최종연 ㅣ 참여연대 정보인권사업단 위원·법률사무소 일과사람 변호사
현재 추진되는 이른바 ‘데이터 3법’ 개정 추진의 가장 큰 문제는 개인정보를 개인에 관련된 정보로 보지 않고, 마치 산업의 원재료나 금광처럼 여기는 태도에 바탕을 두고 있다는 것이다. 더구나 마치 개인정보 빅데이터를 당장 활용하지 않으면 세계적인 흐름에 뒤처질 것 같은 공포 분위기를 조성한다. 그러나 데이터 3법이 실제 유럽이나 미국 등 외국 법률에 부합하는 내용인지, 아니면 이를 잘못 해석하고 왜곡했는지에 대해서는 국회에서 깊이 있는 심의가 이루어지지 않고 있다. 국회에서 1년 가까이 공청회 한 번 없이 잠자고 있던 법을 회기 만료로 폐기될 위험이 있으니 서둘러 통과시키려는 것이 현재 상황이다.
과연 개인정보가 가명화된다고 해서 완벽한 보안이 이루어지고 오남용이 방지될까? 그럴 가능성이 거의 없다는 것이 시민사회가 우려하는 내용의 핵심이다. 유럽과 미국은 ‘관련성’을 기준으로 개인정보를 정의하지만, 이번 개인정보보호법 개정안은 여전히 ‘식별 가능성’을 기준으로 개인정보를 구분한다. 이 때문에 기본적으로 개인정보로 분류되는 범위가 좁다. 여기에 더해 가명정보의 처리부터 결합과 이후 판매·활용까지 정보 주체의 동의 없이 할 수 있기 때문에, 결합 때 소수의 집단에 해당하는 정보 주체일수록 사실상의 재식별이 가능하다.
미국에서는 넷플릭스 시청 이력과 영화평 내용을 결합해 일부 개인을 식별해낸 사례가 있다. 또 생년월일·성별·우편번호만 결합하면 87%의 미국인이 재식별을 할 수 있다는 연구 결과도 있다. 한국은 미국보다 훨씬 인구가 적다. 재식별의 오남용과 유출 때 파급력을 고려하면, 이를 처벌 대상으로 두는 것만으로는 결코 재식별이 방지된다고 안심할 수 없는 상황이다.
더구나 데이터 3법은 개인정보 주체의 동의를 배제하고 데이터의 활용에만 초점을 두어, 개인들이 일단 개인정보를 처리자에게 제공하고 난 뒤에는 그에 관한 통제권을 잃어버리는 결과를 낳을 것이다. 개정안에 따르면, 통계 작성, 과학적 연구, 공익적 기록 보존 등을 위해 정보 주체의 동의 없이 가명정보를 처리할 수 있고(28조의 2), 가명정보는 동의 없이 목적 외 이용 및 제3자 제공 대상이 된다(15조 3항·17조 4항). 또 외부 전문기관의 결합 대상이 되며(28조의 3), 개인이 열람·정정/삭제를 요청할 권리도 상실하게 된다(28조의 7). 심지어 가명 처리된 이후에는 개인이 처리 정지를 요청할 수 있는 ‘옵트아웃’(opt-out) 권리를 행사할 수 없고, 기업 등 처리자로부터 가명정보가 유출되어도 원래 정보 주체에게 통지해줄 의무가 없다. 이는 유럽이나 미국보다도 개인의 통제권을 훨씬 약화한 것이다.
