행정자치부의 주민등록증 일제교체 계획에 대한 입장
청와대발 빅데이터 활성화 정책 중단하라!
비선실세와 유착 의혹 받는 대기업이 중심이 된 청와대발 빅데이터 정책 신뢰할 수 없다
개인정보 보호라는 전 세계 추세에 맞춰 처음부터 국회에서 재논의해야
연일 국민들에 충격적인 소식이 계속되고 있다. 최순실이라는 개인이 박근혜 대통령과 청와대를 좌지우지 해 왔다는 것이다. 무능하고 부적절한 인사가 계속되고 문화체육관광부를 비롯한 정부부처들의 정책추진 체계도 무너졌다. 이제 국민들은 세월호 사건 진상규명을 비롯해 그간 의문스러웠던 국가 정책들의 배경을 전면 의심할 수밖에 없는 상황이다.
빅데이터 정책도 그렇다. 2011년부터 2014년까지 병원과 약국을 다녀간 4천4백만 국민 처방정보 50억 건이 이미 IMS헬스라는 미국 빅데이터 업체에 팔렸고 그렇게 팔린 한국 국민 주민번호의 암호 알고리즘을 지난해 하버드대 연구진이 다 풀어버린 상황이다.
그럼에도 불구하고 정부는 아무런 조치를 취하지 않고 있다. 아니, 오히려 한술 더 떠 허술함이 드러난 방식의 빅데이터 산업을 권장하며 국민들의 건강정보 5조 건을 시장에 공개하고 나섰다. 나아가 금융실명제 등 공익적 목적으로 금융기관들이 보유하고 있는 ‘신용정보’, 이동통신 부정방지라는 공익적 목적을 위해 통신사들이 보관하고 있는 정확한 ‘위치정보’, 그밖에 수많은 개인정보들을 모두 거래해야 경제가 산다고 목소리를 높인다.
지난 2014년 카드3사에서 국민 금융정보 1억 건이 유출되고 나서 개인정보 보호의 "비정상의 정상화"를 하겠다고 선언했던 목소리는 지금 정부 안에서 찾아볼 수 없다. 개인정보 보호 컨트롤타워로 재탄생하겠다던 개인정보보호위원회는 존재감이 없고, 개인정보 보호법률들을 주무하는 행정자치부, 방송통신위원회는 오히려 법률 완화에 앞장서고 있는 형국이다.
지난 4월 14일 유럽은 개인정보보호 일반규정(GDPR)을 제정하였고, 10월 27일 미국은 사상 처음으로 통신법에 옵트인 규정을 신설하였다. 세계 각국은 빅데이터 시대 국민들의 개인정보를 보호하기 위한 제도정비에 나선 것이다. 반면 우리 정부와 기업은 우리나라 개인정보 보호 수준이 지나치게 강하다며 이를 완화하기 위해 온 힘을 집중하고 있다.
그리고 이 비정상의 배경에는 청와대가 있다. 지난 5월 18일 박근혜 대통령이 기업들과 규제개혁장관회의를 개최한 후, 평소에는 개인정보 보호를 주무하던 행정자치부가 6월 30일 개인정보 보호를 완화하는 범정부 가이드라인을 급조해 발표했다. 8월 30일에는 보건복지부가 국민건강복지를 위해 건강보험공단, 건강심사평가원이 보유한 국민 건강정보 5조건을 모두 공개하겠다는 과감한 계획을 발표했다. 방송통신위원회는 국민 위치정보를, 금융위원회는 국민 신용정보를 모두 공개하겠다고 한다.
도무지 말이 안 되는 상황이다. 버젓이 개인정보 보호 법률들이 존재하는 상황에서 이는 불법이다. 이에 대해 정부가 내놓은 해법은 '비식별화'이다. "가명" 등 비식별화 처리를 하면 "개인정보가 아닌 것으로" 정부가 "추정"해줄 테니 일단 팔아버리라고 한다. 미국의 일개 빅데이터 기업에서도 우리 국민의 주민번호와 민감한 처방정보를 이미 다 가지고 있는데 땡땡땡(OOO) 표시에 불과한 몇 가지 조치로 개인정보가 보호될 것이라는 거짓말이 횡행한다.
이뿐만 아니다. 과학기술, 정보방송통신 등 소위 미래 성장동력에 대한 대응전략을 짜기 위해 박근혜 정부가 신설한 미래전략수석 비서관 인사가 신설초기부터 지금까지 거대 통신사 경영진 출신 일색이다. 중요한 국가정책을 결정해야 하는 이 자리를 이해 당사자인 통신사 출신들이 독식한다면 정책의 방향이 누구를 위한 것일지는 명약관화하다.
