노동시민사회 공동 긴급 여론조사 결과, 국민 80.3% 가명정보 동의 없이 기업간 제공 반대
국민 81.9%, 개인정보보호법 개정 추진 사실 자체를 몰라
의료·건강 등 민감정보 가명처리후 비동의 수집·활용 70.5% 반대
경제발전 명분 정보인권 포기 불가 66.7%, 2030세대는 77%
시민사회단체가 의뢰해 실시한 긴급 여론조사 결과 국민의 다섯 중 넷 이상이(81.9%) 개인정보보호법 개정이 추진되고 있다는 사실 자체를 잘 모르고 있는 것으로 나타났습니다. 알고 있다고 응답한 응답자는 18.1%에 불과했습니다. 오늘(11/13) 무상의료운동본부, 민주노총, 민주사회를위한변호사모임디지털정보위원회,진보네트워크센터, 참여연대 등 노동·의료·시민단체가 11월 14일 개인정보보호법안의 국회 행안위 법안심사소위 심사를 앞두고 지난 10일 긴급 실시한 여론조사 결과를 발표했습니다.
이번 여론조사는 문재인 정부가 혁신경제를 내세우며 개인정보보호법안 등http://www.peoplepower21.org/PublicLaw/1663821" rel="nofollow"> 데이터3법(개인정보보호법, 정보통신망이용촉진및정보보호에관한법률, 신용정보보호법)의 개정을 적극 추진하면서도 국민일반의 여론을 살피고 동의를 구하는 과정을 거치지 않았다는 지적을 해 온 노동·의료·시민단체가 직접 국민일반의 개인정보보호법 개정에 대한 여론을 확인하기 위해 실시했습니다.
여론조사 결과, 포털, 통신 보험 등 기업들이 고객 정보를 제대로 보호하고 있지 않다고 답한 응답자가 전체의 59.4%로 불신이 상당함을 보여주었습니다. 또한, 데이터3법에서 가장 문제로 지적되고 있는 가명정보의 활용에 대해서도 절대다수(80.3%)가 동의없이 수집,이용하는 데 반대했습니다. 특히 질병정보, 의료정보를 포함한 민감정보를 가명처리해 동의없이 수집,이용하는 것에도 70.5%가 반대했습니다. 뿐만 아니라, 데이터산업과 경제발전을 위해 개인정보보호와 관련된 권리 일부라도 포기할 수 있느냐는 질문에는 66%가 넘는 응답자가 불가능하다고 응답했습니다. 20,30대 응답자의 77% 이상이 불가능하다고 답하는 등 특히 20,30대 응답자의 부정적 응답비율이 평균보다 월등히 높았습니다.
개인정보보호법은 국가 개인정보보호의 기본 원칙을 제시하기 위해 지난 2011년 이명박 정부하에서 어렵게 제정된 이후 카드3사 고객정보대량 유출 사고 등 개인정보유출사고가 발생할 때마다 조금씩 보완하면서 현재에 이르게 되었습니다. 개인정보보호법도 시대에 맞게 개선되어야 한다는 데는 이견이 없습니다. 그러나 충분한 사회적 합의과정 없이 데이터 산업 육성에만 방점을 찍는 데이터3법이 통과된다면 이후 감당해야 할 사회적 비용과 혼란, 불신은 상상하기 어렵습니다.
현재 국회에서 심사 중인 데이터3법은 개인정보보호법 체계의 기본 틀을 바꾸는 중차대한 사안임에도 개정안 마련을 사실상 주도한 정부는 공청회 등 국민여론을 수렴하는 절차를 거치지 않았습니다. 정부는 물론 더불어민주당을 비롯한 여야 정당들은 데이터 3법의 국회 처리를 중단하고, 사회적 논의를 다시 시작해야 합니다.
※ 이번 조사는 여론조사전문기관인 서든포스트_(주)포스트데이터에 의뢰해 전국에 거주하는 만 19세 이상 성인 남녀를 대상으로 유·무선 RDD (무작위 임의걸기) 방식에 의한 ARS 여론조사(유선 20%, 무선 80%)로 진행되었다. 인구비례에 따른 성·연령·지역별 할당 무작위 추출방식으로 1,000명의 표본을 추출, 성·연령·지역별 가중값 부여방식으로 오차를 보정했으며, 가중방법은 림가중, 신뢰수준 95%에서 최대허용오차 ±3.10%point, 응답률은 4.4%, 조사시간은 2019년 11월 10일(일) 하루이다.
OGP(Open Government Partnership)은 지난 2011년에 설립된 열린정부 이행을 위한 정부간 국제협약입니다. 최초 9개국으로 시작해 현재(2020년 2월 기준)는 78개국 정부와 20개 지방정부가 참여하고 있습니다. 한국은 OGP에 지난 2011년부터 OGP에 가입하였습니다.
OGP의 핵심적인 매커니즘은 2년마다 정부와 시민 및 시민사회가 협력을 통해 투명성, 반부패, 성평등, 시민역량, 전자정부 등 열린정부에 관한 국가실행계획을 설계하고 이에 대한 실천을 평가하는 것입니다.
하지만 한국 정부는 2011년에 OGP에 참가한 이례 1차 ~ 3차 국가실행계획 수립과 실행 간 시민 또는 시민사회와 공동으로 국가실행계획을 수립하지 않았으며 기존에 추진 중인 정부 정책들을 국가실행계획으로 선정하고 이에 대해 소통하려는 노력도 원활하게 이뤄지지 않았습니다. 또한 수립된 계획의 실천도 미비하여 OGP 사무국으로부터 경고를 받기도 하였습니다.
하지만 2017년부터 제4차 국가실행계획 수립을 준비하며 시민들의 정책 아이디어를 일부 반영하고 시민사회와 적극적인 소통을 위해 노력하는 등 긍정적인 변화가 있었습니다. 이와 같은 노력에 힘입어 한국 정부는 2019년 10월 ~ 2020년 9월 부의장국, 2020년 10월 ~ 2021년 9월 의장국으로 선출되었습니다. 2019년 4월에는 OGP 활동간 중앙정부, 지자체, 공공기관, 시민단체 등 주요 이해관계자들의 참여와 소통을 통한 민관협력체계 구축을 위해 행정안전부 훈령으로 열린정부 포럼(위원장은 행정안전부 차관, 윤종수 사단법인 코드 대표)을 설치하였습니다. 투명사회를 위한 정보공개센터도 열린정부 포럼에 적극적으로 참여하고 있지요!
올해 한국 정부는 다시 제5차 국가실행계획 수립(20년 3월~8월, 6개월간)하게 되었습니다. 이번 국가실행계획은 한국 정부가 의장단 임기를 시작하며 수립되는 국가실행계획이며 내년에 OGP 글로벌 써밋의 서울 개최가 예정되어 있어 전세계 OGP 참가국들에게 소개될 중요한 국가실행계획이 될 것입니다. 이번 국가실행계획은7월 31일까지 일반 시민 및 시민단체 등 참여 자격이나 제한 없이 열린정부에 대한 정책 아이디어를 제안할 수 있습니다. 제안된 정책은 열린정부 포럼의 정부와 민간위원들의 검토 및 보완을 거쳐 OGP 국가실행계획으로 채택되어 정부 정책으로 시행됩니다.
이번 국가실행계획에서 정보공개센터는 이미 다섯개 정책제안 제출했습니다.
① 판결문 전면 공개(정보공개센터, 사단법인 코드, 오픈넷 공동 제안)
② 회의정보공개 강화
③ 지방의회 의정활동 통합 정보공개시스템 구축
④ 예산결산데이터 개방
⑤업무추진비 투명성 강화
⑥ 주민참여 및 주민감사청구 활성화를 위한 행정개선 제안
국가실행계획 정책 제안을 하고 싶은 분은 위의 한국 OGP 홈페이지를 방문하셔서 자유롭게 국가실행계획을 제안해 주세요!
최근 행정안전부, 방송통신위원회, 금융위원회는 국회 업무보고를 통해 데이터산업 활성화라는 명분으로 개인정보에 대한 정보주체의 권리와 보호장치를 완화하겠다는 계획을 내놓았다. 행정안전부의 경우 ‘가명정보’를 정보주체 동의 없이 산업적 연구목적에 활용하도록 하고, 민간과 공공의 데이터를 결합할 수 있는 근거를 마련한다는 것이다. 참여연대, 서울YMCA, 진보네트워크센터, 경제정의실천시민연합, 한국소비자연맹, 소비자시민모임, 함께하는시민행동 등 7개 시민사회단체는 문재인 정부가 모호한 장밋빛 전망에 기대어 사실상 박근혜 정부가 추진했던 개인정보"침해"정책을 그대로 계승, 발전시키고 있다는 강한 의문을 제기하지 않을 수 없다. 정부가 개인정보 규제 완화를 시도하는 반면 대통령 공약이자 국정과제였던 감독체계 개선방안은 온데간데 없다. 실효적이지 않은 개인정보감독기구의 위상강화라는 말만 반복하고 있을 뿐이다. 나아가 어떻게든 국민들의 개인정보를 공짜로 활용하려는 산업계의 요구를 마치 4차산업혁명을 위한 혁신으로 포장하는 일까지 벌어지고 있다. 과연 문재인 정부는 국민들의 개인정보를 보호할 의지가 있는가.
각 정부부처들은 ‘가명정보’를 정보주체의 동의 없이 목적 외로 이용가능한 정보라고 호도하고 있다. 그러나 가명정보는 가명처리의 방법과 절차에 따라 그 자체로 특정 개인이 식별되거나 다른 정보와의 결합을 통해 특정 개인을 식별하는 것이 가능하기 때문에 여전히 보호의 대상이어야 한다. 가명처리는 개인정보 처리과정에서 정보주체의 프라이버시를 보호하기 위한 안전장치의 하나이지, 가명처리를 한다고 정보주체의 동의가 전혀 필요하지 않다거나 개인정보보호법의 규제를 회피할 수 있는 만능수단이 아니다. 가명처리와 별도로 정보주체의 동의 없이 활용을 가능하게 하려면 이를 정당화할만한 명확하고 충분한 공익적 가치가 존재해야 한다. 막연히 산업을 활성화하여 국가 경제에 이바지할 것이라는 추상적인 명분으로, 개인정보에 대한 정보주체의 통제권을 빼앗고 무력화시켜서는 안 된다. 국민 개개인의 권리를 쉽사리 희생시킬 수 있다는 발상이 4차산업혁명을 부르짖는 2018년에 반복되고 있는 것은 분명 시대착오적이라 할 것이다.
민간과 공공의 데이터 결합은 법적 근거를 마련하기 이전에 그 위험성과 필요성을 충분히 검토해야 마땅하다. 서로 다른 기관이 보유한 데이터를 결합한다는 것은 데이터셋 간에 개별적인 매칭이 가능하다는 것, 즉 개개인이 특정될 수 있다는 것을 전제한다. 따라서 한 개인에 관한 더 많은 정보가 통합되는 과정에서 개인에 대한 프라이버시 침해의 위험성은 더욱 높아진다. 이미 우리나라는 전국민을 주민등록번호로 통제하고 있고, 국가기관 내에서 수많은 정보들이 주민등록번호를 매개로 연계되어 있다. 이것을 정보주체 동의 없이 민간 데이터와 결합하여 기업이 활용할 수 있게 하는 것은 매우 위험하다. 또한 데이터 결합 정책의 가장 큰 수혜자는 이미 데이터를 다수 보유하고 있는 통신, 금융, 보건의료 영역의 재벌 대기업이 될 것이 뻔하다.
