[시평 523] 기업이 내 동의 없이 내 정보를 가져다 쓴다?
기업이 내 동의 없이 내 정보를 가져다 쓴다?
데이터 3법, 위험하다
이상윤 연구공동체 건강과대안 책임 연구위원
문재인 대통령이 지난 10월 28일 "데이터 3법이 연내에 통과되도록 국회와 적극 협력하겠다"고 말하자 더불어민주당이 10월 30일 "데이터 3법(개인정보보호법, 신용정보법, 정보통신망법)'을 이번 정기국회에서 통과할 수 있도록 하겠다"고 밝혔다. 정부와 민주당이 말하는 법 개정의 이유는 '데이터 산업 발전'이다.
하지만 데이터는 데이터 저장장치에 존재하는 단순한 정보 묶음이 아니다. 이는 현실 세계에서 살아가는 개인들에 대한 정보이고 이들이 살면서 만들어 낸 삶의 이력 그 자체이다. 개인정보는 경제발전을 위한다는 명목으로 국가에 의해 동원될 수 있는 자원도 아니고 연료도 아니다. 이는 개인의 삶의 궤적이며, 역사이고, 존엄성 그 자체이다. 개인정보에 대한 권리는 정보 주체에게 있고, 개인정보를 활용하고 싶은 이들이 있다면 그게 누구이든 정보 주체의 동의를 받아야 한다.
정부와 민주당이 추진하는 '데이터 3법' 개정 중 특히 문제가 되는 것은 개인정보 보호법 개정안에 담긴 '가명정보'의 경우 정보 주체의 동의 없이도 개인정보를 활용할 수 있도록 한 조항이다. 개정안은 통계작성, 과학적 연구, 공익적 기록보존 등으로 그 목적을 한정하긴 하였으나, 통계, 과학적 연구를 매우 폭넓게 정의함으로써 사실상 기업, 개인의 사익 추구를 위한 통계, 연구도 정보 주체의 동의 없이 개인정보를 처리할 수 있도록 허용하고 있다. 누구든 약간의 기술적 조치만 취하면 정보 주체의 허락 없이 타인의 개인정보를 마음대로 사용할 수 있게 하겠다는 것이다.
정부, 여당은 '가명화'라는 형태로 개인을 알아볼 수 없게 한 정보에 한정된 것이고, '가명 정보'를 활용하여 개인을 식별하는 행위를 한 경우 무거운 과징금을 부과하도록 하였기에 우려할 필요는 없다고 한다. 하지만 이는 빅데이터 시대의 데이터 특성을 몰라도 너무 모르고 하는 소리다.
확률의 문제일 뿐 가명정보를 활용하여 개인을 재식별 하는 것은 불가능하지 않다. 이른 바 빅데이터 시대인 지금은 한 개인에 대한 개별적인 정보를 대량으로 포함하고 있는 데이터 집합을 사용하여 개인을 식별하는 것은 더욱 쉬워졌다. 데이터 양이 많아지면 많아질수록 가명정보를 활용한 개인 식별은 쉬워진다. 미국 국립보건원이 자신들이 가지고 있던 연구 데이터들을 가명화한 이후 온라인에서 누구나 다운 받을 수 있게 했다가 곧바로 철회한 이유도 이러한 이유 때문이었다.
과징금 등의 처벌 강화 조치는 사후약방문일 뿐 개인정보 재식별과 유출을 막기 위한 원천적 예방책은 아니다. 해커나 데이터 기업들이 벌금이나 과징금이 무서워 법 위반 행위를 하지 않을 것이라는 생각은 너무 순진하다. 이들은 발각될 가능성이 적기도 하지만, 발각되어 벌금이나 과징금을 내더라도 그게 더 이익이기 때문에 개인정보를 도둑질하고 유출하고 활용한다.
이러한 상황에서 정보 주체의 권리 제약이 정당화되려면, 이것이 합당한 공공 이익 목적을 위한 것이고, 동일한 목표에 도달하기 위해 활용할 수 있는, 상대적으로 침해나 제한의 성격이 약한 다른 수단이 존재하지 않는다는 것을 정부, 여당이 설득력 있게 입증해야 한다. 하지만 기업과 정부가 주창하는 '데이터 산업 발전'은 공공의 이익을 위한 것이라 보기 힘들다. 정보 주체의 정보인권을 존중하면서 데이터 산업을 발전시킬 다른 수단이 없는 것도 아니다. 데이터 산업을 발전시키기 위해 정보 주체의 동의 없이도 개인정보를 활용할 수 있도록 하는 것은 명백히 정보인권 침해이며 윤리적으로 정당화되기 힘들다.