그간 임명된 4명 중 3명의 미래전략수석이 KT 사외이사(윤창번, 현대원), SK 사장(조신) 출신이다. 이런 배경에서 청와대는 통신사 등 친기업적인 정책을 추진해 온 것이다. 태생부터 통신 소비자의 권리, 개인정보와 같은 인권을 기업이익에 우선할 구조가 아니었던 것이다.
우리는 빅데이터 정책을 무조건 반대하는 것이 아니다. 예컨대, 특정 개인을 다시는 식별할 수 없는 완전 익명처리된 빅데이터 교통정보는 공공정책에 유용하게 사용될 수 있다. 이는 현행 개인정보 보호법제18조 제2항4호에서도 보장하고 있는 내용이다.
그러나 청와대에 의해 추진되는 빅데이터정책은 이와 다르다. 현재 정부와 기업이 말하는 규제완화는 개인정보보호법에서 허용하는 ‘완전한 익명'이 아니라 기업들에 유용한 개인정보를 자유롭게 거래하기 위해서 개인정보보호법을 우회하겠다는 것이다. 이에 따르면, 앞으로 보험사는 위치정보, 건강정보 등 다양한 개인정보를 수집해서 자기 고객들의 위치, 질병 등을 추론할 수 있게 되었다. 그러나 당사자는 모른다. 헌법이 보장하고 있는 자기 개인정보에 대한 정보주체의 동의권은‘불필요한 규제'로 제거 대상이 된 것이다.
결론적으로 현재 추진하는 청와대발 빅데이터 정책은 모두 중지돼야 한다. 청와대는 지금까지 정상적인 민주적 절차에 따라 위임된 권력이 아닌 ‘비선실세’에 따라 국정이 좌지우지되었다는 증거가 넘쳐나고 있다. 비선실세로 알려진 최순실에 의해 급조된 재단들에 아무런 보상없이 수백억을 기부했을 리가 없다. 그리고 이들 기업이 앞장서서 추진하는 빅데이터 사업을 국민들은 신뢰할 수 없다. 일부 기업이 비선실세와 유착한 대가로 국민들의 개인정보를 손쉽게 판매할 수 있는 권한을 부여 받은 게 아닌지 의심을 떨쳐낼 수 없다.
이에 우리 10개 단체들은 비식별화 가이드라인을 필두로 정부와 기업이 지금까지 추진해 온 초법적인 개인정보 활용 정책들을 중단할 것을 강력하게 촉구한다. 나아가 20대 국회가 최근 미국이나 유럽의 조치처럼 빅데이터 처리로부터 국민의 동의권도 함께 보장하기 위해 이를 제고하는 정책을 처음부터 재논의할 것을 요구한다.
2016년 11월 1일
경실련 시민권익센터, 진보네트워크센터, 참여연대, 건강과 대안, 건강권실현을위한보건의료단체연합, 건강사회를위한약사회, 건강사회를위한치과의사회, 노동건강연대, 인도주의실천의사협의회, 참의료실현청년한의사회
청와대 등에 빅데이터 시대 개인정보 감독 체계에 대한 시민사회 의견 제출
분산된 개인정보 보호법제를 개인정보보호법으로 일원화
국제규범에 부합하도록 개인정보보호위원회의 독립성과 권한 강화
이른바 ‘4차 산업혁명’과 개인정보 보호와 관련한 논의가 사회적으로 크게 일고 있다. 참여연대, 건강과대안 , 건강사회를위한약사회, 건강사회를위한치과의사회, 경실련, 노동건강연대, 미디액트, 서울YMCA 시청자시민운동본부, 언론연대, 인도주의실천의사협의회, 진보네트워크센터, 참의료실현청년한의사회, 함께하는시민행동은 오늘(2월12일) 빅데이터 시대 국민의 개인정보 보호를 위하여 개인정보 감독 체계의 강화가 시급하다고 보고 대통령비서실, 대통령직속 4차산업혁명위원회, 국정과제추진점검단, 국회 4차산업혁명특별위원회, 국회 행정안전위원회, 국회 과학기술정보방송통신위원회, 개인정보보호위원회, 국가인권위원회에 현재 여러 개별법에 분산된 개인정보 보호법체를 개인정보보호법으로 일원화하고 국제규범에 부합하도록 개인정보보호위원회의 독립성과 권한을 강화해야 한다는 등의 의견을 제출하였다.
