국회 개인정보보호법·신용정보법·정보통신망법 심사 중단 요구
"개인정보 처리 원칙 훼손...법안 심사 중단하고 균형잡힌 대안 제시해야"
노동시민사회단체가 데이터 3법에 대해 "개인정보 도둑 법이라고 불러도 무방하다"고 비판하며 국회에 법안 심사 중단을 요구하고 나섰다.
노동시민사회단체는 4일 기자브리핑을 연 자리에서 "데이터 3법(개인정보 3법)은 가명정보라는 개념을 도입하여 정보주체의 동의권을 현저히 약화시키고, 기업들이 가명처리하를 하면 동의 없이 산업적·상업적 연구에 무한대로 활용할 수 있도록 하고 있다"고 지적했다.
이들 단체는 "목적 제한·최소 수집·목적 달성 후 폐기라는 개인정보처리의 가장 기본 원칙을 훼손하고 있다"면서 "가명정보는 언제든 다른 데이터와 결합하면 누구의 정보인지 식별이 되는 정보이므로 반드시 정보 주체의 권리 보호를 위한 장치를 병행해야 한다"는 입장을 밝혔다.
"개인정보 3법이 이대로 통과되면 국민의 가장 사적이고 민감한 의료정보·질병정보에서부터 소비 특성·투자 행태·소득 규모 등을 파악할 수 있는 신용정보와 SNS등에 쓴 다양한 정보까지 거의 모든 정보를 기업의 돈벌이 수단으로 내주는 꼴"이라고 비판한 이들 단체는 "정보주체는 동의권은 물론이고 정보열람권, 삭제요구권, 정보 이전 및 개인정보 유출에 대한 통지받을 권리 등을 인정받지도 못해 기업이 어떻게 내 정보를 활용하고 판매하고 결합하는지, 또 어떤 사고가 있어 유출되고 악용되는지 알 수가 없게 될 것"이라고 개인정보 3법안의 문제점을 짚었다.
개인정보보호법은 특정 개인을 식별할 수 없도록 처리한 가명 정보를 본인의 동의 없이 통계 작성·연구 등 목적으로 활용할 수 있도록 하는 내용을 담은 개인정보 보호법 개정안(행정안전위원회)과 상업적 통계 작성·연구·공익적 기록 보존 등을 위해 가명 정보를 신용정보 주체의 동의 없이 이용하거나 제공할 수 있도록 한 신용정보의 이용 및 보호에 관한 법률(정무위원회) 개정안은 소관 상임위원회를 통과, 국회 법제사법위원회에 회부된 상태다.
온라인상 개인정보 규정과 권한을 개인정보 보호법으로 이관하는 내용 을 담은 정보통신망법 개정안도 4일 국회 과학기술정보방송통신위원회 법안소위와 전체회의 문턱을 잇따라 넘어 법사위로 향했다. 과방위는 부대의견으로 △법 적용 대상자 용어개념 개선 △가명정보 처리시 정보주체 권리 보호 조항 삽입 △목적 외 이용 및 제3자 제공 시 공표 △형사처벌 및 행정처분 개선 등을 달았다.
소관 상임위를 모두 통과한 데이터 3법안은 법사위 의결과 본회의 표결만 남겨두게 됐다.
더불어민주당은 오는 9일 본회의를 열어 데이터 3법안을 비롯해 공직선거법 개정안·고위공직자비리수사처 설치 및 운영에 관한 법률 제정안·유치원 3법·도로교통법 일부개정법률안(민식이법) 등을 처리할 방침이다.
패스트 트랙 법안 반대를 선언하며 무제한 토론(필리버스터)을 신청한 자유한국당의 대응이 본회의 통과 여부의 결정타로 작용할 전망이다.
정부와 기업들은 "다른 나라에 비해 개인정보 보호 규제가 너무 강해 데이터산업이 활성화되지 못한다. 4차 산업혁명을 위해 개인정보를 활용할 수 있도록 규제를 완화해야 한다"면서 개인정보 3법안의 국회 통과를 촉구하고 있다.
반면 노동시민사회단체는 개인 정보의 상업적 활용과 개인정보 유출 부작용을 우려하며 "국회가 할 일은 당장 이들 3법안 심사를 중단하고 정보 보호와 활용이 균형잡힌 대안을 제시하는 것"이라고 밝혔다.
이날 긴급기자회견에 참여한 건강과 대안·민주사회를 위한 변호사모임·디지털정보위원회·전국민주노동조합총연맹·진보네트워크센터·참여연대 등 참가자들은 개인정보 3법안에 대해 ▲가명정보 또는 가명처리된 정보의 비동의 활용범위를 산업적·상업적 활용으로 확대하지 않고 '학술연구'로 제한할 것 ▲전세계 유례를 찾아보기 힘든 정보집합물간 결합조항 삭제할 것 ▲민감정보의 가명처리를 제한할 것 ▲가명정보에 대한 삭제권·처리정지권·이용동의 철회권 보장 등 정보주체의 권리를 인정할 것을 제안했다.
