1. 어제(12/22) 개인정보보호위원회는 2022년 업무계획을 발표하면서 주요 과제로 ① 공공부문 개인정보 과다수집 원천 차단 및 생체·민감정보 안전관리 강화 ② 사각지대 없는 국민 개인정보보호 강화 ③ 개인정보 유출 신속 대응체계 구축 ④ 가명정보·마이데이터 양대 축으로 데이터 경제 활성화를 밝혔다. 정보주체의 개인정보를 보호하기 위하여 활동해 온 우리 단체들은 개인정보보호위원회가 내년도 업무에서 정보주체 권리 보호 기구로서의 소명을 우선시할 것을 당부한다.
2. 개인정보보호 감독기구는 정보주체 국민의 기본권을 보장하기 위하여 막강한 독립성과 권한을 부여하도록 한 국제 규범 하에서 설치 운영되는 제도이다. 지난 2020년 8월 개인정보보호위원회가 중앙행정기관으로 격상된 것은 데이터 경제가 강조되는 지능정보화시대에 거대 권력을 가진 국가와 기업 처리자로부터 정보주체의 권리를 보다 효과적으로 보호하기 위한 조치였음을 우리는 기억하고 있다. 그러나 어제 발표된 업무계획에서는 개인정보보호위원회에 대한 기대와 우려가 크게 교차할 수밖에 없어 우리는 아쉬움을 표한다.
3. 우선 우리 단체들은 “’22년 상반기에 지자체 CCTV 관제센터 실태점검 및 인공지능 학습에 사용되는 생체정보 수집·활용 실태점검을 추진”하겠다는 계획을 환영한다. 올해는 특히 인공지능 얼굴인식을 포함하는 대규모 국책 사업들의 개인정보보호법 위반 논란이 컸던 한 해였다. 개인정보보호위원회는 논란이 된 법무부, 과학기술정보통신부, 수성구, 부천시의 사업도 엄격하게 점검하고 위법사항이 밝혀질 경우 응당한 조치를 취해야 할 것이다. 특히 개인정보보호위원회가 법무부나 과학기술정보통신부 등 중앙행정기관을 상대로 주어진 권한을 발휘하여 제 역할을 할 것인지 우리는 지켜볼 것이다.
4. 더불어 개인정보보호위원회가 아동청소년, 노동자, 빅테크 소비자 등 취약한 정보주체 보호 계획을 밝힌 데 대해서도 우리는 환영한다. 권력관계에서 취약한 이들 정보주체의 보호는 최근 세계 여러나라 개인정보보호 감독기구들의 관여도가 부쩍 증가한 주제이며, 취약한 정보주체에게 동의가 강요되는 상황을 개선하는 것이 주요 과제이다.
특히 아동에 대한 특별한 보호는 아동이 권리 주체라는 관점에서 추진되어야 한다. 아동의 동의를 단순히 법정대리인의 동의로 대체하는 방식의 보호가 아니라, 아동이 친화적 방식으로 설명을 듣고, 스스로 진정한 동의 등 정보주체로서의 권리를 행사할 수 있도록 절차를 구축해야 한다. 나아가 영리목적의 개인정보 처리에 있어 아동의 개인정보에 대한 특별한 보호가 필요하다. 아동의 개인정보에 대한 가명처리, 영리목적의 활용, 프로파일링 등에 대한 보다 구체적인 규제가 필요하다.
또한, 코로나19 위기 이후 회사가 노동자의 건강 등 민감정보를 수집하고 재택 및 유연 근무 환경 하에 디지털 노동 감시가 크게 늘어난 것 또한 문제이다. 인공지능 알고리즘을 이용하여 완전히 또는 부분적으로 자동화된 방식으로 노동자를 분석, 평가, 예측하는 일 또한 크게 늘었다. 이에 개인정보보호위원회가 고용노동부 등 소관부처와 협의하여 근로 환경에서 노동자 개인정보의 처리 및 감시설비의 설치·운영을 원칙적으로 제한하는 제도개선에 나설 필요성이 있다.
최근 세계 각국 개인정보보호 감독기구들이 빅테크 기업들의 맞춤형 광고와 알고리즘 추천 등에서 이용자의 개인정보에 대한 권리를 보호하기 위하여 노력하고 있음을 참고할 필요도 있다. 부당하고 불투명한 이용자 개인정보 처리와 얼굴인식 등 민감한 민감정보의 위법한 처리에 대해서는 해당 데이터를 삭제하는 등 단호하게 대처할 필요가 있다.
5. 그러나 우리 단체들은 개인정보보호위원회가 업무계획 중에 정보주체 보호보다 산업 활성화를 내세운 부분에 대하여 심각한 우려를 표하지 않을 수 없다. ‘데이터 경제 활성화’와 ‘전 국민 마이데이터 활성화’가 개인정보보호 감독기구의 소관인지 의문이다.
개인정보보호위원회는 헌법상 개인정보 자기결정권을 보호하기 위하여 수립된 독립된 중앙행정기관으로서 개인정보보호법 또한 “개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로” 하고 있다. 마이데이터가 개인정보 이동권 등 정보주체의 권리 행사를 넘어 개인정보처리자인 기업의 사업을 ‘활성화’, ‘가속화’하기 위한 것이라면 개인정보보호위원회의 역할을 넘어선 것이다.
이를테면 “공공부문에 한정된 자체결합을 민간으로 확대”하는 사업에 대한 개인정보보호위원회의 역할은, “가명정보 활용을 가속화”하여 “데이터 경제 활성화”를 하는 것이 아니라 마이데이터 사업이 정보주체의 개인정보 자기결정권을 침해하지는 않는지 평가하고 보호 조치를 취하는 것이어야 한다. 그러나 이 업무계획으로 보건대 개인정보보호위원회 내부에서 자기 역할을 제대로 인식하고 있는지 의문스러울 뿐 아니라 매우 우려스럽다.
6. 최근 국가인권실태조사에서는 국민 10명 중 8명이 개인 신상정보 유출을 우려하고 있다고 나타났다. 처리자인 국가와 기업의 개인정보 오남용이 커질수록 초연결시대, 지능정보화시대 개인정보처리에 대한 정보주체들의 신뢰는 계속 줄어들 것이다. 이런 상황에서 개인정보보호위원회의 막대한 권한은 국민의 개인정보를 보호하기 위하여 주어진 것임을 잊지 말아야 할 것이다. 우리 단체들은 개인정보보호위원회가 정보주체의 개인정보를 보호하기 위한 제 역할을 다하는지 앞으로도 계속 지켜볼 것이다.
2021년 12월 23일
민주사회를위한변호사모임 디지털정보위원회, 사단법인 정보인권연구소, 진보네트워크센터, 참여연대