안녕하세요. 희망제작소입니다.
공개채용 서류전형 합격자를 다음과 같이 공지합니다.
이번 채용에 많은 분들이 지원해주셨습니다.
아쉽게 함께하지 못하는 분들도 계시지만,
관심을 갖고 지원해주신 모든 분들께 진심으로 감사드립니다.
언제나 좋은 일이 가득하시길 바랍니다.
● 서류 합격자 명단
● 면접 장소 : 희망제작소(오시는 길)
● 면접 일정
– 12/21(목)
※ 합격자에게는 메일로 세부일정 및 과제를 보내드리니, 확인 부탁드립니다.
※ 문의 : 커뮤니케이션센터 박정호 연구원 (02-2031-2192)
연일 국민들에 충격적인 소식이 계속되고 있다. 최순실이라는 개인이 박근혜 대통령과 청와대를 좌지우지 해 왔다는 것이다. 무능하고 부적절한 인사가 계속되고 문화체육관광부를 비롯한 정부부처들의 정책추진 체계도 무너졌다. 이제 국민들은 세월호 사건 진상규명을 비롯해 그간 의문스러웠던 국가 정책들의 배경을 전면 의심할 수밖에 없는 상황이다.
빅데이터 정책도 그렇다. 2011년부터 2014년까지 병원과 약국을 다녀간 4천4백만 국민 처방정보 50억 건이 이미 IMS헬스라는 미국 빅데이터 업체에 팔렸고 그렇게 팔린 한국 국민 주민번호의 암호 알고리즘을 지난해 하버드대 연구진이 다 풀어버린 상황이다.
그럼에도 불구하고 정부는 아무런 조치를 취하지 않고 있다. 아니, 오히려 한술 더 떠 허술함이 드러난 방식의 빅데이터 산업을 권장하며 국민들의 건강정보 5조 건을 시장에 공개하고 나섰다. 나아가 금융실명제 등 공익적 목적으로 금융기관들이 보유하고 있는 ‘신용정보’, 이동통신 부정방지라는 공익적 목적을 위해 통신사들이 보관하고 있는 정확한 ‘위치정보’, 그밖에 수많은 개인정보들을 모두 거래해야 경제가 산다고 목소리를 높인다.
지난 2014년 카드3사에서 국민 금융정보 1억 건이 유출되고 나서 개인정보 보호의 "비정상의 정상화"를 하겠다고 선언했던 목소리는 지금 정부 안에서 찾아볼 수 없다. 개인정보 보호 컨트롤타워로 재탄생하겠다던 개인정보보호위원회는 존재감이 없고, 개인정보 보호법률들을 주무하는 행정자치부, 방송통신위원회는 오히려 법률 완화에 앞장서고 있는 형국이다.
지난 4월 14일 유럽은 개인정보보호 일반규정(GDPR)을 제정하였고, 10월 27일 미국은 사상 처음으로 통신법에 옵트인 규정을 신설하였다. 세계 각국은 빅데이터 시대 국민들의 개인정보를 보호하기 위한 제도정비에 나선 것이다. 반면 우리 정부와 기업은 우리나라 개인정보 보호 수준이 지나치게 강하다며 이를 완화하기 위해 온 힘을 집중하고 있다.
그리고 이 비정상의 배경에는 청와대가 있다. 지난 5월 18일 박근혜 대통령이 기업들과 규제개혁장관회의를 개최한 후, 평소에는 개인정보 보호를 주무하던 행정자치부가 6월 30일 개인정보 보호를 완화하는 범정부 가이드라인을 급조해 발표했다. 8월 30일에는 보건복지부가 국민건강복지를 위해 건강보험공단, 건강심사평가원이 보유한 국민 건강정보 5조건을 모두 공개하겠다는 과감한 계획을 발표했다. 방송통신위원회는 국민 위치정보를, 금융위원회는 국민 신용정보를 모두 공개하겠다고 한다.
도무지 말이 안 되는 상황이다. 버젓이 개인정보 보호 법률들이 존재하는 상황에서 이는 불법이다. 이에 대해 정부가 내놓은 해법은 '비식별화'이다. "가명" 등 비식별화 처리를 하면 "개인정보가 아닌 것으로" 정부가 "추정"해줄 테니 일단 팔아버리라고 한다. 미국의 일개 빅데이터 기업에서도 우리 국민의 주민번호와 민감한 처방정보를 이미 다 가지고 있는데 땡땡땡(OOO) 표시에 불과한 몇 가지 조치로 개인정보가 보호될 것이라는 거짓말이 횡행한다.
이뿐만 아니다. 과학기술, 정보방송통신 등 소위 미래 성장동력에 대한 대응전략을 짜기 위해 박근혜 정부가 신설한 미래전략수석 비서관 인사가 신설초기부터 지금까지 거대 통신사 경영진 출신 일색이다. 중요한 국가정책을 결정해야 하는 이 자리를 이해 당사자인 통신사 출신들이 독식한다면 정책의 방향이 누구를 위한 것일지는 명약관화하다.
그간 임명된 4명 중 3명의 미래전략수석이 KT 사외이사(윤창번, 현대원), SK 사장(조신) 출신이다. 이런 배경에서 청와대는 통신사 등 친기업적인 정책을 추진해 온 것이다. 태생부터 통신 소비자의 권리, 개인정보와 같은 인권을 기업이익에 우선할 구조가 아니었던 것이다.
우리는 빅데이터 정책을 무조건 반대하는 것이 아니다. 예컨대, 특정 개인을 다시는 식별할 수 없는 완전 익명처리된 빅데이터 교통정보는 공공정책에 유용하게 사용될 수 있다. 이는 현행 개인정보 보호법제18조 제2항4호에서도 보장하고 있는 내용이다.
그러나 청와대에 의해 추진되는 빅데이터정책은 이와 다르다. 현재 정부와 기업이 말하는 규제완화는 개인정보보호법에서 허용하는 ‘완전한 익명'이 아니라 기업들에 유용한 개인정보를 자유롭게 거래하기 위해서 개인정보보호법을 우회하겠다는 것이다. 이에 따르면, 앞으로 보험사는 위치정보, 건강정보 등 다양한 개인정보를 수집해서 자기 고객들의 위치, 질병 등을 추론할 수 있게 되었다. 그러나 당사자는 모른다. 헌법이 보장하고 있는 자기 개인정보에 대한 정보주체의 동의권은‘불필요한 규제'로 제거 대상이 된 것이다.
결론적으로 현재 추진하는 청와대발 빅데이터 정책은 모두 중지돼야 한다. 청와대는 지금까지 정상적인 민주적 절차에 따라 위임된 권력이 아닌 ‘비선실세’에 따라 국정이 좌지우지되었다는 증거가 넘쳐나고 있다. 비선실세로 알려진 최순실에 의해 급조된 재단들에 아무런 보상없이 수백억을 기부했을 리가 없다. 그리고 이들 기업이 앞장서서 추진하는 빅데이터 사업을 국민들은 신뢰할 수 없다. 일부 기업이 비선실세와 유착한 대가로 국민들의 개인정보를 손쉽게 판매할 수 있는 권한을 부여 받은 게 아닌지 의심을 떨쳐낼 수 없다.
