신분증스캐너 특혜, 이통3사와 KAIT 공정위에 고발예정

– 법적근거 없이 특혜 도운 최성준 전 방통위원장 등 형사고발 예정 –
– KAIT 민간위탁사무, 통신실명제와 신분증스캐너 의무화 재검토하라 –

신분증 스캐너 특혜의혹이 사실로 드러났다. 과학기술정보통신부가 한국정보통신진흥협회(이하 KAIT)를 종합감사 한 결과, 이동통신 유통망에 의무 도입한 신분증스캐너를 특정업체에게 독점 공급하도록 특혜를 제공한 것으로 드러났다. 과기정통부는 관련자 징계처분을 KAIT에 통지했다.

신분증 스캐너는 이동통신 가입 시 명의도용과 신분증 위변조를 방지한다는 명분으로 지난해 12월 도입됐다. 신분증스캐너 도입 당시 공급업체에 대한 특혜 의혹과 도입 실효성, 구입 강제로 인한 불공정거래행위 등 사회적 논란이 불거졌다.

경실련은 지난해 12월 법적근거 없는 정책시행, 불공정한 스캐너 납품업체 선정 과정, 부당한 경쟁사업자 배재 등 불공정거래행위에 대해 방송통신위원회에 조사를 요구했다. 또한 올해 2월에는 이익단체인 KAIT에 명의도용방지서비스 등 중요한 공적사무를 위탁하면서, 2014년 이후 단 1차례의 업무감사를 실시하지 않은 과기정통부의 직무유기를 감사원에 공익감사를 청구한바 있다. 이번 종합감사는 경실련의 공익감사청구에 따라 진행됐다.

이번 감사결과로 논란이 일부 사실로 판명된 것이다. 이번 사건은 단순히 관련자 징계로 끝날 사건이 아니라, 신분증 스캐너 도입 시 제기되었던 여려 의혹에 대한 진상규명의 계기가 되어야 한다. 이에 경실련은 공정거래위원회에 이동통신3사와 KAIT를 대상으로 신분증 스캐너 업체 선정과정의 특혜와 경쟁사업자 배제, 스캐너 강매에 따른 부당공동행위와 불공정거래행위 등에 대해 고발조치할 예정이다. 또한 법적근거 없이 앞장서서 신분증 스캐너 도입을 추진하고, 기업의 이익을 대변한 최성준 전 방통위원장과 박노익 전 이용자정책국장을 형사고발 예정이다.

이번 종합감사 결과는 이동통신 유통시장과 민간위탁 사무의 투명성을 확대하는 계기가 돼야 한다. 경실련은 과기정통부의 감사결과 드러난 신분증 스캐너 납품 특혜에 대한 강력한 처벌을 촉구하며, 다음과 같이 입장을 밝힌다.

첫째. 통신실명제와 신분증스캐너 의무화 재검토하라.

신분증스캐너는 명의도용과 신분증 위변조를 방지하는 용도이다. 그러나 명의도용 건수와 피해금액은 매년 줄어들고 있다. 신분증 위변조는 피해가 명확하지 않고, 타인 명의 신분증 도용엔 무용지물이다. 스캐너 또한, 낮은 신분증 인식율과 오작동, 제한된 신분증 인식 등의 문제가 여전히 해결되지 않았다. 스캐너 구입비용도 애초 정부나 이동통신3사 설명과 달리 사실상 소비자에게 전가될 수밖에 없는 상황이다.

신분증스캐너는 통신실명제를 기반으로 한다. 본인확인을 거쳐야만 휴대전화가 개통되고, 개통된 휴대전화는 다른 본인확인 수단이나 후불결재 등 만능기능이 부여된다. 그러나 정책의 효율성 없는 실명제에 대한 집착이 명의도용이나 신분증 위변조라는 불법을 양산시키는 결과를 초래하게 된다.

둘째. 정부는 이익단체인 KAIT 업무위탁을 재검토하라.

KAIT는 정부의 위탁을 받아 부정가입방지시스템, 명의도용방지서비스, 분실도난단말장치 조회시스템 등 통신이용자의 정보보호 업무를 수행하고 있다. KAIT는 이동통신3사와 단말기제조업자 등으로 구성된 전형적인 이익단체이다. 이번 감사결과로 보듯 이익단체가 공적업무를 회원사의 이익을 위해 사용한다면 그 피해는 고스란히 소비자에게 전가될 수밖에 없다.

셋째. 과기정통부는 감사 결과를 공개하라

과기정통부의 종합감사는 KAIT의 신분증 스캐너에 한정되지 않고 위탁사무에 대한 업무감사, 위탁사무를 이용한 영리활동과 정부 보조금 사업 전반으로 진행되었다. KAIT는 통신정보, 방송정보, 신용정보 등 이용자의 광범위한 개인정보를 이용해 다양한 사업을 수행하고 있다. 이익단체에 공적사무 위탁에 따른 불신과 의혹을 조금이나마 해소하기 위해서는 감사결과를 투명하게 공개하는 것이 최소한의 의무이다.

경실련은 공정위와 형사고발을 통해 신분증 스캐너 독점공급 특혜에 대한 진실을 규명하고, 잘못된 민간위탁 관행을 바로잡기 위하여 지속적인 감시와 제도개선에 적극 활동할 예정이다. 끝.

