개인정보보호법 등 ‘데이터3법’ 재검토하라 

국민의 개인정보를 사고팔아 혁신경제 이루겠다는 과대망상

국회는 지금이라도 정보보호와 활용의 균형잡힌 대안 마련해야

오늘(11/29) 국회 법제사법위원회가 <개인정보보호법 개정안>, <신용정보법 개정안>을 아직 과학기술방송통신위원회 법안심사소위를 통과하지 못한 <정보통신망법 개정안>과 함께 처리하겠다며 법사위 전체회의에 계류시켜 본회의 처리가 유보되었다. 이른바 ‘데이터3법’으로 불리며, 4차산업혁명, 혁신경제를 위해 반드시 통과시켜야 할 비쟁점법안으로 집권여당인 더불어민주당과 자유한국당이 합의한 이들 법안들은 한마디로 정보인권을 포기하는 반헌법적 법안들이다. 오늘 법사위에서는 바른미래당 채이배 의원 등 몇몇 의원이 정보보호 방안도 함께 모색해야 한다며 통과 반대의견을 피력하는 등 재논의를 요구했다. 신용정보법 개정안도 정무위 논의과정에서 바른미래당 지상욱 의원의 정보인권에 대한 보완 요구로 일부 조항이 수정된 바 있다. 그동안 시민사회는 국민의 정보인권에 중차대한 변화를 야기할 법개악에 반대하며 사회적 논의를 충분히 거쳐야 한다고 요구해 왔다. 본회의 처리가 미뤄진 지금이라도 국민의 기본권 보호의 의무를 진 국회는 정보인권 보호를 위해 세 법안을 근본부터 재검토해야 한다.

누누히 지적해 왔지만 이들 법안들은 공히 가명처리만하면 국민의 개인정보를 국민 동의없이도 기업이 마음대로 사고, 팔고, 영구 보관할 수 있게 하는 법안이다. 가명정보라는 개념을 도입하여 국민의 가장 사적이고 민감한 의료정보, 질병정보에서부터 소비특성, 투자행태, 소득규모 등을 파악할 수 있는 신용정보, SNS등에 쓴 다양한 정보까지 거의 모든 정보를 기업의 돈벌이 수단으로 활용되는 길을 열어 주고 있다. 반면 정보주체는 동의권은 물론이고 정보열람권, 삭제요구권, 정보이전 및 개인정보유출에 대한 통지받을 권리 등을 인정받지도 못한다. 정보주체인 국민들은 기업이 어떻게 내 정보를 활용하고 판매하고 결합하는지, 또 어떤 사고가 있어 유출되고 악용되는지 알 수가 없다. 

기업들은 연일 법안 통과를 요구하고 호소하고 ‘협박’에 가까운 발언까지 쏟아내고 있다. 그러나 정작 정보의 주체인 국민들 절대 다수가 이들 법안이 논의되고 있다는 사실조차 모르고 있는데(http://www.peoplepower21.org/index.php?mid=PublicLaw&document_srl=166702... rel="nofollow">국민여론조사보도자료 2019.11. 14. 발표) 기업들의 요구를 그대로 수용한 법안을 사실상 발의한 정부와 국회의원들이 법제정 이후 야기될 사회적 혼란과 영향 등에 대해서 제대로 검토했는지 묻고 싶다. 실체도 불분명한 4차산업혁명과 기업의 이익을 위해 국민의 대의기관인 국회가 국민의 헌법적 권리를 포기하는 법안을 만드는 것은 참담한 일이다. 기업들은 데이터산업과 개인정보 거래로 이익을 얻을 수 있을지 모르지만, 무한대에 가까운 정보 집적, 활용에 따른 유출 위험과 이로 인한 맞춤형 보이스피싱 등 관련 범죄증가, 정보의 비대칭성으로 인한 기업의 차별적 마케팅과 서비스거절, 재식별 가능성 및 결합정보 유출로 인한 피해의 극대화, 표현의 자유 침해 등 그 피해와 부작용은 고스란히 국민이 감당해야 한다. 국회가 지금이라도 정보인권을 포기하는 반헌법적인 법안들을 근본부터 재검토하여 정보보호와 활용이 균형잡힌 대안을 만들 것을 강력하게 요구한다. 

