국민참여입법센터

다. 민감정보의 범위에 생체인식정보와 민족 또는 인종에 관한 정보를 추가 (안 제18조)...

□ 민감정보의 의미가 불분명하며, 생체인식 정보의 식별성과 위험도 등에 따라 차등 규제 적용 필요

  ㅇ 민감정보는 그 의미가 다소 불분명함. 그 의미를 보다 분명히 하기 위하여 GDPR의 문언과 같이 안면 영상(facial images), 지문 정보(dactyloscopic data)를 예시로서 명시하는 것을 고려 필요

  ㅇ 또한, 생체인식 정보의 경우 각 정보별(ex. 지문, 홍채, 안면인식, 음성정보, 필적 등) 식별성과 프라이버시 침해 위험도가 다르므로 생체인식정보 전부를 민감정보로 포함하기보다는 각 정보별로 위험도를 파악한 후 차등 규제 적용이 필요
   - 한국인터넷진흥원(KISA)의 ‘바이오인식시스템 시험·인증 해설서(2013)'를 보면 바이오인식시스템 인증 수단으로 지문, 얼굴, 홍채, 정맥으로 그 인증 수단을 한정하고 있으며, 
   - ‘음성인식 기반 서비스에서의 개인정보처리 실태 분석 및 이용자 보호 방안 연구(2019)'에서는 음성정보의 식별 오류율이 11% 이상이라는 결과를 발표한 바 있음. 또한, 음성정보는 바이오정보 가운데 그 침해 민감도가 가장 낮다는 것은 다양한 연구 자료를 통해 확인된 바 있음(예시: Biometrics: Theory, Methods, and Applications).
   
   - 또한, 아래의 자료는 개인정보에 대한 기술 위험을 평가할 때의 기준인데, 행태적 정보가 생체적 정보보다 프라이버시 영향이 낮은 것을 확인할 수 있음.
  

   - 이처럼 각 바이오정보 별 식별성과 프라이버시 위험도에 차이가 있음. 그런데 지문, 홍채, 안면 인식 등에 비하여 음성정보, 필적정보 등과 같이 식별성과 프라이버시 위험도가 현저히 낮은 서비스도 일괄적으로 민감정보에 포함한다면, 이들 정보를 이용한 산업화와 이를 통한 사회적 편익 창출 기회를 잃어버릴 우려가 있음.
   - 아울러 바이오정보에 대해서는 개정 전 정보통신망법 제28조와 방통위의 개인정보의 기술적？관리적 보호조치 기준(고시 제2014-28호)에 따라, 암호화 의무를 부여해왔으므로 정보통신망법과 개인정보보호법 정비에 따른 고시 개정 후에도 기술적인 보호조치를 통해 보호될 것임.

□ (제3호) 해외 사례에 비해 바이오정보 활용을 지나치게 제약 

  ㅇ 특별한 유형의 개인정보 처리에 관한 사항을 규정하고 있는 GDPR Article 9 (1)과 비교해보면, GDPR은 이의 처리를 원칙적으로 금지하지만, Article 9 (2) (a) - (j) 등 10개에 달하는 예외적 처리 근거를 마련하고 있고 바이오정보라 할지라도 그 사용을 전적으로 정보주체의 ‘동의'에 기대어 처리하지 않도록 하고 있음
   - 이용자의 개인정보보호를 위해 온라인 서비스들은 다양한 인증수단을 적용하고 있으며, 이중인증의 방식으로 홍채, 지문, 음성 등 다양한 생체인식 정보를 사용하고 있는데, 국내에서는 이를 활용할 법적 근거를 ‘정보주체의 동의’, 특히 ‘별도 동의’를 요구한다면 바이오정보 활용을 지나치게 제약하게 됨.？
   - 예를 들면, AI 스피커에서 화자 인증을 하거나 keystroke 행태 등을 분석해 평소 본인과 다른 행동 특성이 있을 때에 계정 도용 등을 의심해 보호조치를 하는 등 이미 일반 서비스에서도 신체적, 행동 특성에 관한 정보가 널리 이용되는 상황에서 이를 민감정보로 정의하고 원칙적으로 수집 금지, 예외적으로 개별 동의를 받고 수집을 할 수 있도록 한다면 인증 기술 등의 발전에 부정적인 영향을 미칠 수밖에 없음.
   - 이에, 바이오정보를 민감정보에서 삭제하는 것을 제안하며, 민감정보로 지정하려면 GDPR과 마찬가지로 민감정보에 대한 법적 근거를 대폭 확대하는 것이 전제가 되어야 할 것임.