이에 우리 10개 단체들은 비식별화 가이드라인을 필두로 정부와 기업이 지금까지 추진해 온 초법적인 개인정보 활용 정책들을 중단할 것을 강력하게 촉구한다. 나아가 20대 국회가 최근 미국이나 유럽의 조치처럼 빅데이터 처리로부터 국민의 동의권도 함께 보장하기 위해 이를 제고하는 정책을 처음부터 재논의할 것을 요구한다.
2016년 11월 1일
경실련 시민권익센터, 진보네트워크센터, 참여연대, 건강과 대안, 건강권실현을위한보건의료단체연합, 건강사회를위한약사회, 건강사회를위한치과의사회, 노동건강연대, 인도주의실천의사협의회, 참의료실현청년한의사회
참여연대와 건강과대안은 오늘(10/18) 「개인의료정보 유출 위험성」 설명자료를 발표하였다. 본 자료에서는 개인의료정보 유출로 발생할 수 있는 위험성을 지적하고 개인의료정보의 보완이 더 강화되어야 함을 주장하였다.
정부는 건강관리서비스, 정밀의료, 맞춤형 의료 정책 등을 발표하고 있지만 이는 국가 및 지방자치단체가 공공보건의료 차원에서 책임져야 하는 국민의 질환예방, 건강 유지 등에 대한 공적 책임 부분을 시장에 맡기겠다는 것이 골자이다. 또한 이러한 정책은 민감정보로 분류되는 개인의료정보가 민간보험회사, 기업, 제약회사 등에게 공유될 수 있는 가능성이 큰 정책이다. 이처럼 개인의료정보가 유출될 경우, 인사상 불이익, 혐오 현상 발생, 사회적 낙인과 배제 등이 일어날 가능성이 크고 의료분야에서는 비급여 증가, 의료인과 환자간의 불신 및 건강보험 불신이 가중 될 것이다. 따라서 개인의료정보는 현재보다 보완이 더 강화되어야 한다.
#1
개인의료정보, 유출되고 있다?
#2
약학정보원, 환자 대인정보 43억건 불법거래
미 빅데이터 기업에 흘러간 한국 4300만 명의 처방전
최근 5년간 개인정보 무단열람 569건, 유출 156건
'주민번호' 5년간 1억건 털렸는데..."유출기관 비공개"
의료기록 유출 사고 펑펑..고양이에게 생선가게 맡기자는 정부
리베이트 위해 환자 처방전 내역까지 넘긴 의사들...돈 앞에 의료윤리 판 꼴
#3
"개인정보 유출사고 TOP 10" 한국1등
(2014년 미국 보안회사 SafeNet)
"의료분야 침해 급증"
(미국 신용도용범죄정보센터)
#4
누가 나의 의료정보를 탐내나?
#5
보험회사(보험료인상과 보험금 지급 거절 사유)
기업(취업과 면점, 해고 사유)
제약회사(개인대상 의약품이나 건강기능식품 판촉 이용)
#6
내 의료정보가 떠돌아 다닌다!
#7
"00이는 임신과 낙태를 했대"
"고객임은 질환이 있으셔서 결혼 소개 시장 등급이 낮아질 가능성이 있습니다"
"이 지원자는 건강이 좋지 않은 것 같군. 불합격!"
사회적 낙인과 배제, 인사상 불이익, 혐오 문화 가중
#8
유출된 의료정보 영원한 주홍글씨
#9
개인의 비밀이 노출되는 사회
사회 연대 붕괴
사회 비용 증가
#10
"나의 의료정보를 기록에 남기고 싶지 않아요. 건강보험이 적용되지 않아 비용이 많이 들더라도 비급여로 진료를 받고 싶어요" --> 비급여 진료가 증가합니다.
"나의 의료정보를 의사가 유출시킬 것 같아요" --> 환자와 의료인간의 신뢰가 무너집니다.
"이렇게 의료정보가 유출이 된다면 나의 정보를 집적하고 있는 건강보험공단을 믿을 수 없을 것 같아요" --> 국민건강보험 불신이 발생합니다.
#11
개인의료정보유출 NO
#12
내 정보는 안돼 NO
참여연대와 건강과대안은 오늘(10/18) 「개인의료정보 유출 위험성」 설명자료를 발표하였다. 본 자료에서는 개인의료정보 유출로 발생할 수 있는 위험성을 지적하고 개인의료정보의 보완이 더 강화되어야 함을 주장하였다.
정부는 건강관리서비스, 정밀의료, 맞춤형 의료 정책 등을 발표하고 있지만 이는 국가 및 지방자치단체가 공공보건의료 차원에서 책임져야 하는 국민의 질환예방, 건강 유지 등에 대한 공적 책임 부분을 시장에 맡기겠다는 것이 골자이다. 또한 이러한 정책은 민감정보로 분류되는 개인의료정보가 민간보험회사, 기업, 제약회사 등에게 공유될 수 있는 가능성이 큰 정책이다. 이처럼 개인의료정보가 유출될 경우, 인사상 불이익, 혐오 현상 발생, 사회적 낙인과 배제 등이 일어날 가능성이 크고 의료분야에서는 비급여 증가, 의료인과 환자간의 불신 및 건강보험 불신이 가중 될 것이다. 따라서 개인의료정보는 현재보다 보완이 더 강화되어야 한다.
#1
개인의료정보, 유출되고 있다?
#2
약학정보원, 환자 대인정보 43억건 불법거래
미 빅데이터 기업에 흘러간 한국 4300만 명의 처방전
최근 5년간 개인정보 무단열람 569건, 유출 156건
'주민번호' 5년간 1억건 털렸는데..."유출기관 비공개"
의료기록 유출 사고 펑펑..고양이에게 생선가게 맡기자는 정부
리베이트 위해 환자 처방전 내역까지 넘긴 의사들...돈 앞에 의료윤리 판 꼴
#3
"개인정보 유출사고 TOP 10" 한국1등
(2014년 미국 보안회사 SafeNet)
"의료분야 침해 급증"
(미국 신용도용범죄정보센터)
#4
누가 나의 의료정보를 탐내나?
#5
보험회사(보험료인상과 보험금 지급 거절 사유)
기업(취업과 면점, 해고 사유)
제약회사(개인대상 의약품이나 건강기능식품 판촉 이용)
#6
내 의료정보가 떠돌아 다닌다!
#7
"00이는 임신과 낙태를 했대"
"고객임은 질환이 있으셔서 결혼 소개 시장 등급이 낮아질 가능성이 있습니다"
"이 지원자는 건강이 좋지 않은 것 같군. 불합격!"
