마이데이터사업, 동의제도 실질화 우선돼야

요식적 동의 거쳐 방대한 개인정보 불공정하게 거래될 위험 높아

법원, 홈플러스 개인정보 불법매매 인정했으나 배상책임은 미흡

고객정보 2천4백만건 보험사에 넘겨 약 230억원 이득 취한 사건

원고 62명 중 13명에 대해서만 배상책임 인정해, 즉각 항소 예정

고객정보 유출로 인해 피해가 발생하지 않았다는 점 홈플러스가 입증해야

서울중앙지방법원이 지난 7월 20일, 2015년 홈플러스의 고객 개인정보 불법판매로 피해를 입은 시민들의 손해배상청구소송에서 62명의 원고중 13명의 원고에 대해서만 10만원의 피해액을 인정하고 나머지 청구를 기각했다(2015가단73720, 판사 김영희). 참여연대 민생희망본부(본부장: 조형수 변호사)는 고객의 개인정보를 불법매매해 230억원이 넘는 이득을 취한 홈플러스의 범죄행위가 미친 피해를 적극적으로 해석하지 않은 법원의 판단에 유감을 표하며, 즉각 항소하여 소비자들이 합당한 피해구제를 받을 수 있도록 할 것임을 밝힌다.

홈플러스는  2011년부터 2014년까지 고가의 경품행사를 빌미로 수집한 고객들의 개인정보 712만 건을 보험회사 7곳에 148억 원에 불법으로 판매하고, 패밀리카드 회원을 모집하면서 수집한 개인정보 1,694만 건을 보험회사 2곳에 팔아 약 84억 원의 불법 이익을 취했다. 관리상 실수가 아닌 돈을 받고 고객의 개인정보를 팔아넘겼다는 점에서 소비자들을 경악케 한 초유의 사건이었다. 이후 참여연대는 공개적으로 모집한 62명의 시민과 함께 2015년 4월 손해배상청구소송을 제기했다.

3년만에 내린 이번 판결을 통해 법원은 원고인 소비자들이 개인정보자기결정권을 침해당했다고 인정하고, 홈플러스가 “기만적인 또는 부정한 방법으로 개인정보를 취득하거나, 원고들로부터 개인정보 수집․이용에 관한 유효한 동의가 없음에도 고의로 원고들의 개인정보를 마케팅 등을 위해 제휴업체에 제공하였다는 점에서 불법성이 크다”고 지적했다. 또  소비자들이 “자신들이 원하지 않는데도 불구하고 자신들의 개인정보를 제3자가 알게 될 수 있다는 불안감 또는 이를 영업에 활용함으로써 자신들이 영리행위의 대상으로만 취급되고 있다는 불쾌감을 갖는 상황에 처하게 되었다”고 하면서 소비자들의 정신적 피해를 인정했다. 그러나 배상책임에 있어서는 13명의 원고에 대해서만 각 10만원으로 인정하고, 나머지 49명의 원고에 대해서는 제3자정보제공 사실이 확인되지 않는다는 이유로 배상책임을 인정하지 않았다.

소비자 입장에서는 개인정보 매매라는 심각한 범죄행위를 인정하면서도 정작 피해의 범위와 정도에 대해서는 소극적으로 판단한 법원의 판결을 납득하기 어렵다. 법원은 홈플러스측이 모든 패밀리카드 회원의 개인정보 1,694만 건을 보험사에게 제공한 사실이 인정되었음에도 불구하고 원고들 중 49명에 대해서는 보험사에게 정보가 제공되었는지 여부를 구체적으로 확인할 수 없다는 이유로 인정하지 않았다. 홈플러스는 패밀리카드 회원의 모든 정보를 보험사에게 유상판매 목적으로 제공하였고, 보험회사는 이를 필터링하여 영업의 대상이 될 수 있는 개인정보만 필터링하였는데, 고객의 개인정보가 유상판매 목적으로 제공된 사실이 확인된 이상 원고들의 개인정보가 이에 포함되어 있지 않다는 점에 대해서는 이를 유상판매 대상으로 삼은 홈플러스측이 입증하도록 요구하는 것이 맞다. 만일 1심 법원이 판단한 논리에 따른다면, 홈플러스 패밀리카드 회원은 개인별로 자신의 개신정보가 유상판매의 대상이 되었는지 여부를 일일이 확인해야만 하는데, 소송과정에서 홈플러스측이 협조하지 않는 이상 이를 입증한다는 것은 사실상 불가능하다. 그 결과 홈플러스처럼 회원들의 개인정보를 유상판매하는 악의적인 행태는 앞으로도 다양한 방식으로 계속될 수 있다는 점에서, 1심 법원의 판단은 여러 모로 매우 미흡하다.

