가명처리 가이드라인에 대한 의견

8월 5일부터 시행한 개정 개인정보보호법은 정보주체의 권리 보호 관점에서 많은 문제점을 가지고 있을 뿐만 아니라 해석상 모호한 규정들을 다수 포함하고 있음. 그동안 법적 규범력을 가지고 있지 않음에도 기업들의 요구에 따라 행정안전부가 가이드라인을 제작, 배포해 사실상 유권해석처럼 여겨져 온 것은 문제가 있었음. 특히 기업들은 법에서 정한 개인정보 보호 규정과 절차에 따라 관련 조치를 취하고 그에 따른 책임을 지면 됨에도, 행안부가 제작 배포한 가이드라인에 따랐다며 사실상 면책의 근거로 악용해 왔음. 2016년 <개인정보 비식별조치 가이드라인>과 같이 법령 위반의 소지가 있는 가이드라인이 발표될 경우, 오히려 사회적인 혼란을 확대할 가능성이 큼.

이번 개인정보보호법은 해석상 모호한 규정이 다수 있는 등 개정의 여지가 다분하고 따라서 시급히 개정이 필요한 법률에 근거해 급박하게 가이드라인을 제작하는 것은 문제가 있음. 더구나 이번 가이드라인은 정보주체의 권리를 오히려 제한하는 방향으로 법령을 해석하고 있어, 향후 기업들이 가이드라인에 따랐을 뿐이라며 면책사유로 주장할 우려가 큼. 이런 식의 가이드라인이라면 차라리 제정하지 않는 것이 바람직하며, 보호위원회는 “개인정보 보호 기본계획, 법령 및 제도 개선 등”의 역할을 수행해야 하는 설치 이유에 충실하게 현행 법령의 문제를 해결하는 것이 우선 순위가 되어야할 것임. 특히 다음과 같은 문제는 지적하지 않을 수 없음.

1. 개인정보를 지나치게 협소하게 규정하고 있음
개인정보는 특정 개인을 ‘알아볼 수 있는’ 정보인데, 그 주체가 누구인지가 문제가 됨. 관련하여 가이드라인은 ‘개인정보 처리자’의 관점에서 판단하는 것으로 규정하고 있음.

그러나 이처럼 개인정보 처리자 관점에서 개인정보인지 여부를 판단하게 된다면, 개인정보 처리자가 알아볼 수 없는 경우에는 개인정보가 아닌 것으로 규정이 되므로 개인정보보호법이 적용되지 않으며, 이에 따라 개인정보처리자는 해당 정보를 자유롭게 공개해도 무방할 것임. 이렇게 되면 개인 식별에 필요한 다른 정보를 가지고 있는 제3자가 공개된 정보를 통해 개인을 식별할 수 있게 될 위험이 있음.
이러한 해석은 개정 개인정보보호법의 취지와도 맞지 않음. 개정 개인정보보호법의 애초 발의안(인재근 의원 대표발의)은 개인정보처리자의 관점에서 개인정보 여부를 판단하였으나 국회를 통과한 개정 개인정보보호법은 해당 문구를 삭제하였음.

이러한 해석은 한국 정부가 현재 적정성 결정을 추진하고 있는 유럽연합의 개인정보보호법(GDPR)의 규정과도 상충함. 유럽연합의 경우 개인정보처리자 뿐만 아니라 제3자의 관점에서도 식별 가능한지 여부를 기준으로 하고 있음.

어떤 수단이 자연인을 식별하기 위해 사용될 합리적 가능성이 있는지 확인하기 위해서는, 처리 시점에 이용 가능한 기술과 기술 발전 을 감안하여 식별에 필요한 비용과 시간 등 모든 객관적 요소를 고려해야 한다.개인정보 자기결정권의 수호자가 되어야 할 개인정보보호위원회의 첫번째 가이드라인에서 이처럼 개인정보의 개념을 협소하게 규정하여 정보주체의 보호 범위를 제한하려고 하는 것은 납득하기 힘든 일임. 개인정보처리자 뿐만 아니라 제3자에 의해서도 식별 가능할 수 있다면 개인정보로 규정되어야 함.

2. 과학적 연구의 범위 모호함
가이드라인은 과학적 연구에 대해 여전히 포괄적으로 서술하고 있을 뿐, 어떤 연구가 과학적 연구에 포함되고 어떤 것이 되지 않는지 구체적으로 설명하고 있지 않음. 과학적 방법을 적용하지 않는 연구를 거의 상상할 수 없다는 점에서, 가이드라인에 따르면 ‘연구’라고 주장하는 모든 활동에 가명정보를 활용할 위험이 있음. 그렇게 되면 그나마 ‘통계작성, 과학적 연구, 공익적 기록보존 등’에 한정하여 동의없이 가명정보를 처리할 수 있도록 한 법률 규정의 취지조차 법적 구속력도 없는 가이드라인이 무력화할 수 있음.

