빅데이터 시대의 비식별화 문제와

소비자 개인정보보호를 위한 기자간담회 개최

나머지 보기

<div class="xe_content"><h1>9개 소비자,시민사회단체, 신용정보법 개정에 대해 금융위원장 면담 공개 요청</h1> <p> </p> <p> </p> <p>최근 정부는 데이터 경제 활성화와 신용정보산업 선진화를 명분으로 신용정보법 개정을 추진하고 있습니다. 지난 해 11월 15일 의원입법 형식을 빌어 개정안을 발의한 데 이어, 지난 2월 13일 공청회를 개최하였습니다. </p> <p> </p> <p>소비자, 시민단체들은 정부의 이번 신용정보법 개정이 금융소비자의 개인정보 오남용을 부추길 위험성에 대해 일찍이 우려를 표해왔습니다. 그러나 정부는 이같은 비판적 목소리를 철저히 외면한 채 폐쇄적이고 비민주적인 방식으로 법안 개정을 추진하고 있습니다.  지속적으로 문제제기한 소비자, 시민단체들은 배제하고 산업계 인사들만을 초청하여 진행한 지난 13일 공청회는 이같은 비민주적 법안 개정 과정을 단적으로 보여준 사례입니다. </p> <p> </p> <p>이에 우리 9개 소비자 단체 및 시민사회단체들은 현재 추진 중인 신용정보법 개정 방향에 대한 우려와 함께 비민주적 개정 과정에 대한 항의의 뜻을 전달하고자 금융위원장에 대한 면담을 공개 요청하였습니다. 아울러 면담이 이루어지지 않을 경우, 우리 단체들은 기자회견 및 자체적인 공청회를 포함하여 개정안을 저지하기 위한 모든 노력을 다할 것입니다. </p> <p> </p> <p> </p> <blockquote> <h2>신용정보법 개정안에 대한 금융위원장 면담 요청의 건</h2> <p> </p> <p>정부는 지난 해 11월 15일 「신용정보의 이용 및 보호에 관한 법률 일부개정법률안」(김병욱 의원 대표발의)을 의원입법 형식을 빌어 발표하였습니다. 그리고 지난 2월 13일 금융위원회와 더불어민주당 김병욱 의원실이 공동으로 '데이터 기반 금융혁신을 위한 신용정보법 공청회'를 개최하였습니다. </p> <p> </p> <p>우리 시민사회단체들은 ‘데이터 경제 활성화’와 ‘신용정보산업 선진화’를 명분으로 하는 현재의 신용정보법 개정 추진 과정이 매우 졸속적이고 폐쇄적인 방식으로 이루어지는 것에 심각한 문제의식을 가지고 있으며, 정부 여당에 강력한 항의의 뜻을 표합니다.  </p> <p> </p> <p>현재의 신용정보법 개정안은 법안의 길이만도 237페이지에 달하며 58개조 중 11개를 제외한 47개 조문이 개정되고 신설된 조항만 150여개, 삭제된 조항 또한 50여개에 달합니다. 의안의 방대함만이 아니라, 마이데이터 산업의 신설, 재벌 통신사의 신용정보산업 진출 허용, SNS 등을 활용한 새로운 신용정보업의 허용 등 현재의 신용정보산업 생태계 자체를 완전히 재편하는 내용을 담고 있습니다. 그럼에도 의원입법 형식을 취하면서 입법예고와 공청회 등의 사전 절차를 회피한 것은 물론이거니와 일방적인 정책 홍보 외에 법조문에 대한 구체적 해설서조차 발간한 적이 없습니다. </p> <p> </p> <p>이번 개정안은 개인신용정보의 오남용을 부추길 수 있는 위험성을 내포하고 있어 소비자 단체를 비롯한 많은 시민사회단체들의 비판을 받아왔습니다. 지난 해 12월 12일에는 정의당 추혜선 의원과 13개 시민사회단체들이 공동으로 법안의 문제점을 지적하는 기자회견을 개최하고 법제간의 중복과 혼란, 익명 조치의 무책임성, 공개된 개인정보의 남용과 표현의 자유 침해, 프로파일링에 따른 정보주체의 권리 침해, 데이터브로커를 통한 개인정보 상품화 등 11개 이슈에 걸쳐 다양한 문제점을 지적한 바 있습니다. (붙임문서 참조) 그러나 정부는 이같은 지적에 대해 어떤 책임있는 답변도 내놓지 않은 채, 장미빛 미래에 대한 낙관적 전망만 되풀이하고 있었습니다.  </p> <p> </p> <p>이런 상황에서 지난 13일에 열린 공청회는 이번 법안에 대해 공개적으로 논의할 수 있는 유일한 공식적 절차였으나, 실제로는 법안에 대한 일방적 홍보의 장으로 전락했습니다. 법안에 대해 문제제기해왔던 소비자, 시민사회단체들이 배제된 것은 물론이거니와 산업계 인사들만 토론자로 초청되어 법안에 찬성하는 토론들만 이어졌습니다.  </p> <p> </p> <p>우리 소비자, 시민사회단체들은 정부가 무엇 때문에 신용정보법 개정을 이처럼 폐쇄적이고 비민주적인 방식으로 추진하는지를 이해할 수가 없으며, 이로 인한 소비자 권리의 침해를 깊이 우려하지 않을 수가 없습니다. </p> <p> </p> <p>이에 우리 6개 소비자, 시민사회단체들은 법안에 대한 우리들의 우려와 비민주적, 폐쇄적인 법안 개정 추진 과정에 대한 항의의 뜻을 전달하기 위해 금융위원장과의 면담을 공개적으로 요청하오니, 2월 22일(금)까지 면담 가능 여부 및 일정을 회신하여주시기 바랍니다.</p> <p> </p> <p> </p> <p>경제정의실천시민연합, 민변 디지털정보위원회, 서울YMCA, 소비자시민모임, 진보네트워크센터, 참여연대, 한국소비자단체협의회, 한국소비자연맹, 함께하는시민행동 </p> <p> </p> </blockquote> <p><a href="https://drive.google.com/file/d/1421BKORIz5Bb4cK3GieopCxSge5dv_pN/view?…; rel="nofollow">[원문보기/다운로드]</a></p></div>

