온라인 주민번호(CI,DI) 무단조회를 우려한다

수사기관의 개인식별번호 접근, 영장주의 적용해야

기업 편의 위해 도입된 CI 정책 폐지해야

지난 3일 국회 행정안전위원회 국정감사에서 정인화 국회의원(무소속)에 의해 그동안 본인확인기관을 통해 국민들의 중복가입정보(DI, Duplication Information 이하 DI)값을 무단으로 조회해 왔다는 사실이 드러났다. 경찰청은 지난 2009년부터 내부 수사포털시스템을 구축, 본인확인기관인 나이스신용평가를 통해 DI값을 마음대로 조회해 왔으며 올해 9월 이전까지는 누구를 얼마나 조회했는지 기록조차 남아있지 않았다. 또한 9월부터 3주간의 DI 조회 건수가 4,400 건에 달했다. 해당 수사포털시스템이 구축되던 당시 방송통신위원회가 기록 의무화 등 조회 남용을 방지하는 보호조치를 취할 것을 권고했지만 경찰이 이를 지키지 않은 것이다.

DI는 중복가입정보로 본인확인기관이 주민번호와 사이트 식별번호를 이용해 생성하는 64byte 난수다. DI를 생성하기 위해서는 이용자의 주민등록번호와 각 웹사이트 별 식별번호가 이용된다. 중복가입을 방지하기 위해 부여받는 것이기 때문에 국민은 각 사이트 별로 다른 DI 값을 갖고 있다. 경찰이 법원의 허가도 없이 언제든지 자유롭게 조회 시스템을 통해 DI 값을 확보하고, 이를 이용해 국민을 온라인에서 식별하고 행적을 들여다본 것은 국민의 정보인권을 침해한 것이다.

DI 뿐만 아니라 또다른 개인식별번호인 연계정보(CI, Connecting Information 이하 CI)의 문제 역시 심각하다. CI는 DI와 마찬가지로 주민번호 오남용 문제가 불거지고 주민번호의 처리 그 자체를 법으로 제한하게 되면서, 온라인에서 서로 다른 업체 간 동일인을 식별하고자 하는 기업 편의를 위해 도입된 제도다. 

CI와 DI는 온라인에서 개인식별을 위해 주민등록번호에 기반하여 생성된 사실상 온라인 주민등록번호다. 각 국민은 하나의 CI만을 갖고 이를 변경할 권한도 없다. 즉, 주민번호와 같이 개인을 특정하고 추적할 수 있으며 서로 다른 개인정보를 연결하는 열쇠 역할을 하게 된다. 따라서 유출될 경우 그 위험성이 매우 크지만, 그에 합당한 보호를 받지 못하고 있다. CI와 DI는 온라인상 주민등록번호라고 할 수 있음에도 그 수집 및 활용이 법적으로 제한되어 있지 않으며, 정인화 의원이 밝힌 바와 같이 수사기관은 영장도 없이 DI에 접근할 수 있는 시스템을 보유하고 있다. 또한 주민등록번호-DI-CI로 이어지는 개인식별 시스템을 통해 온라인, 오프라인을 망라하는 감시가 가능하게 된다. 

이러한 위험성을 지닌 CI정책은 사실상 존재할 이유가 없다. CI는 주민번호의 수집금지 이후에도 기업 간 원활하게 제휴서비스가 이루어지도록 하기 위해 도입된 정책이나 다름없다. 기업 간 제휴서비스는 기업이 알아서 해야 하는 부분이며, 정부가 기업을 위해 나서서 국민을 식별할 수 있도록 도와주는 이러한 제도는 전세계에서도 찾아보기 힘들다.

최근 CI를 본인확인을 넘어 범용 개인식별번호로 사용하려는 시도가 증가하고 있다. 이미 지난 2월 과학기술정보통신부는 규제 샌드박스에 <메신저·문자 기반 행정‧공공기관 고지서 모바일 전자고지 서비스>가 포함되며 행정‧공공기관의 모바일 전자고지를 위해 본인확인기관이 주민번호를 CI로 일괄 변환해 사용할 수 있도록 임시 허가한 바 있다. 이는 주민번호와 온라인 주민번호인 CI가 있는 한국에서만 가능한 기형적인 서비스이며, 특정 민간업체만 주민번호를 사용해 수익을 창출할 수 있는 특혜를 주는 것이다. 또한 전자고지는 정보주체의 동의를 받으면 이미 얼마든지 가능한 서비스인데 행정 편의를 위해 정보주체의 동의 없이 CI를 무단으로 활용하겠다는 것이나 다름없다.

본인확인 기반의 인터넷 환경은 전세계적으로 드문 사례이며 그 자체로 익명 표현의 자유와 프라이버시권을 침해한다. 따라서 정부는 그 기반이 되는 CI를 폐지해야 한다. 또한 주민번호, CI, DI 등 어떠한 형태의 개인식별번호도 엄격히 관리,보호해야 하며, 수사기관이 이에 접근할 때에는 반드시 엄격한 영장주의가 적용돼야 한다. 

2019년 10월 17일

참여연대 공익법센터,금융정의연대, 민주사회를 위한 변호사모임 디지털정보위원회, 서울YMCA 시청자시민운동본부, 진보네트워크센터

※ 참고자료 

1. 정인화 의원실 보도자료  https://blog.naver.com/101bbb/221671929209

2.CI와 DI의 개념 비교(출처 : 한국인터넷진흥원)

https://lh6.googleusercontent.com/cCDEmWk7VPf6TOufQYiElDZcr5YjtLrv9gu0Ph... style="width:850px;height:642px;" />

3.CI와 DI의 방식 비교(출처 : 한국인터넷진흥원)

https://lh5.googleusercontent.com/CMu3fT9a8NxEVbpZf3Qo_4Vhllu5CHzAO-zO4O... style="width:850px;height:638px;" />

국회 본회의에 부의된 통비법개정안(법제사법위원회 대안)에 반대한다!

헌재의 헌법불합치 취지 왜곡, 국가인권위 의견 무시, 정보기관 ·수사기관의 위헌적 통신감시 행태에 대한 통제 사실상 포기해

국회가 지난 정부 통신감시를 잊지 않고 앞으로 통신감시국가를 원치 않는다면 마땅히 반대하고 새로 논의해야

지난 11월 27일 국회 법제사법위원회는 통신비밀보호법 대안을 만들어 본회의에 부의한 사실이 확인되었다. 그러나 이 대안은 통신비밀보호법 개선에 대한 국가인권위원회 의견은 물론 헌법불합치 결정의 취지를 왜곡하고 정보기관과 수사기관 봐주기로 점철되어 있다. 특히 위치추적을 비롯하여 통신사실확인자료에 대한 통제 전반을 강화해야 한다는 헌법재판소 결정을 제대로 반영하지 않았을 뿐더러 정보기관의 패킷감청을 적법절차에 따라 통제하는 제도를 만들어야 한다는 헌법불합치 결정은 아예 반영되어 있지 않다. 

지난 2005년 안기부 X파일과 휴대전화 감청 논란에도 그 이후 전혀 개선이 이루어지지 않은 통신비밀보호법은 국정원 등 국가 권력기관의 통신감시가 지속적으로 확장되어 온 상황을 통제하기는 역부족임이 분명하게 드러났다. 국가인권위원회 역시 여러 차례 권고와 의견을 통해 통신비밀보호법의 전향적인 개선을 통해 불법적인 통신감시에 대한 실효적인 법적 통제장치를 만들라고 요구해 왔다. 급기야 지난해 헌법재판소는 실시간 위치추적, 기지국수사, 그리고 국정원 패킷감청에 대하여 무려 3건의 헌법불합치 결정을 연달아 내리면서 입법자인 국회에 내년 3월 31일 시한으로 개선을 권고하기에 이르렀다. 이제 국가권력의 무분별한 통신감시를 엄격하게 통제하도록 통신비미보호법을 개정하는 일은 시급하고 중요한 과제가 되었다. 