사회적 낙인과 배제, 인사상 불이익, 혐오 문화 가중
#8
유출된 의료정보 영원한 주홍글씨
#9
개인의 비밀이 노출되는 사회
사회 연대 붕괴
사회 비용 증가
#10
"나의 의료정보를 기록에 남기고 싶지 않아요. 건강보험이 적용되지 않아 비용이 많이 들더라도 비급여로 진료를 받고 싶어요" --> 비급여 진료가 증가합니다.
"나의 의료정보를 의사가 유출시킬 것 같아요" --> 환자와 의료인간의 신뢰가 무너집니다.
"이렇게 의료정보가 유출이 된다면 나의 정보를 집적하고 있는 건강보험공단을 믿을 수 없을 것 같아요" --> 국민건강보험 불신이 발생합니다.
#11
개인의료정보유출 NO
#12
내 정보는 안돼 NO
글 | 민노씨(슬로우뉴스 편집장)
개인정보 플랫폼 기업이 개인정보를 판매 촉진 목적으로 활용하려고 할 때, 정보주체의 동의를 받아야만 하는지, 동의를 받지 않고도 분석, 가공, 판매할 수 있는지에 따라서 개인정보 플랫폼 기업에는 막대한 이윤 발생 여부가 결정된다. 이들의 이해관계가 첨예하게 걸려 있는 사안이다. (이은우 변호사, 정보인권연구소)
강원도에 사는 스무살 대학생 철수가 페이스북에 재잘거리는 한담이, 제주도에 사는 서른살 직장인 영희가 트위터에 올리는 짧은 한탄이 경제적인 가치를 지니는 ‘고급 정보’가 될 가능성은 그 자체로는 제로다. 하지만 10만 명의 철수가 100만 명의 영희가 모이면 얘기는 달라진다.
오늘날 컴퓨팅 기술은 천문학적인 규모로 생산되는 무수히 다양한 개인의 디지털 정보를 드디어 ‘정복’하는 단계에 들어섰다. 그걸 상징하는 용어는 ‘빅데이터’다. 이제 쓰고, 말하며, 대화하고, 소비하는 물리적인 컴퓨터 서버의 어딘가에 저장된다. 이제 디지털 저장기술은 인간의 기억을 대신한다. 우리는 그저 끊임없이 생산하고, 소비하며, 흘려보내면 그뿐이다.
그런데 그렇게 디지털 전자신호로 서버 속 공간 아닌 공간을 흘러갔던 정보는, 철수와 영희는 영영 모르는 채로, 이제 산업적인 가치를 가지는 정보로 재가공된다. 누구도 감히 시도하지 못했던 정보의 총체적 재구성이다. 모든 흩어진 의미가 ‘찬란한 귀향의 축제’를 맞는다. 기업 입장에서는 서비스를 더욱더 진화시키고, 이윤을 극대화할 기회이자 재료다.
luckey_sun, “big data”, CC BY SA
하지만 개인정보 주체들에게는 디스토피아의 서막일 수도 있다. 근대 이후 개인은 자신의 권리를 지키기 위해 국가 권력으로부터 자신을 숨길 수 있는 권리(홀로 있을 권리)를 ‘획득’했다. 그리고 오늘날 문명화한 국가는 국가권력의 부당한 간섭으로부터 자신을 숨기는 것에 그치지 않고, 자신의 개인정보를 통제할 수 있는 권리를 명문의 법률로 규정했다. 자기 정보 통제권(혹은 개인정보 자기 결정권)은 그렇게 탄생했고, 그 권리는 그저 주어진 것이 아니다. 개인정보에 관한 권리에 눈뜬 근대적 자아가 획득한 전리품이다. (→ 참고: 거짓말할 수 있는 권리)
단, 이 자기 정보 통제권이 각자 자신에 대한 정보를 공개된 정보와 비공개된 정보 가릴 것 없이 자신이 소유한 자동차를 소유하듯이 마음대로 통제할 수 있는 절대적인 권리로 해석하면 그것은 곤란하다. 이는 타인들 간에 진실한 정보를 공유하는 생활에 검열권을 가지게 하는 셈이라서 자기 정보 통제권은 균형을 고려한 해석이 불가피하다.
기업에 빅데이터가 잠재적 부가가치를 창출할 가능성이라면, 자기 정보 통제권을 자신도 모르는 사이에 빼앗길 수 있는 개인에게는 잠재적 공포다. 그 ‘위험한 게임’이 지금 막 시작됐다. 이름은 ‘개인정보 비식별 조치 가이드라인’.
참여 부처의 이름에서 확인할 수 있듯 그야말로 통합 가이드라인이다. 그 골자는 이렇다.
‘개인정보라고 하더라도 비식별 조치(익명화)를 거치면 정보주체의 사전 동의 없이 기업이 이를 활용하도록 할 수 있다.’
개인정보 비식별 조치 가이드라인 (국무조정실, 행정자치부, 방송통신위원회, 금융위원회, 미래창조과학부, 보건복지부, 2016. 6) 중에서
이 글은 가이드라인의 개요와 쟁점을 단계적 ‘Q&A’ 형식으로 독자에게 최대한 쉽게 전하는 것을 목표로 한다.
가이드라인의 중심에 있는 화두는 ‘빅데이터’다. 빅데이터 산업 육성이라는 가치와 개인보호라는 가치를 조화롭게 공존하게 하는 게 가이드라인의 취지라면, 이에 시민단체(오픈넷)와 정부(행자부)의 평가와 시각 차이는 명확하다.
오픈넷은“법률적으로 빅데이터에 대하여 정의된 바는 없다”고 전제한 뒤, “최근 빅데이터라는 단어 자체에 천착하여 빅데이터 산업의 진흥만이 주로 논의될 뿐, 빅데이터 환경이 정보 주체의 개인정보 자기결정권에 미치는 영향에 대한 논의는 부족“하고, 가이드라인도 이런 “흐름의 연장선”에 있다고 지적한다.[2]
Intersection Consulting, CC BY NC
이에 대해 행자부는 빅데이터 산업 진흥과 개인정보의 관계는 “단순하게 이야기할 수 있는 성격은 아니”라면서, 이번 가이드라인이 데이터 이용함에 있어 “개인정보 보호를 위한 기준을 제시”했다고 자평한다.[3]
가이드라인의 골자는 ‘비식별 조치’(익명화)다. 가이드라인은 비식별 조치 방법과 그 적정성을 평가하는 기준을 제시한다. 그런데 ‘비식별 조치’라는 용어, 익숙한가? 용어 정의부터 잘못됐다는 비판과 이에 대한 정부의 입장을 살펴보자.
연구소는 ‘비식별 조치’라는 표현 자체가 부적절하다면서 “용어 자체가 부적절한 법률용어”라고 말한다. 그렇다면 비식별 조치는 과연 어떤 의미일까? 개인정보 보호법제와 유사한 유럽연합과 일본의 용어 정의를 참고해보자.