■ 노동시민사회단체의 '개인정보 3법안' 팩트체크
1) 우리나라가 다른 나라에 비해 개인정보보호 규제가 강하다는 주장
기존 개인정보보호법은 최소한의 수집, 제3자 제공 및 목적 외 이용에 동의를 요하는 등 기본적인 정보주체의 통제권을 보장하고자 하였음. 동의를 하지 않을 경우 필수적인 용역, 서비스 사용을 제한하더라도 아무런 규제도 없고, 거꾸로 동의를 하였을 경우 사실상 제3자 제공과 목적 외 이용이 제한없이 가능하다.
최근 강화된 미국 캘리포니아소비자보호법(The California Consumer Privacy Act (An implementation guide, CCPA)과 비교해 보면, 미국은 언제든 개인정보를 제3자에게 판매하지 말도록 지시할 '옵트아웃' 권리가 있고, 수집한 개인정보의 범위를 공개하고 삭제하도록 요구할 권리를 강하게 규정하고 있다. 이러한 규제는 페이스북에서 무단으로 수천만명의 개인정보를 수집한 캠브릿지 애널래티카라는 회사의 사례를 들면서, 명백히 '프라이버시 및 개인정보에 대한 더 많은 통제권'과 '투명성'을 규제 취지로 들고 있다.
유럽 일반개인정보보호규정(General Data Protection Regulation, GDPR)은 과학적 연구나 통계적 처리를 위해 안전조치의 한 종류로 가명처리를 할 수 있다고 규정할 뿐이고, 개인의 동의 없이 가명처리를 할 수 있다는 근거가 아니다. 오히려 GDPR은 가명정보를 재식별이 가능한 '개인정보'로 인식하고 개인에게 통제권을 부여하고 있다.
결국 우리나라가 다른 나라에 비해 개인정보보호 규제가 너무 강하여 GDPR 또는 미국 수준으로 규제를 낮추겠다는 개정안의 주장은 지나친 규제 완화로 인해 국민들을 희생양으로 만들 가능성이 있다.
2) 4차산업혁명을 위해서 개인정보를 활용해야 하는데 규제완화가 안되어 이대로 가다간 데이터후진국이 된다는 주장
빅데이터 산업 발전을 위해 개인정보 규제 완화를 해야 한다면, 전 세계는 개인정보 보호를 완화하기 위한 바닥으로의 경쟁을 해야할 것이다. 이는 그 자체로도 바람직한 방향이 아니지만, 실제로 세계 각 국은 빅데이터 환경에서 개인정보 보호를 강화하는 방향으로 보호 수준을 높이고 있음. 유럽의 GDPR이 그렇고, 미국의캘리포니아주 소비자프라이버시법(CCPA)이 그러하다.
이는 개인정보 권리 보호를 위해서도 필요하지만, 실제 빅데이터 산업 (넓게는 인터넷 기반 비즈니스) 발전을 위해서도 개인정보에 대한 신뢰가 뒷받침되어야 한다. 인터넷 기반 산업은 정보주체가 자신의 개인정보를 적극적으로 제공하는 것에 기반하고 있는데, 이에 대한 신뢰가 없다면 인터넷 경제에 적극적으로 참여하려 하지 않을 것이기 때문이다.
3) 가명정보는 안전하다는 주장
'가명처리'란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보 없이는 특정 개인을 알아볼 수 없도록 처리하는 것이다. 다른 정보와 결합하면 식별의 위험성이 있는 정보이며 가명정보 역시 개인정보다. 따라서 개인정보보호법의 적용을 받아야 한다.
유럽연합 GDPR도 가명정보를 개인정보로 보고 있으며, 한국 정부도 인정하고 있다.
가명정보는 가명처리되지 않은 원래의 개인정보 보다는 안전하다. 따라서 가능하다면 개인식별이 가능한 개인정보의 형태로 처리·보관하는 것보다는 가명처리해서 보관하는 것이 바람직하다. 그러나 가명정보는 다른 정보와 결합하여 여전히 재식별될 위험성이 있으므로, 재식별이 불가능한 익명정보 보다는 위험하다. 따라서 가능하다면, 익명처리해서 활용하는 것이 가장 바람직하다. 재식별의 위험성은 가명처리의 방법 및 수준에 따라 달라지며, 현재 가명처리의 기술, 재식별 기술 모두 발전하고 있는 상황이다.
개인식별자를 삭제하더라도 여전히 개인식별의 위험성이 있음은 이미 2016년 정부가 발표한 <개인정보 비식별조치 가이드라인>에서도 인정하고 있다.
