「국가 사이버안보 기본법」제정안에 대한 개인정보 침해 요인 평가 결과

「국가 사이버안보 기본법」제정안에 대한 개인정보 침해 요인 평가 결과

개인정보보호위원회는 「국가 사이버안보 기본법」제정안(국정원 제2016-3호)에 대하여 다음과 같이 권고한다. 

또한 이러한 개별적인 권고사항 이외에 국가 안전보장과 관련된 정보 분석을 목적으로 수집 또는 제공되는 

개인정보에도 「개인정보 보호법」제3조의 ‘개인정보 보호원칙’을 준수하고 같은 법 제4조에 따른 ‘정보주체의 권리’를 

최대한 보장하도록 노력하는 등 인간의 존엄과 개인의 사생활이 보호되도록 하여야 할 것이다.

1. 이 법 제2조에서 용어의 정의를 보다 명확히 할 것을 권고한다. 

2. 이 법 제5조 제3항의 국가사이버안보실무위원회에 개인정보 보호를 위한 의견을 독립적으로 개진할 수 있는 전문가 

  또는 기관을 참여시킬 것을 권고한다.

3. 이 법 제10조 제1항에 따른 개인정보 수집·이용의 근거를 별도로 규정 할 것을 권고한다.

4. 이 법 제10조에 따라 개인정보를 수집·이용하는 경우는 「개인정보보호법」제58조 제4항에 의해 필요한 범위에서 

   최소한의 기간에 최소한의 개인정보를 처리하도록 하며, 개인정보의 안전한 관리를 위하여 필요한

   기술적·관리적 및 물리적 보호조치 등을 마련하도록 권고한다.

5. 이 법 제11조 제1항 사이버위협정보의 개념 및 범위, 제2항 전단 책임 기관의 공유센터에 대한 정보 제공목적 및 

   제2항 후단 공유센터의 타책임기관에 대한 정보 제공범위 등을 명확하게 규정할 것을 권고한다.

6. 이 법 제24조 제1호, 제3호는 「개인정보 보호법」벌칙 부과 기준과 부합 하게 변경할 것을 권고한다.

7. 사이버안보 목적의 개인정보처리에 대해 목적 외 수집, 오용·남용 및 무분별한 감시 추적 등에 따른 폐해를 방지하여 

   인간의 존엄과 개인의 사생활 보호를 도모하기 위해서 독립적으로 감독할 수 있는 제도를 마련 할 것을 권고한다.

8. 사이버안보 활동 전반에 대한 검토, 정보공유 절차에 대한 개선 및 수정사항, 개인정보 침해 최소화 방안 등을 포함한 

   보고서를 주기적으로 작성 하고 독립적인 기관이 검토할 수 있는 제도를 마련할 것을 권고한다.

9. 사이버안보 활동 전반에서 개인정보 처리로 인한 피해를 신속하고 공정 하게 구제받을 수 있는 절차를 마련할 것을 

  권고한다

2. 개선 권고 이유

1.「국가 사이버안보 기본법」제정안(국정원 제2016-3호) 제2조 제1호 사이버공간, 제2호 사이버공격, 제4호 사이버위기, 

  제5호 사이버안보 등의 개념은 정보를 수집·공유할 수 있는 구성요건으로 개념이 광범위하고 불명확하여 입법목적보다 

  과도하게 정보가 수집·이용(공유)되어 개인정보가 오용·

 남용 될 수 있으므로 사이버안보 활동에서의 정보 수집·이용 범위를 예측할 수 있도록 용어의 정의를 보다 명확히 

 규정할 필요가 있다.

2.「국가 사이버안보 기본법」제정안(국정원 제2016-3호) 제5조 및 제6조의 국가사이버안보위원회 심의·의결 사항 중 

  사이버안보 법령에 관한 사항은 개인정보 보호와 밀접히 관련되어 있는 사항으로, 권한 범위 등에 있어

 국가사이버안보위원회와 개인정보보호위원회의 관계가 모호해질 수 있으므로 제5조 제3항에 따른 

  국가사이버안보실무위원회에 개인정보보호를 위한 의견을 독립적으로 개진할 수 있는 전문가 또는 기관을 

  참여시킬 필요가 있다.

3.「국가 사이버안보 기본법」제정안(국정원 제2016-3호) 제10조 제1항에서 ‘사이버공격 탐지·대응 체계인 보안관제센터를 

  구축·운영’한다는 규정 자체가 개인정보 수집·이용에 대한 직접적 근거가 되기에 충분하지 않으므로 보안관제센터가 

   접근기록자료를 수집·이용할 수 있다는 근거를 별도로 규정하여 개인정보의 수집·이용에 대한 근거를 마련할 필요가 

  있다.

* 접근기록자료(로그기록자료) : 컴퓨터 처리내용 또는 네트워크에서 통신정보를 시간 순 으로 기록한 것으로 웹서버의 

  경우 통신을 시도한 사용자의 로그인 정보, 접속시간, IP주소 등 상세한 기록 포함

4.「국가 사이버안보 기본법」제정안(국정원 제2016-3호) 제10조 제2항에서 보안관제센터가 사이버공격을 탐지·대응하기 

  위해 관제서버 등에 수집 하는 접근기록자료는 IP주소, 접속시간, email주소, ID 등을 포함하고 있으며

   해당 자료는 다른 정보와 쉽게 결합하여 특정개인을 식별할 수 있게 되므로 개인정보에 해당한다. 