원문http://bit.ly/37PBwli" rel="nofollow">보기/다운로드

http://www.peoplepower21.org/files/attach/images/37219/166/668/001/ec76d... style="width:850px;height:638px;" />개인정보 도둑법 강행하는 정부 규탄한다

‘국민이 주인인 나라’ 표방하는 문재인 정부, 정보인권 외면

제대로 된 개인정보보호,활용 조화 위한 사회적 논의 시작해야

취지

오늘(12/9) 건강과대안, 건강권실현을위한보건의료단체연합, 무상의료운동본부, 민주사회를위한변호사모임 디지털정보위원회, 전국민주노동조합총연맹, 진보네트워크센터, 참여연대는 청와대 분수대 앞에서 개인정보3법(개인정보보호법개정안, 신용정보보호법개정안, 정보통신망법개정안)을 통과시킬 것을 압박하고 있는 문재인 정부 규탄 기자회견을 개최했다. 그동안 정부와 국회는 4차 산업혁명과 경제혁신을 위해 데이터 3법이 반드시 통과되어야 한다고 주장해 왔다. 그러나 세 법안은 국민의 개인정보보호 체계를 근본적으로 바꾸는 중대한 사안임에도 그간 사회적 논의와 합의 없이 일방적으로 추진되었다. 정부가 사실상 법안마련을 주도한 것으로 알려진 이들 법안의 주요내용은 정보 주체자인 국민의 동의없이 개인정보를 상업적으로 활용할 수 있도록 하고 있고  정보주체의 권리는 대폭 축소 또는 폐지하는 등 안전장치가 거의 전무하다. 지금이라도 정부가 이들 3법안 강행을 중단하고 제대로 된 개인정보보호 체계를 마련하기 위한 사회적 논의를 시작할 것을 촉구한다.

지난 12/4일 국회 과학기술정보방송통신위원회가 <정보통신망법안>을 졸속으로 통과시킴으로써 이제 개인정보3법안은 모두 법제사법위원회의 체계 자구 심사와 본회의만을 남겨두고 있다. 수차례 지적했듯이, 개인정보 3법은 기업들이 가명처리된 고객정보를 정보주체의 동의없이 판매, 공유, 결합할 수 있도록 허용하는 ‘개인정보 도둑법’이다. 공공의 이익도 아니고 사기업의 이윤을 위해, 그것도 충분한 안전장치도 없이 정보주체의 권리를 일방적으로 희생할 것을 요구하는 것은 국민의 기본권 보호를 국가의 책무로 규정하고 있는 헌법에도 위배된다. 

개인정보보호와 활용의 균형을 이루겠다는 법개정 취지는 말속임에 지나지 않는다. 건강정보나 금융정보와 같이 개인의 가장 사적이고 민감한 정보에 대해서초자 안전장치를 찾기 어렵다. 가명처리만 하면 애초 수집 목적 외로 다른 기업에 제공할 수 있도록 하고 있으며, 더구나 한번 제공된 가명정보는 목적달성 후 삭제,폐기의무도 없다.이 뿐인가? 서로 다른 기업의 고객정보를 공공기관이 결합해주도록 하고 있다. 이는 전세계 유례가 없는 일이다. 정부는 유럽연합의 일반개인정보보호규정(GDPR) 적정성 평가를 위해서도 개인정보3법 통과를 서둘러야 한다고 하고 있다. 그러나 이들 3법안은 유럽연합의 GDPR에 비해 개인정보처리자의 책임성을 강화하는 조항도 부재하다. 무엇보다 GDPR의 수준에 맞게 개인정보감독기구의 독립성과 권한을 강화하는 게 선행되어야 했다. 정부의 주장대로 적정성 평가를 위해 법개정을 서둘러야 한다면 문제가 되는 법안 내용 중 개인정보보호위원회의 독립성과 권한을 강화하는 조항만 통과시키면 된다.