사 회 : 윤철한 경실련 소비자정의센터 국장

법안평가(1) : 박준우 함께하는시민행동 사무처장 – 개인정보 정의 축소
법안평가(2) : 오병일 진보네트워크센터 활동가 – 가명정보 활용범위 문제
법안평가(3) : 서채완 민변 디지털정보위원회 변호사 – 개인정보 감독기구 한계

발 언 : 윤명 소비자시민모임 사무총장 – 소비자 권리 침해
발 언 : 김준현 건강세상네트워크 대표 – 개인 의료정보 권리 침해

기자회견문 낭독 : 정지연 한국소비자연맹 사무총장, 한석현 서울YMCA 팀장

<기자회견문>

개인정보 판매와 공유를 허용하는 개인정보보호법 반대한다.

지난 11월 15일, 개인정보보호법 개정안에 대한 정부안이 더불어민주당 인재근 의원안으로 대표 발의되었다. 우선 정부가 공청회와 같은 정당한 의견수렴 과정도 없이 의원입법 형식으로 법안을 발의하는 것이 옳은 것인지 의문이다. 더 나아가 정부안은 그동안 시민사회가 지적해왔던 문제들을 그대로 포함하고 있다.

정부안은 빅데이터 활성화를 명분으로 기업 간 고객정보의 무분별한 판매와 공유를 허용하는 법안으로서 심각한 개인정보 침해가 우려된다. 또한, 행정안전부와 방송통신위원회의 권한을 개인정보보호위원회로 이관했다고 하지만, 개인정보보호위원회의 독립성은 매우 제한적이며 자칫 개인정보 활용을 위한 알리바이 기구가 될 위험성을 포함하고 있다.

