Law J. 2024; 84:71-96

pISSN: 1738-5903

DOI: https://doi.org/10.17248/knulaw..84.202401.71

헌법

개인정보처리의 연구특권에 관한 헌법적 연구

주민호 *
A Constitutional Study on Research Privilege in Personal Information Processing
Min-Ho Joo *
Author Information & Copyright
*법학박사 / 경북대학교 법학연구원 전임연구원
*Ph.D in Law / Researcher, Law Research Institute of Kyungpook National University

© Copyright 2024, The Law Research Institute, Kyungpook National University. This is an Open-Access article distributed under the terms of the Creative Commons Attribution Non-Commercial License (http://creativecommons.org/licenses/by-nc/3.0/) which permits unrestricted non-commercial use, distribution, and reproduction in any medium, provided the original work is properly cited.

Received: Jan 07, 2024; Revised: Jan 22, 2024; Accepted: Jan 22, 2024

Published Online: Jan 31, 2024

국문초록

이 논문은 개인정보보호법의 가명처리에 있어서 연구특권과 개인정보보호와의 관계를 법익균형성 관점에서 타당성을 밝히는 것을 목적으로 하였다. 현행 개인정보보호법에서 정보처리자는 과학적 연구를 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다. 그리고 과학적 연구 목적 달성을 위하여 정보주체의 권리를 적용하는 것을 제외하고 있다.

가명정보 처리는 정보의 보호밀도를 낮추어, 정보의 이용을 확대하기 위한 기술적 안전조치로서 개인정보자기결정권과 학문의 자유 사이에서 법익균형을 도모하고 있다.

이에 대하여 과학적 연구의 범위 확대, 민감 정보의 가명처리에서 학문의 자유와 개인정보보호의 법익균형의 관점에서 비교법적 관점에서 접근하였다.

우선 연구특권은 연구의 자유라는 기본권으로서 공익을 전제하고 있으므로, 연구를 통하여 사회발전에 기여한다는 측면에서 동의없이 가명처리하는 것이 가능하지만, 과학적 연구의 주체가 사적 영역의 연구 기관으로 범위가 확장되어, 과학적 연구는 연구의 방법적, 체계적, 검증가능한 특성을 반영하는 것이기 때문에, 과학적 연구가 곧바로 공익을 포함하는 것으로 평가하는 것은 타당하지 않다. 또한 현재의 개인정보보호법은 모든 개인정보에 대하여 가명처리가 가능하도록 하고 있으나, 민감정보의 가명정보 처리 시에는 비례적으로 공익을 요건으로 할 필요가 있다. 이는 정보처리자가 가명정보 이용을 확대하기 위하여 하나의 권리로서 접근권을 인정하는 측면에서 중요한 요건이 될 수 있다.

Abstract

This paper aims to clarify the validity of the relationship between research privilege and personal information protection in the process pseudonymized information under the Personal Information Protection Act from the perspective of the balance of legal interests. In the current Personal Information Protection Act, the data processor can process pseudonymized information without the consent of the data subject for scientific research. It also excludes the application of the rights of the data subject to achieve the purpose of scientific research.

Pseudonymization is a technical safeguard to reduce the protection density of information and expand the use of information, which promotes the balance of legal interests between the right to self-determination of personal information and academic freedom.

In this regard, we compared the GDPR in terms of expanding the scope of scientific research and balancing the legal interests of academic freedom and privacy in the pseudonymization of sensitive information.

First of all, the research privilege presupposes public interest as a basic right of freedom of research, so it is possible to pseudonymize without consent in terms of contributing to social development through research. However, since the scope of scientific research has been expanded to research institutions in the private sector, and scientific research reflects the methodological, systematic, and verifiable characteristics in research, it is not reasonable to evaluate that scientific research directly includes public interest. In addition, although the current Personal Information Protection Act allows pseudonymization of all personal information, it is necessary to proportionally require public interest when pseudonymizing sensitive information. This could be an important requirement for data processors to recognize the right of access as a right in order to expand the use of pseudonymized data.

Keywords: 개인정보; 연구특권; 가명정보; GDPR; BDSG
Keywords: Personal information; research privileges; pseudonym information; GDPR; BDSG

Ⅰ. 서론

인간으로부터 생성되는 개인정보는 그 자체로 과학 연구의 대상이며, 이는 의학, 심리학, 교육학 및 사회 과학 전반의 지식을 형성한다. 연구의 효과를 높이기 위하여 개별 개인정보들을 분석하고 연결할 수 있는 다양한 기술적 선택들이 수반되어야 하며, 기존의 관찰, 설문조사, 계산 및 실험에 더하여 오늘날에는 빅 데이터, 사물인터넷, 딥 러닝과 같은 새로운 연구 방법들이 개인정보보호와의 충돌이 불가피하게 되어, 연구의 자유와 개인정보자기결정권의 충돌하는 문제에 대한 해결 방안의 제시가 국가의 기본권 조정의무로서 핵심 과제가 되고 있다.

현행 「개인정보보호법」 제28조의2(가명정보의 처리 등) 제1항에서 “개인정보처리자는 통계작성, 과학적 연구1), 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다.”고 규정하면서 연구의 자유의 특권을 부여함을 통하여 연구의 자유와 개인정보자기결정권의 충돌로부터 입법적 차원에서 권리 간의 조화를 도모하고 있다. 또한 과학적 연구는 사회전체에 유익하며, 이를 통하여 생성된 과학적 지식은 장려되고 지원되어야 할 공공재임은 일반화된 전제라 할 수 있으며, 이에 대한 신뢰는 하나의 사회계약이라고 간주하여도 무방할 시대라 할 수 있다. 이와 더불어 정보통신의 발달로 인한 개인정보의 디지털화는 개인 정보의 생성과 배포를 용이하게 할 뿐만 아니라 연구의 수행 방식의 변화에도 큰 영향을 미치며, 연구의 영역도 민간과 공공 영역에서 발생하는 일반적 이익과 공익과의 명확한 구별도 어렵게 만들었다.

개인정보에 관한 연구특권으로서 과학적 연구는 「개인정보보호법」 제3절 가명정보 처리에 관한 특례에서 규율하고 있다. 가명정보의 중요한 기능은 정보주체의 동의를 얻지 않고 정보를 활용하거나 제3자에게 제공할 수 있으므로2) 개인정보 이용동의를 위한 사회적 비용 문제를 개선함으로써 개인정보를 이용한 과학적 연구의 확대에 기여할 수 있을 것으로 본다.

그럼에도 불구하고, 학술 연구의 경우에도 구체적인 상황과 연구 분야에 따라 개인정보의 통제권 행사의 밀도가 다르며, 보호 범위에 대한 해석도 차이가 있을 수 있다. 개인정보보호에 관한 권리의 제한은 이보다 우월한 공익에 의해서 가능하며, 이 경우에도 개인정보보호의 본질을 보호하는 법적 근거가 필요하며, 제한의 요건과 범위를 명확하게 제시할 필요가 있고 다른 기본권과 균형을 위하여 비례성 원칙이 준수되어야 할 것이다.

특히, 보호밀도가 높은 민감정보에 있어서는 과학적 연구 목적으로 다른 개인정보와 동일하게 가명정보처리 특례를 그대로 적용하는 것에 대한 타당성 검토가 필요하다고 본다. 원칙적으로 처리가 금지된 민감정보를 법이 정하는 바에 따라 수집·이용 및 제공이 가능한 것과 달리, 최초 적법하게 수집된 민감정보를 과학적 연구를 위하여(목적 외 이용) 가명처리하는 경우, 이에 대한 공익의 필요성이 그 요건으로 검토될 필요성이 있으며, 이는 과학적 연구의 주체가 사적 영역까지 그 범위가 확대됨으로써, 그로 인하여 과학적 연구 그 자체로 공익이 전제되기 어려울 뿐만 아니라 공익의 수준도 상이하다. 또한 개인정보를 이용한 과학적 연구의 활성을 위하여 민감정보를 포함한 모든 개인정보에 대하여 연구기관에게 가명처리를 전제로 다른 연구기관에게 정보접근권의 보장을 위해서도 이러한 논의는 필요할 것이다.

Ⅱ. 개인정보의 자기결정권과 연구의 자유의 이익형량

1. 개인정보의 자기결정권과 개인정보의 보호
(1) 개인정보자기결정권의 내용

우리 헌법재판소는 개인정보자기결정권에 대하여 「자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리로서, 헌법 제10조 제1문에서 도출되는 일반적 인격권 및 헌법 제17조의 사생활의 비밀과 자유에 의하여 보장된다. 이와 같이 개인정보의 공개와 이용에 관하여 정보주체 스스로가 결정할 권리인 개인정보자기결정권의 보호대상이 되는 개인정보는 개인의 신체, 신념, 사회적 지위, 신분 등과 같이 개인의 인격주체성을 특징짓는 사항으로서 그 개인의 동일성을 식별할 수 있게 하는 일체의 정보이다. 또한, 그러한 개인정보를 대상으로 한 조사·수집·보관·처리·이용 등의 행위는 모두 원칙적으로 개인정보자기결정권에 대한 제한에 해당」3)하는 것으로 판시하고 있다.