대상자의 위치를 실시간으로 추적하는 수사기법이 오랫동안 남용되어 왔고 기지국수사로 정당 집회에 참여한 사람들의 신원을 낱낱이 확인하는 일이 발생하였다. 헌법재판소는 “이동전화를 이용한 통신과 관련하여 필연적으로 발생하는 통신사실확인자료는 비내용적 정보이기는 하나, 여러 정보의 결합과 분석을 통하여 정보주체에 관한 다양한 정보를 유추해내는 것이 가능하므로 통신내용과 거의 같은 역할을 할 수 있”으며 따라서 “강력한 보호가 필요한 민감한 정보로서 통신의 내용과 더불어 통신의 자유를 구성하는 본질적인 요소에 해당 한다”고 설시하였고 실시간위치추적과 기지국수사의 개선 방향에 대해서도 몇 가지 대안을 구체적으로 제시하였다. 헌법재판소는 현행 통신사실확인자료 통지 제도에 대해서도 헌법불합치를 선언하면서 통지 유예시 사법부 등 객관적·중립적 기관의 허가를 얻도록 하는 등 구체적인 대안을 제시하였다. 그러나 국회 법사위는 이런 헌법재판소 결정 취지를 전혀 반영하지 않았다. 

가장 문제가 심각한 것은 법사위 대안에 패킷감청 등 정보수사기관의 감청 통제에 대한 조항이 전혀 없다는 것이다. 주택과 사무실, 모바일 와이브로 에그 등 인터넷 회선 전체를 감청하는 국정원의 패킷감청이 많은 논란을 빚어왔고, 구 기무사는 세월호TF에서 일반시민에 대한 무작위 감청을 한 데 이어 최근 휴대전화 감청 장비를 불법 제조하고 반경 200m 수십만 건의 불법 휴대전화 감청사실이 드러나 예비역 중령이 구속된 상황이다. 공개변론을 포함해 정보기관의 감청 문제를 중대하게 다루어온 헌법재판소가 미국, 독일, 일본 등 주요 국가에서는 감청에 대하여 법원 등이 통제한다며 구체적인 감청 통제를 주문하였으나 법사위 대안은 그 내용을 통째로 누락시켰다. 황당하기 이를 데가 없다.

통신비밀보호법을 소관하는 국회 법사위가 헌법불합치 결정에 대한 대안을 만들면서 헌법불합치결정의 취지 그리고 헌법재판소가 입법자에게 제안한 내용을 제대로 반영하지 않은 것은 심각한 문제가 아닐 수 없다. 국회 의사일정이 최근 혼란한 틈을 이용하여 정보기관과 수사기관의 일방적인 의견에 따라 졸속으로 상임위 대안이 마련된 것이라는 의심을 지울 수 없다. 그렇다면 이는 국민의 기본권보호를 위해 무차별적인 통신감시에 대한 통제장치를 강구해야 할 책무를 지닌 국회의원들이 집단적, 고의적으로 직무를 유기한 것이다.

지난 정부에서 통신감시가 무차별적으로 자행되었다는 역사적 경험을 잊지 않고 앞으로 통신감시국가가 되기를 원치 않는다면 국회는 마땅히 법제사법위원회 대안을 부결해야 한다. 법사위 대안은 헌법재판소의 헌법불합치 취지를 왜곡하고 국가인권위 의견도 무시하면서 정보기관과 수사기관의 위헌적 통신감시 행태에 대한 통제를 사실상 포기한 것이다. 더불어 국회는 헌법불합치 결정 취지를 반영하는 통신비밀보호법 개정 논의를 새로 시작해야 한다. 오랫동안 통신비밀보호법 개선을 요구하고 싸워온 우리 시민사회는 엉터리 법사위 대안을 반대하며 지금이라도 국회가 올바른 통신비밀보호법 개선에 나설 것을 강력히 요구하는 바이다

2019년 12월 11일

민주사회를위한 변호사모임 디지털정보위원회, 사단법인 정보인권연구소, 진보네트워크센터, 참여연대, 천주교인권위원회

국회 법사위는 통비법 제대로 개정하여 모든 정보기관의 ‘모든 감청’ 통제해야 

시민사회 “헌법불합치 취지 반영 안한 정부안 졸속처리 반대”

내일(03/03, 화) 국회 법제사법위원회는 감청통제에 대한 통신비밀보호법 개정안 심사를 예정하고 있다. 정부여당은 2월 10일 발의 후 한달도 채 되지 않은 통신비밀보호법 정부안(의안번호2024595_송기헌의원 대표발의안)의 임시국회 통과를 서두르고 있는 것으로 알려졌다. 우리 단체들은 정부여당이 헌법불합치 결정을 제대로 반영하지 않은 통신비밀보호법 개정을 강행하는 데 대하여 분노하며 모든 정보기관의 모든 감청을 통제할 것을 요구한다.

감청통제에 대한 통신비밀보호법 개정이 추진되는 이유는 2018년 8월 30일 국가정보원 인터넷회선 감청(이른바 ‘패킷감청’) 사건에 대한 헌법불합치 결정 때문이다(2018. 8. 30. 2016헌마263 결정). 이 결정에서 헌법재판소는 통신비밀보호법 제12조를 지목하며 “현행 감청 제도가 특정 범죄수사를 위한 최후의 보충적 수단이 아니라 법원으로부터 허가받은 범위를 넘어 특정인의 동향 파악이나 정보 수집을 위한 목적으로 수사기관에 의해 남용될 가능성을 배제하기 어렵다”고 지적하였다.

이어 헌법재판소는 인터넷 패킷감청에 대한 판단을 넘어 정보수사기관의 감청 집행에 대해 올바른 통제 방안을 마련할 것을 입법부에 제안하면서, 미국과 독일, 일본 등 해외 국가에서처럼 수사기관이 감청 집행으로 취득한 자료에 대한 처리를 법원이 객관적으로 통제할 것을 요청하였다.

작년에는 (구)국군기무사령부가 세월호TF에서 전파관리소를 동원하여 일반시민에 대해 무작위로 감청하고 휴대전화 감청 장비를 불법 제조하여 불법감청을 실시한 혐의로 기소되는 등 정보기관의 감청에 대한 올바른 통제가 시급한 사회적 과제가 되었다. 

그러나 정부안의 경우 정보기관의 감청을 엄격하게 통제해야 한다는 헌법재판소의 결정 취지를 제대로 반영하지 않았다. 정부안은 헌재결정의 대상 사건인 인터넷 패킷감청을 원칙적으로 제한하지 않았고, 오히려 패킷감청 실시를 전면화하면서 법원의 감청 통제를 인터넷 패킷감청으로만 제한하여 헌법불합치 결정 취지를 왜곡하였다.

특히 정부안은 △감청 통제의 대상을 정보기관 모든 감청이 아니라 범죄수사를 위한 인터넷회선 감청으로만 국한하였으며, △감청 자료를 허가받은 특정범죄 수사 뿐 아니라 범죄 예방 및 장래 ‘사용을 위하여’ 보관하도록 허용하였다. 이는 특히 현행 통신비밀보호법 제12조에 대한 헌법재판소의  결정 취지를 정면으로 거슬러 오히려 그 남용폭을 더욱 확대한 것이다. 또한 △감청 자료를 일부 법원이 보관하도록 하면서도 헌법재판소가 소개한 독일, 일본의 경우처럼 감청 당사자가 이 자료를 열람하고 감청 집행에 불복할 수 있는 기회를 부여하고 있지 않으며, △정보수사기관이 신설된 조항들을 위반하였을 경우에도 아무런 처벌 조항을 두고 있지 않다. 

결국 정부안은 감청 통제의 형식만을 빌어왔을 뿐, 인터넷 패킷감청은 물론 정보기관의 일상적인  동향 파악이나 정보 수집에 실질적으로 아무런 통제력을 발휘하지 못한다는 점에서 통제를 강화하라는 헌법불합치 결정의 취지를 제대로 반영하지 않았다.

