 개인정보를 복원할 수 없도록 한 것을 말한다고 규정한다. 같은 법률 제36조 및 제37조는 익명가공정보를 제3자에게 제공하는 때에는 미리 정보 의 항목, 제공 방법 등을 공표하도록 하되, 정보주체의 동의 등은 제외하고 있다. 우리나라의 대통령 소속 4차 산업혁명위원회의 규제ㆍ제도혁신 해커톤 은유럽연합 GDPR 등해외 입법례를참고하여개인정보의법적 개념을 개 인정보, 가명정보, 익명정보로 구분하고, 가명정보는 공익을 위한 기록 보 존, 학술 연구(또는 학술 및 연구), 통계 목적을 위한 경우에 한하여 정보주 체 동의 없이도 당초 수집 목적 외로 이용하거나 제3자에게 제공하도록 하 자는 방안을 제시하였다. 이 경우 학술 연구(또는 학술 및 연구)에는 산업 적연구목적,통계목적에는상업적목적이포함될수있다고하였다. 이상의 논의를 종합하여 보면, 가명정보의 처리 범위 확대를 통해 빅데 이터 등 신기술의 활용 활성화를 도모하고자 하는 것은 국내외의 논의가 일치함을 알 수 있다. 다만 유럽연합 등의 가명정보 도입 논의는 가명정보 의 처리 범위 확대와 동시에, 가명정보도 개인정보 보호의 범주에 포함됨을 확인하고 정보주체의 권리 보호에도 중점을 두고 있다. 반면 국내의 가명정 보 도입 제안은 가명정보를 상업적 또는 산업적 목적으로 활용해야 한다는 점을 강조할 뿐 이에 따르는 위험성의 방지 혹은 정보주체의 권리 보호 등 에대한고려는상대적으로미미한것으로판단된다. 3.인재근의원대표발의 개인정보보호법일부개정법률안 에대한검토 가.주요 내용 인재근의원대표발의 개인정보 보호법 일부개정법률안 (이하 “개인정 보보호법개정안”이라한다)은 제안이유에서 데이터를기반으로하는 새로 운 기술ㆍ제품ㆍ서비스의 개발 등 산업적 목적을 포함하는 과학적 연구, 시 장조사 등 상업적 목적의 통계작성 등의 목적으로 가명정보를 이용할 수 있도록 해야 한다고 명시한다. 개인정보 보호법 개정안 제2조 제1호 다목은 "가명정보"를 성명, 주민등록번호 및영상 등을 통하여 개인을 알아볼 수있 는 정보 및 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보 와 쉽게 결합하여 알아볼 수 있는 정보를 특정 개인을 알아볼 수 없도록 대통령령으로 정하는 방법으로 처리함으로써 원상태로 복원하기 위한 추가 정보의사용ㆍ결합없이는특정개인을알아볼수없는정보라고정의한다. 개인정보 보호법 개정안 제28조의2 제1항은 개인정보처리자는 통계작 성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명 정보를 처리할 수 있다고 규정한다. 이와 관련하여 같은 개정안 제2조 제8 호는 "과학적 연구"는 기술의 개발과 실증, 기초연구, 응용연구 및 민간 투 자 연구 등 과학적 방법을 적용하는 연구라고 정의한다. 같은 개정안 제28 조의3은 통계작성, 과학적 연구, 공익적 기록보존 등을 위해 개인정보처리 자간 정보집합물의 결합을 할 수 있도록 하고, 다만 이는 보안시설을 갖춘 전문기관이수행하도록규정한다. 나.문제점 4차 산업혁명 시대의 핵심 자원인 데이터의 이용 활성화를 통해 신산 업을 육성해야 할 필요성에 대해서는 별다른 이의가 없으며, 이러한 이유에 서 사회적 공감대와 신뢰 구축을 전제로 하는 개인정보의 안전한 활용 확 대가 필요하다는 주장에도 충분히 공감할 수 있다. 