반면 정부는 개인정보 감독체계 효율화와 관련하여 여전히 구체적인 방안을 제시하지 않고 있다. 현행 한국의 개인정보 보호법제는 여러 법률로 중복, 분산되어 있어 혼란과 중복규제를 야기하고 있다. 특히 실효성있는 개인정보 보호를 위해 필수적인 개인정보 감독기구 역시 분산되어 있는 실정이며 독립성과는 거리가 멀다. 개인정보보호위원회는 예산, 인사 등에서의 독립성이 없고 감독기구로서의 집행권한이 없다. 가장 방대한 국민정보를 보유하고 있는 행정안전부 역시 독립성을 갖고 있지 못하다. 방송통신위원회나 금융위원회는 각각 정보통신산업과 금융산업의 육성, 진흥을 담당하는 부처로서 개인정보보호에 방점을 둬야 할 개인정보 감독기구로서의 전문성과 독립성을 충분히 기대하기 어렵다. 감독기능이 이렇게 여러 부처로 분산되어 있다보니, 국가차원의 일관된 개인정보보호정책의 수립과 감독, 집행이 이루어질 수가 없다. 그래서 시민사회는 일관되게 방송통신위원회와 금융위원회가 가진 개인정보 감독권한을 개인정보보호위원회로 통합하고 위원회를 독립된 중앙행정기구로 만들어야 한다고 주장해온 것이다. 그러나 행정안전부의 방안은 분산되어 있는 감독기능의 부분적인 통합조차도 고려하고 있지 않다. 지난 7월 19일 행정안전부는 시민사회단체들과의 간담회 자리에서 행정안전부의 권한만 개인정보보호위원회에 이관하여 독립시키는 방안만이 현실적이라고 강변했다. 이는 겉보기에는 개인정보보호위원회의 위상강화로 보일 수 있을 지 모르지만 이러한 방안이 오히려 바람직한 개선을 가로막고 현재 드러난 문제들을 고착화시킬 수 있다. 정보통신망을 통한 개인정보처리가 이미 일반화된 상황에서 앞으로 더욱더 정보통신망을 통한 개인정보처리가 늘어날 것인데 이 부분에 대해서는 아무런 조치를 취할 수 없는 감독기구는 의미를 갖기 어렵기 때문이다. 신용정보의 보호가 점점 더 중요해지는데도 감독기구가 이에 대해서 아무런 보호조치를 취할 수 없는 체계를 계속 유지하겠다는 저의가 무엇인지 의문이다. 방송통신위원회와 금융위원회의 감독권한을 일부라도 통합하지 않고서는 이것은 개인정보 감독체계 개선이라고 볼 수 없다. 통합적인 컨트롤타워가 만들어지는 것 또한 요원해질 것이다.
청와대와 각 부처는 개인정보를 산업적, 상업적 목적으로 활용하고 거래하기 위한 여러 정책들을 앞다투어 내놓고 있다. 보건의료빅데이터 시범사업, 헬스케어 사업, 마이데이터 사업, 스마트 시티 사업 등 데이터 활용을 극대화하기 위한 정책들이 우후죽순 경쟁적으로 추진되고 있는 것이다. 하지만 각 부처의 정책들간에는 일관성이 없을 뿐만 아니라 과연 개인정보보호 측면에서의 고려가 었는지도 의문이다. 개인정보와 관련한 정부 컨트롤타워 부재의 문제가 그대로 드러나고 있는 것이다. 각 부처들은 데이터의 활용만 강조하고 미흡한 사후규제 강화방안을 명목상 끼워넣고 있을 뿐이다. 개인정보감독체계를 통합, 정비하고 독립성보장 등 권한을 강화하지 않으면, 이제 우리의 개인정보와 프라이버시는 법전에만 존재하는 형해화된 권리가 될 것이다.
개인정보감독체계 정비는 개인정보를 보호하고, 개인정보의 활용이 목적에 부합하는 최소한의 범위에서 안전하게 이루어지는지를 감독하기 위한 최소한의 전제조건이다. 이를 위해 부처간 권한의 통합과 조정도 필요하다. 이를 정권 초기에 하지 않으면 앞으로도 하기 어려울 것이다. 그러나 문재인 정부가 출범한 지 1년 4개월이 되도록 어떠한 진전도 보이지 않았다. 지금 정부는 산업활성화를 위한 골든타임을 이야기하지만, 개인정보보호를 위한 골든타임은 이미 지났는지도 모른다. 청와대가 의지를 갖고 실질적인 개인정보감독체계 개선을 추진할 계획이 없다면 더이상 국민을 기만해서는 안된다. 각 부처들도 껍데기 뿐인 개인정보보호방안을 들고 시민사회를 기만하고 회유하려는 시도를 중단해야 한다. 답을 정해놓고 시민사회와 소통하는 모양새를 취할 것이 아니라, 시민사회의 우려에 진정 귀를 기울이기를 기대한다. 제대로 된 개인정보보호체계 구축과 감독기구의 일원화를 통해 자기 통제 밖에서 자신들의 개인정보가 활용될 것이라는 국민들의 불안을 해소하는 것은 정부의 몫임을 정부 스스로 인식해야 할 것이다.
현재 국회 법제사법위원회에는 개인정보보호법안, 신용정보보호법안이 계류 중이고 국회 과학기술정보방송통신위원회에는 정보통신망법(이하 개인정보3법안)이 계류중이다. 이법을 추진하고 있는 정부 일각과 기업들은, ‘다른 나라에 비해 우리나라 개인정보보호규제가 너무 강해서 데이터산업이 활성화되지 못한다’, ‘4차산업혁명을 위해서 개인정보를 활용해야 하는데 규제완화가 안되어 이대로 가다간 데이터후진국이 된다’, ‘가명처리하여 사용하므로 안전하다’ 등의 주장을 펴며 법안 통과를 요구해 왔다. 과연 그런가? 오늘(12월 4일) 참여연대 2층 아름드리홀에서는 개인정보3법 개악에 반대해 온 노동시민사회단체(이하 단체)들이 이 같은 정부와 기업들의 주장들에 대해 팩트체크를 중심으로 기자브리핑을 진행했다.
우선 단체들은 개인정보3법은, 가명정보라는 개념을 도입하여 정보주체의 동의권을 현저히 약화시키고, 기업들이 가명처리하를 하면 동의 없이 산업적, 상업적 연구에 무한대로 활용할 수 있도록 하고 있다고 지적했다. 목적제한, 최소수집 및 목적달성 후 폐기라는 개인정보처리의 가장 기본이 되는 원칙을 훼손하고 있다는 것이다. 단체들은 그동안 가명정보는 언제든 다른 데이터와 결합하면 누구의 정보인지 식별이 되는 정보이므로 정보주체의 권리보호를 위한 장치가 반드시 병행되어야 한다고 주장해 왔다. 그러나 개인정보3법이 이대로 통과된다면 국민의 가장 사적이고 민감한 의료정보, 질병정보에서부터 소비특성, 투자행태, 소득규모 등을 파악할 수 있는 신용정보, SNS등에 쓴 다양한 정보까지 거의 모든 정보를 기업의 돈벌이 수단으로 내주는 꼴이며 정보주체는 동의권은 물론이고 정보열람권, 삭제요구권, 정보이전 및 개인정보유출에 대한 통지받을 권리 등을 인정받지도 못해 기업이 어떻게 내 정보를 활용하고 판매하고 결합하는지, 또 어떤 사고가 있어 유출되고 악용되는지 알 수가 없게 될 것이라고 주장했다. 그래서 개인정보3법 개정안은 “개인정보 도둑 법”이라고 불러도 무방할 것이라고 설명했다.
기자브리핑에서 진행된 팩트체크 주요 내용은 다음과 같다.
1) 우리나라가 다른 나라에 비해 개인정보보호 규제가 강하다는 주장
→ 기존 개인정보보호법은 최소한의 수집, 제3자 제공 및 목적 외 이용에 동의를 요하는 등 기본적인 정보주체의 통제권을 보장하고자 하였음. 동의를 하지 않을 경우 필수적인 용역, 서비스 사용을 제한하더라도 아무런 규제도 없고, 거꾸로 동의를 하였을 경우 사실상 제3자 제공과 목적 외 이용이 제한없이 가능함.
최근 강화된 미국 캘리포니아소비자보호법(The California Consumer Privacy Act (CCPA):An implementation guide, 이하 ‘CCPA’)과 비교해 보면, 미국은 언제든 개인정보를 제3자에게 판매하지 말도록 지시할 “옵트아웃” 권리가 있고, 수집한 개인정보의 범위를 공개하고 삭제하도록 요구할 권리를 강하게 규정하고 있다. 이러한 규제는 페이스북에서 무단으로 수천만명의 개인정보를 수집한 캠브릿지 애널래티카라는 회사의 사례를 들면서, 명백히 ‘프라이버시 및 개인정보에 대한 더 많은 통제권’과 ‘투명성’을 규제 취지로 들고 있음.
유럽 일반개인정보보호규정(General Data Protection Regulation,이하 ‘GDPR’)은 과학적 연구나 통계적 처리를 위해 안전조치의 한 종류로 가명처리를 할 수 있다고 규정할 뿐이고, 개인의 동의 없이 가명처리를 할 수 있다는 근거가 아니다. 오히려 GDPR은 가명정보를 재식별이 가능한 ‘개인정보’로 인식하고 개인에게 통제권을 부여하고 있다.
결국 우리나라가 다른 나라에 비해 개인정보보호 규제가 너무 강하여 GDPR 또는 미국 수준으로 규제를 낮추겠다는 개정안의 주장은 지나친 규제 완화로 인해 국민들을 희생양으로 만들 가능성이 있음.
2) 4차산업혁명을 위해서 개인정보를 활용해야 하는데 규제완화가 안되어 이대로 가다간 데이터후진국이 된다는 주장
→ 빅데이터 산업 발전을 위해 개인정보 규제 완화를 해야 한다면, 전 세계는 개인정보 보호를 완화하기 위한 바닥으로의 경쟁을 해야할 것임. 이는 그 자체로도 바람직한 방향이 아니지만, 실제로 세계 각 국은 빅데이터 환경에서 개인정보 보호를 강화하는 방향으로 보호 수준을 높이고 있음. 유럽의 GDPR이 그렇고, 미국의캘리포니아주 소비자프라이버시법(CCPA)이 그러함.
이는 개인정보 권리 보호를 위해서도 필요하지만, 실제 빅데이터 산업 (넓게는 인터넷 기반 비즈니스) 발전을 위해서도 개인정보에 대한 신뢰가 뒷받침되어야 함. 인터넷 기반 산업은 정보주체가 자신의 개인정보를 적극적으로 제공하는 것에 기반하고 있는데, 이에 대한 신뢰가 없다면 인터넷 경제에 적극적으로 참여하려 하지 않을 것이기 때문임.
3) 가명정보는 안전하다는 주장
→ “가명처리”란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보 없이는 특정 개인을 알아볼 수 없도록 처리하는 것임. 다른 정보와 결합하면 식별의 위험성이 있는 정보이며 가명정보 역시 개인정보임. 따라서 개인정보보호법의 적용을 받아야 함. 유럽연합 GDPR도 가명정보를 개인정보로 보고 있으며, 한국 정부도 인정하고 있음.
가명정보는 가명처리되지 않은 원래의 개인정보보다는 안전함. 따라서 가능하다면 개인식별이 가능한 개인정보의 형태로 처리, 보관하는 것보다는 가명처리해서 보관하는 것이 바람직함. 그러나 가명정보는 다른 정보와 결합하여 여전히 재식별될 위험성이 있으므로, 재식별이 불가능한 익명정보보다는 위험함. 따라서 가능하다면, 익명처리해서 활용하는 것이 가장 바람직함. 재식별의 위험성은 가명처리의 방법 및 수준에 따라 달라지며, 현재 가명처리의 기술, 재식별 기술 모두 발전하고 있는 상황임.
