노동시민사회 공동 긴급 여론조사 결과, 국민 80.3% 가명정보 동의 없이 기업간 제공 반대

국민 81.9%, 개인정보보호법 개정 추진 사실 자체를 몰라

의료·건강 등 민감정보 가명처리후 비동의 수집·활용 70.5% 반대

경제발전 명분 정보인권 포기 불가 66.7%, 2030세대는 77%

시민사회단체가 의뢰해 실시한 긴급 여론조사 결과 국민의 다섯 중 넷 이상이(81.9%) 개인정보보호법 개정이 추진되고 있다는 사실 자체를 잘 모르고 있는 것으로 나타났습니다. 알고 있다고 응답한 응답자는 18.1%에 불과했습니다. 오늘(11/13) 무상의료운동본부, 민주노총, 민주사회를위한변호사모임디지털정보위원회,진보네트워크센터, 참여연대 등 노동·의료·시민단체가 11월 14일 개인정보보호법안의 국회 행안위 법안심사소위 심사를 앞두고 지난 10일 긴급 실시한 여론조사 결과를 발표했습니다.  

이번 여론조사는 문재인 정부가 혁신경제를 내세우며 개인정보보호법안 등http://www.peoplepower21.org/PublicLaw/1663821" rel="nofollow"> 데이터3법(개인정보보호법, 정보통신망이용촉진및정보보호에관한법률, 신용정보보호법)의 개정을 적극 추진하면서도 국민일반의 여론을 살피고 동의를 구하는 과정을 거치지 않았다는 지적을 해 온 노동·의료·시민단체가 직접 국민일반의 개인정보보호법 개정에 대한 여론을 확인하기 위해 실시했습니다.

여론조사 결과, 포털, 통신 보험 등 기업들이 고객 정보를 제대로 보호하고 있지 않다고 답한 응답자가 전체의 59.4%로 불신이 상당함을 보여주었습니다. 또한, 데이터3법에서 가장 문제로 지적되고 있는 가명정보의 활용에 대해서도 절대다수(80.3%)가 동의없이 수집,이용하는 데 반대했습니다. 특히 질병정보, 의료정보를 포함한 민감정보를 가명처리해 동의없이 수집,이용하는 것에도 70.5%가 반대했습니다. 뿐만 아니라, 데이터산업과 경제발전을 위해 개인정보보호와 관련된 권리 일부라도 포기할 수 있느냐는 질문에는 66%가 넘는 응답자가 불가능하다고 응답했습니다. 20,30대 응답자의 77% 이상이 불가능하다고 답하는 등 특히 20,30대 응답자의 부정적 응답비율이 평균보다 월등히 높았습니다. 

개인정보보호법은 국가 개인정보보호의 기본 원칙을 제시하기 위해 지난 2011년 이명박 정부하에서 어렵게 제정된 이후 카드3사 고객정보대량 유출 사고 등 개인정보유출사고가 발생할 때마다 조금씩 보완하면서 현재에 이르게 되었습니다. 개인정보보호법도 시대에 맞게 개선되어야 한다는 데는 이견이 없습니다. 그러나 충분한 사회적 합의과정 없이 데이터 산업 육성에만 방점을 찍는 데이터3법이 통과된다면 이후 감당해야 할 사회적 비용과 혼란, 불신은 상상하기 어렵습니다.

현재 국회에서 심사 중인 데이터3법은 개인정보보호법 체계의 기본 틀을 바꾸는 중차대한 사안임에도 개정안 마련을 사실상 주도한 정부는 공청회 등 국민여론을 수렴하는 절차를 거치지 않았습니다. 정부는 물론 더불어민주당을 비롯한 여야 정당들은 데이터 3법의 국회 처리를 중단하고, 사회적 논의를 다시 시작해야 합니다.

