[시민정치시평 310]

고삐 풀린 빅 데이터는 빅 브라더로 간다

[시민정치시평] 개인 정보 보호 규제의 방향

장흥배 참여연대 경제노동팀장

하버드 대학교의 L. 스위니(Latanya Sweeney) 교수 팀은 2013년 4월 '인간 게놈 프로젝트 참여자의 이름 식별하기'라는 연구 결과를 내놓았다. 이 연구는 미국의 유전자 정보 웹사이트에서 우편번호, 생년월일, 성(性), 약물 치료, 진단, 수술 기록 등의 정보 579개를 정보 주인의 이름만 없는 상태로 내려받아 이를 실명이 있는 미국의 유권자 정보와 대조하여 게놈 프로젝트 참여자 정보의 주인 이름을 알아맞히는 실험 결과를 다룬 것이다. 연구팀은 130개 정보의 주인을 추정했고, 그중에 121개가 실제 주인과 일치하는 것으로 확인됐다.

이 연구는 이른바 '빅 데이터'(Big Data)를 이용해 비식별 정보를 식별 정보로 전환하는 기술의 경이와 위험을 보여주고 있다. 빅 데이터란 정보통신 기술, 인터넷 기술의 발달로 거대한 양의 디지털 정보가 생성되는 환경에서 새로 정립된 정보 개념으로, 정보 풀(pool)에서 부가 가치 창출을 목적으로 특정한 정보들을 추출, 조합, 분석하는 기술을 가리킨다. 우리나라에서는 서울시의 새로운 심야 버스 노선 '올빼미버스', 교통 안내 서비스에 날씨(weather) 정보를 결합한 기상청의 '웨비게이션' 등 공공 서비스 분야에서 기지개를 켜고 있다.

금융위 '재식별화 위험' 의도적 무시

공공 서비스 못지않게 금융 산업에서도 빅데이터를 활용하려는 이해와 요구가 크다. IT와 금융의 융합에 의한 새로운 금융 산업을 가리키는 핀테크(Fintech) 육성 방안에서 빅 데이터 활성화는 빠지지 않고 등장했다. 금융위원회가 지난 6월 3일 발표한 빅 데이터 활성화 방안의 핵심은 신용정보법 시행령 개정을 통해 '비식별'(de-identification) 정보를 신용 정보에서 제외함으로써 빅 데이터에 활용할 수 있게 한다는 것이다. 신용정보법은 신용 정보의 수집과 활용에 엄격한 개인 동의를 거치도록 하고 있는데, 비식별 정보는 그러한 개인 동의 없이도 빅데이터에 자유롭게 활용토록 하겠다는 것이다.

법률의 위임 범위를 벗어나 시행령을 개정해 걸림돌을 제거하겠다는 행정 독재의 문제는 별개로 치자. 금융위 발표에는 스위니 교수 팀이 경고한 재식별화(re-identification)의 위험성에 대한 대응 방안이 한 줄도 언급되지 않았다. 재식별화란 비식별 정보가 빅 데이터 기술을 거쳐 식별화된 정보로 전환되는 과정 및 그 정보를 가리킨다. 금융위가 이 위험을 언급하지 않은 것은 다분히 의도적이라고 할 수밖에 없다. 이미 국내외에 빅 데이터에 의한 개인 정보의 재식별화 위협에 대한 연구가 활발히 진행되고 있고, 그러한 연구 성과를 바탕으로 새로운 개인 정보 보호 규제가 입안되는 단계에 있기 때문이다.

새로운 규제는 기존의 정보 수집 규제에서 정보 활용 규제로 전환하는 것이 특징이다. 교통카드 이용 정보, 폐쇄회로(CC)TV 등 개인이 일일이 동의 절차를 밟지 않은 수많은 개인 정보가 수집되고 유통되는 환경에서 정보 수집만을 규제하는 것으로는 효과적으로 개인 정보를 보호할 수 없기 때문이다. 새로운 규제 추세에서도 재식별화 위험에 대한 안전장치 문제는 각별히 중요한 위치에 있다.

'내 개인 정보를 나의 동의 없이 수집․이용하겠다는 것인가?' 지금까지 우리나라의 개인정보보호법, 신용정보법, 방송통신망법 등이 개인 정보 보호에 대해 설계한 규범은 정보 주체의 이러한 질문에 대답하는 것이었다. 그러나 빅 데이터 환경에서 정보 주체의 질문은 바뀔 수밖에 없다. '내 개인 정보를 내가 원하지 않는 방향으로 활용하고, 나의 식별․비식별 정보를 누군가 자유롭게 활용해 내 신분이 항상적으로 식별될 위험에 빠뜨리겠다는 것인가?