우리는 개인정보보호법 개정안에 대해 심각한 우려를 표하며, 국회에서 아래와 같이 독소 조항이 수정되지 않는다면 개인정보보호법 통과에 반대하지 않을 수 없다.

첫째, 정부안은 개인정보의 정의를 변경하여 개인정보의 범위를 심각하게 축소하고 있다. 휴대전화의 IMEI 번호나 IP 주소와 같이 개인정보처리자가 직접적인 개인 식별이 힘들다고 할지라도 제3자가 개인식별이 가능한 결합정보를 가지고 있다면 개인정보로 보는 것이 세계적인 추세임에도, 정부안은 개인정보처리자가 개인을 식별할 수 없으면 개인정보가 아닌 것으로 보고 있다. 이렇게 되면, 수많은 개인정보가 개인정보보호법 적용에서 배제될 수밖에 없다.

둘째, 정부안은 ‘새로운 기술․제품․서비스의 개발’까지 과학적 연구 범위로 간주하고 있으며, 서로 다른 기업의 고객정보를 공공기관이 결합한 후에 결합된 고객정보를 반출할 수 있도록 하고 있다. 기업들이 자신의 개인정보를 무상으로 다른 기업에 제공할 이유가 없다고 한다면, 이는 기업들의 고객정보 판매와 서로 다른 기업 간의 고객정보 공유를 허용하는 것에 다름없다. 예를 들어, 현재 다국적 기업 IMS 헬스는 빅데이터 분석을 목적으로 우리 국민의 처방전 정보를 구매하여 기소를 당한 바 있는데, 정부안은 이러한 개인정보 판매를 합법화시킬 우려가 있다.

셋째, 정부안은 개인정보보호위원회를 중앙행정기관으로 격상하고 기존의 행정안전부와 방통위의 권한을 이관하고 있지만, 개인신용정보 활용에 앞장서고 있는 금융위원회의 권한은 그대로 놔두고 있다. 또한, 개인정보보호위원회의 전체 업무에 대한 독립성을 보장하고 있지 않은 것은 산업 활성화를 명분으로 언제든지 개인정보보호위원회의 정책 방향을 통제하겠다는 의도이다. 나아가 개인정보보호위원회의 조직 및 업무와 관련해 현행보다 후퇴한 내용까지 포함하고 있어, 자칫 개인정보보호위원회가 정부에 대한 감독이 아니라 개인정보 활용을 위한 알리바이 기구가 될 위험성을 포함하고 있다.

넷째, 정부안은 개인정보의 활용에만 초점을 맞추고 있고, 정보주체의 권리와 개인정보처리자의 책임성을 강화하는 조항은 미약하여 전체적인 균형을 상실하고 있다. 예를 들어, 프로파일링에 대한 정보주체의 권리, 개인정보 중심 설계 및 기본 설정(Privacy by Design, Privacy by Default), 개인정보 영향평가의 확대 등 중요한 내용이 배제되어 있다. 정보주체의 권리 및 개인정보처리자의 책임성 강화가 뒷받침되지 않는다면, 개인정보의 활용 과정에서 정보주체에 미치는 부정적 영향은 더욱 커질 것이다.

정부는 유럽의 개인정보보호규정(GDPR)을 참조하여 그에 부합하는 방향으로 제정하겠다고 하지만, 현재 발의된 정부안은 GDPR에 훨씬 미흡한 수준이다. 이는 현재 정부가 추진하고 있는 EU 개인정보 적정성 평가에도 부정적인 영향을 미칠 수밖에 없다.