개인식별자를 삭제하더라도 여전히 개인식별의 위험성이 있음은 이미 2016년 정부가 발표한 <개인정보 비식별조치 가이드라인>에서도 인정하는 바임.
4) 영국 역시 의료빅데이터를 공유하는 사업을 국가 단위에서 추진하고 있다는 주장
→ 영국은 범국민적으로 탈퇴(opt-out)캠페인이 일어나는 등 결국 이 사업을 폐기하였고, 유럽 GDPR도 건강정보에 대해 원칙적 처리 금지를 명시함. 개인의 건강정보는 한 사람의 과거, 현재, 미래의 건강 상태의 집합이라는 점에서 보다 엄격한 동의 규정, 고지 의무 등을 법제화함. 단 ‘명시적 동의’ 혹은 ‘치료행위 및 공중보건을 위한 공공의 이익(Public interest)를 위한 경우, 학술 연구로 제한적 활용을 권고함. 또한 이러한 경우에도 자동화된 데이터 처리나 알고리즘에 의해 어떠한 의사 결정이 이루어질 때 이에 대해 환자가 알고 개입할 권리를 보장하도록 함. 자신의 건강정보 삭제를 요청할 권리 등도 이에 포함됨.
5) 빅데이터 기술을 활용하여 의료데이터를 분석하고 개인에 맞는 건강관리 및 치료방법을 제안하고 더 나아가 질병 또한 예측하는 서비스를 제공하는 등 데이터기반 의료서비스로 의료서비스 질이 업그레이드 되는 등 사회적 이익이 증대될 것이라는 주장
→ ‘데이터 중심 건강관리’ 라는 데이터경제론은 근거가 없음. 넛지(nudge)이론에 근거한 개인의 행동변화를 통한 건강증진 사업은 효과가 없음이 이미 증명됨. 거꾸로 건강증진 앱은 감시, 두려움, 죄책감을 동반해 경쟁적 자아 경영을 도모하며, 앱 사용에 있어 경제적 문화적 차별을 전제하고 있다는 문제가 제기되고 있음. 결국 건강정보 규제완화는 건강을 결정하는 사회경제적 요인 문제들을 사회적 문제로 인식하지 못하도록 만들고 건강의 개인책임화를 부추기는 경제논리임. 따라서 공적인 예산들이 다수 건강증진 효과가 없다는 것이 드러난 의료상업화로 투자되고 있는 공적자금의 왜곡도 데이터경제론의 큰 문제 중 하나임.
보건의료 빅데이터는 그 활용이 정보주체, 집단, 지역사회에 주는 해보다 큰 사회적 가치가 있는가의 여부(공공의 이익), 연구 과정과 결과가 모든 이들에게 호혜적이며 사회적 연대를 갖는가의 여부(형평성), 데이터의 질과 안전, 사용에 있어 투명하게 사용되고 있음을 증명할 수 있는가(책임성) 등에 대한 사회적 논의와 공론화가 우선되어야 함.
6) 신용정보법 개정안이 통과된다면 소비자에게 최적의 맞춤형 서비스를 제공하는 등 소비자-기업간 윈윈할 것이라는 주장
→ 오히려 금융서비스 공급자와 이용자 간 극단적 정보격차 상황이 발생할 것이며 이것은 금융공공성 훼손으로 귀결될 것임. 이제 금융회사들은 철저하게 가명정보의 이종 간 결합을 바탕으로 상품을 설계하고 판매 전략을 운영하게 됨. 이것은 공급자가 소비자 집단을 매우 정확한 수준에서 위험군과 비위험군으로 분류하고, 리스크가 ‘0’에 수렴하는 영업활동을 하게 된다는 의미임. 결과적으로 저신용, 저소득 계층의 금융소외는 피할 수 없음. 빅데이터와 금융의 결합이 당장 새롭고 편리한 금융서비스로 나타날 수 있지만, 머지않아 극단적인 양극화를 강화하는 촉매로 작동할 것임.
뿐만 아니라 보이스피싱 범죄 등 대표적인 금융사기범죄로 이미 불법 유출된 국민 개인정보와 신용정보가 대환사기 등 나날이 발전하는 범죄수법의 도구로 범죄자들에게 애용(?)되고 있음. 미신고 피해까지 합칠 경우 보이스피싱의 피해규모는 이미 1조 원대에 달할 것으로 보이는데, 불행히도 국내 금융보안 수준을 감안하면 가명정보 활용이 본격화 될 경우 보이스피싱 피해는 그에 비례하여 급증할 것으로 예상됨.
7) 현재 국회 법사위에서 체계 잣구 심사 단계인데, 이들 법안들은 다른 법률들과 법체계 문제는 없나?
→ 개별 법률은 특정 정보에 대하여 활용 목적을 엄격하게 제한함으로써 특별한 보호를 규정하고 있는데, 이에 대해서 개보법 개정안이나 신정법 개정안은 그 개별법과의 관계를 명확히 하지 않고 있음.
대표적으로 인간의 존엄성 등과 밀접하게 관련된 건강정보는 특별한 보호가 요청되는 정보인데, 개보법 개정안과 신정법개정안에 따르면 상업적, 영리적 목적으로 활용될 수 있음.
의료법 제19조는 의료인 및 그 종사자 등이 알게 된 건강정보를 누설하거나 발표하지 못하도록 하고 있고, 부당한 목적으로 사용하여서는 아니된다고 규정하고 있음.
국민건강보험법 제102조는 공단, 심사평가원 및 대행청구단체에 종사하였던 사람 또는 종사하는 사람에게 비밀누설금지 및 제3자 제공을 금지하고 있음.
참가자들은, 현재 국회에 계류된 개인정보3법안은, ▶법률안들끼리도 개인정보의 정의 등 용어가 통일되어 있지 않고,여전히 규정 중복이 있음. 이에 상호간의 용어통일, 중복규정 정리가 필요하다는 점, ▶가명정보 또는 가명처리된 정보의 비동의 활용범위를 산업적, 상업적 활용로 확대하지 않고 ‘학술연구’로 제한할 것▶ 전세계 유례를 찾아보기 힘든 정보집합물간 결합조항은 삭제할 것,▶ 민감정보의 가명처리 제한, ▶가명정보에 대한 삭제권, 처리정지권, 이용동의 철회권 보장 등 정보주체의 권리를 인정할 것을 제안했다. 또한 국회가 할 일은 당장 이들 3법안 심사를 중단하고 정보보호와 활용이 균형잡힌 대안을 제시하는 것이라고 강조했다.
민선7기 목민관클럽 제7차 정기포럼이 광명시청과 희망제작소 주관으로 지난 21일과 22일 양일 간 경기도 광명시에 위치한 라까사호텔 연회장에서 열렸습니다. 이번 포럼은 ‘빅데이터를 통한 혁신행정’을 주제로 전문가 발제와 지방자치단체의 사례를 나누는 자리로 마련됐습니다.
실제 정부 및 공공기관의 공공데이터와 다양한 민간데이터를 융합 및 분석해 국민의 안전과 생활에 필요한 정책을 수립하고, 서비스를 제공하는 데 빅데이터 기술이 활용되고 있는데요. 데이터를 효과적으로 분석할수록 주민 맞춤형 정책이 무엇인지 파악하고, 갈수록 복잡하고, 얽혀있는 사회문제를 해결하는 데 필요한 것은 무엇인지 점검할 수 있습니다.
문석진 목민관클럽 상임대표(서대문구청장)는 이날 개회사에서 “내년이 벌써 목민관클럽 10년째가 되는 해”라며 “과거의 방식에서 벗어나 주민의 수요에 따라 새로운 의제를 탄력성 있게 받아들이는 시대로 나아가기 위해 목민관클럽에서 서로 정보를 나누고, 배우는 자리가 되길 바란다”라고 말했습니다.
문석진 목민관클럽 상임대표(서대문구청장)
빅데이터 행정은 기술보다 시나리오에 주력해야
먼저 빅데이터와 지역경제 정책을 주제로 한 발제로 목민관클럽 정기포럼의 포문을 열었습니다. 안영재 한국기업데이터 플랫폼센터장은 자치정부에서는 데이터를 위한 하드웨어는 있지만, 콘텐츠가 없는 경우가 비일비재하다고 지적했습니다. 그만큼 공무원이 데이터를 어떻게 활용할 지 기획하고, 시나리오를 만드는 게 중요하다는 것인데요.
예컨대 데이터를 수집하고, 처리하고, 분석하는 것은 외부 데이터 전문업체가 진행할 수 있지만, 이를 위해서는 공무원이 지역 내 어떤 문제를 해결하기 위해 어떤 데이터를 어떻게 모아 어떤 방법으로 분석해 어떤 가치를 제공할 지에 대한 실제적인 시나리오를 개발하는 데 주력해야 한다는 것입니다.
이어 안 센터장은 지역산업지원 정책의 효과성을 제고하기 위해서는 데이터 기반의 정보시스템 구축이 필요하다고 강조했습니다. 공공은 수요자 중심의 공공서비스 실현을 위해 여러 행정기관에 분산된 정보나 업무를 연결 및 활용하려는 수요가 급증함에 따라 적시성 있는 데이터를 한 눈에 파악하는 게 전제돼야 한다는 것입니다.
즉, 기업정보 및 공공데이터 등 내외부 데이터를 활용해 실시간으로 시군구 단위로 지역산업 현황을 파악할 수 있도록 대시보드를 통해 시각화해 정책결정의 근간으로 활용하는 것입니다.
데이터 공동 이용을 통해 정책 수립과 시민 참여 모색
빅데이터 기반의 혁신행정과 데이터분권에 관해서도 알아봤습니다. 발제를 맡은 김종업 한국문화정보원(KCISA) 부원장은 데이터 분권을 위한 기반을 강화해야 한다고 주장했습니다.
현재 지방정부에서는 데이터를 공동 이용하고, 수집할 수 있는 체계가 부족한 데다 위임기간인 해당 중앙부처에 요청해 데이터를 제공받아야 하는 등의 까다로운 절차로 인해 데이터 활용이 어려운 게 현실입니다. 또 중앙 등 유관기관 보유 데이터 활용의 제한이 있고, 민간 데이터 구매에 따른 예산과 전담인력의 부재라는 장애 요소가 있습니다.
김 부원장은 이러한 데이터 활용 제약을 해결하기 위해서는 데이터 공유의 제공 업무에 관한 명확한 업무 수행 근거를 마련해야 한다고 강조했습니다. 또 데이터 공유 및 제공을 위한 예산 및 전담인력을 배치함으로써 데이터를 공동 이용할 수 있는 체계를 갖춰야 한다고 덧붙였습니다.
데이터를 공동 이용할 수록 중앙과 지방 간 칸막이를 해소하면서 권력화를 방지할 수 있습니다. 시민 관점에서는 데이터를 통한 지역 문제 해결 및 시민이 주체로서 참여할 수 있는 길이 열리고, 지자체에서는 데이터를 활용해 정책을 수립하면서 데이터 자치권을 강화할 수 있습니다.
곽상욱 오산시장
지자체, 빅데이터 자체 시스템 구축까지 나서
지방자치단체에서도 빅데이터 활용에 적극적으로 뛰어들고 있습니다. 오산시(시장 곽상욱)에서는 ‘GPS 위치기반 빅데이터 영치시스템’과 ‘오산형 돌봄 빅데이터 분석’을 소개했습니다. 오산시는 체납차량 GPS 적발 위치 데이터를 빅데이터 분석기법을 통해 체납자의 출현 위치를 예측해 적발할 수 있는 시스템으로 특허까지 취득했습니다.