  국회, 법원 등 책임기관의 장이 소관 사이버공간을 사이버공격으로부터 보호하기 위해 개인정보에 해당하는 

  접근기록자료를 수집·이용하는 것은 「개인정보 보호법」제58조 제1항 제2호 국가안전보장과 관련된 정보 분석을 

  목적으로 하는 것으로 「개인정보 보호법」 제3장부터 7장까지를 적용하지 아니한다. 다만, 국가안전보장과 관련하여

  개인정보를 처리하는 경우에도 「개인정보 보호법」제58조 제4항에 의해 필요한 범위에서 최소한의 기간에 최소한의 

  개인정보만을 처리하여야 하며, 개인정보의 안전한 관리를 위하여 필요한 기술적·관리적 및 물리적 보호조치, 

  개인정보의 처리에 관한 고충처리, 그 밖에 개인정보의 적절한 처리를 위하여 필요한 조치를 마련하여야 한다.

* 판결례는 ‘쉽게 결합하여 알아 볼 수 있다’에 대하여 정보의 획득 용이성에 대한 것이 아니라, 해당정보와 다른 정보와 

  쉽게 결합하여 특정 개인을 알아 볼 수 있는 것을 뜻한다고 판단함(서울지법 2010고단5343)

* 방통위「정보통신망이용촉진및정보보호등에관한법률」해설서에서는 로그기록도 개인 정보로 볼 수 있고 개인을 

  식별할 수 있는 정보와 연계될 경우 개인정보 보호대상이 된다고 설명

*「GDPR 2016」제4조에서 IP주소를 개인정보로 정의하며, EU 개인정보개념에 대한 의견서(4/2007)에서도 IP주소를 

  개인정보로 보고 이유는 다음과 같음

- 네트워크관리자는 합리적인 수단을 이용하여 자신들의 IP주소를 제공한 인터넷 사용자를 식별할 수 있으며 

  일반적으로 이들의 파일 안에 인터넷일자, 시간, 기간 및 인터넷사용자에게 제공한 IP주소를 기록하기 때문

* EU 사법재판소에서도 IP주소를 개인정보로 판단함(Case C-70/10, 2011.11)등에 따른 폐해를 방지하여 인간의 존엄과 

  개인의 사생활 보호를 도모 하기 위해 독립적으로 감독할 수 있는 별도의 제도를 마련할 필요가 있다.

※ 유사입법례 :「국민보호와 공공안전을 위한 테러방지법」제7조에서는 대테러 활동에 대한 국민의 기본권 침해 방지를 

   위해 대책위 소속으로 대테러 인권보호관을 둔다고 규정함

※ 해외사례 : 미국과 유럽의「프라이버시쉴드 협정」에 의하면 국가안보 목적으로 개인정보를 입수할 때는 명확히 규정된 

   제약, 안전조치, 감시감독 메커니즘의 영향을 받게 된다는 내용을 제시함

- 감시감독 매커니즘인 ‘Privacy Shield 옴부즈맨’은 국가안보기구와는 독립적이고, 국가안보차원의 접근정보에 대해 

  규정된 책임과 의무를 다할 수 있도록 조력자 역할을 함

8. 사이버안보 활동과정에서 정보수집·공유·조사 등의 전반에 걸쳐 개인정보가 처리될 수 있고, 수범기관인 책임기관·

  공유기관은 광범위하므로 개인정보가 오용·남용될 우려가 있지만 제11조 제3항에 따른 공유센터내 책임기관 및 

  민간전문가 등이 참여하는 협의회의 역할은 공유과정의 권리침해 방지에 한정하고 있으므로 사이버안보 활동 전반에 

  대한 개인정보 침해를 방지하기 위한 실질적인 방안이 마련되어야 할 필요가 있다.

※ 해외사례 : 미국 「사이버보안 정보공유법」(CISA, Cybersecurity Information SharingAct of 2015)에서 

   연방기관장들은 2년마다 정보공유 활동 보고서를 공동으로 의회에 제출해야 함

  (SEC.107. OVERSIGHT OF GOVERNMENT ACTIVITIES)

- 보고서는 사이버위협지표 유형이 개인의 프라이버시 및 자유에 영향을 미치는 정도를 검토, 사이버위협지표 공유시 

  개인의 프라이버시 및 자유를 위한 절차 등에 대한 양적·질적 평가 등을 포함

9. 사이버안보 활동 전반에서 개인정보 처리로 인하여 피해가 발생할 수 있으나, 국가안전보장 목적으로 처리된 

   개인정보에 대해 「개인정보보호법」제6∼7장 분쟁조정제도 및 권리침해 중지 단체소송제도 등 구제 절차가 적용되지 

   않으므로 피해를 신속하고 공정한 절차에 따라 구제받을수 있는 권리를 보장하기 위한 절차를 마련할 필요가 있다

161128(제2016-20-44호)국가사이버안보기본법 제정안 개인정보침해요인 평가결과.pdf