참여연대, 금융위에 금융분야 빅데이터 인프라 구축 현황에 대해 질의서 발송

6월 시행된 일반신용DB 서비스의  개인정보보호법 및 신용정보보호법 위반 여부, 금융빅데이터인프라구축에서 신용정보주체 보호 대책 등에 대해 질의해

참여연대 정보인권사업단(소장 한상희 교수, 건국대법학전문대학원)은 오늘(10월 3일) 금융위원회(위원장 은성수)에 금융분야 빅데이터 인프라 구축 현황과 관련한 질의서를 발송했다.

지난 6월 4일부터  종합신용정보 집중기관인 신용정보원이 보유한 4000만명의 5%에 해당하는 200만명의 차주, 대출, 연체 및 카드개설 정보 등과 같은 금융빅데이터의 일반신용DB가 일반 기업 등에 개방되었다. 이는 지난 2015년부터 본격 논의되기 시작한 금융분야 빅데이터 활성화 정책이 구체화된 금융 빅데이터 개방시스템의 주요 서비스 중 하나이다. 금융위는 보도자료를 통해 앞으로 기업신용DB, 보험신용 DB 서비스도 하반기나 내년 초 등 순차적으로 이어나갈 것이라고 밝힌 바 있다.

그러나 이와 같은 금융위원회의 금융 빅데이터 인프라 구축은 법적 근거가 없다. 신용정보보호와 이용에 관한 법률에는 신용정보 수집은 정보주체의 동의를 받아야 하고, 제3자에게 수집, 처리 등을 위탁할 경우에도 정보주체의 동의를 받아야 한다.

또한  신용정보의 안전한 활용을 표방하고 있지만 금융소비자 권리보호에 관한 내용은 보이지 않는다. 무엇보다 4,000만 명의 신용정보를 보유하고 있는 신용정보 집중기관인 한국신용정보원이 중개역할을 하면서 보험사, 금융사 등 민간기업에 데이터를 활용하도록 서비스한다는 것은 신용정보원이 설립된 당시 배경을 몰각한 처사다. 2014년 롯데카드, 국민카드, 농협카드의 고객정보 대량 유출사고로 카드사의 정보관리행태에 대한 사회적 공분이 커지자 당시 전국은행연합회 등 6개 기관에서 관리하여 보안 등이 부실하던 신용정보를 체계적이고 안전하게 관리하겠다는 취지로 설립되었다.

이 같은 배경과 취지에서 설립된 한국신용정보원이 개인의 특성(소비,투자행태, 위험성향 등)을 나타내는 금융데이터를 비록 비식별처리한다고는 하나 상업적 목적을 위해 기업 등에 제공할 수 있는지는 의문이다. 비식별조치는 안전조치의 하나이지 비식별조치했다고 해서 개인정보보호법의 보호를 받지 않는 것은 아니기 때문이다. 특히 지난 2017년 4월에 발표된  <개인정보 비식별 자료 생성·유통의 현장 적용을 위한 실증 최종 보고서(미래창조과학부가 보고서 용역 의뢰함)>에 따르면  비식별조치한 신용도와 관련된 전체 기록 791만 천 여건 가운데 숫자로 된 민감정보로 대조를 했더니 765만 6천여 건의 개인이 식별될 수 있는 것으로 드러났다. 그렇다면 이러한 비식별조치 데이터들도 목적제한적이어야 하고 제3자 제공시 동의가 필수이다. 이에 참여연대는 금융소비자의 가장 핵심적인 개인정보를 안전하게 관리하고 보호하여야 할 금융위원회가 추진하는 금융빅데이터 인프라 구축 등이 어떤 법적 근거에 따라, 어떻게 준비하고 있는지에 대해 질의하게 되었다.

참여연대는 질의서에서, ▶ 박근혜 정부 때 추진하던 금융빅데이터 활용 정책과 현정부의 금융빅데이터 활용 정책은 차이가 있는지, 있다면 무엇인지 밝혀 줄 것,▶금융빅데이터 인프라 구축방안의 소비자 신용정보 보호방안이 보이지 않는데 준비 중인 것이 있는지 있다면 밝혀 줄것, ▶ 비식별조치가이드라인에 따른 비식별조치라고 하더라도 개인정보보호법의 적용을 받는 개인정보이므로 이와 같이 원래 금융거래 등의 목적으로 수집한 차주, 연체, 대출 및 카드개설정보 등 일반신용DB를 서비스하기 위해 정보주체로부터 동의를 받았는지 여부,  ▶금융빅데이터 인프라 구축 방에서 금융소비자 보호 대책은 무엇인지 등을 밝혀 줄 것을 요구했다.

금융데이터는 개인의 소비특성, 투자행태, 소득규모 등을 파악할 수 있는 고도의 사적인 정보이다. 따라서 엄격한 법의 보호가 필요하고 목적제한적, 최소수집원칙 등 개인정보보호 원칙이 지켜져야 할 것이다. 그러나 금융분야 빅데이터 개방 정책 등은 금융 산업 활성화를 명분으로 추진되고 있을 뿐 빅데이터 활용으로 위협받게 될 시민의 개인정보 자기결정권 보호에 대해서는 무관심하다. 개인정보에 대한 안전망없이 현정부가 추진하고 있는 금융분야 빅데이터 인프라 구축때문에  적지 않은 국민들과 전문가들은 지난 2014년에 발생한 1억건에 이르는 금융개인정보의 유출사건이 되풀이 될 수 있다고 우려한다. 더 늦기 전에 금융정보 안전 대책을 마련해야 하는 것은 물론이고 정보주체 없이 제공되는 일반 신용DB 서비스 등 현행 개인정보보호법, 신용보호법 위반 행위는 즉각 중단되어야 할 것이다. 끝. 

▣ 붙임 : 질의서 

금융위원회의 금융빅데이터 인프라 구축 관련 질의서

금융위원회의 빅데이터 활성화 정책

금융빅데이터 활성화 방안은 금융위원회가 지난 2015년부터 본격적으로 논의를 시작한 것으로 알려지고 있습니다.

• 2015년 6월 3일 : 외국은 모든 업권에서 빅데이터가 새로운 방법으로 다양하게 활용되는 반면, 우리나라의 경우 빅데이터 활용이 한정되어 있다고 진단하면서 빅데이터활성화 방안을 추진하겠다는 보도자료를 발표함


• 2016년 5월 25일  한국신용정보원 보유 중인 전 업권의 신용정보를 빅데이터 분석에 활용하여 금융업계 및 핀테크회사 등을 지원하기 위한 기본계획을 마련하고 발표


• 2016년 6월 30일 행정자치부, 방송통신위원회, 금융위원회 등 6개 부처 공동으로  “개인정보 비식별 조치 가이드라인”을 발간함(이상 박근혜 정부)


• 2017년 12월 11일 정부, 각계 전문가, 유관기관 등으로  <빅데이터 활성화를 위한 금융분야 TF> 구성, 빅데이터 활성화를 위한 금융분야 추진방안 논의


• 2018년 3월 19일 금융분야 데이터활용 및 정보보호 종합방안’을 발표


• 2019년 6월 3일 금융위원회는 금융분야 빅데이터 인프라 구축방안 발표.

