.gif)
대한적십자사-행안부 간 ‘개인정보’ 공유에 대한 위헌 헌법소원...헌재, ‘합헌’ 결정
헌재 결정으로 살펴본 정부부처 및 공공기관 간 개인정보 공유 관련 법령 또는 기준
[보안뉴스 김영명 기자] 얼마 전 헌법재판소(이하 헌재)가 ‘대한적십자사 조직법 제8조 위헌확인 등(사건번호 2019헌마1404)’에 대한 판결을 선고했다. 해당 선고는 ‘대한적십자 회비모금 목적의 자료제공 사건’이라는 부제를 달았다. 헌재는 대한적십자사와 행정안전부 간 개인정보 공유에 대해 ‘합헌’ 결정을 내렸다. 이번 판결을 통해 논란이 된 정부부처 및 공공기관 간 개인정보 제공 또는 공유 범위와 그 필요성에 대해 살펴봤다.
[이미지=utoimage]
보건복지부 산하 준공공기관인 대한적십자사는 주된 수입 항목 중에 ‘적십자회비’가 있다. 최근 3년간 대한적십자사의 적십자회비 수입을 보면 2020년 7,186만6,000원, 2021년 7,671만3,000원, 2022년 8,140만원이었다. 적십자회비는 ‘자율적으로 참여하는 국민 성금’으로 정의하며, 세대주 전국 동일 1만원, 개인사업자는 3만원 이상, 법인사업자는 10만원 이상(1년 단위)을 납부 권장금액으로 정했다.
최근 대한적십자사의 회비 이슈가 헌재로 간 것은, 대한적십자사가 적십자회비 모금을 위한 지로용지를 발송하기 위해 행정안전부에 전국 세대주(만 25~74세)의 성명과 주소를 요청한데서 시작한다. 헌법소원을 제기한 청구인들은 ‘대한적십자사가 국가에 개인정보를 요청할 때 정보주체의 동의 없이 내준 것은 위헌’이라고 주장했다.
그러나 헌재는 최종적으로 합헌 결정을 내린 것이다. 헌재는 문제가 된 법령 규정들이 포괄위임금지의 원칙이나 과잉금지의 원칙에 반해 청구인들의 개인정보자기결정권을 침해하지 않는다고 판단했다. 헌재는 “필요한 자료의 구체적인 범위를 미리 법률에 상세히 규정하는 것은 입법기술상 어렵다”며 “이를 대통령령에 위임한 것은 포괄위임금지원칙에 위반된다고 볼 수 없다”고 판단했다. 또한, 자료 제공을 거절할 수 있는 ‘특별한 사유’에 대해 “비록 불확정적인 개념이지만 개인정보 보호법의 취지를 고려하면 정보 주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때에 준하는 경우로 대강의 규율 범위를 예측할 수 있다”고 밝혔다. 또한, 제공되는 정보의 범위와 관련 “주소의 경우 지로통지서 발송을 위한 필수적인 정보이고, 성명은 사회생활 영역에서 노출되는 것이 자연스러운 정보로 엄격한 보호의 대상이 된다고 하기 어렵다”고 봤다.
다만, 이번 사건에서 세대주의 ‘성명’과 ‘주소’ 동시 제공에서 9명의 헌법재판소 재판관 중 2명의 재판관이 ‘성명’에 관해 소수의견을 냈다. 두 재판관은 대한적십자사 조직법의 제8조(국가와 지방자치단체에 대한 자료제공 요청 등) 내 3항에서 ‘국가와 지방자치단체는 특별한 사유가 없으면 그 자료를 제공하여야 한다’에 대해 주목했다. 조직법 내 ‘특별한 사유’는 그 자체로는 불명확하며, 이에 대해 상세한 설명을 덧붙이거나 예시 등을 규정하지도 않는다는 점을 꼽았다. 또한, 적십자사 조직법과 시행령 어디에도 ‘특별한 사유’의 구체적인 내용을 도출할 수 있는 단서를 찾을 수가 없다고 판단했다. 이에 따라 제8조의 자료제공 요청에서 자료제공 조항은 명확성 원칙에 반해 청구인들의 개인정보자기결정권을 침해한다고 명시했다.