이어 오산시에서는 향후 5년 간 계층별 인구 수의 변화를 분석해 지역 특성에 맞는 돌봄 인구 정책에 반영하고 있습니다. 인공지능 알고리즘을 활용해 취약돌봄 수요를 추계한 뒤 취약돌봄반 확대 순위를 정하고, 돌봄센터를 설치하는 것입니다.
서울 강동구에서는 자체적으로 빅데이터 시스템을 개발하는 등 의지를 갖고 데이터 활용에 박차를 가하고 있습니다. 이정훈 강동구청장은 부구청장 직속으로 스마트도시추진단 아래 빅데이터팀을 신설하고, 빅데이터 전문 인력을 보강해 GBP(강동구 빅데이터 포탈) 시스템을 자체적으로 개발했는데요. GBP는 메타정보 265개 데이터베이스를 기반으로 구축된 시스템으로, 차트 분석을 통해 변화에 대응하는 정책 서비스를 마련하는 도구로 활용될 예정입니다.
강동구는 GBP를 통해 행정 혁신 효과를 누리고 있습니다. 통합검색으로 데이터 접근이 용이해져 구민의 알권리를 충족시킬 수 있고, 데이터 시각화로 데이터 이해도를 높이는 것인데요. 데이터 통합관리로 데이터 행정의 기반을 닦고 있는 셈입니다. 내년에는 쓰레기 배출, 불법주차, 장애인 주차, 전기차 충전소, 공공와이파이, 지방세 체납 등의 데이터를 분석할 예정입니다.
이어 서울 서대문구에서는 마을 버스 이용 현황을 데이터를 통해 개선한 사례를 소개했습니다. 문석진 서대문구청장은 버스 및 지하철 분포 현황과 마을버스 노선 분포 현황을 비교하면서 일부 지역에 마을버스가 다니지 않는 걸 파악해 노선 추가 신설 및 개선해 대중교통 서비스의 질을 높이고 있습니다.
국회 정무위원회는 11월 25일 예정된 법안심사1소위와 전체회의에서 신용정보법안(김병욱의원 대표발의)를 통과시킬 것으로 알려지고 있습니다. 신용정보법안은 금융소비자들의 신용정보를 일부 정보를 삭제하거나 대체하는 등 이른바 가명처리한 후 정보주체 동의 없이도 기업들이 사고 팔고 할 수 있도록 하는 것이 주요 내용입니다. 지금도 은행, 카드, 보험, 유통업계가 개인신용정보를 집적하고 공유하는 것이 어렵지 않아서 잊을만 하면 개인정보유출사고나 보이스피싱 등의 관련범죄가 끊이지 않는데, 여기서 더 나아가 정보주체 동의없이 서로 결합하고 판매할 수 있도록 하는 신용정보법안을 통과시킨다면 금융 소비자의 개인정보보호는 포기하겠다는 것과 다르지 않습니다.
한편, 공정거래법 위반 전력을 삭제하여 주주 자격 요건을 완화하는 인터넷전문은행법안(김종석 의원 대표발의)이 어제(11/21) 정무위 법안심사소위를 통과했습니다. 2018년 은산분리 완화에 대한 거센 우려와 반대에 대해 대주주 적격성 요건을 강화하여 부작용을 최소화하겠다는 약속을 법 시행 일 년도 되지 않아 국회가 내팽개친 것입니다.
이에 개인정보보호법, 신용정보보호법 등 데이터3법의 졸속 통과와 인터넷전문은행법 개악에 반대해 온 노동시민사회단체와 정의당 추혜선 국회의원 공동으로 11월 25일(월) 오전 9시 40분 국회 정론관 기자회견을 아래와 같이 개최합니다.
개요
제목 : 신용정보법, 인터넷전문은행법 개악 반대 국회 정론관 기자회견
일시 장소 : 2019. 11. 25(월) 9시 40분 / 국회 정론관
주최 : 정의당 국회의원 추혜선, 민주사회를 위한 변호사모임 디지털정보위원회, 민주노총,진보네트워크센터, 참여연대, 경제정의실천시민연합 소비자정의센터
사회 :추혜선 국회의원
발언 1 김경자 전국민주노동조합총연맹 수석 부위원장
발언 2 오병일 진보네트워크센터 대표 : 개인정보보호 감독기구 일원화에 역행하는 신정법안 내용
발언 3 서채완 변호사, 민주사회를 위한 변호사모임 디지털정보위원회 : 개보법과 신용정보법의 법체계가 중복, 혼란을 야기하는 문제
발언 4 최종연 변호사, 참여연대 정보인권사업단 : 연구, 통계 목적의 활용 + 부수업무로 빅데이터 분석업무 등 허용의 문제점
2019. 11. 21. 국회 정론관, 3개 법안 처리 중단 촉구 참여연대 기자회견 <사진=참여연대>
개인신용정보를 무한대로 사고 팔도록하는 신용정보법안
공적 건강보험 보장성 강화에 역행하는 보험업법안
범죄 기업의 은행 소유 허용하는 인터넷전문은행법안
오늘(11월 21일) 국회 정무위원회 제1소위에서 안건으로 상정된 ‘신용정보의 이용 및 보호에 관한 법률 개정안(이하 신용정보법안)’, ‘보험업법개정안(이하, 보험업법안)’, ‘인터넷전문은행법 개정안(이하, 인터넷은행법안)’은 각각 개인신용정보를 정보주체 동의없이 기업의 돈벌이수단으로 마음대로 사고팔 수 있도록 하는 법안, 공적 건강보험 보장성에 역행하는 법안, 공정거래법 위반 등 범죄 전력이 있는 산업자본을 은행 대주주로 만들어주자는 법안으로 국민의 기본권 침해 및 금융 건전성·공정성 훼손을 주요 내용으로 하는 개악 법안들이다. 우리 사회와 국민들의 삶에 직접 영향을 미치는 법안들은 충분한 논의를 거쳐 사회적 합의가 이뤄졌을 때 법안 개정을 추진해야 한다. 참여연대는 오늘 정무위에서 법안 논의와 처리를 중단할 것을 강력히 촉구한다.
첫째, 개인신용정보를 무한대로 사고 팔도록 하는 신용정보법 개악 중단하라. 개인신용정보는 경제 생활과 관련이 되어 있어 국민들이 가장 민감하게 생각하는 정보 중 하나이다. 개인의 소비특성, 투자행태, 소득규모 등을 파악할 수 있는 신용정보는 상대적으로 경제적 가치가 높은 정보라 할 것이다. 따라서 엄격한 법의 보호가 필요하고 목적제한적, 최소수집원칙 등 개인정보보호 원칙이 엄격하게 적용되어야 한다. 2014년 금융권인 롯데카드, 국민카드, 농협카드 3사의 대량정보유출사고는 우리 사회 최악의 개인정보유출사고로, 개인신용정보의 집적과 공유의 위험성을 뼈저리게 보여준 사고였다.
이번에 논의되고 있는 신용정보법안은 신용정보보호의 수준을 더욱 후퇴시키고 있을 뿐 아니라 민간 기업의 개인정보의 판매 및 공유를 허용하는 <개인정보보호법 개정안(인재근대표발의)>의 문제를 그대로 포함하고 있다. ▷가명정보에 대한 비동의 수집, 활용, ▷기업간 제공 등을 비롯해 사실상 데이터브로커를 통한 금융정보의 상품화를 부추길 뿐인 마이데이터 산업의 신설, ▷재벌 통신사의 신용정보산업 진출 허용, ▷SNS 등을 활용한 새로운 신용정보업의 허용 등 금융정보의 상업적 판매 등을 별다른 보호장치없이 허용하고 있다. 이는 현재의 신용정보산업 생태계 자체를 완전히 재편하는 것이다. 그럼에도 그동안 충분한 사회적 논의 과정 없이 폐쇄적으로 추진되어 왔다. 의원입법 형식으로 국민의 의견 수렴 과정을 생략하였을 뿐만 아니라, 국회 또한 관련 법안 공청회를 단 한번 개최하였다. 공청회 참석자는 법안 개정 찬성 입장을 가진 산업계 토론자들 일색으로 구성되어 이 법안 개정에 반대하는 시민사회의 입장에는 귀를 닫았다.
지금도 은행, 카드, 보험, 유통업계가 개인신용정보를 집적하고 공유하는 것이 무한대에 가까울 정도인데도 여기서 더 나아가 정보주체 동의없이 서로 결합하고 판매할 수 있도록 하는 신용정보법을 개정하게 되면 더이상 개인신용정보를 보호하지 않겠다는 선언과 같다. 정보주체의 판단, 선택 따위가 들어설 자리를 남겨두지 않고 상업적 이해에 따라 개인정보거래시장만 양성화하는 이번 법안은 폐기되어야 한다. 정무위는 김병욱대표발의 신용정보법안 심사를 중단하고 정보주체의 권리를 실효성있게 보호할 수 있는 방향으로 신용정보법개정안 대체법안을 마련해야 할 것이다.
둘째, 공적 건강보험 보장성 강화에 역행하는 보험업법 개악 중단하라. 현재 정무위에 계류 중인 보험업법안은 민간실손보험 급여지급 절차를 간소화하겠다는 명목하에 전 국민을 대상으로 하는 건강보험 당연요양기관인 의료기관이 관련법령에 따라 개인의 진료정보 등 민감정보를 취급하고 보호하여야 할 지위를 팽개치고 건강보험심사평가원(이하 심평원) 또는 전문중개기관을 중개기관으로 하여 환자의 진료정보를 제3자인 중개기관, 나아가 보험사들에게 전자적 정보로 넘겨서 보험료를 청구할 수 있도록 하겠다는 것이다. 그러나 의료기관이 민감정보인 의료정보를 민간중개기관, 나아가 보험사에게 넘기는 것은 개인의 의료정보를 보호하도록 하고 있는 의료법 제19조를 정면으로 위반하는 것으로, 보험업법 개정으로 이를 정당화해서는 안될 일이다. 또한 건강보험을 관리하는 공공기관인 심평원이 민간실손보험회사의 역할을 대신하는 것은 심평원의 기능과 책무에 부합하지 않는다.
특히 이번 보험업법 개정안의 가장 큰 문제는 민간실손보험을 공공의 목적을 위해 운영되어야 할 건강보험의 보완재로 사실상 간주하는 것에 있다. 전국민건강보험이 존재함에도 건강보험 보장률이 OECD 평균에도 미치지 못하는 것이 우리의 현실이다. 그러한 상황에서 사적 이익을 위해 만들어진 민간보험의 지위를 격상시키는 조치는 건강보험 보장성을 높이겠다는 문재인 케어의 취지에도 맞지 않다. 국민 누구나 차별없이 치료받을 수 있도록 하기 위해서는 건강보험 국고부담률 준수와 고령화에 따른 중장기적 재정투입 등 지속적인 건강보험 보장성 강화정책을 적극 시행해야 한다. 따라서 국가가 민간실손보험회사의 역할을 대신하며, 건강권 보장의 책임을 개인에게 전가시키는 보험업법 개정안은 당장 폐기 되기야 한다.
셋째, 범죄 기업의 은행 소유 허용하는 인터넷전문은행법 개악 중단하라. 2018년 제정된 인터넷전문은행법은 우리 사회의 주요한 금융원칙으로 작동하던 은산분리를 완화하여 산업자본의 은행소유를 허용하여 논란이 된 바 있다. 그런데 최근 자유한국당 김종석 의원이 ‘금융회사와 달리 각종 규제 위반의 가능성에 노출된 산업자본의 특수성을 고려하여 공정거래법 위반 등 요건을 대주주 적격성 심사 기준에서 제외’하는 것을 골자로 한 인터넷전문은행법안을 발의했다. KT 등이 공정거래법 위반 전력으로 인해 인터넷전문은행의 대주주가 되지 못하기 때문이다. 즉, 인터넷전문은행법안은 범죄 이력 있는 산업자본이 손쉽게 은행을 소유할 수 있도록 해주자는 것이다. 기업의 공정거래법 위반을 막는 제도개혁은커녕 국회가 규제 위반을 당연시하고, 이를 문제 삼는 현행법을 손보겠다는 것이다. 게다가 금융회사 전반이 공정거래법 등 위반 전력을 대주주 적격성 심사 기준으로 삼고 있어, 이를 인터넷전문은행에만 완화하는 것은 형평성에 맞지 않는다는 비판이 제기 되자, 국회는 한 술 더 떠 금융회사 전반의 대주주 적격성 심사 기준을 완화하자고 나섰다.