개인정보가 더욱 방대하고 활발하게 수집되는 빅데이터 시대에 기업의 정보윤리가 높은 수준으로 요구되고 있음에도 개인정보 유출사건이 반복되는 데에는 현행 법제도의 허점도 크게 작용한다. 더구나 이번 홈플러스 사건은 단순한 개인정보 유출 사건이 아니라 고객의 개인정보를 돈을 받고 제3자에게 판매한 사건이다. 이와 같은 악의적 행태로 인한 개인정보침해에 대해서는  소비자 개인이 아니라 관련 정보를 모두 보유하고 있는 기업이 입증책임을 부담하는 것이 개인정보보호법의 취지에 부합할 것이다. 그리고 다수의 피해자 발생과 소액의 손해 인정이 많은 개인정보침해사건의 특성에 비추어 미국 등 OECD국가들 처럼 집단소송제도와 최대 10배까지의 징벌적 배상 또한 개인정보보호를 위해 반드시 필요하다. 국회에 소비자집단소송법 등 여러 법안이 계류중이다. 국회는 제도개선 논의를 더 이상 미뤄서는 안 될 것이다.

▣개인정보보호법 관련 조항

제17조(개인정보의 제공) ① 개인정보처리자는 다음 각 호의 어느 하나에 해당되는 경우에는 정보주체의 개인정보를 제3자에게 제공(공유를 포함한다. 이하 같다)할 수 있다.
1. 정보주체의 동의를 받은 경우
2. 제15조제1항제2호·제3호 및 제5호에 따라 개인정보를 수집한 목적 범위에서 개인정보를 제공하는 경우

② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1. 개인정보를 제공받는 자
2. 개인정보를 제공받는 자의 개인정보 이용 목적
3. 제공하는 개인정보의 항목
4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
③ 개인정보처리자가 개인정보를 국외의 제3자에게 제공할 때에는 제2항 각 호에 따른 사항을 정보주체에게 알리고 동의를 받아야 하며, 이 법을 위반하는 내용으로 개인정보의 국외 이전에 관한 계약을 체결하여서는 아니 된다.

 

제18조(개인정보의 목적 외 이용·제공 제한) ① 개인정보처리자는 개인정보를 제15조제1항에 따른 범위를 초과하여 이용하거나 제17조제1항 및 제3항에 따른 범위를 초과하여 제3자에게 제공하여서는 아니 된다

② 제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다. 다만, 제5호부터 제9호까지의 경우는 공공기관의 경우로 한정한다.
1. 정보주체로부터 별도의 동의를 받은 경우
2. 다른 법률에 특별한 규정이 있는 경우
3. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
4. 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우
5. 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의·의결을 거친 경우
6. 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우
7. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요 경우
8. 법원의 재판업무 수행을 위하여 필요한 경우
9. 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우
③ 개인정보처리자는 제2항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1. 개인정보를 제공받는 자
2. 개인정보의 이용 목적(제공 시에는 제공받는 자의 이용 목적을 말한다)
3. 이용 또는 제공하는 개인정보의 항목
4. 개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간을 말한다)
5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
④ 공공기관은 제2항제2호부터 제6호까지, 제8호 및 제9호에 따라 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하는 경우에는 그 이용 또는 제공의 법적 근거, 목적 및 범위 등에 관하여 필요한 사항을 행정안전부령으로 정하는 바에 따라 관보 또는 인터넷 홈페이지 등에 게재하여야 한다. 
⑤ 개인정보처리자는 제2항 각 호의 어느 하나의 경우에 해당하여 개인정보를 목적 외의 용도로 제3자에게 제공하는 경우에는 개인정보를 제공받는 자에게 이용 목적, 이용 방법, 그 밖에 필요한 사항에 대하여 제한을 하거나, 개인정보의 안전성 확보를 위하여 필요한 조치를 마련하도록 요청하여야 한다. 이 경우 요청을 받은 자는 개인정보의 안전성 확보를 위하여 필요한 조치를 하여야 한다.

제39조(손해배상책임) ① 정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.
③ 개인정보처리자의 고의 또는 중대한 과실로 인하여 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우로서 정보주체에게 손해가 발생한 때에는 법원은 그 손해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다. 다만, 개인정보처리자가 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다.  
④ 법원은 제3항의 배상액을 정할 때에는 다음 각 호의 사항을 고려하여야 한다.  
1. 고의 또는 손해 발생의 우려를 인식한 정도
2. 위반행위로 인하여 입은 피해 규모
3. 위법행위로 인하여 개인정보처리자가 취득한 경제적 이익
4. 위반행위에 따른 벌금 및 과징금
5. 위반행위의 기간·횟수 등
6. 개인정보처리자의 재산상태
7. 개인정보처리자가 정보주체의 개인정보 분실·도난·유출 후 해당 개인정보를 회수하기 위하여 노력한 정도
8. 개인정보처리자가 정보주체의 피해구제를 위하여 노력한 정도

논평 [원문보기/다운로드]

청와대는 진정 개인정보 보호할 의지 있는가

개인정보감독체계 일원화에는 무관심, 동의 없는 활용에만 골몰

모호한 장밋빛 전망에 기댄 성급한 정보주체 권리 완화는 위험해

지난 7월 20일 대법원은 통신사가 이용자의 신원정보를 영장 없이 수사기관에 제공한 내역의 공개를 거부한 것에 대해 이용자의 '개인정보자기결정권'을 침해하였기에 손해배상해야 한다는 판결을 내렸습니다.