▶ https://drive.google.com/file/d/1fWcscSG1SqXoGGn2hsrwpXOYLc0Q90wP/view?u... rel="nofollow">여론조사 결과보고서 보기(pdf)

▶ https://infogram.com/3-1h0n25vjwydz6pe?live" rel="nofollow">주요 결과 요약 보기(인포그래픽)

※ 이번 조사는 여론조사전문기관인 서든포스트_(주)포스트데이터에 의뢰해 전국에 거주하는 만 19세 이상 성인 남녀를 대상으로 유·무선 RDD (무작위 임의걸기) 방식에 의한 ARS 여론조사(유선 20%, 무선 80%)로 진행되었다. 인구비례에 따른 성·연령·지역별 할당 무작위 추출방식으로 1,000명의 표본을 추출, 성·연령·지역별 가중값 부여방식으로 오차를 보정했으며, 가중방법은 림가중, 신뢰수준 95%에서 최대허용오차 ±3.10%point, 응답률은 4.4%, 조사시간은 2019년 11월 10일(일) 하루이다.

통신사가 수사기관에 신상정보 제공한 이유, 고객은 알필요 없다는 대법원 판결 유감

헌법에 반하는 통신자료 제공 관행 끊을 기회 외면한 대법원 

대법원이 헌법의 기본권 보호 역할을 외면하였다. 지난 10월 31일 대법원 제1부(주심 대법관 이기택)는, 에스케이텔레콤(이하 SKT), 엘지유플러스(이하 LGU+)를 상대로 수사기관으로부터 받은 통신자료제공 요청서의 내용(요청사유, 이용자와의 연관성, 자료의 범위 등)을 공개해달라는 정보공개소송에서 알려줄 필요가 없다는 2심판결을 그대로 유지했다. 통신사들이 수사기관에 이용자 신상정보(통신자료)를 한해 수백만건 넘게 제공하는 이유를 정작 정보 주체들은 왜, 어느 범위까지 제공되었는지 영영 알 수 없게 된 것이다. 헌법 제10조에서 도출되고 17조로 보장받는 개인정보자기결정권을 대법원이 부인한 것이다. 헌법에 반하는 통신자료 제공 관행을 개선할 기회를 외면하고, 수사기관이 신상정보를 가져가도 이유를 알려고 하지 말고 알 필요도 없다는 이번 대법원 판결은 개인정보의 주체를 객체로 전락시킨 것이다. 

현행 전기통신사업법 제83조 제3항에 따라 수사, 정보기관이 ‘수사 등을 위하여’ 필요하다고 요청하면 이통사는 고객들의 신상정보(이름, 주민번호, 주소 등 통신자료)를 한 해 수백만 건 이상 수사기관에 제공해 왔다. 헌법 제12조제3항은, “체포·구속·압수 또는 수색을 할 때에는 적법한 절차에 따라 검사의 신청에 의하여 법관이 발부한 영장을 제시하여야 한다”고 정하고 있다. 이는 국민의 기본권을 강제로 침해할 때는 반드시 법관이 발부한 영장이 있어야 한다는 것이다. 수사과정에서 특정 전화번호를 사용하는 사람의 인적사항을 손쉽게 파악하도록 하는 것은 수사상 편의에 불과하고, 이 수사상 편의를 위해 법원의 영장을 받지 않아도 되도록 제도가 설계되어 있다. 그런데 법원의 영장없이 수사기관이 요구하고 통신사들이 기계적으로 그 요구에 따르기 때문에 수백만건의 개인정보가 수사기관에 흘러들어가고 있는데, 그 정보의 주인은 왜 정보를 가져갔는지조차 확인할 수 없다는 것이다. 

한 해 수백만 건 이상 수사기관에 제공된 통신자료 제공은 법원의 통제를 받지 않고 있는데, 이제 그 정보의 주인인 개인이 사후적으로나마 왜 통신자료를 요청했고 제공했는지 조차 확인할 수 없다면 통신사들의 통신자료 제공은 통제불가능해진다.  2012년 헌법재판소가 전기통신사업자의 통신자료 제공은 법률상 강제수사가 아닌 임의수사에 응하는 것으로 사업자 재량에 따라 제공할지 말지 결정했던 것은 전기통신사업자들 스스로 최소한의 심사와 관리를 할 것으로 전제한 것이었다. 2012년 헌재결정 이후 포털사들은 통신자료를 임의제공하던 관행을 중단하고 영장에 의한 제공만 하고 있는데 통신사들은 오히려 경찰과 협의해 이제 클릭 몇 번으로 자신들이 관리하는 고객들의 정보를 넘겨주고 있다. 통신사들의 고객DB를 수사기관이 맘대로 이용하고 있다고 해도 과언이 아니다.