공공성과 안정성이 핵심인 금융회사의 건전한 운영을 위해 범죄 이력이 있는 자들의 은행 지배를 막기 위한 안정장치인 대주주 적격성 심사 취지를 몰각한 채 특정 산업자본의 이권을 위해 기준을 허물어서는 안 된다. 자격 없는 대주주의 금융회사 지배가 초래하는 시스템적 위험은 과거 저축은행 사태 등으로 큰 대가를 치르며 경험한 바 있다. 특정 산업자본을 위한 불공정한 특혜를 위해 금융안정망을 훼손해서는 안 되는 이유다. 범죄 이력이 있는 산업자본이 은행의 대주주가 된다고 하여 정치권이 목놓아 외치는 금융산업 발전과 혁신이 이뤄지는 것이 결코 아니다. 원칙이 담보되지 않은 혁신은 시스템 리스크로 이어질 가능성이 농후하다. 반복적인 특혜 입법을 통해 은산분리 원칙 훼손에 이어 범죄 전력자가 금융회사 대주주가 되는 것을 막는 지배구조의 대원칙마저 흔드는 것은 국회가 금융회사의 건전성과 공정한 금융시장의 근본 토대를 무너뜨리는 것임을 명심해야 할 것이다.
2019. 11. 21. 국회 정론관, 3개 법안 처리 중단 촉구 참여연대 기자회견 <사진=참여연대>
개인신용정보를 무한대로 사고 팔도록하는 신용정보법안
공적 건강보험 보장성 강화에 역행하는 보험업법안
범죄 기업의 은행 소유 허용하는 인터넷전문은행법안
오늘(11월 21일) 국회 정무위원회 제1소위에서 안건으로 상정된 ‘신용정보의 이용 및 보호에 관한 법률 개정안(이하 신용정보법안)’, ‘보험업법개정안(이하, 보험업법안)’, ‘인터넷전문은행법 개정안(이하, 인터넷은행법안)’은 각각 개인신용정보를 정보주체 동의없이 기업의 돈벌이수단으로 마음대로 사고팔 수 있도록 하는 법안, 공적 건강보험 보장성에 역행하는 법안, 공정거래법 위반 등 범죄 전력이 있는 산업자본을 은행 대주주로 만들어주자는 법안으로 국민의 기본권 침해 및 금융 건전성·공정성 훼손을 주요 내용으로 하는 개악 법안들이다. 우리 사회와 국민들의 삶에 직접 영향을 미치는 법안들은 충분한 논의를 거쳐 사회적 합의가 이뤄졌을 때 법안 개정을 추진해야 한다. 참여연대는 오늘 정무위에서 법안 논의와 처리를 중단할 것을 강력히 촉구한다.
첫째, 개인신용정보를 무한대로 사고 팔도록 하는 신용정보법 개악 중단하라. 개인신용정보는 경제 생활과 관련이 되어 있어 국민들이 가장 민감하게 생각하는 정보 중 하나이다. 개인의 소비특성, 투자행태, 소득규모 등을 파악할 수 있는 신용정보는 상대적으로 경제적 가치가 높은 정보라 할 것이다. 따라서 엄격한 법의 보호가 필요하고 목적제한적, 최소수집원칙 등 개인정보보호 원칙이 엄격하게 적용되어야 한다. 2014년 금융권인 롯데카드, 국민카드, 농협카드 3사의 대량정보유출사고는 우리 사회 최악의 개인정보유출사고로, 개인신용정보의 집적과 공유의 위험성을 뼈저리게 보여준 사고였다.
이번에 논의되고 있는 신용정보법안은 신용정보보호의 수준을 더욱 후퇴시키고 있을 뿐 아니라 민간 기업의 개인정보의 판매 및 공유를 허용하는 <개인정보보호법 개정안(인재근대표발의)>의 문제를 그대로 포함하고 있다. ▷가명정보에 대한 비동의 수집, 활용, ▷기업간 제공 등을 비롯해 사실상 데이터브로커를 통한 금융정보의 상품화를 부추길 뿐인 마이데이터 산업의 신설, ▷재벌 통신사의 신용정보산업 진출 허용, ▷SNS 등을 활용한 새로운 신용정보업의 허용 등 금융정보의 상업적 판매 등을 별다른 보호장치없이 허용하고 있다. 이는 현재의 신용정보산업 생태계 자체를 완전히 재편하는 것이다. 그럼에도 그동안 충분한 사회적 논의 과정 없이 폐쇄적으로 추진되어 왔다. 의원입법 형식으로 국민의 의견 수렴 과정을 생략하였을 뿐만 아니라, 국회 또한 관련 법안 공청회를 단 한번 개최하였다. 공청회 참석자는 법안 개정 찬성 입장을 가진 산업계 토론자들 일색으로 구성되어 이 법안 개정에 반대하는 시민사회의 입장에는 귀를 닫았다.
지금도 은행, 카드, 보험, 유통업계가 개인신용정보를 집적하고 공유하는 것이 무한대에 가까울 정도인데도 여기서 더 나아가 정보주체 동의없이 서로 결합하고 판매할 수 있도록 하는 신용정보법을 개정하게 되면 더이상 개인신용정보를 보호하지 않겠다는 선언과 같다. 정보주체의 판단, 선택 따위가 들어설 자리를 남겨두지 않고 상업적 이해에 따라 개인정보거래시장만 양성화하는 이번 법안은 폐기되어야 한다. 정무위는 김병욱대표발의 신용정보법안 심사를 중단하고 정보주체의 권리를 실효성있게 보호할 수 있는 방향으로 신용정보법개정안 대체법안을 마련해야 할 것이다.
둘째, 공적 건강보험 보장성 강화에 역행하는 보험업법 개악 중단하라. 현재 정무위에 계류 중인 보험업법안은 민간실손보험 급여지급 절차를 간소화하겠다는 명목하에 전 국민을 대상으로 하는 건강보험 당연요양기관인 의료기관이 관련법령에 따라 개인의 진료정보 등 민감정보를 취급하고 보호하여야 할 지위를 팽개치고 건강보험심사평가원(이하 심평원) 또는 전문중개기관을 중개기관으로 하여 환자의 진료정보를 제3자인 중개기관, 나아가 보험사들에게 전자적 정보로 넘겨서 보험료를 청구할 수 있도록 하겠다는 것이다. 그러나 의료기관이 민감정보인 의료정보를 민간중개기관, 나아가 보험사에게 넘기는 것은 개인의 의료정보를 보호하도록 하고 있는 의료법 제19조를 정면으로 위반하는 것으로, 보험업법 개정으로 이를 정당화해서는 안될 일이다. 또한 건강보험을 관리하는 공공기관인 심평원이 민간실손보험회사의 역할을 대신하는 것은 심평원의 기능과 책무에 부합하지 않는다.
특히 이번 보험업법 개정안의 가장 큰 문제는 민간실손보험을 공공의 목적을 위해 운영되어야 할 건강보험의 보완재로 사실상 간주하는 것에 있다. 전국민건강보험이 존재함에도 건강보험 보장률이 OECD 평균에도 미치지 못하는 것이 우리의 현실이다. 그러한 상황에서 사적 이익을 위해 만들어진 민간보험의 지위를 격상시키는 조치는 건강보험 보장성을 높이겠다는 문재인 케어의 취지에도 맞지 않다. 국민 누구나 차별없이 치료받을 수 있도록 하기 위해서는 건강보험 국고부담률 준수와 고령화에 따른 중장기적 재정투입 등 지속적인 건강보험 보장성 강화정책을 적극 시행해야 한다. 따라서 국가가 민간실손보험회사의 역할을 대신하며, 건강권 보장의 책임을 개인에게 전가시키는 보험업법 개정안은 당장 폐기 되기야 한다.
셋째, 범죄 기업의 은행 소유 허용하는 인터넷전문은행법 개악 중단하라. 2018년 제정된 인터넷전문은행법은 우리 사회의 주요한 금융원칙으로 작동하던 은산분리를 완화하여 산업자본의 은행소유를 허용하여 논란이 된 바 있다. 그런데 최근 자유한국당 김종석 의원이 ‘금융회사와 달리 각종 규제 위반의 가능성에 노출된 산업자본의 특수성을 고려하여 공정거래법 위반 등 요건을 대주주 적격성 심사 기준에서 제외’하는 것을 골자로 한 인터넷전문은행법안을 발의했다. KT 등이 공정거래법 위반 전력으로 인해 인터넷전문은행의 대주주가 되지 못하기 때문이다. 즉, 인터넷전문은행법안은 범죄 이력 있는 산업자본이 손쉽게 은행을 소유할 수 있도록 해주자는 것이다. 기업의 공정거래법 위반을 막는 제도개혁은커녕 국회가 규제 위반을 당연시하고, 이를 문제 삼는 현행법을 손보겠다는 것이다. 게다가 금융회사 전반이 공정거래법 등 위반 전력을 대주주 적격성 심사 기준으로 삼고 있어, 이를 인터넷전문은행에만 완화하는 것은 형평성에 맞지 않는다는 비판이 제기 되자, 국회는 한 술 더 떠 금융회사 전반의 대주주 적격성 심사 기준을 완화하자고 나섰다.
공공성과 안정성이 핵심인 금융회사의 건전한 운영을 위해 범죄 이력이 있는 자들의 은행 지배를 막기 위한 안정장치인 대주주 적격성 심사 취지를 몰각한 채 특정 산업자본의 이권을 위해 기준을 허물어서는 안 된다. 자격 없는 대주주의 금융회사 지배가 초래하는 시스템적 위험은 과거 저축은행 사태 등으로 큰 대가를 치르며 경험한 바 있다. 특정 산업자본을 위한 불공정한 특혜를 위해 금융안정망을 훼손해서는 안 되는 이유다. 범죄 이력이 있는 산업자본이 은행의 대주주가 된다고 하여 정치권이 목놓아 외치는 금융산업 발전과 혁신이 이뤄지는 것이 결코 아니다. 원칙이 담보되지 않은 혁신은 시스템 리스크로 이어질 가능성이 농후하다. 반복적인 특혜 입법을 통해 은산분리 원칙 훼손에 이어 범죄 전력자가 금융회사 대주주가 되는 것을 막는 지배구조의 대원칙마저 흔드는 것은 국회가 금융회사의 건전성과 공정한 금융시장의 근본 토대를 무너뜨리는 것임을 명심해야 할 것이다.
문재인 대통령이 지난 10월 28일 "데이터 3법이 연내에 통과되도록 국회와 적극 협력하겠다"고 말하자 더불어민주당이 10월 30일 "데이터 3법(개인정보보호법, 신용정보법, 정보통신망법)'을 이번 정기국회에서 통과할 수 있도록 하겠다"고 밝혔다. 정부와 민주당이 말하는 법 개정의 이유는 '데이터 산업 발전'이다.