더불어 ‘비식별 조치’ 혹은 ‘비식별화’라는 표현이 너무 모호하다고 지적한다. 가이드라인의 ‘비식별 조치가’가 ‘익명화’나 ‘익명정보’ 혹은 ‘익명가공정보’와 같은 의미라면 그냥 ‘익명화’나 ‘익명정보’로 쓰면 될 것을 “문법에도 맞지 않는 신조어”를 사용해 국민에게 혼동을 초래한다고 비판한다.
‘비식별 조치’는 쉽게 말해 ‘익명화’라고 할 수 있다.
반면 행자부는 익명화든 비식별 조치든 “이는 용어 선택의 문제일 뿐”이라고 일축하면서, “내용이 중요하지 용어 선택은 부차적”이라고 말한다. 그러면서 “요즘은 국제적으로 ‘비식별화’를 쓰는 추세”라고 부연한다.[6]
한편, 오픈넷은 연구소 입장에 동의하면서, ‘익명화’라고 표현해야 정확하다는 입장이다.[7]
여러 문제와 논란은 별론으로, 우선 가이드라인의 내용에 집중해 보자. 가이드라인은 ‘비식별 조치’와 이에 대한 적정성의 평가 기준과 절차를 규정한다. 그럼 가이드라인에서 제시하는 ‘비식별 조치’의 기준은 과연 합리적일까.
개인정보 비식별 조치 가이드라인 (국무조정실, 행정자치부, 방송통신위원회, 금융위원회, 미래창조과학부, 보건복지부, 2016. 6) 중에서
연구소는 가이드라인의 위 해당 문답을 해석하면 “이는 재식별 가능성이 현저하지 않은 것은 개인정보보호법을 준수하지 않아도 된다는 것”이라면서 “유럽연합에서 익명정보가 ‘더 이상 재식별 가능성이 없는 것’을 의미한다고 지적한다. 더불어, 일본의 개인정보보호법에서도 ‘익명가공정보’란 복구 불가능한 것이라고 정의하고 있는 것과 비교할 때 잘못”이며, “재식별 위험이 현저하지만 않다면 개인정보 주체는 그 위험을 감수하라”는 가이드라인이라고 비판한다.
이에 대해 행자부는 해당 문답의 표현 중 “현저히”는 ‘강조 수사’에 불과”하다며, “해당 문구에 큰 의미를 부여할 필요가 없다”고 답변했다. 가이드라인의 “전체 체계”가 중요하고, 해당 문구는 “강조 수식에 불과”하다는 입장이다. 참고로, 행자부는 인터뷰에서 가이드라인의 법적 성질을 묻는 질문에 “유권해석집”이라고 답했다
한편, 오픈넷은 “표현의 모호성 때문에 ‘가이드’의 역할도 제대로 하지 못할 것”이라고 말하면서 가이드라인이 ‘유권해석집’이라면, “구체적인 법 규정에 대한 해석이어야” 할 텐데, “비식별 조치라는 것은 기존 법에도 없는 새롭게 창조한 개념”이고, 이를 해석한다고 하니 “내용뿐만 아니라 법적인 근거나 성질도 모호할 수밖에 없다”고 비판했다.
가이드라인은 비식별 조치가 제대로 이뤄졌는지 평가하는 기준을 정한다. 이 적정성 평가 기준은 과연 타당한 것일까. 연구소는 ‘형식적이기 짝이 없다’고 비판하고, 행자부는 ‘다른 대안이 없다’고 말한다.
연구소는 가이드라인의 “적정성 평가 기준은 형식적이기 짝이 없다”면서 “K(익명성), L(다양성), T(근접성)의 세 가지 방법의 익명화 기술을 적용하라는 것”은 “겉으로는 복잡해 보이지만, 단순하기 그지 없다”고 지적한다. 그리고 무엇보다 이들 방법과 기준은 “재식별 가능성이 농후한 방법으로 지목받아 왔던 기술”이라고 비판한다.
이에 대해 행자부는 연구소의 비판은 “비판을 위한 비판”이라고 반박한다. “현재로썬 KLT 외에는 현실적인 대안이 없”고, “(오히려) 유럽에서는 K를 의무화하지 않았지만, 우리는 K를 의무화했다”면서 그만큼 개인정보 보호에 신경 쓰고 있다고 강조했다.
오픈넷은 해당 기술의 재식별 가능성도 중요한 이슈지만, “개인정보처리자 입장에서 특정 기술을 이용한 비식별 조치만을 취하면 개인정보가 아닌 것으로 추정되는 것인 양 오독할 여지가 큰 가이드라인 규정의 모호성이 가장 큰 문제”[8]라고 지적한다.
가이드라인은 분야별 전문기관을 두고, 이 전문기관이 비식별 조치의 적정성을 평가하게 한다. 그런데 이 적정성 평가 기관에 ‘한국신용정보원’과 같은 빅데이터 산업과 이해가 직결한 이익단체가 속해 있어 문제다. ‘고양이에게 어물전을 맡기는 꼴’이라는 비판이 나오는 이유다.
연구소는 이들 기관이 “공정성을 기대하기도 어렵고, 혼란만 야기할 것”이라면서 특히 분야별 전문기관 중에는 “특히 사업자들 모임인 한국신용정보원이 포함”돼 있고, 금융보안원, 사회보장정보원, 한국정보화진흥원 등은 “성과 위주의 조직”임을 지적한다.
특히, 한국신용정보원은 금융업계 모든 고객의 신용정보를 통합해서 관리하는 기관(세계 최초)으로 여기엔 이들은 빅데이터 활용에 가장 큰 이해관계를 가진 다음 ‘이익단체’들이 참여한다. 더불어 이들 협회 소속 기업에서 그동안 각종 개인정보 유출 사고가 연례행사처럼 이어져 왔던 건 주지의 사실이다.
빅데이터 산업에 직접적인 이해관계를 가진 ‘이익단체’가 적정성 평가를 한다?
이에 대해 행자부는 연구소 측에서 특히 문제 삼은 ‘한국신용정보원’은 “우리가 지정한 게 아니라 금융위원회가 지정한 것”이라면서, “분야별로 소관 부처에서 관련 기업을 지원할 수 있는 기관을 지정한 것”이라고 우회적으로 답변했다.
이 문제 관해 오픈넷은 “전문기관 자체가 법률에 근거가 없”고, “정보주체들로부터 개인정보의 처리 권한에 대한 동의를 받지 않”았으므로, “사업자 모임 여부와 상관없이 부적절하다”고 답했다.
가령, A라는 기업이 철수와 영희의 신용카드 구매 정보를 ‘비식별 처리’해서 B라는 기업에 팔았다고 가정해보자. 이때 비식별 처리가 제대로 이뤄졌다는 ‘입증’ 책임은 누가 질까? 철수와 영희일까? 아니면 A와 B라는 기업일까?
