개인정보보호 무력화하는 규제 샌드박스 반대한다
– 개인정보 보호법제 일원화, 개인정보 감독기구 권한 강화!
– 개인정보 보호 통째로 배제하는 광범위한 특례도입 위험해!
더불어민주당이 8월 임시국회에서 이른바 규제혁신 5법(① 행정규제기본법 개정 ② 금융혁신지원법 제정 ③ 산업융합촉진법 개정 ④ 정보통신융합법 개정 ⑤ 지역특구법 개정)의 처리를 계획하고 있다. 나아가 박근혜 정부에서 추진되었던 서비스산업발전법과 규제프리존법에 양보할 기미도 보인다. 개인정보 보호를 위한 규제 개선은 여전히 지지부진한데, 최근 문재인 정부가 규제 완화만이 경제 발전의 메시아인 것처럼 외쳐대는 상황이, 우리가 다시 박근혜 정부로 회귀한 것은 아닌지 착각할 정도이다.
시민사회는 불합리한 규제 개선에 이의가 없다. 모든 규제는 나름의 공공적 목적을 위해 도입됐다. 그것이 시대에 뒤처져 불필요해지거나 공공의 이익을 저해한다면 완화하거나 폐지해야 마땅하다. 그러나 밑도 끝도 없는 묻지 마 규제 완화는 사회적 갈등과 공공성 파괴라는 심각한 문제를 일으킬 수밖에 없다. 문재인 정부가 이전 정부에 이어 묻지 마 규제 완화의 늪에 빠진 게 아닌지 묻지 않을 수 없다.
규제혁신 5법은 개별법에서 정한 기준과 원칙을 특례법 형태로 무력화시킴으로써 법의 원칙과 법제 간 균형을 무너뜨리고 있다. 개인정보 보호 측면에서도 모호할 뿐만 아니라 위험한 내용을 포함하고 있다. 「산업융합촉진법 개정안」, 「정보통신 진흥 및 융합 활성화 등에 관한 특별법 개정안」, 「지역특화발전특구에 대한 규제특례법 개정안」 등은 ‘개인을 식별할 수 있는 요소의 전부 또는 일부를 삭제하거나 대체함으로써 다른 정보와 결합하여도 더 이상 특정 개인 또는 개인의 위치를 알아볼 수 없도록 하는 조치를 한 경우’에는 관련 개인정보 보호법제에도 불구하고 이를 이용하거나 제3자에게 제공할 수 있도록 하고 있으며, 지정 검증기관으로부터 해당 조치의 적정성을 검증받도록 하고 있다. 그러나 이러한 조치가 익명 조치인지 가명 조치인지 모호한데, 어느 정도의 조치인가에 따라 개인정보보호법의 적용 여부가 달라질 수 있기 때문에 이 점은 매우 중요하다. 지정 검증기관의 검증이 어떤 의미가 있는지도 의문이다. 검증기관이 해당 조치가 적정하다고 결정하면 해당 업체는 법적 책임을 면제받는다는 것인가. 그렇다면 사실상 폐기처분 된 비식별조치 가이드라인과 어떠한 차이가 있는가. 이는 정보주체의 동의없이 상업적인 목적으로 개인정보를 활용하고 데이터 결합까지 광범위하게 허용하는 법제화로 연결될 위험이 있다.
특히 「금융혁신지원특별법 제정안」은 개인정보보호법 자체를 배제한다는 점에서 더욱 위험하다. 이 개정안은 혁신금융사업자에게 특례를 인정하는 금융관련법령의 규정을 적용하지 않도록 하고 있는데, 금융관련법령에 개인정보보호법도 포함된다. 혁신금융서비스 지정 신청을 심사할 때 ‘개인정보의 안전한 보호 및 처리 등 금융소비자 보호 및 위험 관리’를 언급하고 있지만, 개인정보의 안전한 보호 및 처리를 위한 법이 개인정보보호법이라는 점에서 이 법을 적용하지 않도록 하면서 개인정보를 보호하겠다는 것은 말장난에 지나지 않는다.