EU기본권헌장(EU-Grundrechte-Charta)은 제7조(개인과 가족의 삶의 존중)4)와 제8조 제1항(개인관련정보보호)5), 그리고 제13조(예술과 학문의 자유)6)를 규정하고 있다. 제7조는 사생활, 가족생활, 주거, 통신의 비밀을 보호하며, 사생활과 통신의 자유 보장은 정보자기결정과 통신비밀의 보호 영역에 일치하며 다른 개인과 외부 세계와의 관계를 형성하거나 회피할 권리를 보호하는 것이다.7)

특히 기본권 헌장 제8조는 개인정보에 대한 개인의 의사결정권을 보호하는 것이다. 제1항에 따라 모든 사람은 자신과 관련된 개인데이터를 보호할 권리가 있으며, 개인정보 처리 시에는 제7조의 사생활의 존중 또한 이 보호영역과 관련을 가진다. 그러나 개인정보보호는 사생활에 대한 존중보다 더 광범위하기 때문에 별도의 기본권으로 확립되어 있는 것이다.8)

궁극적으로 개인정보보호와 정보의 자기결정권은 개인이 스스로 사생활로 간주하는 것과 보호받기를 바라는 데이터를 결정할 수 있는 자유권이며, 이 자유는 독일 연방헌법재판소에 의해 기본법 제1조 인간의 존엄성과 제2조 제1항에 의한 자유로운 인격 발현권으로서 디지털 시대에서 인정된 정보자기결정권의 핵심영역으로 인정받고 있다. 그러므로 데이터 처리와 관련하여 개인정보 자기결정권은 보호되며, 그보다 우월한 공익이 인정된 경우에 한하여 법률로써 제한이 가능하다.9)

(2) 위험과의 비례적 관계로서 개인정보보호 규율의 필요성

유럽연합 일반 개인정보보호법(General Data Protection Regulation, 이하 GDPR)의 경우 많은 부분에 있어서 데이터 결합제도에 대하여 위험기반 접근법(risk based approach)를 취하고 있는 반면, 우리 「개인정보보호법」은 규정기반 접근법(rule based approach)를 취하는 측면이 강하다. 이는 개인정보처리자가 법규상의 의무만을 준수를 요구하는 구조로서 기술진보에 따른 제반 환경 변화 때마다 침해위험의 해소를 위해 재차 새로운 의무가 추가되는 구조를 가지게 된다. 이는 개인정보처리자가 데이터 환경에서 적절한 비례성 있는 조치를 취하게 될 융통성을 없애는 결과가 예상되므로 고위험데이터 결합 시에만 외부 전문기관을 통한 데이터 결합하도록 할 경우 심도 있는 가명처리의 적정성 심사를 검토할 필요성이 있다.10)11)

2020.2.4. 개정된 「개인정보보호법」에서 신설된 가명정보 규정은 통계작성, 과학적 연구, 공익적 기록보존의 경우에는 최초의 정보수집에서 동의 등의 사유로 적법하게 수집된 개인정보를 가명처리하면서 비동의 특권을 부여하고 있다. 그러나 우리나라의 「개인정보보호법」에 규정된 가명정보 처리에 관한 규정에는 가명처리와 이에 따른 안전조치로서 원래의 상태로 복원하기 위한 추가 정보를 별도로 분리 보관·관리와 함께 재식별조치를 금지하고 있다. 엄격한 규율의 관점에서 본다면, 가명정보 처리는 익명처리의 수준에 이르는 것으로 평가할 수도 있다. 그럼에도 불구하고 식별가능성이 여전히 존재하므로, 특히 보호밀도가 높은 민감정보에 대한 특별한 언급이 없이 연구특권 등으로 가명정보를 통하여 의율하는 것에 대한 타당성이 제기될 수 있다. 적어도 민감정보의 경우에는 공익적 필요성이 함께 고려되는 것이 타당할 것으로 보인다.

2. 연구의 자유
(1) 연구의 자유의 의의

EU기본권헌장(EU-Grundrechte-Charta) 제13조에는 학문과 예술의 자유를 규정하고 있지만, 현재까지 유럽법원(EuGH)에 의한 연구 및 학문에 관한 규범적 정의는 명확하지 않다.12)그러나 EU기본권헌장(EU-Grundrechte-Charta) 제13조는 독일 기본법의 영향을 받은 것으로 독일 연방헌법재판소에 의한 기본법 제5조 제3항(학문과 예술의 자유)에 대한 연구 개념은 “방법적이고(methodischer), 체계적이며(systematischer), 검증가능한(nachprüfbarer) 방법으로 새로운 지식을 획득할 목적을 가진 지적 활동(geistige Tätigkeit)”으로 정의하고 있다. 학문적 연구는 비예속적이며 독립적일 것을 요하며, 지식을 얻기 위하여 학문적 연구 방법에 따른 연구자 누구나 연구의 자유를 주장할 수 있다.13)

연구의 법적 개념 정의에 대한 기피는 연구의 자유의 보호영역과 밀접한 관련을 가지고 있다. 기본권 보장 차원에서 그 개념은 광범위하게 해석하는 것이 타당하므로, 기초연구와 응용연구, 경제적·비경제적 연구를 구분할 필요는 없어 보인다. 따라서 개인과 기관 및 산업적 연구 모두에서 연구의 자유는 보장된다. 그러나 연구의 자유도 제한 없이 인정되는 것은 아니며, 특히 과학적 연구는 현상을 관찰하고, 그 현상에 대한 가설을 세우고 이를 검증하며, 타당성에 대한 결론을 도출하는 과학적 방법이 적용되므로, 연구의 수행은 결론과 추론 모두 투명할 뿐만 아니라 비판이 보장되는 상황에서 개방적인 가설의 검증이 허용되는 것이며, 이러한 측면에서 개방성과 투명성은 유사과학과의 구별 기준가 된다.14) 또한 연구의 자유는 타인의 권리와 공익에 의한 한계가 인정되며, 그 한계는 다른 기본권과의 충돌을 고려하여 국가는 연구의 보장과 기본권 조정자로서 입법에 통하여 구체화하고 있다.

(2) 연구의 자유의 보장

연구의 자유는 기본권 제한 입법보다는 보장하는 형태의 입법 형식을 취한다. 연구의 자유의 법규범적 판단은 연구라는 자유권과 연구를 진흥하기 위한 각종 지원법을 통하여 설명 가능하다. 가령 「기초연구진흥 및 기술개발지원에 관한 법률」 제 1조(목적)에서 “기초연구를 지원·육성하고 핵심기술에 대한 연구개발을 촉진하고…”, 「연구산업진흥법」 제1조(목적)에서 “이 법은 과학기술 분야의 연구개발과 활동과 관련된 연구산업의 진흥에 필요한 사항을 정하여 연구산업의 발전의 기반을 조성하고 연구산업의 경쟁력을 강화함으로써 국민 생활의 향상과 국민경제의 발전에 이바지함을 목적으로 한다.”라고 규정함으로써, 국민의 생활과 경제발전을 위해 국가의 특별한 보호를 정하고 있다.

따라서 연구의 자유는 다양한 영역에서 과학, 연구, 혁신을 위한 중요한 입법에서 특권을 가지게 되며, 이에 대한 예외는 비윤리적 연구자유에 대한 제약 및 연구촉진의 인센티브 제거로 나타나게 된다.15)

(3) 연구의 자유의 보호영역 광협의 문제

연구의 법적 개념을 확정하는 것은 자연스럽게 연구의 자유의 보호영역과 그 한계에 논의로 옮아 간다. 과거 연구의 결과 예견된 사회적평가(Sozialfolgenabschätzung)를 통하여 연구의 보호영역을 좁게 보려는 시도가 있었고16), 이는 일어난 결과불법에 따라 보호영역을 결정하는 것으로 가령, 연구로 인한 환경파괴 문제, 그 자체로 보호영역이 축소되는 것은 연구를 지적 활동만을 보호하고 그 다루는 대상은 제외하였기 때문이었다.17)

특히 경제와 사회에 대한 과학기술의 연구의 실질적인 중요성이 증가되고, 연구로 인한 위험 발생이라는 외부효과의 급격한 상승으로 인하여 다른 기본권과의 충돌 시에 형량이라는 까다로운 절차를 거치기도 이전에 보호영역의 축소에 대한 판단은 성급하게 보이며, 특정 연구가 가지는 위험에 대한 평가가 보호영역의 배제로 귀결되는 것은 방법적으로 논리적인 기본권 심사체계를 가진 헌법 영역에서 수용하기 어렵다.

또한 학문과 같이 정의하기 어려운 기본권 보호영역의 경우, 축소된 보호영역으로 정의된다면, 일반적 행동의 자유권을 통하여 연구활동이 보호될 수밖에 없게 되므로, 이는 인간의 활동영역을 나누어 그 특성에 맞게 보호하려는 헌법의 기본권 체계와도 부합되지 않는다.18)

개인의 자유에 대한 기본권적 보장은 불가피하게 다른 제3자의 자유에 대한 체계내재적 위험(systemimmanente Risiken)이 수반되며19), 특히 연구의 자유에 내재하는 위험은 보호영역을 구성하며, 위험의 부담은 사회공동체의 적절하게 분배되어야 한다.