GDPR의 경우 한국의 개인정보보호법과 달리 ‘과학적 연구(scientific research)’를 정의하고 있지 않음. GDPR이 과학적 연구를 학계(academy) 내의 연구로 제한하지 않고 있는 것은 사실이나, 그렇다고 ‘연구’라고 불리는 모든 활동으로 확대해석하고 있지 않음. 2020년 1월, 유럽개인정보보호감독관(EDPS)는 <개인정보보호와 과학적 연구에 대한 사전 의견서>에서는 “개인정보처리자가 단지 과학적 연구 목적이라고 주장하는 것으로는 충분하지 않다”, “대학의 연구뿐만 아니라 비영리 단체, 정부기관, 영리 기업도 과학적 연구를 수행할 수 있다. 공통된 전제는 과학적 연구가 전체 사회에 유용하고 과학적 지식은 증진하고 지원해야 할 공공재라는 것이다”라고 언급하고 있음. 더불어 “GDPR은 인간에 관한 연구를 규율하는, 오래동안 수용되어 온 윤리적이고 전문적인 규범의 존재를 전제로 한다”고 함.
영국의 개인정보감독기구인 ICO는 GDPR 해설을 위한 홈페이지에서 “과학적 연구는 시장 조사 혹은 고객만족도조사와 같은 상업적 연구 목적의 개인정보 처리에는 적용되지 않는다”고 언급하고 있음. 한국의 개인정보보호법에 따른 ‘과학적 연구’는 유럽 GDPR의 과학적 연구 범위와 다른 것인지, 다르다면 어떻게 다른 것인지 명확하게 제시할 필요가 있음.
개인정보보호법 및 가이드라인이 인정하고 있듯이 “가명정보도 개인정보에 해당”하며 정보주체의 동의없는 개인정보(가명정보)의 활용 및 제3자 제공은 정보주체의 권리를 일정하게 제한하는 것임. 따라서 그러한 제한을 합리화하기 위해서는 상응하는 공공의 이익이 존재해야 함. 그러나 시민사회가 비판해왔듯이, 사회적인 지식 기반 확대에 기여하는 학술 연구와는 달리 기업 내부적인 연구는 해당 기업의 사적 이익에 도움이 될 수는 있어도 공익적 가치는 없기 때문에, 과학적 연구의 범위를 기업 내부적인 연구로까지 확대하는 것은 부당함.
가이드라인의 예시는 의료정보를 포함한 개인정보를 일개 앱 제작업체에 제공할 수 있다고 해석하고 있음. 이는 개인의 의료정보를 목적 외로 활용한 것으로 의료법 위반일 뿐만 아니라, 이런 식으로 병원이나 공공기관이 보유한 의료정보가 민간기업에게 제공될 경우 정보주체에게 미칠 해악이 매우 큼. 또한 민감정보를 정보주체의 별도의 동의 혹은 법령의 근거가 있는 경우 외에 애초 수집 목적 외로 활용하는 것은 근거법인 개인정보보호법 위반 소지가 있음.
만일 개인정보보호법이 개인정보처리자가 스스로 과학적 연구라고 주장하는 모든 활동에 대해서 허용하고자 하는 것이 아니라면, 무엇이 과학적 연구이며, 무엇이 과학적 연구가 아닌지에 대한 보다 구체적인 기준과 사례를 제시할 필요가 있음.

3.가명정보의 파기
가명정보도 개인정보이고 모든 개인정보는 개인정보 처리원칙의 적용을 받아야 함. 개인정보 처리원칙은 모든 개인정보를 특정한 수집 목적에 필요한 한도 내에서 적법하게 처리하고 처리 목적이 다한 경우 파기하도록 하고 있음.
개인정보보호법 시행령 제29조의5에서, 2020년 3월 31일 입법예고된 시행령(안)에 있었던 “③ 개인정보처리자는 가명정보의 처리 목적이 달성되거나 가명정보 보유 기간이 경과한 때에는 그 가명정보를 지체 없이 파기하여야 한다.”는 조항을 삭제한 것은 가명정보를 영구적으로 활용할 수 있도록 한 것은 아닌지 매우 우려스럽지만, 비록 시행령에서 명시적으로 규정되어있지 않더라도 개인정보 보호원칙에 비추어 가명정보 역시 처리 목적이 달성된 경우 파기해야한다고 해석하는 것이 올바를 것임.
가이드라인에서 “개인정보처리자는 가명정보를 처리하고자 하는 경우 가명정보의 처리 목적, 처리 및 보유기간, 제3자 제공 시 제공받는 자, 추가정보의 이용 및 파기 등에 관한 사항을 작성하여 보관하여야 함”(가이드라인 28p)을 명시한 것은 긍정적이지만, 혼란을 방지하기 위해 목적 달성 후 가명정보 파기를 보다 명확하게 강조할 필요가 있음.