보도자료[원문보기/다운로드]
의견서 전문
빅데이터 시대 개인정보 감독 체계에 대한 시민사회 의견
문재인 대통령은 후보 시절부터 개인정보 감독 체계를 현재보다 강화할 것을 국민 앞에 약속하였습니다. 공약에는 “개인정보 보호 체계 효율화” 및 “개인정보보호위원회의 위상 강화”가 포함되어 있고 국정과제로서 “2018년부터 개인정보 보호 거버넌스 강화 및 개인정보 보호 체계 효율화”를 제시한 바 있습니다. 그러나 아직까지 국정과제 이행을 위한 구체적인 조치가 가시화되지 않았다는 점이 크게 아쉽습니다.
개인정보 감독 체계의 독립성과 전문성 보장은 유엔을 비롯한 국제사회가 권장하는 규범이기도 합니다. 유엔은 일찍이 1990년 총회에서 “모든 국가들은 열거된 원칙들의 준수를 감독할 기관을 국내법에 따라 설치한다. 이 기관은 개인정보 처리를 담당하는 개인 혹은 기관에 대해 불편부당성, 독립성, 기술적 역량을 제공해야 한다.”고 선언하였고(UN 컴퓨터화된 개인 정보파일의 규율에 관한 지침) 다시금 2013년 총회에서 “통신감시, 감청, 개인정보 수집 등 국가감시의 투명성 및 책임성을 보장할 수 있는 독립적이고, 효과적인 국내적 감독 체제를 수립 혹은 유지할 것”을 각국 정부에 권고하는 결의안을 채택하였습니다(디지털시대 프라이버시권 결의안).
세계 여러 나라가 빅데이터 처리로부터 국민의 권리를 보호하기 위해 개인정보 감독 체계를 정비하고 있습니다. 그러나 우리나라에서는 개인정보 관련법이 개인정보보호법, 정보통신망법, 신용정보법 등으로 분산되어 있고 개인정보 감독기구 또한 개인정보보호위원회, 행정안전부, 방송통신위원회, 금융위원회 등으로 분산되어 있습니다. 카드3사 개인정보 유출사태가 국민을 경악케 한 이후로도 홈플러스 사건 등 기업이 소비자의 개인정보를 무단으로 판매하는 일이 증가하여 국민의 정보인권이 침해당하고 있는데도 효율적으로 대처하지 못하고 있습니다. 행정안전부나 방송통신위원회 등 개인정보 관련 부처들은 지난 박근혜 정부에서 개인정보의 보호 뿐 아니라 그 이용을 촉진하는 업무를 함께 하면서 산업 활성화를 위해 개인정보 보호를 완화하려 했습니다.
국제규범에 비추어 보았을 때 현재 우리나라의 개인정보 보호기관은 감독기구로서 독립성과 권한이 모두 부족합니다. 행정안전부는 정부부처 조직이므로 독립성이 결여되어 있으며, 개인정보보호위원회는 인사, 예산의 독립성과 직권조사권 등의 권한이 제한적이기 때문입니다. 실제로 2016년 10월 유럽연합은 한국 개인정보 보호기관의 독립성과 권한 미비에 대하여 부적격으로 평가한 바 있습니다. 그런데도 정부에서는 개인정보보호위원회의 독립성과 권한을 국제기준에 부합하도록 전체적으로 강화하기보다 방송통신위원회가 별도로 ‘부분 적정성 평가’를 추진하는 등 개인정보보호라는 가치보다 부처 이기주의적인 모습만을 보이고 있습니다.
특히 대통령직속 개인정보보호위원회의 주요 의견이 수용되지 않고 있다는 것은 큰 문제입니다. 개인정보보호위원회는 「개인영상정보 보호법」의 제정에 대하여 반대하고(제2017-01-07호) 비식별화 관련 법안들에 대한 반대 의견을 여러 차례 발표하였으며(제2016-23-83호 등) 유럽연합 부분적정성 평가에 반대하고 위원회 독립성 보완을 권고(제2017-25-198호)하였으나, 행정안전부 및 방송통신위원회 등 관련 부처가 이를 이행하고 있지 않습니다.
개인정보보호위원회가 국제규범에 부합하는 개인정보 감독기구로 바로 서기 위해서는 중앙행정기관에 해당하는 지위가 부여되고 예산 및 인사의 독립성이 확보되어야 하며, 직권조사, 시정(제재)권을 비롯한 권한 및 직무가 보완되어야 합니다. 또한 분산된 개인정보 관련법제를 개인정보보호법으로 일원화하고, 개인정보 감독기구 역시 독립전담기관으로서 개인정보보호위원회로 통합할 필요가 있습니다.