3. 연구 특권과 개인정보보호의 법익균형
(1) 연구의 자유의 해석 요소

기본권으로서 연구의 자유의 범위와 밀도의 해석에 대하여 다음과 같은 고려사항이 이용된다.

독일 연방헌법재판소는 학문의 자유가 개별 연구자에게 자유를 부여할 뿐만 아니라 공익에도 부합하는 것을 분명히 하였다.20)

1) 연구의 자유의 헌법지위상의 가치

연구의 자유의 한계는 독일 기본법 제2조 제1항(자유로운 인격 발현)의 한계로서 “합헌적 질서, 타인의 권리, 도덕률”이 그대로 적용되는 것은 아니지만, 동일한 가치의 법익 혹은 기본권에 의해서 그 한계가 인정된다.21) 연구의 자유는 법률유보 없는 기본권으로서 자유로운 연구활동과 그 자유를 보장하기 위한 연구지원을 권리의 내용으로 하고 있으므로, 성질상 자유권의 제한에 대한 일반적인 비례적인 제한과는 다르게 볼 수 있으며, 이는 일반적 법률유보를 취하고 있는 일반적 법제에 있어서도 권리의 성질상 권리제한 입법이 용이하지 않다. 그렇다고 하여 연구의 자유를 통하여 헌법상 보장된 다른 기본권을 비례적이지 않게 제약하는 것도 인정될 수 없다.22) 연구의 자유와 충돌하는 기본권 갈등은 헌법적 해석을 통하여 기본권 가치체계의 통일성을 고려하여 해결되어야 한다.

2) 연구의 자유에 대한 기본권의 공동체 관련성

넓은 의미에서 연구의 자유는 경제적, 사회적 관련성을 가진 기본권이다. 연구활동의 결과의 이익은 일자리, 복지, 사회 서비스의 기반이 되기 때문이다. 이는 과학적 연구는 공동체의 이익이며, 또한 동시에 위험을 의미하기도 한다. 따라서 연구의 자유의 확대는 공익에 부합함과 동시에 곧바로 위험의 확대를 의미할 수도 있으므로, 연구의 자유의 제한은 보호영역에 대한 제약의 문제가 아니라 연구의 자유가 가지는 가치에 내재된 한계라 할 수 있을 것이다.23)

또한 과학적 연구의 특별한 체계는 정보처리의 적법성, 목적 제한, 정보주체의 권리 등 통상적인 원칙은 적용하는 반면 정보처리자의 의무를 제외하는 방식으로 이는 정보처리에서 일정한 안전처리를 수반하도록 하여 상업적 목적 등으로 수집된 개인정보가 윤리적 감독의 틀 안에서 공익에 기여된다는 가정 하에 제공되는 것이며, 그에 상응하는 책임이 요청되는 원리로서 그 핵심을 이룬다고 할 수 있다.24)

(2) 연구특권의 형량과 비례적 조치
1) 연구의 자유와 개인정보자기결정권의 충돌

연구목적으로 개인정보를 가공하는 경우 헌법 제17조에서 도출되는 개인정보자기결정권과 헌법 제22조 제1항에 따른 연구의 자유는 충돌된다. 따라서 개인정보를 이용한 연구는 연구의 자유라는 기본권에 의하여 보호받지만 다른 한편으로는 개인정보주체는 개인인정보자기결정권에 의해 보호받는다. 두 기본권의 관계는 연구의 자유의 한계로서 개인정보자기결정권이 존재하기 때문에 이 한계는 공익으로서 정당화되어야 한다. 마찬가지로 개인정보보호의 측면에서도 연구의 자유가 가지는 핵심적 기능인 개인의 자아실현과 사회전반의 발전을 고려하는 것25)이 그 한계에 해당한다.

이러한 상호 기본권 한계에 존재하는 충돌문제에서 정당화의 검토는 개별적·구체적 사안에서 개인정보를 이용하는 연구에 있어서 구체화된 법률에 의한 의무의 부과 혹은 이용에 관한 권한이 부여되어야 한다. 가령 국가는 특정자료를 학문적 목적으로 제공할 의무가 있거나 특별한 사용제한, 특히 형법 제317조에 따른 직업상의 비밀유지의무에 적용을 받는 정보를 연구목적으로 사용해야 한다면 명시적으로 법률상의 근거를 필요로 한다. 연구의 자유가 헌법에서 규정된 다른 기본권과 충돌할 때는 정당하게 제한될 수 있다고 본다.26) 즉, 이러한 기본권의 충돌 문제를 해결하기 위해서는 개인정보보호를 위한 특별한 조정개념(ein spezifisches Ausgleichskonzept)을 필요로 하게 된다. 또한 연구의 자유를 위하여 개인정보를 처리하는 경우 특별한 권한을 부여하지만, 동시에 관련 당사자들의 기본권에 대한 특별한 보장이 요구된다.27)

독일은 정보보호법의 예외로서 연구의 비밀을 명문으로 규정하고 있지 않다. 하지만 연구비밀에 대한 요건은 연구의 자유와 정보의 자기결정권의 충돌 시 연구의 자유 쪽으로 해결해야 한다고 하며 특히, 전염병과 같은 특별한 상황에 있어서는 연구의 자유가 개인정보보호에 우선한다고 판시하고 있다.28) 연구의 자유는 헌법의 존중을 통한 제한적인 학자의 개인적인 기본권이며 제도적 보장이다.29) 다른 한편으로는 독일의 경우, 연구의 자유에 의한 기본권과 같이 법률의 유보 없이 보장되는 기본권은 헌법에서 보호하고 있는 다른 법익에 의해 제한 가능하다.30)

2) 연구특권의 역비례적 가명정보처리

정보처리와 정보의 보호밀도는 비례적 관계에서 안전조치가 요구된다. 연구특권으로서 가명정보처리는 정보주체의 동의권을 희생하는 대신, 정보의 보호밀도를 기술적인 방법으로 조정하여 공익성이 내포된 연구의 자유를 확장하는 방식의 역비례적 조치라고 할 수 있다.

그러나 「개인정보 보호법」상의 ‘과학적 연구’의 수행 주체는 공적 영역과 사적 영역을 구분하지 않으며, 과학적 연구의 수행 방법의 타당성에 대한 인정 여부에 중점을 둔 것으로, 수행 주체의 범위는 확대되는 경향을 가진다. 이는 사적 연구 기관의 연구 또한 공적 기관의 사회적 기여가 적지 않을 뿐만 아니라, 정보의 이용한 산업의 발전이 국익을 도모한다는 정책적 판단에 기인한 것으로 해석되며, 이는 타당하다고 본다. 그럼에도 불구하고 과학적 연구의 주체의 확장과 그 주체들이 모두 공익성을 가진다는 명제에는 찬성하기가 어렵다.

특히 우리 「개인정보 보호법」상 과학적 연구에서는 최초의 정보수집 목적 외 이용을 동의 없이 가명정보처리를 허용하는 특례에서 보호밀도가 높은 민감정보에 관한 언급이 없으므로, 보호밀도가 상이한 모든 개인정보들이 동법 제28조의2(가명정보의 처리 등)의 적용 대상이 되는 것은 동법 제23조(민감정보의 처리 제한)과의 관계를 명확히 할 필요가 있다. 이에 대하여는 후술하는 EU 입법례를 통하여 소개한다.

Ⅲ. 우리나라와 EU의 개인정보 처리 연구특권에 관한 규범 비교

1. 우리나라 「개인정보보호법」상 과학적 연구목적의 규율
(1) 「개인정보보호법」 상 과학적 연구를 위한 가명정보 특례

우리나라는 「개인정보 보호법」 제28조의2(가명정보의 처리 등) 제1항에서 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다고 규정하고 있고, 동법 제28조의3(가명정보의 결합 제한) 제1항에서 서로 다른 정보처리자 간의 가명정보의 결합은 보호위원회 또는 관계 중앙행정기관의 장이 지정하는 전문기관이 수행하도록 규정하고 있다.

이러한 규정은 가명정보의 처리의 특례로서 개인정보의 이용 확대에 대한 기대 반영으로써 이미 수집된 정보에 대하여 추가처리에 대하여 과학적 연구 등에 대한 정보주체의 비동의 사유로서 규정된 것으로 볼 수 있다.31) 이는 개인정보처리 원칙과 관련하여 목적 제한의 원칙 즉, 가명정보를 과학적 등의 목적으로 이용하는 경우, 최초 개인정보수집 시의 목적과 양립하지 않은 경우에도 처리가 가능하다는 측면에서 개인정보 이용 확대에 큰 기여를 한다고 볼 수 있다.32)

또한 사업장 내 방문객 수의 집계 등으로 인한 통계목적의 CCTV 영상정보를 과학적 목적의 연구를 위하여 활용 가능 여부에 대하여도, 해당 영상정보를 특정 개인을 알아볼 수 없도록 가명처리를 한 후 연구목적으로 활용 가능하도록 하고 있다.33) 그러나 동법 제26조 제5항에서 수탁자가 위탁받은 업무 범위를 초과하여 개인정보를 이용할 수 없도록 규정하고 있어, 수탁자는 업무 범위를 초과한 경우에는 과학적 연구를 위한 가명처리는 허용되지 않는다.34)

다만, 이러한 가명 처리라는 추가 처리라는 특례로서의 동의 이외에도 개인정보처리의 적법성 차원에서 최초의 개인정보 수집·이용에서 제15조 제1항 제6호의 ‘정당한 이익의 달성’을 위해 ‘필요한 경우’에 있어서 명백하게 정보주체의 권리보다 우선하는 경우, 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니한 경우와 관련하여 동의 절차 이외의 사유로서 연구목적으로 개인정보 보호 목적으로서 적용 가능 여부가 명확하지 않다.

