주요 콘텐츠로 건너뛰기

위험한 게임: 빅데이터와 개인정보 비식별 조치 가이드라인

지역

위험한 게임: 빅데이터와 개인정보 비식별 조치 가이드라인

익명 (미확인) | 목, 2016/10/06- 16:10

위험한 게임: 빅데이터와 개인정보 비식별 조치 가이드라인

글 | 민노씨(슬로우뉴스 편집장)

 

개인정보 플랫폼 기업이 개인정보를 판매 촉진 목적으로 활용하려고 할 때, 정보주체의 동의를 받아야만 하는지, 동의를 받지 않고도 분석, 가공, 판매할 수 있는지에 따라서 개인정보 플랫폼 기업에는 막대한 이윤 발생 여부가 결정된다. 이들의 이해관계가 첨예하게 걸려 있는 사안이다. (이은우 변호사, 정보인권연구소)

강원도에 사는 스무살 대학생 철수가 페이스북에 재잘거리는 한담이, 제주도에 사는 서른살 직장인 영희가 트위터에 올리는 짧은 한탄이 경제적인 가치를 지니는 ‘고급 정보’가 될 가능성은 그 자체로는 제로다. 하지만 10만 명의 철수가 100만 명의 영희가 모이면 얘기는 달라진다.

 

빅데이터, 그것이 문제로다 

오늘날 컴퓨팅 기술은 천문학적인 규모로 생산되는 무수히 다양한 개인의 디지털 정보를 드디어 ‘정복’하는 단계에 들어섰다. 그걸 상징하는 용어는 ‘빅데이터’다. 이제 쓰고, 말하며, 대화하고, 소비하는 물리적인 컴퓨터 서버의 어딘가에 저장된다. 이제 디지털 저장기술은 인간의 기억을 대신한다. 우리는 그저 끊임없이 생산하고, 소비하며, 흘려보내면 그뿐이다.

그런데 그렇게 디지털 전자신호로 서버 속 공간 아닌 공간을 흘러갔던 정보는, 철수와 영희는 영영 모르는 채로, 이제 산업적인 가치를 가지는 정보로 재가공된다. 누구도 감히 시도하지 못했던 정보의 총체적 재구성이다. 모든 흩어진 의미가 ‘찬란한 귀향의 축제’를 맞는다. 기업 입장에서는 서비스를 더욱더 진화시키고, 이윤을 극대화할 기회이자 재료다.

luckey_sun, "big data", CC BY SA https://flic.kr/p/bx1jvU

luckey_sun, “big data”, CC BY SA

하지만 개인정보 주체들에게는 디스토피아의 서막일 수도 있다. 근대 이후 개인은 자신의 권리를 지키기 위해 국가 권력으로부터 자신을 숨길 수 있는 권리(홀로 있을 권리)를 ‘획득’했다. 그리고 오늘날 문명화한 국가는 국가권력의 부당한 간섭으로부터 자신을 숨기는 것에 그치지 않고, 자신의 개인정보를 통제할 수 있는 권리를 명문의 법률로 규정했다. 자기 정보 통제권(혹은 개인정보 자기 결정권)은 그렇게 탄생했고, 그 권리는 그저 주어진 것이 아니다. 개인정보에 관한 권리에 눈뜬 근대적 자아가 획득한 전리품이다. (→ 참고: 거짓말할 수 있는 권리)

단, 이 자기 정보 통제권이 각자 자신에 대한 정보를 공개된 정보와 비공개된 정보 가릴 것 없이 자신이 소유한 자동차를 소유하듯이 마음대로 통제할 수 있는 절대적인 권리로 해석하면 그것은 곤란하다. 이는 타인들 간에 진실한 정보를 공유하는 생활에 검열권을 가지게 하는 셈이라서 자기 정보 통제권은 균형을 고려한 해석이 불가피하다.

 

위험한 게임, ‘개인정보 비식별 조치 가이드라인’

기업에 빅데이터가 잠재적 부가가치를 창출할 가능성이라면, 자기 정보 통제권을 자신도 모르는 사이에 빼앗길 수 있는 개인에게는 잠재적 공포다. 그 ‘위험한 게임’이 지금 막 시작됐다. 이름은 ‘개인정보 비식별 조치 가이드라인’.

  • 국무조정실
  • 행정자치부
  • 방송통신위원회
  • 금융위원회
  • 미래창조과학부
  • 보건복지부

참여 부처의 이름에서 확인할 수 있듯 그야말로 통합 가이드라인이다. 그 골자는 이렇다.

‘개인정보라고 하더라도 비식별 조치(익명화)를 거치면 정보주체의 사전 동의 없이 기업이 이를 활용하도록 할 수 있다.’ 

개인정보 비식별 조치 가이드라인 (국무조정실, 행정자치부, 방송통신위원회, 금융위원회, 미래창조과학부, 보건복지부, 2016. 6) 중에서

개인정보 비식별 조치 가이드라인 (국무조정실, 행정자치부, 방송통신위원회, 금융위원회, 미래창조과학부, 보건복지부, 2016. 6) 중에서

 

가이드라인의 쟁점 

이 글은 가이드라인의 개요와 쟁점을 단계적 ‘Q&A’ 형식으로 독자에게 최대한 쉽게 전하는 것을 목표로 한다.

  • 개인정보 비식별 조치 가이드라인 (국무조정실, 행정자치부, 방송통신위원회, 금융위원회, 미래창조과학부, 보건복지부, 2016. 6) → 이하 ‘가이드라인’으로 표기.
  • 개인정보보호법 → 이하 ‘개보법’으로 표기.
  • 행정자치부 개인정보보호정책과 장한 과장 → 이하 ‘행자부’로 표기.
  • 오픈넷 박지환 변호사 → 이하 ‘오픈넷’으로 표기.
  • 정보인권연구소 이은우 변호사 → 이하 ‘연구소’로 표기.[1]

 

1. ‘빅데이터’란 무엇인가

가이드라인의 중심에 있는 화두는 ‘빅데이터’다. 빅데이터 산업 육성이라는 가치와 개인보호라는 가치를 조화롭게 공존하게 하는 게 가이드라인의 취지라면, 이에 시민단체(오픈넷)와 정부(행자부)의 평가와 시각 차이는 명확하다.

오픈넷은“법률적으로 빅데이터에 대하여 정의된 바는 없다”고 전제한 뒤, “최근 빅데이터라는 단어 자체에 천착하여 빅데이터 산업의 진흥만이 주로 논의될 뿐, 빅데이터 환경이 정보 주체의 개인정보 자기결정권에 미치는 영향에 대한 논의는 부족“하고, 가이드라인도 이런 “흐름의 연장선”에 있다고 지적한다.[2]

정보 개인정보 프라이버시

Intersection Consulting, CC BY NC

이에 대해 행자부는 빅데이터 산업 진흥과 개인정보의 관계는 “단순하게 이야기할 수 있는 성격은 아니”라면서, 이번 가이드라인이 데이터 이용함에 있어 “개인정보 보호를 위한 기준을 제시”했다고 자평한다.[3]

 

2. ‘비식별 조치’란 무엇인가

가이드라인의 골자는 ‘비식별 조치’(익명화)다. 가이드라인은 비식별 조치 방법과 그 적정성을 평가하는 기준을 제시한다. 그런데 ‘비식별 조치’라는 용어, 익숙한가? 용어 정의부터 잘못됐다는 비판과 이에 대한 정부의 입장을 살펴보자.

연구소는 ‘비식별 조치’라는 표현 자체가 부적절하다면서 “용어 자체가 부적절한 법률용어”라고 말한다. 그렇다면 비식별 조치는 과연 어떤 의미일까? 개인정보 보호법제와 유사한 유럽연합과 일본의 용어 정의를 참고해보자.

  • 유럽연합“익명화된 데이터”(data rendered anonymous)[4]
  • 일본: 개인정보보호법의 개정시 “익명가공정보” 규정한다. 익명가공정보는 ‘특정 개인을 식별할 수 없도록 개인정보를 가공하여 얻어지는 개인에 관한 정보로서 해당 개인정보를 복원할 수 없도록 한 것을 말한다’고 정의한다.[5]

더불어 ‘비식별 조치’ 혹은 ‘비식별화’라는 표현이 너무 모호하다고 지적한다. 가이드라인의 ‘비식별 조치가’가 ‘익명화’나 ‘익명정보’ 혹은 ‘익명가공정보’와 같은 의미라면 그냥 ‘익명화’나 ‘익명정보’로 쓰면 될 것을 “문법에도 맞지 않는 신조어”를 사용해 국민에게 혼동을 초래한다고 비판한다.