4. 정보주체의 권리
가이드라인은 가명처리 및 가명정보에 대한 정보주체의 권리와 관련하여 다음과 같이 짧게만 언급하고 있음. (가이드라인 30p) 개인정보보호위원회의 가이드라인에서 이런 식으로 정보주체의 권리에 대해 신경쓰고 있지 않다는 것은 매우 실망스러움.

이미 가명처리된 정보를 통해서는 정보주체를 식별하기 힘들다고 하더라도, 개인정보처리자는 누구의 개인정보를 대상으로 가명처리를 하는지 쉽게 알 수 있음. 따라서 최소한 가명처리와 관련한 정보주체의 권리가 어떻게 보장되는지 보다 구체적으로 설명할 필요가 있음. 예를 들어, 정보주체는 자신의 개인정보가 어떠한 목적으로 가명처리되었는지, 가명처리된 후에 누구에게 제공되었는지, 자신의 개인정보를 가명처리해서 활용하는 것을 거부할 권리가 있는지 등에 대해 알 필요가 있으며, 만일 정보주체의 권리를 제한한다면 그 이유가 설득력있게 제시될 필요가 있음.

2020년 8월 27일

경제정의실천시민연합, 민주사회를 위한 변호사모임 디지털정보위원회,서울YMCA 시청자시민운동본부, 전국민주노동조합총연맹, 진보네트워크센터, 참여연대

문의 : 경실련 정책국(02-766-5624)

자동차 리콜제도 무력화법 철회하라

리콜 사안에 무상수리 적용, 소비자 안전에 중대한 침해 초래

제조사 이익 보호하던 국토교통부에 면죄부를 주는 셈

자동차 리콜제도를 무력화시키는 법안이 국회 국토교통위원회에 제출되었다. 더불어민주당 허영의원이 지난 6월 28일 대표발의한 「자동차관리법 일부개정법률안(이하 개정안, 의안번호 2111128)」은 자동차안전·하자심의위원회가 리콜대상인 제작결함 시정 사항에 대해 무상수리를 권고할 수 있다는 내용을 담고 있다. 이는 “결함(안정성의 결여)”을 시정하는 리콜 사안에 대해 “하자(상품성의 결여)”를 치유하는 무상수리를 적용하도록 하여 소비자의 안전과 권익을 심각하게 침해할 소지가 크다. 경실련은 자동차 리콜제도를 유명무실하게 운영하는 국토교통부를 감시해야 할 국회가 정부의 요구를 반영한듯한 리콜제도 무력화법 개정에 동참한 것에 유감을 표명하며, 즉각 철회를 요구한다.

 
무상수리 권고 입법의 문제점은 다음과 같다.
 

첫째, 안전상 발생한 문제를 품질개선 제도로 해결하도록 한다.

 
무상수리로 리콜을 대체해서는 안 된다. 무상수리는 자동차관리법상 품질보증제도이다. 자동차관리법 32조의2에 따라 제작사 등이 판매한 자동차의 상품성에 대한 결여가 있을 경우 이를 보완하는 의무를 부과한다. 반면 리콜은 자동차관리법상 안전보호제도이다. 자동차관리법 31조에 따라 안전에 지장을 주는 경우 의무적으로 이를 예방하고 시정해야 한다. 생명과 안전에 위해를 줄 수 있는 사안에 대해 상품성 개선 정도로 그치는 것은 자동차 소유주의 안전문제를 방치하는 부적절한 조치다.
 