또한 유럽에서 공익적 목적으로 통계 작성과 과학적 연구 때 보안장치의 하나로 가명 처리를 하게 하고 이 경우 개인의 통제권을 일정 부분 약화한 것과 다르게, 관련법 개정안은 상업적이고 산업적인 연구와 통계 작성의 목적을 열어두고 있다. 신용정보법 개정안은 상업적·산업적 목적을 명시하고 있기까지 하다. 이는 국제적 개인정보보호법제에 맞춰가는 것이 아니라, 이를 과도하게 앞질러 오히려 위반하는 셈이다. 유럽 개인정보보호일반규정(GDPR)은 과학적 연구를 ‘자유롭게 유통되는 연구’로 전제하고 있고, 그마저도 개인의 동의권 등 통제권을 전면 배제하고 있지 않다. 만약 개정안처럼 상업적 연구를 전제로 개인정보처리자가 유럽 소비자의 정보를 동의 없이 가명처리한 뒤 결합하고 분석받아 판매한다면, 동의권 침해와 목적 외 이용 등 전반적인 개인정보보호일반규정 위반을 이유로 거액의 과태료를 부과받을 수도 있다.
개인정보를 활용해 개별 주체들의 편익과 맞춤형 서비스를 제공할 수 있을까? 오히려 정보의 비대칭성과 위에서 살펴본 재식별 가능성 때문에 개별 정보 주체들에게 불리한 결과를 가져올 수 있다. 보험사는 개인의 질병과 사고 발생 가능성을 더욱 정밀하게 평가해서 보험요율을 올릴 수 있을 것이고, 금융사는 개인의 신용정보를 결합 분석해 기대수익을 극대화한 상품을 내놓을 것이다. 개인정보를 비식별화해 결합하고 분석한 ‘데이터’는 결과적으로 수익으로 직결된다. 이를 상업적으로 활용하는 주체들은 자선사업가가 아니다.
개인들은 장기적으로 소비자-기업 간 정보 비대칭성이 강화되는 구조에서, 자신의 데이터를 제공하고서도 더 큰 비용을 들여가며 관련 서비스를 이용할 수밖에 없다. 결국 데이터 3법은 이익을 거두는 주체가 투자하고 비용을 부담해야 한다는 경제의 기본 원칙을 어기고, 개인정보를 제공한 목적과 범위를 벗어나 마음껏 활용하게 하는 ‘개인정보 도둑법’이나 다름없다.
박근혜 정부가 2016년 6월 도입한 개인정보 비식별 조치 가이드라인은 법률적 근거 없이 개인정보 결합·활용을 지원한다는 비판을 받고 사실상 폐기됐는데도, 데이터 3법은 이를 더 강력하게 되살렸다. 어디에도 ‘정부안’이라고 명시돼 있지 않지만 모두가 정부안으로 알고 있다. 그러나 시민들은 이미 수많은 정보 유출 사고와 이를 기초로 한 보이스피싱으로 날마다 고통받고 있고, 기술적 고도화 아래 침해인지도 모르고 개인정보가 침해될 수 있다. 데이터 3법은 결코 현 상황에 대해 책임 있는 법도 아니고, 개인정보를 더욱 보호하는 법도 아니다. 오직 산업적·상업적 활용만을 가능케 하는 법이다.
[이슈논쟁] ‘데이터 3법’ 약인가 독인가
이른바 ‘데이터 3법’으로 알려진 개인정보보호법·정보통신망법·신용정보법 개정안의 국회 처리를 앞두고 찬반 논란이 가열되고 있다. ‘데이터 3법’은 개인정보보호 규제를 일부 완화해 산업적·상업적 목적의 활용도를 높이도록 한다는 취지를 앞세워, 여야 국회의원 다수가 찬성해왔다. 정보의 주체인 개인의 동의를 얻지 않고도 개인정보를 가명 처리해서 제3자에게 제공할 수 있으며, 다른 기관의 가명정보와 결합해 쓸 수도 있게 하자는 것이다. 하지만 참여연대와 경제정의실천시민연합, 진보네트워크센터 등 시민사회단체들은 기업의 이윤을 위해 민감한 개인정보가 침해될 수 있다며 반대한다. 법 개정으로 생길 부작용에 대해 강하게 우려하고 있는 것이다. 10일 국회 본회의 통과 여부에 관심이 쏠린 가운데, 최종연 참여연대 정보인권사업단 위원과 구태언 코리아스타트업포럼 이사의 견해를 나란히 싣는다.