빅데이터 시대의 국가는 국민의 정보인권을 보호하고 기업의 무분별한 개인정보 처리로부터 정보주체인 소비자와 이용자의 권리를 보장할 수 있는 효율적이고 책임있는 대책을 강구해야 합니다. 개인정보 보호 체계의 효율화와 감독 체계 강화는 이를 위한 기반이자 국민들에게 약속한 국정과제입니다. 이에 우리 시민사회단체들은 개인정보보호위원회가 국제규범에 부합하는 독립성과 전문성을 갖출 수 있도록 개인정보보호법 및 정보통신망법 등 관련 법률 개정은 물론 정부조직개편을 빠른 시일 내 추진할 것을 요구합니다.
2018.2.12
참여연대, 건강과대안 , 건강사회를위한약사회, 건강사회를위한치과의사회, 경실련, 노동건강연대, 미디액트, 서울YMCA 시청자시민운동본부, 언론연대, 인도주의실천의사협의회, 진보네트워크센터, 참의료실현청년한의사회, 함께하는시민행동
정보를 통한 해방 혹은 속박
글 | 박경신 (오픈넷 이사, 고려대 법학전문대학원 교수)
최근 과학기술정보통신부가 ‘인공지능 R&D 챌린지’를 열었다. 뉴스 데이터 6000개 중에서 ‘가짜 뉴스’를 찾는 기술력을 평가해 우수 연구팀 3개 팀을 뽑아 연구비 15억원을 지원했다. 2위를 차지한 아이와즈팀 강장묵 교수(남서울대)는 “1년 동안 신문 기사 130만 건을 기계 학습하며 이룬 규칙 기반의 뉴스 기사 분석”을 성공 비결로 밝혔다.
미국 트럼프 대통령 당선과 함께 가짜 뉴스는 인터넷 및 정보기술이 우리 삶을 파괴하는 방식 중 하나로 지적되었는데, 그 가짜 뉴스의 질곡을 바로 인터넷과 정보기술이 해소할 수 있는 가능성을 보여준다. 이 미담의 핵심에는 신문 기사 130만 건, 즉 빅데이터가 있다. 인공지능이 최근 발전하는 것은 인공지능을 훈련시키는 재료가 되는 빅데이터의 출현에 힘입은 바 크다.
전혀 상관없어 보이던 데이터베이스(DB)들을 합쳐, 전에는 몰랐던 통찰을 유추해낼 때 빅데이터는 사회적으로 더욱 유용하다. 예를 들어 건강 정보와 휴대전화 사용 기록을 연결하면 휴대전화에서 나오는 전자파와 암 발병 간의 관계를 밝혀낼 수도 있다. 하지만 이 시나리오에서 우리가 유의할 점이 있다. 건강 정보 DB는 긴요한 의료 서비스를 받기 위해 치료 목적으로 병원에 제공한 정보를 축적해 만들어진다. 그런데 휴대전화 제조사가 안전한 휴대전화 개발에 필요하다며 이를 이용한다면 환자의 사생활 비밀 침해라고 볼 수 있다. 자발적으로 정부기관이나 회사에 제공한 것이라도 정보 제공의 조건과 목적에 반하게 이용되면 정보 유출, 즉 ‘감시’와 다를 바 없다. 이를 막기 위해 자신의 정보를 타인에게 제공할 때 그것이 어떤 목적으로 누구에게 이용되고 공유되는지 통제할 수 있어야 한다(‘개인정보 자기결정권’). 물론 그 정보가 누구에 대한 것인지 알 수 없게 된 상태, 즉 ‘익명화’되어 유출된다면 사생활 비밀 침해는 없을 것이고 개인정보보호법 위반 논란도 사라진다.
서로 다른 목적으로 축적되어 있는 DB들의 상호 결합을 위해서는 적어도 각 DB의 엔트리(명단) 중에서 동일인의 데이터들을 연결시키는 작업이 필요하다. 예를 들어 A의 휴대전화 사용 기록과 B의 암 발병 여부를 연결해놓은 데이터는 ‘밀려 쓴 답안지’처럼 쓸모없어진다. 그렇다고 실명 정보를 외부에 제공하면 개인정보보호법 위반이다. 이런 이유로 DB 결합은 먼저 각 DB에서 이름과 주민등록번호 등 이른바 ‘개인식별 정보’를 가명으로 전환한다(보통은 일방향 해시함수). 그다음 동일한 가명을 가진 DB 엔트리들을 결합한 후 가명을 떼어낸다. 원본 데이터를 가진 사람은 데이터를 비교해 정보 주체를 찾아낼 수 있으므로 결합된 DB를 익명화하는 기술을 쓴다.
