개인정보 보호체계 개선없는 빅데이터 활성화 동의할 수 없다.

– 정부부처 이기주의로 개인정보보호 난맥상… 제 머리는 깎지 않는 정부부처

– 마이데이터(MyData) 사업은 개인 건강검진 기록의 민간 공유를 담고 있어 우려

– 개인정보 감독기구를 독립적인 개인정보보호위원회로 일원화하라

6월 26일, 대통령직속 4차 산업혁명위원회는 ｢데이터 산업 활성화 전략｣ 을 심의, 의결하였다. 이 전략은 마이데이터 시범사업 실시, 빅데이터 전문센터 육성, 개방형 데이터 거래 기반 구축, 빅데이터 선도기술 확보 등을 내용으로 하고 있다. 이와 함께, 헬스케어 6대 프로젝트 추진 현황도 보고되었다. 한편, 6월 27일에는 대통령 주재의 제2차 규제개혁 점검회의가 예정되어 있었다. 준비 미흡으로 취소되었다고 하지만, 이 회의에서는 ‘빅데이터 활성화를 위한 개인정보 보호 분야 규제’가 논의될 예정이었다.

우리 시민사회단체들은 빅데이터 산업 활성화를 명분으로 한 개인정보 규제 완화는 서두르면서 개인정보 보호를 위한 제도적 환경 구축은 외면하고 있는 정부의 움직임을 우려하지 않을 수 없다. ｢데이터 산업 활성화 전략｣은 ‘데이터를 가장 안전하게 잘 쓰는 나라’를 비전으로 하고 있지만, 안전한 활용을 위해 필수적인 개인정보 감독체계의 개선 문제는 포함하고 있지 않다. 제2차 규제개혁 점검회의에서도 개인정보 활용을 위한 규제 완화만을 다룰 예정이었고, 개인정보 감독체계 개선 문제는 의제에 포함되어 있지 않았다고 한다.

‘개인정보 보호체계 효율화’는 문재인 대통령의 주요 국정과제였다. 그러나 정부부처들은 빅데이터 활성화를 위한 개인정보의 활용만을 얘기할 뿐, 정작 개인정보 감독체계의 효율화는 뒷전으로 밀어두고 있다. 이는 자신의 권한을 빼앗기지 않으려는 부처 이기주의 때문이다.

우리 시민사회단체들은 빅데이터 시대 개인정보의 안전한 활용의 전제 조건으로 개인정보 보호법제와 감독기구의 일원화가 선행되어야 한다고 거듭 촉구한 바 있다. 국내 개인정보 보호법제는 개인정보보호법을 비롯하여 정보통신망법, 신용정보법 등으로 분산되어 있고 다수의 중복, 유사 조항을 포함하고 있어 수범자들의 혼란과 중복규제를 야기하고 있기 때문이다. 또한, 감독기구 역시 개인정보보호위원회, 행정안전부, 방송통신위원회, 금융위원회 등으로 분산되어 있고 개인정보를 실효성 있게 보호하기 위한 효율적인 감독이 이루어지지 않고 있기 때문이다.

개인정보 보호를 위한 환경이 정비되지 않은 상황에서, ｢데이터 산업 활성화 전략｣에서 제시하는 바와 같이 개인정보의 거래를 활성화하겠다는 것은 무척 위험한 발상이다. 국민 개인의 건강검진 기록을 기업과 민간이 활용하도록 허용하는 마이데이터 사업은 이명박, 박근혜 정부를 거쳐 추진된 의료민영화의 핵심 내용중 하나인 개인질병정보의 민간 공유 및 활용, 건강관리서비스 민영화 정책과 맥을 같이 하고 있다. 또한 정보주체의 자기정보통제권을 실질적으로 보장하기 보다는 사실상 개인정보 브로커를 양성화하는 수단이 될 수 있다. 민간‧공공을 연계한 개방형 데이터 거래 기반 사업은 시민사회의 반대에도 불구하고 결국 데이터 연계 정책을 밀어붙이려는 것은 아닌지 우려스럽다.

우리는 국민의 정보인권에 대한 고려 없이 산업 활성화만을 밀어붙이던 박근혜 정부의 실책(규제프리존법과 개인정보 비식별조치 가이드라인 등)을 문재인 정부가 되풀이하지 않기 바란다. 이를 위해서는 청와대가 중심을 잡고 각 정부부처의 이기주의를 통제하면서 조정역할을 해야한다.