적십자법의 시행령은 적십자사가 국가에 세대주의 주소와 성명을 요청할 수 있도록 규정하고 있다. 이와 관련 두 재판관은 “개인정보에서 ‘성명’과 ‘주소’가 함께 제공될 경우 ‘누가 어디에 살고 있는가’를 알 수 있게 돼 결합된 정보의 가치는 훨씬 커지게 되므로 개인정보가 악용되거나 유출되었을 경우 위험성도 함께 높아진다”고 말했다. 이어 “적십자법 및 같은 법 시행령에서는 적십자사가 개인정보를 남용하거나 유출하는 것을 방지할 제도적 장치를 전혀 마련하고 있지 않다”며 “정보주체들의 개인정보자기결정권 보호에 충분하다고 보기 어렵다”고 밝혔다. 더욱이 지로통지서는 세대주 성명 기재 없이도 적십자회비 모금이라는 목적 달성이 충분히 가능하기 때문에 ‘성명’ 부분은 과잉금지원칙에 반해 청구인들의 개인정보자기결정권을 침해한다고 판단했다.
대한적십자사의 조직과 업무에 관한 사항을 규율하기 위해 법으로 정한 대한적십자사 조직법(법률 제17778호, 2020.12.29. 일부 개정)을 보면, 제8조에 자세한 내용이 나온다. 대한적십자사 조직법 제8조(국가와 지방자치단체에 대한 자료제공 요청 등)은 크게 4개 항이 있다. 세부적으로는 ①적십자사는 국가와 지방자치단체에 대하여 적십자사의 운영과 제6조제4항의 적십자사 회원모집 및 회비모금, 이에 따른 기부금 영수증 발급을 위하여 필요한 자료의 제공을 요청할 수 있다 ②제1항에 따른 필요한 자료의 구체적인 범위는 대통령령으로 정한다 ③제1항 및 제2항에 따라 자료제공을 요청받은 국가와 지방자치단체는 특별한 사유가 없으면 그 자료를 제공하여야 한다 ④국가와 지방자치단체는 적십자사의 업무 수행에 관하여 적십자사의 요청이 있는 경우 협조할 수 있다 등이다.
이와 관련 본지는 개인정보보호위원회에 정부부처 및 공공기관 간 개인정보 제공이나 공유에 관한 법령이나 기준은 어떻게 마련돼 있는지 등을 알아봤다.
[이미지=utoimage]
Q. 공공기관 간 국민 개인정보를 제공(공유)할 때 기준과 관련 법령은?
‘개인정보 보호법’(법률 제16930호, 이하 법)은 제17조 제1항, 제4항 및 제18조 제2항, 같은 법 시행령 제14조의2, 제15조, ‘개인정보 처리 방법에 관한 고시’ 제2조, 제3조, ‘표준 개인정보 보호지침’ 제7조, 제8조 등에 개인정보 제3자 제공에 관한 규정을 두고 있다. 법에서 언급하는 ‘제공’은 ‘공유’를 포함하는 내용이다.
먼저, 법 제17조 제1항은 정보주체의 개인정보를 ‘당초 수집한 목적 범위에서’ 제3자에게 제공하는 경우(실무상 ‘목적 내 제공’)에 대한 규정이고, 제4항은 정보주체의 개인정보를 ‘당초 수집한 목적과 합리적으로 관련된 범위에서’ 제3자에게 제공하는 경우에 대한 규정이다. 또한, 제18조 제2항은 정보주체의 개인정보를 ‘당초 수집한 목적 범위를 초과하여’ 제3자에게 제공하는 경우(실무상 ‘목적 외 제공’)에 대한 규정이다.
한편, 법은 공공과 민간 모두를 규율하는 개인정보 보호 일반법이지만, 목적 외 제공에 관해 제18조 제2항 내 제5호부터 제9호까지는 개인정보처리자가 ‘공공기관’인 경우에만 적용된다.
Q. 개인정보 제공 요청기관의 규모(등급)에 따라 제공 범위가 달라질 수 있는지?
법은 개인정보 제공 요청기관의 규모(등급)에 관해 아무런 규정을 두고 있지 않다. 따라서, 개인정보 제공 요청기관이 특정 규모(등급)임을 이유로 개인정보 제공 여부 및 제공 범위를 일률적으로 판단할 수는 없다.