리콜 사안에 대해 무상수리를 적용하면 안 되는 근본적인 이유는 자동차의 안전상 문제는 인명피해와 직결되므로 소비자의 인지 여부와 상관없이 적극적으로 시정되어야 하기 때문이다. 이러한 이유로 자동차관리법에서는 자동차 소유자에게 리콜 내용을 통지받을 권리, 시정조치 및 경제적으로 보상을 받을 권리를 보장하며(자동차관리법 제31조 제1항), 정부에게는 결함 차종을 제작한 제작사에 대한 관리·감독 권한과 의무를 부과(동법 제3항)하는 것이다. 반면, 무상수리는 원칙적으로 차주가 미리 인지하고 신청해야 하는 조치이므로 인지하지 못한 소비자는 위험에 노출될 수밖에 없다. 리콜 사안에 무상수리를 적용하는 것은 결함사실을 통지받고 결함으로 인한 생명·신체에 대한 위험으로부터 적극적으로 보호 및 보상받아야 할 소비자 권익을 심각하게 훼손하는 것이다.
 
국토교통부 내 자동차안전ㆍ하자심의위원회 국토교통부 내 “교환・환불중재 등의 업무를 수행하고 제작결함의 시정 등과 관련한 사항의 심의 등”을 하는 기구로서 리콜 여부를 판단하고 최종 의견을 국토교통부에 제출한다.
는 안전상 문제가 발생하거나 발생할 수 있는 차량에 대해서는 리콜 조치하도록 심의해야 한다. 그런데 개정안에 따르면 제작결함이 있더라도 시정조치(리콜)가 아닌 무상수리를 적용할 수 있게 된다. 자동차 리콜의 주무부처인 국토교통부는 자동차 안전문제에 적절히 대처하지 않아 여러 차례 지적받은 바 있는데*, 무상수리 권고가 법제화된다면 그동안 자동차관리법을 위반하면서까지 제조사의 경제적 피해를 최소화하던 국토교통부에게 법적 근거까지 마련해주는 셈이다.

* [별첨] 참고

둘째, 기업의 무상수리 하자 치유 등 의무도 권고사항으로 완화했다.

 
무상수리는 안전상 문제를 해결하는 시정조치가 아니지만 품질보증제도로서 엄연한 의무사항이다. 자동차관리법 32조의 2에 따르면 자동차제작자 등은 국토교통부령으로 정하는 바에 따라 무상수리 등 조치하여야 하고(제1항), 이를 이행하지 아니한 경우 국토교통부장관이 그 이행을 명할 수 있다(제5항)고 규정하고 있다.

이렇듯 소비자 권익 보호를 위해 의무사항으로 규정한 무상수리 등 조치를 불이행시 제재수단, 강제수단 등 구속력이 전혀 없는 ‘권고’ 사항으로 전락시킨다. 개정안에 따르면 안전·하자심의위원회의 심의를 통해 권고할 수 있는 대상은 무상수리의무 이행명령(제32조의2 제5항)뿐 아니라 ▲판매의 중지명령(제30조의3 제1항), ▲강제적 리콜(제31조 제3항), ▲자체시정 자동차 소유자에 대한 보상(제31조의2), ▲자동차제작사등의 보고의무(제31조 제8항)’를 포함한다. 이는 공통적으로 소비자 안전 및 재산상에 위해가 될 수 있는 중대한 법규위반 또는 제작결함으로 인한 위험성의 제거를 상정한 조치들이다. 개정안에 따라 이 조치들이 권고의 효력으로 격하된다면 소비자 권익 보호가 기업의 선택에 따라 좌지우지되는 결과를 초래할 것이다.
 

국회는 자동차 리콜제도 무력화법 철회하고 리콜제도 정상화를 위한 대책 마련하라.

 
이번 개정안은 2018년 BMW사 차량의 화재발생 사건의 교훈을 완전히 몰각한 결과물이다. 당시 차량의 제작결함으로 화재가 반복적으로 발생했을 때도 정부가 소극적으로 대응하다가 뒤늦게 리콜을 결정한 후 재발방지를 위한 실효적인 대책을 강구하겠다고 수습했다. 그런데 이제는 국회가 나서서 오히려 자동차 리콜제도를 무력화하는 개악에 앞장서고 있으니 그 피해를 소비자가 그대로 떠안게 되는 것은 아닌지 우려스럽다.

자동차 안전문제에 무상수리를 적용하여 소비자의 생명, 신체, 재산에 피해가 발생한다면 국회와 정부는 그 책임을 어떻게 추궁할 것인지 의문이다. 물론 리콜 사안에 무상수리를 권고 수준으로 조치한 정부와, 이러한 법적 근거를 마련한 국회도 그 비난과 책임을 피할 수 없을 것이다. 국가의 역할은 기업의 경제적 손실을 고려하여 법적 공백을 용인하는 것이 아닌, 소비자에게 발생할 수 있는 안전문제를 해결 및 예방하기 위해 선제적이고 강력한 조치를 취하는 것이다.