하지만 데이터는 데이터 저장장치에 존재하는 단순한 정보 묶음이 아니다. 이는 현실 세계에서 살아가는 개인들에 대한 정보이고 이들이 살면서 만들어 낸 삶의 이력 그 자체이다. 개인정보는 경제발전을 위한다는 명목으로 국가에 의해 동원될 수 있는 자원도 아니고 연료도 아니다. 이는 개인의 삶의 궤적이며, 역사이고, 존엄성 그 자체이다. 개인정보에 대한 권리는 정보 주체에게 있고, 개인정보를 활용하고 싶은 이들이 있다면 그게 누구이든 정보 주체의 동의를 받아야 한다.
정부와 민주당이 추진하는 '데이터 3법' 개정 중 특히 문제가 되는 것은 개인정보 보호법 개정안에 담긴 '가명정보'의 경우 정보 주체의 동의 없이도 개인정보를 활용할 수 있도록 한 조항이다. 개정안은 통계작성, 과학적 연구, 공익적 기록보존 등으로 그 목적을 한정하긴 하였으나, 통계, 과학적 연구를 매우 폭넓게 정의함으로써 사실상 기업, 개인의 사익 추구를 위한 통계, 연구도 정보 주체의 동의 없이 개인정보를 처리할 수 있도록 허용하고 있다. 누구든 약간의 기술적 조치만 취하면 정보 주체의 허락 없이 타인의 개인정보를 마음대로 사용할 수 있게 하겠다는 것이다.
정부, 여당은 '가명화'라는 형태로 개인을 알아볼 수 없게 한 정보에 한정된 것이고, '가명 정보'를 활용하여 개인을 식별하는 행위를 한 경우 무거운 과징금을 부과하도록 하였기에 우려할 필요는 없다고 한다. 하지만 이는 빅데이터 시대의 데이터 특성을 몰라도 너무 모르고 하는 소리다.
확률의 문제일 뿐 가명정보를 활용하여 개인을 재식별 하는 것은 불가능하지 않다. 이른 바 빅데이터 시대인 지금은 한 개인에 대한 개별적인 정보를 대량으로 포함하고 있는 데이터 집합을 사용하여 개인을 식별하는 것은 더욱 쉬워졌다. 데이터 양이 많아지면 많아질수록 가명정보를 활용한 개인 식별은 쉬워진다. 미국 국립보건원이 자신들이 가지고 있던 연구 데이터들을 가명화한 이후 온라인에서 누구나 다운 받을 수 있게 했다가 곧바로 철회한 이유도 이러한 이유 때문이었다.
과징금 등의 처벌 강화 조치는 사후약방문일 뿐 개인정보 재식별과 유출을 막기 위한 원천적 예방책은 아니다. 해커나 데이터 기업들이 벌금이나 과징금이 무서워 법 위반 행위를 하지 않을 것이라는 생각은 너무 순진하다. 이들은 발각될 가능성이 적기도 하지만, 발각되어 벌금이나 과징금을 내더라도 그게 더 이익이기 때문에 개인정보를 도둑질하고 유출하고 활용한다.
이러한 상황에서 정보 주체의 권리 제약이 정당화되려면, 이것이 합당한 공공 이익 목적을 위한 것이고, 동일한 목표에 도달하기 위해 활용할 수 있는, 상대적으로 침해나 제한의 성격이 약한 다른 수단이 존재하지 않는다는 것을 정부, 여당이 설득력 있게 입증해야 한다. 하지만 기업과 정부가 주창하는 '데이터 산업 발전'은 공공의 이익을 위한 것이라 보기 힘들다. 정보 주체의 정보인권을 존중하면서 데이터 산업을 발전시킬 다른 수단이 없는 것도 아니다. 데이터 산업을 발전시키기 위해 정보 주체의 동의 없이도 개인정보를 활용할 수 있도록 하는 것은 명백히 정보인권 침해이며 윤리적으로 정당화되기 힘들다.
정부, 여당의 개인정보 보호법은 인권 보장 측면뿐 아니라 윤리적으로도 큰 문제를 가지고 있다. 특히 크나큰 오욕의 역사를 가지고 있는 생명, 의학 연구 영역에서 발전해 온 생명/의학 연구 윤리의 원칙과 이 법은 정면으로 배치된다. 생명/의학 연구 윤리의 원칙 중 가장 중요한 것 중 하나는 '충분한 정보에 근거한 자발적 동의(Informed consent)'이다. 한국의 생명윤리법 제3조 제2항에서는 이를 "연구 대상자등의 자율성은 존중되어야 하며, 연구대상자등의 자발적인 동의는 충분한 정보에 근거하여야 한다"고 명시하고 있다. 이는 개인이 자신의 개인정보 및 생물학적 물질 사용에 대한 통제권을 행사할 수 있는 권리를 포함한다.
과학적 연구 참여에 대한 개인의 동의는 연구 수행 기관에 대한 신뢰를 기반으로 하는 경우가 많다. 그러므로 누가 동의 없이 내 개인정보를 사용하는가도 매우 중요한 고려사항이다. 민간보험회사가 연구 목적이라고 하더라도 내 의료 정보, 건강 정보를 동의 없이 사용한다고 하는데 별 문제 없다고 생각하는 이들이 얼마나 될까. 데이터 기업이 연구 목적으로 내 정치적 입장, 종교, 성적 취향 등에 대한 개인정보를 수집하여 분석한다고 하면 다수가 이를 불편하게 여기지 않겠는가. 그런데 개정안이 통과되면 내 동의 없이도 기업이 내 민감 정보를 활용할 수 있게 된다.
상업적 연구가 아니라 과학적 발전을 위한 연구로 한정하여 법을 적용한다고 해도 문제는 남는다. 아무리 과학적 발전을 위한 연구라 하더라도 한 개인은 자신의 윤리적 신념에 반하는 연구에 참여를 거부할 권리가 있다. 예를 들어 자신의 가족과 미래 세대에 대한 프로파일링을 위한 유전체 연구, 인종차별의 근거가 될 가능성도 존재하는 유전체 연구, 특정 집단을 차별하고 배제하는 근거로 악용될 수도 있는 건강 연구, 유전적 특질을 이용한 생물학적 무기 개발에 이용될 수도 있는 연구 등에 자신의 개인 건강정보, 유전정보가 동의 없이 사용되기를 원하지 않는 이들이 다수이다. 빅데이터를 활용한 연구는 그 최종 결과가 무엇이 될지 연구자조차 예상하기 힘든 경우도 있다. 최악의 경우 정보 주체의 동의 없이 활용한 그 개인정보로 인해 정보 주체에게 해가 되는 연구 결과가 도출될 수도 있다. 내 동의 없이 사용한 내 개인정보로 인해 내가 불이익을 받아야 하는 부조리한 상황이 벌어질 수도 있는 것이다.
정보 주체의 프라이버시를 침해할 가능성이 있을 뿐 아니라 연구 대상자의 자율성을 해칠 가능성이 있는 정부, 여당의 개인정보 보호법 해당 조항은 절대 원안대로 통과되어서는 안 된다. 데이터 산업 육성이라는 명목으로 기업이 정보 주체의 동의 없이 개인정보를 활용할 수 있도록 하는 것에 신중해야 한다. 공공적 목적에 부합하는 용도에 국한하여 매우 제한적으로 가능하도록 규제의 틀을 만들어야 한다. 더디게 가더라도 국민적 합의와 신뢰를 바탕으로 관련 정책을 추진하는 것이 데이터 산업 발전에도 더 좋다.
참여사회연구소는 2011년 10월 13일부터 '시민정치시평'이란 제목으로 <프레시안> 에 칼럼을 연재하고 있습니다. 참여사회연구소는 1996년 "시민사회 현장이 우리의 연구실입니다"라는 기치를 내걸고 출범한 참여연대 부설 연구소입니다. 지난 19년 동안 참여민주사회의 비전과 모델, 전략을 진지하게 모색해 온 참여사회연구소는 한국 사회의 현안과 쟁점을 다룬 칼럼을 통해 보다 많은 시민들과 만나고자 합니다. 참여사회연구소의 시민정치는 우리가 속한 공동체에 주체적으로 참여하고, 책임지는 정치를 말합니다. 시민정치가 이루어지는 곳은 우리 삶의 결이 담긴 모든 곳이며, 공동체의 운명에 관한 진지한 숙의와 실천이 이루어지는 모든 곳입니다. '시민정치시평'은 그 모든 곳에서 울려 퍼지는 혹은 솟아 움트는 목소리를 담아 소통하고 공론을 하는 마당이 될 것입니다. 많은 독자들의 성원을 기대합니다. 같은 내용이 프레시안에도 게시됩니다. 목록 바로가기(http://www.pressian.com/news/review_list_all.html?rvw_no=1661" rel="nofollow">클릭)
오늘(11월 14일) 국회 행정안전위원회 법안심사소위에서 사실상 정부가 주도한 개인정보보호법일부개정법률안(인재근의원 대표발의)이 거의 원안대로 통과되었다. 국가 개인정보보호 체계를 근본적으로 바꾸는 중대한 사안임에도 제대로 된 사회적 논의 한번 없이 기업측의 요구를 일방적으로 반영한 법안을 그대로 밀어붙인 것이다. 기업이 요구하는 법안 처리에 여야가 따로없이 찬성하고 있어 행안위 전체회의와 국회 본회의도 곧 통과할 것으로 보인다. 80%가 넘는 국민들이 개인정보보호법이 개정된다는 사실조차 알지 못하는 상황에서 충분한 공론화 없이 개인정보보호체계의 근간을 흔드는 법을 통과시켜서는 안된다. 국회는 행안위 전체회의, 법사위, 국회 본회의 등 입법 절차를 일단 중단하고 사회적 논의를 다시 시작해야 한다
.
이 법이 이대로 통과되어 시행되면 국민일반의 개인정보는 실체도 불분명한 기업의 이익 창출을 위한 한낱 부속품 취급을 받게 될 것이다. 기업의 데이터 수집, 이용, 결합, 기업 간 제공, 판매 등이 지금보다 더 무분별하게 이뤄질 것은 명약관화하다. 데이터산업이 커지고 관련 업계는 환호할지 모른다. 그러나 정보주체인 시민들의 개인정보 권리 침해, 데이터 관련 범죄 증가, 국가와 기업의 국민 감시 및 차별 심화 등 그 피해는 고스란히 국민들이 떠안게 될 것이다. 예컨대 가장 사적이고 민감하여 보호받아야 할 각종 질병 정보, 가족력이나 유전병 정보 등 건강 정보에 의료 관련 기업은 물론이고 의료와 관계 없는 온갖 영리기업들도 접근할 수 있게 된다. 기업들은 이 정보들을 결합·가공해 팔아 수익을 내거나, 고용 상 불이익을 줄 수 있고 예측하기 어려운 여러 방식으로 악용할 수 있을 것이다. 헌법 제10조에서 도출되고 17조로 보장받는 개인정보자기결정권이 국회의 입법으로 부정된 것이다.
개인정보보호위원회가 중앙행정기관으로 격상되었다고 하지만, 과연 개인정보 감독기구의 역할을 제대로 할 수 있을지 의문이다. 개인정보 감독기구는 그 독립성이 무엇보다 중요한 덕목임에도 불구하고, 결국 개인정보보호위원회도 국무총리의 지휘, 감독을 받도록 하였다. 정책 기조에 따라 개인정보 남용을 합리화하는 개인정보보호위원회가 된다면 없느니만 못하다. 무엇보다 개정안을 주도한 문재인 정부와 여당인 더불어민주당을 규탄하지 않을 수 없다. 국민이 주인인 나라를 표방하면서도 국민의 권리보다 기업의 이익에 앞장섰으며 정작 국민의 의견을 들으려고도 하지 않았다.