□ (제4호) 개인정보 처리과정에서 판단할 수 없는 정보를 민감정보로 규정하여 인공지능 발전을 크게 저해
  ㅇ  "처리 목적이나 상황에 비추어 개인을 부당하게 차별할 우려가 있는 정보”라는 표현이 매우 불명확
   - 예를 들어, 상품 구매율을 높이기 위한 인공지능 알고리즘 생성 목적으로 다양한 개인정보(추정정보 포함)를 학습 데이터에 포함했을 경우, 그 중에 색조가 밝은 화장품을 어두운 피부색을 갖는 사람으로 추정되는 이용자에게 추천하지 않도록 하는 데이터가 포함되어 있어 알고리즘이 이를 학습하는 상황을 생각해볼 수 있음. 
   - 이러한 것은 개인정보 처리(=인공지능 학습)를 통해 발생하는 결과(=알고리즘)를 확인하는 경우에만 제4호가 규정하는 "민족 또는 인종에 관한 정보로서 처리 과정에서 특정 개인을 합리적 이유 없이 차별할 우려가 있는 정보”에 해당하는 것으로 판단할 수 있으며, 사전적으로 이를 판단하기는 불가능하거나 매우 곤란할 것임.
   - 즉, 개인정보 처리 과정에서는 해당 정보가 제4호에 해당하는 민감정보인지 판단할 수 없거나 곤란한 상황임. 결국 사후적으로 분별 가능한 정보를 민감정보로 규정하게 되어 개인정보의 활용, 특히 인공지능 발전을 크게 저해할 것으로 보임.
   - 이에 제4호는 ‘차별적 의미를 내포하거나, 차별적 목적으로 처리될 것을 합리적으로 예상할 수 있는 민족 또는 인종에 관한 정보’와 같이 전면 수정하거나 삭제할 필요가 있음？.

라. 개인정보 처리자간 가명정보 결합 등과 관련한 세부 사항 (안 제29조의2 등)...

 □ (제1항) 가명정보 결합을 위한 임시대체키의 생성은 결합을 신청하는 사업자가 자율적으로 결정할 수 있도록 수정 필요

  ㅇ 제29조의2 제2항은 신용정보법 개정안과 달리 개인정보처리자간의 가명정보의 결합을 위한 임시대체키 생성은 한국인터넷진흥원에서 수행하도록 규정

   - 개인정보보다 그 민감성이 높을 것으로 예상되는 신용정보의 임시 대체키는 신용정보법에 따라 결합의뢰기관에서 생성 가능함에도 불구하고 개인정보처리자 간의 가명정보 결합은 한국인터넷진흥원에 대체키 생성을 위해 전송하는 절차가 추가되어 결합에 걸리는 시간 및 비용이 더욱 소요될 것으로 예상됨.
   - ‘가명정보 결합’의 절차가 합리적인 사유 없이 적용받는 법에 따라 차이가 발생하여 개인정보보호법의 수범자인 사업자에게는 금전적, 시간적 비용 발생을 초래할 뿐만 아니라, 가명정보가 결합전문기관 외 한국인터넷진흥원에도 전달되는 과정에서 유출 등의 위험이 높아질 것으로도 우려됨.
   - 따라서 이 규정은 신용정보법 개정안과 같이 가명정보 결합을 위한 임시대체키의 생성은 결합을 신청하는 사업자들이 자율적으로 생성할 수 있도록 수정이 필요함.