시민사회단체는 현재 행정안전부, 방송통신위원회, 금융위원회 등으로 분산된 개인정보 감독권한을 개인정보보호위원회로 일원화하고 개인정보보호위원회의 독립성을 강화하는 방향으로 개선되지 않는 한, 개인정보의 활용을 위한 어떠한 계획도 동의할 수 없다. 개인정보보호위원회의 독립성과 권한 강화 없이 ‘개인정보의 안전한 활용’이란 말장난에 불과하기 때문이다. 제2차 규제개혁 점검회의가 다시 열린다면, 개인정보 보호체계 효율화가 핵심적인 의제가 되어야 한다.<끝>

건강과대안, 건강권실현을위한보건의료단체연합 (건강사회를위한약사회 건강사회를위한치과의사회 노동건강연대 인도주의실천의사협의회 참의료실현청년한의사회), 건강세상네트워크, 경실련, 서울 YMCA, 소비자시민모임, 언론개혁시민연대, 의료민영화저지와 무상의료 실현을 위한 운동본부, 진보네트워크센터, 한국소비자연맹, 함께하는시민행동

청와대는 진정 개인정보 보호할 의지 있는가

– 개인정보감독체계 일원화에는 무관심, 동의 없는 활용에만 골몰

– 모호한 장밋빛 전망에 기댄 성급한 정보주체 권리 완화는 위험해

최근 행정안전부, 방송통신위원회, 금융위원회는 국회 업무보고를 통해 데이터산업 활성화라는 명분으로 개인정보에 대한 정보주체의 권리와 보호장치를 완화하겠다는 계획을 내놓았다. 행정안전부의 경우 ‘가명정보’를 정보주체 동의 없이 산업적 연구목적에 활용하도록 하고, 민간과 공공의 데이터를 결합할 수 있는 근거를 마련한다는 것이다.

경제정의실천시민연합, 참여연대, 서울YMCA, 진보네트워크센터, 한국소비자연맹, 소비자시민모임, 함께하는시민행동 등 7개 시민사회단체는 문재인 정부가 모호한 장밋빛 전망에 기대어 사실상 박근혜 정부가 추진했던 개인정보”침해”정책을 그대로 계승, 발전시키고 있다는 강한 의문을 제기하지 않을 수 없다. 정부가 개인정보 규제 완화를 시도하는 반면 대통령 공약이자 국정과제였던 감독체계 개선방안은 온데간데 없다. 실효적이지 않은 개인정보감독기구의 위상강화라는 말만 반복하고 있을 뿐이다. 나아가 어떻게든 국민들의 개인정보를 공짜로 활용하려는 산업계의 요구를 마치 4차 산업혁명을 위한 혁신으로 포장하는 일까지 벌어지고 있다. 과연 문재인 정부는 국민들의 개인정보를 보호할 의지가 있는가.

각 정부부처들은 ‘가명정보’를 정보주체의 동의 없이 목적 외로 이용가능한 정보라고 호도하고 있다. 그러나 가명정보는 가명처리의 방법과 절차에 따라 그 자체로 특정 개인이 식별되거나 다른 정보와의 결합을 통해 특정 개인을 식별하는 것이 가능하기 때문에 여전히 보호의 대상이어야 한다. 가명처리는 개인정보 처리과정에서 정보주체의 프라이버시를 보호하기 위한 안전장치의 하나이지, 가명처리를 한다고 정보주체의 동의가 전혀 필요하지 않다거나 개인정보보호법의 규제를 회피할 수 있는 만능수단이 아니다. 가명처리와 별도로 정보주체의 동의 없이 활용을 가능하게 하려면 이를 정당화할만한 명확하고 충분한 공익적 가치가 존재해야 한다. 막연히 산업을 활성화하여 국가 경제에 이바지할 것이라는 추상적인 명분으로, 개인정보에 대한 정보주체의 통제권을 빼앗고 무력화시켜서는 안 된다. 국민 개개인의 권리를 쉽사리 희생시킬 수 있다는 발상이 4차 산업혁명을 부르짖는 2018년에 반복되고 있는 것은 분명 시대착오적이라 할 것이다.

민간과 공공의 데이터 결합은 법적 근거를 마련하기 이전에 그 위험성과 필요성을 충분히 검토해야 마땅하다. 서로 다른 기관이 보유한 데이터를 결합한다는 것은 데이터셋 간에 개별적인 매칭이 가능하다는 것, 즉 개개인이 특정될 수 있다는 것을 전제한다. 따라서 한 개인에 관한 더 많은 정보가 통합되는 과정에서 개인에 대한 프라이버시 침해의 위험성은 더욱 높아진다. 이미 우리나라는 전국민을 주민등록번호로 통제하고 있고, 국가기관 내에서 수많은 정보들이 주민등록번호를 매개로 연계되어 있다. 이것을 정보주체 동의 없이 민간 데이터와 결합하여 기업이 활용할 수 있게 하는 것은 매우 위험하다. 또한 데이터 결합 정책의 가장 큰 수혜자는 이미 데이터를 다수 보유하고 있는 통신, 금융, 보건의료 영역의 재벌 대기업이 될 것이 뻔하다.