이와 같이 개인정보3법안이 개인정보보호와 활용의 조화를 구현하겠다는 법개정 취지와는 반대로 가고 있음이 명백한데도 정부가 법안 통과를 적극 요구하고 있을 뿐 아니라 비쟁점법안이라며 국회 역시 통과를 서두르겠다고 하고 있다. 노동시민사회는 경제혁신을 위해 국민의 정보인권을 일방적으로 희생할 것을 요구만 할 것이 아니라 지금부터라도 사회적 논의를 시작한다면 제대로 된 개인정보보호와 활용 정책을 모색해 나갈 수 있을 것이라고 주장했다. ‘국민이 주인인 나라’를 표방하는 문재인정부가 현명한 선택을 할 것을 기대한다고 밝혔다.

개요

 

제목 : 기자회견 <개인정보 도둑법 강행하는 정부 규탄한다>

일시 장소 : 2019. 12. 09(월) 11시 / 청와대 분수대 앞 

주최 : 건강과대안, 건강권실현을위한보건의료단체연합, 무상의료운동본부, 민주사회를위한변호사모임 디지털정보위원회, 전국민주노동조합총연맹, 진보네트워크센터, 참여연대

참가자

사회  김재헌 (무상의료운동본부 사무국장)

발언 1  오병일 (진보네트워크센터 대표)

발언 2  전진한 (보건의료단체연합 정책국장)

발언 3  양홍석 (참여연대 공익법센터 소장) 

발언 4  양동규 (전국민주노동조합총연맹 부위원장)

퍼포먼스

 

문의 :  민변 디지털정보위원회(서채완 변호사 02-522-7284), 민주노총(우문숙 정책국장 010-5358-2260),진보네트워크센터(희우 활동가 02-774-4551), 무상의료운동본부(김재헌 국장 010-7726-2792), 참여연대(이경민 간사 010-7266-7727), 전진한(보건의료단체연합 정책국장 010-9699-8840) 

▣ 붙임1 : 기자회견문

기자회견문

개인정보 도둑법 강행하는 문재인 정부 규탄한다

문재인 정부는 소위 4차 산업혁명과 혁신 경제라는 명분으로 개인정보 3법(개인정보보호법 개정안, 정보통신망법 개정안, 신용정보법 개정안) 개악을 강행하고 있다. 지난 12월 4일 정보통신망법이 상임위를 통과함으로써, 이제 개인정보 3법은 법제사법위원회와 본회의를 앞두고 있다. 노동시민사회의 반대에도 불구하고 여당은 개인정보 3법을 ‘비쟁점 법안’으로 분류하고 밀어붙이려 하고 있다. ‘창조경제’를 명분으로 ‘개인정보 비식별조치 가이드라인’을 강행하여 개인정보를 침탈했던 박근혜 정부와 무엇이 다른지 알 수 없다.

데이터 3법이 아니라 개인정보 도둑법이다 

수차례 지적했듯이, 개인정보 3법은 기업들이 가명처리된 고객정보를 정보주체의 동의없이 판매, 공유, 결합할 수 있도록 허용하는 ‘개인정보 도둑법’이다. 공공의 이익도 아니고 사기업의 이윤을 위해, 그것도 충분한 안전장치도 없이 정보주체의 권리를 희생해야 할 이유가 무엇인지 묻지 않을 수 없다.

안전조치도 부실하다. 개인건강정보와 같은 민감한 개인정보인지, 정보인권을 침해할 다른 우려는 없는지 등을 고려하지 않고 가명처리만 하면 애초 수집 목적 외로 다른 기업에 제공할 수 있도록 하고 있으며, 더구나 한번 제공된 가명정보는 삭제되지 않고 계속 사용 할 수 있도록 보장하고 있다. 서로 다른 기업의 고객정보를 공공기관이 결합해주는 서비스는 전 세계적으로 유례없는 일이다. 유럽연합의 일반개인정보보호규정(GDPR)과 같이 개인정보처리자의 책임성을 강화하는 조항도 부재하다. 개인정보보호위원회의 권한을 강화한다고 하지만, 독립성은 여전히 미약해서 정부가 간섭하려는 의도가 엿보인다. 