이후 금융위원회는 신용정보법령 개정, 빅데이터 활성 인프라 구축,  비식별화 조치를 마련하는 등 관련 정책을 추진하여 왔습니다.  금융위원회는 2016년 8월 31일 한국신용정보원을 금융분야 개인정보 비식별 전문기관으로 지정하여 금융기관, 일반기업 등이 보유한 데이터 정보집합물 결합 지원, 비식별 조치 적정성 평가 등의 지원을 하기에 이르렀습니다. 그런데 당시 비식별조치는 법률적 근거가 미비하다는 지적이 있었습니다. 또한 신용정보법 시행령을 개정하여 전국은행연합회, 생명·손해보험협회, 여신협회 등의 신용정보집중기관을 종합신용정보집중기관으로 통합하고 금융권, 핀테크 기업 등의 빅데이터 업무 활용을 지원하는 역할을 맡기는 것은 법률의 위임 범위를 벗어난다는 지적도 있었습니다.  

이후 문재인정부가 들어선 후 임명된 최종구 위원장은  2017년 12월 11일 정부, 각계 전문가, 유관기관 등으로  <빅데이터 활성화를 위한 금융분야 TF>를 구성하고 빅데이터 활성화를 위한 금융분야 추진방안을 논의하기 시작, 2018년 3월 19일 금융분야 데이터활용 및 정보보호 종합방안’을 발표하였습니다. 그리고 올해 2019년 6월 3일 금융위원회는 금융분야 빅데이터 인프라 구축방안을 발표하고  일반신용DB서비스 등 금융빅데이터 개방을 시작하였습니다. 또한 올해 말까지 데이터 거래소를 오픈, 시범서비스 실시 및 2020년 상반기부터는 서비스를 본격 실시하겠다는 계획을 밝혔습니다. 

그런데, 문재인 대통령은 대통령후보시절  “개인정보 보호 체계 효율화, 개인정보보호위원회의 위상 강화”를 공약으로 발표하였고, 2017년 8월에 발표한 100대 국정과제로 (개인정보 보호 강화) ’18년부터 개인정보 보호 거버넌스 강화 및 개인정보 보호 체계 효율화, 무분별한 개인정보 이용에 대한 제재 강화’를 표방한 바도 있습니다.이와 같은 정책과제 선정은, 이전 정부의 무분별한 개인정보 활용 정책이 충분한 사회적 합의 과정 없이 일방적으로 추진된 데 대한 성찰과 민주적 의사결정 과정을 거쳐야 한다는 시민사회의 요구를 반영한 것으로 보입니다.

잘 아시다시피 박근혜 정부가 추진하였던 빅데이터 활용정책과 그 일환으로 제시된 비식별화조치가이드라인은 법적 근거가 명확하지 않는 등 개인정보보호법을 위반한다는 지적이 끊이지 않았습니다. 특히 2017년 국정감사에서는  비식별조치가인드라인에 따라 20개 기업과 4개 공공기관이 보유한 고객정보를 무단결합, 제공한 사실이 밝혀져 이들 기업들과 공공기관이 개인정보보호법 위반 혐의로 시민단체들이 고발하기도 했습니다.

질의1)대체로 새로운 정부가 들어서면 그 표방하는 국정 철학에 따라 정책도 달라지는 것이 일반적일 것입니다. 더욱이 이전 정부의 잘못으로 밝혀진 정책의 경우, 새로운 정부는 그 정책을 폐기하는 것이 상식적일 것입니다. 사정이 이러한데 금융위원회는 전술한 바와 같이  이전 박근혜 정부 시기 추진하던 금융빅데이터 활용 정책을 그대로 이어서 진행하고 있는 것으로 보입니다.  이전 정부의 빅데이터 활용 정책은 명확한 법적 근거도 없이 진행되어 개인정보보호법을 위반하였다는 지적이 끊이지 않았는데, 지금 추진하고 있는 금융위원회의 금융분야 빅데이터 활성화 정책들의 근거 법률은 구체적으로 무엇입니까? 또한 이전 박근혜 정부가 추진하던 금융분야 빅데이터 활성화 정책과 차이점이 있는지, 있다면 무엇인지 밝혀 주십시오.

질의2)또한 금융위원회는 「신용정보보호와 이용에 관한 법률」과 「금융위원회의 설치 등에 관한 법률」 등에 따라 금융소비자의 보호에 관한 방안도 모색해야 하는데, 빅데이터 활성화 방안과 함께 금융소비자의 보호를 위한 어떤 대책을 수립하고 추진하고 있는지도 밝혀주시기 바랍니다.

질의 3) 위에서 지적한대로 신용정보 집중기관에 대한 공적 통제를 제고하겠다는 취지로 2015년 신용정보법이 개정되었으나, 금융위가  시행령을 개정하여 종합신용정보집중기관을 신설하고 빅데이터 활용 업무를 지원하는 역할을 맡기는 것은 당시 법개정 취지를 무력화시키는 것이라는 지적이 있었습니다.  이에 대한 지적은 여전히 유효하다고 보는데 이에 대해 금융위원회는 어떤 입장을 갖고 있습니까?

금융위원회의 금융 빅데이터 인프라 구축현황

지난 6월 3일 발표한 <금융 빅데이터 인프라 구축 방안>에 따르면, 금융위원회는 한국신용정보원을 데이터 전문기관으로 지정하고 데이터결합, 적정성평가 등의 업무를 수행하도록 하겠다고 밝혔으며, 6월 4일부터 일반신용DB서비스를 개시한다고 설명하였습니다. 이어 올 하반기 중 보험신용DB, 기업신용DB 서비스도 오픈하겠다고 하였습니다.

안전하게 비식별조치를 한 DB로 일반 기업 등 필요한 기관이 언제든 활용할 수 있도록 하자는 것입니다. 그러나 2017년 4월 발표된  <개인정보 비식별 자료 생성·유통의 현장 적용을 위한 실증 최종 보고서(미래창조과학부가 보고서 용역 의뢰함)>에 따르면 , 비식별조치한 신용도와 관련된 전체 기록 791만 천 여건 가운데 숫자로 된 민감정보로 대조를 했더니 765만 6천여 건의 개인이 식별될 수 있는 것으로 드러났습니다(2018.9.15.MBC 뉴스데스크 보도). 민감정보의 경우는 정보를 결합했을 경우 99% 정도까지 식별이 가능한 것으로 나타났습니다. 따라서 비식별조치라 했다고 하더라도 다른 정보들과 결합했을 때 개인식별이 가능하다면, 신용정보법 제15조, 17조, 개인정보보호법 제17조에 따라 목적 외 이용 및 제3자 제공시 정보주체의 동의를 받아야 할 것입니다. 

질의 4) 금융위원회의 지난 6월 3일 보도자료에 따르면 일반신용DB 서비스 개시 이후 하반기 중 보험신용DB 서비스를 시작한다고 하였습니다. 2019년 10월 현재 어느 단계까지 추진 중인지 밝혀 주시기 바랍니다.

질의 5) 이와 같은 다양한 신용DB서비스를 개시할 수 있는 법적 근거는 무엇인지 밝혀 주시기 바랍니다. 개인신용정보 표본DB는 전체 신용활동 인구의 5%인 약 200만명을 무작위 추출하여 차주, 연체, 대출 및 카드개설정보 등의 정보로 구성됩니다. 프라이버시 보호를 위한 비식별조치(데이터 범주화, 총계처리, 데이터삭제, 저빈도값보정 등)를 취했다고는 하나 원래 수집 목적이 아닌 금융서비스 개발 등에 이용하고자 하는 기업에 제공하는 것이라면 목적외 이용 및 제3자 제공이라고 할 수 있습니다. 그렇다면 현행 개인정보보호법에 따라 정보주체에게 이와 같은 목적 외 이용에 대해 동의를 받았는지 여부와  동의를 받지 않고 영리사업자인 제3자 제공과 목적 외 이용을 하는 법적 근거가 무엇인지를 구체적으로  밝혀 주시기 바랍니다.