그러나 개인정보 보호법 개정안은 그 내용으로 미루어볼 때 당초 입법 취지와는 달리 신산업 발전 등의 긍정적 측면 못지않게 가명정보가 오ㆍ남용되는 등의 위험성이 적지 않다고판단된다. 1)가명정보의 활용 목적 확대 가명정보를 상업적 혹은 산업적 목적으로 활용하는 그 자체를 원천 적으로 반대할 이유는 없다. 그러나 개인정보 보호법 개정안은 정보주체의 동의가필요하지 않은 가명정보의 활용 목적에 "과학적 연구"를 포함하는데, 같은 개정안 제2조 제8호의 과학적 연구의 개념 정의만으로는 과연 어떠한 개인정보처리자가 어느 범주까지 가명정보를 활용할 수 있도록 허용하는 것인지를 판단하기가 매우 어렵다. 이러한 모호한 개념 정의는 자칫 기업ㆍ 단체 등이 과학적 연구라는 미명 하에 당초의 수집목적과는 다르게 가명정 보를 상업적 용도로 이용, 제공, 공유, 심지어 판매하는 등 오ㆍ남용하는 행 위를방지하기어렵다고판단된다. 비록 개인정보 보호법 개정안 제28조의4 내지 제28조의6에서 가명정 보에 대한 안전조치, 특정 개인을 알아보기 위한 목적의 처리 등을 금지하 고 있다고는 하나, 가명정보의 처리 허용 목적과 범위부터가 불분명한 상황 하에서는 개인정보 보호법 개정안이 입법되었을 경우 과연 어떠한 가명정 보 오ㆍ남용 형태가 나타날지 조차도 예측하기 어렵고, 개인정보 보호법 개 정안이 정하는 안전조치로 이러한 가명정보 오ㆍ남용이 충분히 방지될 수 있을지도 불명확하다고 사료된다. 이재정 국회의원(더불어민주당)이 대표 발의한 개인정보 보호법 일부개정법률안 제28조의2 제1항이 가명정보의 활용 범위를 "학술연구"로 규정하는 점, 진선미 국회의원(더불어민주당)이 대표 발의한 개인정보 보호법 일부개정법률안 제18조 제2항 제4호가 가 명정보의 제공에 대해 "공익적 목적"을 명시하는 점 등 다른 법률안에서 가 명정보 활용 범위와 목적을 보다 구체화하는 사례를 입법 논의 과정에서 적극적으로고려할필요가있다. 2)정보주체의 권리 보호 장치 미흡 개인정보가 당초의 수집 목적 외로 이용되거나 제3자에게 제공된다 면 정보주체의 입장에서는 중대한 권리 침해가 되므로 개인정보 보호에 대 한 국제기준 및 각국 법률 등은 개인정보의 목적 외 이용 또는 제3자 제공 행위를 엄격히 제한하고 있음은 앞서 살펴본 바와 같다. 개인정보 보호법 제18조 제2항 본문 및 제4호는 통계작성 및 학술연구 등의 목적을 위하여 특정 개인을 알아볼 수 없는 형태로 개인정보를 (정보주체 동의 없이) 제공 하는 경우라 하더라도 "정보주체 또는 제3자의 이익을 부당하게 침해할 우 려가 있을 때를 제외"하도록 규정하고 있다. 그런데 개인정보 보호법 개정 안 제28조의2 제1항은 이러한 권리 보호 조건을 삭제하고, 단지 정보주체 동의 없이 가명정보를 처리할 수 있다고만 규정함으로써 사실상 아무런 제 약없이가명정보의목적외이용혹은제3자제공이가능하도록한다. 또한 개인정보 보호법 개정안 제28조의7 제1항은 개인정보 파기, 정 보주체의 개인정보 열람권 및 정정ㆍ삭제 요구권 등의 적용을 배제하고 있 다. 가명정보는 원 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보를 말하므로, 특정 정보주체에 대한 개인 정보 열람권 및 정정ㆍ삭제 요구권 등을 보장하기 어렵다는 점은 당연히 인정된다. 