이제까지 통신자료 제공과 관련해서 수사기관은 수사상 필요 때문에 요청했으니 합법, 통신사들은 수사기관이 요청했으니 그에 따른 것이라 합법이라는 판결이 이어져 왔는데 대법원이 이번에 왜 제공되었는지조차 알 필요가 없고, 알고자 해도 확인할 수단조차 인정하지 않음으로써 국가공권력 행사의 대상이 된 사람이 그 공권력이 적법, 적정한 것이었는지를 사후적으로나마 검증할 수 있는 기회조차 박탈한 것이다. 대법원은 수사기관과 통신사가 알아서 잘 하고 있을테니 그냥 믿으라는 것이다. 국가기관의 공권력 행사과정을 감시하고 통제해야 할 법원이 그 본연의 임무를 망각하고 사법적 통제의 사각지대를 스스로 만든 것이라 이번 판결 자체가 기본권 침해적이다.  

수사기관이 법원 통제없이 국민의 통신자료를 요청하고 수집해 가는 관행을 개선하기 위해 참여연대는 지금까지 10년 가까이 헌법소원, 민사 및 행정 소송 제기, 국회 관련법 개정 요구 활동을 해 왔다.헌법이 확인하고 법률로 보장하는 기본권임에도 길고 긴 소송을 통해서라야 겨우 통신자료의 제공현황을 제공받을 수 있게 되었고, 영장 없이는 일부나마 인터넷기업들이 함부로 통신자료를 수사기관에 내주지 않게 되었다. 이와 같이 그동안 아무런 통제없이 이루어져 온 통신자료 제공 제도가 느리지만 조금씩 개선되고 있는 흐름을 이번 대법원 판결이 거스른 셈이다. 대법원은 대체 누구를 위해 존재하는지 묻고 싶다.

▣ 참고자료 <통신자료 관련 참여연대 공익법센터 소송 현황>  

논평 원문https://docs.google.com/document/d/1uAmXO4vwuVRlb2Kp1AVLjMcANQllyikxZdbw... rel="nofollow">보기/다운로드

기업측 입장만 반영된 ‘데이터3법’ 정작 데이터 주체 국민은 소외, 중단하고 공론화 시작해야

건강정보 등 민감정보 활용 허용 등 의료민영화 가속화 우려

‘데이터3법’ 위험과 정보인권 보장 모색 국회 토론회에서 노동 시민사회 한목소리로 사회적 협의 주문

‘데이터3법(개인정보보호법, 정보통신망이용촉진및정보보호에관한법률, 신용정보보호법)이 통과되어 데이터산업이 활성화되면 국민들의 생활은 과연 어떻게 나아진다는 말인가? 정부, 여당이 4차 산업 혁명, 데이터 산업 발전을 위해 국회에서 심사 중인 ‘데이터3법’’을 정기국회에서 반드시 통과시켜야 한다고 주장하고 있다. 그런데 정작 데이터 주체인 국민들이 공감하고 있는지는 의문이다.오히려 데이터산업의 이득은 기업이 고스란히 가져갈지 모르나 정보주체인 국민들의 프라이버시권 침해, 데이터관련 범죄 증가, 국가와 기업의 국민 감시 및 차별 심화로 부작용이 클 것이란 지적이 거세다. 지난 11월 6일 국회에서 무상의료운동본부, 민주노총, 진보네트워크센터, 참여연대, 추혜선 국회의원, 김종훈 국회의원 공동주최로 진행된  “데이터3법의 위험과 정보보호 방안” 토론회에서 이에 대한 논의가 있었다. 여당과 한국당이 이견이 없어 국회 상임위 행안위 법안심사소위에서 곧 통과될 전망이라는 이들 법안들을 이후 일어날 문제들을 신중하게 고려하고 민주적 공론의 장에서 제대로 토론하고 사회적 합의를 이끌어 낸 후에 입법해도 늦지 않으며 오히려 통과 후 발생할 부작용과 더 큰 사회적 비용을 줄이는 방법이라는 데 의견을 모았다. 