정보기관 감청을 올바르게 통제하기 위해서는,

▲정보기관의 모든 감청 자료에 대하여 법원이 통제하도록 해야 하고 ▲헌법재판소가 감청 남용 조항으로 지목한 현행 제12조에서 감청 자료를 범죄를 예방하기 위하여 사용할 수 있도록 허용한 제1호를 개정해야 하며, ▲독일 형사소송법에서처럼 사생활에 관한 정보 취득 시 즉시 삭제 또는 폐기해야 하고 ▲당사자의 권리보호를 위하여 통신제한조치의 집행에 관한 통지를 받은 당사자가 기록매체의 보관을 명한 법원에 통신제한조치의 집행의 적법성에 대한 심사를 청구하고 기록매체의 전부 또는 일부의 복사를 청구할 수 있도록 보장하는 한편, ▲정보수사기관의 위반 행위에 대하여 처벌하는 조항을 반드시 두어야 한다. 이러한 시민사회의 개정방향을 담은 통신비밀보호법 개정안(의안번호_2024631)

을 지난 2월 24일 추혜선 의원이 발의한 바 있다. 

우리 단체들은 국회 법사위가 올바른 정보기관의 감청 통제 제도 마련을 위하여 충분히 논의해 심의할 것을 요구하며 임시국회에서 정부안을 졸속으로 처리하는 것에 반대한다.  

총선 일정과 코로나19 사태로 국회 일정이 혼란한 틈을 타 국회 법사위가 감청통제에 대한 중요한 법을 졸속으로 처리한다면, 정보기관 감청에 대하여 올바른 통제를 염원해 온 국민의 우려와 비판을 면하지 못할 것이다. 

2020. 3. 2. 

민주사회를위한변호사모임 디지털정보위원회, 사단법인 정보인권연구소, 진보네트워크센터, 참여연대, 천주교인권위원회, 한국진보연대

전자추적장치가 아니라 시민을 믿어야 한다

코로나19 관련 자가격리자 전자적추적장치 부착 방안 철회해야

법률적 근거도 없고 인권, 사생활침해 정도 지나쳐

정부가 코로나19 확산 방지를 위해  자가격리대상자에게 실시간 위치추적이 가능한 전자밴드 등 전자적 추적장치 부착을 검토 중이다. 특히 최근 자가격리대상자들이 잇달아 자가격리지를 무단 이탈하는 사례가 발생하면서 더 강력한 대책을 찾던 중에 나온 방안이다. 그러나 자가격리대상자에게 실시간 위치추적이 가능한 전자장치를 부착할 수 있는 법률상 근거는 없다. 코로나19로 감염병 위기 상황이라고 해서 감염병 확산방지를 위한 모든 행위가 정당화될 수는 없다. 

대규모 감염병 확산을 예방하기 위해 유효한 수단 중 하나로서 자가격리의 필요성은 국민 대다수가 공감하고 있고, 99% 이상의 대부분의 자가격리대상자들은 자가격리지침을 준수하고 있다. 자가격리지침을 위반하고 자가격리지를 이탈한 몇 명 때문에 전체 자가격리대상자의 기본권을 침해하는 조치를 도입하는 것은 지극히 행정편의적 발상이다. 또한 법률상 근거 없이 기본권 침해를 하는 경우 ‘동의’가 그 행위를 정당화해 줄 수 없다. 더구나 현행법상 동의하지 않는 경우 강제로 전자적 추적장치를 부착하도록 강제할 수도 없기 때문에 과연 실효성있는 조치인지도 의문이다. 

따라서 긴급한 공공보건 목적을 위해 사생활의 자유를 일정정도 제한하는 것이 용인된다고 하더라도 전자적 추적장치를 부착하도록 하는 것은 법률상 근거가 없어 위법하고, 현재 국내 코로나19 확산추세를 고려하면 이런 초법적 조치를 할 정도의 단계인지 의문이다. 지금까지 그랬듯이 전자추적장치가 아니라 방역에 적극 협조하고 있는 시민들을 믿어야 한다. 끝

http://www.peoplepower21.org/./files/attach/images/37219/287/662/001/bb2... />

오늘(12/9) 건강과대안, 건강권실현을위한보건의료단체연합, 무상의료운동본부, 민주사회를위한변호사모임 디지털정보위원회, 전국민주노동조합총연맹, 진보네트워크센터, 참여연대는 청와대 분수대 앞에서 개인정보3법(개인정보보호법개정안, 신용정보보호법개정안, 정보통신망법개정안)을 통과시킬 것을 압박하고 있는 문재인 정부 규탄 기자회견을 개최했다. 그동안 정부와 국회는 4차 산업혁명과 경제혁신을 위해 데이터 3법이 반드시 통과되어야 한다고 주장해 왔다. 그러나 세 법안은 국민의 개인정보보호 체계를 근본적으로 바꾸는 중대한 사안임에도 그간 사회적 논의와 합의 없이 일방적으로 추진되었다. 정부가 사실상 법안마련을 주도한 것으로 알려진 이들 법안의 주요내용은 정보 주체자인 국민의 동의없이 개인정보를 상업적으로 활용할 수 있도록 하고 있고  정보주체의 권리는 대폭 축소 또는 폐지하는 등 안전장치가 거의 전무하다. 지금이라도 정부가 이들 3법안 강행을 중단하고 제대로 된 개인정보보호 체계를 마련하기 위한 사회적 논의를 시작할 것을 촉구한다.

지난 12/4일 국회 과학기술정보방송통신위원회가 <정보통신망법안>을 졸속으로 통과시킴으로써 이제 개인정보3법안은 모두 법제사법위원회의 체계 자구 심사와 본회의만을 남겨두고 있다. 수차례 지적했듯이, 개인정보 3법은 기업들이 가명처리된 고객정보를 정보주체의 동의없이 판매, 공유, 결합할 수 있도록 허용하는 ‘개인정보 도둑법’이다. 공공의 이익도 아니고 사기업의 이윤을 위해, 그것도 충분한 안전장치도 없이 정보주체의 권리를 일방적으로 희생할 것을 요구하는 것은 국민의 기본권 보호를 국가의 책무로 규정하고 있는 헌법에도 위배된다. 

개인정보보호와 활용의 균형을 이루겠다는 법개정 취지는 말속임에 지나지 않는다. 건강정보나 금융정보와 같이 개인의 가장 사적이고 민감한 정보에 대해서초자 안전장치를 찾기 어렵다. 가명처리만 하면 애초 수집 목적 외로 다른 기업에 제공할 수 있도록 하고 있으며, 더구나 한번 제공된 가명정보는 목적달성 후 삭제,폐기의무도 없다.이 뿐인가? 서로 다른 기업의 고객정보를 공공기관이 결합해주도록 하고 있다. 이는 전세계 유례가 없는 일이다. 정부는 유럽연합의 일반개인정보보호규정(GDPR) 적정성 평가를 위해서도 개인정보3법 통과를 서둘러야 한다고 하고 있다. 그러나 이들 3법안은 유럽연합의 GDPR에 비해 개인정보처리자의 책임성을 강화하는 조항도 부재하다. 무엇보다 GDPR의 수준에 맞게 개인정보감독기구의 독립성과 권한을 강화하는 게 선행되어야 했다. 정부의 주장대로 적정성 평가를 위해 법개정을 서둘러야 한다면 문제가 되는 법안 내용 중 개인정보보호위원회의 독립성과 권한을 강화하는 조항만 통과시키면 된다.