그러나 가명처리를 하였다고 해서 개인정보 보호법이 규정하는 정보주체에 대한 다양한 보호조치를 일률적으로 배제하는 것은 문제의 소 지가 있다. 특히 보관기간의 제약 없이 가명정보를 사실상 영구히 보유ㆍ이 용할 수 있도록 한 것은 문제의 소지가 있다. 일본의 개인정보의 보호에 관한 법률에서 보이는 바와 같이, "가명정보 처리에 대한 공표" 등의 방법 을 통해 간접적으로라도 정보주체의 개인정보 보호 권리를 확보하는 방안 을고려할필요가있다. 마지막으로, 개인정보 보호법 개정안이 개인정보자기결정권 등 정보 주체의 기본적 인권에 직접적인 영향을 미칠 수 있는 프로파일링에 대해 일체의 규정을 두지 않는 문제점이 있다. 개인정보 프로파일링은 정보주체 에 대한 개별적 분석을 통해 많은 유용함과 편리함을 가져올 수도 있지만 반면 개인의 자유와 권리에 중대한 위험을 초래하고 편견, 차별을 가져올 수 있다는 국내ㆍ외의 비판을 고려해야 한다. 유럽연합 GDPR은 가명정보 처리 규정 신설과 동시에 개인정보 프로파일링의 개념 및 정보주체의 반대 권리등을반영하고있음을고려할필요가있다. 3)우리나라 개인정보 처리 환경의 특수성 가명정보 처리 및 보호와 관련하여, 우리나라 개인정보 처리 환경의 특수성을 언급하지 않을 수 없다. 우리나라는 다른 주요 선진국과 다르게 전 국민의 개인식별번호인 주민등록번호 제도를 운용하고 있다. 오늘날 우 리 사회에서 주민등록번호는 단순한 개인 식별 및 인증 기능에 그치지 않 고, 예를 들어 이동통신 서비스 가입 시 실명확인 제도, 금융실명거래 제도, 신용정보 집중관리 및 신용평가 제도 등과 결합하여 우리나라 국민의 거의 모든 경제ㆍ사회 활동에서 신원을 확인하는 수단으로 활용되고 있다. 더군다나 우리나라는 성명, 주민등록번호, 전화번호 등이 포함된 개인정보 데이터베이스가 이미 대량으로 유출되어 사회 곳곳에서 음성적으로 거래ㆍ 활용되고 있어 가명정보의 재식별 및 오ㆍ남용 위험성이 더욱 크다는 점도 신중히고려할필요가있다. 기존에 발생한 주요 기업 등의 개인정보 대량 유출사건들을 보면 외 부에서의 해킹 공격으로 인한 유출사례도 있으나 내부 직원의 공모 등으로 유출된 사례 또한 적지 않음을 고려할 때, 기업의자율적 개인정보 보호 인 식 향상이 보다 필요한 면이 있다. 또한 개인정보 침해ㆍ유출 사고에 대해 감독기관의 행정벌 혹은 민ㆍ형사 재판을 통한 배상과 제재가 미국 등 선 진국의 사례에 비해 상대적으로 가벼운 점 등도 가명정보 도입과 동의 없 는처리범위확대등개인정보보호완화에있어고려되어야할요소이다. 다.소결 헌법 제10조 후문은 국가는 개인이 가지는 불가침의 기본적 인권을 확 인하고 이를 보장할 의무를 진다고 규정하여 국가의 기본권 보호의무를 선 언하고 있다. 헌법재판소는 헌법 상의 국가의 기본권 보호의무 선언은 국가 와 국민의 관계에서 기본권 보호를 위해 노력해야 할 의무가 있다는 의미 뿐만 아니라 국가가 사인(私人) 상호간의 관계를 규율하는 사법(私法) 질서 를 형성하는 경우에도 헌법상 기본권이 존중ㆍ보호되도록 할 의무가 있다 고판시하였다(헌법재판소 2008. 7. 31. 2004헌바81결정). 