한국신용정보원은 「신용정보의 이용 및 보호에 관한 법률」 제25조(신용정보집중기관)에 따라 설립된 종합신용정보집중기관으로서 신용정보의 집중관리 및 활용 등의 업무수행을 통하여 신용정보 및 신용정보주체를 보호하는 역할을 위해 설립되었음을 홈페이지 등을 통해 밝히고 있습니다.

신용정보원의 업무는 「신용정보의 이용 및 보호에 관한 법률 시행령」 제21조의2(종합신용정보집중기관의 업무)1항의 1호 “집중관리하는 신용정보를 활용하여 통계작성 및 학술연구 등의 목적을 위하여 특정 신용정보주체를 식별할 수 없는 형태로 제공하는 업무”을 포함합니다. 이 조항에 따르면, 신용정보는 “통계작성 및 학술연구 등의 목적을 위해 개인을 식별하지 못하는 형태로 제공”하여야 합니다. 

질의 6) 이 법률 등에 따르면, 신용정보원은 보유하고 있는 개인신용정보를  “ 통계작성 및 학술연구 등의 목적”으로 비식별처리하여 제공할 수 있습니다. 그런데  6월 4일부터 오픈한 일반신용DB는 신용정보원이 보유한 4,000만건의 신용정보 중 5%에 해당하는 표본을 추출하여 비식별조치를 한 후 기업 등이 활용할 수 있게 서비스하고 있습니다.이는 개인정보보호법 제2조 1항에 따라 개인정보이며 따라서 수집 목적외 이용 및 제3자 제공을 위해서는 정보주체에게 동의를 받아야 하는 법위반이 아닌지 의견을 밝혀 주십시오.

또한 하반기 중 서비스를 시작할 것이라고 밝힌 보험신용DB 역시 근거 규정이 있는지, 있다면 무엇인지 밝혀 주십시오.

개인정보보호법 제15조, 17조, 18조 및 신용정보보호법 제15조, 17조 에 따르면, 수집 목적 외 이용 및 제3자 제공을 위해서는 정보주체의 동의를 받아야 합니다.

질의 7) 올 6월 4일부터 시작한 일반신용DB 서비스는 이용 신청을 하면 비식별정보제공 심의원회를 통한 심사를 거쳐 서비스를 제공하는 것이라고 밝히고 있습니다.(2019.6.3.금융분야데이터활용 및 정보보호종합방안 세부추진방안④). 지금까지 이 프로세스에 의해 제공된 서비스는 어떤 것인지 밝혀 주십시오. 또한 심사를 하는 비식별정보제공 심의위원회의 법적 근거, 위원회 명단, 운영규정에 대해 밝혀 주십시오.

질의 8) 금융위의 6월 3일 보도자료(금융분야 데이터활용 및 정보보호 종합방안 세부추진 방안4의 7페이지)에는 미국은 2,500개 이상의 데이터 중개상이 FTC규정 등에 따라 민간 공공부문의 데이터를 수집 결합하여 수요자에게 판매한다고 예시를 들었습니다.그러나 미국은 ECOA(Equal Credit Opportunity Act),FCRA(Fair Credit Report Act) 등에 따라 신용정보의 사용을 엄격히 제한하고 있습니다. 이에 따라 사전 통지의무, 사후 통지 의무도 부과받고 있습니다. 이는 금융위의 보도자료의 내용에 빠져 있습니다. 6월 3일자 보도자료 등을 통해 발표한 미국에서는 민간・공공부문의 데이터 수집 결합 후 판매할 수 있도록 한다고 예시하였는데 어떤 내용인지 그리고 그 근거는 정확히 무엇인지 구체적인 내용을 밝혀 주시기 바랍니다. 

보도자료 https://docs.google.com/document/d/1T0hqkjsqypcjKoDQdgEN2gRTGrbnLuKyXRFy... rel="nofollow">원문보기/다운로드

노동시민사회 공동 긴급 여론조사 결과, 국민 80.3% 가명정보 동의 없이 기업간 제공 반대

국민 81.9%, 개인정보보호법 개정 추진 사실 자체를 몰라

의료·건강 등 민감정보 가명처리후 비동의 수집·활용 70.5% 반대

경제발전 명분 정보인권 포기 불가 66.7%, 2030세대는 77%

시민사회단체가 의뢰해 실시한 긴급 여론조사 결과 국민의 다섯 중 넷 이상이(81.9%) 개인정보보호법 개정이 추진되고 있다는 사실 자체를 잘 모르고 있는 것으로 나타났습니다. 알고 있다고 응답한 응답자는 18.1%에 불과했습니다. 오늘(11/13) 무상의료운동본부, 민주노총, 민주사회를위한변호사모임디지털정보위원회,진보네트워크센터, 참여연대 등 노동·의료·시민단체가 11월 14일 개인정보보호법안의 국회 행안위 법안심사소위 심사를 앞두고 지난 10일 긴급 실시한 여론조사 결과를 발표했습니다.  

이번 여론조사는 문재인 정부가 혁신경제를 내세우며 개인정보보호법안 등http://www.peoplepower21.org/PublicLaw/1663821" rel="nofollow"> 데이터3법(개인정보보호법, 정보통신망이용촉진및정보보호에관한법률, 신용정보보호법)의 개정을 적극 추진하면서도 국민일반의 여론을 살피고 동의를 구하는 과정을 거치지 않았다는 지적을 해 온 노동·의료·시민단체가 직접 국민일반의 개인정보보호법 개정에 대한 여론을 확인하기 위해 실시했습니다.

여론조사 결과, 포털, 통신 보험 등 기업들이 고객 정보를 제대로 보호하고 있지 않다고 답한 응답자가 전체의 59.4%로 불신이 상당함을 보여주었습니다. 또한, 데이터3법에서 가장 문제로 지적되고 있는 가명정보의 활용에 대해서도 절대다수(80.3%)가 동의없이 수집,이용하는 데 반대했습니다. 특히 질병정보, 의료정보를 포함한 민감정보를 가명처리해 동의없이 수집,이용하는 것에도 70.5%가 반대했습니다. 뿐만 아니라, 데이터산업과 경제발전을 위해 개인정보보호와 관련된 권리 일부라도 포기할 수 있느냐는 질문에는 66%가 넘는 응답자가 불가능하다고 응답했습니다. 20,30대 응답자의 77% 이상이 불가능하다고 답하는 등 특히 20,30대 응답자의 부정적 응답비율이 평균보다 월등히 높았습니다. 

개인정보보호법은 국가 개인정보보호의 기본 원칙을 제시하기 위해 지난 2011년 이명박 정부하에서 어렵게 제정된 이후 카드3사 고객정보대량 유출 사고 등 개인정보유출사고가 발생할 때마다 조금씩 보완하면서 현재에 이르게 되었습니다. 개인정보보호법도 시대에 맞게 개선되어야 한다는 데는 이견이 없습니다. 그러나 충분한 사회적 합의과정 없이 데이터 산업 육성에만 방점을 찍는 데이터3법이 통과된다면 이후 감당해야 할 사회적 비용과 혼란, 불신은 상상하기 어렵습니다.

현재 국회에서 심사 중인 데이터3법은 개인정보보호법 체계의 기본 틀을 바꾸는 중차대한 사안임에도 개정안 마련을 사실상 주도한 정부는 공청회 등 국민여론을 수렴하는 절차를 거치지 않았습니다. 정부는 물론 더불어민주당을 비롯한 여야 정당들은 데이터 3법의 국회 처리를 중단하고, 사회적 논의를 다시 시작해야 합니다.