2017.11.29

경실련 소비자정의센터

홈플러스 소송 시민단체 공동보고대회 개최

– 경제정의실천시민연합, 안산소비자단체협의회, 진보네트워크센터,
참여연대, 한국소비자단체협의회 –
– 2017년 12월 19일(화) 오전 10시, 은행연합회관 제2층 국제회의실 –

 
□ 홈플러스 소송 시민단체 공동보고대회 개요
  ￭ 사회 : 조순열 변호사 (경실련 시민권익센터)
  ￭ 안산 소협 1심 판결문 취지 설명
     : 서치원 변호사 (안산소비자단체협의회)
  ￭ 공정거래위원회 홈플러스 과징금 부과건 소개 (「표시광고법」 위반을 중심으로)
     : 성춘일 변호사 (참여연대)
  ￭ 홈플러스 소송을 통해 바라본 입법개선의 과제
     : 좌혜선 사무국장 (한국소비자단체협의회 자율분쟁조정위원회, 변호사)
  ￭ 개인정보정책 개선의 과제
     : 이은우 변호사 (정보인권연구소 이사)
 
 

 
경제정의실천시민연합과 안산소비자단체협의회, 진보네트워크센터, 참여연대, 한국소비단체협의회는 오늘(19일) 은행연합회관 제2층 국제회의실에서 홈플러스 소송 시민단체 공동보고대회를 개최했다.

이 날 공동보고대회는 조순열 경실련 시민권익센터 운영위원이 사회를 맡은 가운데, 서치원 안산소비자단체협의회 변호사가 ‘안산소협 1심 판결문 취지 설명’을 발표하고, 성춘일 참여연대 변호사가 ‘공정거래위원회 홈플러스 과징금 부과 건’을 발표했다. 이어서 좌혜선 한국소비자단체협의회 자율분쟁조정위원회 사무국장이 ‘홈플러스 소송을 통해 바라본 입법개선의 과제’를 발표하고, 이은우 정보인권연구소 이사가 ‘홈플러스 개인정보 불법매매사건을 통해 본 개인정보보호법의 문제점과 개선방안’를 발표, 마지막으로 심정순 안산 소비자교육중앙회 회장이 ‘안산소비자단체협의회의 소송 과정과 개인정보의 중요성’을 발표했다.

첫 번째 순서로 발표에 나선 서치원 안산소비자단체협의회 변호사는 안산소협 1심 판결문 취지를 설명했다. 서치원 변호사는 홈플러스의 개인정보 불법 수집 및 불법 매매로 인한 안산소협의 소송 경과를 설명하며, 이번 사건의 쟁점을 ① 경품응모자들에 대해선 ▲명확하게 인지할 수 있도록 알리고 동의 받아야 하나 ‘유상판매’임을 알리지 않은 점, ▲최소한으로 수집하고, 동의하지 않는다고 불이익을 주어서는 안되는 점, ▲소비자를 오인시키는 기만적 광고인 점, ▲개인정보 파기규정과 안전조치의무 위반한 점, ② 패밀리카드 회원들의 경우 ▲정보주체의 동의 없이 또는 동의 목적을 초과하여 제3자에게 개인정보 제공한 점, ▲동의 시 알려야 할 사항을 알리지 않고 동의 받음·동의 없는 제공·기만적인 방법으로 동의 취득한 점 등으로 설명했다. 이에 재판부는 ①패밀리카드 회원이자 경품응모자인 피해자 73명에게 1인당 12만원, ②경품응모자인 피해자 75명에게 1인당 10만원, ③패밀리카드 회원이자 개인정보 제3자 미동의한 피해자 136명에게 1인당 5만원을 지급하라는 판결했음을 설명했다.

서치원 변호사는 ▲위법성 입증책임의 전환 및 제3자 제공 추정, ▲「표시광고법」 위반 인정, ▲개인정보 판매로 인한 손해배상을 인정한 최초의 판결, ▲개인정보 판매로 인한 위자료 산정 시 고려할 기준 구체적으로 적시, ▲소비자 보호를 위한 「개인정보보호법」 개정 등으로 판결의 의의를 설명했다. 이 사건은 재판부가 입증책임을 고객이 아닌 개인정보를 관리하는 정보관리주체인 홈플러스에게 있다고 판단, 기만적 광고행위의 위법성 인정 등으로 개인정보 판매로 인한 소비자 피해구제를 위한 리딩케이스로 자리매김할 것이라고 밝혔다.

이어 두 번째 발표는 성춘일 참여연대 변호사가 공정거래위원회 홈플러스 과징금 부과 건을 발표했다. 공정거래위원회는 2015년 5월 1일 홈플러스가 경품행사를 광고하며 개인정보 수집 및 제3자 제공 조건으로 경품을 지급한다는 사실을 숨겨 소비자를 속이는 등의 기만적 광고행위로 홈플러스㈜와 홈플러스테스코㈜에 각각 과징금 3억 2,500억원과 1억 1,000억원을 부과 했다. 이후 홈플러스는 행정소송을 제기했다. 그러나 서울고등법원이 이를 기각했고, 대법원은 “‘기만적인 광고’에 해당하는지 여부는 광고 그 자체를 대상으로 판단하면 되고, 특별한 사정이 없는 한 광고가 이뤄진 후 소비자가 알게 된 사정까지 고려해야 하는 것은 아니다”라고 판시하면서 원심 판단은 정당하고 법리를 오해한 잘못이 없다고 판결한 과정을 설명했다.