이와 같이 개인정보3법안이 개인정보보호와 활용의 조화를 구현하겠다는 법개정 취지와는 반대로 가고 있음이 명백한데도 정부가 법안 통과를 적극 요구하고 있을 뿐 아니라 비쟁점법안이라며 국회 역시 통과를 서두르겠다고 하고 있다. 노동시민사회는 경제혁신을 위해 국민의 정보인권을 일방적으로 희생할 것을 요구만 할 것이 아니라 지금부터라도 사회적 논의를 시작한다면 제대로 된 개인정보보호와 활용 정책을 모색해 나갈 수 있을 것이라고 주장했다. ‘국민이 주인인 나라’를 표방하는 문재인정부가 현명한 선택을 할 것을 기대한다고 밝혔다.

https://www.flickr.com/photos/pspd1994/49191450952/in/dateposted-public/" title="SW20191209_기자회견_개인정보도둑법강행하는정부규탄 (6)" rel="nofollow">https://live.staticflickr.com/65535/49191450952_8dcc0d2851_c.jpg" width="800" />

데이터 3법 강행하는 정부를 규탄하기 위해 모인 시민사회노동단체들 <출처 : 참여연대>

https://www.flickr.com/photos/pspd1994/49191255696/in/dateposted-public/" title="SW20191209_기자회견_개인정보도둑법강행하는정부규탄 (1)" rel="nofollow">https://live.staticflickr.com/65535/49191255696_7e896d6122_c.jpg" width="800" />

개인의 동의 없이 개인/의료 정보를 기업들이 수집하는 모습을 표현 <출처 : 참여연대>

<개요> 

• 제목 : 기자회견 <개인정보 도둑법 강행하는 정부 규탄한다>


• 일시 장소 : 2019. 12. 09(월) 11시 / 청와대 분수대 앞 


• 주최 : 건강과대안, 건강권실현을위한보건의료단체연합, 무상의료운동본부, 민주사회를위한변호사모임 디지털정보위원회, 전국민주노동조합총연맹, 진보네트워크센터, 참여연대


• 참가자
  
  사회 김재헌 (무상의료운동본부 사무국장)
  
  발언 1  오병일 (진보네트워크센터 대표)
  
  발언 2  전진한 (보건의료단체연합 정책국장)
  
  발언 3  양홍석 (참여연대 공익법센터 소장) 
  
  발언 4  양동규 (전국민주노동조합총연맹 부위원장)
  
  퍼포먼스


• 문의 :  민변 디지털정보위원회(서채완 변호사 02-522-7284), 민주노총(우문숙 정책국장 010-5358-2260),진보네트워크센터(희우 활동가 02-774-4551), 무상의료운동본부(김재헌 국장 010-7726-2792), 참여연대(이경민 간사 010-7266-7727), 전진한(보건의료단체연합 정책국장 010-9699-8840) 

개인정보 도둑법 강행하는 문재인 정부 규탄한다

 

문재인 정부는 소위 4차 산업혁명과 혁신 경제라는 명분으로 개인정보 3법(개인정보보호법 개정안, 정보통신망법 개정안, 신용정보법 개정안) 개악을 강행하고 있다. 지난 12월 4일 정보통신망법이 상임위를 통과함으로써, 이제 개인정보 3법은 법제사법위원회와 본회의를 앞두고 있다. 노동시민사회의 반대에도 불구하고 여당은 개인정보 3법을 ‘비쟁점 법안’으로 분류하고 밀어붙이려 하고 있다. ‘창조경제’를 명분으로 ‘개인정보 비식별조치 가이드라인’을 강행하여 개인정보를 침탈했던 박근혜 정부와 무엇이 다른지 알 수 없다.

데이터 3법이 아니라 개인정보 도둑법이다. 

수차례 지적했듯이, 개인정보 3법은 기업들이 가명처리된 고객정보를 정보주체의 동의없이 판매, 공유, 결합할 수 있도록 허용하는 ‘개인정보 도둑법’이다. 공공의 이익도 아니고 사기업의 이윤을 위해, 그것도 충분한 안전장치도 없이 정보주체의 권리를 희생해야 할 이유가 무엇인지 묻지 않을 수 없다.

 

안전조치도 부실하다. 개인건강정보와 같은 민감한 개인정보인지, 정보인권을 침해할 다른 우려는 없는지 등을 고려하지 않고 가명처리만 하면 애초 수집 목적 외로 다른 기업에 제공할 수 있도록 하고 있으며, 더구나 한번 제공된 가명정보는 삭제되지 않고 계속 사용 할 수 있도록 보장하고 있다. 서로 다른 기업의 고객정보를 공공기관이 결합해주는 서비스는 전 세계적으로 유례없는 일이다. 유럽연합의 일반개인정보보호규정(GDPR)과 같이 개인정보처리자의 책임성을 강화하는 조항도 부재하다. 개인정보보호위원회의 권한을 강화한다고 하지만, 독립성은 여전히 미약해서 정부가 간섭하려는 의도가 엿보인다. 

 

이 법이 없으면 데이터 활용이 불가능하다고, 빅데이터나 인공지능의 발전이 불가능하다고 호도하지 말기 바란다. 정보주체의 동의를 받는다든지, 개인정보가 아닌 익명정보를 활용한다든지 혹은, 학술 연구를 활용하는 등 다양한 방법이 존재한다. 개인정보의 권리를 침해해야 가능한 사업 모델을 갖고있다면 차라리 지금 사업을 포기하는 것이 나을 것이다. 

 

유럽연합과의 적정성 평가를 위해서 개인정보 3법의 조속한 통과가 필요하다는 주장도 있다. 그렇다면 개인정보보호위원회의 독립성과 권한을 강화하는 조항만 통과시키면 된다. 애초에 적정성 평가의 가장 큰 장애물은 우리나라에 독립적인 개인정보감독기구가 없다는 것이었다. 차라리 개인정보보호위원회를 독립적인 감독기구로 바로 세우고 개인정보 보호법제를 전반적으로 재검토하도록 하는 게 효율적인 방법일 수 있다. 

 

밀어붙일수록 늦어진다. 

 

내용도 문제이지만 추진 과정도 실망스럽다. 문재인 정부를 과연 민주적으로 운영되는 정부라 부를 수 있는가. 정부 부처는 인권보다는 산업 중심주의자의 편에 서 있다. 정부의 잘못된 정책 추진에 제 목소리를 내지 못하는 여당 의원들도 한심하기는 마찬가지다. 한 사람 한 사람 입법기관으로서 개인정보의 상품화에 찬성하는 것인지 의견을 밝힐 것을 요구했지만, 소신은 간 데 없고 정부의 거수기 역할만 하고 있다. 

 

박근혜 정부는 충분한 논의없이 ‘개인정보 비식별조치 가이드라인’을 밀어붙였지만, 2016년 이후 현재까지 4년 동안 개인정보의 보호와 활용 체계에 어떠한 진전도 가져오지 않았다. 오히려 정부와 기업이 개인정보를 무분별하게 활용하려 한다는 불신만 가중시켰을 뿐이다. 

 

문재인 정부에서 개인정보 3법을 충분한 의견수렴도 없이 이렇게 밀어붙인다면 그 결과는 충분히 예상된다. 이런 방식으로 개인정보 3법이 통과된다면 우리는 내 개인정보를 상업적 연구 목적으로 처리하지 말라는 대대적인 거부 운동을 벌여나갈 것이다. 고객의 개인정보를 허투루 취급하는 기업들은 그에 합당한 충분한 대가를 치르게 할 것이다. ‘사람이 먼저다’라는 문재인 정부의 슬로건도 웃음거리가 될 것이다. 

 

개인정보 3법은 국회에 있지만, 우리는 다시 청와대 앞으로 왔다. 개인정보 도둑법을 강행하는 배후에는 궁극적으로 문재인 정부가 있기 때문이다. 문재인 정부에 마지막으로 촉구한다. 개인정보 3법 강행을 중단하고, 개인정보 보호체계 업그레이드를 위한 제대로 된 사회적 논의를 시작해야 한다. 