현행 개인정보보호법제의 적용을 배제하는 광범위한 특례법 도입은 개인정보보호를 근본부터 흔드는 입법이다. 규제 샌드박스법에서 특례를 인정하겠다는 사업이나 서비스들은 그 개념이나 범주가 매우 모호하다. 임시허가나 규제특례를 부여하는 위원회도 결국 소관부처가 구성하는 것이기 때문에 독립된 심사위원회로 기능할 것을 기대하기 어렵다. 결국 이런 법들이 통과될 경우, 기업들이 대부분의 신규사업이나 서비스를 규제샌드박스 5법에 산재된 각종 임시허가나 규제특례를 통해 수행하려 할 것이고 일반적인 개인정보규제는 무력화될 것이다.
무엇보다 개인정보 개념과 활용 범위와 조건, 법령 정비가 구체적으로 논의되고 있는 상황에서 다른 법률에서 「개인정보보호법」의 적용 예외를 조급하게 처리한다는 것은 적절하지 않다. 개인정보 관련법령의 개정 논의가 진행되는 상황에서 이를 우회하는 각종 특별법을 양산하면, 안 그래도 비효율적인 개인정보법제와 감독체계는 더욱 혼선을 빚게 될 것이다. 더불어민주당은 ‘법령공백, 법령불합리, 법령불허 등의 경우’ 임시허가나 실증을 위한 규제특례를 적용하겠다고 하지만, 개인정보 보호법령의 공백이나 불합리는 시민사회가 주장하는 바와 같이 조속한 개인정보 보호법제 정비를 통해 해결되어야 할 문제이며, 개인정보보호법이 불허하는 것은 신기술이나 신산업에도 허용되어서는 안될 것이다.
더불어민주당이 규제혁신 5법의 제정 필요성으로 내세우고 있는 인공지능(AI), 사물인터넷(IoT), 빅데이터 등은 모두 개인정보의 활용과 밀접히 연관된 산업부문이며, 따라서 개인정보 보호에 대한 사회적 신뢰를 얻지 못한다면 활성화될 수 없다.
개인정보 보호를 위해 가장 선행되어야 할 것이 개인정보 보호법제를 체계적으로 정비하고, 개인정보보호법의 실효성있는 집행을 위해 개인정보보호위원회의 권한과 독립성을 강화하는 일이다. 그러나 현재 개인정보 보호법제의 주무 부처인 행정안전부, 방송통신위원회, 금융위원회는 몇 개월이 지나도록 이에 대한 정책 방향을 내놓지 않고 있으며, 개인정보 감독기구의 일원화를 오히려 거부하는 모습을 보이고 있다. 말로는 신산업 활성화를 외치지만, 자기 부처의 밥그릇 지키기에 매몰되고 있다. 빅데이터 활성화에 앞장서온 방송통신위원회와 개인 신용정보의 유통 활성화에만 골몰하는 금융위원회를 어떻게 믿을 것인가. 이런 기관들이 감독기구의 역할을 계속하고 있는 상황에서, 그리고 개인정보 보호법제의 정비와 감독기구 일원화는 뒷전인 상황에서, 규제혁신 5법에서 개인정보를 안전하게 보호하겠다는 것은 공염불에 지나지 않는다.
우리 시민사회단체를 비롯하여 국민은 현재 문재인 정부와 더불어민주당의 태도에 대해 실망감을 감출 수 없다. 권력기관 개혁, 사법 개혁은 지지부진한 채, 규제 완화를 외치며 과거 권위주의 정부의 정책 기조를 따라가려는 행태를 보이고 있기 때문이다. 과연 문재인 정부가 촛불 민심의 염원을 담아 탄생한 정부인지 의심스럽다. 정부가 중점 추진하고 있는 소위 4차 산업혁명의 성공을 위해서라도 규제혁신 5법과 같은 꼼수가 아니라 정도를 밟아가기 바란다.
2018년 8월 16일
경실련, 서울YMCA, 소비자시민모임, 진보네트워크센터, 참여연대 공익법센터, 한국소비자연맹