국회는 개인정보 침해와 사회적 혼란 유발하는
데이터 3법 처리 중단하라.
– 설익은 데이터 3법 국민에게 독이다 –
– 동의 없는 개인정보 활용, 개인정보 거래허용, 안전장치 부재, 반쪽 개인정보보호위원회 –
내일(14일) 국회 행안위가 법안소위를 열고 데이터 3법의 핵심인 개인정보보호법 개정안을 논의해 통과시킬 예정이다. 이에 앞서 이인영 더불어민주당·나경원 자유한국당·오신환 바른미래당 원내대표가 모여 19일 본회의를 열고 개인정보보호법·정보통신망법·신용정보법 개정안 등 데이터 3법을 처리하기로 합의했다.
현재 국회에 발의된 데이터 3법은 개인정보 외에 가명정보의 개념을 추가해, 기업이 손쉽게 개인정보를 활용할 수 있는 길을 열어주고 있다. 개인정보의 한 종류인 가명처리를 통해 마케팅 등 기업의 돈벌이를 위해 동의 없이 개인정보 이용을 허용하는 것이 법의 주된 취지이다. 또한, 의료·금융·통신 등 서로 다른 기업이 보유한 고객정보를 결합해 제한 없이 공유할 수 있어, 시민들을 쉽게 추적 가능할 수 있는 서비스의 개발도 충분한 안전조치 없이 가능하다. 특히 마이데이터를 명분으로, 정부가 나서서 개인 신용정보 및 공개된 소셜미디어 정보들의 거래를 허용하고 활성화해 새로운 시장을 만들겠다는 발상은 심각한 문제다.
반면 이러한 활용에 비해 안전장치는 미흡하다. 대통령 산하 총괄기구인 개인정보보호위원회가 금융위의 개인 신용정보, 복지부의 개인 의료정보 등은 아무런 권한이 없어 반쪽짜리 개인정보 감독기구에 머물 수밖에 없다. 또한, 유럽연합(EU)의 개인정보보호규정(GDPR)을 반영했다고 하면서도 GDPR에서 보호의 장치로 마련된 프로파일링에 대한 영향평가 의무나, 프로파일링에 대하여 개인이 행사할 수 있는 권리도 대부분 누락되어 있다. 그동안 개인정보 유출로 수많은 국민이 피해를 보았으며, 제대로 된 보상이나 재발 방지가 이뤄지지 않았다. 이런 상황에서 데이터 3법이 통과되어 활용만이 중요한 가치로 인식된다면, 개인정보보호에 대한 사회적 혼란은 더 극심할 것이다.
정부는 지난 2016년 탈락한 유럽연합(EU)의 개인정보보호규정(GDPR) 적정성 평가를 데이터 3법이 개정되면 재추진한다는 입장이다. 그러나 데이터 3법이 개정되더라도 가명정보 이용, 개인정보 감독기구의 권한과 독립성, 안전장치 등 수많은 결함으로 인해 통과는 어려울 것으로 예상된다. GDPR 적정성 평가를 위해서라도 데이터 3법 개정은 중단되어야 한다.
그동안 경실련은 개인정보 규제 완화를 하더라도 보호조치가 없는 입법에 강력한 우려의 의견을 제시한 바 있다. 즉, 안전한 개인정보 활용을 위해 익명처리의 원칙, 프로파일링으로부터의 실질적인 보호조치의 마련, 개인정보 감독기구의 역할과 위상 강화 등을 요구해 왔다. 개인정보가 쉽게 활용될 수 있다는 것은, 또한 개인들이 쉽게 추적되어 회복되기 어려운 위험에 쉽게 노출될 수 있다는 의미이다. GDPR의 수준의 활용을 도입하면서, GDPR 수준의 보호조치(익명 조치의 우선, 프로파일링 보호조치 등)는 도입이 안 된다면 이는 활용에 과도한 무게가 쏠린 입법이라 아니할 수 없다. 2007년 도입된 인터넷실명제가 2012년 위헌이 될 때까지 약 5년간 전 국민의 주민등록번호가 전 세계의 공공재가 되었던 경험을 돌이켜 보건대, 이번 데이터 3법은 또 다른 불필요한 사회적 비용과 혼란을 초래할 뿐이다.
경실련은 국회와 정부가 데이터 3법 통과 시도를 즉각 중단하고, 필요한 보호 규정들을 충실히 반영하여 입법화하여 시민들의 안전을 담보하는 역할을 해 줄 것을 희망한다. 이 법이 통과되더라도 정부가 예상하는 것과 같은 신성장 기술·서비스 개발에 큰 보탬이 될지도 불분명하다. 오히려 개인을 추적하고 마케팅 목적으로 활용될 것임을 누구나 예상할 수 있다. 무엇을 위하여 이 법을 만드는지 다시 한번 되돌아볼 것을 요구한다.
2019년 11월 14일
경제정의실천시민연합
문의 : 경실련 정책실 (02-766-5625)
첨부파일 : 정부의 빅데이터 정책에 대한 입장
