국회의 3월 법개정 환영하나 헌재는 구법상의 피해 방치
지난 10월 26일, 헌법재판소는 사단법인 오픈넷이 2021년 6월 가명화정보에 대한 정보주체의 열람권 보장을 위해 제기한 개인정보보호법 제28조의5, 제28조의7 위헌확인 헌법소원을 기각했다(헌법재판소 2023. 10. 26. 결정, 2021헌마748 등). 오픈넷은 개인정보보호법 제28조의5 및 제28조의7이 개인정보열람권을 완전히 배제함으로써 개인정보보호가 더욱 어려워진 현실을 외면한 기각 결정에 깊은 유감을 표한다.
헌재는 이번 결정에서 가명정보에 관하여 열람권, 정정권, 삭제권 등의 적용을 제외하는 개인정보보호법 제28조의7(이른바 ‘적용배제조항’)는 “가명정보의 성질상 적용이 어려운 규정들의 적용을 배제함으로써 가명정보의 활용을 원활하게 하여 데이터의 이용을 활성화 하고자 하는 것”이고, “가명정보는 그 자체만으로는 특정 개인을 알아볼 수 없으므로 일반적인 개인정보에 적용되는 통지 의무 등을 그대로 적용하기 불가능하거나 어렵고, 정보주체를 보호하기 위한 다른 규정들이 존재하므로, 적용제외조항은 청구인들의 개인정보자기결정권을 침해하지 않”는다고 보았다.
또한, 동법 제28조의5(이른바 ‘재식별금지조항’)에 대해서는, “정보주체의 개인정보자기결정권을 충분히 보호하고자 하는 것”으로서, “최초 가명처리자에 한하여 재식별이 가능하도록 하거나 정보주체의 요청이 있는 경우 재식별이 가능하도록 예외를 둔다면, 정보주체가 예기치 못한 피해를 입을 우려”가 있으므로 개인정보자기결정권을 침해하지 않는다고 보았다.
유럽 개인정보보호규정(General Data Protection Regulation, GDPR)은 우리 법과 유사한 가명화 규정을 두고 있지만 열람권을 완전히 배제하지 않고 있다. 열람권 등의 행사가 공공목적 달성을 불가능하게 하거나 중대하게 어렵게 할 것으로 예상되고, 목적 달성을 위해 권리의 제한이 필요한 경우에만 일부 배제할 수 있다고 하여 가명정보에 대한 열람권 행사 가능성을 열어두고 있다. 이러한 참고 사례가 있음에도 “열람 요구 등에 응하는 것은 사실상 불가능하다”고 판시한 것은 충분한 고찰이 없었음을 보여준다.
헌법재판소는 이번 결정에서도 “가명정보는 원래의 상태로 복원하기 위한 추가 정보의 사용⬝결합을 통해서 특정 개인을 알아볼 수 있는 정보이므로 개인정보자기결정권의 보호대상이 되는 개인정보에 해당한다”고 보았다. 또한 가명처리가 “정보주체의 식별 가능성을 제한함으로써 개인정보의 처리로 인한 정보주체의 법익 침해를 최소화하기 위한 일종의 보호조치로 기능”한다는 점을 인정했다. 다시 말해, 가명처리로 인하여 정보주체의 권리가 미치지 않는 데이터가 생성되는 것이 아니고 가명정보도 개인정보라는 것이다.
열람권 즉, 정보주체가 자신의 정보가 어떻게 수집되고 이용되는지 열람해보고 어느 정도 통제할 수 있어야 한다는 것도 개인정보자기결정권의 내용이다. 그렇다면 재식별이 자신에게 초래하는 위험에도 불구하고 자기정보에 대해 열람을 행사하겠다면 허락할 수 있는 범위 내에서 그 의사를 충족시켜줘야 비로소 개인정보자기결정권이 제대로 보호될 것이다. 그럼에도, 헌법재판소는 별다른 모색 없이 가명정보에 대해 열람권을 100% 배제하는 재식별금지조항 및 열람권배제조항이 “데이터의 활용 가능성을 확보하는 동시에 정보주체의 개인정보자기결정권을 충분히 보호하고자 하는 것”이라 보았다. 이는 가명처리된 개인정보에 대해 열람권을 완전부정하는 것이 개인정보자기결정권을 보호하는 것이라는 모순에 빠져있는 것이다.