개인정보 보호의 중요성은 이미 두말할 필요도 없는 상식이 되어있습니다. 하지만 타인에게 맡긴 자신의 개인정보가 어떻게 활용되거나 유포되는지에 대한 개인의 권리 또한 못지않게 중요합니다. 법원의 이번 판결은 이 권리가 법으로 보장받아야함을 명시한 중요한 선례 중 하나라고 볼 수 있을 것입니다.  '개인정보자기결정권'의 가치를 법원이 어떻게 바라봤는지, 강태리 변호사가 짚었습니다.

  

이 글은 오마이뉴스와 슬로우뉴스에서도 볼 수 있습니다. 

나몰래 넘겨진 개인정보, '사이다' 판결이 막았다

[광장에 나온 판결] 이용자 개인정보 제공내역 공개거부한 통신사에 대한 손해배상소송 판결(서울고등법원 제1민사부 2015. 1. 1. 2014나2020811, 대법원 제2부 2018. 7. 20 2015다208856)

강태리 변호사, 참여연대 공익법센터 운영위원

미래창조과학부에서 2017년 6월 5일 발표한 내용에 따르면, 2016년 한 해 동안 전기통신사업자가 검찰과 경찰, 국정원 등 수사기관에 제공한 이용자정보(성명·주민등록번호·주소·전화번호·아이디 등)는 전화번호 수 기준으로 약 830만 건이라고 한다. 이는 대한민국 국민 6명당 1명의 통신자료가 수사기관에 제공되었다는 의미이다.

다른 나라들의 경우는 어떨까? 유엔 특별보고관 데이비드 케이(David Kaye)의 2017년 5월 9일 자 의견서에 따르면, 영국 국민 170명당 1명(2015년 기준), 프랑스 국민 1375명당 1명(2015년 10월 ~ 2016년 10월 기준), 미국 국민 600명당 1명(2012년 기준)의 개인정보가 수사기관에 제공되었다고 한다. 비교 자체가 무의미할 정도의 엄청난 차이이다.

'통신자료 제공' 6명당 1명-600명당 1명

그렇다면 대한민국에서 이처럼 엄청난 양의 통신자료가 수사기관에 제공되는 근본적인 원인은 무엇일까? 수사기관의 요청에 대한 제재가 없기 때문이다. 

일반적으로 법치국가에서는 수사기관의 권한 남용을 막기 위한 헌법적 원칙으로서 '영장주의'를 보장한다. 법관이 발부한 영장 없이는 수사기관이 강제수사를 할 수 없다는 원칙으로, 수사기관의 권한 남용을 막는 사법적 감시체계이다. 그런데 통신자료 제공요청의 근거법률인 전기통신사업법 제83조 제3항과 4항에는 영장주의에 대한 내용이 없다. 수사기관이 통신자료 제공요청을 남용할 경우 이를 막는 방법을 법에서 정하고 있지 않다는 의미이다.

국가기관들도, 기업들도 통신자료 제공에 대한 아무런 감시체계를 마련하지 않은 상황에서, 2013년 핸드폰 이용자 3명이 소송을 제기했다. 이들은 이동통신 3사를 상대로 "나의 통신자료가 수사기관에 제공된 현황을 공개하라. 또한 공개청구가 거부당함으로써 입은 정신적 피해를 배상하라"라고 했다. 

그로부터 5년 뒤인 2018년 드디어 대법원은 "이동통신사들은 통신자료 제공현황을 공개할 의무가 있다. 그리고 공개청구를 거부한 행위는 원고들의 개인정보자기결정권을 침해하는 불법행위이므로, 그로 인한 정신적 피해를 배상하라"고 최종 판단을 내렸다(대법원 2018. 7. 20 선고 2015다208856 판결).

그런데 '개인정보자기결정권'이란 무엇인가. 말 그대로 풀어보면 '개인정보'를 '자기'가 '결정'하는 '권리'이다. 좀 더 정확히 말하자면 자신에 대한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리이다. 이 권리는 개인의 헌법상 기본권이며 이를 토대로 자신의 개인정보 처리 여부를 확인할 권리가 보장된다. 

이러한 권리가 인정됨에도 불구하고 왜 위 사안에서 이동통신 3사는 통신자료 제공현황의 공개를 거부했던 것일까? 이러한 물음에 대한 복잡다단한 법리 다툼은 제쳐 두고, 필자는 개인정보자기결정권의 행사와 관련해 벌어지는 사회적 통념에서 그 답을 찾고 싶다. 

필자의 생각으로는, 우리 사회에 만연한 기본권 경시 풍조가 이 모든 상황의 토대가 되는 것으로 보인다.

"내 개인정보가 뭐 그렇게 대단한 거라고, 기본적인 건 이미 여러 군데 뿌려져 있겠지", "큰 기업에서 공개 안 해주려는 것에는 다 그만한 이유가 있겠지", "수사기관이 비밀리에 수사하려면, 개인정보를 몰래 수집하는 건 당연한 거 아냐?", "개인정보도 좀 수집되고 이용되어야, 나중에 더 발전된 사회로 진입할 수 있지 않겠어?", "내 인적사항 몇 개 알려지는 것 보다, 수사기관이 범죄에 신속히 대처하는 것이 더 중요지 않냐?" 등등.