‘빅데이터 개인정보 비식별화 공론화위원회’ 필요
여기에 대해 두 가지 견해가 대치한다. 한쪽에서는 가명 생성 공식을 아는 사람이 존재하는 한 ‘가명화’된 정보는 항상 재식별화될 수 있으므로 익명화가 아니라고 본다. 이는 유럽의 개인정보보호법이 취하는 태도와 비슷한데, 정보 주체들의 동의 없이 새로운 목적으로 그들에 대한 다른 정보와 결합하는 순간 이미 불법적인 ‘목적 외 이용’에 해당되어 불가하다는 것이다. 다른 쪽에서는 신뢰받는 제3자가 가명 생성 방식의 비밀을 유지하면서 DB 결합 서비스를 대신하고, 이후 최대한 익명화 작업을 한다면 어느 누구도 혼자서는 결합 DB를 용이하게 재식별화할 방법이 없으므로 개인정보보호법 위반이 아니라고 주장한다.
우리는 여기서 중요한 가치판단을 해야 한다. 빅데이터는 본질적으로 개인정보보호법을 위반할 소지가 있다. 개인정보 보호는 개인식별 정보를 보관한 자들이 법과 계약을 지킬 것이라는 약속에 어느 정도 기댈 수밖에 없다. 이 약속이 무의미하다면 익명화는 논리적으로 불가능하다(기술적 불가능성 문제는 이 논란에 대해 중립적이다). 빅데이터를 통한 지식 추구라는 장점과 여기서 발생하는 사생활 침해 위험 사이에서 적정한 선을 긋는 공론화위원회와 같은 솔직한 대화가 필요하다. 정보를 통한 해방과 정보를 통한 속박. 두 가지를 모두 잡는 방법을 찾아야 한다.
* 위 글은 시사IN에 기고한 글입니다. (2017.12.29.)
정부가 세월호 특별조사위원회의 활동을 사실상 강제 종료시키기 위한 행정절차에 돌입했다.
해양수산부는 오늘 세월호 특조위에 공문을 보내 “특조위 조사활동 기간 만료일이 도래함에 따라 종합보고서와 백서 발간을 위해 필요한 정원안을 6월 14일까지 제출하라”고 요구했다. 이어 “이 기간 내에 정원안을 제출하지 않을 경우 관계부처 간 협의에 따라 필요 인력이 배정될 계획”이라고 통보했다.
이에 앞서 지난달 27일에는 행정자치부가 공문을 보내 “종합보고서와 백서 발간을 위해 필요한 최소한의 정원안을 6월 3일까지 제출하라”고 요구했다. 또 지난 7일에는 기획재정부가 “백서 작성 및 발간을 위한 정원안을 관계부처와 조속히 협의 및 확정하여 그에 따른 향후 소요 예산안을 오는 14일까지 제출하라”는 공문을 보냈다.
현행 세월호 특별법에 따르면 특조위 활동 기간은 위원회가 구성을 마친 날로부터 1년이며 한 차례에 한해 6개월간 연장할 수 있도록 규정돼 있다. 그리고 종합보고서와 백서 작성 및 발간 작업을 위해 3개월 이내에서 기간을 추가로 연장할 수 있게 되어 있다.
따라서 최근 정부 부처들이 특조위에 일제히 보낸 공문들은 지난해 1월 1일을 특조위 활동 개시일로 보고 1년 6개월이 경과하는 이달 말에 특조위 조사활동이 종료된다고 전제한 뒤 이후 3개월 동안 종합보고서와 백서를 발간한 뒤 특조위를 해산시키겠다는 압박인 셈이다.
그러나 특조위는 활동 인원과 예산이 갖춰진 지난해 8월이 활동 개시일이라는 입장이다. 이에 따라 특조위은 최근 정부 부처들의 공문에 대해 “아직 종합보고서와 백서 발간을 위한 정원과 예산의 산정 시기가 도래하지 않은 것으로 판단하고 있으니 차후에 요청해달라”는 내용의 답변을 보내둔 상태다.
해수부를 비롯한 관계부처들의 특조위 활동 종료 압박은 최근 야당이 발의한 세월호 특별법 개정안을 전면 무시하는 조치이기도 하다. 지난 7일 박주민 의원 등 더불어민주당 의원 124명과 정의당 의원 6명이 공동발의한 세월호 특별법 개정안은 특조위 활동 개시일을 예산을 최초 배정받은 지난해 8월로 규정하고 선체가 인양된 뒤 최대 1년간 정밀조사를 할 수 있는 권한을 특조위에 부여하고 있다.
주민등록법 일부개정법률안(대안)에 대한


시민들의 의견
댓글 달기