 

2019년 12월 9일 

 

건강과대안, 건강권실현을위한보건의료단체연합, 무상의료운동본부, 민주사회를위한변호사모임 디지털정보위원회, 전국민주노동조합총연맹, 진보네트워크센터, 참여연대

보도자료 https://docs.google.com/document/d/1oFPjI9XRrFLUK-BLoePW7fnMp6M5Q9lV1Yjz... rel="nofollow">[원문보기/다운로드]

민간보험사 데이터 활용은 질병 위험군 가입거절과 의료영리화 위한 것

공공기관의 업무와 정보수집 목적에 부합하지 않으며 법적 근거도 미흡

정부는 민간보험사 돈벌이 장려가 아니라 민간보험 규제에 나서야

지난 7/8일 금융위원회는 6개 민간보험사가 건강보험심사평가원(심평원)의 공공의료데이터 이용을 승인받았다고 발표했다. 문재인 정부 금융위원회는 이를 환영한다며 향후 민간보험사들이 공공데이터를 더 잘 활용할 수 있도록 보험업계와의 협의체도 만들겠다고 발표했다. 우리는 정부가 건강보험공단과 심평원에 쌓여 있는 방대한 데이터를 민간보험사들에게 넘겨주려는 것에 반대한다. 또 건강보험 강화가 아니라 민간보험 활성화에 앞장서는 정부 행태에 큰 우려를 표한다.


첫째, 공공데이터 민간보험사 제공은 시민의 권리를 침해하는 행위이고 정당성과 법적 근거가 미흡하다. 보험업계는 4년만에 공공데이터를 얻을 수 있게 되었다고 반색하고 있다. 심평원이 2014년부터 2017년까지 3년간 민간보험사에 6천만명분의 진료데이터를 팔아넘긴 것이 국정감사에서 폭로되어 2017년 이후로는 민간보험사가 이 개인정보에 함부로 접근할 수 없었기 때문이다. 당시 8개 민간보험사 등이 '당사 위험률 개발' 등 영리 목적으로 심평원 공공데이터를 요구하자 심평원이 이를 받아들여 개인 동의 없이 제공한 것이 알려지면서 시민들이 크게 분노했다. 그런데 정부는 지금 2014년~2017년 심평원이 했던 공공데이터 팔아넘기기 행태와 똑같은 일을 앞장서서 수행해주고 있다. 당시 심평원과 달리 건강보험공단은 민간보험사들의 자료제공 요구에 "민간보험사의 경우 건강보험 진료데이터를 분석하여 특정 질환 유병자, 기왕력자 또는 위험요인 보유자에 대해 민간보험의 가입차별 등에 악용될 가능성이 있어 국민건강권 및 권리보호차원에서 제공하지 않는다”고 옳게 거절한 바가 있다. 이런 우려는 현재도 똑같이 존재한다. 보험업계는 데이터를 활용해 질병 위험이 높은 사람들의 보험 가입을 줄여 손해율을 낮추겠다고 한다. 보험업계는 이를 ‘역선택 방지’ 등으로 표현하지만, 돈 되는 사람들만 골라 가입시키는 ‘크림스키밍’을 하겠다는 뜻일 뿐이다. 민간보험사 데이터 활용은 의료영리화를 위한 것이기도 하다. 보험사들은 혁신 서비스를 개발하겠다는 명목으로 미국처럼 보험사가 직접 만성질환 관리, 환자·고령자 돌봄, 의료기관 알선까지 하는 모델을 바라고 있다. 이는 민간보험이 주도하는 미국식 의료영리화로 향하려는 것이다. 또한 건보공단과 심평원의 자료를 민간보험사에 넘기는 것은 시민의 보건 향상과 사회보장 증진이라는 공공기관의 업무 범위, 그리고 자료수집 본래의 목적에 전혀 부합하지 않는다. 국민건강보험법에는 공단과 심평원 자료를 직무상 목적 외 용도로 또는 제3자에게 제공하는 행위를 명시적으로 금지하는 조항도 있다. 이런 이유 때문에 데이터 3법이 개정되긴 했지만 정부도 함부로 가명정보를 개인 동의 없이 민간에 넘기기에는 법령 상 미흡함이 있다고 현재 인정할 수밖에 없는 상황이다. 따라서 공공의료데이터 민간 제공은 정당성도 부족하고 법률적 문제도 완전히 해소되지 않았다. 이런 상황에서 당장 심평원 데이터를 6개 보험사에 넘기겠다는 결정은 부적절하며 철회되어야 마땅하다.


둘째, 정부는 민간보험사 돈벌이를 장려할 것이 아니라 민간보험을 통제하고 국민건강보험을 강화해야 한다. 금융위원회는 공공데이터를 이용해 민간보험시장을 넓힐 수 있다며 ‘기대’를 밝혔다. 하지만 민간보험은 확대가 아니라 축소하는 것이 답이다. 민간보험의 의료비 경감 효과는 극히 미미하다. 2017년 한국의료패널 심층분석보고서에 따르면 민간보험에 가입한 사람은 78.7%에 달하고 민간보험 가입자는 1인당 월평균 13만2천원을 내고 있지만 민간보험이 보장해주는 의료비는 정액보험 가입자의 경우 겨우 6.2%에 지나지 않는다. 반면 국민건강보험은 58.4%를 보장해준다. 또한 민간보험 가입자는 비급여 의료행위에 1.7배나 더 노출된다. 즉 국민건강보험의 낮은 보장 때문에 민간의료보험이라는 왜곡된 시장이 형성되어 환자들이 불필요한 지출과 과잉진료로 피해를 겪는 현실이다. 이를 해결하는 것이 정부가 해야 할 일이다. 그럼에도 불구하고 정부는 지난 달 '보건의료 데이터·인공지능 혁신전략'을 발표해 민간보험사 등 사기업들을 위해서 건강보험 등 공공보건의료데이터 개방을 확대하겠다고 발표했다. 이에 힘입어 심평원이 이번에 공공데이터를 넘긴 것이다. 또 정부는 최근 민간보험사가 헬스케어 자회사를 설립할 수 있도록 법령을 개정해줬고, 이를 위해 건강·의료·공공데이터를 한 데 모아 활용할 수 있도록 ‘마이헬스웨이 플랫폼’을 만들 계획을 발표했다. 이처럼 정부는 시민들의 민감한 개인정보를 넘겨 민간보험 활성화하기 위해 갖가지 정책을 펴고 있다. 또한 실손보험 청구간소화 명목의 개인의료정보 전자전송 법개정이 추진되고 있다. 반면 건강보험 보장성을 강화하겠다던 정부의 약속은 거의 지켜지지 않고 있다. 비급여 유인수요를 창출하는 민간보험을 통제하지 않고 오히려 활성화하면서 문재인 케어를 하겠다는 것부터가 모순이었다. 다른 나라들처럼 민간보험 지급률 하한을 법제화하고 건강보험 법정본인부담금 보장을 금지시키는 등 민간보험 규제에 나서야 건강보험 강화도 가능하다.


건보공단과 심평원은 가장 방대한 개인정보를 보유한 공공기관이다. 또한 가장 민감한 의료정보를 보유하고 있다. 진료내역, 투약내역 등을 각각 3조건 이상 보유하고 있다. 이런 정보를 공익목적이 아니라 민간기업 영리행위를 위해 개인 동의 없이 공개하겠는 정부 방침은 매우 심각하다. 특히 이번처럼 의료정보를 가장 원하는 민간보험사에 넘겨주는 것은 있어선 안 될 일이다. 정부는 임기 말 밀어붙이는 민간보험 활성화와 의료영리화 추진을 중단해야 한다.


2021. 7. 13.