법원 "수사 편의보다 개인정보자기결정권 실현"

이러한 막연한 생각들에 대하여, 법원은 다음과 같이 판시했다.

"수사기관의 수사업무에 지장이 발생할 수 있다는 막연한 사정만으로 헌법 및 정보통신망법에 의하여 법적으로 보장되어 있는 정보주체의 개인정보자기결정권을 제한할 수는 없다."

 

"수사의 밀행성 보장은 수사의 편의를 위한 것인 반면, 통신자료제공 현황의 공개는 헌법상 기본권인 개인정보자기결정권을 실현하는 것이므로 보호가치가 더 크다고 볼 수 있다." 

필자는 개인적으로 이 부분에서 사이다(!)를 느꼈다. "막연한 사정" 또는 "수사의 편의"를 이유로 개인의 기본권을 당연히 제한할 수는 없다는 명쾌한 선언. 

사실 우리는 이 복잡한 사회를 살아가면서 수도 없는 가치 충돌 상황을 목도한다. 그럴 때마다 사회구성원 모두가 어떤 가치를 더 우선해야 하는지 함께 치열하게 심사숙고해야 한다. 

그럼에도 불구하고 우리는 역사적으로 많은 경우, 국가, 사회, 회사, 가족과 같은 공동체가 처할 막연한 위협 또는 막연한 이익을 이유로, 개인의 행복추구 내지 권리행사를 보류하라는 요구를 받아오지 않았나? 이번 사건은 그것이 더 이상 통하지 않는다는 단순한 논리를 일깨워줘서 고맙다.

이번 사안을 한 문장으로 축약해보면, "수사기관에 의한 기본권 침해 가능성에 대해 국가가 아무런 감시체계를 마련해주지 않았고, 보다 못한 개인이 나서서 자신의 기본권을 지키려고 한 것"이다. 그리고 결국 대법원은 그 개인의 손을 들어줬다.

이제는 국가가 나서서 사법적 감시체계를 구축해줘야 할 때이다. 국회 및 법원의 아무런 감시 없이 수사기관의 자료제공요청이 이루어질 수 있는 현 법률 및 관행에 대한 근본적인 변화가, 부디 머지 않은 미래에 이루어지길 기대한다.

참여연대 사법감시센터는 최근 판결 중 사회 변화의 흐름을 반영하지 못하거나 국민의 법 감정과 괴리된 판결, 기본권과 인권보호에 기여하지 못한 판결, 또는 그와 반대로 인권수호기관으로서 위상을 정립하는데 기여한 판결을 소재로 [판결비평-광장에 나온 판결]사업을 진행하고 있습니다.
주로 법률가 층에만 국한되는 판결비평을 시민사회 공론의 장으로 끌어내어 다양한 의견을 나눔으로써 법원의 판결이 더욱더 발전될 수 있다는 생각 때문입니다.

참여연대, 통신3사 상대 고객정보 무단결합 열람청구소송 제기 기자회견

내 개인정보 기업간 개인정보결합에 이용됐는지 공개 구하는 취지   

일시 장소 : 2018. 8. 22. (수) 14:00, 참여연대 아름드리홀

1. 취지와 목적

2016년부터 2017년 사이 통신3사를 비롯한 20개 기업은 한국인터넷진흥원, 신용정보원 등 비식별조치 전문기관을 통해  3억 4천만 건에 달하는 개인정보를 동의없이 제공하고 상호 결합한 바 있음. SK텔레콤은 한화생명 및 서울신용평가정보 주식회사와, 엘지유플러스는 KB국민카드와, KT는 나이스평가정보 주식회사와 각기 보유한 개인정보를 결합하였음.     

통신 3사의 이동전화서비스를 이용하는 원고들은 각 통신사에 자신의 개인정보가 개인정보 제3자 제공과 결합에 이용되었는지 여부를 각 통신사에 알려달라고 요청하였으나, SK텔레콤과 LG유플러스는 원고들의 개인정보를 ‘비식별조치’하였기 때문에 ‘개인정보’가 아니라는 취지로 답변하며 열람청구를 거절하였고, KT는 아예 답변을 하지 않았음.

통신3사가 주장하는 ‘비식별조치’는 현행 개인정보보호법제에 비추어 근거도 효력도 없는 ‘비식별조치 가이드라인’에 등장하는 개념으로, 익명화와 가명화를 포함하는 광의의 불분명한 개념임. 비식별조치를 하였다고 해서 개인정보가 아닌 것으로 추정할 수도 없음. 따라서 정보주체인 원고들은 여전히 자신의 개인정보의 처리내용에 대해 열람을 구할 권리가 있고, 이를 실현하기 위해 소송을 제기하게 된 것임. 또한 위법하게 열람청구를 거절한 데 대한 정신적 손해배상도 함께 청구함.  

이번 소송은 기업들이 자신들이 보유한 고객정보를 일정 정도 가공하여 개인을 식별할 수 있는 요소를 일부 삭제하거나 대체하였다 해도 이를 수집 목적 외로 이용하고 제3자 제공하여 데이터결합을 한 경우에, 정보주체가 이에 대해 어떻게 정보주체로서의 권리를 행사할 수 있는지를 가늠하는 중요한 선례가 될 것임. 