국가가 정보주체 동의 없이 가명정보를 목적 외로 이용하거나 제3자에 게 제공 가능하도록 하여 국가 대 사인의 관계뿐 만 아니라 예를 들어 사 인(기업) 대 사인(개인) 간의 관계에서도개인정보자기결정권이 제한될여지 가 있는 입법을 하려는 경우에는 그 기본권 침해 범위를 필요 범위 내에서 최소화하고해당기본권이존중ㆍ보호될수있도록하여야한다. 그런데 개인정보 보호법 개정안은 신산업 육성이 범국가적 과제라는 점을 강조하면서 가명정보의 활용 확대가 필요하다는 입장이나, 정보주체 본인의 시각에서 보면 자신의 개인정보가 가명처리를 거친 후 본인이 동의 하지 않았음에도 기업의 영리 목적으로 결합ㆍ활용되고 별도의 제약 없이 장기간 보관되는 결과를 가져올 뿐이다. 가명처리를 이유로 정보주체의 권 리를 제약하는 입법적 조치는 신중을 기할 필요가 있으며 특히 앞서 살펴 본 우리나라의 개인정보 처리 환경의 특수성을 고려하면 더욱 그렇다. 신산 업 육성의 이유만을 앞세워 정보주체의 동의 없이 가명정보를 정보주체가 예측하지 못하는 목적으로 널리 이용하거나 심지어 다른 기업 간에 제공, 결합할 수 있도록 폭넓게 허용하는 입법을 추진하는 것은 국가가 개인정보 자기결정권에 대한 기본권 보호 의무를 충분히 이행하는 것으로 보기 어렵 다판단된다. 이러한 문제점을 해소하기 위해서는 개인정보 보호법 개정안의 내용을 다음과 같이 수정 보완할 필요가 있다. 개인정보 보호법 개정안 제2조 제8 호 정의 규정에서 "과학적 연구"의 범위를 객관적으로 예측할 수 있도록 보 다 구체적이고 명확히 보완하여야 하며, 같은 개정안 제28조의2 제1항에서 개인정보 보호법 제18조 제2항 본문과 같이 “정보주체 또는 제3자의 이 익을 부당하게 침해할 우려가 없는 경우에 한하여”라는 정보주체 권리 보 호 조건을추가할 필요가있고, 같은 개정안에 가명정보의 목적 외 이용 또 는 제3자 제공에 대해 대외적으로 공표하도록 하는 규정, 개인정보 프로파 일링의 개념 및 이에 대한 정보주체 보호 규정을 추가 반영하는 것이 바람 직하다. Ⅳ.개인정보 보호위원회 관련 규정에 대한 판단 1.개인정보 보호 감독기구 가.개념 정보기술의 발전 및 공공ㆍ민간 부문의 각종 서비스 활성화 등에 따라 사회 도처에서 개인정보가 광범위하게 수집, 축적, 처리, 제3자에게 제공 또 는공유되고있다. 그러나 대다수 정보주체 개인은 자신의 개인정보가 어디서 어떻게 활 용되는지 구체적으로는 알기 어렵고, 심지어 자신의 개인정보가 유출ㆍ도용 되더라도 그 사실을 인지하지 못하거나 또는 자신의 노력과 주도 하에 구 제를 받기 어렵다는 한계가 있다. 개인정보를 대량으로 수집, 이용하는 곳 들은 주로 정부기관이나 대기업과 같이 정보주체 개인에 비해 우월적 지위 에있는경우가많은것도그러한이유중의하나이다. 따라서 이들의 개인정보 처리 활동을 독립적이고 전문적인 지위에서 평가ㆍ견제할 수 있는 제도적 장치, 즉 개인정보 보호 감독기구의 설립ㆍ운 영이 필요하다는 지적이 일찍이 주요 국제기구와 선진국을 중심으로 제기 되어왔다. 나.개인정보 보호 감독기구 관련 국제 기준 이러한 취지에서 주요 국제기구 및 선진 각국은 개인정보 보호 법규범 준수의 감독, 법규범 위반행위 조사, 정보주체 개인의 권리구제 등을 전담 하는 독립적인 개인정보 보호 감독기구의 설립ㆍ운영을 규정하고 있다. 