[디지털정보위][공동 보도자료] 스크래핑 등 자동화된 도구 이용한 공공데이터 등 수집은 전송요구권 대상 아냐

 
지난 8월 22일 민주사회를 위한 변호사 모임 디지털정보위원회 · 언론개혁시민연대 · 진보네트워크센터 · 참여연대 · 한국소비자연맹은 개인정보보호위원회 범정부마이데이터추진단에 본인전송요구권 관련 시행령 개정안과 최근 문제가 되고 있는 자동화된 도구(스크래핑 방식)를 이용한 공공정보 수집 등의 방식에 대한 입법의견서를 제출했습니다. 
단체들은 스크래핑 등 자동화된 도구를 이용하여 공공데이터 등을 수집하는 것은 전송요구권의 대상이라고 보기 어렵다고 지적하고 이에 대한 개인정보보호위의 엄중한 대응이 필요하다고 보았습니다. 또한 전송요구권의 애초 취지가 정보주체의 정보통제권 강화임에도 전송요구권 제도 설계단계부터 정보주체의 권리보다는 개인정보의 활용을 전사회적으로 확대하는 측면이 더 크다고 지적하고 이에 대한 근본적 법개정이 필요하다고 밝혔습니다. 끝.

▣ 붙임1. 「본인 전송요구권 행사에 대한 시행령 개정안」의견서

▣ 붙임1 

「「본인 전송요구권 행사에 대한 시행령 개정안」의견서

 

스크래핑 등 자동화된 도구에 대한 의견


 

유럽연합의 GDPR(General Data Protection Regulation)에서 논의되고 제정된 개인정보 전송요구권은 “열람권”과 밀접하게 연관되지만, 개인정보처리자에게 제공한 개인정보를 정보주체가 구조화되고 일반적으로 사용되며 기계판독 가능한 형식으로 받을 수 있게 하고, 다른 개인정보처리자에게 전송할 수 있게 하는 취지입니다. 원칙적으로는 동의에 의해 처리되거나 계약 이행 과정에서 처리되는 개인정보에 한정하여 정보전송권의 대상이 됩니다. 

이 때의 개인정보 전송요구권의 대상이 되는 정보는 “정보주체가 제공한 개인정보”에 근거하여 인정되어야 하며, 정보주체가 제공하지도 않은 개인정보까지도 전송요구권의 대상이 되는 것이 아닙니다. 개인정보를 한 IT 환경에서 다른  IT환경으로 쉽게 이동, 복사 또는 전송할 수 있는 능력을 촉진함으로써 자신의 개인정보에 대해 정보주체에 권한을 부여하는 취지입니다. 

그런데 공공데이터의 경우에는 개인정보주체가 제공한 정보라기보다는, 법률의 근거에 의하여 수집된 정보일 가능성이 커서 이러한 경우까지 개인정보 전송요구권으로 접근함은 개인정보 전송요구권의 취지에 비추어 가능하지 않습니다. 우리 법에서도 개인정보보호법 제35조의2 제1항 제1호 다목의 경우에는, 보호위원회가 ‘정보주체의 이익이나 공익적목적 범위’ 내에서 심의의결한 경우에만 예외적으로 허용됩니다.

최근 스크래핑 등 자동화된 도구로 국세청 홈페이지를 통해 스크래핑을 하다가 약 3만명 가량이 종합소득세 신고를 제대로 하지 못해 피해를 본 사건이 뉴스화된 바 있는데, (https://www.hankyung.com/article/202506196455i) 위 뉴스에서도 개인정보주체들은 전송요구권을 행사한 것이 아니라 스스로 자진신고하는 것을 도와주는 어플을 이용한 것에 불과합니다. 즉, 이러한 자동화된 도구를 이용한 스크래핑 프로그램은 개인정보보호법이 정한 전송권을 행사한 것이 아니라 기존 시스템을 우회하는 행위(대리절차, 대리인 자격 유무)에 가깝습니다. 경우에 따라서는 위 뉴스에서 언급된 것과 같이 개인정보보호법이 예정한 책임성 및 투명성의 측면에도 부합하지 못해 예상하지 못한 다수의 피해자를 발생시킬 수 있어 “특히 공공데이터의 경우”에는 대리절차 위반 여부, 동의의 실질성, 다크패턴 등의 사정을 따져 피해자가 발생하지 않도록 조치하여야 합니다.

최근 문제가 된 행태와 같이 개인정보를 관리, 분석하는 업무를 자신이 수행하기 위하여는 원칙적으로 개인정보보호법 상 '개인정보관리 전문기관'(제35조의3)의 요건을 갖추어야 할 것인데, 실질적으로 해당 업무를 수행하고자 하는 업체들은 엄격한 요건을 갖추어야 할 해당규정의 적용을 회피하고자 개보법 상의 정보주체 권리행사 '대리'(제38조) 적용을 주장하고 있는 것으로 보입니다. 개인정보 관리, 분석 업무를 위하여 정보주체의 동의를 받아 개인정보를 직접 전송받는 이상, 이는 개보법 제38조 상의 '대리'가 아니라, 그 실질이 개인정보 전송요구권 상 '제3자에 대한 전송'(제35조의2 제2항)에 해당하고, 이와 같이 전송받은 업체에 대하여는 제38조가 아닌 제35조의2 제2항의 요건을 충족하도록 해야 할 것입니다.