'비식별 조치'는 쉽게 말해 '익명화'라고 할 수 있다.

‘비식별 조치’는 쉽게 말해 ‘익명화’라고 할 수 있다.

반면 행자부는 익명화든 비식별 조치든 “이는 용어 선택의 문제일 뿐”이라고 일축하면서, “내용이 중요하지 용어 선택은 부차적”이라고 말한다. 그러면서 “요즘은 국제적으로 ‘비식별화’를 쓰는 추세”라고 부연한다.[6]

한편, 오픈넷은 연구소 입장에 동의하면서, ‘익명화’라고 표현해야 정확하다는 입장이다.[7]

 

3. 가이드라인의 ‘비식별 조치’ 평가 기준은 타당한가

여러 문제와 논란은 별론으로, 우선 가이드라인의 내용에 집중해 보자. 가이드라인은 ‘비식별 조치’와 이에 대한 적정성의 평가 기준과 절차를 규정한다. 그럼 가이드라인에서 제시하는 ‘비식별 조치’의 기준은 과연 합리적일까.

개인정보 비식별 조치 가이드라인 (국무조정실, 행정자치부, 방송통신위원회, 금융위원회, 미래창조과학부, 보건복지부, 2016. 6) 중에서

개인정보 비식별 조치 가이드라인 (국무조정실, 행정자치부, 방송통신위원회, 금융위원회, 미래창조과학부, 보건복지부, 2016. 6) 중에서

연구소는 가이드라인의 위 해당 문답을 해석하면 “이는 재식별 가능성이 현저하지 않은 것은 개인정보보호법을 준수하지 않아도 된다는 것”이라면서 “유럽연합에서 익명정보가 ‘더 이상 재식별 가능성이 없는 것’을 의미한다고 지적한다. 더불어, 일본의 개인정보보호법에서도 ‘익명가공정보’란 복구 불가능한 것이라고 정의하고 있는 것과 비교할 때 잘못”이며, “재식별 위험이 현저하지만 않다면 개인정보 주체는 그 위험을 감수하라”는 가이드라인이라고 비판한다.

이에 대해 행자부는 해당 문답의 표현 중 “현저히”는 ‘강조 수사’에 불과”하다며, “해당 문구에 큰 의미를 부여할 필요가 없다”고 답변했다. 가이드라인의 “전체 체계”가 중요하고, 해당 문구는 “강조 수식에 불과”하다는 입장이다. 참고로, 행자부는 인터뷰에서 가이드라인의 법적 성질을 묻는 질문에 “유권해석집”이라고 답했다

한편, 오픈넷 “표현의 모호성 때문에 ‘가이드’의 역할도 제대로 하지 못할 것”이라고 말하면서 가이드라인이 ‘유권해석집’이라면, “구체적인 법 규정에 대한 해석이어야” 할 텐데, “비식별 조치라는 것은 기존 법에도 없는 새롭게 창조한 개념”이고, 이를 해석한다고 하니 “내용뿐만 아니라 법적인 근거나 성질도 모호할 수밖에 없다”고 비판했다.

 

4. 비식별 조치에 대한 적정성 평가 

가이드라인은 비식별 조치가 제대로 이뤄졌는지 평가하는 기준을 정한다. 이 적정성 평가 기준은 과연 타당한 것일까. 연구소는 ‘형식적이기 짝이 없다’고 비판하고, 행자부는 ‘다른 대안이 없다’고 말한다.

연구소는 가이드라인의 “적정성 평가 기준은 형식적이기 짝이 없다”면서 “K(익명성), L(다양성), T(근접성)의 세 가지 방법의 익명화 기술을 적용하라는 것”은 “겉으로는 복잡해 보이지만, 단순하기 그지 없다”고 지적한다. 그리고 무엇보다 이들 방법과 기준은 “재식별 가능성이 농후한 방법으로 지목받아 왔던 기술”이라고 비판한다.

이에 대해 행자부는 연구소의 비판은 “비판을 위한 비판”이라고 반박한다. “현재로썬 KLT 외에는 현실적인 대안이 없”고, “(오히려) 유럽에서는 K를 의무화하지 않았지만, 우리는 K를 의무화했다”면서 그만큼 개인정보 보호에 신경 쓰고 있다고 강조했다.

오픈넷은 해당 기술의 재식별 가능성도 중요한 이슈지만, “개인정보처리자 입장에서 특정 기술을 이용한 비식별 조치만을 취하면 개인정보가 아닌 것으로 추정되는 것인 양 오독할 여지가 큰 가이드라인 규정의 모호성이 가장 큰 문제”[8]라고 지적한다.

 

5. 적정성 평가단: 고양이에 생선가게 맡기기? 

가이드라인은 분야별 전문기관을 두고, 이 전문기관이 비식별 조치의 적정성을 평가하게 한다. 그런데 이 적정성 평가 기관에 ‘한국신용정보원’과 같은 빅데이터 산업과 이해가 직결한 이익단체가 속해 있어 문제다. ‘고양이에게 어물전을 맡기는 꼴’이라는 비판이 나오는 이유다.

연구소는 이들 기관이 “공정성을 기대하기도 어렵고, 혼란만 야기할 것”이라면서 특히 분야별 전문기관 중에는 “특히 사업자들 모임인 한국신용정보원이 포함”돼 있고, 금융보안원, 사회보장정보원, 한국정보화진흥원 등은 “성과 위주의 조직”임을 지적한다.

특히, 한국신용정보원은 금융업계 모든 고객의 신용정보를 통합해서 관리하는 기관(세계 최초)으로 여기엔 이들은 빅데이터 활용에 가장 큰 이해관계를 가진 다음 ‘이익단체’들이 참여한다. 더불어 이들 협회 소속 기업에서 그동안 각종 개인정보 유출 사고가 연례행사처럼 이어져 왔던 건 주지의 사실이다.

  • 은행연합회
  • 금융투자협회
  • 여신금융협회
  • 생명보험협회
  • 손해보험협회 등

빅데이터 산업에 직접적인 이해관계를 가진 '이익단체'가 적정성 평가를 한다?

빅데이터 산업에 직접적인 이해관계를 가진 ‘이익단체’가 적정성 평가를 한다?

이에 대해 행자부는 연구소 측에서 특히 문제 삼은 ‘한국신용정보원’은 “우리가 지정한 게 아니라 금융위원회가 지정한 것”이라면서, “분야별로 소관 부처에서 관련 기업을 지원할 수 있는 기관을 지정한 것”이라고 우회적으로 답변했다.

이 문제 관해 오픈넷은 “전문기관 자체가 법률에 근거가 없”고, “정보주체들로부터 개인정보의 처리 권한에 대한 동의를 받지 않”았으므로, “사업자 모임 여부와 상관없이 부적절하다”고 답했다.

 

6. 입증책임 문제 

가령, A라는 기업이 철수와 영희의 신용카드 구매 정보를 ‘비식별 처리’해서 B라는 기업에 팔았다고 가정해보자. 이때 비식별 처리가 제대로 이뤄졌다는 ‘입증’ 책임은 누가 질까? 철수와 영희일까? 아니면 A와 B라는 기업일까?

연구소는 가이드라인이 “비식별 조치가 적정하다는 평가를 받으면 해당 정보는 개인정보가 아닌 것으로 추정”된다고 규정하므로, 해당 정보를 어떤 개인이 “개인정보라고 주장하려면 개인정보 주체가 이를 입증해야 한다”고 해석한다.

이에 대해 행자부는 연구소 측 주장은 “근거 없는 주장”이라면서, “가이드라인에는 그런 내용이 없”으며, “당연히 비식별 조치를 한 측에서 (비식별 조치의 정당성과 적정성을) 입증해야 한다”고 말한다.

개인정보 비식별 조치 가이드라인 (국무조정실, 행정자치부, 방송통신위원회, 금융위원회, 미래창조과학부, 보건복지부, 2016. 6) 중에서

개인정보 비식별 조치 가이드라인 (국무조정실, 행정자치부, 방송통신위원회, 금융위원회, 미래창조과학부, 보건복지부, 2016. 6) 중에서

입증책임 논란에 대해 오픈넷은 법원에 까지 가는 사안이 생기면, 법률에 근거가 있는 것은 아니지만  “가이드라인이 ‘추정한다’고 하니 반증이 없는 한 개인정보가 아닌 것으로 판단”될 가능성이 높다고 연구소 측에선 해석한 것이고, 행자부 쪽에선 원칙적으로 법원이 가이드라인에 구속되지 않으니 “각자도생’해야 한다는 식으로 답변”한 것으로 보인다면서, “가이드라인에 법적 근거가 없는 이상 개인정보처리자인 기업들 역시 가이드라인에 따라 비식별조치된 정보를 섣불리 수집 목적 외로 이용하거나 제3자 제공에 나서지는 않을 것”이라는 게 현 시점에서 가이드라인의 위치라고 답했다.

