사기업의 연구가 기본권보다 우월한 공익이라는 헌법재판소?

오병일 2024. 10. 10. 11:24
음성재생 설정
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

[광장에 나온 판결] 2019~2024 헌법재판소 특집 판결비평② 질병정보 가명처리 후 동의 없이 상업적 활용토록 한 개인정보보호법, 신용정보법 헌법소원 기각 결정

헌법재판소는 ‘기본권 보장의 최후 보루’로 불립니다. 1987년 헌법개정을 통해 법률이나 국가 공권력의 작용이 헌법에 위반되는지 판단하는, 국민 기본권 보호의 역할을 부여받았기 때문입니다. 지난 6년간 유남석·이종석 소장을 거치며 헌법재판소는 다양한 결정을 내려왔습니다. 과연 시민들의 요구와 기대에 부응한 결정이었을까요? 2024년 10월, 헌법재판소에서는 소장을 포함한 3명의 재판관이 교체됩니다. 이에 참여연대 사법감시센터는 헌법재판소의 주요 결정을 선정해 〈2019~2024 헌법재판소 특집 판결비평〉을 진행합니다. 변화의 시기, 과거 결정을 돌아보고 앞으로의 헌법재판소에 요구되는 사회적 기대를 담아봅니다. <기자말>

[오병일]

두 번째 특집 판결비평은 "질병정보 가명처리 후 동의 없이 상업적 활용토록 한 개인정보보호법 헌법소원 기각 결정"에 대해 다룹니다. 헌재는 나의 질병정보를 회사가 동의도 없이 사업에 활용했을 때 나의 권리가 침해받지 않았다고 판단했습니다. 시민들의 개인정보자기결정권보다 기업의 사익 편에 선 헌법재판소의 결정, 오병일 진보네트워크센터 대표가 비평했습니다.

헌법재판소 재판관 유남석(소장), 이은애, 이종석, 이영진, 김기영, 문형배, 이미선, 김형두, 정정미 2023.10.26. 선고 2020헌마1476

2020년 1월 9일, 결국 소위 '데이터 3법'이 국회 본회의를 통과했다. 데이터 3법은 개인정보보호법, 신용정보보호법, 정보통신망법 등 3개 법률의 개정안을 의미하는데, 그 주요 취지는 빅데이터 산업 활성화를 위해 개인정보를 기업들의 연구 목적으로 정보주체의 동의 없이 활용할 수 있도록 하겠다는 것이다. 다만, 가명처리를 하고 가명정보의 재식별을 금지하는 등 안전조치를 취해야 한다.

그러나 시민사회는 개정안을 '개인정보도둑법'이라 부르며 반대해 왔다. 가명정보 역시 개인정보이며, 개인정보를 정보주체의 동의 없이 애초 수집 목적 외로 이용하는 것은 개인정보보호의 기본원칙을 훼손하는 것이기 때문이다. 물론 때로 공익을 위해서 기본권이 제한될 수 있으나, 기업들의 영리 목적의 연구를 공익이라고 인정하기 힘들다. (이 쟁점에 대해서는 뒤에 자세히 설명한다) 또한, 가명정보를 기업들의 연구 목적으로 제공할 수 있다면, 금융, 통신, 보건의료 등 매우 가치가 높은 개인정보들이 다수의 기업들에게 공유될 가능성을 배제하기 힘들다.

헌법재판소 "동의 없는 가명정보 처리, 기본권 침해하지 않아"

2020년 11월 2일, 참여연대는 2020년 8월 5일부터 시행된 개인정보보호법 및 신용정보보호법에 대해 헌법소원을 제기했다. (데이터 3법 중 정보통신망법의 개정은 정보통신망법의 개인정보 관련 조항을 개인정보보호법으로 이관하는 내용이므로 이 쟁점과는 무관하다) 헌법재판소가 심판 대상으로 삼은 조항은 (개인정보처리자가) 통계작성, (과학적) 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있도록 한 개인정보보호법 제28조의2 제1항과 신용정보보호법 제32조 제6항 제9호의2 중 같은 조 제1항 본문 및 제2항 전문을 적용하지 않는 부분이다.

헌법재판소는 심판대상조항이 데이터의 이용을 활성화하여 신산업을 육성하고 '통계작성, 연구, 공익적 기록보존'을 보다 효과적으로 수행하기 위한 것으로서 그 입법목적이 정당하고 수단의 적합성이 인정되며, 가명정보는 그 자체만으로는 특정 개인을 알아볼 수 없어 인격권이나 사생활의 자유에 미치는 영향이 크지 않고, 정보주체의 동의 없는 처리를 '통계작성, 연구, 공익적 기록보존' 목적으로 제한하였으며, 법률에서 정보주체를 보호하기 위한 여러 규정을 두고 있으므로, 침해의 최소성도 인정된다고 보았다.

또한, '통계작성, 연구, 공익적 기록보존'을 효과적으로 수행하고자 하는 공익이 가명정보가 제한된 목적으로 동의 없이 처리되는 정보주체의 불이익보다 크다고 할 수 있으므로, 법익의 균형성도 갖추었다고 판단하면서, 따라서 심판대상조항은 청구인들의 개인정보자기결정권을 침해하지 않는다고 보았다.