▶ https://drive.google.com/file/d/1fWcscSG1SqXoGGn2hsrwpXOYLc0Q90wP/view?u... rel="nofollow">여론조사 결과보고서 보기(pdf)

▶ https://infogram.com/3-1h0n25vjwydz6pe?live" rel="nofollow">주요 결과 요약 보기(인포그래픽)

※ 이번 조사는 여론조사전문기관인 서든포스트_(주)포스트데이터에 의뢰해 전국에 거주하는 만 19세 이상 성인 남녀를 대상으로 유·무선 RDD (무작위 임의걸기) 방식에 의한 ARS 여론조사(유선 20%, 무선 80%)로 진행되었다. 인구비례에 따른 성·연령·지역별 할당 무작위 추출방식으로 1,000명의 표본을 추출, 성·연령·지역별 가중값 부여방식으로 오차를 보정했으며, 가중방법은 림가중, 신뢰수준 95%에서 최대허용오차 ±3.10%point, 응답률은 4.4%, 조사시간은 2019년 11월 10일(일) 하루이다.

기업이 내 동의 없이 내 정보를 가져다 쓴다?

데이터 3법, 위험하다

이상윤 연구공동체 건강과대안 책임 연구위원

문재인 대통령이 지난 10월 28일 "데이터 3법이 연내에 통과되도록 국회와 적극 협력하겠다"고 말하자 더불어민주당이 10월 30일 "데이터 3법(개인정보보호법, 신용정보법, 정보통신망법)'을 이번 정기국회에서 통과할 수 있도록 하겠다"고 밝혔다. 정부와 민주당이 말하는 법 개정의 이유는 '데이터 산업 발전'이다.

하지만 데이터는 데이터 저장장치에 존재하는 단순한 정보 묶음이 아니다. 이는 현실 세계에서 살아가는 개인들에 대한 정보이고 이들이 살면서 만들어 낸 삶의 이력 그 자체이다. 개인정보는 경제발전을 위한다는 명목으로 국가에 의해 동원될 수 있는 자원도 아니고 연료도 아니다. 이는 개인의 삶의 궤적이며, 역사이고, 존엄성 그 자체이다. 개인정보에 대한 권리는 정보 주체에게 있고, 개인정보를 활용하고 싶은 이들이 있다면 그게 누구이든 정보 주체의 동의를 받아야 한다.

정부와 민주당이 추진하는 '데이터 3법' 개정 중 특히 문제가 되는 것은 개인정보 보호법 개정안에 담긴 '가명정보'의 경우 정보 주체의 동의 없이도 개인정보를 활용할 수 있도록 한 조항이다. 개정안은 통계작성, 과학적 연구, 공익적 기록보존 등으로 그 목적을 한정하긴 하였으나, 통계, 과학적 연구를 매우 폭넓게 정의함으로써 사실상 기업, 개인의 사익 추구를 위한 통계, 연구도 정보 주체의 동의 없이 개인정보를 처리할 수 있도록 허용하고 있다. 누구든 약간의 기술적 조치만 취하면 정보 주체의 허락 없이 타인의 개인정보를 마음대로 사용할 수 있게 하겠다는 것이다.

정부, 여당은 '가명화'라는 형태로 개인을 알아볼 수 없게 한 정보에 한정된 것이고, '가명 정보'를 활용하여 개인을 식별하는 행위를 한 경우 무거운 과징금을 부과하도록 하였기에 우려할 필요는 없다고 한다. 하지만 이는 빅데이터 시대의 데이터 특성을 몰라도 너무 모르고 하는 소리다.

확률의 문제일 뿐 가명정보를 활용하여 개인을 재식별 하는 것은 불가능하지 않다. 이른 바 빅데이터 시대인 지금은 한 개인에 대한 개별적인 정보를 대량으로 포함하고 있는 데이터 집합을 사용하여 개인을 식별하는 것은 더욱 쉬워졌다. 데이터 양이 많아지면 많아질수록 가명정보를 활용한 개인 식별은 쉬워진다. 미국 국립보건원이 자신들이 가지고 있던 연구 데이터들을 가명화한 이후 온라인에서 누구나 다운 받을 수 있게 했다가 곧바로 철회한 이유도 이러한 이유 때문이었다.

과징금 등의 처벌 강화 조치는 사후약방문일 뿐 개인정보 재식별과 유출을 막기 위한 원천적 예방책은 아니다. 해커나 데이터 기업들이 벌금이나 과징금이 무서워 법 위반 행위를 하지 않을 것이라는 생각은 너무 순진하다. 이들은 발각될 가능성이 적기도 하지만, 발각되어 벌금이나 과징금을 내더라도 그게 더 이익이기 때문에 개인정보를 도둑질하고 유출하고 활용한다.

이러한 상황에서 정보 주체의 권리 제약이 정당화되려면, 이것이 합당한 공공 이익 목적을 위한 것이고, 동일한 목표에 도달하기 위해 활용할 수 있는, 상대적으로 침해나 제한의 성격이 약한 다른 수단이 존재하지 않는다는 것을 정부, 여당이 설득력 있게 입증해야 한다. 하지만 기업과 정부가 주창하는 '데이터 산업 발전'은 공공의 이익을 위한 것이라 보기 힘들다. 정보 주체의 정보인권을 존중하면서 데이터 산업을 발전시킬 다른 수단이 없는 것도 아니다. 데이터 산업을 발전시키기 위해 정보 주체의 동의 없이도 개인정보를 활용할 수 있도록 하는 것은 명백히 정보인권 침해이며 윤리적으로 정당화되기 힘들다.

정부, 여당의 개인정보 보호법은 인권 보장 측면뿐 아니라 윤리적으로도 큰 문제를 가지고 있다. 특히 크나큰 오욕의 역사를 가지고 있는 생명, 의학 연구 영역에서 발전해 온 생명/의학 연구 윤리의 원칙과 이 법은 정면으로 배치된다. 생명/의학 연구 윤리의 원칙 중 가장 중요한 것 중 하나는 '충분한 정보에 근거한 자발적 동의(Informed consent)'이다. 한국의 생명윤리법 제3조 제2항에서는 이를 "연구 대상자등의 자율성은 존중되어야 하며, 연구대상자등의 자발적인 동의는 충분한 정보에 근거하여야 한다"고 명시하고 있다. 이는 개인이 자신의 개인정보 및 생물학적 물질 사용에 대한 통제권을 행사할 수 있는 권리를 포함한다.

과학적 연구 참여에 대한 개인의 동의는 연구 수행 기관에 대한 신뢰를 기반으로 하는 경우가 많다. 그러므로 누가 동의 없이 내 개인정보를 사용하는가도 매우 중요한 고려사항이다. 민간보험회사가 연구 목적이라고 하더라도 내 의료 정보, 건강 정보를 동의 없이 사용한다고 하는데 별 문제 없다고 생각하는 이들이 얼마나 될까. 데이터 기업이 연구 목적으로 내 정치적 입장, 종교, 성적 취향 등에 대한 개인정보를 수집하여 분석한다고 하면 다수가 이를 불편하게 여기지 않겠는가. 그런데 개정안이 통과되면 내 동의 없이도 기업이 내 민감 정보를 활용할 수 있게 된다.