우선 첫 발제자로 나온 민주노총 사무금융노조 백정현 교육국장은, 빅데이터 시대에 익명성은 사실상 유지할 수 없는 가치이며 정부와 기업이 데이터를 수집하고 저장 및 분석작업을 하는 목적은 감시 혹은 관찰이라고 보았다. 그동안 우리나라 개인정보보호법은 대량의 정보유출 사고 이후 강화되는 방향으로 개정되어 왔지만 실상에서 실효가 있었는지는 의문인데다, 데이터가 쌓이고 집적될수록 유출사고의 규모도 크고 빈도도 많아지는 것은 우리 뿐 아니라 전세계적 추세라는 점을 지적했다. 우리나라는 법원의 판결도 데이터범죄나 개인정보침해 사고 등에서 억제 역할을 제대로 해 오지 못했는데 만약 데이터3법대로 정보보호의 규제가 완화된다면 보이스피싱 같은 데이터범죄는 더 극성을 부릴 것이라고 지적했다. 뿐만 아니라 현대 인간활동의 상당부분이 온라인에서 이뤄진다는 점을 감안한다면 데이터 수집이 온라인의 다양한 서비스를 이용하는 실질적인 규범으로 자리잡을 것이란 전망을 했다. 즉, 데이터수집과 분석의 알고리즘을 지배하는 기업이 정한 규칙에 따라 소비자가 움직이게 되고 결국 소비자차별로 이어질 것이라고 우려했다. 뿐만 아니라 중국정부의 신용상벌제도를 예로 들면서 빅데이터를 기반으로 하는 다양한 감시기술 발전은 정부가 사회장악과 국민감시에 악용할 여지도 가능하다고 전망했다. 미국 대선에서 트럼프 후보캠페인에 케임브리지 아날리티카의 불법 페이스북 이용자 정보 활용은 빅데이터기반으로 한 심리조정이 가능하며 유권자의 정치적 행동까지 조작하여 급기야 민주주의를 위협할 수 있다는 사례로 제시하기도 했다.빅데이터시대는 이제 되돌릴 수 없다. 그러나 빅데이터 시대 국가의 역할은 이와 같은 다양한 권리 침해의 가능성, 더 나아가 민주주의 위협에 대해 예측하고 기업 정부 등 개인정보처리자의 책임성을 강화해서 무분별한 활용을 규제하는 역할을 해야 하는게 아닌가라고 되물으며 첫번째 발제를 마쳤다.

두번째 발제자 김태욱 민주노총 법률원 변호사는 데이터3법 개정안의 문제점을 짚었다. 쟁점이 되고 있는 1) 가명정보개념의 도입, 활용의 문제점, 2)데이터 결합의 문제점, 3) 동의권 약화의 문제, 4) 신용정보 분야 기타 문제점 5) 개인정보보호위원회 강화의 측면 등을 살폈다. 

개인정보보호법안과 신용정보보호법안의 정의 규정 등을 비교하면 가명정보는 사실상 가명처리에 의해 규정되는 것으로 볼 수 있고, 따라서 가명처리의 구체적인 내용과 수준이 중요한데 정작 이를 대통령령으로 정하는 것은 포괄위임입법금지, 법률유보원칙 위배 등 위헌의 소지가 있다고 지적했다. 특히 신용정보보호법안에서 가명처리 간주 조항 및 추정 조항은 다른 일반적 개인정보에 비해 재산적 가치가 더 큰 신용정보를 보다 더 넓은 범위로 활용하고자 하는 의도가 반영된 것으로 문제가 있다고 우려했다. 시민사회가 가장 큰 위험의 하나로 꼽고 있는 데이터 결합을 허용하는 점도 특히 정보인권에 독소로 지적되었다. 또한 개정취지가 개인정보에 관한 일반적 원칙을 개인정보보호법을 중심으로 체계화하는 것인데 오히려 신용정보보호법안에서 익명조치, 가명조치의 개념과 데이터 결합 등에 대한 내용을 정하고 있어. 체계상으로도 문제가 있다는  지적도 덧붙였다.