생각건대, 원칙적으로는 과학적 연구라 하더라도 최초 개인정보의 수집과 이용에 관하여, 「개인정보 보호법」 제15조 제1항에서 열거하고 있는 범위를 충족해야 한다고 본다.35) 원칙적으로 과학적 연구목적의 추가처리(가명처리)에 한정하여 비동의 사유로 인정하는 것이 타당해 보인다.36) 동법 제15조 제1항의 범위가 주로 정보주체와 관련성을 가지거나, 우월한 공익의 존재를 요건으로 하는 반면, 제6호는 정보처리자의 정당한 이익으로 규정하고 있다. 이는 GDPR 제6조 ⒡호37)와 유사하지만, 정보처리자 혹은 제3자의 정당한 이익으로 그 주체의 범위가 우리 나라보다 넓게 규정하고 있고, 정보주체의 기본적 권리와 자유와 정당한 이익 간의 이익균형을 요청하고 있으므로, 이는 개별적 사례에서 검토가 필요하다.

그러나, 이러한 법익의 균형을 위하여 비례적인 안전조치가 수반되는 경우라면, 우리 「개인정보 보호법」 상, 사실상 유일하게 opt-out 형식의 정당한 이익은 그 범위가 확대될 가능성이 크다고 본다. 즉 비례적인 안전조치38)와 더불어서 정보주체의 사후 조건 없는 권리 행사를 통한 권리간의 최적화를 통하여 국외의 법체계와 상대적으로 경직된 우리나라 개인정보 법제가명정보 비동의 사유 이외에도 그 적용을 넓힐 수 있을 것으로 생각된다.

다만, 이러한 가명 처리라는 추가 처리라는 특례로서의 동의 이외에도 개인정보처리의 적법성 차원에서 최초의 개인정보 수집·이용에서 제15조 제1항 제6호의 ‘정당한 이익의 달성’을 위해 ‘필요한 경우’에 있어서 명백하게 정보주체의 권리보다 우선하는 경우, 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니한 경우와 관련하여 동의 절차 이외의 사유로서 연구목적으로 개인정보 보호 목적으로서 적용 가능 여부가 명확하지 않다

(2) 가명처리의 비동의 사유로서 연구특권에 대한 헌법재판소의 판단
1) 가명정보처리의 비동의에 대한 개인정보자기결정권 침해 여부(개인정보 보호법 제28조의2 등 위헌확인)

헌법재판소는 「개인정보 보호법」 제28조의2 제1항이 통계작성, 과학적 연구, 공익적 기록보존을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있도록 하고, 「신용정보의 이용 및 보호에 관한 법률」 제32조 제6항 제9호의2 중 같은 조 제1항 본문 및 제2항 전문을 적용하지 않는 부분이 신용정보제공·이용자, 신용정보회사, 신용정보집중기관이 통계작성, 연구, 공익적 기록보존을 위하여 가명정보를 제공하는 경우에는 신용정보주체로부터 개별적인 비동의 사유로 규정한 것에 대하여 정보주체의 개인정보자기결정권을 침해하지 않는 것으로 보았다.39) 「가명정보의 경우 원래의 정보로 복원하기 위한 추가 정보의 사용·결합 없이 그 자체만으로는 특정 개인을 알아볼 수 없고 극히 예외적인 경우에만 정보주체의 식별이 이루어지므로, 일반적인 개인정보에 비해 정보주체의 인격권이나 사생활의 자유에 미치는 영향이 크지 않다.」고 제시함으로써 침해의 최소성을 인정하고, 개인정보자기결정권과의 법익균형에 관하여 결정요지에서 「“통계작성, 연구, 공익적 기록보존”을 효과적으로 수행하고자 하는 공익이 가명정보가 제한된 목적으로 동의 없이 처리되는 정보주체의 불이익보다 크다고 할 수 있으므로, 법익의 균형성도 갖추었다.」40)고 판시하였다.

특히 동 판례에서, 우리나라의 「개인정보보호법」과 유사한 ‘유럽연합(EU) 일반 개인정보 보호법’(General Data Protection Regulation, 이하 ‘GDPR’이라 한다)과 관련하여 법체계상 가명정보 처리에 따른 법률효과의 차이를 명백히 하였다. 「GDPR에는 개인정보가 가명처리되었다는 사실 자체만으로 이를 제한된 목적으로 정보주체의 동의 없이 처리할 수 있도록 허용하는 규정은 존재하지 않는다. 대신 개인정보의 목적 외 이용을 허용하는 규정에 의해서 결과적으로는 개인정보조항과 유사한 가명정보 활용을 허용하고 있다. 구체적으로 살펴보면, GDPR은 개인정보를 처리하기 위해서는 정보주체의 동의 등 적법한 근거가 필요하다고 규정하고(제6조 제1항 참조), 개인정보를 수집할 때는 처리 목적을 구체적으로 특정하여야 하고 그 목적과 양립가능하지 않은 방향으로 추가 처리해서는 안 된다는 원칙을 두고 있다[제5조 제1항 (b) 전문 참조]. 그런데 그와 동시에 “공익적 기록보존 목적, 과학적 또는 역사적 연구 목적, 통계 목적”으로 추가 처리하는 경우로서 제89조 제1항을 준수하는 경우에는 당초의 목적과 양립가능한 추가 처리로 간주한다[제5조 제1항 (b) 후문 참조]. 제89조 제1항은 “공익적 기록보존 목적, 과학적 또는 역사적 연구 목적, 통계 목적”을 위하여 정보를 처리할 때에는 정보주체의 권리와 자유 보장을 위하여 적절한 보호조치를 하여야 한다고 규정하면서, 특히 정보 최소화의 원칙을 준수하기 위한 기술적·관리적 조치가 확보되도록 해야 하며, 이러한 조치에는 가명처리를 통해서 처리 목적을 달성할 수 있다면 가명처리가 포함될 수 있고, 정보주체를 식별할 수 없는 방식으로도 처리 목적을 달성할 수 있다면 그러한 방식으로 처리하여야 한다고 규정한다. 즉, GDPR에서 가명처리는 정보주체의 권리를 보호하기 위한 조치의 대표적인 예로 규정되어 있다.

한편, GDPR은 원칙적으로는 민감정보의 처리를 금지하되, 당초의 목적과 상당한 관계에 있고 정보주체의 권리를 보호하기 위한 적절한 조치를 제공하며 제89조 제1항을 준수하는 경우로서 “유럽연합법 또는 회원국법에 따라 공익적 기록보존 목적, 과학적 또는 역사적 연구 목적, 통계 목적”으로 처리하는 경우라면 예외적으로 민감정보를 처리할 수 있다고 규정하고 있다[제9조 제2항 (j) 참조].

따라서 GDPR의 다른 규정을 통하여 정보주체의 동의 없는 처리가 허용되는 경우는 별론으로 하고, 적어도 제5조 제1항 (b) 후문 및 제9조 제2항 (j)에 따라 예외가 인정되는 경우에 그 문언에서 명시한 목적의 범위는 “공익적 기록보존 목적, 과학적 또는 역사적 연구 목적, 통계 목적”으로 한정되어 있다.」41)고 판시하였다.

2) 가명정보에 대한 정보주체 권리 적용 제외 조항의 개인정보자기결정권 침해 여부(개인정보 보호법 제28조의7 등 위헌확인)

헌법재판소는 「개인정보보호법」 제28조의7, 「신용정보의 이용 및 보호에 관한 법률」(이하, 신용정보법) 제40조의3에 따라 정보처리자에게 부과된 각종 의무 조항에 대하여 가명정보처리에서 적용 제외하는 것이 정보주체의 개인정보자기결정권 침해하지 않는 것으로 판시하였다.42)

