신용정보의 이용 및 보호에 관한 법률 일부개정법률안에 대한 의견표명

Ⅰ. 의견표명의 배경 금융위원회는 2016. 4. 20. 「신용정보의 이용 및 보호에 관한 법률 일부 개정법률안」(이하 “신용정보법 개정안”이라 한다)을 입법예고하였다. 금 융위원회가 마련한 「신용정보법 개정안」은 비식별 처리한 개인정보의 활 용 확대를 통하여 금융 및 신용 분야의 빅데이터 산업을 활성화하는 것을 목적으로 하고 있다. 그런데 「신용정보법 개정안」에 대해 일부에서는 민간 금융회사 등에 의한 개인정보의 무분별한 활용 또는 제공이 가능하게 되어 정보인권 침해 가 발생할 수 있다는 우려가 제기되고 있다. 이에 따라 국가인권위원회는 정보인권의 보호 측면에서 「신용정보법 개 정안」을 검토하고 의견표명하기로 결정하였다. Ⅱ. 판단 및 참고기준 「헌법」 제10조 및 제17조, 「개인정보 보호법」을 판단기준으로 하고, 유엔(UN)의 「컴퓨터화된 개인정보파일의 규율에 관한 가이드라인」, 경제 협력개발기구(OECD)의 「프라이버시 및 개인정보의 국제유통에 대한 가이 드라인」(이하 “OECD 가이드라인”이라 한다), 유럽연합(EU)의 「일반 개 인정보보호 규정」 등을 참고하였다. Ⅲ. 판단 1. 빅데이터와 개인정보 비식별 조치 가. 빅데이터와 개인정보 활용 빅데이터란 기존의 통상적인 규모를 넘어서는 대규모, 대용량의 데이터 그 자체 또는 이러한 데이터를 분석하여 다시 새롭고 유용한 정보나 가치 를 창출해 내는 신기술을 의미한다. 빅데이터 기술은 2012년 개최된 세계 경제포럼(WEF; World Economic Forum)에서 "세상을 바꿀 신기술" 1위 로 선정되는 등 국내외에서 정보통신기술(ICTs)에 기반한 새로운 성장 동 력과 차세대 산업으로 각광받고 있다. 최근 기업이나 공공기관 등에서는 정책 수립, 서비스 품질 향상, 마케 팅, 새로운 상품이나 서비스 개발 등에 필요한 자료를 얻기 위하여 빅데 이터를 적극적으로 활용하고 있으며, 특히 고객 개개인의 연령, 거주 지 역, 관심사, 구매 이력 등과 같은 개인정보를 빅데이터로 분석하여 활용하 고 있다. 그런데 기업이나 공공기관 등에서 개인정보를 수집하여 이용하거나 제 3자에게 제공하기 위해서는 처리 단계마다 정보주체 본인의 동의를 받아 야 하는 등 개인정보 보호 기준을 준수할 필요가 있으나, 빅데이터는 대 용량의 정보를 자동화한 시스템으로 실시간 처리하므로 그 과정에서 개인 의 동의를 일일이 받을 수 없는 현실적인 한계가 있다. 따라서 개인정보의 다량 수집과 이용을 전제로 하는 빅데이터 활용과 개인정보 보호 중 어느 것을 우선해야 하는지에 대한 다양한 논의가 국내 외에서 진행되고 있고, 크게 빅데이터 활용 확대를 통한 경제 성장 동력 창출 등을 위해서 개인정보 보호 기준을 완화해야 한다는 주장과 빅데이 터 활용이 중요하더라도 이를 명분으로 개인정보 보호 기준을 완화하는 것은 정보인권 침해로 이어질 수 있으므로 주의해야 한다는 주장이 대립 되고 있다. 나. 개인정보 비식별 조치의 개념과 한계 빅데이터로 인한 개인정보 침해 우려를 해소하고 빅데이터 본연의 정 보 활용 목적을 달성하기 위해 특정한 개인을 식별할 수 없도록 개인정보 를 가공하여 활용하는 "개인정보 비식별 조치"가 대안으로 제시되고 있 다. 2016. 7. 국무조정실, 행정자치부, 금융위원회 등이 발표한 「개인정보 비식별 조치 가이드라인」에 따르면, 개인정보 비식별 조치란 “정보의 집합물에서 개인을 식별할 수 있는 요소를 전부 또는 일부 삭제하거나 대 체 등의 방법을 통하여 개인을 알아볼 수 없는 조치”이다. 