우리 전송요구권 제도가 모델로 삼은 GDPR에서 규정하고 있는 개인정보 이동권은 정보주체의 권리 보장과 함께 서비스 사업자 간의 전환을 용이하게 함으로써 사용자가 특정한 사업자에 종속(Lock-in)되는 것을 방지하고 공정한 경쟁을 촉진하려는 취지입니다. 반면, 이른바 마이데이터 사업은 개인정보의 유통과 활용을 촉진하기 위한 목적으로 서로 다른 개인정보처리자가 보유하고 있는 개인정보를 마이데이터 사업자로 집중시키는 모델입니다. 즉, 공정한 경쟁의 촉진보다는 개인정보의 유통과 활용에 중점을 두고 있는 제도로서 사실상 제도설계부터 정보주체의 통제권 보장이라는 명분에 충실하기보다는 GDPR에도 없는 개인정보관리 전문기관 제도를 도입함으로써 개인정보의 활용을 전사회적으로 확대하는 측면이 더 강하였습니다. 

이에 시민사회는 전송요구권이 정보주체의 권리강화가 입법취지라면 대폭 개선이 필요하다는 점을 다시한번 강조합니다. 또한  개인정보보호위원회는 개인정보관리 전문기관(마이데이터 사업자)이 개인정보의 집중과 통합을 통해 인권을 침해할 우려가 없는지 감독하는 역할에 좀더 초점을 맞출 것을 요구합니다.

 

시행령 개정안에 대한 의견
 


시행령 제42조의5 제4항(신설)에 대하여 

안
의견

정보주체는 개인정보관리 전문기관을 통하여 본인대상정보전송자에게 본인전송요구를 할 수 있다.
이 문구는 제38조 제1항에 따른 대리권행사라는 점이 명시되지 않아 불분명합니다.

⇒ 수정제안 : “정보주체는 법 제38조 제1항에 따른 대리 방식으로 본인대상전송자에게 본인전송요구를 할 수 있다.

이 경우 개인정보관리 전문기관은 정보주체만이 접근할 수 있는 정보저장소에 개인정보를 저장하여야 하고
이 문구는 법문의 취지에 따라 제38조 제1항에 따른 대리인으로 정하는 것이 법문의 취지에 부합합니다.

⇒ 수정제안 : “법 제38조 제1항에 따라 정보주체를 대리하여 전송요구를 하는 자는 정보주체의 개인장치, 개인 정보저장소나 정보주체만이 접근할 수 있는 정보저장소에 개인정보를 저장하여야 한다.” 

본인대상정보전송자는 개인정보관리 전문기관이 법 제38조 제1항에 따른 정당한 대리인인 경우 정당한 사유없이 거절해서는 안된다.
이 문구는 타법에서 정하고 있는 대리인의 자격 및 대리권 행사요건도 부합하여야 법전체 체계에 부합할 수 있습니다.

⇒ 수정제안 : “법 제38조 제1항에 따라 정보주체를 대리하여 전송요구를 하는 자는 타 법에서 정하는 대리인의 자격 및 대리권 행사요건을 충족하여야 한다”



 
시행령 제42조의6 제7항 본문에 대하여 

현행
안
의견

일반전문기관, 특수전문기관 및 일반수신자는 제1호에 따른 정보주체의 접근수단을 제2호의 방식으로 사용ㆍ보관함으로써 보건의료전송정보, 통신전송정보 및 에너지전송정보를 수집해서는 안 된다.
일반전문기관, 특수전문기관 및 일반수신자는 제3자전송요구에 따라 개인정보를 전송받기 위하여 제1호에 따른 정보주체의 접근수단을 제2호의 방식으로 사용ㆍ보관함으로써 보건의료전송정보, 통신전송정보 및 에너지전송정보를 수집해서는 안 된다. 다만, 법 제38조 제1항에 따라 정보주체로부터 본인전송요구를 위임받은 경우에는 그러하지 아니하다.
수정안보다는 원문이 단순 명료해서 바람직해 보입니다. 본인전송요구이든, 제3자 전송요구이든 원칙적으로 스크래핑을 금지시키는 규정을 넣는 것이 합리적이고, 대리규정은 앞서 시행령 제42조의5 제4항에 있으므로 여기에서 추가할 필요는 없습니다. 그러나 “다만을 넣어서 대리부분을 강조하고 싶다면” 우리 법에서는 “대리인”에게 권리행사가 가능하다고 하여 이를 시행령 제42조의5 제4항에서 구체화한 것인바, 시행령 제42조의5 제4항을 인용함이 체계적으로 해석됩니다. 

⇒ 수정제안 : “일반전문기관, 특수전문기관 및 일반수신자는 제1호에 따른 정보주체의 접근수단을 제2호의 방식으로 사용ㆍ보관함으로써 보건의료전송정보, 통신전송정보 및 에너지전송정보를 수집해서는 안 된다. 다만, 시행령 제42조의5 제4항에 따라 정보주체를 대리하여 전송요구를 하는 경우에는 그러하지 아니하다”



시행령 제42조의9 제1항 2호 및 제3호에 대하여 

현행
안
의견

① 개인정보관리 전문기관은 다음 각 호와 같이 구분한다.

1.(일반전문기관)정보전송자로부터 전송받은 개인정보(보건의료전송정보 제외)를 관리·분석하는 업무를 수행

2.(특수전문기관)정보전송자로부터 전송받은 보건의료전송정보를 관리·분석하는 업무를 수행
정보주체 본인이 전송받은 본인전송정보를 위임받아 관리·분석하는 업무를 수행하는 자
이 조항이 “정보주체본인의 전송요구권”의 대리를 의미하는 것이라면 전송요구권의 대리권한을 넘어서며 제3자 전송정보로 해석됩니다. 전송요구권의 대리권 행사에 한정하여 문구를 조정하는 것이 바람직합니다.

⇒ 수정제안 : “정보주체 본인으로부터 본인전송요구를 대리하는 업무를 수행하는 자”