대법원

‘비식별 처리’ 문제로 ‘분쟁’이 생겨 법원에 가는 일이 생기면, 기업과 일반 시민 중에서 누가 입증책임을 질까?

연구소 측에 행자부 답변 내용을 전하자, 연구소 측에선 “가이드라인이 입증책임과 관련 없다면, 가이드라인(의 해당 문구)은 존재할 필요가 없다”면서, “가이드라인의 논리 체계에 반하는 해석을 주무 공무원이 공식적으로 답하는 것은 아주 무책임하다”고 논평했다. 더불어 가이드라인에 참여한 행정부처들을 고려하면 현실적으로 “어떤 개인이 ‘재식별화가 제대로 되지 않았다고 신고했을 때, 경찰이 어떤 기준을 따르겠는가?”라고 반문하면서, “경찰 수사에 있어서 가이드라인은 실질적인 수사 기준이 될 것”이라고 전망했다.

생각건대, 행자부의 답변은 궤변이다. 연구소나 오픈넷의 지적처럼, 가이드라인를 준수한 기업조차 다시 재판에서 ‘입증책임’의 부담을 져야 한다면 가이드라인의 존재 근거가 없고, 기업은 가이드라인을 따를 이유도 없다. 반면에 그렇다고 입증책임을 개인에게 지운다면 이는 더 큰 문제다. 가이드라인의 딜레마인 셈이다.

 

7. ‘결합지원’ 문제 

가이드라인은 각각 비식별 조치를 한 개인에 관한 별개 정보집합물을 전문기관에서 개인별로 결합시켜 주겠다고 한다. 예를 들면, 비식별 조치를 한 통신사 고객정보와 비식별 조치를 한 신용카드사 고객의 신용카드 사용정보를 전문기관에 보내주면 각 개별로 결합시켜 결합정보를 제공하겠다는 것이다.

예를 들어 가이드라인은 00홈쇼핑의 고객정보와 xx카드사의 구매금액 상위 10% 고객의 구매 내역 정보를 결합하여 xx카드사의 구매금액 상위 10% 고객 중 00홈쇼핑 고객을 골라 내서 구매내역을 분석할 수 있다고 한다. 이것은 홈쇼핑과 카드사가 고객의 동의도 받지 않고, 카드 구매내역을 분석하도록 허용하는 것과 같은 결과를 초래한다.

특히 결합은 산부인과나 산후조리원, 초등학생이나 유아 등 민감한 정보에도 무방비다. 이런 식이면 산부인과나 산후조리원은 환자나 산모의 동의도 받지 않고 임신, 출산한 고객 중 월 500만 원 이상 신용카드를 이용한 고객의 구매내역을 분석할 수도 있고, 초등학생 대상 학원에서는 초등학생이나 부모의 동의를 받지 않고도 통신사로부터 초등학생의 이동경로를 분석할 수도 있게 된다. 당사자는 이런 정보 결합에 대해 알지도 못하고, 반대할 기회도 갖지 못한다. (연구소 발제문 참조)

연구소는 비식별 조치를 했지만, 개인을 결합할 수 있다는 것은 “비식별 조치를 한 정보가 익명정보가 아니라는 것을 반증”하는 것이라면서 “만약 개인을 식별할 수 없도록 익명정보로 만들었다면 익명정보가 누구의 정보인지를 알 수 없는 것이기 때문에 다른 정보와 결합하는 것은 불가능하다”하다고 지적한다.

결합지원 이슈에 대해 행자부는 “리스크를 최소화하면서 나름으로 안을 짰는데, 결과적으로 유럽과 유사”하게 됐다면서 “신뢰할 수 있는 제3기관을 통해서 지원”하는 것이라고 답했다.

오픈넷 “법률적 근거가 없는 전문기관에 의한 결합지원 역시 개인정보 자기 결정권을 침해”할 수 있다고 지적했다.

아이돌 그룹 대부분이 앨범 3~4만 장을 파는 현실에서 TIF는

비식별 조치된 정보의 ‘결합지원’ 문제 역시 가이드라인이 다루는 중요한 문제 중 하나다.

 

왜 가이드라인가, 누구를 위한 가이드라인가 

행자부는 가이드라인의 법정 성질을 (개인정보보호법에 관한) “유권해석집”이라고 말한다. 그런데 왜 법을 개정하지 않고, 가이드라인으로 만들었을까? 행자부는 “법 개정은 오히려 업계에서 하는 주장”이라면서, “일본법은 개정안이 통과돼서 내년부터 시행될 예정”이라며 “(일본은) 법에서 규정한 안전조치(비식별 조치)를 준수하면, 기업의 책임이 면제”되므로, 우리나라 “업계에서도 법 개정을 원한다”고 말한다.

하지만 연구소 측은 “법률 개정이 필요한 사항을 가이드라인으로 만드는 것은 입법권을 무시하는 처사”라면서 가이드라인은 “상당한 재식별 가능성이 있어도 이를 무시하고 개인정보보호법의 적용을 배제”하고 있으므로, “즉각 폐기해야” 한다고 주장한다.

말도 많고, 탈도 많은 가이드라인, 과연 누구를 위한 것일까?

기업의 선의를 믿는다면, 기업은 더 좋은 서비스를 위해 비식별화한 정보를 활용할 것이고, 이는 서비스를 향유하고 소비하는 이용자에게도 좋은 일이다. 그리고 기업이 자신의 이익을 극대화하기 위해 재식별화하려는 욕망을 표출할 수밖에 없다는 견해도 부정적인 선입견일 수 있다.

하지만 인간은 과거에 있었던 행위를 회고하고, 성찰함으로써 미래를 전망한다. 기업의 개인정보 유출 사고뿐만 아니라 기업의 개인정보 ‘매매 사건’(홈플러스 사건), 거기에 더해 이런 개인정보 관련 사건 사고를 처리하는 국가권력(검찰)과 이를 최종적으로 판단하는 법원의 개인정보에 관한 인권 감수성(홈플러스 무죄 선고)을 떠올리면 개인정보의 주체, 그러니 평범한 시민이 기업의 선의, 관리자이자 감시자로서의 국가, 공정한 심판관으로서의 법원을 손쉽게 믿어주기 어려운 것 역시 사실이다.

홈플러스가 법을 위반해 번 돈은 4년간 약 232억 원인데, 2015년 4월 27일 공정위가 부과한 과징금은 4억3,500만 원이었다. 홈플러스는 지난 6월 초 매물로 나왔다. 지분 100%의 평가액은 7조 원을 호가한다.

홈플러스가 법을 위반해 번 돈은 4년간 약 232억 원. 2015년 4월 27일 공정위가 부과한 과징금은 4억3,500만 원. 그리고 법원에서는 무죄. 홈플러스 사건은 기업이 개인정보를 다루는 관점과 방식, 국가기관의 관리감독 능력, 그리고 공정한 심판자로서의 법원의 판단, 이 모두가 여전히 신뢰를 보내기에는 부족하다는 사실을 여실히 드러낸 사건이다.

여기서 하나 더 질문해보자. 가이드라인이 아니면 정말 기업이 빅데이터 산업 분야에 제대로 뛰어들 수 없는 걸까. 우리나라 개인정보 보호법제는 빅데이터 산업 육성에 방해 요소일까. 이미 개인정보보호법[9]은 “통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우” 동의 없이 새로운 목적으로 이용하거나 제3자에게 제공할 수 있다고 규정한다. 빅데이터는 바로 통계를 목적으로 삼고 있지 않나.

연구소는 “현재의 개인정보 보호법제는 빅데이터 활용에 장애 요소가 아니”라고 말하면서, 우리나라 공공 부문에서 발주하는 사업을 분석해 보더라도 공공 부문 빅데이터 활성화를 위해서는 “개인정보를 익명화하여 처리하거나 동의받는 것을 기초로 하더라도 충분하며, 비식별정보 동의 면제가 있어야만 빅데이터를 활용할 수 있다는 근거를 찾기 어렵다”고 주장한다.[10]

Julien Belli, CC BY https://flic.kr/p/o3eDX5

빅데이터와 개인정보의 문제는 기본적으로 정보 처리 주체와 관리감독 기관에 대한 신뢰의 문제다. (출처: Julien Belli, CC BY)

 

그렇다면 가이드라인을 둘러싼 이 온갖 논란에 관한 해법은 무엇일까. 명확한 현실 인식은 그 해법을 마련하는 초석이다. 오픈넷의 답변으로 결론을 대신한다.