우리나라 「개인정보보호법」은 정보처리시 관련 사항을 정보주체에게 통지할 의무, 열람, 전송 요구, 정정·삭제 요구, 처리정지 요구할 권리를 부여하고 있지만, 이를 가명정보에 있어서는 그 적용을 배제하고 있다. 이는 가명처리한 정보에 대하여 정보주체로 하여금 열람·정정·삭제 및 처리정지 등의 권리를 인정하게 될 경우, 재식별조치의 불가피성에 의하여 원래의 정보로 되돌려 오히려 위험이 큰 정보로 되돌림으로써 정보주체의 예기치 못한 피해를 줄 가능성을 지적하였다. 또한 헌법재판소는 재식별처리의 어떠한 예외를 두지 않는 것에 대하여 「가명정보는 특정 개인에 관한 사실을 파악하기 위한 목적으로 처리되기보다는 과거의 경향성을 분석하여 장래를 예측하고 전략을 수립하는 등의 목적으로 주로 처리되므로, 다수 정보주체에 관한 가명정보가 방대한 정보집합물의 형태로 한꺼번에 처리되는 경우가 많다. 만일 정보주체 1인이 자신의 가명정보에 대한 권리 행사를 이유로 재식별을 요청하면, 가명정보는 그 자체만으로는 특정 개인을 식별할 수 없으므로 정보집합물 전체를 재식별하여 그 중에서 권리를 행사한 정보주체에 대응하는 개인정보를 특정하는 일이 발생할 수 있다. 이와 같은 작업은 경우에 따라 많은 시간과 비용이 소요될 수 있을 뿐만 아니라, 자신에 관한 가명정보가 재식별되기를 원하지 않는 다른 정보주체들의 가명정보도 모두 함께 재식별되는 불합리한 결과가 발생하게 된다. 이는 결국 가명정보의 집합 전체가 빈번하게 재식별되는 결과를 초래하므로, 사실상 특정 개인의 식별이 상시 가능한 상태에 놓여 가명처리를 함으로써 정보주체의 개인정보자기결정권을 보호하고자 한 입법목적을 충분히 달성할 수 없게 된다」43)고 함과 아울러, 이에 관한 비례적 안저조치로서 「개인정보처리자는 “통계작성, 연구, 공익적 기록보존” 목적으로 정보주체의 동의 없이 가명정보를 처리하는 경우 등에는 원래의 상태로 복원하기 위한 추가 정보를 별도로 분리하여 보관·관리하는 등 해당 정보가 분실·도난·유출·위조·변조 또는 훼손되지 않도록 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 하고(개인정보 보호법 제28조의4 제1항 참조), 신용정보회사 등은 가명처리에 사용한 추가 정보를 대통령령으로 정하는 방법으로 분리하여 보관하거나 삭제하여야 하며, 가명처리한 개인신용정보에 대하여 제3자의 불법적인 접근, 입력된 정보의 변경·훼손 및 파괴, 그 밖의 위험으로부터 가명정보를 보호하기 위하여 내부관리계획을 수립하고 접속기록을 보관하는 등 대통령령으로 정하는 바에 따라 기술적·물리적·관리적 보안대책을 수립·시행하여야 한다(신용정보법 제40조의2 제1항, 제2항 참조). 또한, 개인정보처리자 및 신용정보회사 등은 가명정보의 처리에 관하여 기록을 작성하여 보관하여야 한다(개인정보 보호법 제28조의4 제3항, 신용정보법 제40조의2 제8항 참조).」44)고 판시하여 법익침해를 최소화한 것으로 보았다.

2. GDPR에서의 연구특권
(1) 연구에서 다른 목적으로 수집된 정보의 이차 활용의 허용

GDPR 제5조(개인정보처리원칙) 제1항 ⒝호에서 개인정보는 “구체적이고 명시적이며 적법한 목적을 위해 수집되어야 하고, 해당 목적과 양립되지 않은 방식으로 추가 처리되어서는 안 된다. 공익적 기록보전의 목적, 과학적 또는 역사적 연구 목적, 또는 통계적 목적을 위한 추가 처리는 제89조 제1항45)에 따라 본래의 목적과 양립되지 않는 것으로 보지 않는다.”고 규정하고 있다.

이는 연구 활동에 의해서 발생하는 공익과 특정한 상황으로 개인정보보호 규범을 적용하려는 명확한 의도를 반영하는 것으로 개인의 무결성에 대한 권리로서 사생활 보호에 대한 위험으로서 기본권과 학문과 예술의 자유라는 기본권 간의 충돌로써 간주하기 보다는 개인의 권리와 다른 이익 간의 공정한 균형(fair balance)를 추구하여야 하는 당위에 대한 표현으로 보고 있는 것이다.46)

본래 개인정보의 처리는 GDPR 제5조 제1항 ⒝호에 따라 항상 명시적이 합법적인 목적을 위하여 수집된 정보이어야 하며, 원래의 수집 목적과 양립하지 않은 경우에는 목적 제한의 원칙에 따라 추가처리가 허용되지 않는다. 이에 대하여 동법 제6조에서 개인정보처리의 적법성에서는 양립가능한 목적으로 추가적으로 이용되는 경우 별도의 근거를 요하지 않도록 하여 수집된 정보에 대하여 정보주체와 정보처리자의 관계에 기초한 합리적인 기대를 전제로 하고 있다. 이에 대하여 구체적으로 과학적 연구의 추가 처리에 대하여 수집 목적과 양립가능할 것으로 간주하면서, 그 요건으로 고려될 사항으로 개인정보의 성격, 예정된 추가 처리가 정보주체에 미치는 결과, 당초 처리작업 및 추가처리에서 적절한 안전 조치의 유무를 제시하고 있다.47)

(2) 개인정보의 접근권으로서 과학적 연구 목적

이에 더하여 과학적 연구과 개인정보 추가처리에 대한 하나의 논점으로 과학적 연구 목적으로 개인정보 접근권을 들 수 있다. 앞서 살펴본 바와 같이 과학적 연구의 주체는 공공기관과 영리 목적의 사적 연구기관을 구분할 필요 없이 수행 주체의 범위에 관하여는 폭넓게 인정할 뿐만 아니라 과학적 연구의 범위도 넓게 인정하기 위하여 법적 개념으로 명시하지 않는다. 하지만 개인정보주체의 명확한 동의 이외의 방법으로 사적 영역의 기관이 공적 영역에서 수집한 개인정보에 대하여 과학적 연구 목적을 이유로 개인정보 접근권의 인정 여부에 대한 법적 평가가 논의될 수 있다.

사견으로 이러한 구체적 권리로서 정보접근권이 인정되기 위해서는 과학적 연구라는 목적 이외에 추가적으로 공익의 요건이 필요하다고 생각된다. 이에 관한 GDPR 제6조 제1항 ⒠호48) 유럽인권법원 판례49)에 의하면 공익 (public interest) 목적을 수행하기 위하여 필요한(necessary) 경우란, 일반적인 사적 혹은 상업적 이득과 달리 긴박한 사회적 필요(pressing social need)를 의미한다. 이러한 맥락에서 공익을 목적으로 한 과학적 연구에 대한 구체적 의미의 해석에는 일반적 이익과 같은 공동체의 이익 외에 시간적 긴밀성과 사회적 기대가 요청되며 이러한 경우에 한하여 개별 법률의 제정에 우선하여 기본권 차원에서 구체적 권리가 인정될 수 있다고 생각된다.

개인정보의 이용확대라는 관점에서 정보처리자와 정보주체의 법익 균형을 위한 비례적 안전 조치, 가령 가명정보의 처리를 통한 정보주체의 인격적 보호 조치 수반을 통하여, 개인정보 접근권이 확대는 가능할 것으로 본다.

(3) 특정범주 개인정보의 처리의 특권과 목적 제한의 동의

GDPR 제9조 제1항은 특정 범주의 정보(special categories of personal data) “인종 또는 미족, 정치적 견해, 종교적 또는 철학적 신념, 노동조합 가입여부를 나타내는 개인정보의 처리와 유전자 정보, 자연인을 고유하게 식별할 목적의 생체정보, 건강정보, 성생활 또는 성적 취향에 관한 처리”를 금지하고 있지만, 동법 제2항에서 ⒥호에서 추구하는 목적에 비례하고 개인정보보호권의 본질을 존중하며, 개인정보주체의 기본적 권리 및 이익을 보호하기 위해 적절하고 구체적인 조치를 제공하는 유럽연합 또는 회원국 법률에 근거하여 동법 제89조 제1항에 따른 공익적 기록보존 목적, 과학적 또는 역사적 연구 목적, 또는 통계적 목적을 위해 처리가 필요한 경우에는 그 적용을 배제하고 있다.

또한 동법 제89조 제1항에서 특정범주의 개인정보 처리를 위해서 적정한 안전조치(appropriate safeguards)의 적용, 데이터 최소수집의 원칙이 준수되도록 기술 및 관리조치를 이행하도록 하면서도, 그 조치에 정보처리의 목적을 달성할 수 있는 경우에는 가명처리를 포함하도록 하여 연구 특권을 보장함과 동시에 특정목적 달성을 불가능하게 하거나 중대하게 손상시킬 것으로 예상되는 경우에는 정보주체의 권리인 제15조(정보주체의 열람권), 제16조(정보주체 개인정보 정정 요구권), 제18조(처리 제한권) 및 제21조(프로파일링 반대할 권리)를 배제할 수 있도록 하고 있으며, 공익적 기록보존의 경우에는 제15조(정보주체의 열람권), 제16조(정보주체 개인정보 정정 요구권), 제18조(처리 제한권), 제19조(정보처리자의 개인정보의 정정, 삭제, 처리에 대한 고지의무), 제20조(정보주체의 개인정보 이전권) 및 제21조(프로파일링 반대할 권리)에 명시된 적용에 대하여 배제할 수 있도록 하고 있다.