국내외의 새로운 개인 정보 보호 규제의 추세는 바로 정보 주체의 전환된 질문에 대한 대답이다. 2014년 5월 오바마 대통령에게 두 개의 보고서(<빅 데이터 : 기회의 활용과 가치의 보존>, <빅데이터와 사생활 보호 : 기술적 관점>)가 제출되었다. 보고서는 정보 주체에 대한 통지와 동의에 의존하는 기존의 규제 대신 정보가 활용되는 맥락에 따라 규제자가 의도하는 결과를 정보 활용자에게 부과하는 것을 새로운 규제의 방향으로 제시하였다.

사정은 유럽에서도 마찬가지다. 2013년에 시작된 유럽연합의 정보 보호 규정(Data Protection Regulation) 개정 논의는 재식별화 문제와 유사한 프로파일링(profiling) 문제를 쟁점으로 다루고 있다. 프로파일링은 직업 수행 능력, 경제 상황, 물리적 위치, 건강 상태, 취향 등의 민감한 개인 정보를 분석하거나 예측하는 것으로, 개정안은 프로파일링의 방식과 범위에 대한 제한을 다루고 있다. 개정안은 이 밖에도 '잊힐 권리(right to be forgotten)', '명시적 동의(explicit consent)'와 같은, 디지털 환경에서 각별히 부상한 개인 정보 보호의 쟁점을 포괄적으로 다루고 있다. 개정안은 2016년 안에 모든 유럽연합 가입국이 준수해야 하는 규제(regulation) 형태로 유럽의회를 통과할 예정이다.

디지털 환경에서 정보보호의 방향부터 새로 정립해야

초보적 수준이지만 우리나라 방송통신위원회도 빅 데이터 처리와 관련한 개인 정보 보호 지침을 2014년 12월 '빅 데이터 개인 정보 보호 가이드라인'이라는 이름으로 발표했다. 핵심은 빅 데이터 활용에서 재식별화 위험을 제거하는 것이다. 방통위는 정보 수집 단계에서 비식별화 조치가 필요하고, 재식별화된 정보는 즉시 파기하거나 또는 비식별화 조치를 취할 것을 규정했다. 따라서 재식별화 위험에 대한 제한이 없는 금융위의 빅 데이터 활성화 방안은 어렵게 만들어진 방통위 가이드라인을 무력화하는 것이기도 하다.

안전장치 없는 빅 데이터는 우리나라에서 특별히 위험하다. 일단 우리나라에서는 주민등록번호라는 강력한 식별 키(key)가 존재한다. 여기에 지난해 1월 카드 3사의 개인 신용 정보 1억 건 유출 사건에서 드러났듯이 개인 정보들이 수많은 영리 기업에 의해 불법으로 수집․유통되고 있다. 조선족 온라인 커뮤니티에는 날마다 한국인의 개인 정보 거래 제안이 올라온다. 개인 정보의 수집 및 거래가 하나의 '시장'을 형성하고 있는 상황이다.

초민감 정보인 개인 질병 정보도 신용 정보로 생명보험협회가 수집․관리해 왔으며, 이제 금융위는 개인 질병 정보를 신용 정보 집중 기관으로 넘겨 비식별화 상태로 빅 데이터에 활용할 수 있도록 하겠다는 입장이다. 종합하면, 우리나라는 불법 또는 합법으로 수집․유통되고 있는 초민감 개인 정보들이 빅 데이터를 통해 영리 목적으로 다른 분야에서도 식별화될 위험이 어느 나라보다 높다고 할 수 있다.

새로운 산업은 항상 미래 성장 동력, 일자리 창출과 같은 유토피아의 모습으로 소개된다. 금융위의 핀테크 산업 육성 전략, 빅 데이터 활성화 방안에 소개되는 해외 사례들은 개인 정보의 침해가 일상화된 우리나라에서 마치 개인 정보 보호 규제 때문에 산업 발전이 지체되고 있다는 메시지를 담고 있다. 이것은 대체로 진실과는 거리가 멀다.

어느 날 보험회사가 불법 또는 합법으로 취득한 당신의 유전자 정보를 손에 쥐고 당신의 보험 가입을 승인할 것인지 말 것인지, 승인한다면 얼마의 보험료를 책정할 것인지를 결정하는 미래를 그려보라. 진실은 그럴듯하게 꾸며진 정부 기관의 보도 자료보다는 이런 상상 안에 훨씬 풍부하게 담겨 있다.

이런 종류의 디스토피아에 대한 두려움은 긴 역사를 자랑하지만, 빅 데이터 환경에서는 잠재적 위협이 아니라 부분적으로 현실화된 위협이다. 2012년 2월, <뉴욕타임스 매거진>은 슈퍼마켓 체인점 '타겟'의 미니애폴리스 지점이 한 여고생의 임신 사실을 해당 학생의 부모보다 먼저 파악해 광고 마케팅에 활용한 사례를 소개하고 있다. 타겟은 이 여고생이 임신 관련 상품에 관심을 보였다는 정보를 다른 정보와 결합해 다른 누구도 아닌 그녀의 임신 사실을 식별하였다.