정부, 여당의 개인정보 보호법은 인권 보장 측면뿐 아니라 윤리적으로도 큰 문제를 가지고 있다. 특히 크나큰 오욕의 역사를 가지고 있는 생명, 의학 연구 영역에서 발전해 온 생명/의학 연구 윤리의 원칙과 이 법은 정면으로 배치된다. 생명/의학 연구 윤리의 원칙 중 가장 중요한 것 중 하나는 '충분한 정보에 근거한 자발적 동의(Informed consent)'이다. 한국의 생명윤리법 제3조 제2항에서는 이를 "연구 대상자등의 자율성은 존중되어야 하며, 연구대상자등의 자발적인 동의는 충분한 정보에 근거하여야 한다"고 명시하고 있다. 이는 개인이 자신의 개인정보 및 생물학적 물질 사용에 대한 통제권을 행사할 수 있는 권리를 포함한다.
과학적 연구 참여에 대한 개인의 동의는 연구 수행 기관에 대한 신뢰를 기반으로 하는 경우가 많다. 그러므로 누가 동의 없이 내 개인정보를 사용하는가도 매우 중요한 고려사항이다. 민간보험회사가 연구 목적이라고 하더라도 내 의료 정보, 건강 정보를 동의 없이 사용한다고 하는데 별 문제 없다고 생각하는 이들이 얼마나 될까. 데이터 기업이 연구 목적으로 내 정치적 입장, 종교, 성적 취향 등에 대한 개인정보를 수집하여 분석한다고 하면 다수가 이를 불편하게 여기지 않겠는가. 그런데 개정안이 통과되면 내 동의 없이도 기업이 내 민감 정보를 활용할 수 있게 된다.
상업적 연구가 아니라 과학적 발전을 위한 연구로 한정하여 법을 적용한다고 해도 문제는 남는다. 아무리 과학적 발전을 위한 연구라 하더라도 한 개인은 자신의 윤리적 신념에 반하는 연구에 참여를 거부할 권리가 있다. 예를 들어 자신의 가족과 미래 세대에 대한 프로파일링을 위한 유전체 연구, 인종차별의 근거가 될 가능성도 존재하는 유전체 연구, 특정 집단을 차별하고 배제하는 근거로 악용될 수도 있는 건강 연구, 유전적 특질을 이용한 생물학적 무기 개발에 이용될 수도 있는 연구 등에 자신의 개인 건강정보, 유전정보가 동의 없이 사용되기를 원하지 않는 이들이 다수이다. 빅데이터를 활용한 연구는 그 최종 결과가 무엇이 될지 연구자조차 예상하기 힘든 경우도 있다. 최악의 경우 정보 주체의 동의 없이 활용한 그 개인정보로 인해 정보 주체에게 해가 되는 연구 결과가 도출될 수도 있다. 내 동의 없이 사용한 내 개인정보로 인해 내가 불이익을 받아야 하는 부조리한 상황이 벌어질 수도 있는 것이다.
정보 주체의 프라이버시를 침해할 가능성이 있을 뿐 아니라 연구 대상자의 자율성을 해칠 가능성이 있는 정부, 여당의 개인정보 보호법 해당 조항은 절대 원안대로 통과되어서는 안 된다. 데이터 산업 육성이라는 명목으로 기업이 정보 주체의 동의 없이 개인정보를 활용할 수 있도록 하는 것에 신중해야 한다. 공공적 목적에 부합하는 용도에 국한하여 매우 제한적으로 가능하도록 규제의 틀을 만들어야 한다. 더디게 가더라도 국민적 합의와 신뢰를 바탕으로 관련 정책을 추진하는 것이 데이터 산업 발전에도 더 좋다.
참여사회연구소는 2011년 10월 13일부터 '시민정치시평'이란 제목으로 <프레시안> 에 칼럼을 연재하고 있습니다. 참여사회연구소는 1996년 "시민사회 현장이 우리의 연구실입니다"라는 기치를 내걸고 출범한 참여연대 부설 연구소입니다. 지난 19년 동안 참여민주사회의 비전과 모델, 전략을 진지하게 모색해 온 참여사회연구소는 한국 사회의 현안과 쟁점을 다룬 칼럼을 통해 보다 많은 시민들과 만나고자 합니다. 참여사회연구소의 시민정치는 우리가 속한 공동체에 주체적으로 참여하고, 책임지는 정치를 말합니다. 시민정치가 이루어지는 곳은 우리 삶의 결이 담긴 모든 곳이며, 공동체의 운명에 관한 진지한 숙의와 실천이 이루어지는 모든 곳입니다. '시민정치시평'은 그 모든 곳에서 울려 퍼지는 혹은 솟아 움트는 목소리를 담아 소통하고 공론을 하는 마당이 될 것입니다. 많은 독자들의 성원을 기대합니다. 같은 내용이 프레시안에도 게시됩니다. 목록 바로가기(http://www.pressian.com/news/review_list_all.html?rvw_no=1661" rel="nofollow">클릭)
* 본 내용은 참여연대나 참여사회연구소의 입장과 다를 수 있습니다.
OGP 5차국가실행계획 정책제안(정보공개센터).pdf
시민들의 의견
댓글 달기