유 엔의 전산 처리된 개인정보파일의 규제 지침 , 유럽연합 GDPR 등은 개인 정보 보호 감독 업무를 전담하는 독립적 기관 설치를 규정한다. 유럽 사법 재판소(The Court of Justice of the European Union)도 Commission v Germany(C-518/07), 2010. 3. 9. 등 일련의 판결을 통해 개인정보 보호 감 독기구의 설립 필요성 및 독립성 확보를 강조한다. 개인정보 보호 감독기구 국제협의체(International Conference of Data Protection and Privacy Commissioners; 이하 “ICDPPC”라 한다)가 2001년 채택한 "개인정보 보호 감독기구 인정요소"는 개인정보 보호 감독기구가 갖춰야 할 필수적 요건을 제시하고 있다. 독일, 영국, 프랑스, 호주, 캐나다 등주요 선진 각국은 이러 한 국제 기준을 반영하여 자국의 법률에 따라 독립적인 개인정보 보호 감 독기구를설립ㆍ운영중에있다. 다.개인정보 보호 감독기구 필수 요소 유엔, 유럽연합, ICDPPC 등 국제기구의 기준, 주요 선진 각국의 개인 정보 보호 법률 등을 종합하면 개인정보 보호 감독기구가 독립성 및 실효 적권한을갖추기위해필요한최소한의공통적인요소를확인할수있다. 개인정보보호감독기구가갖추어야할 필수적요소는 1) 국회의입법 에 의하여 설립되는 공공기관일 것 2) 정부의 지시ㆍ승인ㆍ간섭 등에서 분 리ㆍ독립하여 직무를 수행할 수 있을 것 3) 투명성, 보편성, 다원성을 갖춘 구성원 임명과 조직 구성 절차를 갖출 것 4) 독립적ㆍ실질적인 조사 및 처 분 권한을 가질 것 5) 행정적 자원(인사, 예산 등)을 독립적으로 확보할 수 있을것 6) 국회,정부, 국민등에정기적인보고권한을가질것등으로도 출할수있다. 2.현 개인정보 보호위원회에 대한 판단 가. 개인정보 보호법 관련 규정 개인정보 보호법은 개인정보 보호 감독기구로서 개인정보 보호위원 회의 설립과 구성, 권한 등에 대해 규정한다. 같은 법 제7조 제1항은 개인 정보 보호에 관한 사항을 심의ㆍ의결하기 위하여 대통령 소속으로 개인정 보 보호위원회를 두도록 하고, 그 권한에 속하는 업무를 독립하여 수행하도 록 규정한다. 같은 법 제7조 제2항 내지 제4항은 위원장 1명, 상임위원 1명 을 포함한 15명 이내의 위원으로 구성하도록 하고, 위원장은 위원 중 공무 원이 아닌 사람으로 대통령이 위촉하며, 상임위원은 정무직 공무원으로 대 통령이임명하도록한다. 다만 개인정보 보호 정책 집행 및 감독과 관련하여 실제적인 권한은 중앙행정기관인 행정안전부에 두고 있다. 개인정보 보호법 제61조 제2항 은 행정안전부장관은 개인정보처리자에게 개인정보 처리실태 개선을 권고 할 수 있도록 하고, 같은 법 제62조 제1항은 행정안전부장관에게 침해사실 을 신고할 수 있도록 하며, 같은 법 제63조 제1항은 행정안전부장관이 개인 정보처리자에게 자료 제출 요구, 같은 조 제2항은 사무소ㆍ사업장에 출입 검사를 할 수 있도록 하고, 같은 법 제64조 제1항은 행정안전부장관은 이 법을위반한자에대해시정조치를명할수있도록한다. 나.문제점 현행의 개인정보 보호위원회는 국제기준 등에 비추어 볼 때 독립성과 실행 권한이 부족하다는 지적이 제기되고 있다. 