데이터 기본법안(조승래, 2106182)에 대한 반대의견 제출

사단법인 오픈넷은 2020. 12. 25. 민간 데이터의 경제ㆍ사회적 생산, 거래 및 활용 등을 위한 기본법인 데이터 기본법안(조승래 의원 대표발의, 의안번호: 2106182)에 대한 반대의견을 제출했다.

제정안은 1) 개인데이터를 “개인과 관련된 데이터”라고 정의하여 개인데이터가 무엇인지 전혀 예측할 수 없어 명확성의 원칙에 위반되며, 2) 개인정보인 개인데이터의 보호에 제정안을 우선 적용하도록 하여 개인정보보호법의 무력화를 초래하며, 3) ‘공시·공개’된 개인데이터에 관한 특례 도입은 바람직한 측면은 있으나 개인정보보호법의 개정이 필요한 사안이며, 4) 개인데이터 이동권의 도입은 개인정보보호법에 먼저 도입되어야 하고, 데이터주체의 권리를 제한하고 있어 이동권의 본질을 형해화할 뿐만 아니라 개인데이터 전송 수령주체를 국가가 정한 일부 사업자로 한정해 데이터 집적과 독점을 강화시킬 우려가 있으며, 5) 시장중심의 의사형성을 불가능하게 하고 민간부문의 창의정신을 저해하는 제도들을 도입하기 때문에 반대한다.

문의: 오픈넷 사무국 02-581-1643, master@opennet.or.kr

『데이터 기본법안』에 대한 의견서

1. 명확성의 원칙 위반

• 제정안 제2조 제9호는 개인데이터를 “개인과 관련된 데이터”라고 하고 개인데이터가 「개인정보 보호법」제2조제1호에 해당할 경우에는 개인정보로 본다고 규정하고 있음. 즉 데이터가 어느 개인과 관련성만 있으면 개인데이터에 해당하는데, 관련성이란 너무 광범위하고 추상적인 기준으로 이러한 정의로부터는 개인데이터가 무엇인지 전혀 예측할 수 없어 다른 조항들의 해석·적용을 매우 어렵게 만들기 때문에 명확성의 원칙에 위반됨

2. 개인정보보호법의 무력화

• 제정안 제7조 제2항은 개인정보 보호에 관하여 이 법에 특별한 규정이 있는 경우를 제외하고는 개인정보보호법을 따른다고 하고 있음. 그러나 개인정보인 개인데이터는 개인정보보호법에 의해 우선적으로 보호되어야 할 것임. 또한 개인정보가 아닌 개인데이터가 무엇인지 개인데이터의 정의만으로는 전혀 예측이 불가능한 상황에서 개인정보보호법보다 제정안을 우선 적용하는 것은 개인정보보호법의 무력화를 초래할 수 있음. 따라서 본 조항은 삭제되거나 개인정보보호법을 우선 적용하는 것으로 수정되어야 함

3. ‘공시·공개’된 개인데이터에 관한 특례

• 제정안 제13조 제2항은 정보분석의 대상이 개인데이터인 경우에는 그 이용에 데이터주체의 동의를 받아야 한다고 하면서 제2호에 따른 공시·공개된 데이터의 수집은 동의를 받을 필요가 없다고 규정하고 있음

• 호주, 캐나다, 싱가포르 등의 개인정보보호법은 합법적인 절차에 의해 일반적으로 공개된 개인정보(“공개정보”)에 대해서는 개인정보보호법을 적용하지 않는 조항들을 두고 있음. 우리나라에서도 2016년 로앤비 판결(2014다235080)에서 대법원은 “이미 공개된 개인정보는 정보주체의 동의가 있었다고 객관적으로 인정되는 범위 내에서” 개인정보 처리에 정보주체의 별도의 동의가 불필요하다고 판시함. 특히 우리나라는 소위 ‘잊힐 권리’ 도입에 대해 반대하는 여론이 우세함을 감안하여 개개인정보보호법의 적용범위를 프라이버시 보호에 한정하여 표현의 자유와 알 권리가 보장되도록 할 필요가 있음. GDPR도 표현의 자유 행사 목적의 개인정보 처리에 대한 면책을 규정하고 있음. 우리나라 개인정보보호법은 언론의 취재‧보도 목적 정보 처리만을 면책하여(제58조 제1항 제4호) 일반인들의 표현의 자유가 위축되어 있음