국회는 자동차 리콜제도를 무력화하는 자동차관리법 일부개정법률안은 즉각 철회하고, 정부가 리콜제도를 실효성 있게 운용하도록 대책을 마련해야 한다. 그동안 정부가 결함 범위를 자의적으로 축소해석하여 리콜 적용을 회피하던 사례가 다수 존재하는 만큼, 안전결함의 정의를 법률로써 규정하는 자동차관리법 개정 등이 필요하다. 은 리콜제도 무력화법 개정 중단을 위한 국회의원 면담과 의견서 전달 등을 전개할 계획이다.

※ 별첨 : 현행 자동차 리콜제도 및 국토교통부의 리콜제도 운용실태(총1매)

2021년 09월 16일

경제정의실천시민연합

첨부파일 : 20210916_경실련성명_자동차 리콜제도 무력화법 비판 성명

문의 : 경실련 사회정책국(02-766-5624)

[개인정보보호위원회 1주년 논평]

개인정보보호위,

정보인권의 수호자로서 본연의 임무에 집중하라

가명정보의 결합과 활용에만 신경쓰는 보호위, 정보주체의 권리 보호는 방치

보호위, 법에서 위임한 대로 자신의 활동 방향을 재설정해야

8월 5일, 개인정보보호위원회(이하 보호위)가 출범한 지 1주년이 되었다. 그동안 조직 체계와 개인정보 보호지침들을 정비하고, 법을 위반한 기관이나 기업에 제재처분을 내렸으며, EU와 적정성 결정을 위한 협상을 진행하고, 개인정보보호법 2차 개정을 준비하는 등 나름대로 바쁜 1년을 보냈을 것이다. 이제 1년 된 조직의 성과를 따지는 것은 성급한 일일 수도 있다. 그러나 보호위가 제대로 된 방향을 설정하고 있는지는 반드시 짚어볼 필요가 있다. 보호위가 법에서 위임한 임무와 역할에 충실한 사업들을 해오고 있는지, 그리고 한국 사회의 개인정보보호라는 핵심적인 임무를 제대로 수행하고 있는가를 보면 좋은 점수를 주기는 어렵다.

안타깝게도 보호위가 지난 1년 동안 수행해 온 핵심 사업 중 하나는 ‘가명정보 결합과 활용의 활성화’이다. 이는 보호위 홈페이지의 공지사항과 보도자료만 보더라도 쉽게 알 수 있다. 출범하자마자 ‘가명정보의 결합 및 반출 등에 관한 고시’를 의결하고 결합전문기관 지정을 추진하였으며 최근에는 가명정보 결합·활용 성과 및 규제혁신 보고회를 개최하기도 했다. 과기정통부 행사였으면 차라리 그러려니 했을 것이다. 이미 여러 부처에서 데이터 이용 활성화에 앞다투어 나서고 있는 판이다. 과연 이것이 한정된 자원을 갖고 있는 보호위의 우선 순위 사업이어야만 하는지 개탄스러울 따름이다.

반면, 한국 사회에서 특히 정보 인권이 취약한 지점들, 그래서 독립된 개인정보 감독기구로서 보호위가 앞장서 해결해 주기를 바라던 문제들은 거의 다뤄지지 않았다.

공공부문과 주요 민간부문에서 여전히 뿌리 깊은 주민등록번호를 기반으로 한 시스템, 그리고 주민등록번호와 연동된 연계정보(CI)를 통해 확대되고 있는 실명기반 온라인 환경은 한국 사회에서 개인정보 자기결정권과 프라이버시권을 위협하는 고유한 문제임에도 불구하고 보호위는 이에 대한 관심조차 보이지 않았다. 이용자가 가입한 사이트 가입 내역을 알려주는 서비스가 무려 ‘e프라이버시 클린서비스’라는 이름으로 부끄러운지도 모르고 보호위 홈페이지에 링크되어 있다.

거대 인터넷 사업자들조차 기본적인 정보주체의 권리를 보장하고 있지 않는 것이 현실임에도, 보호위가 정보주체의 권리가 어느 정도 보장되고 있는지 실태조사라도 한 적이 있는가. 더불어 개인정보 침해신고센터는 권리구제기관으로서 제 역할을 하고 있는가. 개보위에 대한 감시와 비판이 주된 역할인 시민단체 활동가의 침해신고조차 제대로 처리해주지 못하는데, 과연 일반 정보주체들의 개인정보 침해 문제를 침해신고센터가 잘 해결해줄 수 있을거라 기대할 수 있을까 의문이다.

