EU 적정성 결정에 따른 개인정보보호위원회 고시인 보완규정의 법적 분석

Abstract

2021년 12월 유럽연합(EU)의 유럽위원회는 한국에 대한 개인정보보호의 ‘적정성 결정’(adequacy decision)을 채택하였고, EU 적정성 결정을 통하여 EU시민의 개인정보가 일괄하여 한국으로 이전될 수 있게 되었다. 개인정보보호위원회는 EU 적정성 결정에 기반하여 한국으로 이전된 개인정보의 처리에 대한 개인정보보호법의 해석과 적용을 위한 보완규정을 고시로서 채택하였는데, 동 고시는 EU 적정성 결정 부속서 I의 내용과 대체로 일치한다. 개인정보보호위원회의 고시인 보완규정(이하 ‘보완규정’)은 EU 적정성 결정의 채택에 필요하여 한국이 제시한 보완적 법적 문서이지만, 개인정보보호법의 주요 규정에 대한 개인정보보호위원회의 해석을 포함한다. 예컨대, 수집 목적 외 개인정보의 이용·제공 제한에 관한 규정들이 EU에서 한국으로 이전된 개인정보는 물론 다른 제3국에서 이전된 개인정보에도 적용된다고 밝힌 점은 중요한 의미를 가진다. 문제는 보완규정의 개인정보보호법의 주요 규정에 대한 해석에서 여러 문제가 있다는 점이다. 행정규칙의 지위를 가진 보완규정이 법률인 개인정보보호법의 기본적인 의미와 입법적 맥락을 무시하거나 뛰어 넘는 것으로 보이기 때문이다. 예컨대, 보완규정은 개인정보의 국외 제3자에게 제공되는 근거에 개인정보보호법 제17조 제4항의 당초 수집 목적과 합리적으로 관련된 범위에서 국외 제3자 제공을 허용한다고 해석하는데, 동 규정이 유래한 EU GDPR의 명시적인 규정은 물론 동 규정이 데이터 3법 개정으로 포함된 당시의 취지에 비추어서 무리가 될 것이다. 또한, 개인정보보호법은 가명정보의 파기를 예외적으로 요구하지 않는데, 보완규정은 EU 적정성 결정에 기반하여 한국으로 이전된 개인정보를 포함하여 가명정보의 파기가 원칙이라고 해석한다. 개인정보보호법이 가명정보의 파기를 요구하지 않는 것도 문제이지만, 법률의 하위 지위에 있는 고시를 통하여 개인정보보호법의 명시적 규정에 어긋나는 해석을 하는 것은 무리일 것이다. 무엇보다 중요한 점은 국가안보 목적의 정보분석을 위한 개인정보 처리에 관한 보완규정의 해석이다. 이러한 경우 개인정보보호법 제58조 제1항 제2호는 개인정보보호법의 제3장부터 제7장까지 적용되지 않는다고 규정하는데, 이들 규정은 개인정보보호법의 실체적 규정이다. 이렇게 국가안보 목적의 경우에 개인정보보호법의 실체적 규정이 적용되지 않는데, 보완규정은 개인정보보호 원칙을 규정한 제1장 제3조를 통하여 개인정보 처리에 관한 제3장과 정보주체의 권리 보장에 관한 제5장이 사실상 적용되도록 해석한다. 개인정보보호법 제58조는 제1항에서 국가안보 목적의 경우 제3장과 제5장 등의 실체적 규정의 적용 예외를 규정하면서 제4항에서 최소한의 범위와 정도이지만 정보주체의 권리가 가능한 대로 보호될 수 있도록 규정한다. 다만, 국가안보 목적의 경우 해당 정부기관은 법 제58조 제4항에 규정된 최소한의 구체적 조치를 마련하여 시행하여야 할 것이다. 이 점에서 개인정보보호법의 명시적 규정을 무시한 보완규정의 해석은 큰 무리라고 볼 수 있다. 개인정보보호위원회의 고시인 보완규정은 법률인 개인정보보호법의 명시적인 규정을 존중하여 올바로 해석하도록 재검토되어야 할 것이다.