공공기관에서 개인정보 공유 또는 제공 요청을 받았을 때 개인정보의 제3자 제공(또는 제공 요청)이 가능한지 여부는 개별적·구체적 사실관계를 고려해 ‘개인정보 보호법’ 제17조(개인정보의 제공) 또는 제18조(개인정보의 목적 외 이용·제공 제한)의 요건에 따라 판단해야 한다.
Q. 공공기관이 해당 기관의 공공적인 목적을 위해서는 개인정보를 활용해도 되는지?
‘개인정보 보호법’은 제15조 제1항 각호에 개인정보의 수집 및 목적 내 이용, 제17조 제1항 각호에 목적 내 제공, 제18조 제2항 각호에 목적 외 이용 및 제공할 수 있는 경우를 열거하고 있으나, ‘기관(또는 부처)의 공공적인 목적(공익)’에 대해서는 규정하지 않았다.
다만, 개인정보 처리자가 공공기관이고 처리 목적이 공익이라는 점은 ‘개인정보 보호법’ 제15조 제1항 제3호의 ‘공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우’, 제18조 제2항 제5호의 ‘개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의·의결을 거친 경우’, 제18조 제2항 각호 외 부분의 ‘정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때’에 해당하는지 여부를 판단하는 과정에 고려(반영)할 수 있다.
Q. 공공기관에서의 개인정보 공유 및 활용 과정에서 유출사고가 발생한 경우 이를 당사자에게 알릴 의무는?
공공기관을 비롯한 개인정보처리자는 개인정보가 유출됐음을 알게 되었을 때는 지체 없이 해당 정보주체에게 개인정보 유출 사실을 통지해야 한다. ‘개인정보 보호법’ 제34조 및 같은 법 시행령 제39조, 제40조, ‘표준 개인정보 보호지침’ 제25조 내지 제29조에는 개인정보 유출 통지 등에 관한 규정을 두고 있다. 또한, 개인정보보호회원회는 2020년 12월에 ‘개인정보 유출 대응 매뉴얼’을 마련, 홈페이지에 공유하고 있다.
[김영명 기자(boan@boannews.com)]
헌재 결정으로 살펴본 정부부처 및 공공기관 간 개인정보 공유 관련 법령 또는 기준
[보안뉴스 김영명 기자] 얼마 전 헌법재판소(이하 헌재)가 ‘대한적십자사 조직법 제8조 위헌확인 등(사건번호 2019헌마1404)’에 대한 판결을 선고했다. 해당 선고는 ‘대한적십자 회비모금 목적의 자료제공 사건’이라는 부제를 달았다. 헌재는 대한적십자사와 행정안전부 간 개인정보 공유에 대해 ‘합헌’ 결정을 내렸다. 이번 판결을 통해 논란이 된 정부부처 및 공공기관 간 개인정보 제공 또는 공유 범위와 그 필요성에 대해 살펴봤다.
[이미지=utoimage]
보건복지부 산하 준공공기관인 대한적십자사는 주된 수입 항목 중에 ‘적십자회비’가 있다. 최근 3년간 대한적십자사의 적십자회비 수입을 보면 2020년 7,186만6,000원, 2021년 7,671만3,000원, 2022년 8,140만원이었다. 적십자회비는 ‘자율적으로 참여하는 국민 성금’으로 정의하며, 세대주 전국 동일 1만원, 개인사업자는 3만원 이상, 법인사업자는 10만원 이상(1년 단위)을 납부 권장금액으로 정했다.
최근 대한적십자사의 회비 이슈가 헌재로 간 것은, 대한적십자사가 적십자회비 모금을 위한 지로용지를 발송하기 위해 행정안전부에 전국 세대주(만 25~74세)의 성명과 주소를 요청한데서 시작한다. 헌법소원을 제기한 청구인들은 ‘대한적십자사가 국가에 개인정보를 요청할 때 정보주체의 동의 없이 내준 것은 위헌’이라고 주장했다.
