한겨레

개인정보보호법 개정과 관련해 지난 21일 더불어민주당과 정부가 당정협의를 열었습니다. 이 자리에서 홍영표 민주당 원내대표는 “4차 산업혁명 시대엔 데이터베이스가 산업화 시대의 철광석과 같은 역할을 할 것”이라며 “완벽하게 개인정보를 보호하면서도 활용할 방안을 마련했다”고 밝혔습니다. 홍 원내대표가 언급한 방안은 개인정보보호법 정부안에 담겼습니다. 이 정부안은 소관 상임위인 국회 행정안전위원회 위원장인 인재근 민주당 의원이 지난 15일 의원입법 형식으로 대표발의했습니다.

당정협의가 있던 날 국회 앞에서는 참여연대·경제정의실천시민연합·진보넷 등 10개 시민사회단체들은 국회 앞에서 “문재인 정부가 개인정보 보호 체계를 강화하겠다는 약속과 달리, 빅데이터 산업 활성화를 명분으로 ‘동의없는 개인정보 활용’을 선택했다”며 개인정보보호법 정부안에 반대하는 기자회견을 열었습니다. 그러면서 우리나라의 개인정보보호법을 지난 5월부터 적용하기 시작한 유럽연합(EU)의 ‘일반개인정보보호규칙’(GDPR) 수준으로 높여야 한다는 대안을 제시했습니다. GDPR은 2011년부터 5년간 깊이 있는 논의를 거쳐 제정된 규칙입니다. 빅데이터 활용을 하더라도 개인정보 보호라는 ‘잠금장치’를 분명히 하는 전제에서 개인정보를 활용하자는 취지에서 만들어졌습니다. 이 GDPR에 근접한 내용을 담은 개정보보호법 개정안을 이재정 민주당 의원이 지난 16일 대표발의하기도 했습니다.

우리나라의 개인정보보호법은 지난 2011년 제정된 이후 9번 개정됐지만, 최근 특정 개인을 알아볼 수 없는 형태의 비식별화된 개인정보를 ‘활용’해 부가가치를 창출할 수 있다는 기업들의 요구가 있는 한편, 개인정보 유출 사고가 거듭 발생하고 있어 ‘활용’보다 ‘보호’를 강조해야 한다는 의견들도 나와 어떤 식으로든 법을 다시 고쳐야 한다는 목소리가 나왔습니다. 또 박근혜 정부 때인 2016년에는 정부가 ‘개인정보 비식별조치 가이드라인’을 제시한 바 있지만 법이 아닌 ‘가이드라인’이라는 한계 탓에 문제가 발생했습니다. 참여연대·진보넷 등 시민사회단체들은 이 가이드라인을 따라 비식별조치를 했더라도 기존 개인정보보호법 상 ‘사전동의, 목적 외 이용 및 제3자 제공 금지 의무’ 등을 위반한 것이라며 한국인터넷진흥원(KISA), 한국정보화진흥원, 금융보안원 등 비식별조치 전문기관과 개인정보를 비식별조치한 보험사·카드사 등 20곳을 지난해 11월 검찰에 고발했습니다.

이래저래 개인정보보호법 개정이 절실한 상황이 된 것이죠. 그럼 당정협의 후 브리핑한 내용과 시민사회단체들이 제기하는 문제점을 중심으로 개인정보보호법 정부안을 뜯어보겠습니다.

당정브리핑: “개인정보의 개념을 명확하게 정의함”…‘가명정보’ 신설

당정은 “그동안 개인정보보호법상 개인정보 개념의 경계와 범위가 모호해 법 적용시 혼란이 있었다”며 “이런 문제를 해결하기 위해 개인정보 해당 여부에 대한 판단기준을 제시하고, ‘가명정보’ 개념을 도입했다”고 했습니다. 추가적으로 정보를 결합하지 않으면 특정 개인을 알아볼 수 없도록 한 ‘가명정보’ 개념을 새로 도입해 이 가명정보에 한해 공익 연구와 상업적 활용의 길을 열어준 것입니다.

당정브리핑: “가명정보 및 개인정보의 이용범위를 확대하고, 개인정보처리자의 책임성을 강화”

당정은 “가명정보는 통계작성, 과학적 연구, 공익적 기록보존 등의 목적으로 이용·제공이 가능하도록 했다. 개인정보의 경우, 당초 수집 목적과 합리적으로 연관된 범위 내에서 암호화 등 안전성 확보조치 여부에 따라 추가 이용·제공이 가능하도록 했다”고 밝혔습니다. 정부안은 또 서로 다른 개인정보처리자가 보유한 개인정보를 결합한 ‘결합정보’의 반출도 허용하고 있습니다.