개인정보 비식별 조치는 그 방법에 따라 가명처리(Pseudonymization), 총계처리(Aggregation), 데이터 삭제(Data Reduction), 데이터 범주화(Data Suppression), 데이터 마스킹(Data Masking) 등으로 분류된다. 그러나 여전히 비식별 조치만으로 개인정보 보호의 안전성을 제대로 확보할 수 있는지에 대한 비판과 논란이 있다. 관련 연구 및 언론보도 등 에 따르면, 개인정보 비식별 조치를 적용하였다 하더라도 다른 개인정보 와 추가적인 결합 및 분석을 통하여 특정 개인을 재식별하거나 개인정보 를 복원할 수 있었던 사례들이 확인되고 있다. 「개인정보 비식별 조치 가이드라인」 역시 비식별 조치가 충분하지 않은 경우 공개 정보 등 다른 정보와의 결합, 다양한 추론 등을 통해 개 인이 식별될 우려가 있음을 지적하고 있다. 2. 「신용정보법 개정안」의 문제점 가. 개인정보 비식별 조치의 개념 명확화 및 요건 강화 필요 1) 비식별 정보가 개인정보인지 여부 「개인정보 비식별 조치 가이드라인」에서는 비식별 조치의 개념, 방 법 등을 규정하고, 이에 따라 적정하게 비식별 조치를 한 경우에는 개인 정보에 해당하지 않는다고 안내하고 있다. 그러나 「신용정보법 개정안」 제2조 제2호는 개인신용정보란 신용정 보 중 생존하는 개인에 관한 정보로서 신용정보주체를 식별할 수 있는 정보(그 정보만으로 신용정보주체를 알아볼 수 없더라도 다른 정보와 쉽 게 결합하여 식별할 수 있는 정보를 포함한다)라고 정의하고 있는데, 이 는 「개인정보 보호법」 제2조 제1호에 따른 개인정보에 대한 개념과 사실상 동일하다. 서울중앙지방법원 2011. 2. 23. 선고 2010고단5343 판결 역시, 특정 정 보 그 자체만으로는 개인을 식별할 수 없더라도 다른 정보와 용이하게 결합하여 식별 가능성이 있다면 개인정보에 해당한다고 판결한바, 위 법 률 규정들 및 법원의 판결은 모두 식별 또는 식별가능성을 중심으로 개 인정보 여부를 판단하고 있다. 따라서 비식별 조치를 통해 그 정보 자체만으로는 특정 개인을 알아 볼 수 없는 형태로 처리한 정보인 비식별 정보 역시 다른 정보와의 결 합 등을 통해 정보주체를 식별할 수 있는 가능성이 완전히 제거된 수준 에 이르기 전에는 개인정보라 할 수 있을 것이다. 2) 비식별 정보의 환원 또는 재식별 가능성 대량의 정보가 저장, 조합, 분석되는 빅데이터 처리 과정에서는 다른 정보와의 결합을 통해 당초의 개인정보로 환원되거나 재식별될 가능성 이 있다. 특히 금융 및 신용 분야는 「금융실명거래 및 비밀보장에 관한 법률」에 따른 금융실명거래 제도, 「신용정보법」에 따른 신용정보 집 중관리 제도 등에 따라 주민등록번호 등의 수집.이용.보관이 의무화되어 있으므로, 다른 분야에 비해 빅데이터 처리 과정에서 원래의 개인정보로 환원되거나 재식별될 위험성이 높다. 따라서 빅데이터 산업 활성화를 위하여 비식별 정보에 대해 개인정보 보호 기준의 적용을 제외하거나 완화하는 입법을 하려는 경우에는, 먼저 개인정보 비식별 조치가 구체적으로 무엇인지, 어떠한 기준을 적용해야 개인정보로서의 속성이 제거되어 비식별 정보가 되는 것인지 등을 명확 히 할 필요가 있다. 유럽연합의 「일반 개인정보보호 규정」 및 일본의 「개인정보의 보 호에 관한 법률」은 비식별 정보라 하더라도 개인정보로 복원 또는 재 식별될 가능성이 있으면 개인정보로 간주하며, 비식별 조치에 대한 구체 적 개념 등을 규정하고 있다. 