그러나 헌재는 최종적으로 합헌 결정을 내린 것이다. 헌재는 문제가 된 법령 규정들이 포괄위임금지의 원칙이나 과잉금지의 원칙에 반해 청구인들의 개인정보자기결정권을 침해하지 않는다고 판단했다. 헌재는 “필요한 자료의 구체적인 범위를 미리 법률에 상세히 규정하는 것은 입법기술상 어렵다”며 “이를 대통령령에 위임한 것은 포괄위임금지원칙에 위반된다고 볼 수 없다”고 판단했다. 또한, 자료 제공을 거절할 수 있는 ‘특별한 사유’에 대해 “비록 불확정적인 개념이지만 개인정보 보호법의 취지를 고려하면 정보 주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때에 준하는 경우로 대강의 규율 범위를 예측할 수 있다”고 밝혔다. 또한, 제공되는 정보의 범위와 관련 “주소의 경우 지로통지서 발송을 위한 필수적인 정보이고, 성명은 사회생활 영역에서 노출되는 것이 자연스러운 정보로 엄격한 보호의 대상이 된다고 하기 어렵다”고 봤다.
다만, 이번 사건에서 세대주의 ‘성명’과 ‘주소’ 동시 제공에서 9명의 헌법재판소 재판관 중 2명의 재판관이 ‘성명’에 관해 소수의견을 냈다. 두 재판관은 대한적십자사 조직법의 제8조(국가와 지방자치단체에 대한 자료제공 요청 등) 내 3항에서 ‘국가와 지방자치단체는 특별한 사유가 없으면 그 자료를 제공하여야 한다’에 대해 주목했다. 조직법 내 ‘특별한 사유’는 그 자체로는 불명확하며, 이에 대해 상세한 설명을 덧붙이거나 예시 등을 규정하지도 않는다는 점을 꼽았다. 또한, 적십자사 조직법과 시행령 어디에도 ‘특별한 사유’의 구체적인 내용을 도출할 수 있는 단서를 찾을 수가 없다고 판단했다. 이에 따라 제8조의 자료제공 요청에서 자료제공 조항은 명확성 원칙에 반해 청구인들의 개인정보자기결정권을 침해한다고 명시했다.
적십자법의 시행령은 적십자사가 국가에 세대주의 주소와 성명을 요청할 수 있도록 규정하고 있다. 이와 관련 두 재판관은 “개인정보에서 ‘성명’과 ‘주소’가 함께 제공될 경우 ‘누가 어디에 살고 있는가’를 알 수 있게 돼 결합된 정보의 가치는 훨씬 커지게 되므로 개인정보가 악용되거나 유출되었을 경우 위험성도 함께 높아진다”고 말했다. 이어 “적십자법 및 같은 법 시행령에서는 적십자사가 개인정보를 남용하거나 유출하는 것을 방지할 제도적 장치를 전혀 마련하고 있지 않다”며 “정보주체들의 개인정보자기결정권 보호에 충분하다고 보기 어렵다”고 밝혔다. 더욱이 지로통지서는 세대주 성명 기재 없이도 적십자회비 모금이라는 목적 달성이 충분히 가능하기 때문에 ‘성명’ 부분은 과잉금지원칙에 반해 청구인들의 개인정보자기결정권을 침해한다고 판단했다.
대한적십자사의 조직과 업무에 관한 사항을 규율하기 위해 법으로 정한 대한적십자사 조직법(법률 제17778호, 2020.12.29. 일부 개정)을 보면, 제8조에 자세한 내용이 나온다. 대한적십자사 조직법 제8조(국가와 지방자치단체에 대한 자료제공 요청 등)은 크게 4개 항이 있다. 세부적으로는 ①적십자사는 국가와 지방자치단체에 대하여 적십자사의 운영과 제6조제4항의 적십자사 회원모집 및 회비모금, 이에 따른 기부금 영수증 발급을 위하여 필요한 자료의 제공을 요청할 수 있다 ②제1항에 따른 필요한 자료의 구체적인 범위는 대통령령으로 정한다 ③제1항 및 제2항에 따라 자료제공을 요청받은 국가와 지방자치단체는 특별한 사유가 없으면 그 자료를 제공하여야 한다 ④국가와 지방자치단체는 적십자사의 업무 수행에 관하여 적십자사의 요청이 있는 경우 협조할 수 있다 등이다.