성춘일 변호사는 ▲기만성이 인정되는지 여부, ▲소비자 오인성이 인정되는지 여부, ▲공정거래 저해성 인정 여부에 대해 설명했다. 사건의 형식은 공정거래위원회가 홈플러스 등에 부과한 시정명령과 과징금이 적법하다는 것이기는 하지만, 이 행정소송 사건을 계기로 부당한 표시·광고행위로부터 소비자의 합리적인 의사결정을 보호하고자 하는 「표시광고법」의 입법목적 및 관련 법률의 입법취지가 충분히 반영된 것이므로 향후 개인정보 보호 및 소비자 보호에 상당한 기여를 할 것이라고 밝혔다.

세 번째 발표자인 좌혜선 한국소비자단체협의회 자율분쟁조정위원회 사무국장은 홈플러스 소송을 통해 바라본 입법개선 과제를 발표했다. 좌혜선 사무국장은 소비자·시민사회단체가 진행 중인 소송들의 경과와 그간의 「개인정보보호법」 개정 및 20대 국회 개정안 발의 내용들을 설명했다. 이어 이러한 다수의 소비자 피해를 신속하고 효율적으로 구제하기 위해서는 집단소송법제의 도입이 필요하다고 밝혔다.

네 번째 발표자인 이은우 정보인권연구소 이사가 홈플러스 개인정보 불법매매사건을 통해 본 개인정보보호법의 문제점과 개선방안을 발표했다. 이은우 변호사는 개인정보 보호에 대한 단일의 감독 및 집행체계가 필요하다고 밝혔다. 홈플러스 사건의 경우 「개인정보보호법」이 적용될지, 「정보통신망법」이 적용될지 알기 어렵다며, 각각의 감독기관인 행정안전부, 방송통신위원회의 감독이 어떻게 이루어질지 예상하기 어렵다고 지적했다. 따라서 전 세계적으로 「개인정보보호법」은 전자적으로 처리되는 개인정보파일의 처리를 주된 규율대상으로 하고 있어 「개인정보보호법」과 「정보통신망법」을 「개인정보보호법」으로 통합해야 한다고 주장했다.

또한, 이은우 변호사는 최근 업계를 중심으로 개인정보 수집동의의 요건을 완화해야 한다는 주장이나, 비식별화된 개인정보는 개인정보로 보지 않아야 하며, 동의를 요하지 않고 활용할 수 있도록 하여 빅데이터 활용을 허용해야 한다는 등의 주장이 지속적으로 나오고 있는 것을 우려했다. 이러한 주장은 국제적인 추세에도 반하며, 우리나라와 같이 재식별화의 위험이 높은 환경에서는 도저히 받아들여질 수 없는 주장이라고 지적했다. 특히, 개인의 민감한 쇼핑내역을 분석하고, 가공하여 활용하는 기술이 점점 발전하고 있는 상황에서 프로파일링에 대한 규율이 절대적으로 필요한 상황이라고 밝혔다.

마지막 발표자인 심정순 안산 소비자교육중앙회 회장은 안산소비자단체협의회의 소송 과정과 개인정보의 중요성을 발표했다. 심정순 회장은 자기도 시민이자 홈플러스 고객이며, 실제 경품행사도 참여한 피해자라고 밝혔다. 소비자들은 서비스를 제공받기 위해선 많은 업체에 개인정보를 제공해야 한다. 그런데 이렇게 제공한 개인정보가 돈으로 매매되는 것을 볼 때 문제의 심각성과 개인정보의 중요성을 다시금 느끼게 되었다고 밝혔다. 지금도 개인정보가 거래되고 있을 것이라며, 우리 모두가 개인정보에 대해 경각심을 가져야 할 때라고 밝히며 발표를 마쳤다

홈플러스 사건을 공동으로 대응하는 경제정의실천시민연합과 안산소비자단체협의회, 진보네트워크센터, 참여연대, 한국소비자단체협의회는 소비자의 개인정보자기결정권을 강화하는 개인정보보호 활동과 빅데이터라는 이름으로 개인정보 보호규범을 완화하는 법 개정 시도를 적극 대응하는 활동을 지속적으로 전개할 예정이다. <끝>

첨부. 홈플러스 소송 시민단체 공동보고대회 자료집

경제정의실천시민연합, 안산소비자단체협의회
진보네트워크센터, 참여연대, 한국소비자단체협의회

해커톤 합의, 개인정보 보호체계 일원화가 전제되어야 한다.

지난 4월 3-4일, 대통령직속 4차 산업혁명위원회 주최의 「제3차 규제․제도혁신 해커톤」이 개최되었다. “개인정보의 보호와 활용의 조화” 의제의 경우 지난 2월 제2차 해커톤에서의 합의에 이어 추가적인 논의가 진행되었다. 여전히 많은 세부 쟁점에서 참가자 사이의 이견이 존재하고 해커톤 참여자들이 각 이해관계자 그룹의 다양한 목소리를 모두 대변할 수 있는 것은 아니지만, 두 차례에 걸친 밤샘 토론을 통해 큰 틀에서의 합의를 이룬 것은 의미있는 진전이라고 평가할 수 있다.

그러나 핵심적 의제 중 하나인 ‘개인정보 보호체계’ 이슈가 충분히 논의되지 않은 점은 유감이다. 이미 시민사회와 전문가들이 오래 전부터 지적해왔듯이, 개인정보 보호 체계의 효율화와 감독 체계 강화는 빅데이터 시대 데이터의 안전한 활용을 위한 전제조건이다. (이와 관련하여 지난 2월 12일 <빅데이터 시대 개인정보 감독체계에 대한 시민사회 의견>을 발표한 바 있다.)