정부로부터 독립적인 기구라면서 국가정보원의 국민 사찰에 대해서 보호위는 제대로 조사하고 있는가. EU 적정성 결정을 추진하면서, 보호위가 국가정보원에 대해서도 감독 권한이 있다고 떳떳하게 얘기하려면, 당장 지금 문제가 되고 있는 불법적인 국민사찰 문제부터 팔을 걷어붙이고 나서야 하지 않는가.

노동자 개인정보 문제, 노동 감시의 문제도 특히 방치되고 있는 이슈 중 하나다. 불평등한 노사간의 권력 관계에서 정보주체인 노동자들이 자신의 권리를 행사할 수 있도록 보호위는 제 역할을 하고 있는가. 여러 개인정보 보호지침들이 정비되고 있지만, 2017년에 국가인권위원회가 제안한 <개인정보보호 가이드라인(인사, 노무편)>은 우선 순위에서 여전히 밀려나 있다.

소위 빅테크의 독점과 개인정보 남용 문제는 현재 정보자본주의의 핵심적 문제다. 전 세계 개인정보 감독기구 역시 빅테크의 개인정보 침해 문제에 적극적으로 대응하고 있다. 보호위도 페이스북의 개인정보 침해를 다루긴 했지만, 이는 기존 방통위에서 시작한 사안을 매듭지은 것일 뿐이다. 과연 보호위는 국내외 빅테크의 개인정보 남용에 대응하기 위해 어떠한 준비를 하고 있는가.

이러한 문제들 하나하나가 쉽지 않은 것들이다. 그러나 개인정보 감독기구가 감당하지 않으면 안 되는 문제이다. 개인정보보호법 제정 이전인 2000년대부터 시민사회는 독립적인 개인정보 감독기구의 설립을 주장해왔고, 그렇기에 비록 ‘데이터 3법’ 추진의 맥락 속에서 탄생하기는 했으나, 보호위에 대한 시민사회의 기대는 적지 않았다. 1년밖에 되지 않은 보호위에 많은 성과를 바란 것은 아니지만, 여전히 보호위의 행보는 제 갈 길을 잃은 듯하여 매우 실망스럽다. 보호위 설립 1년을 맞아, 보호위가 ‘정보인권의 수호자’로서 자신의 임무를 절실하게 되새길 것을 다시 한번 촉구한다. 끝.

2021년 08월 05일

경제정의실천시민연합, 무상의료운동본부, 민주사회를 위한 변호사모임 디지털정보위원회, 서울YMCA 시청자시민운동본부, 전국민주노동조합총연맹, 진보네트워크센터, 참여연대, 한국소비자연맹

첨부파일 : 20210805_개인정보보호위원회 1주년 공동논평.hwp

첨부파일 : 20210805_개인정보보호위원회 1주년 공동논평.pdf

 
문의 : 경실련 정책국(02-766-5624)

국회는 ‘이동통신요금 인상법’ 즉각 철회하라/p>

요금인가제 폐지하는 ‘전기통신사업법’ 국회 과방위 통과 규탄

요금인가제 폐지하면 이통사의 자의적 요금 견제 장치 사라져

기간서비스인 ‘이동통신의 공공성 포기’ 선언과 다름없어

지난 7일, 국회 과학기술방송통신위원회 전체회의에서 이용약관인가제도(이하 요금인가제)를 폐지하고 유보신고제로 완화하는 내용의 ‘전기통신사업법 개정안’이 통과됐다. 경제정의실천시민연합, 민생경제연구소, 사단법인 오픈넷, 소비자시민모임, 진보네트워크센터, 참여연대, 한국소비자연맹 등 통신소비자단체들은 이번 요금인가제 폐지 법안은 정부와 국회가 전국민에게 필수품이 되어버린 이동통신요금의 결정권한을 완전히 이동통신3사에 넘겨주는 ‘이동통신요금 인상법’이자 ‘통신 공공성 포기 선언’임을 분명히 한다. 통신소비자단체들과 많은 국민들이 ‘휴대폰요금 인상’을 우려하며 줄곧 반대해온 요금인가제 폐지 법안을 처리하려는 정부와 국회의 시도에 대해 강력히 규탄하며, 즉각 해당법안을 철회할 것을 엄중히 촉구한다.

