개인정보보호법 및 신용정보법의 개정과정 비교연구

Abstract

In the new paradigm of the Fourth Industrial Revolution in this age, utilization of data is at the heart of different ICT industries including artificial intelligence, autonomous driving and cloud. In order to use data, the issue of protecting the rights of data subjects providing the data should be resolved first, and pertaining regulations considered. In South Korea, such regulations in place, so called three data acts, are Personal Information Protection Act, Act on Promotion of Information and Communications Network Utilization and Information Protection, etc., hereinafter referred to as the Network Act, and Credit Information Use and Protection Act, hereinafter Credit Information Act. This paper analyzes how the differences in the scope of application of each law, stakeholders and details of regulation formulated in the Personal Information Protection Act and Credit Information Act, amended at January 9th of 2020, brought out differences in the course of amendment and the variables which influenced the process, using Advocacy Coalition Framework. The purpose of this study is to identify the factors of policy changes by observing the conciliation of arguments and the process of reaching agreements, to determine the impacts of diverging and converging aspects of the two laws on their amendments. For analyzation, such literature as proceedings of the 19th and 20th National Assembly Public Administration and Security Committee and National Policy Committee, proceedings of the Presidential Committee on the Fourth Industrial Revolution and press releases of pertinent government ministries were analyzed along side extensive interviews with experts. The first thing that stood out from analysis was that the normative core of supporting coalition was radical amendments regarding data use, coming from market ideology, while the opposing coalition had conservative amendments as their normative core, being concerned with human rights. As for the policy core, supporting coalition pushed for easing of restrictions for data use, in contrast to the opposing coalition who called for more stringent restrictions in order to protect substantive rights of data subject. The distinct attributes of the two Acts can be analyzed according to the scope of application of relevant laws, the main points of issue and the characteristics of major stakeholders. Personal Information Protection Act covers all public sectors and entire industry, making it the target of strong objections from the opposing coalition including the fields strongly opposed to use of personal information. On the other hand, Credit Information Act only regulates financial institutions and personal credit information that supporting coalition stood at an advantage, the financial sector having a lenient industrial structure on distribution and use of credit information. Personal Information Protection Act and Credit Information Act separate ways in main points of contention. While it is difficult to draw the scope of additional provision of personal information, which is the issue of Personal Information Protection Act, the scope and role as well as the functions of participating companies, etc. of MyData industry, the matter of Credit Information Act, is clearly laid down. Also different in the two Acts was the characteristics of stakeholders. Where the executive branch in the role of control tower was absent in Personal Information Protection Act due to involvement of multiple ministries of the government, with the Ministry of Interior and Safety keeping a low profile despite being the ministry concerned, Credit Information Act was led by determination and rigorous legislation work of the Financial Services Commission. All these differences notwithstanding, the amendments of both Personal Information Protection Act and Credit Information Act were passed. One of the primary forces was external parameters including the growth of data industry, rapid changes in administration, supportive public sentiments on data use and the establishment of EU GDPR, all of which led to the formation of the two Acts advocacy coalitions and policy changes. Owing to these external parameters, there was a steady increase of demand for amendment of data-related regulations. Second, in both Acts the Presidential Committee on the Fourth Industrial Revolution played a central part as the policy broker, intervening in the conflicts between coalitions. In reaching agreements through the policy broker, it may be said that the direction of policies with the same goal of establishing the basis of data technology, etc., cultivation of new industry and service and responding to social changes. Third, the passing of two Acts was aided by the stalwart support of Moon Jae-in government on safe use of data for vitalization of data economy. Moon Jae-in put forth modification of data-related laws from the stages of presidential election campaign, followed by string of strategies and plans for invigoration of data industry after coming into office. This study compares and analyzes dynamic interactions between stakeholders in the amendment process of Personal Information Protection Act and Credit Information Act, in contrast to earlier studies focusing on analyzation of articles of laws. At one point during the course of amendments, the two Acts stayed pending in National Assembly for a long period after proposal, looking far from passage, but finally showed a policy output and were dramatically passed in the 20th National Assembly. This process was intensively analyzed by in-depth interviews with participants of coalitions. Lastly, the different influences of stakeholders in coalitions were identified to confirm the differences in the main participants of the two Acts. Despite the distinctions, it is shown that the common external parameters, active mediation of policy broker between coalitions and committed effort of the administration could bring about the same policy output.