개인정보의 보호와 활용에 대한 구체적인 규정에 합의하더라도, 개인정보의 오남용을 감독하고 소비자의 피해를 구제할 개인정보 감독기구가 그 역할을 제대로 하지 못한다면, 우리 개인정보 주체들은 자신의 개인정보가 안전하게 관리되리라는 신뢰를 가질 수가 없기 때문에 우려할 수밖에 없다. 산업계가 요구하는 빅데이터 분석을 위한 활용이든, 보건복지부가 추진하는 보건의료 빅데이터 플랫폼이든, 금융위원회가 발표한 금융분야 빅데이터 테스트베드 추진이든, 효과적인 개인정보 감독체계가 마련되지 않는다면 무망한 꿈일 뿐이다.

그래서 우리는 개인정보보호법, 정보통신망법, 신용정보법 등으로 분산된 개인정보 보호법제를 개인정보보호법으로 일원화하고, 개인정보감독기구로서 개인정보보호위원회의 독립성과 권한을 강화할 것을 요구해왔다. 문재인 정부도 “2018년부터 개인정보 보호 거버넌스 강화 및 개인정보 보호 체계 효율화”를 국정과제로 내세운 바 있다. 그러나 지금까지 각 정부부처는 자신의 권한을 유지하는 것에만 신경써왔다. 금융위원회는 <금융분야 데이터활용 및 정보보호 종합방안>을 발표하며 금융 개인정보의 산업적 활용에 앞장서고 있고, 방송통신위원회는 유럽 개인정보보호규정(GDPR) 시행을 앞두고 ‘부분’ 적정성 평가 통과에만 매진하고 있다. 정부가 유럽 시장에 진출한 국내 기업을 보호하겠다면 최소한 ‘전체 적정성 평가’를 병행 추진해야 하고, 전체 적정성 평가 통과를 위해서는 개인정보보호위원회의 독립성과 권한 강화가 필요하지만 아직까지 그런 움직임은 없다.

이번 해커톤에서도 개인정보 보호체계 의제가 뒤로 밀리고 충분한 논의 시간을 확보하지 못했으며, 정부부처들은 여전히 부처이기주의적인 모습을 보이며 독립적 감독기구로의 권한 이양에 소극적인 모습을 보였다. 그나마 다행인 것은 이번 해커톤에서 “개인정보 보호와 관련한 중복, 유사 조항에 대해서는 통일적 규율이 필요하다는 점”, 그리고 “개인정보 보호와 활용을 위한 거버넌스 개선방안이 마련되어야 한다는 점” 등에는 합의했다는 것이다.

여전히 우려스러운 것은 해커톤에서 거버넌스 개선에 대해 합의가 이루어진 이후에도 행안부, 방통위, 금융위가 통일적 정책 추진은 도외시하고, 여전히 개인정보보호위원회를 배제하면서 협력 대신 부처이기주의와 각자도생의 모습을 보이고 있다는 점이다. 해커톤을 통해서도 확인되었지만, 행안부, 방통위, 금융위는 4차 산업혁명 시대, 정보화 사회의 가장 중요한 기본 과제인 개인정보 보호법제 정비와 감독체계 정비를 수행할 의사가 없다. 이들은 개혁의 대상이고 이들을 개혁하는 것은 오직 외부의 힘에 의해서만 가능하다.

이제 공은 청와대와 국회로 넘어갔다. 청와대는 “개인정보 보호 거버넌스 강화 및 개인정보 보호 체계 효율화”를 어떻게 추진할 것인지 입장을 밝혀야 한다. 그렇지 않으면, 정부가 추진하고 있는 4차 산업혁명이나 빅데이터 활성화 정책 역시 순조롭게 추진되기 힘들 것이다.
현재 국회에는 소병훈, 송희경, 변재일, 진선미 의원 등이 대표 발의한 개인정보보호법 개정안이 발의되어있다. 국회 차원의 4차 산업혁명 특별위원회도 운영되고 있다. 이제 국회에서도 개인정보의 보호와 안전한 활용에 대한 내용 뿐만 아니라, 개인정보 보호체계의 일원화 방안에 대해서도 본격적으로 논의해야 한다.

다시 한 번 강조하지만, 개인정보 보호법제의 일원화 및 개인정보보호위원회의 독립성과 권한 강화 없이는 개인정보의 보호와 활용에 대한 논의가 한치도 진전될 수 없음을 정부와 국회는 인식해야 한다.

2018년 4월 11일
경제정의실천시민연합, 녹색소비자연대, 서울YMCA 시청자시민운동본부, 소비자시민모임, 진보네트워크센터, 한국소비자연맹

[시민사회 빅데이터 시대의 안전한 개인정보 활용을 위한 원칙 제시]

빅데이터 활성화를 위해 개인정보 체계와 감독기구 일원화 시급하다

– 가명정보 활용은 공익적 목적에 한정하고, 안전조치 전제되어야 –

경실련, 녹색소비자연대, 서울YMCA, 소비자시민모임, 진보네트워크센터, 한국소비자연맹, 함께하는시민행동 등 7개 시민단체는 빅데이터 시대의 개인정보 원칙을 제시하고, 국회에 발의된 관련 법에 대한 의견을 국회와 4차산업혁명위원회에 제출했다. 빅데이터 시대의 개인정보 활용에 대한 사회적 요구가 커지며, 개인정보 활용과 개인정보 보호에 대한 논란이 거세지고 있다. 빅데이터 산업 활성화하기 위해서는 신뢰할 수 있는 개인정보 체계가 마련돼야 한다. 이에 시민사회는 개인정보의 안전한 활용을 위한 ‘빅데이터 시대의 개인정보 원칙’을 다음과 같이 제시한다.