연구소는 가이드라인이 “비식별 조치가 적정하다는 평가를 받으면 해당 정보는 개인정보가 아닌 것으로 추정”된다고 규정하므로, 해당 정보를 어떤 개인이 “개인정보라고 주장하려면 개인정보 주체가 이를 입증해야 한다”고 해석한다.
이에 대해 행자부는 연구소 측 주장은 “근거 없는 주장”이라면서, “가이드라인에는 그런 내용이 없”으며, “당연히 비식별 조치를 한 측에서 (비식별 조치의 정당성과 적정성을) 입증해야 한다”고 말한다.
개인정보 비식별 조치 가이드라인 (국무조정실, 행정자치부, 방송통신위원회, 금융위원회, 미래창조과학부, 보건복지부, 2016. 6) 중에서
입증책임 논란에 대해 오픈넷은 법원에 까지 가는 사안이 생기면, 법률에 근거가 있는 것은 아니지만 “가이드라인이 ‘추정한다’고 하니 반증이 없는 한 개인정보가 아닌 것으로 판단”될 가능성이 높다고 연구소 측에선 해석한 것이고, 행자부 쪽에선 원칙적으로 법원이 가이드라인에 구속되지 않으니 “각자도생’해야 한다는 식으로 답변”한 것으로 보인다면서, “가이드라인에 법적 근거가 없는 이상 개인정보처리자인 기업들 역시 가이드라인에 따라 비식별조치된 정보를 섣불리 수집 목적 외로 이용하거나 제3자 제공에 나서지는 않을 것”이라는 게 현 시점에서 가이드라인의 위치라고 답했다.
‘비식별 처리’ 문제로 ‘분쟁’이 생겨 법원에 가는 일이 생기면, 기업과 일반 시민 중에서 누가 입증책임을 질까?
연구소 측에 행자부 답변 내용을 전하자, 연구소 측에선 “가이드라인이 입증책임과 관련 없다면, 가이드라인(의 해당 문구)은 존재할 필요가 없다”면서, “가이드라인의 논리 체계에 반하는 해석을 주무 공무원이 공식적으로 답하는 것은 아주 무책임하다”고 논평했다. 더불어 가이드라인에 참여한 행정부처들을 고려하면 현실적으로 “어떤 개인이 ‘재식별화가 제대로 되지 않았다고 신고했을 때, 경찰이 어떤 기준을 따르겠는가?”라고 반문하면서, “경찰 수사에 있어서 가이드라인은 실질적인 수사 기준이 될 것”이라고 전망했다.
생각건대, 행자부의 답변은 궤변이다. 연구소나 오픈넷의 지적처럼, 가이드라인를 준수한 기업조차 다시 재판에서 ‘입증책임’의 부담을 져야 한다면 가이드라인의 존재 근거가 없고, 기업은 가이드라인을 따를 이유도 없다. 반면에 그렇다고 입증책임을 개인에게 지운다면 이는 더 큰 문제다. 가이드라인의 딜레마인 셈이다.
가이드라인은 각각 비식별 조치를 한 개인에 관한 별개 정보집합물을 전문기관에서 개인별로 결합시켜 주겠다고 한다. 예를 들면, 비식별 조치를 한 통신사 고객정보와 비식별 조치를 한 신용카드사 고객의 신용카드 사용정보를 전문기관에 보내주면 각 개별로 결합시켜 결합정보를 제공하겠다는 것이다.
예를 들어 가이드라인은 00홈쇼핑의 고객정보와 xx카드사의 구매금액 상위 10% 고객의 구매 내역 정보를 결합하여 xx카드사의 구매금액 상위 10% 고객 중 00홈쇼핑 고객을 골라 내서 구매내역을 분석할 수 있다고 한다. 이것은 홈쇼핑과 카드사가 고객의 동의도 받지 않고, 카드 구매내역을 분석하도록 허용하는 것과 같은 결과를 초래한다.
특히 결합은 산부인과나 산후조리원, 초등학생이나 유아 등 민감한 정보에도 무방비다. 이런 식이면 산부인과나 산후조리원은 환자나 산모의 동의도 받지 않고 임신, 출산한 고객 중 월 500만 원 이상 신용카드를 이용한 고객의 구매내역을 분석할 수도 있고, 초등학생 대상 학원에서는 초등학생이나 부모의 동의를 받지 않고도 통신사로부터 초등학생의 이동경로를 분석할 수도 있게 된다. 당사자는 이런 정보 결합에 대해 알지도 못하고, 반대할 기회도 갖지 못한다. (연구소 발제문 참조)
연구소는 비식별 조치를 했지만, 개인을 결합할 수 있다는 것은 “비식별 조치를 한 정보가 익명정보가 아니라는 것을 반증”하는 것이라면서 “만약 개인을 식별할 수 없도록 익명정보로 만들었다면 익명정보가 누구의 정보인지를 알 수 없는 것이기 때문에 다른 정보와 결합하는 것은 불가능하다”하다고 지적한다.
결합지원 이슈에 대해 행자부는 “리스크를 최소화하면서 나름으로 안을 짰는데, 결과적으로 유럽과 유사”하게 됐다면서 “신뢰할 수 있는 제3기관을 통해서 지원”하는 것이라고 답했다.
오픈넷은 “법률적 근거가 없는 전문기관에 의한 결합지원 역시 개인정보 자기 결정권을 침해”할 수 있다고 지적했다.
비식별 조치된 정보의 ‘결합지원’ 문제 역시 가이드라인이 다루는 중요한 문제 중 하나다.
행자부는 가이드라인의 법정 성질을 (개인정보보호법에 관한) “유권해석집”이라고 말한다. 그런데 왜 법을 개정하지 않고, 가이드라인으로 만들었을까? 행자부는 “법 개정은 오히려 업계에서 하는 주장”이라면서, “일본법은 개정안이 통과돼서 내년부터 시행될 예정”이라며 “(일본은) 법에서 규정한 안전조치(비식별 조치)를 준수하면, 기업의 책임이 면제”되므로, 우리나라 “업계에서도 법 개정을 원한다”고 말한다.
하지만 연구소 측은 “법률 개정이 필요한 사항을 가이드라인으로 만드는 것은 입법권을 무시하는 처사”라면서 가이드라인은 “상당한 재식별 가능성이 있어도 이를 무시하고 개인정보보호법의 적용을 배제”하고 있으므로, “즉각 폐기해야” 한다고 주장한다.
말도 많고, 탈도 많은 가이드라인, 과연 누구를 위한 것일까?
기업의 선의를 믿는다면, 기업은 더 좋은 서비스를 위해 비식별화한 정보를 활용할 것이고, 이는 서비스를 향유하고 소비하는 이용자에게도 좋은 일이다. 그리고 기업이 자신의 이익을 극대화하기 위해 재식별화하려는 욕망을 표출할 수밖에 없다는 견해도 부정적인 선입견일 수 있다.