건강권실현을위한보건의료단체연합⋅참여연대

공동성명https://docs.google.com/document/d/1mf6IXvBtZxQ2dBJApC7Du3HGHa9QlrKBKjZj... rel="nofollow">[원문보기/다운로드]

https://www.flickr.com/photos/pspd1994/49097911863/in/dateposted-public/" style="background:0px 0px;color:rgb(102,153,204);" title="20191121_3개법안 처리중단촉구 기자회견" rel="nofollow">https://live.staticflickr.com/65535/49097911863_26ffc8f894_c.jpg" style="vertical-align:middle;" width="800" />

2019. 11. 21. 국회 정론관, 3개 법안 처리 중단 촉구 참여연대 기자회견 <사진=참여연대>

개인신용정보를 무한대로 사고 팔도록하는 신용정보법안

공적 건강보험 보장성 강화에 역행하는 보험업법안

범죄 기업의 은행 소유 허용하는 인터넷전문은행법안

오늘(11월 21일) 국회 정무위원회 제1소위에서 안건으로 상정된 ‘신용정보의 이용 및 보호에 관한 법률 개정안(이하 신용정보법안)’, ‘보험업법개정안(이하, 보험업법안)’, ‘인터넷전문은행법 개정안(이하, 인터넷은행법안)’은 각각 개인신용정보를 정보주체 동의없이 기업의 돈벌이수단으로 마음대로 사고팔 수 있도록 하는 법안, 공적 건강보험 보장성에 역행하는 법안, 공정거래법 위반 등 범죄 전력이 있는 산업자본을 은행 대주주로 만들어주자는 법안으로 국민의 기본권 침해 및 금융 건전성·공정성 훼손을 주요 내용으로 하는 개악 법안들이다. 우리 사회와 국민들의 삶에 직접 영향을 미치는 법안들은 충분한 논의를 거쳐 사회적 합의가 이뤄졌을 때 법안 개정을 추진해야 한다. 참여연대는 오늘 정무위에서 법안 논의와 처리를 중단할 것을 강력히 촉구한다. 

첫째, 개인신용정보를 무한대로 사고 팔도록 하는 신용정보법 개악 중단하라. 개인신용정보는 경제 생활과 관련이 되어 있어 국민들이 가장 민감하게 생각하는 정보 중 하나이다. 개인의 소비특성, 투자행태, 소득규모 등을 파악할 수 있는 신용정보는 상대적으로  경제적 가치가 높은 정보라 할 것이다. 따라서 엄격한 법의 보호가 필요하고 목적제한적, 최소수집원칙 등 개인정보보호 원칙이 엄격하게 적용되어야 한다. 2014년 금융권인 롯데카드, 국민카드, 농협카드 3사의 대량정보유출사고는 우리 사회 최악의 개인정보유출사고로, 개인신용정보의 집적과 공유의 위험성을 뼈저리게 보여준 사고였다. 

이번에 논의되고 있는 신용정보법안은 신용정보보호의 수준을 더욱 후퇴시키고 있을 뿐 아니라 민간 기업의 개인정보의 판매 및 공유를 허용하는 <개인정보보호법 개정안(인재근대표발의)>의 문제를 그대로 포함하고 있다. ▷가명정보에 대한 비동의 수집, 활용, ▷기업간 제공 등을 비롯해  사실상 데이터브로커를 통한 금융정보의 상품화를 부추길 뿐인 마이데이터 산업의 신설,  ▷재벌 통신사의 신용정보산업 진출 허용,  ▷SNS 등을 활용한 새로운 신용정보업의 허용 등 금융정보의 상업적 판매 등을 별다른 보호장치없이 허용하고 있다. 이는 현재의 신용정보산업 생태계 자체를 완전히 재편하는 것이다. 그럼에도 그동안 충분한 사회적 논의 과정 없이 폐쇄적으로 추진되어 왔다. 의원입법 형식으로 국민의 의견 수렴 과정을 생략하였을 뿐만 아니라, 국회 또한 관련 법안 공청회를 단 한번 개최하였다. 공청회 참석자는 법안 개정 찬성 입장을 가진 산업계 토론자들 일색으로 구성되어 이 법안 개정에  반대하는 시민사회의 입장에는 귀를 닫았다.

지금도 은행, 카드, 보험, 유통업계가 개인신용정보를 집적하고 공유하는 것이 무한대에 가까울 정도인데도 여기서 더 나아가 정보주체 동의없이 서로 결합하고 판매할 수 있도록 하는 신용정보법을 개정하게 되면 더이상 개인신용정보를 보호하지 않겠다는 선언과 같다. 정보주체의 판단, 선택 따위가 들어설 자리를 남겨두지 않고 상업적 이해에 따라 개인정보거래시장만 양성화하는 이번 법안은 폐기되어야 한다. 정무위는 김병욱대표발의 신용정보법안 심사를 중단하고 정보주체의 권리를 실효성있게 보호할 수 있는 방향으로 신용정보법개정안 대체법안을 마련해야 할 것이다.

둘째, 공적 건강보험 보장성 강화에 역행하는 보험업법 개악 중단하라. 현재 정무위에 계류 중인 보험업법안은 민간실손보험 급여지급 절차를 간소화하겠다는 명목하에  전 국민을 대상으로 하는 건강보험 당연요양기관인 의료기관이 관련법령에 따라 개인의 진료정보 등 민감정보를 취급하고 보호하여야 할 지위를 팽개치고 건강보험심사평가원(이하 심평원) 또는 전문중개기관을 중개기관으로 하여 환자의 진료정보를 제3자인 중개기관, 나아가 보험사들에게 전자적 정보로 넘겨서 보험료를 청구할 수 있도록 하겠다는 것이다. 그러나 의료기관이 민감정보인 의료정보를 민간중개기관, 나아가 보험사에게  넘기는 것은 개인의 의료정보를 보호하도록 하고 있는 의료법 제19조를 정면으로 위반하는 것으로, 보험업법 개정으로 이를 정당화해서는 안될 일이다. 또한 건강보험을 관리하는 공공기관인 심평원이 민간실손보험회사의 역할을 대신하는 것은 심평원의 기능과 책무에 부합하지 않는다. 

특히 이번 보험업법 개정안의 가장 큰 문제는 민간실손보험을 공공의 목적을 위해 운영되어야 할 건강보험의 보완재로 사실상 간주하는 것에 있다. 전국민건강보험이 존재함에도 건강보험 보장률이 OECD 평균에도 미치지 못하는 것이 우리의 현실이다. 그러한 상황에서 사적 이익을 위해 만들어진 민간보험의 지위를 격상시키는 조치는 건강보험 보장성을 높이겠다는 문재인 케어의 취지에도 맞지 않다. 국민 누구나 차별없이 치료받을 수 있도록 하기 위해서는 건강보험 국고부담률 준수와 고령화에 따른 중장기적 재정투입 등 지속적인 건강보험 보장성 강화정책을 적극 시행해야 한다. 따라서 국가가 민간실손보험회사의 역할을 대신하며, 건강권 보장의 책임을 개인에게 전가시키는 보험업법 개정안은 당장 폐기 되기야 한다.

셋째, 범죄 기업의 은행 소유 허용하는 인터넷전문은행법 개악 중단하라. 2018년 제정된 인터넷전문은행법은 우리 사회의 주요한 금융원칙으로 작동하던 은산분리를 완화하여 산업자본의 은행소유를 허용하여 논란이 된 바 있다. 그런데 최근 자유한국당 김종석 의원이 ‘금융회사와 달리 각종 규제 위반의 가능성에 노출된 산업자본의 특수성을 고려하여 공정거래법 위반 등 요건을 대주주 적격성 심사 기준에서 제외’하는 것을 골자로 한 인터넷전문은행법안을 발의했다. KT 등이 공정거래법 위반 전력으로 인해 인터넷전문은행의 대주주가 되지 못하기 때문이다. 즉, 인터넷전문은행법안은 범죄 이력 있는 산업자본이 손쉽게 은행을 소유할 수 있도록 해주자는 것이다. 기업의 공정거래법 위반을 막는 제도개혁은커녕 국회가 규제 위반을 당연시하고, 이를 문제 삼는 현행법을 손보겠다는 것이다. 게다가 금융회사 전반이 공정거래법 등 위반 전력을 대주주 적격성 심사 기준으로 삼고 있어, 이를 인터넷전문은행에만 완화하는 것은 형평성에 맞지 않는다는 비판이 제기 되자, 국회는 한 술 더 떠 금융회사 전반의 대주주 적격성 심사 기준을 완화하자고 나섰다. 