개인정보자기결정권의 실질적 확보는 결국 정보주체의 동의권 행사를 통해 구체화될 것인데, 이번 개정안들은 현행의 동의권을 대폭 축소시켰다는 점이 특히 문제로 지적되었다.김태욱 변호사는 재산적 가치가 더 높고 사고 발생시 피해가 더 큰 개인신용정보의 동의권은 현행 신용정보법도 개인정보보호법보다 더 완화되어 있는데 이번 개정안은 그 정도가 더 심화되었다고 평가했다.신용정보회사들끼리는 동의없이 제공과 활용을 보장하고 있다는 것이다. 또한 공개된 개인정보의 동의없는 수집, 활용을 보장하고 있어 개인정보자기결정권을 무력화하고 표현의 자유 위축도 우려했다. 주목해야 할 신용정보보호법안의 문제로 지적된 것 중 하나는,  2014년 카드사 대량 정보유출 사건 이후 반성적 고려를 기초로 추가된 신용정보집중기관에 대한 공적 통제강화, 신용조회업의 부수업무 제한, 신용조회회사의 영리목적겸업금지 등의 내용이 별다른 사정변경 없이 삭제한 것이다.또한 금융위원회에 여전히 금융회사에 대한 감독 규제권을 남겨둔 점은 개인정보보호감독체계의 일원화라는 개정취지에 맞지 않는다고도 설명했다. 

마지막 발제자인 참여연대 정보인권사업단의 최종연 변호사는 주로 유럽연합의 GDPR과 미국 캘리포니아주의 소비자정보보호법(CCPA)와 데이터3법안에서 문제가 되고 있는 쟁점들을 비교분석했다.우선 최종연 변호사는 기업들이 결국은 비용부담을 하지 않고 데이터를 활용해 이익을 창출하려는 것은 수익자부담원칙이라는 경제논리에도 맞지 않는다고 지적했다. 개정안은 1) 개인정보개념이 유럽GDPR,CCPA에 비해 상당히 협소함.현행보다 더 축소됨 2) 동의제도의 실질화에 역행  2)가명정보 정의에서 위임입법의 문제, 4) 정보주체의 동의 없는 가명정보의 처리 범위 무한정 확장 5) ‘과학적 연구’ 정의에 산업적 상업적 연구 포함하여 건강정보 등 상업적 활용 무한대 허용, 6) 동의없이 가명정보의 제3자 제공 및 공유 허용 7) 기업간 정보집합물의 결합 허용, 8) 감독기관의 독립성 결여 에 대해 각각 문제점을 지적하고 의견을 제시하였다. 특히 데이터3법이 빅데이터 산업 활성화를 명목으로 GDPR 수준의 개인정보보호를 추구한다는 미명하에  GDPR의 관련 규정 및 해석, 적용 범위를 상당 부분  의도적으로 왜곡하여  개인정보주체의  처분권을 포함한 정보인권 일반을 축소하고,  동의없이  건강정보, 신용정보를 포함한 광범위한 개인정보 처리(이용`제공 포함)를 하여 상업적`산업적으로 이용할 수 있도록  관련 규정을 신설하는 내용은 가장 문제가 크다고 지적했다. 무엇보다 정부가 국민들 일반의  민감정보를 포함한 개인정보 처리권을 축소하는 내용의 중차대한 정보인권 제한에 대한 법률 개정을 추진하면서도 국민 다수의 의견을 물어본 적이 없다는 점을 지적했다.

쟁점사항에 대한 개선방향으로 ▶ ‘개인정보’ 정의조항에 식별 및 연관 가능성 위주 재정의 (제2조 제1호 가목) , ▶ ‘가명처리’의 정의조항에 재식별ㆍ재연계 가능성 위주 재정의 (제2조 제1호의 2), ▶‘과학적 연구’의 공익 목적성ㆍ상업적 연구 배제 (제2조 제8호), ▶ 정보주체의 권리에 가명정보 및 익명정보의 처리 방법, 제공 여부 등에 관한 정보를 제공받을 권리, 정보집합처리를 거부할 권리를 명시 (제4조) ,▶ 개인정보처리자의 정보제공의무 명시(이재정 의원안 동일) (제4조의2),▶) 동의 없는 개인정보 이용 특례 개정안 삭제 (제15조 제3항),▶ 동의 없는 개인정보 제공 특례 개정안 삭제 (제17조 제4항),▶민감정보의 처리 제한에 가명처리를 포함 (제23조 제1항) ,▶ 가명정보에 대한 삭제권, 처리정지권, 이용동의 철회권 유보(제28조의 7, 제1항 수정),▶가명정보에 대한 법률상 수집ㆍ이용, 수집제한, 제3자 활용 규제를 유지(개정안 제28조의7 제2항 삭제),▶정보집합처리에 관한 특례규정 도입(제37조의2, 이재정의원안 동일) 등을 제안했다. 최종연 변호사는,  유럽연합에서 GDPR이 도입될 당시 소요된 사회적ㆍ시간적 자원에 비추어 보면, 개인정보보호법 개정안은 결코 명분의 당위성만으로 서둘러서는 안되고, 서둘러 입법하였을 때 미칠 사회적ㆍ산업적 영향으로 인해 이를 합리적으로 재개정하는 것은 사실상 불가능하므로 법 개정을 위한 충분한 의견수렴과 논의를 신중하고 차분하게 추진해야 한다고 주장했다.  