첫째, 개인정보 체계와 개인정보 감독기구를 일원화해야 한다.

정보통신망법, 신용정보보호법, 위치정보법 등 여러 법률로 나누어져 있는 개인정보 보호 체계를 「개인정보보호법」으로 통합하고, 행정안전부, 방송통신위원회, 금융위원회 등에 분산된 개인정보 감독 기능을 개인정보보호위원회로 일원화해 독립성을 보장해야 한다.

국회에는 개인정보보호 체계를 「개인정보보호법」으로 일원화하고, 개인정보보호위원회를 중앙행정기관으로 격상해 개인정보 감독기구의 권한을 부여하는 다수의 개정안을 상정되어 있다. 빅데이터 시대의 안전한 개인정보 활용을 위해서는 개인정보 관련 법 정비 및 감독기구 일원화가 시급히 이루어져야 한다. 개인정보보호위원회의 권한 강화와 독립성 보장은 문재인 대통령의 공약이자 국정과제이다. 또한, 개인정보보호위원회는 전문성과 업무량을 고려해 최소 3명 이상의 상임위원으로 구성해야 한다.

둘째, 개인정보의 관련개념을 ‘개인정보, 가명정보, 익명정보’로 구분하고, 각각 적합한 활용과 보호 방식을 적용해야 한다.

가명정보는 일부 식별자가 제거되어 직접적인 식별이 불가능하여도 다른 정보와 결합하면 식별이 가능해지는 정보이며, 익명정보는 다른 정보와 결합하여도 더는 개인을 식별할 수 없는 정보이다. 가명정보는 개인정보보호법 적용을 받아 적절한 안전조치를 전제로 일정한 조건에서 동의 없이 활용할 수 있고, 익명정보는 개인정보보호법의 적용을 받지 않고 자유롭게 이용할 수 있다.

해커톤 합의에 따라 국회에 발의된 ‘개인정보 비식별조치 가이드라인’을 법제화하는 다수의 개정안은 폐기되어야 한다. 또한, 개인정보 정의를 축소하거나 개인정보보호법 적용을 받지 않는 익명정보 개념 도입도 부적절하다.

셋째, 가명정보 활용은 공익적 목적에 한정해야 하고, 안전조치가 전제되어야 한다

정보 주체의 동의 없는 가명정보 활용은 공익적 목적에 한정해야 하고, 반드시 안전조치가 전제되어야 한다. 공익적 목적으로 가명처리를 하더라도 최소한의 정보만 제공되어야 하며, 익명처리를 통해서 이러한 목적이 달성될 수 있으면 익명처리를 우선 고려해야 한다.

가명정보 활용 범위를 규정하고 있는 다수의 개정안이 국회에 상정되어 있다. 시장조사 등 사적 이익을 위해 정보 주체의 권리를 제한하는 것은 부당하며, 통계작성 및 학술연구 등 공익적 목적에 한정하는 것이 바람직하다. 아울러 개인정보 침해에 대한 예방과 신속한 피해구제를 위해 집단소송제와 징벌적 손해배상제 도입, 배상명령제와 과징금 상향이 필요하다.

빅데이터 시대의 개인정보 활용에 대한 사회적 합의가 진행되는 상황에서, 정부 부처는 관련 법과 감독기구에 정비 없이 제각각 개인정보 활용정책을 쏟아내고 있다. 4차 산업혁명과 빅데이터라는 허울 좋은 개념에 매몰된 보여주기식 개인정보 정책은 정보 주체의 권리만 침해할 뿐 공공의 이익확대에 도움이 되지 않는다. 개인정보 활용에 대한 정보 주체의 신뢰가 없다면, 결국 빅데이터의 활용도 제한될 수밖에 없다. 안전하고 신뢰할 수 있는 개인정보 체계를 마련하는 것이 빅데이터 산업 활성화의 첫걸음이다.

2018.05.17.

경제정의실천시민연합, 녹색소비자연대, 서울YMCA, 소비자시민모임,
진보네트워크센터, 한국소비자연맹, 함께하는시민행동

■ 첨부 : 빅데이터 시대의 개인정보 관련 시민사회 의견서

정부의 유럽연합(EU) 개인정보 보호수준 적정성 평가 추진에 대한 시민사회 의견서

유럽연합에서 2018년 5월 25일부터 일반개인정보보호규정(GDPR)이 시행되었다. 기존의 95년 개인정보보호지침과 달리 GDPR은 EU 역내에서 법과 같이 직접적인 구속력을 가진다. GDPR은 EU의 법률이지만 한국을 비롯한 전 세계 기업에게 영향을 미친다. EU 내에서 사업장을 운영하는 기업은 물론, EU 시민에게 재화나 서비스를 제공하는 기업이라면 모두 적용 대상이 되기 때문이다. 이에 따라 개별 기업 차원의 GDPR 대응도 필요하지만, 한국 정부도 유럽에 진출하는 국내 기업의 지원을 위해 EU 적정성 평가를 추진하고 있다.