상업적 연구가 아니라 과학적 발전을 위한 연구로 한정하여 법을 적용한다고 해도 문제는 남는다. 아무리 과학적 발전을 위한 연구라 하더라도 한 개인은 자신의 윤리적 신념에 반하는 연구에 참여를 거부할 권리가 있다. 예를 들어 자신의 가족과 미래 세대에 대한 프로파일링을 위한 유전체 연구, 인종차별의 근거가 될 가능성도 존재하는 유전체 연구, 특정 집단을 차별하고 배제하는 근거로 악용될 수도 있는 건강 연구, 유전적 특질을 이용한 생물학적 무기 개발에 이용될 수도 있는 연구 등에 자신의 개인 건강정보, 유전정보가 동의 없이 사용되기를 원하지 않는 이들이 다수이다. 빅데이터를 활용한 연구는 그 최종 결과가 무엇이 될지 연구자조차 예상하기 힘든 경우도 있다. 최악의 경우 정보 주체의 동의 없이 활용한 그 개인정보로 인해 정보 주체에게 해가 되는 연구 결과가 도출될 수도 있다. 내 동의 없이 사용한 내 개인정보로 인해 내가 불이익을 받아야 하는 부조리한 상황이 벌어질 수도 있는 것이다.

정보 주체의 프라이버시를 침해할 가능성이 있을 뿐 아니라 연구 대상자의 자율성을 해칠 가능성이 있는 정부, 여당의 개인정보 보호법 해당 조항은 절대 원안대로 통과되어서는 안 된다. 데이터 산업 육성이라는 명목으로 기업이 정보 주체의 동의 없이 개인정보를 활용할 수 있도록 하는 것에 신중해야 한다. 공공적 목적에 부합하는 용도에 국한하여 매우 제한적으로 가능하도록 규제의 틀을 만들어야 한다. 더디게 가더라도 국민적 합의와 신뢰를 바탕으로 관련 정책을 추진하는 것이 데이터 산업 발전에도 더 좋다.

참여사회연구소는 2011년 10월 13일부터 '시민정치시평'이란 제목으로 <프레시안> 에 칼럼을 연재하고 있습니다. 참여사회연구소는 1996년 "시민사회 현장이 우리의 연구실입니다"라는 기치를 내걸고 출범한 참여연대 부설 연구소입니다. 지난 19년 동안 참여민주사회의 비전과 모델, 전략을 진지하게 모색해 온 참여사회연구소는 한국 사회의 현안과 쟁점을 다룬 칼럼을 통해 보다 많은 시민들과 만나고자 합니다. 참여사회연구소의 시민정치는 우리가 속한 공동체에 주체적으로 참여하고, 책임지는 정치를 말합니다. 시민정치가 이루어지는 곳은 우리 삶의 결이 담긴 모든 곳이며, 공동체의 운명에 관한 진지한 숙의와 실천이 이루어지는 모든 곳입니다. '시민정치시평'은 그 모든 곳에서 울려 퍼지는 혹은 솟아 움트는 목소리를 담아 소통하고 공론을 하는 마당이 될 것입니다. 많은 독자들의 성원을 기대합니다. 같은 내용이 프레시안에도 게시됩니다. 목록 바로가기(http://www.pressian.com/news/review_list_all.html?rvw_no=1661" rel="nofollow">클릭)

 

* 본 내용은 참여연대나 참여사회연구소의 입장과 다를 수 있습니다.

개인정보보호법 등 ‘데이터3법’ 재검토하라 

국민의 개인정보를 사고팔아 혁신경제 이루겠다는 과대망상

국회는 지금이라도 정보보호와 활용의 균형잡힌 대안 마련해야

오늘(11/29) 국회 법제사법위원회가 <개인정보보호법 개정안>, <신용정보법 개정안>을 아직 과학기술방송통신위원회 법안심사소위를 통과하지 못한 <정보통신망법 개정안>과 함께 처리하겠다며 법사위 전체회의에 계류시켜 본회의 처리가 유보되었다. 이른바 ‘데이터3법’으로 불리며, 4차산업혁명, 혁신경제를 위해 반드시 통과시켜야 할 비쟁점법안으로 집권여당인 더불어민주당과 자유한국당이 합의한 이들 법안들은 한마디로 정보인권을 포기하는 반헌법적 법안들이다. 오늘 법사위에서는 바른미래당 채이배 의원 등 몇몇 의원이 정보보호 방안도 함께 모색해야 한다며 통과 반대의견을 피력하는 등 재논의를 요구했다. 신용정보법 개정안도 정무위 논의과정에서 바른미래당 지상욱 의원의 정보인권에 대한 보완 요구로 일부 조항이 수정된 바 있다. 그동안 시민사회는 국민의 정보인권에 중차대한 변화를 야기할 법개악에 반대하며 사회적 논의를 충분히 거쳐야 한다고 요구해 왔다. 본회의 처리가 미뤄진 지금이라도 국민의 기본권 보호의 의무를 진 국회는 정보인권 보호를 위해 세 법안을 근본부터 재검토해야 한다.

누누히 지적해 왔지만 이들 법안들은 공히 가명처리만하면 국민의 개인정보를 국민 동의없이도 기업이 마음대로 사고, 팔고, 영구 보관할 수 있게 하는 법안이다. 가명정보라는 개념을 도입하여 국민의 가장 사적이고 민감한 의료정보, 질병정보에서부터 소비특성, 투자행태, 소득규모 등을 파악할 수 있는 신용정보, SNS등에 쓴 다양한 정보까지 거의 모든 정보를 기업의 돈벌이 수단으로 활용되는 길을 열어 주고 있다. 반면 정보주체는 동의권은 물론이고 정보열람권, 삭제요구권, 정보이전 및 개인정보유출에 대한 통지받을 권리 등을 인정받지도 못한다. 정보주체인 국민들은 기업이 어떻게 내 정보를 활용하고 판매하고 결합하는지, 또 어떤 사고가 있어 유출되고 악용되는지 알 수가 없다. 

기업들은 연일 법안 통과를 요구하고 호소하고 ‘협박’에 가까운 발언까지 쏟아내고 있다. 그러나 정작 정보의 주체인 국민들 절대 다수가 이들 법안이 논의되고 있다는 사실조차 모르고 있는데(http://www.peoplepower21.org/index.php?mid=PublicLaw&document_srl=166702... rel="nofollow">국민여론조사보도자료 2019.11. 14. 발표) 기업들의 요구를 그대로 수용한 법안을 사실상 발의한 정부와 국회의원들이 법제정 이후 야기될 사회적 혼란과 영향 등에 대해서 제대로 검토했는지 묻고 싶다. 실체도 불분명한 4차산업혁명과 기업의 이익을 위해 국민의 대의기관인 국회가 국민의 헌법적 권리를 포기하는 법안을 만드는 것은 참담한 일이다. 기업들은 데이터산업과 개인정보 거래로 이익을 얻을 수 있을지 모르지만, 무한대에 가까운 정보 집적, 활용에 따른 유출 위험과 이로 인한 맞춤형 보이스피싱 등 관련 범죄증가, 정보의 비대칭성으로 인한 기업의 차별적 마케팅과 서비스거절, 재식별 가능성 및 결합정보 유출로 인한 피해의 극대화, 표현의 자유 침해 등 그 피해와 부작용은 고스란히 국민이 감당해야 한다. 국회가 지금이라도 정보인권을 포기하는 반헌법적인 법안들을 근본부터 재검토하여 정보보호와 활용이 균형잡힌 대안을 만들 것을 강력하게 요구한다. 