한번 법률이 개정되면 되돌리기는 쉽지 않다. 이에 시민사회는 법안 제출 이전부터 법개정의 영향을 우려하며 신중할 것을 요구한 바 있다. 정작 정보주체인 국민은 80%이상이 개인정보보호법이 개정된다는 사실조차 모르고, 가명정보라고 해도 기업이 동의없이 이용, 제공하는데 반대하고 있다http://www.peoplepower21.org/PublicLaw/1667027" rel="nofollow">(2019.11.13. 보도자료). 국회는 공청회도 개최하지 않았고 국민들의 의견을 들어보려는 시도조차 하지 않았다.‘개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 한다’는 개인정보보호법의 목적은 훼손되고 개인정보보호포기법, 개인정보활용법이라고 불러도 틀린 말이 아니게 되었다.
정부와 국회의 역할은 빅데이터산업이 야기하는 다양한 권리 침해의 가능성, 더 나아가 민주주의 위협 가능성을 대비하여 수혜자인 기업에게 더 강한 책임을 부과하고 규제하는 것이어야 한다. 그러나 국민 다수가 법개정이 진행되는지조차 모르고 있는 상태에서 정부는 기업들의 탐욕스런 개인정보악용의 가능성을 보장하기에만 급급하고 있다. 결과적으로 국민들의 개인정보는 기업들의 이윤추구 대상으로 전락하였다. 개인정보보호법안이 비록 오늘 행안위 법안심사소위를 통과하였지만 앞으로 행안위 전체회의와 본회의 절차가 남아있다. 국회가 지금이라도 개인정보보호법 개정 절차를 중단하고, 사회적 논의를 다시 시작할 것을 엄중 경고한다.
국민 설득 부족, 미래 사회 인간 정의 바꿀 중차대한 사안 졸속 처리 안돼, 노동시민사회 한목소리 요구
일시 장소 : 2019. 11. 12. (화) 10:20, 국회 정론관
취지와 목적
현재 국회 행정안전위원회, 정무위원회, 과학기술정보방송통신위원회는 이른바 데이터3법(개인정보보호법개정안, 신용정보보호법개정안, 정보통신망법개정안)을 심사하고 있음. 이중 국가 개인정보의 기본 원칙을 제시하는 개인정보보호법안은 오는 11월 14일(목) 행안위 법안심사소위 안건으로 상정되어 있으며 여야 쟁점법안이 아니라 특별한 사정이 없는 한 통과될 것이란 전망임.
그러나 이 개정안은 정보주체의 동의없이 유전자정보, 질병정보 등 건강정보를 포함한 개인정보의 판매, 공유, 결합을 허용함으로써 정보인권을 심각하게 침해하고 있음. 기업 측의 요구를 일방적으로 수용했다고밖에 보여지지 않은 이 법안이 통과되면 국민 일반의 정보인권이 심각하게 축소 또는 위협받음에도 정작 국민 일반과의 충분한 논의가 없이 추진되어 왔음.
특히 이들 법안들은 위헌적이고 불법적이라는 시민사회의 비판이 거세었던 2016년 박근혜 정부의 비식별조치 가이드라인을 그대로 법안으로 가져와 입법화하려는 것이라 이를 추진하고 있는 문재인 정부와 더불어민주당에 대한 실망을 감출 수가 없음
이에 민주노총, 참여연대, 무상의료운동본부, 민주사회를위한변호사모임 디지털정보위원회, 진보네트워크센터는 11월 12일 오전 10시20분 국회 정론관에서 국민 합의 없이 기업의 일방적인 주장에 따라 추진되고 있는 데이터3법의 개악을 중단하고 지금부터라도 사회적 논의를 시작해야 한다는 취지의 기자회견을 아래와 같이 개최함.
2018년 11월 15일 당정협의를 거쳐 더불어민주당 인재근 의원 대표발의 개인정보보호법 개정안, 김병욱 의원 대표발의 신용정보보호법안, 노웅래 의원 대표발의 정보통신망법안 등 이른바 데이터3법안이 제출됨. 이들 법안들은 개인정보주체의 처분권을 포함한 정보인권 일반을 축소하고, 동의없이 건강정보, 신용정보를 포함한 광범위한 개인정보 처리(이용 제공 포함)를 하여 상업적·산업적으로 이용할 수 있도록 관련 규정을 신설하는 내용임.
특히 국가 사회 전반을 규율하는 개인정보 보호원칙과 개인정보 처리기준을 제시해야 하는 개인정보보호법 개정안(인재근 의원 대표발의)은 가명정보 개념을 도입하고 있으나, 개인정보의 안전장치의 하나로 가명처리를 하는 것이 아니라, 가명정보이기만 하면 정보주체의 동의 없이 정보를 상업적으로 활용할 수 있게 하며, 목적 외 이용 및 제3자 제공도 가능하게 하고 있음. 이는 정보주체의 관리통제권을 포기하는 것으로 데이터 산업 활성화 명목의 산업계의 요구만을 일방적으로 수용한 것임.
무엇보다 우리나라는 개인식별번호인 주민등록번호제도를 운용하고 있어 거의 모든 분야에서 개인의 신원 확인의 수단으로 활용되고 있음. 이를 기반으로 한 대량의 개인정보가 빈번히 유출되어 사실상 전국민의 개인정보가 어디서 어떻게 유통되고 있는지조차 파악이 안 되고 있음. 이런 상황에서 정보주체의 통제권이 미치지 않는 가명정보가 어떻게 다른 정보와 결합하여 재식별되거나 오남용될지는 가히 예측하기 어려움.
또한 여러 부처에 흩어져 있는 개인정보 보호에 대한 기능과 권한을 개인정보보호위원회로 일원화하겠다고 하고 있으나 금융기관에 대한 개인정보 관련 업무는 합리적 근거없이 여전히 금융위원회에 남겨두는 등 개인정보보호 감독기구의 일원화라는 명분에 못 미침. 개인정보보호위원회 구성 및 운영에 있어서도 대통령직속기구에서 국무총리 소속으로 현재보다 격하시키고 있으며 위원 임명도 대통령에게 일임함으로써 감독기구로서의 독립성을 보장하기에 미흡함.
즉, 이들 법안들은 정보보호와 데이터 활용의 조화를 이루겠다는 취지와 달리 개인정보주체의 처분권을 포함한 정보인권 일반을 축소하고, 동의없이 건강정보, 신용정보를 포함한 광범위한 개인정보 처리를 허용하여 상업적·산업적으로 이용하는데 초점이 맞춰져 있음. 따라서 법안들은 반드시 폐기되어야 할 것임.
입법경과
2018. 11. 15. [16621] 개인정보보호법 일부개정법률안(인재근의원 외 14인), [2016636] 신용정보이용 및 보호에 관한 법률 일부개정법률안(김병욱의원 외13인), [2016622] 정보통신망 이용촉진 및 정보보호에 관한법률 일부개정안(노웅래의원 외 10인) 등 이른바 데이터(경제)3법 발의됨.
이들 법안들은 각각 행정안전위원회, 정무위원회 등 해당 상임위에 계류 중임.
2019. 8. 12. 참여연대, 국가의 개인정보보호에 대한 기본 원칙을 제시하는 「개인정보보호법안 등에 대한 반대 의견서」 제출
2019. 8. 22. 국가인권위원회가 인재근 의원 개인정보보호법안에 대해 우려 의견 표명. 주요 내용은 가명정보의 동의 없는 활용범위 등에 대한 우려 및 보완 필요성, 개인정보보호 기능과 권한 일원화 및 독립성에 대한 개선 요구임.
이들 법안들에 대한 산업계의 통과 요구가 높고, 정부도 혁신성장을 뒷받침할 법제도라며 통과를 요구하고 있으며 더불어민주당도 처리 계획을 가지고 있음.
입법⋅정책과제
현재 계류중인 인재근 의원 발의 개인정보보호법 개정안 등의 폐기
「개인정보보호법 개정안」(의안번호 제16621호), 「정보통신망 이용촉진 및 정보보호 등에 관한 법률 개정안」(의안번호 제16622호), 「위치정보 보호 및 이용 등에 관한 법률 개정안」(의안번호 제16620호), 「신용정보 이용 및 보호에 관한 법률 개정안」(의안번호 제16636호) 국회 통과 반대
통신3사는 그간 가명처리된 정보라는 이유로 가입자의 개인정보가 어떻게 활용되었는지를 공개하지 않고, 이를 중단해달라는 요구도 수용하지 않아왔습니다. 자신의 정보가 어떻게 처리되었는지 알수 없었던 이용자들이 정보공개청구 및 향후 가명처리와 무단활용을 하지 말아달라고 요청했지만, SKT는 거절했습니다. 이에 이용자들은 법원에 소송을 제기했고, 법원은 이용자들의 손을 들어주었습니다. 정보주체의 가명처리정지권 보장의 중요성을 인정한 이번 판결에 대해 김보라미 변호사가 비평했습니다.
「개인정보보호법」이 2020년 2월 4일 통과된 이후 “가명정보”라는 개념이 도입되었다. 「개인정보보호법」 법 제2조 정의에서 가명처리에 대하여는 “개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아 볼 수 없도록 처리하는 것”이라고 정의(법 제2조 제1의2호)하고, 가명정보에 대하여는 “개인정보를 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보”(제2조 제1호 다목)라고 정의하고 있다. 위 정의에서 “가명정보”는 ”추가정보“를 보유하고 있는 개인정보처리자 입장에서는 언제든지 특정 개인을 알아볼 수 있는 정보이기 때문에 개인 정보라는 점이 강조되어 있다.
우리 법에서 ”가명처리“의 정의는, EU GDPR1)의 가명처리(pseudonymisation)(제4조 제5호)2)와 동일한 정의규정을 가져와 유사하게 제정한 것이나, 정작 GDPR에서 가명처리는 안전조치의 하나로 도입되었을 뿐이라는 점에서 큰 차이가 있다. EU GDPR에서는 가명처리는 개인들의 권리행사를 배제하거나 기타 개인정보보호조치를 배제시키려는 의도로 도입된 것이 아니다(전문 제28조)3).
그러나 우리 법문 제3절에서는 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 처리 근거로서 EU GDPR 제87조를 차용하였으면서도, 완전히 다른 법체계로 조문구성이 되었다. 이렇게 된 이유는 우리 법에서는 가명처리가 안전조치로 고려되지 않았기 때문이었다. 정의에서 언급된 가명처리는 더 이상 (안전조치로도) 언급되지 않고, ”가명정보“만 과거 사회적 논란속에서 사라져간 「개인정보 비식별조치 가이드라인」(2016. 6. 30. 공표)에서의 ”비식별조치“와 유사한 맥락으로 활용되고 있다.
특히 현행 「개인정보보호법」는 ”가명정보“일 경우 개인정보주체의 동의없이 활용할 수 있는 특례를 허용해 주면서도 별도의 조건이나 제한 없이 수집출처 등 고지의무(제20조), 개인정보 파기의무(제21조), 영업양도 등에 따른 사전 통지의무(제27조), 개인정보 유출 통지의무(제34조), 열람권(제35조), 정정・삭제에 관한 권리(제36조), 처리정지 요구권(제37조), 정보통신서비스 제공자의 개인정보 수집・이용에 관하여 이용자로부터 동의 등을 받을 의무(제39조의3), 개인정보 유출통지 및 신고의무(제39조의4), 개인정보 파기의무(제39조의6), 동의 철회에 관한 권리(제39조의7) 등의 개인의 기본적 권리 행사도 모두 불가능하게 규정(법제28조의7)했다는 점에서 그 문제가 심각하다.
위 규정대로라면 ”가명정보“는 개인정보라고 강조하며 정의하고 있는데, 제3절의 가명정보의 처리 특례를 통해 ”개인정보“가 아닌 것처럼 역할하고 있는 것이다.