시민사회는 EU 적정성 평가 추진이 국내 개인정보 보호수준을 국제적인 규범에 맞게 개선하는 계기가 될 수 있다고 생각하며, 한국 정부의 EU 적정성 평가 추진을 기본적으로 환영하는 바이다. 그러나 현재 한국 정부가 추진하는 부분 적정성 결정 추진은 오히려 국내 개인정보 보호법제 개선의 발목을 잡을 수 있다. 그 보다는 국내 개인정보 보호법제를 국제 규범에 맞게 개선한 후, 전체 적정성 결정을 추진하는 것이 보다 효과적이며 한국의 국제적 위상을 높이는 데에도 기여할 수 있다고 생각한다.

이에 한국 정부의 EU 적정성 평가 추진과 관련하여 다음과 같이 시민사회의 의견을 밝힌다.

1. 상향된 개인정보 국제규범 형성의 계기

EU는 자국 시민의 개인정보가 유럽 역외로 이전되는 경우, 원칙적으로 개인정보를 이전받는 제3국이 적정한 개인정보 보호수준을 보장할 것을 요구하고 있다. EU의 법제와 동일할 필요는 없지만, EU에서 보장하고 있는 것과 ‘실질적으로 동등한’ 수준으로 개인의 자유와 권리를 보장해야 한다는 것이다. 이에 EU 집행위원회는 제3국의 요청에 의해 해당 국가의 개인정보 보호수준을 평가하고 적정성 결정을 내린다. 물론 개별 기업 차원에서는 적절한 안전조치의 제공 등 유럽 시민의 개인정보를 자국으로 이전할 수 있는 또 다른 방법이 있지만, 국가 차원에서 적정성 결정을 받을 경우 해당 국가의 기업은 추가적인 조치 없이도 개인정보를 이전할 수 있다.

세계화된 디지털 정보 사회에서 재화나 서비스의 제공을 위한 개인정보의 수집과 이전은 피할 수 없다. 그러나 제3국으로 개인정보가 이전될 경우 본국보다 개인정보 보호수준이 낮은 나라로 이전될 경우에 정보주체의 권리가 침해될 가능성이 높아진다. 따라서 개인정보의 국외 이전 문제는 비단 EU 시민만의 문제가 아니며, 우리 국민의 개인정보가 제3국으로 이전될 때에도 안전하게 보호될 수 있도록 우리 역시 관련 법제를 정비할 필요가 있다.

개인정보의 국제적 이동이 활발해지면서 각 국의 개인정보 보호법제의 상호운용성이 중요해지고 있다. 즉, 개인정보의 보호를 위한 국제적인 규범이 형성되고 있으며, 이는 각 국의 개인정보 보호수준을 향상하는 계기가 될 수 있다. 그렇지 않으면, 개인정보가 추가적으로 이전되면서 개인정보 보호에 허점이 발생할 수 있고, 오히려 개인정보를 보호하지 않는 기업이나 국가가 이익을 볼 수 있기 때문이다. EU 집행위원회도 EU는 세계적으로 높은 수준의 상호 호환가능한 개인정보 보호 표준 증진을 위해 국제파트너와 논의를 지속할 것임을 밝히고 있다.[1]

우리는 EU 적정성 평가 신청을 계기로 한국의 개인정보 보호수준을 한단계 높이는 계기가 되기를 바란다. 다행히 한국 정부는 우리나라 국민의 개인정보가 제3국으로 이전하는 것과 관련하여 해당 국가의 개인정보 보호수준이 적정한 수준이어야만 한다는 내용으로 개인정보보호법 개정도 추진하고 있다고 한다. 시민사회는 정부가 EU 일반개인정보보호규정에 의한 적정성 평가를 추진하고, 우리 개인정보보호법제에 ‘적정성 평가’ 신설을 추진하는 것을 적극 환영한다.

2. EU 적정성 평가에 비추어 본 국내 개인정보 보호체계 개선 과제

한국의 개인정보 보호법제는 강하다고 알려져 있지만, 시민사회단체인 우리가 보기에는 많은 한계를 가지고 있다. 사회 전반을 관할하는 개인정보보호법과 더불어 정보통신망법, 신용정보법, 위치정보법 등 개별 영역을 관할하는 법이 존재하는데, 중복되고 유사한 조항들이 다수 존재하여 수범자의 혼란을 야기하고 있다. 무엇보다 독립적이고 적절한 권한을 가진 개인정보 감독기구의 부재는 큰 문제이다.

개인정보보호위원회를 비롯하여 행정안전부, 방송통신위원회, 금융위원회 등 다수의 감독기구가 있지만, 개인정보보호위원회는 정책의 심의, 의결 권한 및 분쟁조정을 관할하고 있을 뿐 인사권, 예산권이 없어 독립성이 없고 감독기구로서 필요한 집행권한도 없다. 행정안전부는 집행권한을 가지고 있지만 정부부처이기 때문에 독립성이 없고, 방송통신위원회와 금융위원회는 주된 업무가 해당 분야의 산업 발전과 규제를 동시에 담당하고 있어 종종 산업 발전을 명분으로 개인정보의 보호를 약화시킨다. (최근 <개인정보 비식별조치 가이드라인>이 대표적인 사례이다.)