가이드라인 제정이 지나치게 급한 호흡으로 이루어졌다. 특히 시민사회의 의견 수렴이 매우 형식적으로 이루어졌다. 즉 가이드라인은 빅데이터 산업 진흥이라는 버즈워드(buzz word)에 천착한 것이라고 본다. 그리고 가이드라인 상 비식별 조치에 의한 “동의” 면제 시도는 개인정보 자기 결정권을 무력화할 우려가 크다.

정보주체의 동의 없이는 원칙적으로 개인정보를 수집하거나 이용할 수 없다는 “동의” 제도는 개인정보 자기결정권을 실질적으로 구현하는 방법으로 현재 개인정보 보호 법제에서 핵심적인 위치를 차지하고 있기 때문이다. 가이드라인의 뼈대라 할 수 있는 “비식별조치에 의한 동의 면제”는 개인정보 자기결정권의 핵심을 이루는 “동의” 제도를 무력화하는 것으로 이는 법률 개정으로 다루어야 할 문제이다.

특히 가이드라인에 따른 비식별 조치를 거쳤다고 하더라도 개인정보 재식별 위험성은 주민등록번호 제도 및 인터넷 상 본인확인을 강요하는 수많은 법률에 의해 그 어느 나라보다도 크다. 특히 본인확인기관으로 지정된 이동통신사는 식별 가능성이 가장 크다.

오히려 사물인터넷과 빅데이터 시대에 동의에 기반한 개인정보보호가 불충분하다. 어떻게 개인정보 자기 결정권을 보장할 수 있을 것인가에 대한 발전적 논의가 필요한 시점이라고 할 수 있다. 더불어 법적 근거 없는 전문기관의 운영은 매우 위험한 발상이며 개인정보보호위원회의 개인정보보호 콘트롤 타워로서의 기능 확립 필요하다.

우리나라의 주민등록제도는 특히 재식별화의 치명적인 위험 요소다. 왜냐하면 주민등록번호가 모든 자물쇠를 여는 '만능 열쇠' 역할을 할 수 있기 때문이다.

우리나라의 주민등록제도는 특히 재식별화의 치명적인 위험 요소다. 왜냐하면, 주민등록번호가 모든 자물쇠를 여는 ‘만능열쇠’ 역할을 할 수 있기 때문이다.

——————————————-

[1] 이은우, 마케팅 활용 목적 빅데이터 활용과 판매: 개인정보 플랫폼 기업의 탐욕과 비식별화 조치 가이드라인 (빅데이터 시대 개인정보 보호를 위한 정책토론회, 2016. 9. 7. 국회의원회관 제9간단회의실) 별도 인터뷰 인용이 아닌 문단에는 문단이 끝나는 위치에 괄호( )로 해당 발제문의 페이지 수를 표시했음.

[2] 다만, 빅데이터는 통상적으로 사용되는 데이터 수집, 관리 및 처리 소프트웨어의 수용 한계를 넘어서는 크기의 정보라고 정의되며, 데이터의 양(volume), 데이터 입출력 속도(velocity), 데이터 종류의 다양성(variety)데이터의 양(volume), 입출력 속도(velocity), 종류의 다양성(variety)이라는 세 개의 차원에서 분석할 수 있다(가트너 보고서). 이를 빅데이터의 3V라고 하는데, 3V가 커질수록 그 데이터의 산업적 가치는 높아지지만, 이에 비례하여 개인정보의 유출 위험성이나 개인정보 자기결정권이 침해될 가능성도 커진다.

[3] 현 가이드라인이 기존에 행자부, 미래부, 방통위에 존재했던 개별안들이 ‘비식별’ 기술를 소개하고, 안내하는 수준이었다면, 검증절차와 보호조치에 관한 내용을 보완하면서 기존 개별안들을 통합한 것이다.

[4] 개인이 더는 식별될 가능성이 없다면(“no longer possible”) 개인정보로 보지 않는다고 규정한다.

[5] 그러면서 미국은 ‘개인정보’라는 개념 대신 ‘개인식별가능정보’(personally identifiable information)라는 개념이 법령에 정의되어 제한적인 보호 대상이 되고 있다고 더불어 언급하는데, 미국은 우리나라의 개인정보보호법제와 다르기 때문에 미국에서 개인정보호보규범이 적용되지 않는 범위를 규정한 비식별화(‘de-identification’) 규정이나, 그에 따른 비식별화(‘de-identification’) 가이드라인을 법제가 다른 우리나라 개인정보보호법에서는 그대로 적용할 수 없는 규정이라고 설명한다.

[6] 참고로, 현행 개보법에는 ‘비식별 조치’라는 용어나 표현은 없다. 다만 법(제18조 제2항 제4호)에서는 개인정보처리자 동의 없이 수집 목적 외로 이용하거나 제3자 제공이 가능한 예외로 “통계작성이나 학술연구 등의 목적으로 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공할 수 있다.” 고 규정하는데, 이 규정에서 개인정보를 “특정 개인을 알아볼 수 없는 형태”로 변환하면 제한적 목적(통계작성이나 학술연구 등)이긴 하나 동의 없는 이용이나 제공이 가능하므로 이를 ‘비식별 조치’ 혹은 ‘익명화’를 간접적으로 언급한 규정이라고 할 수 있다.

[7] 가이드라인이 창설한 비식별화(비식별 조치) 개념은 재식별화하여 개인정보로 인정될 위험성이 상존해 있는 상태를 의미하며, 만약 비식별화를 거쳐 동의 없이 이용, 제공한 경우 식별 여부에 대한 사법적 판단에 따라 특정 시점에서는 개인정보보호법을 위반할 우려가 있는 법적으로 매우 불안정한 상태를 의미한다.(오픈넷)

[8] 물론 가이드라인에서는 특정 기술조치 여부뿐 아니라 종합적 관점에서 판단한다고 이야기하고 있긴 하다.

[9] 제18조 제2항 제4호

[10] 유럽연합은 우리 법제보다 빅데이트 활용과 관련하여 프로파일링에 대한 규율을 신설, 보완하고, 동의에 대한 규정, 투명성에 대한 규정 등과 관련하여 개인정보주체의 권리를 강화하는 방향으로 법률을 개정하고 있다. 그런데 유럽에서 개인정보보호법제 때문에 빅데이터 활용에 제약이 있다는 움직임을 보이지는 않는다. 기업이 재식별화할 의사가 없더라도 재식별화할 가능성이 있다는 것이 문제고, 비식별화한 정보가 다른 업체에 매매됐을 때 다른 정보와 결합해서 손쉽게 재식별화된다는 것이 문제다. 이는 MIT 미디어랩의 연구를 통해서도 실증됐다. 가령 카드사의 구매 정보를 비식별화해서 이 정보를 이통사(이동정보)에 넘겼다면, 두 가지 정보가 결합되면 누가 어디서 어떤 물건을 구매했는지 알게 된다. 재식별화 의지가 없다라도 자동적으로 재식별화된다. 재식별화하면 훨씬 더 가치 있는 정보가 되는데 기업에서 안 할 이유가 있겠나. 더불어 재식별화 의지가 없더라도 해당 정보가 유출되어 악용될 가능성이 상존하니 그것도 문제다. (연구소)

* 위 글은 슬로우뉴스에 동시 게재하고 있습니다. (2016.10.06.)

시민들의 의견

댓글 달기

Plain text

  • 웹 페이지 주소 및 이메일 주소는 자동으로 링크로 전환됩니다.
  • 줄과 단락은 자동으로 분리됩니다.
  • 사용할 수 있는 HTML 태그: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd>
이미지
무제한 수의 파일을 이 필드에 업로드할 수 있습니다.
50 MB 한계입니다.
허용된 유형: png gif jpg jpeg.
Enter the YouTube URL. Valid URL formats include: http://www.youtube.com/watch?v=1SqBdS0XkV4 and http://youtu.be/1SqBdS0XkV4.
CAPTCHA
스펨 사용자 차단 질문

글 | 손지원 (오픈넷 변호사)

모든 표현물은 자유롭게 표현되고 흘러야 한다. 당연하게도 모든 사람은 누구에게 허락받거나 신고하지 않고 자기가 원하는 스토리를 자기가 원하는 방식과 경로로 전달할 수 있어야 한다. 화자는 정치적으로 공정할 필요도, 교양있고 올바르고 건전한 말만 해야할 이유도 없다. 자기의 표현물을 그냥 공개할 수도, 돈을 받고 팔 수도 있으며, 다른 사람의 표현물을 사서 대신 전달할 수도 있다.