4차 산업혁명이라는 새로운 시대적 패러다임에서 인공지능, 자율주행, 클라우드 등 다양한 ICT 산업의 핵심은 데이터의 활용에 있다. 데이터 활용을 위해서는 데이터를 제공하는 정보주체의 권리 보호 이슈가 있으며, 이와 관련한 규제를 먼저 살펴볼 필요가 있다. 우리나라의 경우 개인정보보호법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법), 신용정보의 이용 및 보호에 관한 법률(이하 신용정보법) 등을 이른바 데이터 3법이라고 부른다. 본 연구에서는 2020년 1월 9일 통과된 개인정보보호법과 신용정보법 개정안의 법적용 영역 및 이해관계자, 규제내용의 차별적 특성이 어떻게 개정 과정에서의 차이를 가져왔고, 그 과정에서 영향을 미친 변수들을 정책옹호연합모형을 통해 분석하였다. 본 연구의 목적은 의견 조정 및 합의 과정에 대한 면밀한 관찰을 통해 정책 변동의 요인을 파악함으로써, 법률의 차별적 특성 및 공통적 특성이 개정 과정에 미치는 영향을 파악하기 위함에 있다. 분석을 위해 19대, 20대 국회 행정안전위원회와 정무위원회의 국회 회의록, 4차산업혁명위원회 회의록, 관계부처 보도자료 등 문헌자료를 활용하였으며, 전문가 심층 인터뷰를 병행하였다. 분석 결과 첫째, 개인정보보호법과 신용정보법 정책지지옹호연합은 시장주의적 관점으로 데이터 활용에 있어 급진적 개정을 규범적 핵심으로 하였고, 반대옹호연합은 인권을 중시하여 보수적 개정을 규범적 핵심으로 하였다. 정책 핵심 측면에서는 지지옹호연합은 활용을 위한 규제 완화를, 반대옹호연합은 실질적인 정보주체 권리 보호를 위한 규제 강화를 주장했다. 양 법의 차별적 특성은 법 적용 대상의 특성, 주요 논의 쟁점, 주요 참여자의 특성에 따라 분석할 수 있다. 개인정보보호법은 모든 공공부문 및 전 산업군을 대상으로 하는 법으로, 개인정보 활용에 강한 반감을 가지는 업계를 포함하여 정책반대옹호연합의 반발이 강했다. 반면 신용정보법은 금융기관 및 개인신용정보만을 대상으로 하는 법이므로 기존에 신용정보 유통과 이용에 대해 관대한 산업구조를 가진 금융업계 특성상 정책지지옹호연합의 영향력이 강했다. 개인정보보호법과 신용정보법 개정안의 주요 논의의 쟁점의 차이로는, 개인정보보호법의 쟁점인 개인정보의 추가적 제공은 명확한 범위를 규정하기 어려운 측면이 있으나 신용정보법의 쟁점인 마이데이터업은 산업의 범위와 역할, 참여하는 회사의 기능 등이 명확히 제시되어있는 점에서 차이가 있다. 또한 양 법의 주요 참여자들의 특성에서 개인정보보호법의 경우 다수의 부처가 관계되어 있어 컨트롤 타워 역할의 행정부가 부재했으며, 소관부처인 행안부의 역할이 다소 소극적인 편이었던 반면, 신용정보법은 금융위의 강력한 의지와 적극적인 입법 활동이 특징이다. 이러한 차별적 특성에도 불구하고, 개인정보보호법과 신용정보법 개정안은 모두 통과가 되었다. 그 원인으로는 첫째, 외적변수 중 데이터 산업의 성장, 급격한 정권의 변화, 데이터 활용에 대해 개방적인 여론, EU GDPR의 제정 등 역동적 변수는 양 법의 정책옹호연합의 형성과 정책변동에 영향을 미쳤다. 이러한 외적 변수의 영향으로 데이터 관련 법안 개정의 요구가 지속적으로 증가하였다. 둘째, 양 법 모두 정책중개자로서 4차산업혁명위원회의 정책옹호연합간 갈등을 조정하는 역할이 주요했다. 또한 정책중개자를 통해 옹호연합이 합의를 이루면서 데이터 기술 등의 기반의 확보, 신산업·신서비스 육성 및 사회변화 대응이라는 단일한 목표의 정책 방향이 수립되었다고 볼 수 있다. 셋째, 양 법은 데이터 경제 활성화를 위한 안전한 데이터 활용에 관한 문재인 정부의 강한 정책추진 의지의 영향으로 통과되었다. 문재인 정부는 출범 이전 공약부터 데이터 관련 법제 정비를 추진할 것을 발표했으며, 출범 이후 데이터산업 활성화를 위한 전략, 관련 계획 등을 잇달아 발표하였다. 본 연구의 정책적 시사점으로는 개인정보보호법과 신용정보법 개정과정에서의 정책 참여자들의 역동적인 과정을 비교분석하여 기존의 법 조항 분석 위주의 연구와 차별화하고자 하였다는 점에서 의의가 있다. 또한 개인정보보호법과 신용정보법이 발의 이후에도 상당기간 국회에 계류하며 통과가 요원해보였으나, 결과적으로 20대 국회에서 극적으로 통과되는 정책산출을 보였다. 정책옹호연합 참여자를 대상으로 심층 인터뷰를 실시하여 이를 입체적으로 분석하였다. 마지막으로 옹호연합 내 이해관계자들의 영향력의 차이를 파악하여 양 법의 주요 참여자 특성에서 차이가 있음을 확인하였다. 차별적 특성을 가짐에도 불구하고 동일한 외적변수, 정책중개자의 적극적인 옹호연합간 중개, 행정부의 적극적인 정책 추진이 동일한 정책 산출을 가져올 수 있음을 확인하였다.