반면 정부는 개인정보 감독체계 효율화와 관련하여 여전히 구체적인 방안을 제시하지 않고 있다. 현행 한국의 개인정보 보호법제는 여러 법률로 중복, 분산되어 있어 혼란과 중복규제를 야기하고 있다. 특히 실효성있는 개인정보 보호를 위해 필수적인 개인정보 감독기구 역시 분산되어 있는 실정이며 독립성과는 거리가 멀다. 개인정보보호위원회는 예산, 인사 등에서의 독립성이 없고 감독기구로서의 집행권한이 없다. 가장 방대한 국민정보를 보유하고 있는 행정안전부 역시 독립성을 갖고 있지 못하다. 방송통신위원회나 금융위원회는 각각 정보통신산업과 금융산업의 육성, 진흥을 담당하는 부처로서 개인정보보호에 방점을 둬야 할 개인정보 감독기구로서의 전문성과 독립성을 충분히 기대하기 어렵다. 감독기능이 이렇게 여러 부처로 분산되어 있다보니, 국가차원의 일관된 개인정보보호정책의 수립과 감독, 집행이 이루어질 수가 없다. 그래서 시민사회는 일관되게 방송통신위원회와 금융위원회가 가진 개인정보 감독권한을 개인정보보호위원회로 통합하고 위원회를 독립된 중앙행정기구로 만들어야 한다고 주장해온 것이다. 그러나 행정안전부의 방안은 분산되어 있는 감독기능의 부분적인 통합조차도 고려하고 있지 않다.

지난 7월 19일 행정안전부는 시민사회단체들과의 간담회 자리에서 행정안전부의 권한만 개인정보보호위원회에 이관하여 독립시키는 방안만이 현실적이라고 강변했다. 이는 겉보기에는 개인정보보호위원회의 위상강화로 보일 수 있을 지 모르지만 이러한 방안이 오히려 바람직한 개선을 가로막고 현재 드러난 문제들을 고착화시킬 수 있다. 정보통신망을 통한 개인정보처리가 이미 일반화된 상황에서 앞으로 더욱더 정보통신망을 통한 개인정보처리가 늘어날 것인데 이 부분에 대해서는 아무런 조치를 취할 수 없는 감독기구는 의미를 갖기 어렵기 때문이다. 신용정보의 보호가 점점 더 중요해지는데도 감독기구가 이에 대해서 아무런 보호조치를 취할 수 없는 체계를 계속 유지하겠다는 저의가 무엇인지 의문이다. 방송통신위원회와 금융위원회의 감독권한을 일부라도 통합하지 않고서는 이것은 개인정보 감독체계 개선이라고 볼 수 없다. 통합적인 컨트롤타워가 만들어지는 것 또한 요원해질 것이다.

청와대와 각 부처는 개인정보를 산업적, 상업적 목적으로 활용하고 거래하기 위한 여러 정책들을 앞다투어 내놓고 있다. 보건의료빅데이터 시범사업, 헬스케어 사업, 마이데이터 사업, 스마트 시티 사업 등 데이터 활용을 극대화하기 위한 정책들이 우후죽순 경쟁적으로 추진되고 있는 것이다. 하지만 각 부처의 정책들간에는 일관성이 없을 뿐만 아니라 과연 개인정보보호 측면에서의 고려가 었는지도 의문이다. 개인정보와 관련한 정부 컨트롤타워 부재의 문제가 그대로 드러나고 있는 것이다. 각 부처들은 데이터의 활용만 강조하고 미흡한 사후규제 강화방안을 명목상 끼워넣고 있을 뿐이다. 개인정보감독체계를 통합, 정비하고 독립성보장 등 권한을 강화하지 않으면, 이제 우리의 개인정보와 프라이버시는 법전에만 존재하는 형해화된 권리가 될 것이다.

개인정보감독체계 정비는 개인정보를 보호하고, 개인정보의 활용이 목적에 부합하는 최소한의 범위에서 안전하게 이루어지는지를 감독하기 위한 최소한의 전제조건이다. 이를 위해 부처간 권한의 통합과 조정도 필요하다. 이를 정권 초기에 하지 않으면 앞으로도 하기 어려울 것이다. 그러나 문재인 정부가 출범한 지 1년 4개월이 되도록 어떠한 진전도 보이지 않았다. 지금 정부는 산업활성화를 위한 골든타임을 이야기하지만, 개인정보보호를 위한 골든타임은 이미 지났는지도 모른다. 청와대가 의지를 갖고 실질적인 개인정보감독체계 개선을 추진할 계획이 없다면 더이상 국민을 기만해서는 안된다. 각 부처들도 껍데기 뿐인 개인정보보호방안을 들고 시민사회를 기만하고 회유하려는 시도를 중단해야 한다. 답을 정해놓고 시민사회와 소통하는 모양새를 취할 것이 아니라, 시민사회의 우려에 진정 귀를 기울이기를 기대한다. 제대로 된 개인정보보호체계 구축과 감독기구의 일원화를 통해 자기 통제 밖에서 자신들의 개인정보가 활용될 것이라는 국민들의 불안을 해소하는 것은 정부의 몫임을 정부 스스로 인식해야 할 것이다.

2018년 8월 1일

경제정의실천시민연합·참여연대·서울YMCA·진보네트워크센터·
한국소비자연맹·소비자시민모임·함께하는 시민행동