정부가 4차 산업혁명 시대에 맞는 개인정보보호 체계 개선을 진정으로 원한다면, 시민과 소비자의 신뢰를 얻을 수 있는 법안을 만들어야 한다. 그러나 현재 정부안은 기업들의 고객정보 활용을 지원하는데 급급한 것으로 밖에 보이지 않는다. 정부와 국회는 기업들의 고객정보 판매와 공유를 허용하자는 입장인지 명확히 밝혀라.

무분별한 개인정보의 판매와 공유에 반대한다!
개인정보보호위원회의 완전한 독립성을 보장하라!
금융위원회의 개인신용정보 감독권한도 이관하라!
정보주체의 권리와 개인정보처리자의 책임성을 강화하라!

2018년 11월 21일

건강과 대안·경제정의실천시민연합·무상의료운동본부
민변 디지털정보위원회·서울YMCA·소비자시민모임·의료연대본부
진보네트워크센터·참여연대·한국소비자연맹·함께하는시민행동

소비자 개인정보 침해에 대한 손해배상제도의 개선방안

-홈플러스 개인정보 유출사건을 중심으로-

일시 및 장소:　2018년 11월 12일(월) 10:00~12:00, 국회의원회관 제8간담회실

홈플러스 개인정보 유출사건과 관련하여 안산소비자단체협의회가 제기한 소에서 항소심법원은 개인정보보호법 등 특별법상 불법행위 손해배상책임에 있어서 법은 고의·과실 요건에 한하여 증명책임을 전환하거나 면제하고 있으므로 그 밖의 가해행위의 존재, 위법성, 손해 및 인과관계 요건 등은 모두 원고에게 입증책임이 있다고 보았습니다.

즉, 원고들이 자신의 개인정보가 사전필터링을 위해 보험회사에 제공되었다는 사실을 입증하지 못하는 이상 불법행위의 피해자로 볼 수 없다고 판시한 것입니다. 그러나 관련 자료에 대한 사업자와 소비자간 정보의 비대칭성을 고려할 때 소비자가 이를 입증하는 것은 매우 어려운 현실입니다.

또한 기타 불법행위 성립 요건에 대하여도 소비자의 입증책임을 완화하는 것이 개인정보보호법 등에서 고의·과실 요건의 입증책임 전환규정을 둔 입법취지에도 부합할 것입니다. 개인정보보호법상 손해배상책임 문제를 위 항소심 법원의 판시와 같이 엄격하게 본다면 결국 개인정보 유출 소비자 피해에 대한 구제가 사실상 불가능해질 것입니다.

이에 학자, 실무가, 입법관계자 등을 모시고 홈플러스 개인정보 유출사건을 중심으로 소비자 개인정보 침해에 대한 손해배상제도의 개선방안에 대하여 토론하는 자리를 마련하고자 합니다. 바쁘시더라도 부디 참석하시어 자리를 빛내주시기를 부탁드립니다. 감사합니다.

행사 개요

○ 주 최: 이학영 의원, 추혜선 의원, 홍익표 의원, 국회시민정치포럼, 한국소비자단체협의회, 참여연대, 경제정의실천시민연합, 진보네트워크

◾발제1.
김보라미 변호사 (법무법인 나눔)
개인정보보호법상 소비자 손해배상제도의 문제점

◾발제2.
권대우 교수 (한양대 로스쿨)
소비자 개인정보 유출과 손해의 입증책임

◾지정토론
강신하 변호사 (법무법인 상록)
성춘일 변호사 (참여연대 민생희망본부 실행위원)
홍대식 교수 (개인정보보호위원회 제1법령평가 전문위원장)
최정민 입법조사관 (입법조사처 안전행정팀)

개인정보보호 무력화하는 규제 샌드박스 반대한다

– 개인정보 보호법제 일원화, 개인정보 감독기구 권한 강화!

– 개인정보 보호 통째로 배제하는 광범위한 특례도입 위험해!

