[미디어스=송창한 기자] "학술연구 목적의 개인정보 활용에 반대하는 것이 아니다. 그런데 상업적·산업적으로 활용할 땐 동의 받으라는 것이다. 이게 어려운 요구인가"

이른바 '데이터3법'으로 불리는 개인정보보호법, 신용정보보호법, 정보통신망법 개정안에 대한 시민사회 반응이다. 현재 국회 법제사법위원회에는 개인정보보호법, 신용정보보호법이 계류 중이고, 과학기술정보방송통신위원회는 4일 정보통신망법을 처리할 예정이다.

정부와 정치권 여야가 비쟁점 법안이라며 개인정보 관련 3법 개정안의 본회의 처리를 밀어붙이는 가운데, 시민사회는 보호장치 없는 개인정보 3법의 개정을 '개인정보 도둑법안'으로 규정하고, 팩트체크에 나섰다. '가명정보'라는 개념을 도입해 기업들이 정보주체의 동의없이 산업적·상업적 연구에 무한대로 활용할 수 있도록 한다는 지적이다.

참여연대, 무상의료운동본부, 민주사회를위한변호사모임, 민주노총, 진보네트워크센터 등 시민사회단체는 4일 오전 참여연대에서 '펙트체크-데이터 3법, 왜 개인정보 도둑 법인가'를 주제로 긴급 기자브리핑을 개최했다.

참여연대, 무상의료운동본부, 민주사회를위한변호사모임, 민주노총, 진보네트워크센터 등 시민사회단체는 4일 오전 참여연대에서 '펙트체크-데이터 3법, 왜 개인정보 도둑 법인가'를 주제로 긴급 기자브리핑을 개최했다. (사진=미디어스)

■'가명정보'는 안전하다?

정부여당이 도입한 개념인 '가명정보'는 개인정보의 일부를 삭제하는 방법 등으로 추가정보 없이 특정 개인을 알아볼 수 없도록 처리한 정보를 말한다. 당정은 기업이 '가명정보'를 처리할 때 특정 개인을 알아보기 위한 행위를 금지하고, 이를 어길 경우 형사처벌과 과징금 등을 부과해 개인정보 활용 주체의 책임을 강화하겠다고 밝히고 있다.

하지만 시민사회에서는 가명정보가 타 정보와 결합될 시 식별의 위험성이 있으며, 가명정보 역시 개인정보라는 점에서 개인정보보호법의 적용을 받아야 한다고 비판한다. 재식별이 불가능한 익명정보보다 식별 위험이 높다는 지적이다. 가명처리 방법은 대통령령으로 위임돼 가명정보의 범위도 구체적이지 않다는 문제제기도 이뤄진다.

변혜진 건강과대안 상임연구원은 "빅데이터 시대에 가명정보 재식별이 쉽다는 건 의학계와 과학계에서 재론의 여지가 없다. 때문에 활용하자는 측 조차도 어떻게 안전하게 활용할까 논의하는 것"이라고 지적했다.

■ 다른나라에 비해 한국의 개인정보보호 규제가 강하다?

현행 개인정보보호법은 최소한의 수집, 제3자 제공, 목적 외 이용에 동의를 필요로 하도록 되어 있다. 이에 대해 기업 등에서는 한국의 개인정보보호 규제가 강해 유럽의 GDPR(일반개인정보보호규정)이나 미국 수준으로 규제를 완화해야 한다는 주장을 펴고 있다.

하지만 현행 개인정보보호법은 정보주체가 동의를 하지 않을 경우 필수적인 서비스를 사업자가 제한하더라도 아무런 규제가 없으며, 반대로 동의를 했을 경우 제3자 제공과 목적 외 이용이 제한없이 가능하다는 점에서 GDPR, 미국 캘리포니아소비자보호법(CCPA)과 비교해도 강하지 않다는 지적이 제기된다.

최종연 참여연대 정보인권사업단 변호사는 최근 강화된 미국 CCPA의 경우 언제든 개인정보를 제3자에게 판매하지 말도록 지시하는 규정과 수집한 개인정보 범위를 공개하고 삭제하도록 요구할 권리를 강하게 규정하고 있다고 설명했다. 이어 최 변호사는 유럽 GDPR의 경우 과학적 연구나 통계적 처리를 위해 안전조치의 한 종류로 가명처리를 할 수 있다고 규정할 뿐, 개인 동의 없이 가명처리를 할 수 있다는 근거는 아니라며 오히려 GDPR은 가명정보를 재식별이 가능한 '개인정보'로 인식하고 개인에게 통제권을 부여하고 있다고 설명했다.