4) 영국 역시 의료빅데이터를 공유하는 사업을 국가 단위에서 추진하고 있다는 주장
영국은 범국민적으로 탈퇴(opt-out)캠페인이 일어나는 등 결국 이 사업을 폐기하였고, 유럽 GDPR도 건강정보에 대해 원칙적 처리 금지를 명시함. 개인의 건강정보는 한 사람의 과거, 현재, 미래의 건강 상태의 집합이라는 점에서 보다 엄격한 동의 규정, 고지 의무 등을 법제화했다. 단 '명시적 동의' 혹은 '치료행위 및 공중보건을 위한 공공의 이익(Public interest)를 위한 경우, 학술 연구로 제한적 활용을 권고하고 있다. 또한 이러한 경우에도 자동화된 데이터 처리나 알고리즘에 의해 어떠한 의사 결정이 이루어질 때 이에 대해 환자가 알고 개입할 권리를 보장하도록 함. 자신의 건강정보 삭제를 요청할 권리 등도 이에 포함하고 있다.
5) 빅데이터 기술을 활용하여 의료데이터를 분석하고 개인에 맞는 건강관리 및 치료방법을 제안하고 더 나아가 질병 또한 예측하는 서비스를 제공하는 등 데이터기반 의료서비스로 의료서비스 질이 업그레이드 되는 등 사회적 이익이 증대될 것이라는 주장
'데이터 중심 건강관리'라는 데이터경제론은 근거가 없다. 넛지(nudge)이론에 근거한 개인의 행동변화를 통한 건강증진 사업은 효과가 없음이 이미 증명됐다. 거꾸로 건강증진 앱은 감시, 두려움, 죄책감을 동반해 경쟁적 자아 경영을 도모하며, 앱 사용에 있어 경제적 문화적 차별을 전제하고 있다는 문제가 제기되고 있다. 결국 건강정보 규제완화는 건강을 결정하는 사회경제적 요인 문제들을 사회적 문제로 인식하지 못하도록 만들고 건강의 개인책임화를 부추기는 경제논리다. 따라서 공적인 예산들이 다수 건강증진 효과가 없다는 것이 드러난 의료상업화로 투자되고 있는 공적자금의 왜곡도 데이터경제론의 큰 문제 중 하나다.
보건의료 빅데이터는 그 활용이 정보주체, 집단, 지역사회에 주는 해보다 큰 사회적 가치가 있는가의 여부(공공의 이익), 연구 과정과 결과가 모든 이들에게 호혜적이며 사회적 연대를 갖는가의 여부(형평성), 데이터의 질과 안전, 사용에 있어 투명하게 사용되고 있음을 증명할 수 있는가(책임성) 등에 대한 사회적 논의와 공론화가 우선되어야 한다.
6) 신용정보법 개정안이 통과된다면 소비자에게 최적의 맞춤형 서비스를 제공하는 등 소비자-기업간 윈윈할 것이라는 주장
오히려 금융서비스 공급자와 이용자 간 극단적 정보격차 상황이 발생할 것이며 이것은 금융공공성 훼손으로 귀결될 것이다. 이제 금융회사들은 철저하게 가명정보의 이종 간 결합을 바탕으로 상품을 설계하고 판매 전략을 운영하게 된다. 이것은 공급자가 소비자 집단을 매우 정확한 수준에서 위험군과 비위험군으로 분류하고, 리스크가 '0'에 수렴하는 영업활동을 하게 된다는 의미다. 결과적으로 저신용, 저소득 계층의 금융소외는 피할 수 없다. 빅데이터와 금융의 결합이 당장 새롭고 편리한 금융서비스로 나타날 수 있지만, 머지않아 극단적인 양극화를 강화하는 촉매로 작동할 것이다.
뿐만 아니라 보이스피싱 범죄 등 대표적인 금융사기범죄로 이미 불법 유출된 국민 개인정보와 신용정보가 대환사기 등 나날이 발전하는 범죄수법의 도구로 범죄자들에게 애용(?)되고 있다. 미신고 피해까지 합칠 경우 보이스피싱의 피해 규모는 이미 1조 원대에 달할 것으로 보이는데, 불행히도 국내 금융보안 수준을 감안하면 가명정보 활용이 본격화 될 경우 보이스피싱 피해는 그에 비례하여 급증할 것으로 예상된다.
7) 현재 국회 법사위에서 체계 잣구 심사 단계인데, 이들 법안들은 다른 법률들과 법체계 문제는 없나?
개별 법률은 특정 정보에 대하여 활용 목적을 엄격하게 제한함으로써 특별한 보호를 규정하고 있는데, 이에 대해서 개인정보보호법 개정안이나 신용정보법 개정안은 그 개별법과의 관계를 명확히 하지 않고 있다.
대표적으로 인간의 존엄성 등과 밀접하게 관련된 건강정보는 특별한 보호가 요청되는 정보인데, 개인정보보호법 개정안과 신용정보법 개정안에 따르면 상업적, 영리적 목적으로 활용될 수 있다.
의료법 제19조는 의료인 및 그 종사자 등이 알게 된 건강정보를 누설하거나 발표하지 못하도록 하고 있고, 부당한 목적으로 사용하여서는 아니된다고 규정하고 있다.
국민건강보험법 제102조는 공단, 심사평가원 및 대행청구단체에 종사하였던 사람 또는 종사하는 사람에게 비밀누설금지 및 제3자 제공을 금지하고 있다.