[미디어스=송창한 기자] 이른바 '데이터3법'(개인정보보호법·신용정보보호법·정보통신망법 개정안)이 '개인정보 도둑법'이라는 비판에도 국회를 통과했다. 이에 시민사회는 재개정 투쟁을 예고하는 한편, 개인정보보호위원회(이하 '보호위원회') 독립성 강화, 가명처리 수준 강화 등을 촉구하는 의견서를 정부에 제출했다.

17일 참여연대, 진보넷, 무상의료본부, 금융정의연대, 민주사회를위한변호사모임, 민주노총 등 11개 시민·노동단체는 개인정보보호법 개정 후속 과제에 대한 의견서를 정부에 제출했다고 밝혔다. 이들은 "충분한 토론 없이 국회에서 개인정보 3법이 졸속 통과된 것에 대해 심각한 유감을 표한다. 우리는 이 법들의 재개정을 위해 투쟁할 것"이라면서 "그러나 개악된 법을 제대로 개정하기 전이라도 개인정보 침해 위험을 최소화하고 올바른 방향으로 개인정보보호법을 재개정하기 위해 의견을 제출한다"고 제출 취지를 설명했다.

의견서에는 크게 ▲개인정보보호위원회 독립적 위상 강화 ▲가명처리 수준 강화 ▲개인정보 '과학적 연구' 활용범위 구체화 ▲가명정보에 대한 안전조치 강화 ▲가명정보 결합조건 강화 등의 내용이 담겼다.

시민사회는 보호위원회 독립적 운영이 관건이라고 봤다. 보호위원회는 이번 법 개정으로 인사권과 예산권을 갖는 독립적 중앙행정기관으로 재설립될 예정이다. 그러나 대통령 소속 합의제 행정기관에서 국무총리 산하 기구로 재설립되고, 국무총리 행정감독권이 배제되지 않는다는 점에서 시민사회는 보호위원회의 독립성이 실질적으로 보장될 수 있을지 우려하고 있다.

시민사회는 "국민들의 방대한 개인정보를 처리하고 있는 개인정보처리자로서의 공공기관 및 막강한 시장 권력을 가지고 있는 기업 등 민간의 개인정보처리자를 제대로 감독하기 위해서는 개인정보 감독기구의 독립성이 무엇보다 중요하다"면서 "독립적 감독기구의 중요성은 개인정보보호법 개정 과정에서도 드러났다. 국가인권위원회가 개인정보보호법 개정안이 정보주체의 권리를 충분히 보호하지 못한다는 점을 지적하며 개선을 요구한 반면, 보호위원회는 개정안에 대한 개선 의견을 내지 못한 채 정부부처에 종속적인 모습을 보여주었다"고 지적했다.

이번 개정으로 방송통신위원회, 행정안전부 등에 분산돼 있던 개인정보 감독권한이 보호위원회로 통합되게 되었지만, 신용정보에 대한 감독은 여전히 금융위원회가 담당하는 것에 대한 비판이 함께 제기된다.

보호위원회의 내용적 지침을 기존 정부부처가 정하는 것도 문제로 지적된다. 정부는 2월까지 데이터3법 시행령 개정안을 마련하고 3월까지 행정규칙 개정안, 분야별 가이드라인을 마련하겠다는 계획이다. 시민사회는 "이는 중요한 내용적 지침들을 보호위원회 설립 전에 기존 정부부처가 정하는 것으로 보호위원회를 처음부터 무력화하는 것이나 다름없다"고 비판했다.

시민사회는 "행안부, 금융위, 방통위 등 기존 정부부처는 개인정보 보호에 대한 인식없이 개인정보 활용에만 매몰되어 왔다"며 "관계 부처의 역할은 보호위원회 설립을 위한 시행령 제정에 한정되어야 한다. 분야별 가이드라인 등 구체적 지침은 새로 설립되는 보호위원회가 국민 의견을 수렴해 만드는 것이 바람직하다"는 의견을 냈다.

'데이터3법'에 대한 가장 큰 우려는 가명정보 활용에 따른 개인정보 재식별 우려다. '가명정보'란 개인정보 중 일부 내용만을 지우는 '가명처리' 정보를 의미한다. 특정 개인을 알아볼 수 없는 '익명정보'와는 차이가 있다. 가명정보의 경우 결합 등에 따라 개인정보 재식별 위험이 높다는 게 중론이다.