개인정보 보호위원회 상임 위원은 정무직 공무원(차관급)으로 주로 행정안전부 소속 공무원이 임명되 고, 개인정보 보호위원회 소속공무원 임용권 위임에 관한 규정에 따르면 개인정보 보호위원회 사무국 4급(과장급을 포함한다) 및 5급 공무원 전보 권, 6급 이하 공무원 임용권 등 인사권은 상임위원에게 위임되어 있으며, 관련 법규에 예산 편성을 위한 중앙관서 의제규정이 없어 독자적으로 예산 요구안을 편성ㆍ제출하기 어려운 점 등을 이유로 조직, 인사, 예산 등 측면 에서 상대적으로 독립성이 부족하다는 지적이 있다. 또한 개인정보 침해 신 고의 접수, 조사, 행정처분 권한도 모두 행정안전부에 있어 개인정보 보호 위원회는실질적조사ㆍ처분권한이부족하다는지적이있다. 3.개인정보 보호법 일부개정법률안에 대한 검토 가.주요 내용 개인정보 보호법 개정안은 개인정보 보호 관련 기능과 권한을 개인정 보 보호위원회로 일원화하는 내용을 담고 있다. 개인정보 보호법 개정안 제 7조 제1항은 개인정보 보호위원회를 국무총리 소속으로 하고, 같은 조 제2 항은 개인정보 보호위원회를 정부조직법 제2조에 따른 중앙행정기관으로 본다. 같은 개정안 제7조의2 제1항은 개인정보 보호위원회는 상임위원 2명 (위원장 1명, 부위원장 1명)을 포함한 7명의 위원으로 구성하도록 한다. 같 은 조 제2항은 위원장 및 부위원장은 정무직 공무원(상임위원)으로 보하고 대통령이 임명하고, 그 외 위원은 위원장 제청으로 대통령이 임명 또는 위 촉하도록한다. 개인정보 보호법 개정안 제62조 내지 제64조는 개인정보 침해신고의 접수 및 처리, 조사(자료제출요구 및 출입검사), 처분 등을 개인정보 보호위 원회가 담당하도록 규정한다. 다만 같은 개정안 제64조 제1항은 개인정보 보호법과 마찬가지로 시정조치 명령의 대상에서 중앙행정기관, 지방자치단 체 등을 제외하고, 같은 조 제2항에서 이들 기관에 대해 시정조치 권고를 할수있도록규정한다. 나.문제점 개인정보 보호법 개정안은 행정안전부와 개인정보 보호위원회 등으로 분산되어 있던 개인정보 보호 기능과 권한을 개인정보 보호위원회로 일원 화하고, 특히 개인정보 보호위원회의 지위를 중앙행정기관인 위원회로 함으 로써 인사ㆍ예산 등의 독립성을 확보하도록 한 점, 고충처리ㆍ조사ㆍ처분 권한 일체를 개인정보 보호위원회에 부여함으로써 체계적인 관리ㆍ감독이 이루어질 수 있도록 한 점 등을 높게 평가할 수 있다. 그럼에도 불구하고 개인정보 보호법 개정안 중 일부 내용은 개인정보 보호 감독기구에 대한 국제기준에 비해 미흡한 점이 발견되며 일부 사항은 오히려 현행 개인정 보보호법에비해후퇴한점도있다는지적이제기되고있다. 1)개인정보 보호위원회의 지위ㆍ소속 각국의 개인정보 보호 감독기구는 각자의 행정적 특성 등을 고려하 여 독임제 행정기관, 위원회, 커미셔너 등 다양한 형태를 취하고 있다. 개인 정보 보호법 개정안과 같이 국무총리 소속 중앙행정기관으로 둔다고 해서 독립성에 문제가 된다고 단언하기는 어려우며 우리나라의 현실을 반영한 것으로도 평가할 여지가 있다. 그러나 경제ㆍ산업 발전 등을 주요 정책 목 표로 다량의 개인정보를 수집ㆍ이용하려는 입장을 취할 것으로 예상되는 다수 중앙행정기관에 대해 개인정보 보호를 중시하는 입장에서 독립적으로 업무를 추진하도록 하기 위해서는 개인정보 보호위원회의 지위ㆍ소속에 대 한 보다 심도 깊은 고려가 필요하다 보인다. 