이 법이 없으면 데이터 활용이 불가능하다고, 빅데이터나 인공지능의 발전이 불가능하다고 호도하지 말기 바란다. 정보주체의 동의를 받는다든지, 개인정보가 아닌 익명정보를 활용한다든지 혹은, 학술 연구를 활용하는 등 다양한 방법이 존재한다. 개인정보의 권리를 침해해야 가능한 사업 모델을 갖고있다면 차라리 지금 사업을 포기하는 것이 나을 것이다. 

유럽연합과의 적정성 평가를 위해서 개인정보 3법의 조속한 통과가 필요하다는 주장도 있다. 그렇다면 개인정보보호위원회의 독립성과 권한을 강화하는 조항만 통과시키면 된다. 애초에 적정성 평가의 가장 큰 장애물은 우리나라에 독립적인 개인정보감독기구가 없다는 것이었다. 차라리 개인정보보호위원회를 독립적인 감독기구로 바로 세우고 개인정보 보호법제를 전반적으로 재검토하도록 하는 게 효율적인 방법일 수 있다. 

밀어붙일수록 늦어진다. 

내용도 문제이지만 추진 과정도 실망스럽다. 문재인 정부를 과연 민주적으로 운영되는 정부라 부를 수 있는가. 정부 부처는 인권보다는 산업 중심주의자의 편에 서 있다. 정부의 잘못된 정책 추진에 제 목소리를 내지 못하는 여당 의원들도 한심하기는 마찬가지다. 한 사람 한 사람 입법기관으로서 개인정보의 상품화에 찬성하는 것인지 의견을 밝힐 것을 요구했지만, 소신은 간 데 없고 정부의 거수기 역할만 하고 있다. 

박근혜 정부는 충분한 논의없이 ‘개인정보 비식별조치 가이드라인’을 밀어붙였지만, 2016년 이후 현재까지 4년 동안 개인정보의 보호와 활용 체계에 어떠한 진전도 가져오지 않았다. 오히려 정부와 기업이 개인정보를 무분별하게 활용하려 한다는 불신만 가중시켰을 뿐이다. 

문재인 정부에서 개인정보 3법을 충분한 의견수렴도 없이 이렇게 밀어붙인다면 그 결과는 충분히 예상된다. 이런 방식으로 개인정보 3법이 통과된다면 우리는 내 개인정보를 상업적 연구 목적으로 처리하지 말라는 대대적인 거부 운동을 벌여나갈 것이다. 고객의 개인정보를 허투루 취급하는 기업들은 그에 합당한 충분한 대가를 치르게 할 것이다. ‘사람이 먼저다’라는 문재인 정부의 슬로건도 웃음거리가 될 것이다. 

개인정보 3법은 국회에 있지만, 우리는 다시 청와대 앞으로 왔다. 개인정보 도둑법을 강행하는 배후에는 궁극적으로 문재인 정부가 있기 때문이다. 문재인 정부에 마지막으로 촉구한다. 개인정보 3법 강행을 중단하고, 개인정보 보호체계 업그레이드를 위한 제대로 된 사회적 논의를 시작해야 한다. 

2019년 12월 9일 

건강과대안, 건강권실현을위한보건의료단체연합, 무상의료운동본부, 민주사회를위한변호사모임 디지털정보위원회, 전국민주노동조합총연맹, 진보네트워크센터, 참여연대

개인 민감정보 제공은 절대 안돼

국민건강보험법상 명백한 위법한 행위이며 민간보험회사에 자료 제공시 국민건강보험공단 고발할 것

민간보험회사들이 보험 상품 개발 목적으로 국민건강보험공단에 국민건강정보자료 제공을 요청해, 오늘(8/10) 공단 내 자료 제공 심의위원회의 심의가 열린다고 한다. 우리는 건강보험공단 자료 제공 심의위원회가 민간보험회사 돈벌이 연구 목적에 개인 민감정보 제공을 거절할 것을 요구하며, 다음과 같은 입장을 밝힌다. 