최 변호사는 "정부, 국회 관계자들은 좌담회에서 가명처리를 하면 삭제할 수가 없다고 한다. 삭제하려면 정보를 식별해서 삭제해야 하기 때문에 부적절하다는 것"이라며 "이런 무책임한 얘기가 어디있나. GDPR의 핵심은 가명정보의 개인정보 취급이다. CCPA는 정보를 삭제하고 그 활용범위까지 공개할 것을 명시하고 있다. 데이터3법은 가명화부터 활용, 제3자 제공에 이르기까지 개인 동의가 하나도 필요하지 않은 것으로 유럽, 미국보다 훨씬 자유로운 법이 된다"고 비판했다. 같은 맥락에서 개인정보 규제완화를 하지 않으면 '데이터후진국'이 된다는 주장 역시 반박됐다.

지난달 12일 서울 여의도 국회 정론관에서 참여연대·민주노총 등이 '정보인권 침해하는 데이터 3법 개악 중단' 기자회견을 한 모습. (사진=연합뉴스)

■ 의료빅데이터 활용, '의료민영화' 우회 접근… 신용정보법 개정, 금융사기범죄 우려

데이터3법 처리 필요성을 뒷받침하는 구체적 사례로는 보건의료정보와 금융정보의 활용을 통한 맞춤형 서비스의 제공이 꼽힌다. 그러나 시민사회에서는 가명정보 재식별 우려가 높아 발생할 부작용을 국가가 책임질 수 없다고 비판한다.

변혜진 연구원은 "보건의료 시민사회가 반대에 나서는 이유 중 하나는 그토록 반대해 온 '의료민영화'의 문을 막고 있던 안전핀을 열어주기 때문"이라며 "가장 큰 예로 건강보험을 민간보험이 대체하는 것인데, 의료법과 건강보호법도 아닌 개인정보보호법 개정으로 우회해 민감정보로 규정돼 있는 건강정보들을 민간보험회사가 활용하게 하려고 한다"고 지적했다.

이어 변 연구원은 "문재인 대통령은 기자회견에서 국민건강보험공단, 건강보험심사평가원 등에 모여있는 의료정보를 가명처리해 데이터 중심병원에 사용하겠다고 했는데, 여러분의 정보는 공단의 것인가 여러분의 것인가"라며 "당연히 여러분의 동의를 받아야 한다. 사회적 논의나 공청회 한 번 없이 이렇게 처리해서는 안 된다"고 비판했다.

백정현 민주노총 사무금융노조 교육국장은 "신용정보법이 본회의를 통과하면 지금도 엄청난 규모의 보이스피싱범죄가 발생하는데, 피해자들의 금융정보를 정확히 알고 사기를 치는 범죄를 피할 수 없게 된다"며 "2018년도 신고된 보이스피싱 피해금액만 4400억원이고, 사실상 1조 규모의 범죄시장이 형성되어 있다고 본다. 이런 상황에서 온갖 메타정보가 가명정보라는 이름으로 풀리게 되면, 해킹과 유출사고가 이어져 정부가 감당하지 못할 것"이라고 경고했다.

이어 백 교육국장은 "금융회사와 소비자 간 극심한 정보의 불균형으로 금융공공성이 훼손될 것"이라며 "금융회사들은 리스크 없는 영업을 영위하기 위해 소비자를 위험군과 비위험군으로 나눌 것이고, 신용도가 낮거나 소득이 낮은 계층은 금융서비스를 이용하기 매우 어려워질 것"이라고 우려했다.

■ 현행 법체계와 충돌… 국회 상임위 심사는 허술

서채완 민변 디지털정보위원회 변호사는 데이터3법이 기존 개인정보 관련 개별법들과 충돌하지만 국회 심사가 허술하게 진행되고 있다고 지적했다.

서 변호사는 "개인정보보호법 개정안은 핸형 법률들과 충돌 가능성이 있다"며 대표적으로 의료법, 국민건강보호법, 교육기본법 등에서 특별보호를 규정하고 있는 정보들에 대한 처리를 어떻게 할 것인지에 대한 관계 규정을 명확히 하고 있지 않다고 비판했다.

이어 서 변호사는 "이런 것들이 과연 헌법체계나 개인정보보호법제에 맞는 것인지 고민해야 하는데 국회는 침묵하고 있다. 심사보고서 내용에도 우려는 없다"며 "호시탐탐 개인정보를 데이터로 활용하겠다고 주장하는 법안들인데 이렇게 허술하게 심사되고 있다"고 질타했다.

이에 토론회 참가자들은 국회 계류중인 개인정보 3법에 대해 ▲가명정보의 활용범위를 산업적·상업적 활용으로 확대하지 않고 '학술연구'로 제한할 것 ▲정보집합물간 결합조항 삭제할 것 ▲민감정보의 가명처리를 제한할 것 ▲가명정보에 대한 삭제권, 처리정지권, 이용동의 철회권 등 정보주체의 권리를 인정할 것 등을 제안했다. 아울러 국회가 이들 3법 심사를 중단하고 정보보호화 활용의 균형잡힌 대안을 제시할 것을 촉구했다.

저작권자 © 미디어스 무단전재 및 재배포 금지