공공부문 데이터 활용의 제약요인으로서 개인정보 보호법 제18조 제2항 제5호에 대한 비판적 고찰

A Critical Review of Article 18(2)(5) of the Personal Information Protection Act as a Constraint on Data Utilization in the Public Sector

인공지능·데이터 기반 행정으로의 대전환 시기를 맞이하여 공공행정의 데이터 공유와 융합이 어느 때보다 강력히 요구된다. 이러한 변화 속에서 목적구속의 원칙을 기초로 개인정보의 처리를 규제해 온 개인정보 보호법의 규율체계가 공공부문 데이터의 원활한 활용을 저해할 가능성을 내포하고 있다는 점에서 이에 대한 비판적 고찰이 필요하다. 개인정보 보호법은 제15조부터 제18조까지 단계별 합법 처리 근거를 규정하고 있는데, 제18조 제2항 제5호(대상조항)는 개인정보의 목적 외 이용 및 제3자 제공 금지 조항의 예외 사유 중 하나로서 공공기관이 소관 업무 수행 일반을 위해 별도의 동의 없이 개인정보를 처리할 수 있는 법적 근거를 제공한다. 그러나 대상조항은 법률상 소관 업무 해당성, 불가피성, 정보주체 등의 이익에 대한 부당 침해 우려 부재 및 개인정보보호위원회의 심의·의결 절차 등 엄격한 적용요건으로 인하여 공공기관의 정보 공유 및 활용의 제약요인으로 작용하고 있다. 이러한 대상조항의 본래 취지는 개인정보 이용 목적의 정당성을 확보하고 사익 침해를 방지하는 것으로 이해되는바, 공공기관의 소관 업무 수행의 공익성을 우선적으로 고려하고 개인정보 이용의 양적 억제가 아닌 실질적으로 개인정보를 보호하는 방식으로 운용되어야 할 것이다. 이에 대상조항의 실효성 제고를 위하여 대상조항에 공익 개념을 명시하고, 엄격한 불가피성 요건을 완화하여 합리적인 비례성 심사에 중점을 둘 것을 제안한다. 나아가 공공기관이 수집 목적과 합리적 관련성 범위 내 개인정보 이용을 자율적으로 판단할 수 있도록 개인정보보호위원회가 법 제15조 제3항 및 제17조 제4항의 적용을 위한 지침을 제시하는 것이 절차적 사전 통제의 한계를 개선할 수 있는 방안이 될 것이다.

As public administration shifts toward AI and data-driven models, the sharing and fusion of data are increasingly required. Given this shift, it is necessary to examine the regulatory framework of the Personal Information Protection Act (PIPA). Specifically, its reliance on the purpose-limitation principle may impede the efficient utilization of information within the public sector. The PIPA defines the grounds for lawful processing in Articles 15 through 18. Article 18(2)(5) (the “provision”) is one of the exceptions to the prohibition of out-of-purpose use and third-party disclosure, providing a legal basis for public institutions to process personal information for their statutory duties without separate consent. However, the provision acts as a constraint on data sharing due to its strict requirements: the applicability of statutory duties, unavoidability, the absence of undue infringement on data subjects' interests, and the required deliberation and resolution by the Personal Information Protection Commission (PIPC). The original intent of this provision is to ensure the legitimacy of data use and prevent the infringement of private interests. Therefore, it should be applied by prioritizing the public interest of administrative duties and focusing on substantive protection rather than quantitative restrictions on data use. To enhance the effectiveness of this provision, this study proposes explicitly including the concept of “public interest” within the provision, relaxing the “unavoidability” requirement, and emphasizing a proportionality review. Furthermore, the PIPC providing guidelines for the application of Articles 15(3) and 17(4) would allow public institutions to autonomously determine data use within the scope of reasonable relevance to the initial purpose, thereby addressing the limitations of current procedural ex-ante control.