첫째, 건강보험공단은 민간보험회사에 국민의 민감 개인정보를 제공할 권한이 없다.

국민건강보험공단 자료는 개인의 건강, 소득, 자산 등이 포함된 개인의 가장 민감한 정보들이 집약되어 있다. 보건복지부 보도자료에 근거하더라도 현재 건강보험공단에는 3조 5천 건이 넘는 개인정보가 축적되어 있다. 이 정보는 건강보험 가입자들이 국민건강보험을 이용하기 위해 사회보험기관인 국민건강보험공단에 제공한 것이다. 그러나 정부는 국민의 민감 개인정보를 이윤창출을 목적으로 하는 민간보험회사에 제공하는 정책을 추진하고 있다. 분명한 것은 국민건강보험공단, 공단 내 자료 제공 심의위원회 위원은 개인정보 주체인 개인의 동의 없이 민감 개인정보를 민간보험회사가 활용하도록 허용할 권한은 없다는 점이다. 민간보험회사는 개인정보보호법 제28조의2에 따라 “통계작성, 과학적 연구, 공익적 기록보존 등을 위하여”는 “정보주체의 동의 없이 가명정보를 처리할 수 있다.”는 조항을 들어 공단의 민감 개인정보 활용 요청을 하고 있는 것으로 보인다. 하지만 이 조항은 다른 법에 관련된 조항이 없을 때 적용되는 일반원칙에 불과하다. 국민건강보험공단의 자료 활용은 국민건강보험법에 관련된 독자 조항이 존재한다. 공단이 개인의 동의 없이 민감 개인정보를 민간보험회사에게 제공하는 것은 국민건강보험법 제102조에서 금지하고 있는 “가입자 및 피부양자의 개인정보를 정당한 사유 없이 제3자에게 제공하는 행위”로서, 이는 “5년 이하의 징역 또는 5천만원 이하의 벌금”형에 해당하는 중대범죄이다. 이 조항에 따르면 가명처리 된 자료라도 정보주체인 개인의 동의 없이 건강보험공단 자료를 민간보험회사에게 제공한다면 이를 결정한 책임자는 국민건강보험법 위반에 해당된다. 국민건강보험공단이 민간보험회사로 민감한 개인정보 제공을 허용한다면 관련 책임자는 현행 법을 위반한 혐의로 고발을 각오해야 할 것이다. 

둘째, 민간보험회사의 국민건강보험공단 개인정보 이용 목적은 건강보험 가입자들의 공익을 위한 것이 아니므로, 국민건강보험공단 업무에 해당되는 자료 제공 범위가 아니다. 

민간보험회사들은 건강보험심사평가원의 허술하고 무책임한 자료 제공이 가능해지자  국민건강보험공단 내 정보도 정보 주체의 동의 없이 가명처리 해 자신들이 이용할 수 있다고 주장하고 있다. 그러나 개인 동의 없이 가명처리 해 제3자에게 제공하는 개인정보는 국민건강보험법이 정한 건강보험공단 업무와 관련된 경우에 한정된다. 국민건강보험법 제14조에 의한 공단의 업무 중 연구와 관련된 조항은 “가입자 및 피부양자의 질병의 조기발견⋅예방 및 건강관리를 위하여 실시하는 예방사업”과 “건강보험에 관한 조사연구”가 전부이다. 민간보험회사가 자사 돈벌이를 위해 보험 상품을 개발하기 위한 연구는 위에 해당하는 연구가 아니다. 민간보험 가입자들에게 보험금 지급을 거절하거나 보험료를 더 많이 받기 위한 연구가 될 수밖에 없다. 민간보험회사의 목적은 애초에 건강보험에 관한 조사 연구범위가 될 수 없다는 것이다. 또한 국민건강보험공단은 자체 내 심사를 위한 개인정보 자료 제공 규정을 가지고 있다. <국민건강정보자료 제공 운영규정> 제3조는 “국민건강정보자료는 공익적 목적의 연구를 위하여 최소한의 범위에서 제공한다”고 분명하게 명시하고 있다. 이 규정은 국민 개개인의 민감정보를 수집, 보유하고 있는 공공기관이 개인정보 주체의 기본권을 보호하고자 마련된 것이며, 신뢰가 기반인 공보험의 책무와 관련된 기본 원칙이다. 국민건강보험공단의 규정에 근거하더라도 민간보험회사의 보험상품 개발을 위한 연구는 공익적 목적의 연구라고 볼 수 없다. 심의위원들은 이러한 심사 목적에 부합하게 심의를 진행해야 할 것이다.

