경제정의실천시민연합, 소비자시민모임, 한국소비자연맹 등 3개 소비자단체는 5월 11일 지난 1월 9일 국회를 통과한 개인정보 3법, 일명 데이터 3법 중 개인정보보호법과 신용정보법 시행령 개정안 입법예고에 대한 의견서를 행정안전부와 금융위원회에 제출했다.

이들 단체에 따르면, 개인정보보호법 제7조의8 제1호에 따라 ‘개인정보의 보호와 관련된 법령의 개선에 관한 사항’은 개인정보보호위원회의 소관이지만, 신용정보법 시행령은 개인정보보호법의 입법 취지나 내용, 절차가 달라 독립적인 출범을 앞둔 개인정보보호위원회의 권한과 역할을 한계를 가져올 수밖에 없다고 지적했다.

아울러, 개인정보 3법이 통과될 때부터 신용정보법이 개인정보보호법을 우회하고 개인정보 처리자들에게 법 해석에 큰 혼란을 줄 것이라는 우려가 제기되어 왔고, 이번 시행령안을 통해서 명확히 드러났다고도 주장했다.

이와 관련, 이들 단체는 “신용정보법 시행령안의 신용정보는 별다른 특수한 성격이 없음에도 대다수 조항을 ‘그 밖에 이와 유사한 정보로서 금융위원회가 정하여 고시하는 정보’, ‘그 밖에 금융위원회가 정하여 고시하는 정보’로 포괄 규정해 부처 이기주의가 그대로 반영되어 있다”며 “또한, ‘금융상품광고, 홍보, 컨설팅’을 위한 부수 업무를 허용해, 홈플러스의 불법 개인정보 판매를 사실상 합법적으로 가능하게 하였고, 정보집합물의 결합도 개인정보보호법이 정한 절차와 다르고 구체적인 기준은 금융위원회에 위임하고 있다”라고 설명했다.

이에, 소비자단체는 개인정보보호법과 신용정보법 시행령 개정안에 아래와 같은 의견을 제시하며, 신용정보법 시행령은 개인정보보호법과 그 시행령의 범위 내에서 조율될 수 있도록 수정을 촉구했다.

- 과도한 포괄위임 삭제 (신용정보법 시행령안)

국회를 통과한 신용정보법 개정안에는 개인정보 활용의 범위나 내용, 절차 등을 대통령령(시행령)으로 상당 부분 위임하고 있다. 그러나 시행령 역시 “그 밖에 금융위원회가 정하여 고시하는 업무”, “그 밖에 금융위원회가 정하여 고시하는 정보” 등 다시 고시로 포괄위임하고 있다. 이는 정보 주체의 예측 가능성을 침범하는 과도한 포괄위임으로 삭제되어야 한다.

- 영리업무의 허용 (신용정보법 시행령안 제11조의2)

개정안은 신용정보를 활용한 금융상품에 대한 광고, 홍보 및 컨설팅 등 영리 행위를 본격적으로 허용하고 있다. 홈플러스와 SK브로드밴드 개인정보 판매로 개인정보가 침해되면서 심각한 사회문제가 되었다. 신용정보업체의 영리업무 허용은 개인정보 판매를 제도화하고 상업적 이용을 부추겨 국민의 기본권을 침해할 가능성이 커 삭제되어야 한다.

- 동의 없는 공개정보 수집요건 (신용정보법 시행령안 제12조의2)

개정된 신용정보법은 정보주체가 사회관계망서비스(SNS) 등에 직접 또는 제3자를 통하여 공개한 정보를 ‘동의가 있었다고 객관적으로 인정되는 범위’ 내에서 수집·이용·제공하도록 하고 있다. 개정안에는 객관적인 고려요소로 ‘공개된 개인정보의 성격’, ‘공개의 형태’, ‘대상 범위’, ‘공개 의도와 목적’ 등을 고려하도록 했다. 그러나 공개된 개인정보의 활용이 정보 주체 또는 제3자의 이익을 부당하게 침해하지 않는지, 가명처리 등을 포함한 적절한 보호 수단이 마련되어 있는지 추가되어야 한다.