그럼에도 불구하고, 연구자들은 데이터 수집 시점에서 정보주체의 명확하고 적극적인 동의를 과학적 연구 목적으로 개인정보 처리 목적을 명백히 할 수 없다는 한계를 이유로 포괄적 동의(broad consent)에 의존하려는 경향이 크기 때문에 정보주체의 의도된 목적이 허용하는 범위 내에서 특정 분야의 연구 혹은 프로젝트에 대하여 동의를 할 기회가 주어져야 한다. 특히 특별 범주 개인정보는 정보주체의 명확한 동이 없이는 처리가 금지되고, 과학적 연구의 맥락에서 자동화된 의사결정과 적정정 판단이 없는 정보의 국외이전의 사례에서 잠정적인 법적 근거가 된다.50)

이는 동법 제9조 제2항 ⒥호에서 동법 제89조의 연구목적의 가명처리와 관련하여 추구하는 목적에 비례하고, 개인정보보호의 본질을 존중하며, 개인정보주체의 기본적 권리 및 이익을 보호하기 위해 적절하고 구체적인 조치를 제공하는 유럽연합 또는 회원국의 법률에 근거하도록 그 전제를 설정하고 있는 것으로 비추어 연구목적이 가지는 한계로서 공익에 근거한 법률유보를 요청하고 있는 것으로 해석된다.

3. BDSG에서의 연구특권
(1) BDSG 제27조의 연구특권의 개관
1) 특정 범주의 개인정보 처리의 예외의 목적

과학적 목적의 데이터 이용에 관한 규제는 1977년 독일 연방개인정보보호법(Bundesdatenschutzgesetz, 이하 BDSG)에서부터 최초 규율되었고, 1990년 BDSG(aF)51)에서는 과학적 목적을 위한 개인정보의 수집, 저장, 변경 및 이용에 관한 여러 규정으로 확산되었다가 현재의 규정에 이르게 되었다. BDSG 제27조 제1항 GDPR 제9조 제1항52)의 특정 범주53)의 개인정보의 처리를 원칙적으로 금지함에도 불구하고 과학적·역사적 목적의 연구나 통계적 목적의 개인정보 처리의 경우에 있어 개인정보처리의 이익이 배제에 대한 당사자의 이익보다 현저하게 중요할 때, 정보주체의 동의 없이 개인정보를 처리할 수 있도록 하고 있다. 이 규정은 점증하는 데이터의 처리와 결합이 연구를 위하여 중요해지고, 이에 대한 신뢰와 참여를 보장하기 위하여 원칙적 금지에 대한 예외 요건(Ausnahmetatbestand)과 개인정보보호의 처리의무를 동시에 부여한 것으로, 이에 따라서 데이터를 정보주체의 동의 없이도 정보처리를 위한 적절하고 구체적인 조치를 마련한 경우에 한하여 민감정보를 처리할 수 있게 된다.54)

또한 동법 제2조에서는 관련 당사자의 권리가 연구목적 또는 통계목적을 실현 불가능하게 하거나 심각하게 저해할 것으로 예상되는 경우 GDPR 제15조(정보주체의 열람권), 제16조(정보주체 개인정보 정정 요구권), 제18조(처리 제한권) 및 제21조(프로파일링 반대할 권리)를 배제할 수 있도록 하고 있으며, BDSG 제27조 제3항에서 과학적 연구 목적을 위하여 정보가 이용될 경우, 가능한 한 즉시 익명처리를 의무로 하지만, 당사자의 정당한 이익에 반하는 때에는 예외로 하고 있다.

2) GDPR과의 관계

GDPR은 직접적인 효력을 가지며 독일 법률에 대하여 우위에 있다. 그러므로 GDPR 제9조 제1항의 특정범주 개인정보 처리의 원칙적 금지는 독일에서 준수되어야 한다. 그럼에도 불구하고 동법 제9조 제2항 ⒥호에 따른 과학적 연구 목적의 예외를 허용하면서 동법 제89조 제1항에서 개인정보보호의 안전조치가 적용되고, 데이터 최소의 원칙이 준수되고 기술적·관리적 조치의 이행이 요구되며, 이러한 조치에는 가명처리 방식으로 그러한 목적을 달성할 수 있다면 가명처리가 포함될 수 있도록 하며, 개인정보주체의 식별을 허용하지 않도록 추가처리할 수 있는 방식을 요구하고 있다. 이는 GDPR 규정이 과학적 연구로 인한 데이터 처리에 관한 예외적 구성요건을 개별 회원국의 입법자에게 열어둔 것이라 할 수 있다.55)

그럼에도 불구하고 BDSG 제27조 제1항의 법적 성질에 정확하게 정리된 것은 아니다. 특정 범주의 개인정보 처리에 대하여 BDSG 제27조 제1항 그 자체가 법적 근거가 된다는 것과 별도의 법적 근거가 있어야 한다는 주장이 대립한다. 개정 법률안의 목적으로 독일 입법부는 후자의 입장에 따라 GDPR과 적합성을 가진 개정 BDSG에 따라 기존 영역별 데이터 보호 조항에 대하여 추가 조정할 필요성을 제기하였다.56)

또한 BDSG 제27조 제1항이 데이터보호법상의 모든 징표를 포함하는 것에는 반론의 여지가 있으며, 데이터 처리에 대한 명시된 목적을 위해 허용되는 조건을 규정하고 있다. GDPR 제6조 제1항 ⒡호57)의 예와 마찬가지로 BDSG 제27조 제1항은 이익형량을 통하여 공익적 목적이 우위를 가질 경우를 전제하고 있기 때문이다. GDPR 제9조 제2항은 GDPR 제6조와의 관계에서 특별한 지위에 있으며, GDPR 제9조 제2항의 목적 비례성·개인정보보호권의 본질 존중·보호를 위한 적절하고 구체적 조치 제공은 종국적으로 개인정보처리자에게 허가조건을 구성한다고 볼 수 있다.58)

따라서 특정 범주의 개인정보의 추가처리에 관하여 BDSG 제27조는 BDSG 제23~25조에 대한 특별 관계이며, 또한 개별 법률에서 개인정보 처리를 재차 제한이 가능하다. 가령 베를린 주병원법(Landeskrankenhausgesetz Berlins)에서는 의사가 자신의 전문 분야나 사업 단위 내에서 수집되고 저장되는 과학적 연구 프로젝트에 데이터를 사용하는 경우에만 연구 목적으로 환자 데이터를 처리할 수 있다고 규정하고 있고, 산업적 이용은 금지된다.59) 또한 환자의 데이터 처리시 다른 주병원법에서는 연구목적으로의 공익이 존재하고, 환자의 이익보다 우위에 있을 것을 요구하며60), 동의를 얻을 수 없거나 기대하기 힘든 경우61)를 요건으로 하기도 한다. 이러한 예들은 단편적이고 통일되지 않은 주법률에 의하여 연방법률인 BDSG 제27조의 연구특권이 심각하게 제한될 수 있음을 보여주는 것이다.62)

(2) 추가처리를 위한 특권

GDPR 제5조 제1항 ⒝호 1문은 “개인정보는 구체적이고 명시적이며 적합한 목적을 위해 수집되어야 하고, 해당 목적과 양립되지 않는 방식으로 추가 처리되어서는 안 된다.”고 하여 목적 제한을 명시하고 있으나, 제2문에서 “공익적 기록보존의 목적, 과학적 또는 역사적 연구 목적 그리고 통계적 목적을 위한 추가 처리는 제89조 제1항63)에 따라 본래의 목적과 양립되지 않는 것으로 보지 않는다.”고 규정하고 있다. 따라서 정보처리자는 추가처리 시 최초 처리의 법적 근거에 의존하게 되며, 추가적이며 새로운 법적 근거를 요하지 않는다. 즉, 다른 목적으로 수집된 개인정보라도 특권적 목적을 위한 추가 처리의 장애가 되지 않는다. 이는 GDPR 전문(Erwägungsgrund)50에서 “공익적 기록보존의 목적, 과학적 또는 역사적 연구 목적 그리고 통계적 목적을 위한 추가처리는 적법한 것으로 간주하는 것과 유럽연합 또는 회원국 법률도 법적 근거가 될 수 있음”을 명시하는 것으로 뒷받침된다.64) 그럼에도 불구하고 GDPR 제89조 제1항에서 개인정보주체를 위한 적정한 안전조치와 데이터 최소화원칙의 준수는 특권에 대한 제한으로서 정보처리자의 특권과 관련 당사자 사이의 이익조정으로서 정당화되며, 구체적인 안전조치는 연구목적이나 관련 데이터와 정보 처리 기관에 따라 달라진다.65)

Ⅳ. 결론

연구의 자유는 그 성질상 공동체 가치의 제고를 위한 공익적 목적이 내포되어 있기 때문에, 그 제한에 있어서 일반적인 자유권의 비례성 원칙과는 달리 적용된다고 할 수 있다. 따라서 개인정보 처리에 기본권 충돌 시에 개인정보 보호의 본질적 영역을 침해하지 않는 범위 그리고 기술적 안전조치 등을 통하여 보호밀도의 조정을 통하여 법익의 형량에 있어서도 우월적 지위를 가진다고 할 수 있다.