시민사회는 "가명정보는 이미 개인정보의 정의에 포함되어 있고, '원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보'로 별도 규정한 만큼 제3자 입장에서는 익명정보에 가깝도록 처리되어야 한다"면서 "가명처리만 하면 개인정보를 목적 외로 폭넓게 활용할 수 있는 반면, 정보주체의 권리를 전면 배제하고 있기 때문에 근본적 하자 치유를 위해서는 법률 재개정이 돼야 한다"고 지적했다.

가명정보 재식별 우려를 높이는 법률 개정 조항 중 하나는 '과학적 연구'에 대한 정의다. '과학적 연구'에 대한 정의와 범위가 구체적이지 않은 상황에서 이를 명분으로 가명정보의 상업적 활용이 보장될 수 있기 때문이다.

시민사회는 "개정 개인정보보호법 제2항 8호는 '과학적 연구'를 '기술의 개발과 실증, 기초연구, 응용연구 및 민간 투자 연구 등 과학적 방법을 적용하는 연구'로 정의하고 있지만, 그 범위는 명확하지 않다"며 "특히 개정 개인정보보호법의 제안 이유에서 '새로운 기술, 제품, 서비스의 개발 등 산업적 목적을 포함하는 과학적 연구'라고 했기 때문에 기업 내부적인 상업적 연구까지 포괄하는 것에 대해 비판한다"고 했다.

시민사회는 "행정안전부는 과학적 연구가 기업에서 수행하는 모든 종류의 연구를 포함하는 것은 아니며, 또한 기업 간에 가명정보의 '판매'는 허용하지 않을 것이라고 공언해왔다"며 "개인정보보호법이 의도한 ‘과학적 연구’의 범위는 구체적으로 어디까지인지, 개인정보처리자가 ‘연구’라고 주장하면 무조건 허용되는 것인지, 적절한 과학적 연구 여부에 대한 판단이 필요한지, 필요하다면 누가하는 것이 좋을 지 등에 대해 구체적인 지침을 제공할 필요가 있다"고 지적했다.

또한 '데이터3법'은 정보 주체의 동의 없이 가명정보 활용을 가능하게 해 논란을 빚은 바 있다. 법에서는 '당초 수집 목적과 합리적으로 관련된 범위 내에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안정성 확보에 필요한 조치를 하였는지 여부 등을 고려해 대통령령이 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용할 수 있다'고 되어 있다.

시민사회는 "이 조항은 자칫하면 정보주체에게 동의를 받는 노력을 회피하는 데 악용될 우려가 있다"면서 "해당 조항의 '수집 목적과 합리적으로 관련된 범위 내'는 매우 좁은 범위에서, 즉 정보주체가 납득할 수 있는 범위 내에서 엄격하게 해석되어야 한다"고 제시했다.

가명정보에 대한 안전조치에 대해 시민사회는 개인정보에 대한 안전조치에 준하는 조치가 이뤄져야 한다고 강조했다. ▲ 가명정보를 제공받은 제3자에게 안전조치 의무와 책임을 명시할 것 ▲가명정보 처리·활용 기록을 정보주체가 알 수 있도록 개인정보처리방침을 통해 공개할 것 ▲ 활용이 끝난 가명정보는 폐기하도록 할 것 등이다.

이밖에 의료정보, 신용정보 등 민감정보에 대한 법 적용 여부를 명확히 해야 한다고 시민사회는 강조했다. 개인정보보호법 제23조 1항은 '개인정보처리자는 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 대통령령으로 정하는 정보(민감정보)를 처리하여서는 안 된다'고 규정하고 있다.

시민사회는 "만일 개정안의 가명정보의 처리에 관한 특례가 민감정보에도 적용된다면 이는 민감정보에 대한 특별한 보호를 근거없이 완화한 것이 된다"며 "이를 명확하게 규정하지 않고 가명처리를 통한 의료정보 활용 등을 강행할 경우 법적 분쟁을 야기할 가능성이 크다"고 우려했다.