빅 데이터는 분명히 복리에 기여할 수 있다. 그러나 개인 정보를 방어막 없이 기업의 이윤 추구와 정보 권력의 통제 동기에 맡기는 것은 생활의 편리나 경제적 부가 가치의 생산으로 만회할 수 없는 가치의 훼손으로 이어질 수 있다. 필요에 따라 '익명으로 살아갈 자유의 박탈'은 현대 산업 사회에서 인간의 실존을 위협하는 재앙이다. 그런 면에서 금융위의 빅 데이터 활성화 방안은 원점에서 재검토되어야 한다. 지금 필요한 것은 물신화된 국가 경쟁력에 대한 강박이 아니라 빅 데이터 환경이 프라이버시에 대해 제기하는 도전을 점검하고, 보호 규제의 방향부터 새롭게 정립하는 일이다.

“연말연시 벤*가 온다 경품이 쏟아진다”, “가정의 달 황금이 쏟아진다” 
소비자들의 눈길을 끄는 경품행사, 혹시나 당첨이 되면 연락을 받기 위해 응모 할 때 응모권에 개인정보를 적는데요. 
최근 홈플러스가 이렇게 수집한 고객의 개인정보, 2,400만여 건을 무단으로 보험사에 팔아넘겼지만 법원에서 무죄를 선고받았습니다. 응모권 뒷면에 1mm의 깨알같은 글씨로 보험사에 개인정보를 제공할 수 있다는 내용을 표기한 홈플러스는 고지의무를 다 했으니 개인정보보호법을 위반하지 않았다는 것입니다. 
기업의 개인정보 장사에 면죄부를 준 이번 판결이 얼마나 국민들이 이해하는 상식에서 벗어났는지 강신하 변호사의 판결비평으로 알아보려합니다.

[광장에 나온 판결] 홈플러스 개인정보 불법매매 무죄 판결

판사 눈에만 보이는 1mm의 상식

서울중앙지법 2016. 1. 8. 선고. 2015고단510 개인정보보호법위반
판사 부상준                       

강신하 변호사

우리나라 헌법 제103조는 “법관은 헌법과 법률에 의하여 그 양심에 따라 독립하여 심판한다.”라고 규정하고 있다. 여기서 법관으로서의 양심이란 공정성과 합리성에 바탕을 두어야 한다. 즉 상식에 입각한 판결을 하라는 뜻이다.  

이번 홈플러스 개인정보 불법매매 사건 판결의 쟁점은, 첫째 홈플러스의 경품행사에 응한 고객들의 개인정보를 보험회사에 판매한 것이 개인정보보호법에 위반하는지, 둘째 홈플러스가 고객들이 홈플러스 패밀리카드를 발급받으면서 제공한 개인정보를 보험마케팅에 필요한 대상자를 선별하기 위해 보험회사에 제공한 행위가 개인정보보호법에 위반하는지 여부이다.

먼저 홈플러스가 경품행사에 응한 고객들의 개인정보를 보험회사에 돈을 받고 판매한 행위를 살펴보자. 홈플러스는 홈페이지 등에 “홈플러스 창립 14주년 고객감사대축제”, 전단지 등에 “2014 새해맞이 경품대축제, 홈플러스에서 다이아몬드가 내린다.” “그룹탄생 5주년 기념, 가을 愛 드리는 경품대축제” 등 경품응모행사를  홍보를 하였다. 경품응모권 앞면은 누구나 읽을 수 있는 글씨로 ‘성명, 주소, 전화번호, 나이 등의 정보수집에 동의하지 않으면 경품행사에 참여할 수 없다’고 기재를 하였고 뒷면에는 쉽게 알아 볼 수 없는 1mm의 글씨 크기로 ‘수집한 개인정보를 보험회사의 안내를 위한 전화, 마케팅 자료로 활용된다’는 기재를 하였다. 

개인정보보호법 제16조 제1항은 개인정보처리자는 정보주체의 동의를 얻고 개인정보를 수집하는 경우에 그 목적에 필요한 최소한의 개인정보를 수집해야 하고, 제16조 제3항은 정보주체에게 재화나 서비스를 홍보하거나 판매를 권유하기 위해 개인정보의 동의를 얻을 때는 이를 명확하게 인지할 수 있도록 알리고 동의를 얻어야 하며, 제59조는 거짓이나 그 밖의 부정한 수단으로 개인정보를 취득하거나 처리에 관한 동의를 얻지 못하도록 규정하고 있다.     
 