 □ (제3항) 가명정보의 결합에 대해‘개인정보보호법’과 ‘신용정보법’이 다르게 규정하고 있어 국내 사업자간 차별 발생

  ㅇ 결합신청자는 결합전문기관에 설치된 분석공간에서 제2항에 따라 결합된 정보를 분석하는 것을 원칙(제3항)으로 하며, 예외적으로 분석공간에서는 결합 목적을 달성하기 어렵거나 분석공간의 이용이 어려운 경우에 결합전문기관의 승인을 받은 후에야 반출이 가능하도록 규정
   - 그러나 신용정보법 제17조의2에 따르면, 정보집합물 결합의뢰기간이 정보집합물의 식별자를 직접 결합키로 대체하여 데이터전문기관에 제출하도록 되어 있고, 데이터전문기관에서 정보집합물을 결합한 이후에 결합의뢰기관에 전달한 후 결합한 정보집합물 및 결합 전 정보집합물을 지체 없이 삭제하도록 되어 있음.
  ㅇ 상거래 기업과 신용정보회사 간 데이터 결합시 개인정보보호법, 신용정보법 중 어떤 법이 적용되는지 불분명한 상황*에서 개인정보보호법과 신용정보법 간 결합키 생성 방법 또는 정보집합물 이용 방식을 다르게 규정할 경우 일선 현장에서 큰 혼란이 예상되며, 
     * 신용정보법과 동법 시행령은 신용정보법 제17조의2가 상거래 기업 및 법인은 적용이 되지 않는다고 밝히고 있어 상거래 기업과 신용정보회사 간 데이터 결합 시에는 신용정보법이 적용되는지, 개인정보보호법이 적용되는지 불명확한 상황
   - 정보주체의 경제활동에 큰 영향을 미치는 ‘개인신용정보' 보다 ‘개인정보'의 가명처리 및 결합, 분석이 더 엄격해야 할 사유가 없음에도 불구하고 두 법률이 동일한 대상에 다른 절차를 규정하는 것은 국내 사업자 간 차별에 해당하며, 현장의 혼란을 초래함.
   - 특히, 결합전문기관에 설치된 분석공간의 성능이나 구조 등이 결합신청자의 데이터 분석 업무에 용이하지 않을 경우 데이터 반출을 신청하고 승인을 받는 절차를 거쳐야 하는데, 결과적으로는 신용정보법에 비해 개인정보보호법 수범자들이 보다 엄격한 여건에서 데이터 결합 및 결합된 정보의 분석 업무를 수행해야 할 것으로 예상되는 바, 본조 제3항은 삭제할 필요가 있음.

마. 현행 「정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령」제17조의2 등을 이관 (안 제48조의2 등)...

시행령 제15조의2 제1항 단서 신설 제안

□ 개인정보 수집 출처 등 고지와 관련, 정보통신서비스 제공자 특례가 없어 동 조항의 신설을 제안

  ㅇ 정보통신서비스 제공자는 개정 전 정보통신망법 제24조의2(개인정보의 제공 동의 등)에 따라 개인정보 제3자 제공이용을 한 경우, 해당 내역은 개정 전 정보통신망법 제30조의2(개인정보 이용내역의 통지)에 따라 주기적으로 이용자에게 통지하고 있었으나, 
   - 개정 전 정보통신망법 제24조의2 규정이 개인정보보호법의 특례로서 반영되지 못하고 삭제됨에 따라, 정보통신서비스 제공자도 정보주체 이외로부터 개인정보를 수집하여 처리하는 때에는 개인정보보호법 제20조 제2항 및 제17조 제1항 제1호의 적용을 받아 개인정보 수집 출처 등 고지 의무가 발생하게 되었음.
   - 그러나 개정 전 정보통신망법 제30조의2(개인정보 이용내역의 통지)의 규제는 개인정보보호법 제39조의8(개인정보 이용내역의 통지) 및 시행령 제48조의5(개인정보 이용내역의 통지)에 특례로 반영되어 있어, 개정법이라 하더라도 정보통신서비스 제공자가 주기적으로 이용자에게 이용내역을 통지해야 함에는 변함이 없음.
  ㅇ 정보통신서비스 제공자의 경우, 기존 개인정보 이용내역의 통지 의무 이외 개인정보 수집 출처 등 고지 의무가 추가로 발생하여,
   - 이는 이중 규제로 작용할 수 있고, 수집출처 고지비용 등의 비용이 사회적 비용 상승으로 이어질 우려가 있으며,
   - 정보주체 입장에서도 이미 주기적 이용내역 통지를 받고 있음에도 수시로 수집출처 고지까지 받는 등 과도한 통지가 오히려 개인정보 통지에 대한 무관심을 초래할 수 있음.
  ㅇ 이에 개인정보 수집 출처 등 고지 관련, 정보통신서비스 제공자 특례 신설을 제안
   - 제15조의2 제1항 단서 신설(법 제39조의8 제1항에 따라 개인정보의 이용내역을 주기적으로 이용자에게 통지하는 정보통신서비스 제공자의 경우는 그러하지 아니하다)을 통해 기존 정보통신망법 규정 내용을 유지하여 법적 혼란을 최소화하는 동시에 이중규제 등 불합리한 점을 해소하고자 함.