또한, 감독기구가 분산되어 있기 때문에, 각 감독기구는 전문성을 갖기 힘들고 효율적인 집행에 한계가 있다. 우리 시민사회는 오래 전부터 개인정보보호위원회의 독립성을 보장하고 감독기구로서 필요한 권한을 부여함으로써, 개인정보보호위원회로 감독기구를 일원화할 것을 요구해왔다. 사실 한국정부는 이미 오래 전에 EU 적정성 평가를 추진한 바 있지만, 개인정보 감독기구의 독립성 문제로 EU로부터 부적격 통지를 받은 바 있다.

정보수사기관의 개인정보 접근 문제도 필요성과 비례성 요건을 갖추고 있지 못하고 있다. 예를 들어, 공공기관이 보유한 개인정보와 통신사들이 보유한 이용자의 가입자 정보가 영장없이 수사기관에 제공되고 있다. 특정 기지국에 접속한 이용자의 개인정보가 무분별하게 제공되거나 실시간 위치추적이 허용되는 등 통신사실확인자료에 대한 보호도 충분하지 않다. 정보수사기관의 개인정보 수집에 대한 독립적인 감독기구의 감독은 제대로 이루어지고 있지 않다. 유엔 시민적 정치적 권리규약 위원회(UN Human Rights Committee)도 한국정부에 영장없는 통신자료 제공, 기지국 수사, 국정원의 감청과 이에 대한 불충분한 규제 등에 대한 개선을 권고한 바 있다.

빅데이터 산업 활성화를 명분으로 법적 근거 없이 <개인정보 비식별조치 가이드라인>에 따라 (일부 비식별조치 된) 개인정보가 기업 간에 공유되고 있다. 개인정보보호법은 개인정보의 국외 이전 시 정보주체의 동의를 받고 있지만, EU의 적정성 결정과 같이 개인정보 보호수준이 한국보다 미흡한 국가로 개인정보가 이전되지 못하도록 규제하지는 않고 있다. 또한, 개인정보보호법은 프로파일링이나 자동화된 결정과 관련된 규정을 포함하고 있지 않다.

이와 같이 많은 문제점들로 인해 국내 개인정보 보호법제는 EU 적정성 평가를 통과하기 힘들다. 그러나 비단 EU 적정성 결정을 위해서가 아니라, 우리 시민들의 개인정보 보호를 위해서 국내 개인정보 보호법제는 국제적인 개인정보 보호규범에 맞게 개선될 필요가 있으며, 우리 시민사회는 이를 지속적으로 요구해왔다.

3. 부분 적정성 평가의 문제점과 한계

앞서 언급한 바와 같이, 한국 정부는 이미 EU 전체 적정성 평가를 추진한 바 있으나 감독기구의 독립성 문제로 EU로부터 부적정 통보를 받은 바 있다. 이에 한국 정부는 정보통신망법 중심의 부분 적정성 평가를 추진하고 있다. 그러나 이 역시 여러가지 문제점을 안고 있어서 EU로부터 적정성 결정을 받을 수 있을지도 의문이지만, 설사 적정성 결정을 받더라도 그 적용이 매우 제한적이라는 한계를 가질 수밖에 없다.

정보통신망법은 영리를 목적으로 한 ‘정보통신망 서비스제공자’가 수집하는 이용자의 개인정보로 그 관할 범위가 제한된다. 예를 들어 유럽 시장에 진출한 국내 정보통신서비스 제공자가 유럽의 피고용인의 개인정보를 수집하여 국내에서 통합 처리하는 경우, 오프라인 매장을 통해 수집한 고객정보의 처리, 보건의료나 금융 서비스 목적의 개인정보 수집 등도 정보통신망법의 적용을 받지 않는다.

또한, 정보통신망법에 관련 규정이 없어 개인정보보호법이 적용되거나(예를 들어, 개인정보보호법 제24조는 고유식별정보의 처리 제한을 규정하고 있는데, 정보통신망법에는 관련 규정이 없다), 국세청, 수사기관 등 정보통신망 외로 개인정보가 제공될 경우, 방송통신위원회는 감독권한을 행사하는데 한계가 있다.

또한, 우리는 부분 적정성 평가가 이루어질 경우 현재의 복잡한 개인정보 보호체계가 고착화되지 않을지 우려한다. 방송통신위원회가 부분 적정성 평가가 진행되고 있음을 명분으로 개인정보보호법으로의 법제 일원화나 개인정보보호위원회로 자신의 권한을 이양하는 것을 거부할 수 있기 때문이다. 부분 적정성 평가는 사실상 EU의 적정성 결정을 인정받기 힘들 뿐만이 아니라, 국내 개인정보 보호법제의 신속한 개선에도 장애가 될 수 있다.

4. 결론

따라서 한국의 시민사회단체는 한국 정부가 부분 적정성 평가를 추진하는 것보다 개인정보 보호법제를 개선한 후 전체 적정성 평가를 추진하는 것이 바람직하다고 생각한다. 우리는 한국과 유럽연합이 상호 전체 적정성 결정을 하고 함께 전 세계적으로 개인정보 보호수준의 향상과 표준화를 위해 기여할 수 있기를 바란다.

[1] European Commission, Digital Single Market – Communication on Exchanging and Protecting Personal Data in a Globalised World Questions and Answers, 2017.1.10
<끝>

경실련, 서울 YMCA, 소비자시민모임, 진보네트워크센터, 한국소비자연맹, 함께하는시민행동

개인정보 보호체계 개선없는 빅데이터 활성화 동의할 수 없다.

