[보도자료] 생보협회의 개인질병정보 과잉수집과 금융위에 대한 국민감사 각하에 대한 반박

지역

[보도자료] 생보협회의 개인질병정보 과잉수집과 금융위에 대한 국민감사 각하에 대한 반박

익명 (미확인) 님 | 화, 2014/08/05- 15:20

감사원을 ‘감사(監査)’청구하고 싶습니다

공익감사청구는 국민감사청구랑 중복이라고 각하→언론에는 ‘예비감사’한다고 밝혀 놓고→실제로는 국민감사청구도 각하!
생명보험협회의 개인질병정보 과잉수집 및 부당한 집중관리 활용을 허용한 금융위원회 조치의 위법·부당성에 대한 감사원의 감사 포기를 강력히 규탄합니다!!

지난 3.20(목) 금융소비자연맹, 참여연대, 민변 민생경제위, 금융정의연대는 금융위원회가 신용정보보호법 상 승인범위를 초과하는 개인의 민감한 ‘질병정보’를 ‘신용정보’라고 일방적으로 해석하여, 생명보험협회가 개인정보보호법 상 수집이 금지된 개인의 ‘민감 정보’ 인 질병(건강) 정보를 과잉 수집하고 나아가 부당하게 집중관리 활용할 수 하도록 승인하고, 그 과정과 내용에서의 문제점을 묵인·비호한 행위에 대해 감사원에 국민감사(국민 300명 이상의 연명 청구)와 공익감사(공익적 시민단체들의 감사 청구)를 동시에 청구한 바 있습니다.

그런데, 감사원은 지난 4월에는 공익감사청구는 국민감사청구가 되어 있으니 각하한다고 밝혀왔고, 최근에는 국민감사청구도 비슷한 사건으로 민사소송이 계류 중이니 각하한다는 황당한 결정문을 참여연대로 보내왔습니다. 이에 금융소비자연맹, 참여연대, 민변 민생경제위, 금융정의연대는 감사원의 공익·국민감사 청구 각하 결정을 다음과 같이 반박합니다.

○ 다 음
- 감사원은 비슷한 사유로 민사소송이 진행된다는 핑계를 들었는데(별첨 감사원의 국민감사청구 각하 결정문 참조), 관련 민사소송 진행은 피고가 생명보험협회이고 원고는 보험가입자 몇몇이 진행하는 것으로서, 둘 다 이번 공익감사·국민감사 청구와 관련해서 청구인도 아니고, 피청구 기관도 아님에도 불구하고 감사원이 무리하게 별도의 민사소송을 빌미로 국민들의 귀중한 감사 청구를 기각해버린 것임.

- 또, 이번 공익·감사 청구는 금융위원회가 질병정보를 신용정보로 무리하게 승인해 준 것을 중심으로 한 감사청구이고, 민사소송은 생보협회가 승인범위를 초과해서 질병정보를 수집하고, 법적 절차(개인동의)를 거치지 않고 불법적으로 정보를 수집·활용한 것에 대한 다른 국민들의 손해배상청구 소송이므로, 청구인과 피청구 기관 뿐만 아니라 감사의 대상과 쟁점도 완전히 다른 별개의 사안임.

- 이 사건에 대해 언론에는 예비 감사를 했고 본 감사를 할 것처럼 밝혀놓고는(관련해서 언론 보도가 있었고 예비 감사가 실시된 것은 사실임), 실제로는 이렇게 각하를 한 것은 감사원이 ‘監査院’이기를 포기했거나 최근 금융감독 당국과의 여러 갈등 때문에 금융감독 당국의 눈치를 본 것은 아닌 것인지 따지지 않을 수 없음.

- 우리 국민들은 믿을 곳을 감사원 밖에 없다는 심경으로 감사원을 찾고 있는데, 감사원은 처리 결과에 대한 회신도 정해진 기간 안에 하지 않으면서, 대부분의 공익감사, 국민감사를 기각 또는 각하하고 있는데, 이렇게 되면 우리 국민들의 ‘감사원’에 대한 불신이 더욱 커져만 갈 것임. 우리 국민들은 감사원의 공익감사, 국민감사 처리 실태에 대해, 감사원에 대해서 ‘감사’청구라도 하고 싶은 심경일 것임.