더불어민주당이 8월 임시국회에서 이른바 규제혁신 5법(① 행정규제기본법 개정 ② 금융혁신지원법 제정 ③ 산업융합촉진법 개정 ④ 정보통신융합법 개정 ⑤ 지역특구법 개정)의 처리를 계획하고 있다. 나아가 박근혜 정부에서 추진되었던 서비스산업발전법과 규제프리존법에 양보할 기미도 보인다. 개인정보 보호를 위한 규제 개선은 여전히 지지부진한데, 최근 문재인 정부가 규제 완화만이 경제 발전의 메시아인 것처럼 외쳐대는 상황이, 우리가 다시 박근혜 정부로 회귀한 것은 아닌지 착각할 정도이다.

시민사회는 불합리한 규제 개선에 이의가 없다. 모든 규제는 나름의 공공적 목적을 위해 도입됐다. 그것이 시대에 뒤처져 불필요해지거나 공공의 이익을 저해한다면 완화하거나 폐지해야 마땅하다. 그러나 밑도 끝도 없는 묻지 마 규제 완화는 사회적 갈등과 공공성 파괴라는 심각한 문제를 일으킬 수밖에 없다. 문재인 정부가 이전 정부에 이어 묻지 마 규제 완화의 늪에 빠진 게 아닌지 묻지 않을 수 없다.

규제혁신 5법은 개별법에서 정한 기준과 원칙을 특례법 형태로 무력화시킴으로써 법의 원칙과 법제 간 균형을 무너뜨리고 있다. 개인정보 보호 측면에서도 모호할 뿐만 아니라 위험한 내용을 포함하고 있다. 「산업융합촉진법 개정안」, 「정보통신 진흥 및 융합 활성화 등에 관한 특별법 개정안」, 「지역특화발전특구에 대한 규제특례법 개정안」 등은 ‘개인을 식별할 수 있는 요소의 전부 또는 일부를 삭제하거나 대체함으로써 다른 정보와 결합하여도 더 이상 특정 개인 또는 개인의 위치를 알아볼 수 없도록 하는 조치를 한 경우’에는 관련 개인정보 보호법제에도 불구하고 이를 이용하거나 제3자에게 제공할 수 있도록 하고 있으며, 지정 검증기관으로부터 해당 조치의 적정성을 검증받도록 하고 있다. 그러나 이러한 조치가 익명 조치인지 가명 조치인지 모호한데, 어느 정도의 조치인가에 따라 개인정보보호법의 적용 여부가 달라질 수 있기 때문에 이 점은 매우 중요하다. 지정 검증기관의 검증이 어떤 의미가 있는지도 의문이다. 검증기관이 해당 조치가 적정하다고 결정하면 해당 업체는 법적 책임을 면제받는다는 것인가. 그렇다면 사실상 폐기처분 된 비식별조치 가이드라인과 어떠한 차이가 있는가. 이는 정보주체의 동의없이 상업적인 목적으로 개인정보를 활용하고 데이터 결합까지 광범위하게 허용하는 법제화로 연결될 위험이 있다.

특히 「금융혁신지원특별법 제정안」은 개인정보보호법 자체를 배제한다는 점에서 더욱 위험하다. 이 개정안은 혁신금융사업자에게 특례를 인정하는 금융관련법령의 규정을 적용하지 않도록 하고 있는데, 금융관련법령에 개인정보보호법도 포함된다. 혁신금융서비스 지정 신청을 심사할 때 ‘개인정보의 안전한 보호 및 처리 등 금융소비자 보호 및 위험 관리’를 언급하고 있지만, 개인정보의 안전한 보호 및 처리를 위한 법이 개인정보보호법이라는 점에서 이 법을 적용하지 않도록 하면서 개인정보를 보호하겠다는 것은 말장난에 지나지 않는다.