토론자로 나선 성열범 과학기술통신부 융합신산업과 사무관, 금융위원회 박영주 데이터정책과장, 정영수 행정안전부 사무관 및 임종철 방송통신위원회 사무관과 기업측에서 나온 이욱재 KCB(CB사) 본부장은 이구동성으로 데이터산업과 정보보호의 조화를 이루기 위해 노력했고 그 결실이 데이터3법이라고 주장했다 시민사회의 우려에 대해서는 정확하게 답변을 하거나 설명을 하지 않았다. 변혜진 건강과 대안 상임연구원과 오병일 진보네트워크센터 대표는 대체로 발제자들의 문제의식에 공감하면서 빅데이터 시대의 다양한 정보인권 침해의 양상에 대해서는 지난 10년 넘게 지적하고 문제제기를 해왔음에도 정책을 수립하고 제도를 설계하는 측에서 그 어떤 개선노력을 해 오지 않았다는 점을 강하게 성토했다. 특히 변혜진 상임연구원은 건강정보의 영리목적의 활용은 의료민영화와 직결되어 있는 문제로 박근혜 정부때 추진하려던 것을 시민사회에서 강하게 반대하여 막아내었는데 이번 정부에서 그것을 허용하려고 하고 있다며 국민의료체계를 흔들 수 있는 중차대한 문제에 대해 국민들과 공론의 장에서 토론하고 해법을 찾으려는 노력을 지금이라도 시작해야 한다고 제안했다. 

 ▣ 붙임1. https://drive.google.com/file/d/1064bEt1TrSAUJTytZSIIfFEySKrM3vgH/view?u... rel="nofollow">토론회 자료집

 ▣ 붙임2. https://drive.google.com/file/d/1WKWPfxU-zFzFM6qc73qSu-71n7WaRj3l/view?u... rel="nofollow">현행 개인정보보호법, 개정안, 참여연대 제안 3단 비교표

 보도자료 https://drive.google.com/open?id=1wibNmhDtOjdZWvh0jRoqKtni4YgaHTcWV05U0q... rel="nofollow">원문보기/다운로드

 보도협조요청서 https://drive.google.com/open?id=12ORNfrCRJZHKvK5gpyWIhuieSWz-MYwNUfS9pY... rel="nofollow">원문보기/다운로드

기업이 내 동의 없이 내 정보를 가져다 쓴다?

데이터 3법, 위험하다

이상윤 연구공동체 건강과대안 책임 연구위원

문재인 대통령이 지난 10월 28일 "데이터 3법이 연내에 통과되도록 국회와 적극 협력하겠다"고 말하자 더불어민주당이 10월 30일 "데이터 3법(개인정보보호법, 신용정보법, 정보통신망법)'을 이번 정기국회에서 통과할 수 있도록 하겠다"고 밝혔다. 정부와 민주당이 말하는 법 개정의 이유는 '데이터 산업 발전'이다.

하지만 데이터는 데이터 저장장치에 존재하는 단순한 정보 묶음이 아니다. 이는 현실 세계에서 살아가는 개인들에 대한 정보이고 이들이 살면서 만들어 낸 삶의 이력 그 자체이다. 개인정보는 경제발전을 위한다는 명목으로 국가에 의해 동원될 수 있는 자원도 아니고 연료도 아니다. 이는 개인의 삶의 궤적이며, 역사이고, 존엄성 그 자체이다. 개인정보에 대한 권리는 정보 주체에게 있고, 개인정보를 활용하고 싶은 이들이 있다면 그게 누구이든 정보 주체의 동의를 받아야 한다.

