Skip to main content

개인정보 보호법 일부개정법률안(대안)에 대한 입법의견서 국회 제출

"정보 주체 동의없이! 목적 외! 원본! 개인정보 활용 절대 안 돼"

- 기본권 침해하는 개보법 개정안 전면 재검토하고 폐기해야

- AI기술 개발 기업 이익이 헌법상 기본권에 우선돼선 안 돼

[보도자료 PDF 보기]
[입법의견서 PDF 보기]

1. 지난 5월 14일 원본 개인정보를 정보주체의 동의없이 활용할 수 있게 하는 「개인정보 보호법 일부개정법률안(대안)」(이하 개보법 개정안)이 국회 정무위원회를 통과하여 법제사법위원회의 심사를 앞두고 있습니다. 그러나 개보법 개정안은 인공지능기술 개발을 명분으로, 가명처리되지 아니한 원본 개인정보를 정보주체의 동의 없이 당초 수집 목적 외로 이용할 수 있도록 하는 특례(안 제28조의12부터 제28조의15까지)를 신설하는 것을 핵심으로 합니다. 정보주체의 동의 없는 목적 외 활용은 가명처리를 전제로 하는 것이 현행 개보법의 원칙(제28조의2)입니다. 그러나 이 개보법 개정안은 개보법 제3조가 천명한 목적구속원칙에 대한 전면적 예외를 창설하는 입법이며, 단순한 기술적 개정이 아니라 우리 개인정보 보호법제의 기본 구조를 흔드는 중대한 변화를 가져올 입법이라 할 것입니다. 이에 오늘(7/3) 인공지능 책임성과 공공성 강화를 위한 시민사회 공동행동(이하 AI시민행동)은 「개인정보 보호법 일부개정법률안(대안)」에 대한 입법의견서를 국회에 제출하며, 국회 법사위가 개보법 개정안의 본회의 부의를 보류하고 전면 재검토하고 폐지할 것을 요구하였습니다.

2. 개보법 개정안은 다음과 같은 중대한 위헌성과 체계상 결함을 안고 있습니다.

첫째, 이 사건 대안은 개인정보자기결정권에 대한 강도 높은 제한임에도 헌법 제37조 제2항의 과잉금지원칙을 충족하지 못합니다. 입법목적의 외연이 '사회적 이익 증진'이라는 무한정한 개념으로 확장되어 한정 기능을 상실하였고(목적의 정당성), 원본 이용의 불가결성에 대한 객관적 입증이 결여되어 있으며(수단의 적합성), 가명정보 제도 등 덜 침익적인 대체수단의 활용 가능성을 충분히 배제하지 아니한 채 가장 침익적인 수단을 우선 허용하고 있고(침해의 최소성), 무엇보다 헌법재판소가 가명정보 특례를 합헌으로 인정한 결정의 핵심 근거였던 식별 불가능성·목적 한정성·사익 침해 경미성이라는 세 가지 논거를 모두 제거함으로써 동일한 심사기준에서 법익의 균형성을 인정받기 어렵습니다(법익의 균형성).

둘째, 이 사건 대안은 헌법 제37조 제2항 후단의 자유와 권리의 본질적 내용 침해금지원칙에 정면으로 반합니다. 개인정보자기결정권의 본질은 결정의 결과가 아니라 결정의 주체가 정보주체 자신이라는 점에 있는데, 이 사건 대안은 그 결정권을 정보주체로부터 박탈하여 보호위원회로 이전합니다. 나아가 정보주체에 대한 사전 통지의무조차 마련하지 아니하여 정정·삭제요구권(제36조)과 처리정지요구권(제37조)을 행사할 계기 자체를 봉쇄합니다. 자기결정의 권한, 인지의 계기, 사후 구제의 가능성이 모두 제거된다는 점에서, 이는 권리의 일부 제한이 아니라 권리 자체의 형해화에 해당합니다.