하지만 인간은 과거에 있었던 행위를 회고하고, 성찰함으로써 미래를 전망한다. 기업의 개인정보 유출 사고뿐만 아니라 기업의 개인정보 ‘매매 사건’(홈플러스 사건), 거기에 더해 이런 개인정보 관련 사건 사고를 처리하는 국가권력(검찰)과 이를 최종적으로 판단하는 법원의 개인정보에 관한 인권 감수성(홈플러스 무죄 선고)을 떠올리면 개인정보의 주체, 그러니 평범한 시민이 기업의 선의, 관리자이자 감시자로서의 국가, 공정한 심판관으로서의 법원을 손쉽게 믿어주기 어려운 것 역시 사실이다.
홈플러스가 법을 위반해 번 돈은 4년간 약 232억 원. 2015년 4월 27일 공정위가 부과한 과징금은 4억3,500만 원. 그리고 법원에서는 무죄. 홈플러스 사건은 기업이 개인정보를 다루는 관점과 방식, 국가기관의 관리감독 능력, 그리고 공정한 심판자로서의 법원의 판단, 이 모두가 여전히 신뢰를 보내기에는 부족하다는 사실을 여실히 드러낸 사건이다.
여기서 하나 더 질문해보자. 가이드라인이 아니면 정말 기업이 빅데이터 산업 분야에 제대로 뛰어들 수 없는 걸까. 우리나라 개인정보 보호법제는 빅데이터 산업 육성에 방해 요소일까. 이미 개인정보보호법[9]은 “통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우” 동의 없이 새로운 목적으로 이용하거나 제3자에게 제공할 수 있다고 규정한다. 빅데이터는 바로 통계를 목적으로 삼고 있지 않나.
연구소는 “현재의 개인정보 보호법제는 빅데이터 활용에 장애 요소가 아니”라고 말하면서, 우리나라 공공 부문에서 발주하는 사업을 분석해 보더라도 공공 부문 빅데이터 활성화를 위해서는 “개인정보를 익명화하여 처리하거나 동의받는 것을 기초로 하더라도 충분하며, 비식별정보 동의 면제가 있어야만 빅데이터를 활용할 수 있다는 근거를 찾기 어렵다”고 주장한다.[10]
빅데이터와 개인정보의 문제는 기본적으로 정보 처리 주체와 관리감독 기관에 대한 신뢰의 문제다. (출처: Julien Belli, CC BY)
그렇다면 가이드라인을 둘러싼 이 온갖 논란에 관한 해법은 무엇일까. 명확한 현실 인식은 그 해법을 마련하는 초석이다. 오픈넷의 답변으로 결론을 대신한다.
가이드라인 제정이 지나치게 급한 호흡으로 이루어졌다. 특히 시민사회의 의견 수렴이 매우 형식적으로 이루어졌다. 즉 가이드라인은 빅데이터 산업 진흥이라는 버즈워드(buzz word)에 천착한 것이라고 본다. 그리고 가이드라인 상 비식별 조치에 의한 “동의” 면제 시도는 개인정보 자기 결정권을 무력화할 우려가 크다.
정보주체의 동의 없이는 원칙적으로 개인정보를 수집하거나 이용할 수 없다는 “동의” 제도는 개인정보 자기결정권을 실질적으로 구현하는 방법으로 현재 개인정보 보호 법제에서 핵심적인 위치를 차지하고 있기 때문이다. 가이드라인의 뼈대라 할 수 있는 “비식별조치에 의한 동의 면제”는 개인정보 자기결정권의 핵심을 이루는 “동의” 제도를 무력화하는 것으로 이는 법률 개정으로 다루어야 할 문제이다.
특히 가이드라인에 따른 비식별 조치를 거쳤다고 하더라도 개인정보 재식별 위험성은 주민등록번호 제도 및 인터넷 상 본인확인을 강요하는 수많은 법률에 의해 그 어느 나라보다도 크다. 특히 본인확인기관으로 지정된 이동통신사는 식별 가능성이 가장 크다.
오히려 사물인터넷과 빅데이터 시대에 동의에 기반한 개인정보보호가 불충분하다. 어떻게 개인정보 자기 결정권을 보장할 수 있을 것인가에 대한 발전적 논의가 필요한 시점이라고 할 수 있다. 더불어 법적 근거 없는 전문기관의 운영은 매우 위험한 발상이며 개인정보보호위원회의 개인정보보호 콘트롤 타워로서의 기능 확립 필요하다.
우리나라의 주민등록제도는 특히 재식별화의 치명적인 위험 요소다. 왜냐하면, 주민등록번호가 모든 자물쇠를 여는 ‘만능열쇠’ 역할을 할 수 있기 때문이다.
——————————————-
[1] 이은우, 마케팅 활용 목적 빅데이터 활용과 판매: 개인정보 플랫폼 기업의 탐욕과 비식별화 조치 가이드라인 (빅데이터 시대 개인정보 보호를 위한 정책토론회, 2016. 9. 7. 국회의원회관 제9간단회의실) 별도 인터뷰 인용이 아닌 문단에는 문단이 끝나는 위치에 괄호( )로 해당 발제문의 페이지 수를 표시했음.
[2] 다만, 빅데이터는 통상적으로 사용되는 데이터 수집, 관리 및 처리 소프트웨어의 수용 한계를 넘어서는 크기의 정보라고 정의되며, 데이터의 양(volume), 데이터 입출력 속도(velocity), 데이터 종류의 다양성(variety)데이터의 양(volume), 입출력 속도(velocity), 종류의 다양성(variety)이라는 세 개의 차원에서 분석할 수 있다(가트너 보고서). 이를 빅데이터의 3V라고 하는데, 3V가 커질수록 그 데이터의 산업적 가치는 높아지지만, 이에 비례하여 개인정보의 유출 위험성이나 개인정보 자기결정권이 침해될 가능성도 커진다.
[3] 현 가이드라인이 기존에 행자부, 미래부, 방통위에 존재했던 개별안들이 ‘비식별’ 기술를 소개하고, 안내하는 수준이었다면, 검증절차와 보호조치에 관한 내용을 보완하면서 기존 개별안들을 통합한 것이다.
[4] 개인이 더는 식별될 가능성이 없다면(“no longer possible”) 개인정보로 보지 않는다고 규정한다.
[5] 그러면서 미국은 ‘개인정보’라는 개념 대신 ‘개인식별가능정보’(personally identifiable information)라는 개념이 법령에 정의되어 제한적인 보호 대상이 되고 있다고 더불어 언급하는데, 미국은 우리나라의 개인정보보호법제와 다르기 때문에 미국에서 개인정보호보규범이 적용되지 않는 범위를 규정한 비식별화(‘de-identification’) 규정이나, 그에 따른 비식별화(‘de-identification’) 가이드라인을 법제가 다른 우리나라 개인정보보호법에서는 그대로 적용할 수 없는 규정이라고 설명한다.
