정부의 공공데이터 개방 정책에 따라 2013년 제정된 「공공데이터의 제공 및 이용 활성화에 관한 법률」(약칭 ‘공공데이터법’)은 공공기관으로 하여금 효과적인 민간 제공 및 이용 활성화 지원을 위해 필요한 조치를 하도록 규정하고 있다. 원칙적으로 공공기관이 보유･관리하는 모든 데이터가 민간 제공 대상이 될 수 있으나, 「공공기관의 정보공개에 관한 법률」(약칭 ‘정보공개법’) 제9조의 비공개대상정보는 제외되므로 개인정보는 원칙적으로 이에 해당하여 공공데이터 제공 범위에 속하지 않는다. 그러나 법령 또는 공익상 필요에 의해 예외적으로 공개 대상이 될 수 있고 비식별화된 개인정보라면 통계작성 및 학술연구 목적에서 동의 없이 이용ㆍ제공하는 것도 허용되기 때문에 개인정보 또한 공공데이터로서 제공될 여지는 충분하다. 2020년 2월 「개인정보 보호법」 개정으로 정보주체의 동의 없이 ‘가명정보’를 제한된 목적으로 처리할 수 있도록 함에 따라 민간기업은 물론이고 공공기관의 공공 빅데이터 제공에도 더욱 힘이 실리게 되었다. 그런데 개정법은 민간의 빅데이터 활용, 기업 간 정보 결합 등에 초점을 두고 안전조치의무, 과징금, 형사처벌 등을 도입한 반면에, 공공기관의 공공데이터 개방 확대에 대응하여 특별히 강화된 리스크 관리 책임을 부담시키고 있지는 않다. 공공데이터 개방에 따라 공공부문에서도 보안 위협을 비롯한 ‘데이터 리스크’가 증폭될 것으로 예상되는 한편, 재식별 위험성이 있음에도 불구하고 정보주체의 동의권은 영구히 배제되는 ‘개인정보자기결정권 침해 리스크’도 인정된다. 특히 개인정보자기결정권 보장의 흠결은 ― ‘사실상’의 데이터 리스크로 논의될 수 있는 프라이버시권 침해와 달리 ― 개인정보 보호규범 체계의 훼손 문제로 접근할 수 있다. 「개인정보 보호법」은 데이터 보호에 관한 일반법으로, 공공기관과 민간기업에 공유되는 공공데이터에 대해서도 리스크 관리법으로서 기능할 수 있어야 한다. 하지만 개정법에서도 공공데이터 영역의 리스크 관리체계가 명확하게 정립되지 않아 공공데이터 개방으로 인한 리스크 증대에 적절한 대응책을 제시하지 못하고 있으며, 결과적으로 그 책임이 민간에 전가되는 결과를 초래할 것으로 보인다. 공공기관은 애초에 특정한 행정목적에 따라 개인정보를 제공받은 것이므로, 비식별화 조치를 전제하더라도 민간의 영리 목적 이용을 통한 사회적 이익이 일률적으로 정보주체의 자기결정권이나 프라이버시권을 압도하는 공익에 해당한다고 보기 어렵다. 따라서 가명처리, 공공 빅데이터화, 민간 제공, 영리 목적의 이용 등 일련의 과정에서 정보주체에게 관련 정보를 제공하는 한편, 재식별될 경우 중대한 기본권 침해가 예상되는 개인정보 유형에 대해서는 예외적으로 2차 동의권을 인정하는 등 적절한 통제권을 행사할 수 있도록 함이 타당하다. 공공데이터 개방은 행정의 투명성과 책임성을 제고하는 데 궁극적인 목표가 있는 것이며, 공공데이터 개방 및 민간 제공에 대한 재량권을 보유한 공공기관으로서는 데이터 리스크에 대해서도 민간기업과 함께 관리책임을 분담한다고 보아야 한다. 장기적으로 공공데이터 개방의 안전성을 담보하기 위하여 공공･민간 협력의 효율적인 데이터 거버넌스를 구축하고 리스크 커뮤니케이션 방식의 리스크 관리체계를 법제화하는 후속 입법을 추진해야 할 것이다.

The Act on Promotion of the Provision and Use of Public Data, enacted in 2013 on the basis of the government’s policy to open public data, provides that public institutions should take necessary measures to effectively share public data and to support the activation of public data. In principle, all data held and managed by public institutions may be subject to openness, but personal information is excluded under the Act on Promotion of the Provision and Use of Public Data. In case of personal information, the information may be excluded from the disclosure, but it may also be included in public data that is subject to disclosure because it is exceptionally publicable for reasons of statute or public interest. And personal information protected by de-identification method is allowed to be used and provided without consent for statistical and academic research purposes. The revised Personal Information Protection Act of 2020 defines “pseudonymized information” which can be used for limited purposes without consent from the subjects of information, making it more powerful for the provision of public big data not only by private companies but also by public institutions. The revised Act, however, does not impose particularly heightened risk management responsibilities in response to the expansion of openness of public data, while focusing on the utilization of private big data and the integration of information among private companies. While “data risk,” including security threats, is expected to be amplified in the public sector as a result of the opening of public data, the “risk of infringing on the right to control personal information,” in which consent of the subject of information is permanently excluded despite the risk of re-identification. In particular, flaws in the guarantee of the right to control personal information, unlike infringement of the right to privacy that can be discussed as a ‘de facto’ data risk, can be approached as a ‘normative’ matter of undermining the data protection system. The Personal Information Protection Act is a general law on data protection and should be able to function as a risk management law in the public data area. However, as the revised act does not specify the data risk management system in the public sector, it fails to present appropriate countermeasures to increase risks caused by the opening of public data, resulting in the transfer of responsibility to the private sector. Since public institutions were initially provided with personal information based on specific administrative purposes, it is difficult to recognize social benefits achieved through the use of profit-making purposes of private sector that overwhelms the right to control personal information or privacy of the subjects of information, not to mention that the level of protection of public data should be different from the ‘disclosed personal information.’ Therefore, it is necessary to allow proper control over a series of processes, including pseudonymization, public big data, private use for profit-making purposes, by providing information of the processes to the subjects of information and granting them exceptional right to consent. The ultimate goal of Open Data is enhancing administrative transparency and accountability, and public institutions should take responsibility for data risks together with private companies. In order to ensure the safety of provision and use of public data in the long term, the subsequent supplementary legislation is required to establish efficient data governance based on public-private cooperation and stipulate the risk management systems composed mainly of risk communication methods.

, , , , , ,

public data, personal information, pseudonymized information, data risk, right to control personal information, risk management, risk communication