이러한 표현의 자유의 당연한 원칙을 거스르는 법 중 하나가 방송법이다. 방송콘텐츠도 원래는 자유로워야 하는 표현물이다. 다만 방송콘텐츠가 일반적인 표현물과 다른 무언가가 있기 때문에 예외적으로 엄격한 각종 규제가 정당화되는 표현물이라고 보는 것이다. 그렇다면 방송콘텐츠를 일반 표현물과 다르게 만드는 그 ‘무언가’는 무엇일까. 이것은 곧 방송 규제의 근본적 이유와 연결된다. 방송콘텐츠와 다른 표현물의 구분은 표현물 자체의 특성이 아니라 표현물이 유통되는 경로, 즉, 전달 매체의 특성에서 비롯된다. 표현물이 공중에 동시적, 일방향적으로 침투시키는 구조의 매체를 통해 유통되었는가, 이러한 매체를 이용하여 표현물을 유통할 권리가 제한적으로 부여되었는가, 이로 인하여 수신자인 일반 국민들의 선택권이 제약되는가가 ‘방송’을 정의하는 기준이 되어야 한다. 방송을 규제하는 이유는 그러한 특성의 매체를 통해 대중에게 일방적으로 침투하는 표현물의 영향력, 그러한 매체를 이용할 권리를 부여받은 한정된 소수들이 콘텐츠 시장 혹은 사상의 시장에서 발휘할 수 있는 영향력이 상대적으로 크기 때문에, 이러한 무기를 쥐여준 국가가 방송사업자에게 공적 책임을 함께 부여하고 이들을 통제하기 위함이다. 쉽게 말해 TV나 라디오처럼 각 방송사들의 일방적 편성에 따라 프로그램이 송출되고 채널은 제한되어 있어 시청자들은 별다른 선택의 여지가 없이 그 소수의 메세지를 일방적으로 전해들을 수밖에 없는 매체라야 규제가 정당화되는 것이다.

인터넷은 어떤가. 인터넷은 양방향적 매체이며, 누구나 자유롭게 이 매체를 이용하여 표현물을 전달할 수 있기 때문에 셀 수 없이 다양한 서비스, 플랫폼, 채널이 존재하는 매체다. 이용자들은 자신이 원하는 콘텐츠만을 적극적, 능동적으로 취사선택해서 보고, 또다른 수많은 콘텐츠, 채널, 나아가 다른 수많은 플랫폼과 서비스들에 대한 자유로운 선택권이 상시적으로 보장된다. 한편 OTT, 동영상 서비스 사업자들이 국가로부터 어떠한 매체 사용권이나 시장에서의 독점력을 부여, 보장받은 바도 없다. 즉, 인터넷은 방송과는 전혀 다른 매체로, 인터넷을 통해 유통되는 표현물을 방송법으로 규제해서는 안 된다.

그런데 최근 김성수 의원이 대표발의한 방송법 전부개정법률안(이하 ‘통합방송법’)은 인터넷을 통해 유통되는 콘텐츠도 방송법으로 규율하는 내용을 담고 있다. 법안상 ‘방송’의 정의가 명확하지는 않지만, 인터넷을 통해 방송프로그램을 판매, 제공하는 사업자(넷플릭스, 아프리카 TV 등 인터넷 동영상 서비스 사업자), 그리고 이 사업자에게 콘텐츠를 판매, 공급하는 자(MCN, 크리에이터, 1인미디어, 인터넷개인방송진행자 등)도 방송사업자로 규정하고, 일정한 등록, 신고 절차를 통한 진입규제 및 광고규제, 내용규제의 대상으로 삼겠다는 것이다. 법안은 방송 매체의 특수성을 고려하지 않고, 일단 영향력이 있는 콘텐츠 사업자라면 규제가 필요하다라는 전제에서 시작하여 이를 무리하게 방송법의 범주로 포섭시키려 하고 있다.

방송법에서 가장 문제가 되는 부분은 내용규제이며, 통합방송법안에서 가장 문제되는 부분은 콘텐츠 제작자를 방송사업자로 규정하는 부분이다. 방송법상 방송은 그 내용이 공정성, 공공성을 유지하고 있는지 심의받으며, 기타 품위 유지, 건전성 등 엄격한 심의규정도 준수해야 한다. 위반 시 방송사업자는 방통위, 방심위로부터 제재나 과징금을 부과받을 수 있으며, 제재조치를 이행하지 않으면 벌금, 과태료도 부과받을 수 있고, 등록취소 사유가 될 수도 있을 것이다. 그런데 재미있는 동영상 콘텐츠로 수익을 내고자 하는 크리에이터들, 혹시 정치 논객으로 활동하면서 생활도 영위하고자 하는 1인미디어들에게 이러한 공공성과 공정성을 요구하며 심의, 즉 내용검열의 대상으로 삼는 것이 타당한가. 이러한 규제는 크리에이터들의 표현의 자유를 위축시키고 경직시킨다. 사람들이 이들에게 열광하는 이유는 방송과 달리 자유로운 표현을 할 수 있기 때문이다. 앞으로 철구가 품위있는 말을 해야 하고, 망치부인이 정치적 쟁점에 대해 공정하게 말해야 한다면 무슨 의미가 있겠는가. 이 법안은 단순하게 해석하면 돈 버는 표현물은 방송이고, 표현물로 돈을 벌려면 방송 규제를 받아야만 한다는 것이다. 그러나 실질적 영향력이 크다는 이유만으로 혹은 돈을 받고 사고 팔고 있다는 이유만으로 표현물을 방송으로 보고 규제하는 경우는 어디에도 없으며, 이러한 규제는 미디어 시장과 문화 전반의 성장을 저해할 뿐이다.

인터넷 동영상 서비스에 대한 규제 강화는 일반 이용자에게도 불이익으로 돌아온다. 해외 서비스가 규제를 피하기 위해 국내 콘텐츠를 유통시키지 않게 되면 이용자들은 국내 콘텐츠를 보기 위한 서비스에 별도로 가입하여 이용료를 지불해야 할 것이다. 또한 인터넷 콘텐츠 서비스 사업으로의 진입장벽이 높아져 서비스 다양성이 줄어들고 소수의 통신사, 방송사와 연계된 플랫폼들이 유통을 독점하게 될 경우의 폐해도 생길 수 있다.

최근 각종 인터넷 서비스 규제 법안들이 제안이유로 내세우는 ‘규제 형평성’은 정당한 입법 목적이 될 수 없다. 기존의 규제 자체가 적정한 것인지, 적정하다면 기존의 규제를 새로운 매체에 적용하는 것이 정당화될 수 있을 만한 동일성이 있는지를 먼저 따져야 한다. 매체의 발달로 콘텐츠의 유통 경로가 다양화되어 기존 방송사업자들의  영향력도 분산되고 있는 오늘날에는, 오히려 기존의 불필요한 방송 규제를 완화하여 국내 콘텐츠 시장의 경쟁력을 확보하는 방향을 모색하여야 한다. 다양한 형식의 매체가 끊임없이 등장하는 시대에, 국회는 기존의 매체와 성격이 다른 새로운 매체를 기존의 개념에 무리하게 포섭하여 규제를 통해 해결해야만 한다는 구시대적 사고방식에서 탈피해야 한다.

이 글은 경향신문에 기고한 글입니다. (2019.1.18.)

월, 2019/01/21- 11:27
52
0

개인의료정보 상업화 반대 노동시민사회단체 기자회견

문재인 정부는 개인정보 규제완화가 아니라 

개인의료정보 자기 결정권과 통제권을 강화하라! 

 

취지와 목적

건강과대안, 경실련, 민주노총, 보건의료단체연합, 진보넷, 참여연대 등 노동시민사회단체는 오늘(10/10)  오전 9시 30분 국회 앞에서 ‘개인의료정보의 상업화에 반대하는 기자회견’을 개최했습니다. 이번 기자회견은 국정감사를 앞두고 의료법 및 개인정보보호법 등에 어긋나는 정부 부처 사업들과 계획들에 대한 입법기관의 감시와 견제를 요구하며, 국민들의 동의 절차도 없이 개인의료정보를 민간과 공유하거나 상업적으로 활용하고자 하는 정부 정책 추진 방향에 대한 명확한 반대 입장을 밝히는 자리였습니다.