이동통신 서비스는 공공자산인 주파수를 기반으로 제공되는 ‘기간통신서비스’로, 사실상 SKT, KT, LGU+ 3개 통신사의 독과점이 이루어져 온 상황이다. 2010년 정부의 MVNO 활성화 정책으로 알뜰폰 사업자가 통신 서비스 시장에 합류했으나 여전히 통신3사가 시장의 90%가량을 차지하는 독과점 시장이 유지되고 있다. 특히 사업 초기부터 변함없이 통신 시장의 50% 이상을 1위 사업자인 SK텔레콤이 점유하고 있으며, 마케팅비(약8조)로 영업이익(약3조)의 2.5배를 사용하는 특이한 지출구조를 가진 사업영역이다. 반면 이동통신서비스 가입자는 5천만명을 넘어 사실상 전국민이 이용하는 생활 필수품이며, 전체가계지출에서 통신비로 지출하는 비용은 세계 최고 수준이다. 그렇기 때문에 정부는 1위 사업자의 시장교란 행위를 막고 통신 공공성을 확보하기 위해 신규 요금제 출시 및 기존 요금제 인상 시에 과학기술정보통신부장관에게 인가를 받는 ‘요금 인가제’를 시행해 왔다. 요금인가제는 주파수라는 공공자산을 기반으로 제공되는 이동통신서비스가 기간통신서비스로서 높은 수준의 공공성을 필요로 하고, 이동통신 가입자가 5천만명을 넘는 등 대다수의 국민들에게 큰 영향을 미치기 때문에 이동통신의 공공성 확보 측면에서 반드시 필요한 최소한의 장치인 것이다.

이동통신사와 정부, 국회는 요금인가제를 폐지하면 이통사들이 소비자들의 편익에 부합하는 더 빠른 요금제 출시가 가능하고 이통3사의 요금제 경쟁을 통해 가계통신비 부담이 내려갈 것이라고 하지만, 이미 현재도 기존 요금제의 요금을 인하할 때는 신고만으로 가능하도록 하고 있기 때문에 이통사들이 요금을 올리려고 할 때 정부가 견제할 수 있는 장치만 사라지는 꼴이다. 오히려 지금같은 통신3사의 90% 독과점이 변하지 않는 상황에서 인가제를 폐지하게 되면 요금이 폭등할 우려만 높다. 실제로 정보통신정책연구원에서 발표한 ‘인가제 완화에 따른 통신요금 정책 방안’(2009) 에 따르면 요금인가제 완화를 통해 요금인하 경쟁이 촉발될 것이라고 기대하는 것은 지나치게 낙관적이고 오히려 과점시장 구조에서는 암묵적, 명시적 담합에 의해 요금이 유지될 가능성이 있다고 경고해 왔다. 단 한 차례를 제외하고는 수정이나 반려 없는 부실한 인가제를 유지해 오다가 비로소 제 역할을 하기 시작한 인가제를 이제와서 폐지하는 것은 납득하기 어렵다. 정부와 국회는 요금인가제를 폐지할 것이 아니라 이통사들의 통신요금 폭리를 견제할 수 있도록 오히려 보완하고 강화하는 것이 맞다. 인가제를 폐지하고 15일 이내에 신고를 반려하는 등의 보완책을 마련했다고 하지만 통상 1개월 가량 검토하는 현재의 인가제도 하에서도 요금이 적정한 수준인지에 대해 제대로 된 검증을 하지 못해 폭리에 가까운 이동통신요금을 용인해주고 있는 상황인데, 단 15일만에 검토를 통해 신고된 요금제를 반려한다는 것은 불가능한 얘기다.

요금인가제 폐지법안은 박근혜 정부 시절 과기부가 추진해온 대표적인 ‘대기업 규제 완화법안’으로, 문재인 정부 들어와서는 가계통신비정책협의회 등을 통해 통신소비자들이 여러 차례 불가 입장을 전달하여 추진되지 않았던 법안이다. 전국민은 세계 최고 수준의 가계통신비를 부담하는데 비해 이통재벌 3사가 연 3조원의 영업이익을 꾸준히 기록하는 상황에서 이통사에 날개를 달아주는 ‘서민악법’임이 명백하기 때문이다. 그런데 갑자기 정부와 국회가 20대 국회 막바지에 통신소비자단체들의 반대에도 불구하고 해당법안을 무리하게 추진하려는 이유를 묻지 않을 수 없다. 요금인가제도 폐지는 명백한 ‘이동통신요금 인상법’이며, 정부와 국회의 ‘이동통신 공공성 폐기 선언’이다. 우리 통신소비자단체들은 정부와 국회가 통신소비자단체들의 지속적인 반대에도 불구하고 이러한 법안을 처리하려고 하는 것에 대해 강력히 규탄하며, 즉각 ‘이동통신요금 인상법’ 개정을 포기할 것을 촉구한다. 끝.