이번 기자회견을 통해 소송의 취지와 주요 주장을 설명하고자 함.

2. 개요

     - 행사제목 : 기업간 개인정보 무단결합 열람청구소송 기자회견  

     - 일시 장소 : 2018. 8. 22. 수 14:00 / 참여연대 2층 아름드리홀 

     - 주최 : 참여연대 공익법센터

     - 참가자 

            사회 : 김선휴 (참여연대 공익법센터 간사) 

            발언 1 : 개인정보무단결합 열람청구소송의 취지_ 양홍석 변호사 (참여연대 공익법센터 소장) 

            발언 2 : 청구 내용과 주요 논거_강태리 변호사(참여연대 공익법센터 운영위원)   

      문의 : 김선휴(참여연대 공익법센터, 02-723-0666)

반복된 개인정보유출, 그래도 규제완화가 우선인가

국회의원이 구청의 유권자 개인정보 빼내 선거운동 활용 드러나

감독시스템 구축, 동의제도 실질화, 정보주체 통제장치 마련이 우선

과거 새누리당이 구청이 보유한 주민명부를 빼내는 등 불법적으로 유권자정보를 수집해 선거운동에 활용하는 일이 비일비재했다는 관련자 폭로가 나왔다. 2011년 서대문갑 지역 유권자 수만 명의 이름, 주소, 주민번호 앞자리, 전화번호, 휴대전화번호가 엑셀파일로 공유된 증거도 제시되었다. 백군기 현 용인시장도 지자체 공무원으로부터 관할지역 주민들의 개인정보를 넘겨받아 선거에 활용했다는 의혹을 받고 있다. 국민의 개인정보를 안전하게 보호, 관리해야 할 공무원들이 불법행위를 저지른 것이다. 이것이 현실이다. 

이는 우리 개인정보 보호시스템이 한 개인의 일탈을 막아내지 못하고 있다는 것을 의미한다. 그래서 범죄행위를 저지른 공무원 개인의 문제로 보면 해결책을 마련할 수 없다. 구조적인 문제가 있다. 개인정보 보호수준이 세계최강이라고 주장하기 전에 우리 개인정보 보호시스템의 구조적 취약점을 진단하고 이를 개선해야 했는데 이를 외면하고 미룬 결과다. 그런데도 그동안 정부, 국회, 산업계가 개인정보 보호시스템 개선이 아니라 개인정보 보호 수준을 완화할 궁리만 해 왔으니 개인정보보호가 제대로 될 리 없었다. 

국가나 공공기관은 건강정보, 전과기록, 가족관계 등 각종 민감한 정보들도 국가의 행정목적 수행을 위해 개별적 동의 없이도 장기간에 걸쳐 축적하고 있다. 개인의 내밀한 사생활이 그대로 드러날 수 있는 정보들이 유출되면 개인의 프라이버시는 한순간에 무너질 수밖에 없다. 그래서 공공영역에서 수집, 관리되는 개인정보에 대한 국민적 이해관계는 매우 강력하다 . 그런데 이번에 드러난 유권자 정보 불법유출사례는 지방자치단체의 개인정보 관리실태가 얼마나 부실한지 여실히 드러낸다. 권력에 대한 의지 앞에서 정보주체의 권리 따위는 쉽게 무시되었다. 

한국사회에서 개인정보 유출과 무단활용은 하루이틀의 일이 아니다. 약학정보원은 2011년부터 2014년 사이 전국 약국과 병원에서 수집한 국민 4천4백만 명의 진료정보, 처방 내역 등 47억 건을 동의 없이 다국적 기업인 IMS 헬스에 판매했다. 건강보험심사평가원은 2014년부터 2017년 사이 민간보험사와 민간보험연구기관에게 6,420만명 분에 해당하는 개인건강정보를 판매했다. 2016년 정부가 법적근거 없는 비식별조치가이드라인을 만들자마자 기업들은 거센 위법성 논란에도 3억 4천만 건의 개인정보를 동의 없이 과감하게 상호 결합시켰다. 이렇게 반복되는 개인정보 유출과 무단활용은 영리 목적으로 개인정보를 활용하려는 기업들의 강력한 동기가 법적 규제, 기술적 관리적 조치들까지도 쉽게 무력화시킨다는 것을 보여준다.  

개인정보의 활용에 있어 가장 중요한 전제조건인 개인정보 보호에 대한 신뢰는 이미 추락할 대로 추락했다. 이런 상황에서 산업활성화를 위해 국가가 공적 목적으로 수십년간 축적해온 개인정보를 사기업에 넘기거나 사기업의 정보와 결합하는 걸 제도화하겠다는 것은 현실을 전혀 모르거나 무시하는 것이다. 이런 데도 데이터 산업을 활성화하겠다는 미명 하에 문재인 정부는 개인정보의 실질적 보호를 위한 정책은 추진하지 않은 채 규제완화만 밀어붙이고 있다. 무모하다고 해야 할 지 무심하다고 해야 할 지 모를 일이다. 바야흐로 빅데이터 시대에 정부가 해야 할 일은 데이터를 좀더 안전하게 활용할 수 있는 환경을 조성하는 것이다. 난맥상을 보이는 개인정보에 관한 규범체계를 정비하고 실질적이고 일원화된 감독시스템을 구축하는 것이 필요하다. 또, 정보주체가 자신의 정보에 대해 실질적으로 동의권을 행사할 수 있도록 동의제도를 개선하고, 개인정보 처리여부와 과정에 대해 정보주체가 열람, 처리중지 요구 등의 통제장치를 제대로 마련하는 등 정보주체가 자기 정보를 실질적으로 통제하고 관리할 수 있는 제도를 마련해야 한다. 그런데 보호는 뒷전이고 규제만 풀어주면, 지금도 무법천지나 다름없는 데이터시장에서 합법적인 데이터거래, 유통을 조장하는 것이다. 이것이 빅데이터 산업 활성화라는 이름으로 자행되고 있다.