경품행사에 응한 고객들은 홈플러스가 그 동안 홈플러스 매장을 이용한 고객에 감사하여 경품행사를 개최하는 것으로 알았기 때문에 당첨이 되면 연락을 받기 위해 개인정보를 제공한 것으로 보아야 할 것이다. 만약 홈플러스가 경품행사는 개인정보를 수집하기 위한 미끼이고 수집한 개인정보를 보험회사에 유상으로 판매할 것이라는 사실을 명확하게 고객들에게 알렸다면 바보가 아닌 다음에야 누가 이러한 경품행사에 응모하기 위해 개인정보를 제공했겠는가? 
더구나 2013년 12월 26일부터 2014년 2월 8일 까지 실시한 “홈플러스에서 다이아몬드가 내린다”라는 경품행사에는 다이아몬드를 사전에 확보하지도 않았고, 업체에 문의를 한 적도 없다.  

그럼에도 불구하고 법원은 홈플러스가 개인정보를 보험회사에 유상으로 판매한 경우에도 응모권 뒷면에 1mm 크기로 개인정보를 보험회사에 마케팅 자료로 활용될 수 있다고 알렸다는 이유로 기소된 홈플러스 관계자들에게 무죄를 선고했다. 

심지어 홈플러스가 경품 당첨시 연락할 정보와 아무런 관계가 없는 개인정보인 생년월일, 자녀수 등도 보험회사의 마케팅에 필요한 범위내의 정보이므로 개인정보보호법 제59조의 거짓 그 밖의 부정한 수단이나 방법에 해당하지 않는다고 했다. 경품응모행사에 당첨된 고객에게 그 사실을 알리기 위해서는 그의 생년월일이나 자녀수 등에 관한 정보도 필요하다는 것이 대한민국의 건전한 국민의 상식일까? 
  
다음으로 홈플러스가 패밀리카드를 발급하면서 수집한 개인정보를 보험회사에게 보험마케팅 대상자를 고르기(필터링) 위해 제공한 행위가 개인정보보호법 위반에 해당하는지 살펴보자. 물론 홈플러스는 고객에게 패밀리카드를 발급하면서 고객들로부터 보험회사 등 제3자에게 수집한 개인정보를 제공하는데 동의를 얻은 적이 없다.
 
여기서 문제는 홈플러스가 보험회사에게 개인정보를 제공한 행위가 홈플러스의 업무처리의 위탁에 해당하는지 아니면 보험회사를 위한 업무인지 여부이다. 왜냐하면 개인정보보호법 제26조는 개인정보처리에 관한 업무는 정보주체의 동의 없이 제3자에게 위탁할 수 있도록 규정하고 있기 때문이다. 
보험회사의 필터링 업무가 홈플러스의 업무처리의 위탁인지, 보험회사를 위한 업무인지를 판단하는 기준은 이러한 필터링 업무가 홈플러스의 이익을 위한 것이지, 보험회사의 이익을 위한 것인지 여부에 달려있다. 

법원은 홈플러스가 필터링 업무를 보험회사에 의뢰하여 보험회사의 마케팅에 응하지 않을 신용불량자 등을 사전에 거르면 홈플러스의 시간, 노력 및 비용이 줄어들기 때문에 홈플러스의 이익을 위한 것으로 보아 업무처리의 위탁으로 보고 무죄를 선고하였다. 

보험회사는 개인정보를 홈플러스로부터 1건당 2,800원을 주고 구입해야 한다. 보험회사는 필요 없는 개인정보를 돈을 주고 구입하면 손해이다. 보험회사는 구입비용을 줄이기 위해 가능하면 신용불량자, 보험상품 설명을 원하지 않는 고객 등 블랙리스트를 제외하고 회사에 필요한 개인정보만을 구입할 필요가 있다. 이에 반해 오히려 홈플러스는 필터링을 통해 취득하는 이익이 줄어든다. 그럼에도 불구하고 법원은 필터링 행위가 홈플러스의 이익을 위한 것으로 보는 것이 상식에 부합한다고 판단한 것이다. 

이런 법원의 상식은 대한민국 국민의 1% 금수저들의 상식에 부합할지는 몰라도, 평범한 대한민국 일반인의 상식과는 멀어도 너무 멀다. 법원은 정말 모르는 것일까.

참여연대 사법감시센터는 최근 판결 중 사회 변화의 흐름을 반영하지 못하거나 국민의 법 감정과 괴리된 판결, 기본권과 인권보호에 기여하지 못한 판결, 또는 그와 반대로 인권수호기관으로서 위상을 정립하는데 기여한 판결을 소재로 [판결비평-광장에 나온 판결]사업을 진행하고 있습니다.
주로 법률가 층에만 국한되는 판결비평을 시민사회 공론의 장으로 끌어내어 다양한 의견을 나눔으로써 법원의 판결이 더욱더 발전될 수 있다는 생각 때문입니다.