이와 관련 본지는 개인정보보호위원회에 정부부처 및 공공기관 간 개인정보 제공이나 공유에 관한 법령이나 기준은 어떻게 마련돼 있는지 등을 알아봤다.
[이미지=utoimage]
Q. 공공기관 간 국민 개인정보를 제공(공유)할 때 기준과 관련 법령은?
‘개인정보 보호법’(법률 제16930호, 이하 법)은 제17조 제1항, 제4항 및 제18조 제2항, 같은 법 시행령 제14조의2, 제15조, ‘개인정보 처리 방법에 관한 고시’ 제2조, 제3조, ‘표준 개인정보 보호지침’ 제7조, 제8조 등에 개인정보 제3자 제공에 관한 규정을 두고 있다. 법에서 언급하는 ‘제공’은 ‘공유’를 포함하는 내용이다.
먼저, 법 제17조 제1항은 정보주체의 개인정보를 ‘당초 수집한 목적 범위에서’ 제3자에게 제공하는 경우(실무상 ‘목적 내 제공’)에 대한 규정이고, 제4항은 정보주체의 개인정보를 ‘당초 수집한 목적과 합리적으로 관련된 범위에서’ 제3자에게 제공하는 경우에 대한 규정이다. 또한, 제18조 제2항은 정보주체의 개인정보를 ‘당초 수집한 목적 범위를 초과하여’ 제3자에게 제공하는 경우(실무상 ‘목적 외 제공’)에 대한 규정이다.
한편, 법은 공공과 민간 모두를 규율하는 개인정보 보호 일반법이지만, 목적 외 제공에 관해 제18조 제2항 내 제5호부터 제9호까지는 개인정보처리자가 ‘공공기관’인 경우에만 적용된다.
Q. 개인정보 제공 요청기관의 규모(등급)에 따라 제공 범위가 달라질 수 있는지?
법은 개인정보 제공 요청기관의 규모(등급)에 관해 아무런 규정을 두고 있지 않다. 따라서, 개인정보 제공 요청기관이 특정 규모(등급)임을 이유로 개인정보 제공 여부 및 제공 범위를 일률적으로 판단할 수는 없다.
공공기관에서 개인정보 공유 또는 제공 요청을 받았을 때 개인정보의 제3자 제공(또는 제공 요청)이 가능한지 여부는 개별적·구체적 사실관계를 고려해 ‘개인정보 보호법’ 제17조(개인정보의 제공) 또는 제18조(개인정보의 목적 외 이용·제공 제한)의 요건에 따라 판단해야 한다.
Q. 공공기관이 해당 기관의 공공적인 목적을 위해서는 개인정보를 활용해도 되는지?
‘개인정보 보호법’은 제15조 제1항 각호에 개인정보의 수집 및 목적 내 이용, 제17조 제1항 각호에 목적 내 제공, 제18조 제2항 각호에 목적 외 이용 및 제공할 수 있는 경우를 열거하고 있으나, ‘기관(또는 부처)의 공공적인 목적(공익)’에 대해서는 규정하지 않았다.
다만, 개인정보 처리자가 공공기관이고 처리 목적이 공익이라는 점은 ‘개인정보 보호법’ 제15조 제1항 제3호의 ‘공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우’, 제18조 제2항 제5호의 ‘개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의·의결을 거친 경우’, 제18조 제2항 각호 외 부분의 ‘정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때’에 해당하는지 여부를 판단하는 과정에 고려(반영)할 수 있다.
Q. 공공기관에서의 개인정보 공유 및 활용 과정에서 유출사고가 발생한 경우 이를 당사자에게 알릴 의무는?
공공기관을 비롯한 개인정보처리자는 개인정보가 유출됐음을 알게 되었을 때는 지체 없이 해당 정보주체에게 개인정보 유출 사실을 통지해야 한다. ‘개인정보 보호법’ 제34조 및 같은 법 시행령 제39조, 제40조, ‘표준 개인정보 보호지침’ 제25조 내지 제29조에는 개인정보 유출 통지 등에 관한 규정을 두고 있다. 또한, 개인정보보호회원회는 2020년 12월에 ‘개인정보 유출 대응 매뉴얼’을 마련, 홈페이지에 공유하고 있다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png){kind=spacer}
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