원문http://bit.ly/37PBwli" rel="nofollow">보기/다운로드

범죄를 저지른 기업이 법의 처벌을 받아도 범죄행위로 얻은 수익이 제대로 환수되는 경우는 보기 힘듭니다. 지난 7월 25일에 최종 확정된 홈플러스 개인정보 불법 판매 사건도 그중의 하나입니다. 법원은 홈플러스측의 유죄를 확정하면서도, 이러한 불법행위로 생긴 수익 232억 원은 추징할 수 없다고 하였습니다. 이러한 판단의 법리적 근거와 문제점에 대해 강태리 변호사가 비평하였습니다.

씁쓸하지만, 승자는 홈플러스다

[광장에 나온 판결] 홈플러스 개인정보 판매 유죄 인정했으나 범죄수익 추징 못 한 판결

2018도13694

대법원 제2부 재판장 안철상 대법관, 주심 김상환 대법관 

http://www.peoplepower21.org/files/attach/images/37219/980/557/001/ab48e... style="width:96px;height:150px;" />

강태리 변호사(참여연대 공익법센터 운영위원)

 

2014년 7월 27일 MBC <시사매거진 2580>에서는 홈플러스의 경품 사기극을 보도하였다. 홈플러스는 경품행사에서 "홈플러스에서 다이아몬드가 내린다"는 문구로 홍보를 하였고, 1등 당첨자에게 7800만 원에 상당하는 드비어스 다이아몬드를 지급한다고 하였다.

하지만 2580팀이 확인한 결과, 드비어스 측은 그런 다이아몬드를 홈플러스에 판매한 적도 없고, 경품 1등 당첨자에게 이 다이아몬드가 지급되지도 않았다. 2580팀은 홈플러스가 경품응모권으로 모은 고객정보를 보험회사에 판매한 사실도 밝혀냈다. 홈플러스 사태의 서막이 오른 것이다.  

이후 국민들의 분노, 홈플러스 불매운동, 홈플러스 경영진 출국 금지, 홈플러스 본사 압수수색이 이어졌다. 수사 결과, 홈플러스의 경품행사는 애초에 보험회사에 팔 고객정보를 모으기 위하여 계획된 것임이 드러났다. 홈플러스는 경품행사에 응모한 고객정보가 보험회사에 제공된다는 내용을 응모권 뒷면에 글씨 크기 1mm로 적어서, 사실상 고객들이 자신의 정보가 보험회사에 판매된다는 사실을 모르게 하였다.

이렇게 홈플러스는 2011년 12월부터 2014년 7월까지 경품 행사를 진행하고 보험회사로부터 약 232억 원의 수익을 얻었다. 검찰은 홈플러스 법인, 홈플러스 임직원들과 보험회사 임직원들을 기소하였다.   

그 뒤로 4년 세월이 흘렀고, 그 사이에 5번의 법원 판결이 이어졌다. 1, 2심은 홈플러스가 1mm로 깨알 고지한 것이 적법하다며 무죄를 선고하였으나, 3심 대법원에서는 1, 2심 판단을 뒤집고 "응모권에 기재된 1mm의 글씨는 소비자의 입장에서 보아 그 내용을 읽기가 쉽지 않다"라고 하여 유죄의 취지로 파기 환송했다.

이후 파기환송심에서는 유죄를 선고하면서 232억 원의 판매 수익은 몰수∙추징할 수 없다고 판단하였고, 대법원이 2019년 7월 25일 자로 최종 확정했다. 

일반 상식에서는 도저히 납득 안 되는 판결

왜 법원은 232억 원 판매수익을 몰수∙추징할 수 없다고 판단한 것인가. 개인정보 보호법과 정보통신망법에서는 개인정보 불법 유통 등으로 인한 범죄 수익을 박탈하고자, "위반행위와 관련하여 취득한 금품이나 그 밖의 이익은 몰수할 수 있으며, 이를 몰수할 수 없을 때에는 그 가액을 추징할 수 있다"는 규정을 2015년과 2016년경 신설하였다.

하지만 홈플러스의 범죄행위는 위 규정 신설 전인 2011~2014년에 발생한 것이어서 위 규정을 적용하지 못하고, 형법 상 몰수∙추징이 가능한지 문제되었던 것이다. 결국 법원은, 형법 상 몰수는 '물건'(유체물)에 대해서만 가능하고 몰수가 어려우면 가액을 추징하게 돼 있는데, 개인정보를 형법 상 몰수할 수 있는 '물건'이 아니라고 보았다.

형법 상 몰수는 그 대상이 '물건'에 제한되어서 무형적인 이익은 몰수대상이 되지 못하므로, 오늘날 재산이 무체물화 되어가는 추세를 고려할 때 범죄수익 몰수에 있어서 극히 제한적인 기능밖에 수행할 수 없다. 몰수∙추징의 대상 범죄가 점점 더 전문화∙고도화되어 가면서 형법이 따라가지 못하는 것이다.

형법은 1953년에 제정되었고, 그 시대에 '개인정보' 같은 무형적 이익이 형사처벌과 연관될 것이라고 상상하기 어려웠을 것이다. 그 결과, 홈플러스의 행위는 위법이지만 그 행위로 취득한 232억 원의 수익금은 몰수(추징)할 수 없다는, 일반 상식에서는 도저히 납득 안 되는 판결이 나오는 것이다.

홈플러스 사태가 우리에게 남긴 것

2014년 <시사매거진 2580>의 보도부터 2019년 7월 대법원 최종 판결까지, 이 홈플러스 사태가 우리에게 남긴 것은 무엇인가. 

우선 우리는 우리의 개인정보가 이곳저곳에서 잘 팔리고 있음을 알게 되었다. 홈플러스가 매장에 진열된 물건만 파는 게 아니라 고객정보도 열심히 팔고 있었다는 사실을 알게 되었다. 그 와중에 1mm의 작은 글씨로 작성한 저의가 명백함에도 개인정보보호법상 의무를 지켰다고 주장하는 뻔뻔함도 보게 되었다.

이렇게 내 개인정보는 홈플러스가 보험회사에 팔고, 내 병원 처방전 정보는 약학정보원이 모아서 IMS헬스에 판다(약학정보원-IMS헬스 개인정보 판매사건 참조). 개인정보를 대량으로 수집 관리하는 기업·단체들은 사람들 몰래 정보를 팔아서 돈을 벌고 있는 것이다.

또 우리는, 개인정보 판매가 위법행위로 처벌받아도 사실상 기업이 손해 보는 것은 없다는 것을 잘 알게 되었다. 5번의 판결까지 받았지만 홈플러스는 결국 200억 원 넘는 수익을 거두었다. 이러니 기업 입장에서는 개인정보를 안 팔 이유가 없다. 개인정보 장사만큼 알짜배기 장사가 어디 있을까 싶다. 방통위나 공정위의 제재금, 법원의 벌금이야 비용으로 생각하면 되지 않나. 그 얼마 안 되는 비용을 내면 수억 원의 수익을 얻을 수 있다.

기업 입장에서는 점포를 임대할 필요도, 초기 투자 비용도 없이, 그저 고객정보를 팔면 된다. 홈플러스는 자기 고객정보가 부족해서 경품행사로 정보를 더 모아서 팔았다. 그렇게 하면 200억 원이 넘는 수익이 떨어진다. 이런 고수익 저비용 사업을 마다할 기업이 도대체 어디 있겠나. 

홈플러스 사태 이후, 앞으로는 어떻게 될까. 어떤 주체의 이익이 향하는 곳에, 그 행동이 따르기 마련 아니겠는가. 우리 법원 판결들은 기업들에 개인정보 보호를 극대화하라고 가르치는가, 아니면 개인정보를 잘 판매하여 수익을 거두라고 속삭이는가? 이 문제는 답이 너무 뻔해서, 그저 안타깝기만 하다.