[6] 참고로, 현행 개보법에는 ‘비식별 조치’라는 용어나 표현은 없다. 다만 법(제18조 제2항 제4호)에서는 개인정보처리자 동의 없이 수집 목적 외로 이용하거나 제3자 제공이 가능한 예외로 “통계작성이나 학술연구 등의 목적으로 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공할 수 있다.” 고 규정하는데, 이 규정에서 개인정보를 “특정 개인을 알아볼 수 없는 형태”로 변환하면 제한적 목적(통계작성이나 학술연구 등)이긴 하나 동의 없는 이용이나 제공이 가능하므로 이를 ‘비식별 조치’ 혹은 ‘익명화’를 간접적으로 언급한 규정이라고 할 수 있다.
[7] 가이드라인이 창설한 비식별화(비식별 조치) 개념은 재식별화하여 개인정보로 인정될 위험성이 상존해 있는 상태를 의미하며, 만약 비식별화를 거쳐 동의 없이 이용, 제공한 경우 식별 여부에 대한 사법적 판단에 따라 특정 시점에서는 개인정보보호법을 위반할 우려가 있는 법적으로 매우 불안정한 상태를 의미한다.(오픈넷)
[8] 물론 가이드라인에서는 특정 기술조치 여부뿐 아니라 종합적 관점에서 판단한다고 이야기하고 있긴 하다.
[9] 제18조 제2항 제4호
[10] 유럽연합은 우리 법제보다 빅데이트 활용과 관련하여 프로파일링에 대한 규율을 신설, 보완하고, 동의에 대한 규정, 투명성에 대한 규정 등과 관련하여 개인정보주체의 권리를 강화하는 방향으로 법률을 개정하고 있다. 그런데 유럽에서 개인정보보호법제 때문에 빅데이터 활용에 제약이 있다는 움직임을 보이지는 않는다. 기업이 재식별화할 의사가 없더라도 재식별화할 가능성이 있다는 것이 문제고, 비식별화한 정보가 다른 업체에 매매됐을 때 다른 정보와 결합해서 손쉽게 재식별화된다는 것이 문제다. 이는 MIT 미디어랩의 연구를 통해서도 실증됐다. 가령 카드사의 구매 정보를 비식별화해서 이 정보를 이통사(이동정보)에 넘겼다면, 두 가지 정보가 결합되면 누가 어디서 어떤 물건을 구매했는지 알게 된다. 재식별화 의지가 없다라도 자동적으로 재식별화된다. 재식별화하면 훨씬 더 가치 있는 정보가 되는데 기업에서 안 할 이유가 있겠나. 더불어 재식별화 의지가 없더라도 해당 정보가 유출되어 악용될 가능성이 상존하니 그것도 문제다. (연구소)
* 위 글은 슬로우뉴스에 동시 게재하고 있습니다. (2016.10.06.)
안전장치 없는 빅데이터 활성화는 개인정보 ‘재앙’ 초래
‘재식별화’ 위험 현실화되면 프라이버시 설 자리 잃어
금융위원회가 6월 3일 ‘빅데이터 활성화’ 방안을 발표했다. 핀테크 산업을 육성하기 위한 핵심전략으로 다뤄왔던 빅데이터 활성화 방안을 구체화한 것이다. 구체적으로 신용정보법을 그대로 둔 채, 시행령을 개정해서 소위 ‘비식별’ 정보를 신용정보법에서 보호하는 신용정보의 범위에서 제외시키겠다는 것이다. 그러나 이런 방식으로 빅데이터 활용의 제약조건을 해소하겠다는 금융위 안이 시행될 경우 개인의 사생활 보호라는 헌법적 권리가 ‘재앙’ 수준의 침해를 받을 것이다. 비식별화된 빅데이터를 결합해서 개인을 재식별할 수 있는 기술의 발전이 이미 광범위하게 진행된 개인 및 신용정보의 불법 유통 현실과 결합할 경우, 귀중한 개인정보들이 기업의 이윤추구와 권력의 통제 목적에 무방비로 노출될 것이 자명하기 때문이다. 참여연대 경제금융센터(부소장 김성진 변호사)는 금융위의 이번 활성화 방안은 원점에서 전면 재검토되어야 한다는 것을 강조한다.
금융위 안은 정보기술의 발전에 따라 개인정보 보호 규제를 새롭게 정비하려는 국내외의 규제 추세에 정면으로 반하는 것이다. 개인정보 보호와 관련한 새로운 규제 추세는 빅데이터 환경에서 소위 ‘재식별화’의 위험에 어떻게 대처하느냐를 쟁점으로 삼고 있다. 단지 개별적으로 비식별화된 신용정보의 활용이므로 문제가 없다는 접근은 빅데이터의 결합을 통해 내재한 개인 정보를 추출할 수 있는 현대 정보기술의 능력을 도외시하는 만용에 가깝다. 더구나 이미 ‘식별화된’ 방대한 개인정보가 불법으로 유통․보관되고 있는 우리 현실까지 감안하면 더욱 그렇다. 금융위 안은 또한 개인정보 보호와 관련한 현행 법체계와 규범을 무력화시킬 가능성이 크다.
참여연대는 금융위가 어제 발표한 빅데이터 활성화 방안을 백지화 수준에서 재검토할 것을 강력히 촉구한다. 끝.
▣ 별첨자료
1. 금융위 ‘빅데이터 활성화 방안’의 문제점
지난 8월 12일 서울중앙지법 형사항소5부(부장판사 장일혁)는 소비자들의 개인정보를 매매한 혐의로 기소된 홈플러스와 보험회사들에 대한 검찰의 항소를 기각했습니다. 법원이 소비자의 동의도 제대로 받지 않고 개인정보를 불법매매한 기업에 대한 면죄부를 줌으로써 소비자들의 개인정보는 큰 위기에 처하게 되었습니다.
특히 법원의 판결 하루 전인 8월 11일 방송통신위원회가 롯데홈쇼핑(현 우리홈쇼핑)이 고객 정보를 당사자 동의 없이 제3자에게 불법 판매한 행위에 대해 과징금 1억 8천만원을 부과한 사실이 확인되어 소비자들에게 충격을 주었습니다.
롯데홈쇼핑은 324만여 명의 고객 정보를 롯데·한화·동부 손해보험사에 불법 판매하여 37억여 원의 부당이득을 올렸습니다. 그중 2만9천여 명의 정보는 당사자 동의 없이 판매하기도 했습니다. 롯데홈쇼핑 사건은 홈플러스 사건과 똑같은 모습을 하고 있습니다. 하지만 법원의 무책임한 무죄판결로 인해 롯데홈쇼핑 사건의 피해 소비자들이 정당한 피해구제를 요구하고 받을 수 있는지 의문입니다.