– 정부부처 이기주의로 개인정보보호 난맥상… 제 머리는 깎지 않는 정부부처

– 마이데이터(MyData) 사업은 개인 건강검진 기록의 민간 공유를 담고 있어 우려

– 개인정보 감독기구를 독립적인 개인정보보호위원회로 일원화하라

6월 26일, 대통령직속 4차 산업혁명위원회는 ｢데이터 산업 활성화 전략｣ 을 심의, 의결하였다. 이 전략은 마이데이터 시범사업 실시, 빅데이터 전문센터 육성, 개방형 데이터 거래 기반 구축, 빅데이터 선도기술 확보 등을 내용으로 하고 있다. 이와 함께, 헬스케어 6대 프로젝트 추진 현황도 보고되었다. 한편, 6월 27일에는 대통령 주재의 제2차 규제개혁 점검회의가 예정되어 있었다. 준비 미흡으로 취소되었다고 하지만, 이 회의에서는 ‘빅데이터 활성화를 위한 개인정보 보호 분야 규제’가 논의될 예정이었다.

우리 시민사회단체들은 빅데이터 산업 활성화를 명분으로 한 개인정보 규제 완화는 서두르면서 개인정보 보호를 위한 제도적 환경 구축은 외면하고 있는 정부의 움직임을 우려하지 않을 수 없다. ｢데이터 산업 활성화 전략｣은 ‘데이터를 가장 안전하게 잘 쓰는 나라’를 비전으로 하고 있지만, 안전한 활용을 위해 필수적인 개인정보 감독체계의 개선 문제는 포함하고 있지 않다. 제2차 규제개혁 점검회의에서도 개인정보 활용을 위한 규제 완화만을 다룰 예정이었고, 개인정보 감독체계 개선 문제는 의제에 포함되어 있지 않았다고 한다.

‘개인정보 보호체계 효율화’는 문재인 대통령의 주요 국정과제였다. 그러나 정부부처들은 빅데이터 활성화를 위한 개인정보의 활용만을 얘기할 뿐, 정작 개인정보 감독체계의 효율화는 뒷전으로 밀어두고 있다. 이는 자신의 권한을 빼앗기지 않으려는 부처 이기주의 때문이다.

우리 시민사회단체들은 빅데이터 시대 개인정보의 안전한 활용의 전제 조건으로 개인정보 보호법제와 감독기구의 일원화가 선행되어야 한다고 거듭 촉구한 바 있다. 국내 개인정보 보호법제는 개인정보보호법을 비롯하여 정보통신망법, 신용정보법 등으로 분산되어 있고 다수의 중복, 유사 조항을 포함하고 있어 수범자들의 혼란과 중복규제를 야기하고 있기 때문이다. 또한, 감독기구 역시 개인정보보호위원회, 행정안전부, 방송통신위원회, 금융위원회 등으로 분산되어 있고 개인정보를 실효성 있게 보호하기 위한 효율적인 감독이 이루어지지 않고 있기 때문이다.

개인정보 보호를 위한 환경이 정비되지 않은 상황에서, ｢데이터 산업 활성화 전략｣에서 제시하는 바와 같이 개인정보의 거래를 활성화하겠다는 것은 무척 위험한 발상이다. 국민 개인의 건강검진 기록을 기업과 민간이 활용하도록 허용하는 마이데이터 사업은 이명박, 박근혜 정부를 거쳐 추진된 의료민영화의 핵심 내용중 하나인 개인질병정보의 민간 공유 및 활용, 건강관리서비스 민영화 정책과 맥을 같이 하고 있다. 또한 정보주체의 자기정보통제권을 실질적으로 보장하기 보다는 사실상 개인정보 브로커를 양성화하는 수단이 될 수 있다. 민간‧공공을 연계한 개방형 데이터 거래 기반 사업은 시민사회의 반대에도 불구하고 결국 데이터 연계 정책을 밀어붙이려는 것은 아닌지 우려스럽다.

우리는 국민의 정보인권에 대한 고려 없이 산업 활성화만을 밀어붙이던 박근혜 정부의 실책(규제프리존법과 개인정보 비식별조치 가이드라인 등)을 문재인 정부가 되풀이하지 않기 바란다. 이를 위해서는 청와대가 중심을 잡고 각 정부부처의 이기주의를 통제하면서 조정역할을 해야한다.

시민사회단체는 현재 행정안전부, 방송통신위원회, 금융위원회 등으로 분산된 개인정보 감독권한을 개인정보보호위원회로 일원화하고 개인정보보호위원회의 독립성을 강화하는 방향으로 개선되지 않는 한, 개인정보의 활용을 위한 어떠한 계획도 동의할 수 없다. 개인정보보호위원회의 독립성과 권한 강화 없이 ‘개인정보의 안전한 활용’이란 말장난에 불과하기 때문이다. 제2차 규제개혁 점검회의가 다시 열린다면, 개인정보 보호체계 효율화가 핵심적인 의제가 되어야 한다.<끝>

건강과대안, 건강권실현을위한보건의료단체연합 (건강사회를위한약사회 건강사회를위한치과의사회 노동건강연대 인도주의실천의사협의회 참의료실현청년한의사회), 건강세상네트워크, 경실련, 서울 YMCA, 소비자시민모임, 언론개혁시민연대, 의료민영화저지와 무상의료 실현을 위한 운동본부, 진보네트워크센터, 한국소비자연맹, 함께하는시민행동