현행 개인정보보호법제의 적용을 배제하는 광범위한 특례법 도입은 개인정보보호를 근본부터 흔드는 입법이다. 규제 샌드박스법에서 특례를 인정하겠다는 사업이나 서비스들은 그 개념이나 범주가 매우 모호하다. 임시허가나 규제특례를 부여하는 위원회도 결국 소관부처가 구성하는 것이기 때문에 독립된 심사위원회로 기능할 것을 기대하기 어렵다. 결국 이런 법들이 통과될 경우, 기업들이 대부분의 신규사업이나 서비스를 규제샌드박스 5법에 산재된 각종 임시허가나 규제특례를 통해 수행하려 할 것이고 일반적인 개인정보규제는 무력화될 것이다.

무엇보다 개인정보 개념과 활용 범위와 조건, 법령 정비가 구체적으로 논의되고 있는 상황에서 다른 법률에서 「개인정보보호법」의 적용 예외를 조급하게 처리한다는 것은 적절하지 않다. 개인정보 관련법령의 개정 논의가 진행되는 상황에서 이를 우회하는 각종 특별법을 양산하면, 안 그래도 비효율적인 개인정보법제와 감독체계는 더욱 혼선을 빚게 될 것이다. 더불어민주당은 ‘법령공백, 법령불합리, 법령불허 등의 경우’ 임시허가나 실증을 위한 규제특례를 적용하겠다고 하지만, 개인정보 보호법령의 공백이나 불합리는 시민사회가 주장하는 바와 같이 조속한 개인정보 보호법제 정비를 통해 해결되어야 할 문제이며, 개인정보보호법이 불허하는 것은 신기술이나 신산업에도 허용되어서는 안될 것이다.

더불어민주당이 규제혁신 5법의 제정 필요성으로 내세우고 있는 인공지능(AI), 사물인터넷(IoT), 빅데이터 등은 모두 개인정보의 활용과 밀접히 연관된 산업부문이며, 따라서 개인정보 보호에 대한 사회적 신뢰를 얻지 못한다면 활성화될 수 없다.

개인정보 보호를 위해 가장 선행되어야 할 것이 개인정보 보호법제를 체계적으로 정비하고, 개인정보보호법의 실효성있는 집행을 위해 개인정보보호위원회의 권한과 독립성을 강화하는 일이다. 그러나 현재 개인정보 보호법제의 주무 부처인 행정안전부, 방송통신위원회, 금융위원회는 몇 개월이 지나도록 이에 대한 정책 방향을 내놓지 않고 있으며, 개인정보 감독기구의 일원화를 오히려 거부하는 모습을 보이고 있다. 말로는 신산업 활성화를 외치지만, 자기 부처의 밥그릇 지키기에 매몰되고 있다. 빅데이터 활성화에 앞장서온 방송통신위원회와 개인 신용정보의 유통 활성화에만 골몰하는 금융위원회를 어떻게 믿을 것인가. 이런 기관들이 감독기구의 역할을 계속하고 있는 상황에서, 그리고 개인정보 보호법제의 정비와 감독기구 일원화는 뒷전인 상황에서, 규제혁신 5법에서 개인정보를 안전하게 보호하겠다는 것은 공염불에 지나지 않는다.

우리 시민사회단체를 비롯하여 국민은 현재 문재인 정부와 더불어민주당의 태도에 대해 실망감을 감출 수 없다. 권력기관 개혁, 사법 개혁은 지지부진한 채, 규제 완화를 외치며 과거 권위주의 정부의 정책 기조를 따라가려는 행태를 보이고 있기 때문이다. 과연 문재인 정부가 촛불 민심의 염원을 담아 탄생한 정부인지 의심스럽다. 정부가 중점 추진하고 있는 소위 4차 산업혁명의 성공을 위해서라도 규제혁신 5법과 같은 꼼수가 아니라 정도를 밟아가기 바란다.

2018년 8월 16일

경실련, 서울YMCA, 소비자시민모임, 진보네트워크센터, 참여연대 공익법센터, 한국소비자연맹