사전규제를 완화하는 대신 사후규제나 개인정보처리자의 책임성을 강화하겠다고도 주장하지만 이는 현실성이 없다. 개인정보를 탐내는 자들이 권력을 이용해 불법행위를 저지르고도 7년이 지나서야 폭로된 것에서도 알 수 있듯이 개인정보의 무단수집, 활용은 은밀하게 이루어져 정보주체나 감독기구로서는 이를 알아채거나 적발하기 쉽지 않다. 강력한 사후규제로 늘 얘기되는 집단소송이나 징벌적 배상은 규제실패나 규제완화를 무마하기 위한 정치적 수사로 사용되고 있다. 규제를 풀기 위해서는 적절한 보호장치를 마련하는 것이 우선되어야 한다. 

 대통령은 23일 빅데이터 활성화를 위한 개인정보 규제완화 관련 내용을 발표한다고 한다. 대통령은 이미 개인정보규제를 우회하기 위한 각종 규제특례법도 조속히 처리할 것을 주문했고, 여야는 8월 임시국회에서 이를 처리하겠다고 한다. 시민사회의 우려와 분노는 커질 대로 커지고 있다. 개인정보, 특히 디지털화된 개인정보가 데이터시장에 풀리는 순간 이를 돌이킬 방법은 없다. 대책을 마련해야 한다. 이런 식으로 규제를 풀어준다고 해서 산업활성화가 되는 것이 아니다. 지금이라도 늦지 않았다. 문재인 정부가 대기업의 개인정보 장사를 위해 국민들의 개인정보 보호를 희생시킨 정권으로 기록되지 않길 바란다. 시민사회의 우려와 의견을 진지하게 받아들여 개인정보의 보호와 활용을 위한 정책 전반을 재검토할 것을 요구한다. 끝.

#0

태풍이 지나간 한반도

생명과 안전을 쓸어버릴

진짜 강력한 태풍이 몰아쳐 오고 있습니다.

바로 규제프리존

#1

규제프리존법은 기업에게 특혜를 주기 위해

생명·환경·안전 규제를 없애준다는 것

#2

규제프리존법을 추진하던

박근혜-최순실은 모두 감옥에 있는데,

어떻게 법은 감옥을 탈출했을까?

바로 이들과 더불어 살겠다며

더불어민주당이 합의해주었기 때문

#3

규제프리존법 = 가습기살균제법

가습기 살균제와 같은 화학물질 안정성 검사를

그 제품에 만든 기업 스스로에게 맡깁니다.

(가습기 살균제 사망자 1300여 명, 피해자 수 백만 명)

#4

규제프리존법 = 라돈침대법

음이온대신 발암물질 뿜어낸 라돈침대,

기업은 방사능 수치를 수십 배 낮춰 신고했습니다.

이래도 기업에게 안정성 검증을 맡길 수 있습니까?

#5

규제프리존법 = BMW법

안전성 검증을 오로지 기업에게 맡기고,

'우선 사용'하게 하다가 불 나면 '사후 규제' 한답니다.

#6

그뿐만이 아니라는데...

#7

규제프리존법은 병원들에도 특별한 혜택을 주는 법

병원들이 영리 부대사업을 무한정 할 수 있도록 허용.

의약품, 의료기기 판매로 과잉진료.

환자들은 의료비 급증

#8

규제프리존법은 국유재산 민영화법이기도 합니다

규제특구에서는 국유·공유 자산을 업자 맘대로 매각해 사용할 수 있습니다.

더 많은 자연과 환경이 파괴됩니다.

#9

의료법, 개인정보보호법 등

67개 국민 안전과 관련된 법들의 무력화

#10

약속은 어디로 갔나요?

문재인 후보 "규제프리존법 지지하는 안철수는 박근혜 정권 계승자"

#11

시민여러분, 8월 30일 규제프리존법 국회 통과를 반대하는 목소리에 함께해주세요.

규제프리존법 국회 통과 중단하라!

#0

태풍이 지나간 한반도

생명과 안전을 쓸어버릴

진짜 강력한 태풍이 몰아쳐 오고 있습니다.

바로 규제프리존

#1

규제프리존법은 기업에게 특혜를 주기 위해

생명·환경·안전 규제를 없애준다는 것

#2

규제프리존법을 추진하던

박근혜-최순실은 모두 감옥에 있는데,

어떻게 법은 감옥을 탈출했을까?