그러나, 「개인정보보호법」의 가명정보 처리의 목적으로 과학적 연구의 범위가 확대됨에 따라 과학적 연구를 곧바로 전제된 공익이라고 간주하는 것은 타당하지 않다. 이러한 관점에서 우리나라를 비롯한 EU, 독일의 개인정보보호법은 가명정보 처리 시에 연구특권을 규정하고 있다. 우리나라의 개인정보보호법은 과학적 연구 목적의 경우, 정보의 보호밀도에 관한 특별한 언급 없이 가명정보특례로서 개인정보 추가 처리에 한하여 동의 의무의 면제라는 특례를 규정하고 있으나, EU와 독일의 경우에는 공익적 성질을 근거로 하여 연구특권을 보장하고 있다.

이는 과학적 연구의 범위가 기업의 연구소와 같이 산업적 이익을 추구하는 경우를 포함하고 있고, 개인정보 영향평가와 같이 정보처리의 적정성에 대하여 검증의 대상으로 EU는 모든 정보처리자가 포함되지만, 우리의 경우 「개인정보보호법」 제33조에 따라 개인정보 영향평가에 대하여 공공기관만을 그 대상으로 하기 때문에 나타나는 위험체계의 관리에서 차이를 보이는 것으로, 특히 보호밀도가 높은 민감정보의 처리에서 사적 영역의 과학적 연구에 대한 엄격한 안전조치는 불가피할 것으로 보인다.

또한 민감정보의 가명처리시에 연구목적의 비동의 특례에서 공익에 대한 고려가 추가적 요건으로 필요한 것은, 과학적 연구 목적의 가명처리의 활성화에 기여할 수 있다고 본다. 추가되는 요건을 통하여 제도가 활성화된다는 것이 역설적이긴 하나, 이는 연구의 질과 양적 측면에서 정보의 수집과 이용의 용이성 측면에서 정보처리자들이 공익을 이유로 정보의 접근권을 확대할 수 있기 때문이다. 공익을 요건으로 민감 정보 등에 대한 접근을 하나의 권리로서 보장받는 것이다.

Notes

1) 「개인정보보호법」 제2조 제8호에서 “과학적 연구”란 기술의 개발과 실증, 기초연구, 응용연구 및 민간투자 등 과학적 방법을 적용하는 연구를 말하며, 가명정보처리 가이드 라인에서도 과학적 연구와 관련하여 공적 자금으로 수행하는 연구뿐만 아니라 민간으로부터 투자를 받아 수행하는 연구에서도 가명정보의 처리가 가능한 것으로 하고 있다(가명정보처리 가이드라인, 2022, 12면).

2) 김창조, 가명정보에 관한 법적 통제, 경북대학교 법학논고 제79집, 2022, 73면

3) 헌재 2022. 11. 24. 2021헌마130, 판례집 34-2, 639

4) Artikel 7 Achtung des Privat- und Familienlebens

4) Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihrer Kommunikation.

5) Artikel 8 Schutz personenbezogener Daten

5) (1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.

6) Artikel 13 Freiheit der Kunst und der Wissenschaft

6) Kunst und Forschung sind frei. Die akademische Freiheit wird geachtet.

7) S. Johannes, in: Roßnagel, Das neue Datenschutzrecht, 2018, § 2 Rdnr. 60; Bernsdorff, in: Meyer, GRCh, 4. Aufl. 2014, Art. 7 Rdnr. 20. ; Alexander Rossnagel, Datenschutz in der Forschung, ZD 2019, S. 158

8) S. Johannes, in: Roßnagel, Das neue Datenschutzrecht, 2018, § 2 Rdnr. 60; Bernsdorff, in: Meyer, GRCh, 4. Aufl. 2014, Art. 7 Rdnr. 20. ; Alexander Rossnagel, Datenschutz in der Forschung, ZD 2019, S. 158

9) Alexander Rossnagel, Datenschutz in der Forschung, ZD 2019, S. 158

10) 박광배, 데이터 결합제도의 효율적 활용 가능성, 「데이터와 법」, 박영사, 2021, 221면

11) 김창조, 가명정보에 관한 법적 통제, 경북대학교 법학연구원, 법학논고 제79집, 2022, 96면

12) BVerfGE 35, 79, 112 f.; BVerfGE 47, 327, 367 zum Begriff der Wissenschaft; s.a. z.B. Scholz, in: Maunz/Dürig, GG, Lbl., Art. 5 Abs. 3 Rdnr. 85; Jarass, GRCh, 3. Aufl. 2016, Art. 13 Rdnr. 6.

13) 독일 연방헌법재판소는 일반적인 학문의 표지로서 자기법칙성(방법론, 체계성, 증명의 필요성, 사후검토가능성, 공개적 비판, 재구성가능성)을 기초로 하는 과정, 정보의 의미와 전달과 같이 정보의 발견에서 행동방법 및 결정 등을 포함하고 있다(BVerfGE 35, 112 = NJW 1978, 1176.); Jarass, EU-Grundrechte-Charta Art. 13 Freiheit der Kunst und der Wissenschaft, 4. Auflage 2021. Rn 8.

14) EDPS, A Preliminary Opinion on data protection and scientific research, 2020, p. 10.

15) H.Wagner, Forschungsfreiheit und Regulierungsdichte, NVwZ 1998, S. 1236

16) Würkner, Das BVerfG und die Freiheit der Kunst, 1994, S. 72, 117, 175f. (Thesen 10 und 12).

17) H.Wagner, Forschungsfreiheit und Regulierungsdichte, NVwZ 1998, S. 1237

18) 김선택, 생명공학시대에 있어서 학문연구의 자유, 헌법논총 12집, 헌법재판소, 2001, 259면.

19) H.Wagner, Forschungsfreiheit und Regulierungsdichte, NVwZ 1998, S. 1237

20) BVerfGE 47, 327 (370) = NJW 1978, 1621.

21) H.Wagner, Forschungsfreiheit und Regulierungsdichte, NVwZ 1998, S. 1238

22) Lerche, in: Luckes/Scholz (Hrsg.), Rechtsfragen der Gentechnologie, 1986, S. 88ff. (93) ; H.Wagner, Forschungsfreiheit und Regulierungsdichte, NVwZ 1998, S. 1238

23) H.Wagner, Forschungsfreiheit und Regulierungsdichte, NVwZ 1998, S. 1239

24) EDPS, A Preliminary Opinion on data protection and scientific research, 2020, p. 2.

25) BVerfGE 35, 79, 113.

26) 김기영, “연구의 자유와 피험자의 동의”, 한국의료법학회지 제19권 제1호, 2011, 14면

27) Alexander Rossnagel, Datenschutz in der Forschung, ZD 2019, S. 159

28) Kniep/Blohmke, Epidemiologische Forschung und Datenschutz, NJW 1982, 1324.

29) 독일 기본법(GG) 제5조 제3항 제1문; BVerfGE 65, 1 = NJW 1984, 419 - 인구조사판결 (Volkszählungsurteil).

30) BVerfGE 47, 327 (367 ff.) = NJW 1978, 1621 - Hochschulurteil II(사회적 효과에 대해 함께 고려해야 하고 위험한 연구결과를 통지할 의무를 규정하고 있는 당시 헤센대학법(HessUnivG) 제6조에 따라 합법에 합치된다고 판시)./ BVerfGE 28, 243 (261) = NJW 1970, 1729(양심의 자유와 병역의무); BVerfGE 32, 98 (108) = NJW 1972, 327(응급구조의무와 의사의 응급구조의무(독일 형법 제330c조).

31) 과학적 연구를 위한 가명정보를 활동에 있어서, 관현 연구자들은 데이터를 제공하는 기관이 가명정보 제도에 대한 인식이 낮거나, 가명정보 제3자 반출시 발생할 수 있는 개인정보 침해 등 법적 책임에 대하여 우려하는 기관이 많아 적합한 데이터 확보에 어려움을 호소하고 있고, 가명정보제도의 유용성과 안전성을 알리도록 정부의 노력 확대를 요청하고 있다(개인정보보호위원회 보도자료, 가명정보·활용 현장의 목소리 청취, 2023.5.4. 배포)

32) https://www.privacy.go.kr/front/case/view.do 방문일짜. 2024.1.7.

33) 개인정보 보호법 개정 안내서, 25면, 2023.12.29.

34) 개인정보위원회, 2023 개인정보 법령해석 사례 30선, 104면

35) 제15조의 범위는, 정보주체의 동의, 법률에 특별한 규정이 있거나 법령상의 의무를 준수하기 위하여 불가피한 경우, 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우, 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우, 명백하게 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위해 필요하다고 인정되는 경우, 정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우, 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우, 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로 한정하고 있다.

36) 김현숙, 과학적 연구목적을 위한 개인정보 처리에 관한 비교법적 연구 – 개정된 개인정보 보호법과 EU의 GDPR의 비교를 중심으로 - , 정보법학 제24권 제1호, 2020, 137면.

37) GDPR 제6조 제1항 ⒡

37) processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child.

38) 가명정보의 처리특례의 기술적, 조직적 안전조치(암호와와 익명 혹은 가명화, 추가정보의 별도 보관)가 준수되고, 이를 통하여 식별가능성의 제한을 도모하여, 사적 영역에서도 공익 목적의 연구와 동일한 우대 적용이 필요할 것으로 보인다(김상중, 사적 영역에서 개인정보 처리의 허용요건 – EU의 GDPR과 독일의 개인정보 보호법 규율 내용과 시사점 - , 안암법학 제67권, 2023, 49면).