• 따라서 위와 같은 입법시도는 바람직한 면이 있지만 개인정보인 개인데이터에는 개인정보보호법이 우선 적용되어야 한다는 오픈넷의 입장에 따라 개인정보보호법 개정이 필요한 사안임

4. 개인데이터 이동권

• 제정안 제15조는 개인데이터 이동권을 규정하고 있음. 본 규정은 올해 도입된 신용정보법상 개인신용정보 전송요구권과 대동소이하며 GDPR의 개인정보 이동권에 기초한 것이라고 보임. 개인정보보호위원회는 최근 개인정보 이동권(전송 요구권)을 개인정보보호법에도 도입하기 위한 2차 개정 계획을 발표했는데, 개인데이터에 개인정보가 포함된다는 점에서 개인데이터 이동권은 개인정보보호법에 먼저 도입되어 적용되어야 할 것임

• 그리고 제15조 제6항은 개인데이터를 제공한 개인데이터처리자가 개인정보보호법 제20조에도 불구하고 데이터 전송 사실을 데이터주체 본인에게 통보하지 않을 수 있다고 하여 데이터주체의 권리를 제한하고 있어 정보주체의 권리 강화가 목적인 데이터 이동권의 본질을 형해화함. 데이터 전송 요청은 데이터주체가 하는 것이어서 데이터주체에게 전송 사실을 통보하지 않을 이유가 없을 뿐만 아니라 데이터주체는 전송 여부에 대해 당연히 알 권리가 있다고 할 것임

• 또한 개인데이터 전송의 수령주체를 본인데이터관리회사 또는 대통령령으로 정하는 개인데이터처리자로 국가가 정한 일부 사업자로 한정해 데이터 집적과 독점을 강화시킬 우려가 있음

5. 과도한 국가후견주의적 제도의 도입

• 데이터 경제의 시대에 데이터 산업 육성과 발전의 기반을 조성하겠다는 입법취지는 바람직함. 그러나 데이터 산업의 특성상 국가후견주의적, 국가주도적 육성과 기반 조성은 지양되어야 하고 국가는 제정안 제3조 제4항에서 천명한 것과 같이 “민간부문의 창의정신을 존중하고 시장중심의 의사형성이 가능하도록 노력”해야 할 것임

• 제정안은 정부 지정 기관에 의한 데이터 가치 평가제(제14조), 정부 주도 데이터유통시스템 구축·운영(제18조), 정부 인증기관에 의한 데이터 품질인증제(제20조)를 도입하고 있음. 그러나 데이터의 가치나 품질은 시장에서 결정되어야 할 사항이고 데이터유통시스템도 통신이나 철도와 같은 기간산업과 달리 민간에 맡기는 것이 훨씬 효율적이라는 점에서 시장중심의 의사형성을 불가능하게 하는 국가후견주의적인 제도이므로 도입에 반대함

• 또한 제정안은 본인데이터관리업 등록제(제16조), 데이터거래사업자 신고제(제22조), 데이터사업자 보험·공제 가입 또는 준비금 적립 의무(제44조)를 규정하고 사업자가 이러한 의무 위반시에는 과태료를 부과할 수 있도록 하고 있음. 이 또한 국가가 데이터 산업의 사업자 유형을 획일적으로 정하고 이에 해당하지 않는 사업은 금지하여 민간부문의 창의정신을 제약하는 국가후견주의적 제도이므로 도입에 반대함