바로 이들과 더불어 살겠다며

더불어민주당이 합의해주었기 때문

#3

규제프리존법 = 가습기살균제법

가습기 살균제와 같은 화학물질 안정성 검사를

그 제품에 만든 기업 스스로에게 맡깁니다.

(가습기 살균제 사망자 1300여 명, 피해자 수 백만 명)

#4

규제프리존법 = 라돈침대법

음이온대신 발암물질 뿜어낸 라돈침대,

기업은 방사능 수치를 수십 배 낮춰 신고했습니다.

이래도 기업에게 안정성 검증을 맡길 수 있습니까?

#5

규제프리존법 = BMW법

안전성 검증을 오로지 기업에게 맡기고,

'우선 사용'하게 하다가 불 나면 '사후 규제' 한답니다.

#6

그뿐만이 아니라는데...

#7

규제프리존법은 병원들에도 특별한 혜택을 주는 법

병원들이 영리 부대사업을 무한정 할 수 있도록 허용.

의약품, 의료기기 판매로 과잉진료.

환자들은 의료비 급증

#8

규제프리존법은 국유재산 민영화법이기도 합니다

규제특구에서는 국유·공유 자산을 업자 맘대로 매각해 사용할 수 있습니다.

더 많은 자연과 환경이 파괴됩니다.

#9

의료법, 개인정보보호법 등

67개 국민 안전과 관련된 법들의 무력화

#10

약속은 어디로 갔나요?

문재인 후보 "규제프리존법 지지하는 안철수는 박근혜 정권 계승자"

#11

시민여러분, 8월 30일 규제프리존법 국회 통과를 반대하는 목소리에 함께해주세요.

규제프리존법 국회 통과 중단하라!

정보기본권 근간 훼손하는 데이터 자본의 논리에 굴복한 청와대

개인정보보호 후퇴시켜 자본의 이익만 극대화하는 데이터 정책

“안전한” 활용 이전에 활용에 대한 정보주체의 “선택권” 보장해야

오늘(8/31) 문재인 대통령은 데이터경제 활성화를 위한 규제혁신방안을 발표했다. 그러나 온갖 미사여구와 장밋빛 전망이 동원된 정책방안에서 가장 중요한 사실이 빠져있다. 데이터경제 활성화는 전국민의 정보주체로서의 권리를 빼앗아 그 통제권을 데이터 자본에 넘겨주는 일이라는 사실이다. 개인정보를 활용한 데이터 산업을 활성화하기 위해 개인정보 보호는 후퇴할 수밖에 없다. 오늘 발표된 청와대 입장은 개인정보를 활용하는 데 방해되지 않을 정도로만 개인정보를 보호하겠다는 것이다. 청와대는 데이터 자본의 논리와 이익을 위해 복무하겠다는 것인가.

청와대는 데이터를 “안전하게” 활용하겠다고 한다. 그러나 활용여부에 대한 선택권이 보장되지 않은 이상 그것을 안전하게 활용하든 위험하게 활용하든 기본권은 이미 침해된 것이다. 정보기본권은 정보주체의 자기결정과 자기통제권을 인정하는 게 핵심이다. 데이터산업 활성화를 이유로 정보주체의 “동의 없이” 기업들이 개인정보를 활용하게 하고 더 많은 개인정보를 축적하고 결합하여 유통시킨다면 국민의 정보기본권 침해는 매우 중대할 뿐 아니라 회복불가능한 것이 된다. 문재인 정부는 개헌안에 정보기본권을 신설한다고 해놓고 정작 정보기본권의 근간을 뒤흔드는 데이터 자본의 논리에 굴복하고 만 것이다. 

대통령의 발표 이면에는 개인정보 활용을 통해 불로소득을 얻으려는 데이터 자본과 그 자본에 부역하는 관료들이 있다. 개인정보 보호수준을 후퇴시키고 개인정보 활용을 손쉽게 하도록 허용하는 것만으로도 데이터를 보유한 산업자본이 앉은 자리에서 수 조원의 이익을 얻게 된다. 그런데도 청와대는 규제완화로 데이터자본에게 막대한 이익을 보장해주고 국민들은 그 댓가로 일자리 몇 개나 조금의 서비스 혜택으로 만족하라는 것이다. 참담한 일이 아닐 수 없다. 이에 참여연대는 이러한 청와대의 데이터산업 활성화 정책을 강력히 규탄하며, 앞으로 개인정보 보호원칙과 정보기본권의 본질을 훼손하는 이러한 정책이 현실화되지 않도록 모든 노력을 다할 것임을 분명히 밝혀둔다. 

[원문보기/다운로드]

10년간 개인정보 60억 건 이상 무단 유출, 활용 

참여연대, 개인정보 침해사례 44건 분석 결과 이슈리포트 발표 
반복된 유출, 오남용에 대해 기업의 법적 책임은 매우 불충분
현행 개인정보 정책방향은 개인정보 침해위험과 규모 증가시킬 것

참여연대 공익법센터(소장 양홍석 변호사)는 오늘(10/1) 2007년부터 2017년 사이 한국사회에서 발생한 주요 개인정보 침해사례 44건을 분석한 이슈리포트 「 그 많은 내 개인정보는 누가 다 가져갔을까 - “2007-2017 개인정보수난사 worst 44” 」를 발표했다.