참여연대 사법감시센터는 최근 판결 중 사회 변화의 흐름을 반영하지 못하거나 국민의 법 감정과 괴리된 판결, 기본권과 인권보호에 기여하지 못한 판결, 또는 그와 반대로 인권수호기관으로서 위상을 정립하는데 기여한 판결을 소재로 http://www.peoplepower21.org/index.php?mid=Judiciary&document_srl=147684... style="background:0px 0px;color:rgb(102,153,204);" target="_blank" rel="nofollow">[판결비평-광장에 나온 판결]사업을 진행하고 있습니다.

주로 법률가 층에만 국한되는 판결비평을 시민사회 공론의 장으로 끌어내어 다양한 의견을 나눔으로써 법원의 판결이 더욱더 발전될 수 있다는 생각 때문입니다.

삼성의 ‘불온 시민단체’ 후원 임직원 사찰,

민주주의에 대한 중대한 위협

재벌대기업 및 사용자 지위 이용, 노동자 사생활·정치적 자유 억압 

불법적 개인정보 사찰, 구시대적 노사관 및 제왕적 자세 드러내

철저한 수사 및 실태 규명, 피해자 사과, 재발방지 대책 필요

삼성그룹이 2013년 미래전략실 주도로 임직원 개인정보를 무단 열람한 뒤, 삼성 측이 규정한 일부 ‘불온’ 시민단체에 후원한 임직원을 특별 관리하는 등 불법사찰해온 사실이 ‘삼성그룹 노조 파괴 사건’ 수사 및 판결로 드러났다(http://bit.ly/2Zqq0cc" rel="nofollow">http://bit.ly/2Zqq0cc). 참여연대 경제금융센터는 재벌대기업이자 사용자라는 지위를 이용해 노동자인 일반 국민의 사생활과 정치적 자유를 억압하고자 한 삼성그룹의 행태를 강력하게 규탄한다. 민주주의에 대한 중대한 위협이라고 해도 결코 과언이 아닌 삼성그룹의 이러한 과오는 수사기관 및 법정에서 뿐만 아니라 삼성 스스로의 입을 통해 철저히 규명되어야 하며, 그 책임을 명명백백히 따져 묻는 동시에 재발방지 대책이 함께 수립되어야 할 것이다.

연말정산 자료 무단 열람 등으로 임직원을 불법사찰하고, 일부 시민단체에 ‘불온하다’는 딱지를 붙인 행태는 소위 ‘글로벌 기업’이라는 삼성그룹의 노사관계에 대한 구시대적인 인식을 적나라하게 보여주고 있다. 또한 삼성그룹의 입맛에 맞지 않는 ‘불온한’ 임직원의 정치적 성향이나 활동을 감시하고 통제하려고 시도했다는 점에서, 우리 사회가 정말 ‘삼성공화국’이었을지도 모른다는 경악과 분노를 금할 수 없다. 삼성에버랜드 노조 파괴 사건을 맡은 1심 재판부 또한, 찰스 디킨스의 소설 「어려운 시절」을 인용하며, ‘삼성그룹은 노동자를 먹고사는 것에만 만족하는 노예처럼 보았던 19세기 산업혁명기의 자본가와 같은 인식을 갖고 있다’고 질책한 바 있다. 반도체 등 첨단 산업분야를 이끌어가는 국내 최대기업이 구시대 산업가와 동일한 천박한 인식에 갇혀 있었다는 사실에 개탄하지 않을 수 없다. 

삼성그룹은 판결 직후(http://bit.ly/2Qq0Gie" rel="nofollow">http://bit.ly/2Qq0Gie), “과거 회사 내에서 노조를 바라보는 시각과 인식이 국민의 눈높이와 사회의 기대에 미치지 못했음”을 인정하고, 재발 방지를 다짐했다. 그러나 이번 사건 뿐 아니라 승계작업을 위한 ▲이재용 삼성전자 부회장의 국정농단 연루 뇌물 범죄, ▲불공정한 (구)삼성물산-제일모직 합병비율을 뒷받침하기 위한 삼성바이오로직스 회계사기 및 ▲이를 은닉하기 위한 각종 범죄 행위에 비추어 볼 때, 재발 방지와 진상 규명을 위해 삼성그룹이 가야할 길은 멀기만 하다. 이건희 삼성전자 회장 또한 2008년 삼성 비자금 사태 이후 대국민 사과를 발표하고, 4.5조 원대 불법 차명자금에 대한 사회 환원을 약속했지만 지켜지지 않았다. 이에 삼성그룹이 단지 사과문을 발표한다고 해서 진정으로 지난 잘못을 반성하고 있는지 의문이다. 삼성그룹이 진심으로 과오를 뉘우치고자 하는 마음이 있다면 지금 당장 다음을 실천해야 할 것이다. 첫째, 임직원 불법사찰 실태를 삼성 스스로 철저하게 규명해야 한다. 둘째, ‘무노조 경영’ 폐기를 공식적으로 선언하고, 직원들에 대한 불법적인 감시·통제 금지 및 개인정보보호 방안을 구체적으로 마련해야 한다. 셋째, 삼성그룹이 ‘불온단체’라고 딱지 붙인 시민단체에 진심으로 사죄하고, 그룹 차원에서 반인권적·반민주적 의식을 개선해나갈 것을 약속해야 한다. 삼성그룹은 정치적 중립성을 지키되, 임직원들의 자유로운 정치적 의견표명에 대해서는 어떠한 방식으로도 개입하지 않겠다는 선언도 필요하다. 

삼성그룹은 이번 임직원 개인정보 무단 열람 및 사찰과 관련한 자신들의 잘못을 철저히 규명하고, 그 책임을 따져 묻는 동시에, 피해자에게는 진심 어린 사과를 해야 한다. 나아가 구체적인 재발방지 대책을 마련해 실천해야 한다. 이것이 삼성그룹이 19세기의 잔혹한 자본가의 이미지가 아닌 21세기에 어울리는 공정하고 깨끗한 이미지의 기업으로 변화할 유일한 길이다. 수사기관 역시 추가적인 불법사찰 행위를 엄정한 수사를 통해 밝혀야 할 것이다. 언제까지 국민들이 일류 기업이라는 삼성에 대해 양가감정을 느껴야만 하는가. 이러한 불법과 불공정의 고리를 이제 끊어야 한다. 지난날의 과오는 속속들이 파헤쳐 엄벌을 내리고, 앞으로는 진정한 공정과 상생을 위해 노력하는  것만이 삼성그룹이 다시 살 수 있는 유일한 길이다.

https://docs.google.com/document/d/1WQqY-7Yo_L3HV_xXAyXiUEOwEZnuaQYbwqSt... rel="nofollow">논평 [원문보기/다운로드]

시민사회단체, 전자정부법 시행령 입법예고안 의견서 제출

본인행정정보 전송 대상의 무분별한 확대 반대

건강정보까지 보험사 등 민간기업에 제공하는 규정 삭제 해야

범용 식별자로서 제2의 주민등록번호인 연계정보 활용 삭제

인공지능 활용 행정서비스 제공 범위와 한계, 책임성 명확히 할 것

오늘(8/31) 건강권 실현을 위한 보건의료단체연합(건강권 실현을 위한 행동하는 간호사회, 건강사회를 위한 약사회, 건강사회를 위한 치과의사회, 노동건강연대, 인도주의실천의사협의회, 참의료실현청년한의사회), 민변 디지털정보위원회, 민주노총, 무상의료운동본부, 사단법인 정보인권연구소, 연구공동체 건강과대안, 진보네트워크센터, 참여연대, 경실련 등 시민사회단체들은 정부의 「전자정부법시행령」 일부개정령안(행정안전부공고제2021-418호)(이하 ‘개정령안’)에 대해 입법의견서를 제출했다.