정부와 민주당이 추진하는 '데이터 3법' 개정 중 특히 문제가 되는 것은 개인정보 보호법 개정안에 담긴 '가명정보'의 경우 정보 주체의 동의 없이도 개인정보를 활용할 수 있도록 한 조항이다. 개정안은 통계작성, 과학적 연구, 공익적 기록보존 등으로 그 목적을 한정하긴 하였으나, 통계, 과학적 연구를 매우 폭넓게 정의함으로써 사실상 기업, 개인의 사익 추구를 위한 통계, 연구도 정보 주체의 동의 없이 개인정보를 처리할 수 있도록 허용하고 있다. 누구든 약간의 기술적 조치만 취하면 정보 주체의 허락 없이 타인의 개인정보를 마음대로 사용할 수 있게 하겠다는 것이다.

정부, 여당은 '가명화'라는 형태로 개인을 알아볼 수 없게 한 정보에 한정된 것이고, '가명 정보'를 활용하여 개인을 식별하는 행위를 한 경우 무거운 과징금을 부과하도록 하였기에 우려할 필요는 없다고 한다. 하지만 이는 빅데이터 시대의 데이터 특성을 몰라도 너무 모르고 하는 소리다.

확률의 문제일 뿐 가명정보를 활용하여 개인을 재식별 하는 것은 불가능하지 않다. 이른 바 빅데이터 시대인 지금은 한 개인에 대한 개별적인 정보를 대량으로 포함하고 있는 데이터 집합을 사용하여 개인을 식별하는 것은 더욱 쉬워졌다. 데이터 양이 많아지면 많아질수록 가명정보를 활용한 개인 식별은 쉬워진다. 미국 국립보건원이 자신들이 가지고 있던 연구 데이터들을 가명화한 이후 온라인에서 누구나 다운 받을 수 있게 했다가 곧바로 철회한 이유도 이러한 이유 때문이었다.

과징금 등의 처벌 강화 조치는 사후약방문일 뿐 개인정보 재식별과 유출을 막기 위한 원천적 예방책은 아니다. 해커나 데이터 기업들이 벌금이나 과징금이 무서워 법 위반 행위를 하지 않을 것이라는 생각은 너무 순진하다. 이들은 발각될 가능성이 적기도 하지만, 발각되어 벌금이나 과징금을 내더라도 그게 더 이익이기 때문에 개인정보를 도둑질하고 유출하고 활용한다.

이러한 상황에서 정보 주체의 권리 제약이 정당화되려면, 이것이 합당한 공공 이익 목적을 위한 것이고, 동일한 목표에 도달하기 위해 활용할 수 있는, 상대적으로 침해나 제한의 성격이 약한 다른 수단이 존재하지 않는다는 것을 정부, 여당이 설득력 있게 입증해야 한다. 하지만 기업과 정부가 주창하는 '데이터 산업 발전'은 공공의 이익을 위한 것이라 보기 힘들다. 정보 주체의 정보인권을 존중하면서 데이터 산업을 발전시킬 다른 수단이 없는 것도 아니다. 데이터 산업을 발전시키기 위해 정보 주체의 동의 없이도 개인정보를 활용할 수 있도록 하는 것은 명백히 정보인권 침해이며 윤리적으로 정당화되기 힘들다.

정부, 여당의 개인정보 보호법은 인권 보장 측면뿐 아니라 윤리적으로도 큰 문제를 가지고 있다. 특히 크나큰 오욕의 역사를 가지고 있는 생명, 의학 연구 영역에서 발전해 온 생명/의학 연구 윤리의 원칙과 이 법은 정면으로 배치된다. 생명/의학 연구 윤리의 원칙 중 가장 중요한 것 중 하나는 '충분한 정보에 근거한 자발적 동의(Informed consent)'이다. 한국의 생명윤리법 제3조 제2항에서는 이를 "연구 대상자등의 자율성은 존중되어야 하며, 연구대상자등의 자발적인 동의는 충분한 정보에 근거하여야 한다"고 명시하고 있다. 이는 개인이 자신의 개인정보 및 생물학적 물질 사용에 대한 통제권을 행사할 수 있는 권리를 포함한다.