헌법재판소는 개인정보자기결정권에 대해서 헌법 제10조 제1문에서 도출되는 일반적 인격권, 헌법 제17조의 사생활의 비밀과 자유에 근거하여 독자적인 기본권으로 인정하여 왔다.(헌재 2005. 5. 26. 자 99헌마513 등) 이러한 개인정보자기결정권에는 개인이 개인정보 처리에 관하여 동의할 수 있는 권리, 동의 범위 등을 선택하고 결정할 수 있는 권리, 열람을 요구할 수 있는 권리, 개인정보의 처리 정지, 정정·삭제 및 파기를 요구할 권리가 실질적으로 구현되어야 한다. 이러한 권리가 구현되지 않는 개인정보자기결정권은 존재하지 않는 것과 같다.
개인정보자기결정권은 개인정보를 식별가능한 상태로 처리함으로써 개인의 사생활이 침해된다는 것에 대해 방어할 수 있는 권리에 그치는 것이 아니라, 개인이 자신의 정보흐름에 대해 주도권을 가지지 못하고 배제됨으로써 겪는 인격권 침해를 막고 적극적으로 참여할 수 있도록 하는 권리이기도 하다. 그러므로 ”개인이 행사하여야만 하는 헌법상 기본권“을 처리의 목적 달성 여부나 필요성, 최소 침해성 여부 등을 전혀 고려하지 않고 전면 배제하여 통제권을 유명무실한다면 이는 헌법상 과잉금지원칙 위반이라고 해석될 수 있다.
이번 SKT 사건 판결은, 「개인정보보호법」에서 가명정보 특례 조항들이 가지고 있는 문제를 본격적으로 짚었을 뿐만 아니라, 개인정보자기결정권이라는 기본권을 침해여부에 대한 헌법적 평가까지 함께 했다는 점에서 의미가 크다. 판결문에서는 명시적으로 언급되지 않았으나, 우리 법에서 명확하게 규정하지 않은 식별가능한 개인정보가 가명정보화되는 처리과정 및 처리근거에 대한 문제제기 역시 같은 맥락에서 검토될 수 있다.
해당 판결에서는 가명정보의 특례를 통해 개인들의 권리행사가 부당하게 제한되고 있다는 점에 대하여 ① 개인들의 권리행사가 왜 필요한가라는 측면 (필요성), ② 개인들의 권리행사를 전면 배제하는 것의 과잉침해성 (최소 침해성) 등을 언급하며 ”부당하다“고 평가하고 있다.
판결문 제9쪽 내지 제10쪽
가명정보가 … (중략)… 동일한 정보주체에 관한 여러 가명정보가 사용・결합되거나 그 밖에 이와 유사한 상황이 발생할 경우에는 정보주체에 대한 식별이 가능하게 될 위험이 존재하고 … (중략)… 개인정보가 정보주체의 의사와 무관하게 유출되는 경우에는 정보주체에게 심각한 피해가 초래될 가능성이 높고 그로 인하여 정보주체에 발생한 피해는 사후적으로 금전적 보상 또는 배상이 이루어지는 것만으로 회복될 수 있는 성질의 것이 아닌 이상 정보주체가 개인정보처리자에 대하여 식별가능정보에 대한 가명처리 내지 가명정보에 대한 처리에 관한 결정권을 충분히 자유롭게 행사할 수 있도록 할 필요성이 존재한다고 할 것이다.
그런데 개정된 개인정보 보호법은, … (중략)… 식별가능정보를 가명처리하여 생성된 가명정보에 대하여는 ①개인정보처리자의 정보주체 이외로부터 수집한 개인정보의 수집출처 등 고지의무(제20조), 개인정보 파기의무(제21조), 영업양도등에 따른 사전 통지의무(제27조), 개인정보 유출 통지의무(제34조)와 ②정보통시서비스 제공자의 개인정보 수집・이용에 관하여 이용자로부터 동의 등을 받을 의무(제39조의3), 개인정보 유출통지 및 신고의무(제39조의4), 개인정보 파기의무(제39조의6) 및 ③정보주체의 열람권(제35조), 정정・삭제에 관한 권리(제36조), 처리정지 요구권(제37조), 동의 철회에 관한 권리(제39조의7) 등의 적용을 모두 배제함으로써(제28조의7) 정보주체의 가명정보의 처리에 대한 결정권을 상당하게 제한하고 있다.
그렇다면 개정된 개인정보보호법 제28조의7에서 처리정지 요구권의 적용을 배제하고 있는 ‘가명정보’에 식별가능정보를 가명처리하는 것까지 포함된다고 해석할 경우 정보주체가 개인정보처리자에 대하여 가명정보에 대한 개인정보자기결정권을 행사할 수 있는 방법이 원척적으로 봉쇄되는 부당한 결론에 이르게 된다.
또한 해당 판결에서는 가명정보로 처리되기 전에 자신의 식별정보에 대한 가명처리정지를 요구할 수 있다는 점에 대하여 ‘개인정보 보호 법령 및 지침・고시 해설’ 등의 유권해석을 근거로 판단하고 있는데 더하여, 헌법적 평가를 시도하고 있다. 즉, ”식별가능정보의 가명처리에 대한 정보주체의 처리정지 요구권의 행사를 원천적으로 제한함으로써 침해되는 정보주체의 사익이 그로 인하여 얻을 수 있는 공익에 비하여 결코 작다고 단정할 수 없다“고 판단한 것이다. 이러한 판단은 향후 유사한 ”개인“들의 권리행사에 있어서도 다른 공익과의 비교형량의 중요 기준으로 활용될 수 있는 근거로서 검토될 수 있을 것이다.
오늘날 저장장치 및 빅데이터와 강력한 기계학습알고리즘 등의 발전으로, 인간의 눈에는 식별할 수 없는 것처럼 보이더라도 개인으로부터 파생되거나 추론되는 데이터들이 쉽게 민감한 데이터로까지 추론되는 시대를 살고 있다. 비루해 보이는 토끼굴이 사실은 석·박사들이 포진한 데이터처리회사라는 이상한 나라까지 쭉 연결되는 것처럼 말이다.
EU GDPR을 중심으로 세계적으로 개인정보보호법제가 디지털 시대에 개인정보주체에게 보다 적극적인 통제권을 부여하고, 개인의 인권을 침해하는 개인정보처리를 제한하는 방향으로 변화되고 있다. 관련된 캘리포니아 주 법은 이에 영향을 받아 두 차례에 걸쳐 개정되었으며, 미 연방 개인정보보호법안도 발의된 바 있다.
이번 판결에서 문제가 된 「개인정보보호법」 제3절 가명정보의 특례는 개인정보보호법 전체 맥락과 견주어 보아도 어떤 개인정보처리규정과도 연결점이 없이 갑자기 툭 튀어나온 모습이다. ”활용”과 ”데이터 결합”을 위해 보호법에 특별한 특혜규정을 열어준 것이다. 지금이라도 법체계내에서 ”가명정보“라는 개념은 폐기하고, 가명처리를 안전조치의 일종으로 검토하여 개인정보보호법의 본래적 목적에 맞는 법개정이 이루어져야 한다. 또한 근본적으로 헌법상 개인정보자기결정권을 실질화하는 개인의 권리를 복원해야 한다.
1) EU GDPR(General Data Protection Regulation, EU 일반 개인정보보호법). 2016년 공포된 유럽의회 통합 규정으로써 유럽 시민들의 개인정보 보호를 강화하기 위해 시행된 규정으로 유럽 연합 시민의 데이터를 활용하는 경우 준수해야 한다. 개인정보 유출에 대한 심각성이 강조되면서 유럽뿐 아니라 전세계적으로 채택되거나 이와 유사한 법제가 도입되고 있다.
2) ‘pseudonymisation’ means the processing of personal data in such a manner that the personal data can no longer be attributed to a specific data subject without the use of additional information, provided that such additional information is kept separately and is subject to technical and organisational measures to ensure that the personal data are not attributed to an identified or identifiable natural person;
3) The application of pseudonymisation to personal data can reduce the risks to the data subjects concerned and help controllers and processors to meet their data-protection obligations. The explicit introduction of ‘pseudonymisation’ in this Regulation is not intended to preclude any other measures of data protection
참여연대 사법감시센터는 최근 판결 중 사회 변화의 흐름을 반영하지 못하거나 국민의 법 감정과 괴리된 판결, 기본권과 인권보호에 기여하지 못한 판결, 또는 그 와 반대로 인권수호기관으로서 위상을 정립하는데 기여한 판결을 소재로 [판결비평-광장에 나온 판결]사업을 진행하고 있습니다. 주로 법률가 층에만 국한되는 판결비평을 시민사회 공론의 장으로 끌어내어 다양한 의견을 나눔으로써 법원의 판결이 더욱더 발전될 수 있다는 생각 때문입니다.
OGP 5차국가실행계획 정책제안(정보공개센터).pdf
![통계작성, 과학적 연구, 공익적 기록보존 등을 위한 처리근거 비교표. 우리 개인정보보호법과 유럽 GDPR을 비교하고 있다. 체계. 우리 개인정보보호법. 개인정보 처리근거와 무관하게 맥락없는 가명정보의 특례로 “동의받지 않고 활용할 수 있다”라고 구성되어 있음(제3절 가명정보의 처리에 관한 특례). 유럽GDPR. 양립가능성(제6조 제4항 본문)을 근거로 하여 공익적 기록보존 목적, 과학적 또는 역사적 연구 목적, 또는 통계 목적을 위한 추가 처리를 양립가능성 범위내로 예시함(전문 제50조, 제5조 제1항 b호 후문). 요건. 우리 개인정보보호법. 가명정보. 유럽GDPR. 가명처리는 안전조치의 하나일 뿐이지, 가명처리되었다고 하여 안전조치가 전부 충족된 것은 아니다. 정보주체의 권리 배제. 우리 개인정보보호법. 별도의 조건이나 제한없이 수집출처 등 고지의무(제20조), 개인정보 파기의무(제21조), 영업양도등에 따른 사전 통지의무(제27조), 개인정보 유출 통지의무(제34조), 열람권(제35조), 정정・삭제에 관한 권리(제36조), 처리정지 요구권(제37조), 정보통신서비스 사업자의 정보통신서비스 제공자의 개인정보 수집・이용에 관하여 이용자로부터 동의 등을 받을 의무(제39조의3), 개인정보 유출통지 및 신고의무(제39조의4), 개인정보 파기의무(제39조의6), 동의 철회에 관한 권리(제39조의7) 등 정보주체의 권리행사배제 (법 제28조의7). 유럽GDPR. - 과학적 또는 역사적 연구 목적, 통계 목적으로 처리되는 경우 일부 정보주체의 권리[제15조(열람권) , 제16조(정정권), 제18조(처리에 대한 제한권), 제21조(반대할 권리)]를 배제할 수 있으나, 이 경우에도 해당 권리가 목적의 달성을 불가능하게 하거나 중대하게 손상시키고, 그러한 배제가 목적달성에 필요한 경우에만 배제를 허용함. - 공익적 기록보존 목적일 경우에는 [제15조(열람권) , 제16조(정정권), 제18조(처리에 대한 제한권), 제19조(고지의무), 제20조(개인정보이동권), 제21조(반대할 권리)]를 배제할 수 있으나, 이 경우에도 해당 권리가 목적의 달성을 불가능하게 하거나 중대하게 손상시키고, 그러한 배제가 목적달성에 필요한 경우에만 배제를 허용함.](https://pspd-www.s3.ap-northeast-2.amazonaws.com/wp-content/uploads/2023/02/21103403/20230220_%ED%8C%90%EA%B2%B0%EB%B9%84%ED%8F%89_%EA%B9%80%EB%B3%B4%EB%9D%BC%EB%AF%B8%EB%B3%80%ED%98%B8%EC%82%AC_%ED%91%9C1.png)
시민들의 의견
댓글 달기