 

 

기자회견 순서

사회 건강과대안 상임연구위원 변혜진 

발언

민주노총 유재길 부위원장 

한국노총 최미영 상임부위원장  

인도주의실천의사협의회 우석균 공동대표 

한국여성단체연합 백미순 공동대표

노들장애인자립생활센터 이형숙 대표 

진보네트워크센터 오병일 활동가

기자회견문 낭독

참교육학부모회 배경희 사무처장 

보건의료노조 한미정 사무처장

한국여성민우회 김민문정 상임대표 

 

 

[기자회견문] 

개인의료정보 상업화에 반대한다

개인의료정보 자기 결정권과 통제권을 강화하라

 

문재인 대통령은 지난 8월 31일 데이터 경제 활성화 규제혁신 현장방문 행사에서, 정보주체의 동의 없이도 기업이 개인정보를 이용할 수 있는 방안을 마련할 계획이라고 밝혔다. 정부 부처는 개인의 프라이버시 및 인권과 관련해 매우 민감한 정보인 개인의료정보까지 개인 동의 없이 기업이 활용할 수 있도록 하는 방안도 검토하고 있다고 발표하고 있다.

 

이런 흐름과 맞물려 최근 서울아산병원은 카카오인베스트먼트, 현대중공업지주와 의료 데이터 합작회사인 ‘아산카카오메디컬데이터’를 설립해 의료정보 시장을 선점해 나가겠다고 밝혔다. 네이버 역시 분당서울대병원, 대웅제약 등과 함께 시행한 헬스케어 빅데이터 사업을 기반으로 관련 사업을 진행하는 특수목적법인을 설립할 예정이라고 한다. 환자들이 치료를 받기 위해 병원에 제공한 개인의료정보를 정보주체의 동의 없이 재벌병원과 대기업들이 돈벌이 수단으로 활용하려는 것이다. 

 

산업통상자원부는 39개 대형병원 5000만 명의 환자 개인정보를 통해 ‘바이오헬스 빅데이터 플랫폼’ 구축사업을 2020년까지 완료하고 기업들의 상업적 활용과 해외 진출까지를 꾀하고 있다. 이 사업 역시 정보주체의 동의 없이 39개 병원장들의 동의만으로 사업이 진행되고 있다. 개별 병원에 수집된 개인 환자 진료 기록 및 모든 검사 결과 등을 다른 병원과 공유하는 사업임에도 불구하고 진료 목적 외 사용에 대한 환자들의 동의 없이 진행되고 있는 것이다. 정부가 나서서 재정적 지원과 더불어 병원장들이 환자의 동의 없이 개인정보를 맘대로 가져다 쓰는데 밑돌을 깔아주고 있는 셈이다. 

 

더 나아가 병원의 환자 개인정보와 국민건강보험공단에 있는 개인의료정보를 정보주체의 동의 없이 연계하여 상업적으로 이용할 수 있는 방안도 허용하려 하고 있다. 과학기술정보통신부는 2018년부터 5개 병원 건강검진 결과를 다운로드 받을 수 있도록 하는 ‘마이데이터’ 시범사업을 확장하여 국민건강보험공단 건강검진 자료 등 개인의료정보를 공유하도록 추진하고 있다. 마이데이터 사업은 자신의 의료정보를 자신이 내려 받아 개인적으로 사용할 수 있다는 조건을 편법으로 이용하는 것이다. IT기업들이 제작한 어플을 이용하기 위해서 국민건강보험공단의 개인의료정보를 제3자에게 제공하는 것에 동의하도록 만들 수 있다. 포괄적 동의 방식으로 충분한 설명이나 고지 없이 다수의 개인 건강검진기록이 제3자에게 자동 전송될 우려도 있다. 마이데이터 사업은 결국 기업들에게 개인정보를 상업적 마켓팅에 활용할 수 있도록 하고 건강관리서비스 활성화나 민간보험회사의 보험금 인상, 지급 거절 등을 위한 정책의 일환이다. 

 

이러한 ‘박근혜식’ 사업들이 중단이 아니라 날개를 달고 추진되는 것은 개인정보 권리 침해 가능성에 대해 예의 주시하며 규제의 망을 좀 더 촘촘히 구성해야 할 문재인 정부가 오히려 관련 규제를 완화할 뿐만 아니라 이를 통해 혁신경제를 이루겠다고 나서고 있는데 책임이 있다. 현재 정부가 추진하고 있는 개인정보보호법안은 개인의료정보를 비롯한 금융정보, 통신정보 등을 기업들이 가명처리를 하여 상업적 목적으로 활용할 수 있도록 할 뿐만 아니라, 서로 다른 기업 간에 개인정보를 결합하여 공유할 수 있도록 할 계획이라고 한다. 이는 사실상 박근혜 정부 당시에 추진되었던 ‘개인정보 비식별조치 가이드라인’보다 후퇴한 것이다.

 

모든 사람은 자신의 개인정보를 보호받을 권리가 있다. 개인정보보호법상 정보주체는 “개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리”가 있다. 개인정보보호법에서 정하고 있는 몇 가지 예외를 제외하고, 개인정보의 수집, 이용을 위해서는 정보주체의 동의를 받아야 한다. 그러므로 정보 주체의 동의 없이 이루어지는 개인정보의 수집, 이용은 권리 침해 행위이며 개인의 자유를 제약하는 것이다. 개인의 권리와 자유가 제약되기 위해서는 명백하게 정보주체의 권리보다 우선하는 사회적 가치가 있음이 증명되고 다수의 사회 구성원이 이를 동의해야 한다. 우리는 문재인 정부가 내세운 혁신경제가 개인의 권리와 자유를 제약해도 되는 사회적 가치에 해당하는지 의문이다.  

 

오히려 한국은 개인의료정보 보호 측면에서 각별한 주의가 필요한 나라이다. 국민 모두에게 주민등록번호라는 고유식별정보가 존재하고, 일 년에 수차례 대량 개인 정보 유출이 발생하는 나라다. 게다가 한국은 모든 국민이 건강보험에 가입되어 있기에 개인의 진료정보, 약물사용 자료, 건강검진 자료 등이 국민건강보험공단에 대규모로 집적되어 있다. 국민건강보험공단에는 건강보험 적용 및 이용을 위한 행정적 목적으로 이러한 의료 정보 외에도 개인의 소득, 주소, 직장 등 방대한 양의 개인정보가 집적되어 있다. 이러한 조건에서는 아무리 가명화된 개인의료정보라도 다른 개인정보를 활용하여 얼마든지 개인이 식별될 위험성이 높다. 

 

기존의 개인정보 수집·활용 정책의 근간은 최소한의 개인의 자기정보 통제권과 국가나 공공기관이 수집한 정보의 엄격한 통제가 전제되는 조건에서 논의되어 왔는데 문재인 정부 정책 방향은 혁신경제를 위해 국가나 공공기관이 앞장서 개인정보 보호장치를 풀겠다는 것이라 더욱 문제다. 즉 정부가 나서서 개인정보보호의 빗장을 풀고, 정보주체에게는 기업의 활용을 아무런 대가없이 수용하라고 강요하고 있는 것이다. 

 

정부가 추진하는 개인정보 규제완화 정책은 의료시스템 전반을 위협할 수 있다는 점에서도 큰 사회 문제다. 개인의료정보 보안에 대한 신뢰 붕괴는 의료 시스템 전반을 위협할 수 있다.치료 과정에서 환자와 의사간 솔직한 정보 교환은 효과적 의료를 위한 기본 전제다. 환자는 내가 내밀한 얘기를 해도 이 정보가 노출되지 않을 것이라는 확신이 있기 때문에 의사에게 많은 정보를 털어놓는다. 그런데 이러한 정보가 쉽게 유출될 수 있다고 생각하거나 제3자에게 제공될 수 있다고 생각하면, 의사-환자간의 신뢰 관계가 무너지고 치료를 위한 정직한 정보를 얻기 힘들어질 수 있다. 이는 신뢰를 기반으로 하는 의료 시스템의 총체적 붕괴로 이어질 수 있다.