그런데 「신용정보법 개정안」 제32조의2 제2항 제4호는 “특정 개인 을 알아볼 수 없는 형태로 처리하는 경우”라고만 규정하고 있을 뿐, 비 식별 정보가 개인신용정보에 해당하는지 여부 및 비식별 조치의 구체적 인 개념, 요건 등에 대해서는 별도로 언급하고 있지 않다. 또한, 비식별 조치는 그 적용 수준에 따라 재식별 가능성에 차이가 있으므로, 「신용정보법 개정안」에서 이러한 비식별 조치의 구체적인 방법 및 수준에 대해서도 규정할 필요가 있다. 따라서 「신용정보법 개정안」에 개인정보로 환원되거나 재식별될 가 능성이 제거되었음을 신뢰할 수 있는 정보를 비식별 정보로 정의하고, 개인정보 비식별 조치의 요건 등을 구체적으로 명시하는 것이 필요하다. 나. 비식별 정보의 목적 외 이용.제공 제한 헌법재판소 2005. 5. 26.자 99헌마513, 2004헌마190(병합) 결정에 따르 면, 정보주체가 자신의 개인정보의 공개와 이용 등에 관하여 스스로 결정 할 수 있는 권리, 즉 개인정보자기결정권은 헌법상 기본권에 해당하고, 개 인정보를 대상으로 하는 조사, 수집, 보관, 이용 등의 행위는 원칙적으로 개인정보자기결정권에 대한 제한에 해당된다. 「OECD 가이드라인」, 유엔의 「컴퓨터화된 개인정보파일의 규율에 관 한 가이드라인」, 유럽연합의 「일반 개인정보보호 규정」 등 정보인권과 관련한 국제기준들은 공통적으로 개인정보의 이용 또는 제공을 제한하고, 정보주체 본인의 동의가 있는 경우 등에만 예외를 허용하고 있다. 「개인정보 보호법」 제18조 제1항 및 제2항은 개인정보처리자가 당초 수집.이용 목적 외로 개인정보를 이용 또는 제3자에게 제공하는 것을 원 칙적으로 금지하고, 예외적으로 정보주체의 별도 동의를 받은 경우 등에 만 이를 허용한다. 「신용정보법」 제32조 제1항 및 제6항도 신용정보회 사 등이 개인신용정보를 타인에게 제공하는 경우 원칙적으로 신용정보주 체의 개별 동의를 받도록 하고, 법원의 제출명령 또는 법관이 발부한 영 장에 따라 제공할 수 있도록 하는 등 예외적인 경우에만 동의 없는 제공 을 허용한다. 이처럼 개인정보 보호와 관련한 국내외의 기준은 개인정보가 당초 목 적 이외의 용도로 이용되거나 제3자에게 제공되는 것을 엄격히 규제하고 있는바, 이는 기업, 공공기관 등이 당초 목적에 맞지 않게 개인정보를 이 용.제공하게 되면 정보주체는 자신의 개인정보를 누가, 어디서, 어떻게 보 유하여 활용하는지를 알 수 없으므로, 그러한 개인정보자기결정권에 대한 중대한 침해를 예방하려는 취지로 판단된다. 그런데 「신용정보법 개정안」 제32조의2 제2항 제4호는 “특정 개인 을 알아볼 수 없는 형태로 처리”하기만 하면 신용정보주체의 동의나 별 도의 법률 규정 등에 의하지 않고도 비식별 정보를 당초의 수집.이용 목 적 외로 이용하거나 제3자에게 제공할 수 있도록 규정하고 있다. 그러나 국내외 연구에서 지적하는 바와 같이, 비식별 정보는 다른 정보 와 결합하여 원래의 정보주체가 재식별될 수 있으며, 특히 빅데이터 처리 과정에서는 그 가능성이 상대적으로 높다. 따라서 비식별 조치를 적용했 다는 이유만으로 목적 외 이용이나 제3자 제공을 광범위하게 허용하도록 하는 것은 「헌법」이 보장하는 개인정보자기결정권을 침해할 우려가 있 다. 따라서 「신용정보법 개정안」 제32조의2 제2항 제4호는 개인정보로 환원되거나 재식별될 가능성이 제거되었음을 신뢰할 수 있는 경우에 한하 여 목적 외 이용.제공을 제한적으로 허용하는 방향으로 보완할 필요가 있 다. 다. 