또한, 헌법재판소는 제28조의7이 개인정보자기결정권을 제한하고 있음을 인정하면서도, 개인정보보호법 제39조 제1항 전문[1] 및 신용정보법 제43조 제1항 본문[2]에 의하여 손해배상을 청구할 수 있으므로 “개인정보에 관한 모든 권리를 전면적으로 배제”하는 것이 아니라 판시했다. 이는 손해배상청구권은 열람권을 행사하지 못하면 손해발생 여부를 알 수 없어 손해배상청구가 불가능하다는 점을 간과한 것이며, 개인정보자기결정권이 독자적 기본권이라는 헌법재판소의 기존 입장(헌법재판소 2005. 5. 26. 선고, 99헌마513)과 부합하지 않는다. 오픈넷은 열람권이 개인정보자기결정권의 핵심이라는 생각으로 열람권에 기초한 일련의 소송(영장 없는 개인정보제공 국가배상청구소송, KT 상대 개인정보청구소송)을 제기한 바 있기 때문에 더욱 뼈아프다.
특히 이 헌법소원이 제기될 당시의 법 제28조의7에 따르면 모든 가명정보에 대해 열람권을 제한했기 때문에 정보처리자들은 과학적 연구, 통계작성 등의 목표 없이 가명처리를 하는 것만으로 정보주체들의 권리를 제한할 수 있게 되었다. 예를 들어, 통신사들이 철저히 영리적인 목적으로 이용자의 개인정보를 가명처리하고 재식별키를 제3자에게 맡기는 경우에도 열람권이 배제되었던 것이다. 오픈넷은 이에 관해 입법불비를 지속적으로 지적한 바 있다. 이에 따라 2023년 3월, 개인정보보호법이 개정됐고, 열람권 등의 배제는 법 28조의2에 따라 만들어진 가명정보 즉, 과학적 연구, 통계작성 등의 목표로 만들어진 가명정보의 경우에만 적용되게 되었다.
그러나 이번 사건의 청구인들은 개정법 시행일인 2023년 9월 14일, 이전에 위와 같은 공적목표와 무관하게 자신의 개인정보가 가명화된 사람들이다. 헌법재판소가 언급한 ‘가명화를 통한 공익실현’이라는 정당화 논리가 애초에 적용되지 않는 사람들이라서 더욱더 헌법재판소가 이렇게 열람권을 일괄삭제한 것의 피해가 크다.
이번 결정은 헌법재판소가 과학적 연구, 통계작성 등의 공적 목표로 개인정보가 이용된다고 해서 열람권 등을 완전히 배제한 현행법을 승인한 것으로, 헌법재판소는 개인정보보호를 더욱 어렵게 만들었다는 비난을 피하기 어렵게 됐다. 오랜 기간 스스로 확립시켜온 개인정보자기결정권의 독자적 기본권성에 부합하지 않는다. 또한 권리를 배제하여 권리를 보장한다는 모순을 외면하고 있다. 헌법재판소의 지위에 걸맞은 고찰로 입법상의 허점을 지적하고 정교한 해결을 추구하기 보다는 ‘이름을 가렸으니 괜찮은 것 아니냐’라는 쉬운 결론으로 향한 것으로 보이기도 한다. 오픈넷은 개인정보자기결정권의 의의 및 내용을 충분히 보장할 수 있는 방안을 모색해 나갈 것이다.
_______________________
[1] “정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다”
[2] “신용정보회사등과 그로부터 신용정보를 제공받은 자가 이 법을 위반하여 신용정보주체에게 손해를 가한 경우에는 해당 신용정보주체에 대하여 그 손해를 배상할 책임이 있다”
2023년 11월 6일
사단법인 오픈넷
[관련 글]
[공익소송] 오픈넷, 가명정보 열람권 등 정보주체 권리 배제하는 가명정보 특례조항들에 대해 헌법소원 청구 (2021. 06. 30.)
[공익소송] 오픈넷, KT 상대 개인정보 공개 청구 소송 1심 승소 (2019. 01. 17)
[공익소송] 국가의 영장없는 개인정보 요청에 대한 국가배상 청구 소송 (2019. 01. 07.)
[논평] 데이터3법의 아이러니 – 공공목적 없이 정보주체의 권리를 제한하는 개인정보보호법 제28조의7 재개정을 요구한다. (2020. 09. 25.)
0 Comments