 

개인의 의료 정보는 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 개인정보보호법상 ‘민감정보’에 해당한다. 의료 정보의 유출 피해는 정보주체에게 치명적이다. 개인의 의료 정보는 가장 가까운 사람에게조차 숨기고 싶은 사생활의 영역이다. 개인이 숨기고 싶은 질병정보, 가족력이나 유전병 정보, 성매개 감염병 치료에 대한 정보, 정신질환 치료에 대한 정보, 여성의 임신, 낙태, 부인과 질환 등에 대한 정보가 유출되어 사회적으로 공개될 때, 그로 인한 피해는 고스란히 개인이 짊어져야하며 어떤 사회적 보상으로도 회복될 수 없다. 이러한 개인의료정보일수록 사회적 낙인이나 배제 효과를 동반하는 경우가 많아, 정보가 유출되면 개인이 고용상의 불이익이나 집단적 왕따, 사회적 평판의 저하를 당할 수 있다. 최악의 경우 정보 취득을 이유로 협박 등을 행하는 범죄 혹은 사기에 이용될 수도 있다. 특히 한국과 같은 젠더불평등이 심한 나라에서는 여성이나 소수자일수록 개인의료정보를 이용한 협박이나 사회적 차별에 노출될 위험이 더욱 커질 수 있다 

 

개인의 동의 없이 얻은 정보나 유출된 정보를 이용해 상업적 이득을 취하는 대기업이 더 많아질 것이라는 점도 문제다. 이는 의료 정보를 개인의 동의 없이 활용하여 상업적 이득을 얻거나 권력의 우위에 선다는 점에서 강탈에 해당된다. 그럼에도 불구하고 이러한 행위를 더 조장하고 사회적 규제를 완화해 시장에 내맡긴다면 사회적 차별과 불평등은 더욱 커질 것이다. 상대적으로 자원을 많이 가진 대기업이나 권력 관계에서 우위에 있는 개인에게 정보를 이용한 유리한 출발선이 그려질 것이다. 

 

우리는 개인의 의료기록이나 건강정보를 정보주체의 동의 없이 기업이나 개인이 수집, 이용할 수 있도록 하는 모든 조치에 반대한다. 우리는 민감정보 중 하나인 개인의료정보를 재벌병원과 기업이 상업적으로 이용하도록 허용하는 것은 더욱 용납할 수 없다. 우리는 오늘 기자회견을 시작으로 모든 개인, 시민들과 함께 “내 건강정보 팔지마”, “내 허락 없이 내 의료정보 쓰지마” 라는 명확한 슬로건으로 서명운동을 벌여나갈 것이다. 병의원 약국, 그리고 학교, 거리 등 오프라인 공간과 온라인 공간(http://noselldata.jinbo.net)을 통해 개인의료정보 규제완화를 막고 개인정보보호법 강화를 위한 입법투쟁을 벌여나갈 것이다. 

 

 

2018. 10. 10

4.9통일평화재단, 건강과대안, 건강권실현을위한보건의료단체연합, 건강보험하나로시민회의, 건강사회를위한약사회, 건강사회를위한치과의사회, 건강세상네트워크, 경제정의실천시민연합, 광주인권지기 활짝, 광주전남보건의료단체협의회, 구속노동자후원회, 국민건강보험노동조합, 국민건강보험심사평가원노동조합, 기독청년의료인회, 나야장애인권교육센터, 노동건강연대, 노동자연대, 노들장애인자립생활센터, 노점노동연대, 다산인권센터, 대전시립병원 설립운동본부, 무상의료운동본부, 민주사회를 위한 변호사모임 디지털정보위원회, 불교인권위원회, 빈곤과차별에저항하는인권운동연대, 빈민해방실천연대(민노련, 전철연), 사회진보연대, 서교인문사회연구실, 서울YMCA, 서울인권영화제, 성남무상의료운동본부, 성적소수문화인권연대 연분홍치마, 아이쿱소비자활동연합회, 약사의미래를준비하는모임, 언론개혁시민연대, 용산참사진상규명위원회, 인권운동공간 활, 인권운동네트워크 바람, 제주평화인권센터, 인권운동사랑방, 인도주의실천의사협의회, 일산병원노동조합, 장애와인권발바닥행동, 장애인배움터 너른마당, 전국공공운수노동조합, 전국공공운수노조 의료연대본부, 전국농민회총연맹, 전국민주노동조합총연맹, 전국보건의료노동조합, 전국불안정노동철폐연대, 전국빈민연합(전노련, 빈철련), 전국여성농민회총연합, 전국여성연대, 전국의료산업노동조합연맹, 전국장애인차별철폐연대, 전북평화와인권연대, 제주평화인권연구소 왓, 진보네트워크센터, 참교육을위한전국학부모회, 참교육을위한전국학부모회, 참여연대, 참의료실현청년한의사회, 천주교빈민사목위원회, 천주교인권위원회, 청소년인권행동 아수나로, 평등교육 실현을 위한 전국학부모회, 학교급식전국네트워크, 한국게이인권운동단체 친구사이, 한국노동조합총연맹, 한국농업경영인중앙연합회, 한국여성단체연합, 한국여성민우회, 한국의료복지사회적협동조합연합회, 한국장애인자립생활센터협의회, 한국청소년·청년감염인커뮤니티 알

<원문보기/다운로드>

수, 2018/10/10- 11:27
51
0

* 토론문(PDF): 사실적시 명예훼손죄의 제도 개선 방향_오픈넷 손지원

2018년 12월 11일, 국회의원회관 제6간담회장에서 ‘사이버 명예훼손 제도 개선’을 주제로 한 토론회가 열렸습니다. 방송통신위원회, 국회 이철희 의원실, 한국법제연구원, 한국형사정책연구원이 공동개최한 이 토론회에서는 정보통신망법상 명예훼손, 그 중 ‘사실적시 명예훼손죄’에 대한 개정, 폐지 논의가 주로 이루어졌습니다.

오픈넷 손지원 변호사는 사실적시 명예훼손죄의 가장 큰 문제점은 사회 부조리를 드러내고자 하는 각종 내부고발을 크게 위축시킬 수 있다는 점임을 지적하고 개선안을 제시했습니다.

진실한 사실을 말한 경우에도 명예훼손이 성립할 수 있는 현재 법제 하에서는 폭로자를 보호할 수 없으며, 사회적 고발은 움츠러들 수밖에 없습니다. 손지원 변호사는 사실적시 명예훼손죄의 문제점을 여러 판례를 들어 설명하고, 특히 성폭력 고발인 미투운동과 관련하여 성폭력 가해자가 폭로자를 명예훼손으로 고소하여 2차 가해를 더욱 손쉽게 해주는 요인으로 작용하고 있음을 꼬집었습니다.

현재 정보통신망법상 사실적시 명예훼손죄 조항에서 형법 조항과 같이 ‘공익성’을 요건으로 하는 위법성 조각사유를 추가하는 개정은 지나치게 소극적인 개정이며, 근본적으로는 사실적시 명예훼손죄를 전면 폐지하는 것이 바람직하다고 보았습니다.

다만 과거 성이력과 같은 타인의 프라이버시 보호를 위해, 비방의 목적만 있는 악의적인 사생활 유포 행위를 막는 방안으로서 ‘오로지 사람을 비방할 목적으로 공연히 개인의 내밀한 사적 정보를 드러내어 다른 사람의 사생활의 비밀을 침해한 자’로 구성요건을 축소하는 안을 제시했습니다.

화, 2018/12/18- 17:33
49
0

개인정보 감독기구 통합 없는 무분별한 규제완화 반대 기자회견 개최

– 부처 이기주의로 개인정보 감독기구 일원화는 지지부진

– 기업의 이익을 위한 개인정보 제3자 제공은 개인정보 매매 합법화

– 무분별한 개인정보 규제완화는 박근혜 정부의 과오를 되풀이!

1. 오는 8월 23일(목), 문재인 대통령이 현장 방문을 통해 개인정보 규제개혁 방안을 발표한다고 합니다. 그동안 논란이 되어 왔던, 빅데이터 산업 활성화를 위한 개인정보활용 및 결합에 대한 정부의 입장이 발표될 것으로 예상됩니다. 우리는 혼란스러운 개인정보 보호법제의 개선과 감독기구의 일원화는 지지부진한 상황에서, 개인정보의 무분별한 활용에만 앞장서는 현 정부의 태도에 실망을 금할 수 없습니다. 현재 정부의 태도는 법적 근거도 없이 <개인정보 비식별조치 가이드라인>을 강행하던 이전 박근혜 정부와 다를 바가 없습니다.

2. 여당인 더불어민주당 역시 마찬가지입니다. 더불어민주당은 혁신 경제라는 미명하에 공공적 규제를 묻지마 면제해주는 소위 규제 샌드박스 5법을 발의한 바 있습니다. 나아가 박근혜 정부의 적폐로 스스로도 비판했던 규제프리존특별법도 8월 임시국회에서 합의 처리하겠다고 합니다.