과학적 연구 참여에 대한 개인의 동의는 연구 수행 기관에 대한 신뢰를 기반으로 하는 경우가 많다. 그러므로 누가 동의 없이 내 개인정보를 사용하는가도 매우 중요한 고려사항이다. 민간보험회사가 연구 목적이라고 하더라도 내 의료 정보, 건강 정보를 동의 없이 사용한다고 하는데 별 문제 없다고 생각하는 이들이 얼마나 될까. 데이터 기업이 연구 목적으로 내 정치적 입장, 종교, 성적 취향 등에 대한 개인정보를 수집하여 분석한다고 하면 다수가 이를 불편하게 여기지 않겠는가. 그런데 개정안이 통과되면 내 동의 없이도 기업이 내 민감 정보를 활용할 수 있게 된다.

상업적 연구가 아니라 과학적 발전을 위한 연구로 한정하여 법을 적용한다고 해도 문제는 남는다. 아무리 과학적 발전을 위한 연구라 하더라도 한 개인은 자신의 윤리적 신념에 반하는 연구에 참여를 거부할 권리가 있다. 예를 들어 자신의 가족과 미래 세대에 대한 프로파일링을 위한 유전체 연구, 인종차별의 근거가 될 가능성도 존재하는 유전체 연구, 특정 집단을 차별하고 배제하는 근거로 악용될 수도 있는 건강 연구, 유전적 특질을 이용한 생물학적 무기 개발에 이용될 수도 있는 연구 등에 자신의 개인 건강정보, 유전정보가 동의 없이 사용되기를 원하지 않는 이들이 다수이다. 빅데이터를 활용한 연구는 그 최종 결과가 무엇이 될지 연구자조차 예상하기 힘든 경우도 있다. 최악의 경우 정보 주체의 동의 없이 활용한 그 개인정보로 인해 정보 주체에게 해가 되는 연구 결과가 도출될 수도 있다. 내 동의 없이 사용한 내 개인정보로 인해 내가 불이익을 받아야 하는 부조리한 상황이 벌어질 수도 있는 것이다.

정보 주체의 프라이버시를 침해할 가능성이 있을 뿐 아니라 연구 대상자의 자율성을 해칠 가능성이 있는 정부, 여당의 개인정보 보호법 해당 조항은 절대 원안대로 통과되어서는 안 된다. 데이터 산업 육성이라는 명목으로 기업이 정보 주체의 동의 없이 개인정보를 활용할 수 있도록 하는 것에 신중해야 한다. 공공적 목적에 부합하는 용도에 국한하여 매우 제한적으로 가능하도록 규제의 틀을 만들어야 한다. 더디게 가더라도 국민적 합의와 신뢰를 바탕으로 관련 정책을 추진하는 것이 데이터 산업 발전에도 더 좋다.

참여사회연구소는 2011년 10월 13일부터 '시민정치시평'이란 제목으로 <프레시안> 에 칼럼을 연재하고 있습니다. 참여사회연구소는 1996년 "시민사회 현장이 우리의 연구실입니다"라는 기치를 내걸고 출범한 참여연대 부설 연구소입니다. 지난 19년 동안 참여민주사회의 비전과 모델, 전략을 진지하게 모색해 온 참여사회연구소는 한국 사회의 현안과 쟁점을 다룬 칼럼을 통해 보다 많은 시민들과 만나고자 합니다. 참여사회연구소의 시민정치는 우리가 속한 공동체에 주체적으로 참여하고, 책임지는 정치를 말합니다. 시민정치가 이루어지는 곳은 우리 삶의 결이 담긴 모든 곳이며, 공동체의 운명에 관한 진지한 숙의와 실천이 이루어지는 모든 곳입니다. '시민정치시평'은 그 모든 곳에서 울려 퍼지는 혹은 솟아 움트는 목소리를 담아 소통하고 공론을 하는 마당이 될 것입니다. 많은 독자들의 성원을 기대합니다. 같은 내용이 프레시안에도 게시됩니다. 목록 바로가기(http://www.pressian.com/news/review_list_all.html?rvw_no=1661" rel="nofollow">클릭)

 

* 본 내용은 참여연대나 참여사회연구소의 입장과 다를 수 있습니다.