당정브리핑: “개인정보보호 추진체계 효율화”

당정은 “개인정보보호위원회를 국무총리 소속 중앙행정기관으로 격상하고 독립성을 확보했다”고 밝혔습니다. 그리고 지금은 행정안전부, 방송통신위원회, 금융위원회의 개인정보보호 기능을 개인정보보호위원회로 통합해 일원화하기로 했습니다. 개인정보보호위원회가 중앙행정기관으로 격상되고, 개인정보 감독권한을 통합해서 보유하게 된 것은 긍정적입니다.

그외 주요 문제: ‘프로파일링’ 조항 도입 필요

개인정보를 다양하게 조합해서 개인의 특성을 분석하고 추정하는 ‘프로파일링’ 조항은 정부안에는 없는 내용인데 신설이 필요한 내용입니다. 가령, 서점사이트에서 ㄱ이라는 사람의 책 구매이력을 분석해 새책이 나오면 읽어보라고 권하는 방식도 일종의 프로파일링입니다. 취업이나 보험에 있어서도 이런 사람은 채용이나 보험가입이 ‘된다, 안된다’까지 분석·판단할 수 있을 정도로 개인에게 미치는 영향이 클 수 있지만, 정작 당사자는 어떻게 그런 판단이 나왔는지 알 수 없는 깜깜이 상태입니다. 그래서 GDPR에서는 ‘자신에게 중대한 영향을 미치는 프로파일링을 포함해 자동화한 의사결정에만 근거한 결정을 따르지 않을 권리’를 정보주체에게 보장합니다.

이재정 의원이 발의한 개인정보보호법 개정안에는 관련 내용이 아래와 같이 포함돼 있는데 이런 내용을 정부안에 포함하는 것이 필요하다는 지적이 나옵니다.

그외 주요 문제: 개인정보의 추가 이용과 제공 관련 더 염격한 규정 필요

정부안은 개인정보의 추가 이용·제공과 관련해 법 15조와 17조에서 ‘개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위 내에서 안전성 확보에 필요한 조치를 했는지 여부 등을 고려해 정보 주체 동의없이 개인정보를 제공할 수 있다’는 식으로 지나치게 간단히 규정한 것도 문제점으로 지적됩니다.

이보다는 보다 상세하게 △애초 수집목적과 연관 추가처리 목적간의 연관성 △성생활·노동조합가입·정당가입 등의 ‘민감정보’에 해당하는지 여부 △추가 개인정보처리가 정보주체에게 초래할 수 있는 결과 △암호처리나 가명처리 등 적절한 안전조치 존재 여부 등을 규정해 기업들이 자의적으로 목적 외로 활용범위를 확대하지 않도록 해야 한다는 것입니다.

EU 적정성 평가중…행안위에서 법안 심사중

우리나라는 지금 ‘EU 적정성 평가’를 받고 있습니다. 적정성 평가는 EU가 역외 국가들이 GDPR이 요구하는 적정수준으로 개인정보 보호 조치를 확보하는지 평가하는 제도입니다. EU의 적정성 평가 인정을 받은 국가의 기업들은 표준계약 등의 절차를 거치지 않고 EU 개인정보를 역외로 이전해 활용할 수 있습니다. 동시에 적정성 평가 인정을 받았다는 것은 엄격한 개인정보 보호 규칙인 GDPR을 갖고 있는 EU로부터 ‘개인정보 보호를 잘 하고 있으니 믿고 유럽연합 시민들의 개인정보를 이전해줄 수 있는 나라’라는 인증을 받는 효과도 있습니다.

EU가 적정성 인정을 하는 나라는 스위스, 아르헨티나, 이스라엘, 우루과이, 뉴질랜드 등 11개국입니다. 우리나라는 지난 2016년 ‘개인정보보호위가 자체 예산·조직·행정처분 권한이 없고 행정자치부의 지시를 받는 조직이어서 독립성이 없다’는 이유로 ‘부적격’ 평가를 받았습니다. 이후 지난달 EU LIBE위원회(시민자유·사법·내무) 클로드 모라에스 위원장 등 5명의 대표단이 방한하는 등 적정성 평가 절차가 진행되고 있습니다.

또 개인정보보호법 정부안, 이재정 의원 개정안 등을 국회 행정안전위원회 법안심사소위에서 논의할 예정입니다. 개인정보의 원활한 활용을 위해서라도 무엇보다 먼저 개인정보 보호를 GDPR수준으로 높이는 방향으로 개인정보보호법 논의가 국회에서 이뤄지기를 바랍니다. 또 그렇게 마련된 법이 무난히 EU 적정성 평가에서도 통과해 대한민국이 EU와 개인정보 보호 교류를 원활히 할 수 있는 나라가 될 수 있기를 기대합니다. 김규남 기자 3strings@hani.co.kr

◎ 정치BAR 페이스북 바로가기 www.facebook.com/polibar21
◎ 정치BAR 텔레그램 바로가기 https://telegram.me/polibar99
◎ 정치BAR 바로가기 https://www.hani.co.kr/arti/politics/polibar