공공성과 안정성이 핵심인 금융회사의 건전한 운영을 위해 범죄 이력이 있는 자들의 은행 지배를 막기 위한 안정장치인 대주주 적격성 심사 취지를 몰각한 채 특정 산업자본의 이권을 위해 기준을 허물어서는 안 된다. 자격 없는 대주주의 금융회사 지배가 초래하는 시스템적 위험은 과거 저축은행 사태 등으로 큰 대가를 치르며 경험한 바 있다. 특정 산업자본을 위한 불공정한 특혜를 위해 금융안정망을 훼손해서는 안 되는 이유다. 범죄 이력이 있는 산업자본이 은행의 대주주가 된다고 하여 정치권이 목놓아 외치는 금융산업 발전과 혁신이 이뤄지는 것이 결코 아니다. 원칙이 담보되지 않은 혁신은 시스템 리스크로 이어질 가능성이 농후하다. 반복적인 특혜 입법을 통해 은산분리 원칙 훼손에 이어 범죄 전력자가 금융회사 대주주가 되는 것을 막는 지배구조의 대원칙마저 흔드는 것은 국회가 금융회사의 건전성과 공정한 금융시장의 근본 토대를 무너뜨리는 것임을 명심해야 할 것이다.

성명 https://drive.google.com/open?id=1zDP7phpt-eDSxSVoXJD0sq1sIsIShXq15Fzdrx... style="background:0px 0px;color:rgb(102,153,204);" rel="nofollow">원문보기/다운로드

국회 계류 개인정보3법안은 “개인정보 도둑 법안”

4차산업혁명 위해 규제완화해야 한다는 주장 팩트체크 

일시 장소 : 12. 04. (수) 10:00, 참여연대 아름드리홀

현재 국회 법제사법위원회에는 개인정보보호법안, 신용정보보호법안이 계류 중이고 국회 과학기술정보방송통신위원회에는 정보통신망법(이하 개인정보3법안)이 계류중이다. 이법을 추진하고 있는 정부 일각과 기업들은, ‘다른 나라에 비해 우리나라 개인정보보호규제가 너무 강해서 데이터산업이 활성화되지 못한다’, ‘4차산업혁명을 위해서 개인정보를 활용해야 하는데 규제완화가 안되어 이대로 가다간 데이터후진국이 된다’, ‘가명처리하여 사용하므로 안전하다’ 등의 주장을 펴며 법안 통과를 요구해 왔다. 과연 그런가? 오늘(12월 4일) 참여연대 2층 아름드리홀에서는 개인정보3법 개악에 반대해 온 노동시민사회단체(이하 단체)들이 이 같은 정부와 기업들의 주장들에 대해 팩트체크를 중심으로 기자브리핑을 진행했다.

우선 단체들은 개인정보3법은, 가명정보라는 개념을 도입하여 정보주체의 동의권을 현저히 약화시키고, 기업들이 가명처리하를 하면 동의 없이 산업적, 상업적 연구에 무한대로 활용할 수 있도록 하고 있다고 지적했다. 목적제한, 최소수집 및 목적달성 후 폐기라는 개인정보처리의 가장 기본이 되는 원칙을 훼손하고 있다는 것이다. 단체들은 그동안 가명정보는 언제든 다른 데이터와 결합하면 누구의 정보인지 식별이 되는 정보이므로 정보주체의 권리보호를 위한 장치가 반드시 병행되어야 한다고 주장해 왔다. 그러나 개인정보3법이 이대로 통과된다면 국민의 가장 사적이고 민감한 의료정보, 질병정보에서부터 소비특성, 투자행태, 소득규모 등을 파악할 수 있는 신용정보, SNS등에 쓴 다양한 정보까지 거의 모든 정보를 기업의 돈벌이 수단으로 내주는 꼴이며 정보주체는 동의권은 물론이고 정보열람권, 삭제요구권, 정보이전 및 개인정보유출에 대한 통지받을 권리 등을 인정받지도 못해 기업이 어떻게 내 정보를 활용하고 판매하고 결합하는지, 또 어떤 사고가 있어 유출되고 악용되는지 알 수가 없게 될 것이라고 주장했다. 그래서 개인정보3법 개정안은  “개인정보 도둑 법”이라고 불러도 무방할 것이라고 설명했다.

기자브리핑에서 진행된 팩트체크 주요 내용은 다음과 같다.

1) 우리나라가 다른 나라에 비해 개인정보보호 규제가 강하다는 주장

→ 기존 개인정보보호법은 최소한의 수집, 제3자 제공 및 목적 외 이용에 동의를 요하는 등 기본적인 정보주체의 통제권을 보장하고자 하였음. 동의를 하지 않을 경우 필수적인 용역, 서비스 사용을 제한하더라도 아무런 규제도 없고, 거꾸로 동의를 하였을 경우 사실상 제3자 제공과 목적 외 이용이 제한없이 가능함. 

최근 강화된 미국 캘리포니아소비자보호법(The California Consumer Privacy Act (CCPA):An implementation guide, 이하 ‘CCPA’)과 비교해 보면, 미국은 언제든 개인정보를 제3자에게 판매하지 말도록 지시할 “옵트아웃” 권리가 있고, 수집한 개인정보의 범위를 공개하고 삭제하도록 요구할 권리를 강하게 규정하고 있다. 이러한 규제는 페이스북에서 무단으로 수천만명의 개인정보를 수집한 캠브릿지 애널래티카라는 회사의 사례를 들면서, 명백히 ‘프라이버시 및 개인정보에 대한 더 많은 통제권’과 ‘투명성’을 규제 취지로 들고 있음.

유럽 일반개인정보보호규정(General Data Protection Regulation,이하 ‘GDPR’)은 과학적 연구나 통계적 처리를 위해 안전조치의 한 종류로 가명처리를 할 수 있다고 규정할 뿐이고, 개인의 동의 없이 가명처리를 할 수 있다는 근거가 아니다. 오히려 GDPR은 가명정보를 재식별이 가능한 ‘개인정보’로 인식하고 개인에게 통제권을 부여하고 있다. 

결국 우리나라가 다른 나라에 비해 개인정보보호 규제가 너무 강하여 GDPR 또는 미국 수준으로 규제를 낮추겠다는 개정안의 주장은 지나친 규제 완화로 인해 국민들을 희생양으로 만들 가능성이 있음.   

 

2) 4차산업혁명을 위해서 개인정보를 활용해야 하는데 규제완화가 안되어 이대로 가다간 데이터후진국이 된다는 주장 

→ 빅데이터 산업 발전을 위해 개인정보 규제 완화를 해야 한다면, 전 세계는 개인정보 보호를 완화하기 위한 바닥으로의 경쟁을 해야할 것임. 이는 그 자체로도 바람직한 방향이 아니지만, 실제로 세계 각 국은 빅데이터 환경에서 개인정보 보호를 강화하는 방향으로 보호 수준을 높이고 있음. 유럽의 GDPR이 그렇고, 미국의캘리포니아주 소비자프라이버시법(CCPA)이 그러함.

이는 개인정보 권리 보호를 위해서도 필요하지만, 실제 빅데이터 산업 (넓게는 인터넷 기반 비즈니스) 발전을 위해서도 개인정보에 대한 신뢰가 뒷받침되어야 함. 인터넷 기반 산업은 정보주체가 자신의 개인정보를 적극적으로 제공하는 것에 기반하고 있는데, 이에 대한 신뢰가 없다면 인터넷 경제에 적극적으로 참여하려 하지 않을 것이기 때문임.

 

3) 가명정보는 안전하다는 주장

→ “가명처리”란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보 없이는 특정 개인을 알아볼 수 없도록 처리하는 것임. 다른 정보와 결합하면 식별의 위험성이 있는 정보이며 가명정보 역시 개인정보임.  따라서 개인정보보호법의 적용을 받아야 함. 유럽연합 GDPR도 가명정보를 개인정보로 보고 있으며, 한국 정부도 인정하고 있음.