비식별 정보를 제공받은 제3자의 범위 제한 「신용정보법 개정안」 제32조의2 제2항 제4호는 비식별 정보를 정보 주체 동의 없이 제3자에게 제공할 수 있다고 규정하나, 제3자의 범위가 어디까지인지에 대해서는 규정하고 있지 않다. 금융 및 신용 분야의 개인정보는 신용도, 거래능력, 거래유형 등 다양 한 항목들이 포함되어 있어 다른 분야에도 활용도가 높으므로, 만약 「신 용정보법 개정안」이 제3자의 범위를 별도로 제한하지 않는다면 금융 및 신용 분야와 전혀 연관성이 없는 기업, 단체, 개인 등에 비식별 정보가 무 분별하게 제공되어 오.남용될 가능성이 있다. 따라서 「신용정보법 개정안」 제32조의2 제2항 제4호에 따른 제3자는 금융 및 신용 분야의 빅데이터 활성화라는 당초의 법률 개정 취지에 부합 할 수 있도록 제한하는 방향으로 보완할 필요가 있다. 라. 비식별 정보를 제공받은 제3자의 재식별 방지 조치 보완 「신용정보법 개정안」 제32조의2 제7항은 비식별 정보의 재식별 방지 를 위하여, 비식별 정보를 제공받은 제3자가 이를 고의적으로 재식별하는 행위를 금지하고 있다. 이는 비식별 정보가 원래의 개인정보로 환원 또는 재식별될 위험을 방지하기 위한 바람직한 입법 방향으로 판단된다. 그런데 위 조항은 비식별 정보를 제공받은 제3자가 고의적으로 재식별 하는 경우만을 금지하고 있으며, 과실이나 불가항력 등에 의해 개인정보 가 재식별되는 경우에는 별도의 제재조치 없이 해당 재식별 정보를 삭제 하거나 다시 비식별 조치를 취하도록 하고 있다. 따라서 비식별 정보를 제공받은 제3자가 고의적으로 재식별 조치를 하였음에도 과실 또는 불가 항력 등에 의한 재식별이었다고 항변할 가능성을 배제하기 어렵다. 따라서 「신용정보법 개정안」 제32조의2 제7항에는 제공받은 비식별 정보의 재식별 행위의 고의성 여부에 관한 제3자의 입증책임을 강화하는 조치를 보완할 필요가 있다. 마. 비식별 정보에 대한 안전성 조치 보완 필요 개인정보를 보유.처리하는 자는 그 개인정보의 분실, 도난, 유출, 위조, 변조, 훼손 등을 방지하기 위한 안전성 조치를 적용하여야 한다. 「개인정 보 보호법」 제29조는 개인정보 안전성 확보에 필요한 기술적.관리적.물리 적 조치를 취하도록 하고 있으며, 「신용정보법」 제19조도 신용정보전산 시스템에 대한 기술적.물리적.관리적 보안대책을 시행하도록 하고 있다. 그런데 일반적인 개인정보가 아닌 비식별 정보라 하더라도 분실, 도난, 유출되어 오.남용될 가능성은 상존하고 있으며, 특히 다른 정보와의 결합 을 통해 다시 재식별되거나 복원될 위험성을 고려할 때, 비식별 정보에 대해서도 안전성 조치를 적용할 필요가 있다. 유럽연합의 「일반 개인정 보보호 규정」 및 일본의 「개인정보의 보호에 관한 법률」은 비식별 정 보의 유출 및 오.남용을 방지하기 위한 안전성 조치를 명시하고 있다. 그러나 「신용정보법 개정안」 제32조의2 제8항은 신용정보회사 등이 비식별 정보를 제공받는 제3자에게 안전성 확보를 위하여 필요한 조치를 마련하도록 요청하여야 한다는 내용만을 규정하고 있을 뿐, 개인정보를 비식별화하여 보유.이용하는 신용정보회사 등에 대한 안전성 조치 의무는 규정하고 있지 않다. 따라서 비식별 정보의 유출 등을 예방하고 실제 유 출 등의 사고 발생 시 안전성 조치 미비로 인한 책임성을 확보하는데 한 계가 있다. 따라서 「신용정보법 개정안」 제32조의2 제8항에는 신용정보회사 등 의 비식별 정보에 대한 안전성 조치 의무를 명시하는 것이 필요하다. Ⅳ. 결론 이상과 같은 이유로 「국가인권위원회법」 제25조 제1항에 따라 주문과 같이 의견을 표명하기로 결정한다.