우리나라의 행정위원회 사례를 살펴보면 그 업무수행에 있어 고도의 독립성이 필요한 경우 인권위와 같이 독립위원회 형태 혹은 방송통신위원회와 같이 대통령 소속 위원회로 하는 경우가있음을참고할필요가있다. 2)구성의 다원성 국제기구의 개인정보 보호 감독기구 기준과 필수요소, 주요 선진 각 국의 법률은 개인정보 보호 감독기구의 구성원 임명에 있어 최대한 투명성, 보편성, 다원성을 확보하려는 노력을 기울이고 있음이 확인된다. 우리나라 도 법률에 따라 합의제 행정위원회를 구성하는 경우, 사회 각계각층의 다양 한 이해관계 반영을 위해 전통적으로 국회 선출과 법원 지명을 포함한다. 현행 개인정보 보호법이 개인정보 보호위원회 위원 15명을 대통령이 임 명 또는 위촉하되 국회 선출 및 대법원장 지명을 각각 5명씩 두도록 한 것 도 그러한 취지로 이해할 수 있다. 그런데 개인정보 보호법 개정안은 개인 정보 보호위원회 위원 7명 전원을 대통령이 임명 또는 위촉하도록 하고 있 어 현행 법률과 비교해보더라도 구성의 다원성과 독립성 측면에서 오히려 후퇴하였다는지적이있다. 또한 개인정보 보호법은 위원 구성 대상에 시민사회단체 또는 소 비자단체, 사업자단체 등을 명시하여 균형적인 배분을 하였으나 개인정보 보호법 개정안은 단지 “공공기관 또는 단체(개인정보처리자 구성 단체 포 함)”로만규정하여요건이너무 광범위하고시민사회의참여를제약할 가능 성이있다고판단된다. 3)실질적인 조사ㆍ처분 권한 개인정보 보호법 개정안은 개인정보 보호위원회의 시정조치 명령의 대상에서 중앙행정기관, 지방자치단체, 국회, 법원, 헌법재판소, 중앙선거관 리위원회를 제외하고 있다. 개인정보 보호법 개정안은 개인정보 보호위원회 를 중앙행정기관으로 하고 있으므로, 같은 중앙행정기관 등에 대해 시정조 치 명령을 하는 것은 현재의 정부 조직체계와 맞지 않는다는 반론도 충분 히감안할수있다. 그러나 중앙행정기관이나 지방자치단체 등도 대기업 등에 못지않게 대량의 개인정보를 수집ㆍ이용하는 개인정보처리자의 지위인 점, 이러한 공 공기관에서도 개인정보 침해ㆍ유출 사례가 실제로 빈번히 발생하는 점, 민 간 기업에 대해서는 과태료 및 과징금 처분이 빈번히 이루어지는 반면 중 앙행정기관 등에 대해서는 시정권고도 제대로 이루어지지 않고 있다는 학 계의지적등을종합적으로고려할필요가있다. 다.소결 개인정보 보호법 개정안의 내용 중 개인정보 보호위원회의 지위 및 소 속 관련 사항, 위원의 구성에 관한 사항, 시정조치 명령 등 처분의 권한에 관한 사항은 개인정보 보호 감독기구의 독립성 및 실질적 권한을 강조하는 국제적 기준에 미흡하며, 정보주체의 개인정보자기결정권 등 권리 보장에도 충분치않다판단된다. 이러한 문제점을 해소하기 위해서는 개인정보 보호법 개정안의 내용을 다음과 같이 수정 보완할 필요가 있다. 개인정보 보호위원회의 실질적 독립 성 확보를 가능하게 할 수 있는 소속ㆍ지위를 고려하여야 하며, 개인정보 보호위원회의 위원 임명ㆍ위촉에 있어 보다 다원성의 확보가 필요하고, 중 앙행정기관이나 지방자치단체 등에 대해서도 실질적인 처분 권한이 확보될 수있도록보완하는것이바람직하다. Ⅴ.결론 이상과 같은 이유로 국가인권위원회법 제25조 제1항에 따라 주문과 같 이의견표명을하기로결정한다.