최악의 금융개인정보 유출사고, 즉각 소비자 개인정보 보호를 위한 조치를 취하라!

– 최악의 유출사태에도 불구하고 회피로 일관하고 있는 금융당국

– 조속히 피해 사실을 확인하고 정보주체에게 유출 사실을 고지하라.

– 개인정보 유출 기업에 책임을 묻고 피해자에게 보상하라.

– 정보주체 동의없는 무분별한 개인정보 활용을 중단하라.

1. 사상 최악의 금융개인정보 유출사고가 발생했다. 언론보도에 따르면, 현금자동입출금기(ATM), 카드가맹점 포스단말기, 멤버십가맹점 서버 등 해킹을 통해 1.5테라바이트(TB) 분량의 금융개인정보가 유출되었다고 한다. 유출된 개인정보에는 카드 번호, 유효 기간, 비밀번호 암호화값 등 신용·체크카드 정보, 은행계좌번화, 주민등록번호, 휴대전화번호 등이 포함되어 있다. 해당 언론에 따르면 데이터 용량으로 추정하였을 때 약 412억건 규모라고 하지만, 문제는 수사기관이나 금융당국조차 정확한 피해 규모와 상황도 파악하지 못하고 있다는 것이다.
2. 개인정보 유출이 발생하면 가능한 빨리 피해 사실을 파악하고 정보주체에게 이 사실을 통지하는 등 소비자 개인정보 보호를 위한 조치를 취해야 한다. 그런데 수사기관과 금융당국은 조사가 시작된지 3개월이 되어감에도 불구하고 서로 책임을 미룬채 아직도 정확한 피해 사실조차 파악하지 못하고 있다고 한다. 지금 이 순간에도 소비자들은 자신의 개인정보가 유출되었는지도 모르는 채 금융 피해에 노출되고 있을지 모른다.

3. 금융위원회와 금융감독원 등 금융당국은 금융개인정보의 상업적 활용에는 그렇게 눈에 불을 켜고 적극적이더니 정작 소비자 개인정보 보호는 외면하는 것인가. 지난 신용정보보호법의 개정 과정에서 금융위원회는 2014년 대량 금융개인정보 유출 이후 반성적 차원에서 강화한 규제를 특별한 사정변경 없이 대폭 완화하고 영리목적의 금융개인정보 수집, 활용 범위를 확대한 바 있다. 마치 금융 보안 환경이 개선된 것처럼 떠들었던 금융위원회가 무색하게 이번 사태는 국내 보안 환경이 2014년과 크게 달라지지 않았음을 보여준다. 이미 전 국민의 주민등록번호가 유출되어 있는 상황에서 금융개인정보의 대량유출과 기업들이 가명처리해서 공유하는 개인정보들이 결합했을 때 정보주체에게 얼마나 많은 피해를 야기하게될지 가늠하기 힘들다. 금융 당국은 현재까지 발생한 피해가 없다고 하지만, 내게 어떠한 금융 피해가 발생한다고 한들 언제 유출된 개인정보로 인한 피해인지 어떻게 알 수 있겠는가.

4. 이미 개인정보가 유출된 지 많은 시간이 지났기 때문에, 수사·금융 당국은 정확한 유출 경위와 내용, 예상되는 위험 등을 파악하고 해당 정보주체에게 유출 사실을 고지해주는 것이 급선무이다. 나아가 금융 당국은 사고의 책임 소재를 파악하여 개인정보 유출 기업에 책임을 묻고 재발을 방지할 수 있는 조치를 취해야 할 것이다. 또한 자신의 개인정보가 유출된 소비자들의 추가 피해가 없는지 확인하고 적절한 손해배상이 이루어질 수 있도록 해야한다. 이와 더불어 정보주체의 동의없는 개인정보의 무분별한 공유와 활용을 촉진하는 정책 추진을 즉각 중단할 것을 촉구한다!
우리 단체들은 수사가 조속하게 이루어지고 피해자가 적절한 보상을 받을 수 있도록 끝까지 책임을 물을 것이다.

2020년 6월 15일
경실련 소비자정의센터, 무상의료운동본부, 민주사회를 위한 변호사모임 디지털정보위원회, 사무금융노동조합연맹, 소비자시민모임, 전국민주노동조합총연맹, 진보네트워크센터, 참여연대, 한국소비자연맹

[성명] 최악의 금융개인정보 유출사고, 즉각 소비자 개인정보 보호를 위한 조치를 취하라!