가명정보는 가명처리되지 않은 원래의 개인정보보다는 안전함. 따라서 가능하다면 개인식별이 가능한 개인정보의 형태로 처리, 보관하는 것보다는 가명처리해서 보관하는 것이 바람직함. 그러나 가명정보는 다른 정보와 결합하여 여전히 재식별될 위험성이 있으므로, 재식별이 불가능한 익명정보보다는 위험함. 따라서 가능하다면, 익명처리해서 활용하는 것이 가장 바람직함. 재식별의 위험성은 가명처리의 방법 및 수준에 따라 달라지며, 현재 가명처리의 기술, 재식별 기술 모두 발전하고 있는 상황임.

개인식별자를 삭제하더라도 여전히 개인식별의 위험성이 있음은 이미 2016년 정부가 발표한 <개인정보 비식별조치 가이드라인>에서도 인정하는 바임. 

 

4) 영국 역시 의료빅데이터를 공유하는 사업을 국가 단위에서 추진하고 있다는 주장

→ 영국은 범국민적으로 탈퇴(opt-out)캠페인이 일어나는 등 결국 이 사업을 폐기하였고, 유럽 GDPR도 건강정보에 대해 원칙적 처리 금지를 명시함. 개인의 건강정보는 한 사람의 과거, 현재, 미래의 건강 상태의 집합이라는 점에서 보다 엄격한 동의 규정, 고지 의무 등을 법제화함. 단 ‘명시적 동의’ 혹은 ‘치료행위 및 공중보건을 위한 공공의 이익(Public interest)를 위한 경우, 학술 연구로 제한적 활용을 권고함. 또한 이러한 경우에도 자동화된 데이터 처리나 알고리즘에 의해 어떠한 의사 결정이 이루어질 때 이에 대해 환자가 알고 개입할 권리를 보장하도록 함. 자신의 건강정보 삭제를 요청할 권리 등도 이에 포함됨.

 

5) 빅데이터 기술을 활용하여 의료데이터를 분석하고 개인에 맞는 건강관리 및 치료방법을 제안하고 더 나아가 질병 또한 예측하는 서비스를 제공하는 등 데이터기반 의료서비스로 의료서비스 질이 업그레이드 되는 등 사회적 이익이 증대될 것이라는 주장 

→ ‘데이터 중심 건강관리’ 라는 데이터경제론은 근거가 없음. 넛지(nudge)이론에 근거한 개인의 행동변화를 통한 건강증진 사업은 효과가 없음이 이미 증명됨. 거꾸로 건강증진 앱은 감시, 두려움, 죄책감을 동반해 경쟁적 자아 경영을 도모하며, 앱 사용에 있어 경제적 문화적 차별을 전제하고 있다는 문제가 제기되고 있음. 결국 건강정보 규제완화는 건강을 결정하는 사회경제적 요인 문제들을 사회적 문제로 인식하지 못하도록 만들고 건강의 개인책임화를 부추기는 경제논리임. 따라서 공적인 예산들이 다수 건강증진 효과가 없다는 것이 드러난 의료상업화로 투자되고 있는 공적자금의 왜곡도 데이터경제론의 큰 문제 중 하나임.  

보건의료 빅데이터는 그 활용이 정보주체, 집단, 지역사회에 주는 해보다 큰 사회적 가치가 있는가의 여부(공공의 이익), 연구 과정과 결과가 모든 이들에게 호혜적이며 사회적 연대를 갖는가의 여부(형평성), 데이터의 질과 안전, 사용에 있어 투명하게 사용되고 있음을 증명할 수 있는가(책임성) 등에 대한 사회적 논의와 공론화가 우선되어야 함.

 

6) 신용정보법 개정안이 통과된다면 소비자에게 최적의 맞춤형 서비스를 제공하는 등 소비자-기업간 윈윈할 것이라는 주장

→ 오히려 금융서비스 공급자와 이용자 간 극단적 정보격차 상황이 발생할 것이며 이것은 금융공공성 훼손으로 귀결될 것임. 이제 금융회사들은 철저하게 가명정보의 이종 간 결합을 바탕으로 상품을 설계하고 판매 전략을 운영하게 됨. 이것은 공급자가 소비자 집단을 매우 정확한 수준에서 위험군과 비위험군으로 분류하고, 리스크가 ‘0’에 수렴하는 영업활동을 하게 된다는 의미임. 결과적으로 저신용, 저소득 계층의 금융소외는 피할 수 없음. 빅데이터와 금융의 결합이 당장 새롭고 편리한 금융서비스로 나타날 수 있지만, 머지않아 극단적인 양극화를 강화하는 촉매로 작동할 것임.

뿐만 아니라 보이스피싱 범죄 등 대표적인 금융사기범죄로 이미 불법 유출된 국민 개인정보와 신용정보가 대환사기 등 나날이 발전하는 범죄수법의 도구로 범죄자들에게 애용(?)되고 있음. 미신고 피해까지 합칠 경우 보이스피싱의 피해규모는 이미 1조 원대에 달할 것으로 보이는데, 불행히도 국내 금융보안 수준을 감안하면 가명정보 활용이 본격화 될 경우 보이스피싱 피해는 그에 비례하여 급증할 것으로 예상됨.

 

7) 현재 국회 법사위에서 체계 잣구 심사 단계인데, 이들 법안들은 다른 법률들과 법체계 문제는 없나?

→ 개별 법률은 특정 정보에 대하여 활용 목적을 엄격하게 제한함으로써 특별한 보호를 규정하고 있는데, 이에 대해서 개보법 개정안이나 신정법 개정안은 그 개별법과의 관계를 명확히 하지 않고 있음.

대표적으로 인간의 존엄성 등과 밀접하게 관련된 건강정보는 특별한 보호가 요청되는 정보인데, 개보법 개정안과 신정법개정안에 따르면 상업적, 영리적 목적으로 활용될 수 있음.  

의료법 제19조는 의료인 및 그 종사자 등이 알게 된 건강정보를 누설하거나 발표하지 못하도록 하고 있고, 부당한 목적으로 사용하여서는 아니된다고 규정하고 있음.

국민건강보험법 제102조는 공단, 심사평가원 및 대행청구단체에 종사하였던 사람 또는 종사하는 사람에게 비밀누설금지 및 제3자 제공을 금지하고 있음.

참가자들은, 현재 국회에 계류된 개인정보3법안은, ▶법률안들끼리도 개인정보의 정의 등 용어가 통일되어 있지 않고,여전히 규정 중복이 있음. 이에 상호간의 용어통일, 중복규정 정리가 필요하다는 점,  ▶가명정보 또는 가명처리된 정보의 비동의 활용범위를 산업적, 상업적 활용로 확대하지 않고  ‘학술연구’로 제한할 것▶ 전세계 유례를 찾아보기 힘든 정보집합물간 결합조항은 삭제할 것,▶ 민감정보의 가명처리 제한, ▶가명정보에 대한 삭제권, 처리정지권, 이용동의 철회권 보장 등 정보주체의 권리를 인정할 것을 제안했다. 또한 국회가 할 일은 당장 이들 3법안 심사를 중단하고 정보보호와 활용이  균형잡힌 대안을 제시하는 것이라고 강조했다. 

이번 기자브리핑에는 건강과 대안 변혜진 상임연구원, 민주사회를위한변호사모임 디지털정보위원회 서채완 변호사, 전국민주노동조합총연맹 백정현 사무금융노조 교육국장, 진보네트워크센터 오병일 대표, 참여연대 정보인권사업단 최종연 변호사가 참석했다. 

팩트체크 http://bit.ly/34NAmoq" rel="nofollow">내용 전부 보기

보도자료[https://docs.google.com/document/d/1P_tHMaCWnjs6FVxSDRj6VGJ53UgO_VSaMq-k... rel="nofollow">원문보기/다운로드]