셋째, 보건복지부는 관련부처로서 공공의 목적에 하등 부합하지 않는 민간보험회사의 국민건강보험공단 개인정보 활용 요구에 대해 적절한 규제 조치를 취하고 개인 건강정보 보호를 위한 조치를 마련해야 한다.

민간보험회사들의 국민건강보험공단에 대한 노골적인 자료 요구 등의 압력은 개인정보보호법 개정에 대한 자기맘대로식 해석에 따른 것이기도 하다. 개인의 동의 없이도 “통계작성, 과학적 연구, 공익적 기록보존” 목적으로는 가명처리하여 사용할 수 있도록 한 개인정보보호법 관련 조항의 취지는 해당 목적으로 사용하는 것에 대해서, 개인들도 ‘암묵적으로 동의할 것’이라는 가정에 따른 것이다. 그러나 민간보험회사가 자신의 이윤을 위해 보험상품을 개발하는 것에 내 자신의 민감한 개인정보를 활용할 수 있도록 허락할 개인이 얼마나 있겠는가? “공공의 목적”을 위해서는 개인의 정보 인권과 관련된 권리도 법에 의해 양보될 수 있다는 취지를 반영한 것이다. 공공의 목적과 하등 관련 없는 사용에 개인의 정보 자기결정권을 제약하는 것은 법의 취지에도 맞지 않다. 더욱이 성실한 보험료 납부와 당연지정제에 따른 건강보험 요양기관 이용을 위해 제공된 개인정보를 사익을 위한 목적 연구에 제공한다면 공보험을 비롯한 공공기관에 대한 불신의 불씨를 지피는 것과 다름없다. 실제 유럽 각국은 과학적 연구 목적으로 건강정보 등 민감정보를 개인의 동의 없이 가명처리하여 사용하려면, 연구자들이 해당 연구가 ‘공공의 목적(public interest)’에 부합할 것을 증명하여야 한다고 명시하고 있다. 영국의 경우 관련된 가이드라인에서 ‘상업적 이득이나 사적 이해관계는 공공의 목적에 부합하지 않는다’고 명시하고 있다. 보건복지부는 사회서비스를 제공하기 위해 여러 가지 개인정보를 수집 관리하는 공공기관을 관리 감독하는 것이 그 본연의 업무이기도 하다. 금융위원회 산하 기관으로 전락하지 않으려면 보건복지부는 민간보험회사로의 개인정보 제공을 막기 위한 관련 부처로의 책임과 책무를 다 해야 한다. 

마지막으로, 민감한 개인정보임에도 불구하고 건강보험 가입자가 국민건강보험공단에 각종 건강정보와 개인정보의 관리를 맡긴 것은 공단이 ‘선량한 관리자’로서 보호 의무를 다할 것이라는 믿음 때문이라는 것을 잊지 말아야 할 것이다. 국민건강보험법상 명백한 위법행위이며, 개인정보보호법상 해당 조항의 취지에도 맞지 않고, 관련된 국제적 흐름과도 동떨어진 민간보험회사의 개인 민감정보 제공 요청에 국민건강보험공단은 절대 응하지 말아야 한다. 건강보험공단이 이 믿음을 저버리고 사적 이득을 취하려는 개인 혹은 기업만의 이익을 위해, 민감한 개인 정보를 개인의 동의 없이 활용할 수 있도록 허용할 경우, 그 후폭풍은 예상을 뛰어넘는 것이 될 것임을 경고한다.

공동성명https://docs.google.com/document/d/1EzhWKFR8xAiEOXDdvMxATIKRv63Cqsb5A0Kh... rel="nofollow">[원문보기/다운로드]