시행령 제48조의3 제1항 관련

 □ 법정대리인 동의의 확인방법으로 ‘전자우편 발송’ 인정
  ㅇ 제1호의 경우 (1) 동의 내용을 게재한 인터넷 사이트에 법정대리인이 동의 여부를 표시하도록 하고 (2) 정보통신서비스 제공자 등이 그 동의 표시를 확인했음을 법정대리인의 휴대전화 문자메시지로 알리는 경우 법정대리인의 동의를 확인한 것으로 인정
   - 법정대리인에 해당하는 자가 그 동의 여부를 인터넷 사이트를 통해 확인하여 법정대리인의 의사를 명확히 하였다면, 그 결과를 해당 법정대리인의 전화번호로 문자를 보내는 경우와 해당 법정대리인의 이메일 주소로 알리는 경우는 법정대리인의 동의 의사를 확인한다는 측면에서 차이가 있다고 보기 어려움.
   - 그러므로 제1호를 “동의 내용을 게재한 인터넷 사이트에 법정대리인이 동의 여부를 표시하도록 하고 정보통신서비스 제공자 등이 그 동의 표시를 확인했음을 법정대리인의 휴대전화 문자메세지 또는 전자우편으로 알리는 방법”으로 개정을 요청함.


시행령 제48조의4 관련
 □ 개인정보 유출 신고 관련 인원 기준 미비

  ㅇ 개인정보보호법은 ‘1천명 이상’의 정보주체의 개인정보가 유출된 경우 규제기관에 대한 신고 의무를 정하고 있음(동법 제34조 제3항, 동 시행령 제39조 제1항).
   - 그런데 정보통신서비스 제공자들의 경우에는 특례에 개인정보 유출 등의 통지？신고 등에 대해 별도로 규정하면서도 인원 기준을 두지 않음으로 인해 1명의 정보주체의 개인정보가 유출된 경우에도 규제기관에 신고를 해야 하는 상황임. 
   - 유출 신고와 관련하여 정보통신서비스 제공자들과 기타 개인정보처리자들을 구분하여야 할 정당한 이유가 없으므로 정보통신서비스 제공자의 경우에도 기타 개인정보처리자들과 동일하게 1천명 이상의 정보주체의 개인정보가 유출된 경우에 한정하여 신고의무를 부담하도록 규정하는 것을 고려할 필요 있음.

전체 주요내용...

시행령 제15조의2 제1항 단서 신설 제안
 ㅇ 개인정보 수집 출처 등의 고지와 관련, 정보통신서비스 제공자 특례가 없어 동 조항의 신설을 제안

 시행령 제18조 관련
 ㅇ 민감정보의 의미가 불분명하며, 생체인식 정보의 식별성과 위험도 등에 따라 차등 규제 적용 필요
 ㅇ (제3호) 해외 사례에 비해 바이오정보 활용을 지나치게 제약
 ㅇ (제4호) 개인정보 처리과정에서 판단할 수 없는 정보를 민감정보로 규정하여 인공지능 발전을 크게 저해

시행령 제29조의2 관련
 ㅇ (제1항) 가명정보 결합을 위한 임시대체키 생성은 결합을 신청하는 사업자가 자율적으로 결정할 수 있도록 수정 필요
 ㅇ (제3항) 가명정보 결합에 대해 ‘개인정보보호법’과 ‘신용정보법’이 다르게 규정하고 있어 국내 사업자간 차별 발생

시행령 제48조의3 제1항 관련
 ㅇ 법정대리인 동의의 확인 방법으로 ‘전자우편 발송’ 인정

시행령 제48조의4 관련
 ㅇ 개인정보 유출 신고 관련 인원 기준 미비