셋째, 이 사건 대안의 핵심 요건은 모두 '어려운 경우', '현저히 낮은 경우', '사회적 이익 증진' 등 평가적·개방적 개념으로 채워져 있고, 그 어느 것도 다른 명확한 개념에 의하여 한정되지 아니합니다. 불확정개념이 또 다른 불확정개념에 의해서만 한정되는 순환 구조로 인하여, 수범자는 자신의 처리가 허용되는지를 사전에 예측할 수 없고 보호위원회는 사실상 무제한의 해석 재량을 갖게 됩니다. 이는 기본권 제한의 강도에 비추어 요구되는 명확성의 수준에 미치지 못합니다.

넷째, 이 사건 대안은 국가인권위원회가 일관되게 확인하여 온 '실질적 동의와 대체수단의 보장'이라는 인권 기준에 정면으로 반하고, EU GDPR 제35조의 개인정보 영향평가(DPIA)와 EU 인공지능법 제27조의 기본권 영향평가(FRIA)로 대표되는 '사전·의무적 영향평가'라는 국제 표준에도 현저히 미달합니다. 가장 침익적인 원본 개인정보의 이용을 허용하면서 그 정당화 장치인 위험요인평가의 실시 여부조차 임의화한 것은, 기본권 보장의 수준을 국제 규범의 역방향으로 후퇴시키는 입법입니다.

다섯째, 이 사건 대안은 개인정보 보호법 제3조의 목적구속원칙과 정면으로 충돌하면서도 그 관계를 정리하지 아니하여 동일 법률 내부의 규범 충돌을 야기하고, 기존의 가명정보 처리·결합 제도(제28조의2, 제28조의3) 및 규제 샌드박스와의 관계를 명시하지 아니하여 보호 강도가 가장 약한 원본 특례가 가명정보 제도를 잠탈하는 우회로로 기능할 위험을 안고 있으며, 각 주무부처가 추진 중인 개별 AI 특례법안과의 적용관계도 정리되어 있지 아니하여 일반법과 특별법의 관계를 교란합니다. 이는 단순한 정책적 선택의 문제가 아니라 법체계 내부의 부정합 문제입니다.

3. 지적한 바와 같은 이 개보법 개정안의 위헌성과 체계상 결함은 일부 자구의 수정으로 치유될 수 있는 성질의 것이 아닙니다. 이는 '식별가능한 원본 개인정보를 정보주체의 동의 없이 목적 외로 이용하도록 허용한다'는 이 사건 대안의 근본 구조 자체에서 비롯되는 것이기 때문입니다. 특히 자기결정권의 본질을 이루는 결정 주체를 행정기관으로 대체하는 구조는, 안전조치를 아무리 강화하더라도 해소될 수 없는 헌법적 흠결입니다.

4. 인공지능기술의 발전은 그 자체로 정당한 공익이나, 그것이 헌법상 기본권에 우선하는 절대적 가치일 수는 없습니다. 기술의 진흥과 기본권의 보장은 양자택일의 관계가 아니며, 오히려 정보주체의 신뢰가 보장될 때 비로소 데이터의 지속가능한 활용도 가능합니다. 더욱이 거의 모든 주요 기업이 인공지능 관련 기술개발에 나서고 있는 현재의 산업 환경에서, 한 번 허용된 원본 개인정보 남용의 수단은 기업의 이익을 위하여 사실상 일반화될 것이며, 그 부작용은 우리 사회 구성원 전체에게 광범위하게 미칠 것입니다. 이러한 중대한 입법은 충분한 사회적 합의와 헌법적 검토를 거쳐 이루어져야 합니다. 

5. 그 과정에서 법제사법위원회의 체계·자구 심사는 단순한 형식적 절차가 아니라 우리 법질서의 헌법 적합성을 평가하는 마지막 관문이 되어야 합니다. 법제사법위원회는 이 사건 대안에 헌법 위반 및 체계·자구상 중대한 문제가 있는만큼, 본회의 부의가 아닌 정무위원회가 근본적 재검토해야 합니다. 이에 AI시민행동은 법제사법위원회가 그 심사 권한을 통해 헌법 적합성과 내적 정합성을 철저하게 검증하여 줄 것을 요구합니다. 끝.