39) 헌재 2023. 10. 26. 2020헌마1476, 공보 325, 1708

40) 헌재 2023. 10. 26. 2020헌마1476, 공보 325, 1709

41) 헌재 2023. 10. 26. 2020헌마1476, 공보 325, 1712-1723

42) 헌재 2023. 10. 26. 2020헌마1477등, 공보 325, 1716

43) 헌재 2023. 10. 26. 2020헌마1477등, 공보 325, 1716

44) 헌재 2023. 10. 26. 2020헌마1477등, 공보 325, 1716

45) 제89조 제1항은 “공익적 기록보존 목적, 과학적 또는 역사적 연구 목적, 또는 통계적 목적을 위한 처리는 개인정보주체의 권리 및 자유를 위해 본 규정에 따라 적정한 안전조치가 적용되어야 한다. 그러한 안전조치는 특히 데이터 최소화 원칙이 준수되도록 기술 및 관리적 조치를 이행해야 한다. 그러한 조치에는 가명처리 방식으로 그러한 목적들을 달성할 수 있다면 가명처리가 포함될 수 있다. 개인정보주체의 식별을 허용하지 않거나 더 이상 허용하지 않는 추가 처리를 통해 그러한 목적을 달성될 수 있는 경우에는 그러한 방식으로 달성되어야 한다.”고 규정하고 있다.

45) 또한 GDPR 전문 50에는 “원래 수집 목적 이외의 개인정보 처리는 해당 개인정보의 처리가 원래의 수집 목적과 양립 가능한 경우에 한하여만 허용되어야 한다. 목적이 양립 가능한 경우, 당초 정보수집을 허용한 법적 근거 이외의 별도의 법적 근거는 불필요하다(목적이 양립가능하다면 별다른 근거 없이도 추가적으로 정보처리가 가능하다 … 공익상의 기록 보존 목적, 과학·역사 연구 목적 또는 통계 목적으로 추가 처리는 양립 가능한 것으로 적법한 처리 작업으로 간주되어야 한다…”고 하고 있다.

46) EDPS, A Preliminary Opinion on data protection and scientific research, 2020, p. 11

47) GDPR 전문 50 및 동법 제6조 제4항

48) GDPR 제6조 제1항 ⒠호

48) processing is necessary for the purposes of a task carried out in the public interest or in the exercise of official authority vested in the controller(밑줄 저자)

49) Handyside vs the UK App no. 5493/72 (ECHR, 7 December 1976); Leander v. Sweden App no. 9248/81 (ECHR, 26.03.1987); see also EDPS, Assessing the necessity of measures that limit the fundamental right to the protection of personal data: A Toolkit, op. cit; EDPS, A Preliminary Opinion on data protection and scientific research, 2020, p. 23

50) EDPS, A Preliminary Opinion on data protection and scientific research, 2020, p. 19

51) BDSG(aF) § 13 Abs. 2 Nr. 8 BDSG aF, § 14 Abs. 5 S. 1 Nr. 2 BDSG aF und § 28 Abs. 6 Nr. 4은 과학적 목적을 위한 특정 유형의 개인 데이터 처리를 위한 허가요건을 제시하고 있고, § 28 Abs. 6 Nr. 4 BDSG은 시장 조사 또는 의견 조사의 데이터 처리를 위한 규정이었다.

52) GDPR 제9조 제2항 ⒥호에서 추구하는 목적에 비례하고 개인정보보호권의 본질을 존중하며, 개인정보주체의 기본적 권리 및 이익을 보호하기 위해 적절하고 구체적인 조치를 제공하는 유럽연합 또는 회원국 법률에 근거하여, 동법 제89조 제1항에 따라 공익적 기록보존, 과학적·역사적 연구 목적, 또는 통계적 목적을 위해 처리가 필요한 경우를 특정범주의 개인정보처리의 예외 사유로 하고 있고, BDSG의 제27조 제1항에서도 정보주체의 이해관계를 보호하기 위한 적절하고 구체적인 조치를 마련할 것을 규정하고 있으므로, GDPR의 적절하고 구체적인 조치에 대한 회원국의 유보에 의하여 BDSG 규정과의 충돌의 소지는 없는 것으로 보인다.

53) GDPR 제9조 제1항의 특정 범주의 개인정보는 인종, 민족, 정치적 견해 또는 철학적 신념, 노동조합 가입여부에 관한 정보 또는 유전자 정보, 자연인의 고유식별 목적의 생체정보, 건강정보, 성생활 또는 성적 취향에 관한 정보로서 보호밀도가 높은 개인정보를 열거하고 있다.

54) BeckOK DatenschutzR/Koch, 42. Ed. 1.11.2022, BDSG § 27 Rn. 1

55) BeckOK DatenschutzR/Koch, 42. Ed. 1.11.2022, BDSG § 27 Rn. 4

56) BT-Drs. 18/11325, 99

57) GDPR 제6조 제1항 ⒡호는 동 조항 ⒜호에서 개인정보주체의 개인정보처리 동의를 요건으로 하는 것과는 달리 “개인정보처리자 또는 제3자의 정당한 이익 목적을 위해 처리가 필요한 경우”를 비동의 사유로 하고 있다.

58) BeckOK DatenschutzR/Koch, 42. Ed. 1.11.2022, BDSG § 27 Rn. 6

59) § 25 Abs. 1 BlnLKG

60) § 12 Abs. 1 HmbKHG

61) § 6 Abs. 2 GDSG NW

62) BeckOK DatenschutzR/Koch, 42. Ed. 1.11.2022, BDSG § 27 Rn. 9a

63) GDPR 제89조 제1항은 “공익적 기록보존 목적, 과학적 또는 역사적 연구 목적, 또는 통계적 목적을 위한 처리는 개인정보주체의 권리 및 자유를 위해 본 규정에 따라 적정한 안전조치가 적용되어야 한다. 그러한 안전조치는 특히 데이터 최소화 원칙이 준수되도록 기술 및 관리적 조치를 이행해야 한다. 그러한 조치에는 가명처리 방식으로 그러한 목적들을 달성할 수 있다면 가명처리가 포함될 수 있다. 개인정보주체의 식별을 허용하지 않거나 더 이상 허용하지 않는 추가 처리를 통해 그러한 목적들을 달성할 수 있는 경우에는 그러한 방식으로 달성되어야 한다.”고 규정하고 있다.

64) BeckOK DatenschutzR/Koch, 42. Ed. 1.11.2022, BDSG § 27 Rn. 13

65) BeckOK DatenschutzR/Koch, 42. Ed. 1.11.2022, BDSG § 27 Rn. 13

[참고문헌]

1.

김기영, “연구의 자유와 피험자의 동의”, 한국의료법학회지 제19권 제1호, 2011

2.

김상중, 사적 영역에서 개인정보 처리의 허용요건 – EU의 GDPR과 독일의 개인정보 보호법 규율 내용과 시사점 - , 안암법학 제67권, 2023

3.

김선택, 생명공학시대에 있어서 학문연구의 자유, 헌법논총 12집, 헌법재판소, 2001

4.

김창조, 가명정보에 관한 법적 통제, 경북대학교 법학연구원, 법학논고 제79집, 2022.

5.

김현숙, 과학적 연구목적을 위한 개인정보 처리에 관한 비교법적 연구 – 개정된 개인정보 보호법과 EU의 GDPR의 비교를 중심으로 - , 정보법학 제24권 제1호, 2020

6.

박미정, 보건의료 빅데이터 활용에 관한 법·정책적 개선방안 연구, 한국의료법학회지 제26권 제1호, 2018

7.

정종구, 개인정보처리의 허용범위와 그 한계 : 목적합치의 원칙을 중심으로, 조선대학교 법학연구원, 법학논총 제27집 제2호, 2020

8.

조성훈/양성호/정종구, 가명정보 특례와 목적의 합리적 관련성의 의미 : 개정 개인정보보호법을 중심으로, 인권과정의 498호, 2021

9.

Alexander Rossnagel, Datenschutz in der Forschung, ZD 2019

10.

BeckOK DatenschutzR/Koch, 42. Ed. 1.11.2022

11.

Jarass, EU-Grundrechte-Charta Art. 13 Freiheit der Kunst und der Wissenschaft, Charta der Grundrechte der EU4. Auflage 2021

12.

H.Wagner, Forschungsfreiheit und Regulierungsdichte, NVwZ 1998

13.

Karen Walsh·Andrea Wallace·Mathilde Pavis·Natalie Olszowy·James Griffin·Naomi Hawkins, Intellectual Property Rights and Access in Crisis, IIC 2021.

14.

Thilo Weichert, Die Forschungsprivilegierung in der DS-GVO, ZD 2020

15.

Louisa Specht-Riemenschneider, Alexander Wehde, Forschungsdatenzugang, ZGI 2022

16.

EDPS, A Preliminary Opinion on data protection and scientific research, 2020

법학논고
(우41566) 대구광역시 북구 대학로 80 경북대학교 법학연구원(416호)
Tel : 053-950-6824 | Fax : 053-950-6884 | lawinsreview@knu.ac.kr

Copyright © Law Research Institute, Kyungpook National University. 2024. Powered by Guhmok