모든 연구가 공익인가

헌법재판소는 "정보주체의 동의 없는 가명정보 처리를 허용함으로써 다량의 데이터를 활용하여 통계작성, 연구, 공익적 기록보존을 보다 효과적으로 수행할 수 있고, 이를 통해 여러 분야에서 지식 축적과 사회 발전을 촉진하고자 하는 공익은 중대하다"고 보았다. 그러나 헌법재판소는 '과학적 연구'라는 말에 현혹되어 이에 대해 엄격하게 살펴보지 않았다.

당연히 어떠한 통계나 학술 연구는 한 사회의 지식 축적과 발전에 기여할 수 있다. 필자 역시 공익적 가치를 가지는 통계의 작성이나 연구의 수행, 기록 보존을 위해 (여러 안전조치를 전제로) 개인정보를 활용할 수 있다고 생각한다.

문제는 현행 개인정보보호법이나 신용정보보호법은 '과학적 연구'의 범위를 지나치게 폭넓게 규정하고 있다는 점이다. 개인정보보호법 제2조 8호는 '과학적 연구'를 "기술의 개발과 실증, 기초연구, 응용연구 및 민간 투자 연구 등 과학적 방법을 적용하는 연구"로 동어반복적으로 정의하고 있다. 세상에 과학적 방법을 적용하지 않는 연구도 있는가? 이는 사실상 연구라고 주장하는 모든 행위에 대해 가명정보를 정보주체의 동의 없이 활용할 수 있도록 허용하는 것이다.

하지만, 통상적으로 그 결과물이 사회에 공유되는 학술 연구와 달리, 기업 내부에서 자신의 영리를 목적으로 수행되는 연구의 경우에는 그 결과물이 사회에 공유되기보다는 특허나 영업비밀로 보호된다. 물론 그러한 연구를 통해 신기술을 개발하고 소비자에게 이익을 주는 상품을 출시할 수 있지만, 그 과실은 해당 기업에게 돌아갈 뿐이다. 소비자가 상품으로부터 얻는 사용가치까지 포괄할 정도로 공익성을 폭넓게 해석한다면, 산업발전을 명분으로 기본권이 설 자리는 없어질 것이다.

과학적 연구, 기본권 제한에 상응하는 공익적 가치가 있어야

헌법재판소는 결정문에서 국내 규정과 유럽연합 일반 개인정보보호법(GDPR)과의 유사성을 언급했지만, 중요한 점을 간과하였다. 한국의 개인정보보호법과 달리 GDPR은 과학적 연구(scientific research)에 대한 정의 규정을 두고 있지 않다. 아마도 통상적으로 공유되는 과학적 연구의 범위가 있기 때문일 수 있다. 아직 이에 대한 유럽데이터보호위원회(EDPB)의 공식적인 해석이 나온 것은 아니지만, GDPR에서 과학적 연구의 범위를 추정할 수 있는 몇 가지 단서가 있다.

국내 개인정보보호법의 과학적 연구 정의에서 언급한 "기술의 개발과 실증, 기초연구, 응용연구 및 민간 투자 연구"는 사실 GDPR의 전문(recital) 159에 포함된 표현인데, 여기서는 그 뒤에 과학적 연구 목적 처리의 경우 '유럽연합의 기능에 대한 조약(TFEU)' 179(1)에서 규정한 유럽연합의 목적을 고려하도록 하고 있다.

여기서 TFEU 179(1)은 "유럽연합은 조약의 다른 장의 규정에 따라 필요한 모든 과학적 행위를 증진하면서, 연구자, 과학적 지식 및 기술이 자유롭게 유통되는 유럽 연구 영역의 달성을 통해 과학적, 기술적 기반의 강화하고, 그것이 보다 (관련 산업을 포함하여) 경쟁적이 될 수 있도록 촉진하는 것을 목적으로 해야 한다"는 내용이다. 즉, 연구의 결과물이 사회의 지식 기반을 강화하는 것이어야 한다는 것으로 이는 통상 그 결과물이 사회적으로 공유되는 학술 연구를 의미하는 것으로 보인다.

또한, 2020년 1월, 유럽개인정보보호감독관(EDPS)는 <개인정보보호와 과학적 연구에 대한 사전 의견서>에서 "개인정보처리자가 단지 과학적 연구 목적이라고 주장하는 것으로는 충분하지 않다", "대학의 연구뿐만 아니라 비영리 단체, 정부기관, 영리 기업도 과학적 연구를 수행할 수 있다. 공통된 전제는 과학적 연구가 전체 사회에 유용하고 과학적 지식은 증진하고 지원해야 할 공공재라는 것이다"라고 언급한 바 있다. 더불어 "GDPR은 인간에 관한 연구를 규율하는, 오랫동안 수용되어 온 윤리적이고 전문적인 규범의 존재를 전제로 한다"고 해석하였다.