3. 정의당과 시민사회는 개인정보를 절대 활용할 수 없다고 주장하는 것이 아닙니다. 개인정보를 안전하게 보호할 수 있는 법제도적 환경을 갖추고, 개인정보 보호원칙에 따라 활용해야 한다는 것입니다. 정보주체의 동의를 받거나 개인을 식별할 수 없도록 익명처리를 한다면 현행 개인정보 보호법제 하에서도 얼마든지 활용할 수 있습니다. 사회적인 가치가 큰 학술 연구나 통계 작성 목적으로는, 적절한 안전조치를 갖추고 가명처리된 개인정보를 활용할 수 있을 것입니다. 물론 개인정보 활용에 대한 동의를 실질화시키고 어떻게 활용되는지 감시하고 통제할 수 있는 제도적 장치도 마련되어야 합니다. 그러나 단지 빅데이터 산업을 활성화한다는 명분으로, 가명처리된 개인정보를
정보주체의 동의도 없이 제3자에게 제공하거나 영리 목적으로 활용하는 것에 동의할
수는 없습니다.

4. 정부와 여당이 진정으로 개인정보 보호에 대한 의지가 있다면, 개인정보를 안전하게 활용할 수 있도록 하겠다면, 우선 분산되고 체계가 없는 개인정보 보호법제부터 정비해야 합니다. 수범자의 혼란과 중복규제를 야기하고 있기 때문입니다. 행정안전부, 방통위, 금융위 등으로 분산된 개인정보의 감독기능도 개인정보보호위원회로 일원화해야 합니다. 효과적인 감독은 개인정보 보호의 핵심이기 때문입니다. 그러나 각 정부부처의 부처 이기주의로 인해 개인정보 보호법제의 개선과 감독기구 일원화는 교착 상태에 빠져 있습니다.

5. 정의당 추혜선 국회의원과 경실련, 서울 YMCA, 소비자시민모임, 진보네트워크센터, 참여연대 공익법센터, 한국소비자연맹, 함께하는시민행동 등 시민사회단체들은 정부 여당의 무분별한 개인정보 규제완화를 규탄하고, 개인정보의 보호와 안전한 활용을 위한 대안을 제시하는 기자회견을 다음과 같이 개최하였습니다.

● 제목 : 개인정보 감독기구 통합 없는 무분별한 규제완화 반대 기자회견
● 일시와 장소 : 2018년 8월 22일(수) 13:40, 국회 정론관
● 주최 : 국회의원 추혜선(정의당), 경실련, 서울 YMCA, 소비자시민모임,
진보네트워크센터, 참여연대 공익법센터, 한국소비자연맹, 함께하는시민행동
● 참가자 및 발언
○ 모두 발언 : 추혜선 (정의당 국회의원)
○ 발언 1 : 오병일 (진보네트워크센터 활동가)
○ 발언 2 : 한석현 (서울YMCA 팀장)
○ 기자회견문 낭독 : 윤명 (소비자시민모임 사무총장)

수, 2018/08/22- 16:37
45
0

인터넷의 선물을 걷어차버리나

서버 현지화와 클라우드 이용을 제한하자는 주장은 힘없는 개인들의 정보력·홍보력 확장을 억제하고, 감시와 검열을 피할 수 있는 길을 막자는 것이다.

글 | 박경신 (고려대 법학전문대학원 교수/오픈넷 이사)

 

국민이 애용하는 해외 인터넷 서비스의 서버를 국내에 두도록 해야 한다는 주장이 논의된다. 심지어 클라우드처럼 정보의 국외 이전을 필연적으로 동반하는 기술의 경우, 금융권에서는 아예 기술 전개 자체를 제한하자는 주장도 등장한다. 이유는 명시적인 것과 암묵적인 것 여러 가지가 있다.

첫째는 해외 인터넷 업체가 국내에 서버를 두지 않으니 개인정보를 침해하거나 불법 표현물을 방치해도 규제하기 어렵다는 것이다. 둘째는 ‘국내에서 돈을 벌어가는 해외 기업에 세금을 부과’하려면 국내·국제 세법에 따라 이들의 ‘사업장’인 서버를 국내에 두도록 해야 한다는 것이다. 셋째는 현재 망 사업자들이 카카오나 네이버에서 엄청난 회선료를 받아가듯 해외 업체한테도 회선료를 ‘망 이용 대가’로 받을 수 있게 된다는 것이다.

중국·러시아 수준의 ‘밀착 규제’ 원하는가 

하나씩 얘기해보자. 첫째, 해외 업체에 대한 규제 권한부터 살펴보면, 필자는 강력한 개인정보보호법이 필요하다고 생각한다. 과거에 진행한 공익 소송 대다수가 개인정보보호권에 근거했다. 그러나 정보의 국외 이전 자체를 금지하거나 기술의 전개 자체를 제한하는 방식은 인권을 침해하는 일이다. 개인정보 보호의 ‘골드 스탠더드’가 되는 유럽연합의 GDPR(General Data Protection Regulation)도 역외 이전 자체를 금지하지 않는다. 정보 보관지의 개인정보보호법제가 적정한지 평가하여 적정성 판단을 받은 국가에 대해서는 정보를 자유롭게 이전하도록 한다. 서버를 국내에만 둬야 한다는 주장과는 큰 거리가 있다.

더욱 중요한 것은 해외 기업에 대한 막강한 규제권을 이미 한국 정부가 가지고 있다는 점이다. 바로 방송통신심의위원회를 통한 차단 권한이다. 이미 수많은 해외 서버가 불법 정보를 국내에 유입한다거나 개인정보를 침해한다는 이유로 차단되었다. 이는 다른 산업을 생각해보면 당연한 이야기다. 예를 들어 중국의 김치 업체가 위생에 문제가 있다고 해도 김치 공장을 국내에 둘 것을 의무화하는가? 그 중국 업체의 김치가 국내에 들어오지 않도록 하면 그만 아닌가? 그 이상의 밀착된 규제를 하고자 하는 러시아나 중국은 서버의 국내 설치를 의무화한다. 우리가 이들 나라를 따라갈 것인가?

구글·페이스북·아마존 같은 초거대 기업들에게 시원하게 돈 좀 받아보자는 것을 말릴 생각은 전혀 없다. 하지만 서버를 국내에 두도록 하는 방식은 인터넷이 인류에게 준 선물, 즉 힘없는 개인들도 막강한 정부와 기업에 맞서 서로 정보를 모으고 나눌 수 있는 정보력과 홍보력, 그리고 감시와 검열을 피해 유통 경로를 정할 수 있는 특권을 걷어차버리는 것이다.

둘째, 해외 기업의 국내 소득 과세 문제를 따져보자. 기업은 전 세계에 재화와 용역을 수출한다. 그런 의미에서 모든 수출 기업은 외국에서 소득을 올린다. 그렇다고 해서 현지 정부에 소득세를 내지는 않는다. 소득세는 소득을 올리기 위한 행위가 어디에서 벌어지는가를 기준으로 과세한다. 이는 국제 세법의 상식이고 이중과세를 방지한다. 구글·페이스북의 국내 소득에 대해 과세하려면 현대, 기아 자동차의 미국 내 소득 과세는 어떻게 할 것인가? 경제협력개발기구(OECD)에서 논의되는 ‘구글세’는 소득에 부과하는 것이 아니라 부가가치세다. 국경이 없는 인터넷의 성격을 전제로 하고 새로운 국제 세법을 만들려는 OECD의 논의가 마무리돼간다. 그 와중에 한국 혼자 소득세를 부과하겠다고 서버 위치를 붙들고 늘어졌을 때의 결과는 뻔하다. 닭 쫓던 개 지붕 쳐다보는 격이 될 것이다.

셋째, ‘망 이용 대가’ 문제다. 망 사업자가 인터넷 접속을 제공하지도 않는 해외 업체에 전화 회사처럼 정보 배달료를 받겠다는 욕심이다. 이는 인터넷의 구동 방식에 완전히 반한다. 해외에는 ‘망 이용 대가’라는 말 자체가 없다. 오직 자신과 직접 접속하는 망 사업자와 받는 접속료가 있을 뿐이다. 세계적으로 유례 없이 유선 85%, 무선 100%를 과점하는 대기업 3사는, 세계적으로 유례 없이 높은 접속료를 국내 인터넷 기업들에게 받는다. 혹시 ‘망 이용 대가론’을 근거로 이렇게 받는다면 접속료부터 낮출 일이다.

 

* 위 글은 시사IN에 기고한 글입니다. (2018.12.14.)

월, 2018/12/17- 10:38
45
0