최근 정보주체의 동의 없는 개인정보의 이용과 결합 ·유통을 활성화하려는 정부의 정책방향이 프라이버시 침해 위험을 키운다는 문제제기에 대해 정부는 안전하게 활용하겠다는 것만을 강조하고 있다. 참여연대 공익법센터는 지난 10여년간 한국사회에서 개인정보가 얼마나 소홀히 다뤄져왔는지, 유출이나 오남용에 대한 법적 책임 부과나 사회적 대응은 충분했는지 살펴보고, 정부의 개인정보 정책방향에 대한 시사점을 얻기 위해 이번 이슈리포트를 기획했다.

2007년부터 2017년 사이 개인정보 침해사례 44건을 분석한 결과, 60억 건이 넘는 개인정보가 유출되거나 무단 활용, 제공된 것으로 나타났다. 개인정보 침해사례는 개인정보를 대량 보유한 대기업, 특히 통신, 카드, 금융회사에서 빈번히 발생하였다. 침해사례의 유형별로 해킹에 의한 유출 23건, 직원에 의한 유출 9건, 무단사용․판매 9건, 관리 소홀로 인한 노출 3건을 분석하였는데 이중 개인정보 유출규모로는 무단사용판매가 59억 건으로 제일 큰 것으로 나타났다.

최근 빅데이터 수요 증가와 기술 발전으로 개인정보 중 식별요소의 일부를 가공한 뒤 정보주체 동의나 법적 근거 없이 대규모로 무단 사용, 판매하는 사례가 증가하고 있는데, 이러한 위법행위는 비영리재단이나 공공기관에서까지 행해진 것으로 드러났다. 약학정보원은 2011년~2014년 국민 의료정보 43억 건을 빅데이터 회사인 IMS헬스에 판매하였고, 국민의 의료정보를 엄격히 보호해야 할 건강보험심사평가원은 2017년까지 6400만명 분의 표본데이터셋을 민간보험사 등에 판매한 것으로 드러났다.

반면 개인정보 침해사고에 대한 감독기관의 과태료, 과징금 등 행정적 제재는 매우 낮은 것으로 나타났다. 대표적으로 1억 건이 넘는 개인정보가 유출된 카드3사(국민카드, 농협카드, 롯데카드)의 경우 감독기관의 행정처분은 과태료 600만 원 부과에 불과했다. 또한 일부 피해자들이 소송을 제기하더라도 피해를 구제받기 어려운 것으로 나타났다. 법원은 해킹에 의한 정보유출의 경우, 기업의 배상책임을 대부분 인정하지 않고, 무단유출 등으로 배상이 인정된다 해도 원고 1인당 10만원 내외에 불과해 결과적으로 기업은 충분한 법적 책임을 지지 않은 것으로 나타났다. 참여연대는 솜방망이 행정제재와 법원의 소극적 판결은 기업으로 하여금 개인정보 보호와 보안에 투자할 유인을 낮춘다는 점에서 결국 반복되는 개인정보 침해사고의 주요 원인이라고 주장했다.

참여연대는 지난 10년의 사례를 통해 볼 때, 개인정보의 동의 없는 결합과 집적, 유통을 대폭 확대하는 지금의 정책방향이 지속된다면, 더 많은 개인정보가 위험에 노출될 것이고 이에 대한 충분한 사회적 제재나 권리구제도 기대하기 어려울 것이라고 강조했다. 또한 빅데이터의 혜택을 강조하며 개인정보의 수집, 활용을 확대하는 방향으로만 정책을 추진할 것이 아니라, 개인정보를 필요이상으로 과도하게 수집하지 않고 충분한 보호조치를 취할 수밖에 없도록 정책을 설계해야 한다고 주장했다. 이를 위해서는 ▷개인정보 수집단계에서부터 목적구속원칙과 최소수집원칙을 담보할 수 있는 제도개선 ▷정보주체가 자신의 개인정보의 수집범위나 활용 여부를 통제할 수 있는 권리 실질화 ▷ 개인정보 보호를 위한 법제 및 감독기구 개선 ▷ 권리구제를 활성화하기 위한 집단소송제도 도입 및 징벌적 배상제도 확대 등이 이루어져야 한다고 강조했다.

최근 국회에서는 신기술 서비스를 위해 개인정보 규제를 완화하는 정보통신융합법, 산업융합법, 지역특구법이 통과되었고, 개인정보의 동의 없는 활용과 결합을 일반적으로 확대하는 개인정보보호법의 개정도 정기국회 때 주요한 쟁점이 될 예정이다. 참여연대 공익법센터는 무분별한 개인정보 규제완화의 위험성과 사회적 공론화 부재를 계속 지적하며, 정보주체의 권리를 보호하기 위한 활동을 지속할 예정이다. 

▶︎ 보도자료 [원문보기/다운로드]

▶︎ 이슈리포트 "그 많은 내 개인정보는 누가 다 가져갔을까" - 2007-2017 개인정보수난사 worst 44 [원문보기/다운로드]