정리하자면, GDPR의 과학적 연구는 그 결과물이 사회적으로 공유되어 지식 기반을 확대할 수 있는 연구를 지칭하는 반면, 국내 개인정보보호법은 GDPR보다 훨씬 확대해서 규정하고 있다는 점이다. 과연 기업들의 사익을 위한 폐쇄적인 연구까지 "지식 축적과 사회 발전을 촉진하고자 하는 공익"으로 보아야 하는지 의문이 아닐 수 없다.

정보주체의 불이익은 사소한가

헌법재판소는 가명정보는 "원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없"고, 통계작성, 연구, 공익적 기록보존의 제한된 목적으로 처리될 뿐만 아니라, 가명정보 처리과정에 보호조치를 하도록 하고 재식별을 금지하는 등 여러 안전조치를 하기 때문에 정보주체가 입는 불이익이 크지 않다고 보고 있는데, 이는 제한받는 정보주체의 권리를 과소평가한 것이다.

우선 가명정보 역시 개인정보이다. 헌법재판소가 인정했듯이 "다른 정보를 사용하여도 더 이상 특정 개인을 알아볼 수 없는 익명정보는 서로 다른 정보집합물 사이의 결합 등이 불가능하므로, 그 활용도에 한계가 있"기 때문에 정보의 활용도를 높이기 위해 등장한 것이 가명정보인데, 정보의 가치에 비례하여 위험성도 커지는 것이 당연하다.

기술적ㆍ관리적 및 물리적 조치 등 안전조치를 하고 재식별을 금지한다고 하지만, 이는 개인정보 활용을 위해 당연히 수반되어야 할 조치일 뿐, 법에서 이를 규정한다고 개인정보의 안전성이 당연히 보장되는 것은 아니다. 개인정보보호법이 없어서 지금까지 수없이 많은 대량 개인정보 유출 사고나 목적 외 남용 행위가 발생하였겠는가! 안전조치는 당연히 해야 하지만, 과학적 연구를 명분으로 애초 수집 목적 외로 가명정보(개인정보)를 수많은 제3자에게 제공할 수 있도록 허용하는 순간, 그리고 얼마나 많은 제3자에게 허용하는지에 비례하여 개인정보 침해 위험은 증가할 수밖에 없다.

헌법재판소가 "정보주체는 심판대상조항으로 인해 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 가명정보가 자신의 동의 없이 통계작성, 연구, 공익적 기록보존의 제한된 목적으로 처리될 수 있는 불이익을 입을 뿐"이라고 단정한 것은 할 말을 잊게 만든다.

정보주체가 입는 불이익은 단지 자신의 동의 없이 자신의 개인정보가 제공된 것에 대한 불쾌감이 그치지 않으며, 그렇게 제공된 가명정보가 언제든지 재식별되거나 유출되거나 목적 외로 재차 활용될 위험을 부담해야 하며, 그 위험이 사소한(?) 스팸에 그칠지 아니면 생명의 위협이나 엄청난 재산상의 손실을 야기할지는 누구도 가늠하기 힘들다. 지금도 수많은 사람들을 괴롭히는 피싱 사기는 어디선가 유출되어 사고 팔리는 수많은 소소한 개인정보에 기반하고 있다. 개인정보 침해에 대한 헌법재판소의 인식은 지나치게 나이브하다.

기업 사익 앞에 시민들의 권리 포기한 헌법재판소

나아가 과학적 연구 목적 등으로 제공될 수 있는 가명정보는 일반적 개인정보에 그치지 않으며, 질병정보 등 민감정보 역시 포함하고 있다. 헌법재판소는 결정문에서 GDPR에 대해 언급하면서도 이 점 역시 간과하고 있는데, GDPR에서는 "유럽연합법 또는 회원국법에 따라 공익적 기록보존 목적, 과학적 또는 역사적 연구 목적, 통계 목적"으로 처리하는 경우에만 예외적으로 민감정보를 처리할 수 있도록 하고 있는 반면, 한국에서는 별도의 법률적 근거 없이 제28조의2 제1항에 따라 민감정보든 아니든 처리할 수 있는 것으로 해석하고 있다. 즉, 한국은 유럽연합에 비해 민감정보에 대한 보호 수준이 더 낮다. 가명처리를 한다 한들 기업들이 연구에 필요하다고 주장하기만 하면, 내 질병정보를 동의 없이 기업들에게 제공해도 되는 것일까?

헌법재판소는 기업들의 사익을 위한 개인정보의 목적 외 이용은 '중대한 공익'으로, 이로 인해 제한되는 정보주체의 개인정보자기결정권은 '사소한 사익'으로 치환했다. 도대체 무엇이 공익이고 무엇이 사익인지, 가치가 전도된 세상의 또 하나의 단면을 보여주는 듯하다. 국회와 마찬가지로 헌법재판소 역시 '빅데이터 산업 발전'이라는 신화에서 벗어나지 못하고 있다.

덧붙이는 글 | 이 기사는 참여연대 홈페이지와 슬로우뉴스에도 실립니다. 이 글의 필자는 오병일 진보네트워크센터 대표입니다.

Copyright © 오마이뉴스. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?