이번 개정령안은 지난 5/20 국회를 통과한 「전자정부법」의 12월 시행을 앞두고 법에서 위임한 사항을 반영하기 위한 것이다. 단체들은 의견서에서 가장 문제가 있는 ▶범용식별자로서 제2의 주민등록번호인 연계정보(CI) 활용 조항(개정령안 제12조 4항), ▶민감정보인 건강정보를 보험사 등 민간기업에 제공하는 조항(개정령안 제90조)은 삭제하고, ▶대다수 금융사, 보험사 등 국민의 행정정보 전송 대상으로 무분별하게 확대하는 것(개정령안 제51조의2)에 반대, ▶인공지능 전자정부 서비스의 책임성 등을 보장할 수 있는 규정을 마련할 것(개정령안 제15조의2, 제17조), ▶모바일신분증 개념, 요건 등 명확히 규정할 것 등의 의견을 제시했다.

이번 개정령안의 가장 문제가 되는 내용 중 하나는 행정기관, 공공기관 등이 보유한 국민의 행정정보를 은행, 보험사 등 제3자에 제공할 수 있도록 한 것이다.

전자정부법 제43조의2는 행정기관이 보유하고 있는 개인정보를 정보주체의 요구에 따라 행정기관 등과 은행, 그리고 대통령령이 정하는 개인, 법인 또는 단체에 줄 수 있도록 하였는데, 입법예고된 개정령안은 거의 대부분의 금융사, 보험사, 협동조합을 포괄할 뿐 아니라 고시에 재위임하면서 거의 무한대로 확장하는 것을 가능케하였다. 이렇게 되면 민간기업들이 영리적 목적으로 개인들을 회유하여 행정기관이나 공공기관이 보유하고 있는 개인정보를 수집, 활용할 우려가 있을 뿐 아니라 이에 대해 통제할 방법이 거의 없다. 특히 개인정보보호법에 가명정보 특례가 도입되어 기업이 보유한 개인정보를 정보주체 동의없이 무한대로 활용할 수 있는 조건에서 이렇게 행정정보까지 민간기업이 수집, 보유할 수 있도록 하는 것은 국민의 행정정보를 기업과 공유하겠다는 것과 다름없는 무책임한 행정이라는 것이 단체들의 지적이다. 

여기에 더해 개정령안 90조는 국민의 건강정보까지 이들 “제3자”가 처리할 수 있도록 하여 사생활의 자유 등 기본권 침해 소지가 있다.

현 시행령에 따라 이미 중앙행정기관등의 장은 공공서비스 등록시스템 구축·운영 및 공공서비스 목록 제공 등의 사무를 수행하기 위하여 불가피한 경우에 건강정보를 처리할 수 있는데, 이 개정령안에 따르면 앞으로 보험사 등 민간기업도 건강정보를 본인 동의라는 미명하에 제공받고 사용할 수 있다. 그러나 국민의 건강정보는 세계적으로 법규범에 따라 특별히 보호받는 민감정보로, 개인정보보호법에서도 건강에 관한 정보 등 민감정보는 그 수집을 엄격히 제한하고 있다. 그럼에도 개정 전자정부법에 따르면 “행정정보”라고 포괄적으로 취급되어 민간보험사 등 기업이 건강정보를 언제든 자산으로 활용할 수 있도록 길을 열어주고 있을 뿐 아니라, 전자정부법에서 위임하지 않았음에도 특별한 보호가 필요한 국민 건강정보를 명시적으로 처리할 수 있도록 규정한 것은 「개인정보보호법」의 민감정보 보호 규정과 「의료법」의 환자 정보 등 보호 조항에도 반하는 것이며 헌법상의 사생활비밀의 보장에도 위반되는 조항이다. 따라서 이 조항은 반드시 삭제되어야 한다고 단체들은 주장한다.

제2의 주민등록번호인 연계정보(CI)를 본인확인방법으로 도입하는 것도 문제다.

연계정보(CI)는 주민등록번호를 특정한 방식으로 암호화하여 생성한 번호로, 주민등록번호와 1:1 매칭되는 고유식별번호이다. 연계정보(CI)는 “정보통신서비스 제공자의 온·오프라인 서비스 연계를 위해” 생성한 인증정보일 뿐임에도 수많은 민간 정보통신서비스 제공자들은 본인확인을 통해 이용자의 연계정보(CI)를 애초의 목적을 넘어 개인식별정보의 하나로 수집해 왔다.  무엇보다 연계정보(CI)는 법령이 아닌 방통위 고시에 그 근거가 규정되어 있을 뿐이며, 여기에서도 연계정보(CI)의 생성주체, 생성방법, 사용기준, 정보주체의 권리 등에 관한 어떠한 규정도 없어 그 법적 성격과 사용기준, 통제방법 등이 모두 불분명한 정체불명의 정보이다.

이러한 정체불명의 정보를 전자정부법 시행령에 다른 법령과의 별다른 연결고리 없이 갑자기 ‘이용자 식별 정보’라 규정하고 본인확인방법의 하나로 도입하는 것은 올바른 입법이라 할 수 없다. 연계정보(CI) 생성과 수집에 행정기관 등까지 확대함으로써 연계정보(CI)는 과거 주민등록번호와 마찬가지로 민간 및 공공영역을 불문하고 ‘범용 국민식별번호’로서 활용될 위험이 크다. 단체들은 연계정보 자체의 문제점 뿐 아니라 애초 주민등록번호 대체수단의 탄생 배경이 주민등록번호의 남용에 따른 사회적 위험을 막기 위한 것임을 상기할 때 이번 연계정보 활용 조항은 반드시 재고해야 한다고 주장했다. 

인공지능 기술 및 민간의 서비스를 전자정부서비스에 도입에는 인권침해와 차별 등 기타 서비스상의 제반 문제를 통제하고 전자정부서비스의 책임성을 담보하는 장치가 마련되어야 한다. 

그러나 전자정부법 및 개정령안은 인공지능 및 민간서비스의 도입 및 활용만을 언급하고 있을 뿐, 인공지능 기술과 민간서비스 도입 과정에서 발생할 수 있는 위험을 통제하기 위한 원칙, 절차, 안전조치 등에 대해 전혀 언급하지 않고 있다. 또한 각 행정기관 등이 고유업무를 위해 수집, 보관하는 행정정보의 종류가 다양함에도 일괄 인공지능 행정서비스로 제공할 수 있도록 하고 있을 뿐이다. 인공지능 기술 및 관련 데이터에 대한 적절한 통제가 이루어지지 않을 경우 인권을 침해하거나 차별을 야기하는 등의 문제를 야기할 수 있다는 우려가 제기되고 있고 세계 각국에서도 인공지능에 대한 적절한 통제 규범을 마련하는 중이다.

이에 단체들은 투명하고 공정한 행정서비스를 제공하기 위해서 인공지능 기술을 활용하여 제공하는 행정서비스 종류와 범위를 구체적으로 규정하고 문제 발생시 권리구제 방안 등까지 명확하게 규정할 것을 요구했다.

 https://docs.google.com/document/d/1ZBK77JVxhJGo-YOy_t3474zIAd2ye-WG8JCT... target="_blank" rel="nofollow">「전자정부법 시행령」 일부개정령안에 대한 입법의견서 보기/내려받기