개인정보 보호 분야에서의 인종정보와 민족정보

요약

• 개인정보보호법에 있는 ‘민감정보’
• ‘민감정보’에 인종정보, 민족정보가 들어있는 이유: EU-GDPR

Intro

개인정보에도 정보 종류에 따른 중요도가 있다. 가장 이해하기 쉬운 예를 들면, 생일이 유출된 사고보다는 주민등록번호가 유출된 사고가 더 무겁고 심각할 것이다.

대략적으로 분류하면, 개인정보는 다음과 같이 나뉜다

• 주민등록번호
• 고유식별정보(운전면허번호, 여권번호, 외국인등록번호)
• 민감정보
• 그 외 일반개인정보(주소, 이메일, 전화번호, 직장, 직종 등등)

위에 적힌 순서대로 보호우선순위와 기준이 높다; 더 중요하고 관련 처벌 수준도 더 높다.

• 예를 들어, 제일 중요한 주민등록번호 같은 경우는 가입하는 회원의 동의가 있어도 수집해선 안되고 법률적 근거가 있어야만 한다
• 즉, 법률 몇조몇항 명시 없이 단순 동의로만 주민등록번호를 수집하는 경우는 높은 확률로 불법이라고 보면 된다
• 민감정보는 개인정보 수집 동의를 받을때 일반개인정보랑 분리해서 별도로 동의 받아야한다

민감정보(special categories of personal data)

민감정보는 단순하게 사전적인 정의로 ‘민감한 정보’로 생각하면 안되고, 법률과 시행령에 있는 정의를 따져서 봐야한다. 민감정보 정의는 개인정보보호법 제23조제1항에 처음으로 등장한다.

제23조(민감정보의 처리 제한) ①개인정보처리자는 사상ㆍ신념, 노동조합ㆍ정당의 가입ㆍ탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 대통령령으로 정하는 정보(이하 “민감정보”라 한다)를 처리하여서는 아니 된다. (이하생략)

일단 법률만 보면 민감정보란 사상ㆍ신념, 노동조합ㆍ정당의 가입ㆍ탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보인데, 후단을 더 정확히 이해하기 위해서는 대통령령(개인정보보호법 시행령)까지 읽어야한다

제18조(민감정보의 범위) 법 제23조제1항 각 호 외의 부분 본문에서 “대통령령으로 정하는 정보”란 다음 각 호의 어느 하나에 해당하는 정보를 말한다. (중략)

1. 유전자검사 등의 결과로 얻어진 유전정보
2. 「형의 실효 등에 관한 법률」 제2조제5호에 따른 범죄경력자료에 해당하는 정보
3. 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보
4. 인종이나 민족에 관한 정보

시행령까지 봐야 민감정보인지 아닌지 구분할 수 있다. 유전정보, 범죄경력자료, 그리고 3호에 있는 생체인식정보류 등은 법적으로 민감하게 다루는게 맞아보인다. 그런데 4호(인종이나 민족에 관한 정보)가 좀… 속된말로 쌩뚱맞다. 우리나라안에서만 따지면 인종/민족 정보가 그렇게 중요하진 않을것같은데?

EU-GDPR(General Data Protection Regulation)

4호와 같은 조항은 우리나라의 개인정보보호법을 EU-GDPR과 유사한 수준으로 맞추기 위해서 들어간 것이다. 유럽 기준과 유사하게 맞추면 우리나라 기업들이 유럽에서 사업하는데 규제를 덜 받기 때문이다. 실제로 2021년 12월 17일, 우리나라에 대한 데이터 적정성(adequacy decisions)¹ 결정이 채택²되었다.

결정문에서 중요한 내용만 뽑으면 다음과 같다

data can be transmitted from the EU to South Korea without any further safeguard being necessary. In others words, transfers to the country will be assimilated to intra-EU transmissions of data. The possibility of a free flow of data would supplement the Free Trade Agreement between the EU and South Korea that entered into force in 2011.

• EU와 한국간 데이터 전송에서 규제 예외를 적용한다는 내용을 확인할 수 있다
• Free Trade Agreement가 보이는 걸로 봐서 무역과도 연관됨을 알 수 있다

• 심사는 2021년 6월부터 시작되어³ 2021년 12월까지 이루어진 것으로 보인다.
• 데이터 적정성 심사를 통과한 국가목록을 확인할 수 있는데 아시아권에서는 아직 한국과 일본만 있는 것으로 보인다.

GDPR Article 9

EU-GDPR에서 인종정보, 민족정보를 언급하는 부분은 Article 9으로 일부 발췌하면 다음과 같다.

1. Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation shall be prohibited.
2. Paragraph 1 shall not apply if one of the following applies: (이하 생략; 민감정보를 사용할 수 있는 경우를 기술하고 있음)

읽어보면 우리나라법과 굉장히 유사하다

• 원칙적으론 사용 금지, 제한적 사용 허용
  • Paragraph 2 부터 사용할 수 있는 제한적 조건들이 기재가 된다; (a) 명확한 동의(explicit consent), (b) 특정 의무를 하는데 필요하거나 정보주체의 권리 보장을 위한 것 등등 계속 보다보면 우리나라 개인정보보호법에 있는 예외적으로 개인정보를 활용 가능한 조건들이 보인다
• 민감정보의 종류도 비슷하다. 위 내용을 직역하면 ‘인종, 민족 정보, 정치적 견해, 종교 혹은 철학적 신념, 트레이드 유니온(노조랑 유사한거 같음) 가입여부, 유전자 정보, 개인(자연인) 식별을 위한 생체 정보, 건강과 성 생활에 관한 정보’로 우리나라법과 정의가 매우 유사하다

제도를 만드는 국가기관, 담당자들도 전세계 기준을 많이 참고하기 때문에 GDPR 등이 개정되면 우리나라법도 비슷하게 따라갈 것으로 예측할 수 있다

그런데 왜 Article 9에 인종, 민족 정보가 들어갔을까? 확실하지 않고 추정이지만 아무래도 과거 유럽에서 인종으로 심한 차별(유대인 대상)이 발생한 사례가 있어서 그런게 아닐까 싶다. 관련 자료를 찾아보았으나… 확실한 내용을 확인하기는 어려웠다.

References

• https://en.wikipedia.org/wiki/General_Data_Protection_Regulation
• https://www.gdpradvisor.co.uk/gdpr-countries

Footnotes

1. https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en ↩

2. https://eucrim.eu/news/commission-adopted-adequacy-decision-for-south-korea/ ↩

3. https://ec.europa.eu/commission/presscorner/detail/en/ip_21_2964 ↩