이에 그간 홈플러스 사건에 공동대응해온 시민단체들은 오는 22일(월) 오전 11시, 경실련 강당에서 홈플러스 사건을 통해 소비자들 모르게 개인정보가 판매되는 현실을 비판적으로 짚어보고, 소비자 개인정보를 부당하게 매매한 롯데홈쇼핑에 대한 검찰고발을 위한 기자간담회를 개최합니다.
시민,소비자단체들은 소비자의 개인정보가 부당하게 매매되고 있는데도 이를 규제하지 못하는 현행 개인정보보호제도의 개선을 요구하며, 소비자 개인정보 보호에 매진해야 할 정부가 최근 오히려 개인정보 보호규범을 완화하기 위해 법개정을 추진하는 데 대하여 깊은 우려를 표합니다.
개인정보 판매가 가속화되는 빅데이터 시대, 소비자 권리가 보호될 수 있도록 많은 관심과 취재를 요청드립니다.
경실련 소비자정의센터, 진보네트워크센터, 참여연대 민생희망본부
소비자교육중앙회, 한국여성소비자연합, 한국YWCA연합회, 한국소비자연맹,
소비자시민모임, 한국소비자교육원, 한국YMCA전국연맹, 녹색소비자연대,
소비자공익네트워크, 한국부인회총본부
[소비자 개인정보 보호를 위한 시민사회 공동 기자간담회 개요]
“홈플러스 항소심 무죄판결 문제제기와 롯데홈쇼핑 고발”
○ 일 시 : 2016년 8월 22일(월) 오전11시
○ 장 소 : 경실련 강당 (동숭동 소재)
○ 주 최 : 경실련 소비자정의센터, 진보네트워크센터, 참여연대 민생희망본부,
소비자교육중앙회, 한국여성소비자연합, 한국YWCA연합회, 한국소비자연맹, 소비자시민모임,
한국소비자교육원, 한국YMCA전국연맹, 녹색소비자연대, 소비자공익네트워크, 한국부인회총본부
○ 기자간담회 순서
∎ 사 회 : 최인숙 / 참여연대 민생팀장
∎ 기자간담회 개최 취지 : 고계현 / 경실련 사무총장
∎ 홈플러스 형사재판 비판 : 좌혜선 / 한국소비자단체협의회 사무국장 (변호사)
∎ 롯데홈쇼핑 형사고발 개요 : 이은우 / 정보인권연구소 이사 (변호사)
∎ 질의응답
[소비자 개인정보 보호를 위한 시민사회 공동 기자간담회 개최
발표일자:
2016/08/19
지난달 30일 행자부는 빅데이터 활용 가이드라인(개인정보 비식별 조치 가이드라인)을 발표했습니다.
핵심은 "개인정보라도 비식별 처리하면 당사자 동의 없이 활용(거래 포함) 가능케 하겠다"는 내용입니다.
하지만 '비식별화'라는 보호장치가 얼마나 허술한 것인지, 비식별화를 명분으로 개인정보를 정보주체 동의 없이 활용케 하겠다는 것이 얼마나 위험한 것인지 살핀다면... 정부 정책에 결코 동의할 수 없을 것입니다.
이에 진보네트워크센터는 정부 가이드라인의 문제점을 짚어보는 카드뉴스를 만들었습니다.
빅데이터 시대의 비식별화 문제와
소비자 개인정보보호를 위한 기자간담회 개최
오늘(6/30) 행정자치부가 「개인정보 비식별 조치 가이드라인」을 발표하였다. 빅데이터 시대를 맞아 "비식별 정보는 추가 동의 없이 활용 가능"하게 한다는 요지이다. 홈플러스의 개인정보 판매 사건에 대응하고 있는 우리 단체들은 정부의 비식별 가이드라인이 빅데이터 시대 소비자 권리를 오히려 침해할 것을 우려한다.
홈플러스 사건은 2천 4백만 건에 달하는 개인정보를 소비자 모르게 건당 1천9백8십원 혹은 2천8백원을 받고 보험사에 판매하여 무려 231억원의 부당이득을 올린 사건이다. 우리 단체들은 홈플러스의 개인정보 판매가 소비자의 권리를 중대하게 침해하였다고 보고 공익소송을 제기한 바 있다. 그러나 지난 1월 법원은 홈플러스가 소비자에게 유상판매 사실을 알릴 의무가 없다며 무죄판결을 내렸다.
우리 소비자들의 개인정보가 처한 상황은 매우 위태롭다. 국민의 개인정보를 탐내는 곳이 국내 기업들만이 아니다. 다국적 빅데이터기업 IMS헬스가 병원, 약국 등지에서 우리 국민의 개인정보 4천4백만 건을 몰래 사들여 빅데이터 처리 후 제약회사에 재판매하여 70억원의 부당이득을 올린 사건도 발생하였다.
현행 개인정보보호법은 소비자를 보호하기에 매우 부족하다. 익명화된 개인정보도 기술 발전에 따라서 재식별이 가능해질 여지가 있기 때문에 각국은 특별한 주의를 당부하는 것이 현실이다. 특히 우리나라는 인터넷, 스마트폰, 금융거래 등 모든 영역에서 실명 기반으로 개인정보가 축적되어 있기 때문에 아무리 강력한 익명화라도 재식별화의 가능성이 다른 어느 나라보다 높다. 통신·금융·의료 기업들은 거의 전국민 주민등록번호를 보유하고 있어 주민등록번호가 없는 다른나라에 비해 개인정보 오남용에 따른 국민적 피해가 매우 커질 것이다.
그런데 국민의 개인정보를 보호하기 위해 대책을 마련해야 할 정부가 오히려 빅데이터 산업 활성화의 명목으로 소비자 개인정보를 위험에 빠뜨리는 내용의 가이드라인을 발표한 것이다.
우리는 "비식별 조치를 하면 개인정보가 아닌 것으로 추정"해 주겠다고 장담하는 정부의 가이드라인에 반대한다. 기업은 소비자의 개인정보를 수집하고 이용하고 심지어 판매하는 데 대하여 명확하게 소비자의 동의를 받아야만 한다. 만약 소비자 개인정보를 동의없이 사용하려면 재식별화가 불가능한 ‘익명화’가 되어야 한다. 소비자 권리는 모든 분야에서 중요하고 빅데이터 시대에도 개인정보에 대한 소비자의 권리는 반드시 보장되어야 함을 정부는 명심해야 할 것이다.
2016년 6월 30일
경실련 시민권익센터, 진보네트워크센터, 참여연대 민생희망본부,
소비자교육중앙회, 한국여성소비자연합, 한국YWCA연합회, 한국소비자연맹,소비자시민모임, 한국소비자교육원, 한국YMCA전국연맹, 녹색소비자연대,소비자공익네트워크, 한국부인회총본부
시민들의 의견
댓글 달기