- 정보 집합물의 결합 (신용정보법 시행령안 제14조의2)

정보 집합물의 결합에 대해 신용정보법 개정안은 개인정보보호법 시행령에서 규정한 목적, 절차, 안전조치의 수준이 상이로 법정합성을 침해하고 상업적 이용 만을 강조하고 있다. 이를 보완하기 위해 ①원칙적으로 결합의 기준과 내용의 고시는 개인정보보호위원회가 정하도록 하고, ② 익명처리 우선 원칙을 결합에 있어서 도입하며, ③ 이종 간 데이터 결합 시 절차의 법정합성을 위하여 개인정보보호법이 정한 절차에 따르도록 해야 한다.

- 가명정보의 보존 기간 (신용정보법 시행령안 제17조의2 제3항)

가명정보의 보존 기간은 신용정보법에는 이용목적, 가명처리의 기술적 특성, 정보의 속성 등을 고려하여 대통령령으로 정하는 기간으로 규정하고 있다. 그러나 시행령안은 ‘가명처리한 자가 가명처리 시 정한 기간’으로 해 처리자의 재량권을 임의대로 허용하고 있어 삭제되어야 한다.

- 신용정보의 활용 (신용정보법 시행령안 제21조의2 제1항 제1호)

종합신용정보집중기관이 통계작성, 연구, 공익적 기록보존 등을 위해 신용정보를 가명처리 또는 익명처리해 제공할 수 있도록 했다. 그러나 익명처리로 목적을 달성할 수 없는 경우에 한해서 가명처리를 허용해 익명처리를 우선하도록 해야 한다.

- 민감정보의 범위 (개인정보보호법 시행령안 제18조)

시행령안에는 민감정보의 범위 중 ‘인종이나 민족에 관한 정보로서 해당 정보의 처리 목적이나 상황에 비추어 개인을 부당하게 차별할 우려가 있는 정보’로 규정하고 있다. 그러나 부당하게 차별할 우려가 있는 정보에 한정하지 않고 ‘인종이나 민족에 관한 정보’로 수정되어야 한다.

- 가명정보의 결합 (개인정보보호법 시행령안 제29조의2)

개인정보보호법에는 가명정보의 결합절차와 방법, 전문기관의 지정과 지정 취소 기준·절차 등 필요한 사항을 대통령령으로 정하도록 하고 있다. 그러나 시행령안은 결합할 수 있는 전문기관과 결합의 근거만을 정하고 있을 뿐 유출 등 결합에 따른 구체적인 보호조치를 정하지 않고 있다. 이에 따라 결합신청서 내용과 실제 결합이 일치하는지 심사하고, 결합의 목적이 달성된 이후의 데이터 삭제, 투명성 보장 등 정보 주체의 권리 보호를 위한 기본적인 조항이 추가되어야 한다.

“개인정보보호는 최소한의 기본권 보장”

이밖에도 이들 단체는 그 외에 개인정보보호법 시행령안이 유럽 개인정보보호법의 양립가능성 조항을 참조하여 만들어진 것을 감안해 ‘정보주체의 예측가능성’을 강조하고, ‘가명처리는 보호 수단의 일종’으로 적시해야 한다고 주장했다. 또, 개인정보보호위원회의 고시입법권 추가도도 요구했다.

아울러, 개인정보위원회의 겸직금지 조항과 개인정보보호위원회 업무의 투명성과 책임성을 높이기 위해 비공개 예외조항을 구체화해야 하고, 더 나아가 전문위원회 위원과 위원장 구성 시 개인정보보호위원 동의를 받도록 해야 한다고도 촉구했다.

한편, 소비자단체는 “개인정보보호는 중요한 가치 중 하나다. 개정된 개인정보 3법은 정보 주체인 국민의 기본권을 제한하고, 기업의 이익과 산업 활성화를 위해 개인정보 이용과 거래를 허용하고 있다”며 “과도한 개인정보 활용과 행정위임, 미비한 안전장치와 모호한 감독기구의 역할 등 보완이 시급하다. 정부는 국민의 최소한의 기본권을 보장하기 위해서라도 제대로 된 시행령이 만들어지길 희망한다”라고 강조했다.

이정미 기자