- 다만, 감사원이 이번 국민감사 청구를 각하하면서도 ‘국가 사무의 민간위탁 업무 관리실태’에 대해 특별조사국이 조사를 하고 있고, 특별 조사국에 이 사안을 보내 함께 감사를 실시하겠다고 밝혔기에, 그 결과를 기다려 볼 것임. 그러나 이번 사태는 국가 사무의 민간위탁 문제뿐만 아니라, 금융위가 민간 생명보험협회, 민간 손해보험협회의 부당한 행위를 제지하기는커녕 오히려 날개를 달아준 불법·부당한 행위가 본질이므로 그 부분에 대해서까지 반드시 감사가 이루어져야 함을 다시 한 번 촉구함.

- 한편, 이번 감사원의 감사 각하도 문제이지만, 금융위가 언론에 ‘보험정보집중기관’ 설립을 추진하겠다는 것도 심각한 문제가 있음. 생명보험사들의 숙원사업이 건강보험공단이 보관하고 있는 국민 개개인의 질병관련 기록을 보는 것인데, 이게 보건의료계와 국민들의 압도적인 반대로 안 되니까, 자신들이 정보를 수집하고 집중하여 건강보험공단에 버금가는 수준으로 국민의 질병기록을 수집·보관·활용하겠다는 것은 매우 위험한 구상임. 아마도 보험금 사기가 급증하고 지능화하고 있어 선량한 보험고객의 자산을 보호하기 위해서라도 필요하다는 논리를 들겠지만, 그럼에도 개개인의 보험정보를 무단으로 과잉 수집하고 보관·활용하는 것을 우리 국민들은 납득할 수 없을 것임.

금융소비자연맹/참여연대/금융정의연대/민변민생경제위원회

※ 별첨 1 : 감사청구서의 취지와 요약된 내용
※ 별첨 2 : 감사청구서 전문

시민들의 의견

댓글 달기

이름

Comment

텍스트 형식 정보

텍스트 형식

Plain text

웹 페이지 주소 및 이메일 주소는 자동으로 링크로 전환됩니다.
줄과 단락은 자동으로 분리됩니다.
사용할 수 있는 HTML 태그: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd>

CAPTCHA

스펨 사용자 차단 질문

규제프리존법 개인정보 관련 조항 반대 의견서 제출

개인정보 보호 관련 특례 조항에 반대하는시민사회 공동의견서 제출- ‘지역전략사업육성’ 명목 ...

규제프리존법, 개인정보, 개인정보 보호, 비식별화, 개인정보 비식별화, 최순실, 박근혜게이트

수, 2016/11/23- 17:42

143

민간보험사에 국민건강정보 팔아넘긴 심평원

민간보험사에 국민건강정보 팔아넘긴 심평원을 규탄한다!

건강보험심사평가원(이하 심평원)이 지난 2014년 7월부터 2017년 8월까지 민간보험사 8곳을 비롯한 민간보험연구기관 2곳이 보험료 산출 및 보험상품 개발 등을 위해 요청한 ‘표본 데이터셋’을 건당 30만원의 수수료를 받고 총 52건, 6,420만 명분의 진료기록 정보를 팔아넘긴 것으로 확인됐다. 표본 데이터셋의 구성자료는 입원환자와 소아청소년환자, 고령환자 및 입원환자에 대한 진료 및 질환정보를 담은 상병내역과 진료내역, 원외처방내역 그리고 환자의 개인정보를 담은 일반내역을 포함하고 있다. 심평원으로부터 사들인 진료기록정보를 민간보험사들은 보험상품 연구 및 개발과 위험률 산출 등을 위해 환자들의 정보를 분석하여 영업 및 마케팅에 활용해 온 것이다.

심평원은 「국민건강보험법」제62조에 따라 “요양급여비용을 심사하고 요양급여의 적정성을 평가하기 위하여” 설립됐고, 이러한 근거에 따라 “주민등록·출입국관리·진료기록·의약품공급 등의 자료”를 수집 및 집적할 수 있다(동법 제96조). 그럼에도 불구하고 심평원은 공공의 기능을 수행하는 정부기관임을 망각하고 국민의 건강정보를 민간보험사의 이익창출을 위한 도구로 제공했으며, 민간보험사는 정부기관을 정보수집수단으로 이용했다. 정부기관이 공적인 목적을 위해 수집한 국민들의 개인정보를 상업적 목적을 위한 민간기업에 돈을 받고 팔았다는 사실에 국민으로써 분노하지 않을 수 없으며 정부에 대한 배신감과 불신으로 국민의 건강권과 복지증진을 위한다는 말은 더 이상 믿을 수가 없다.

심평원이 민간보험사에 제공한 정보는 진료행위와 처방의약품에 대한 내용을 비롯해 주/부상병에 대한 정보까지 전부 제공했으니 국민건강정보 모두를 제공한 것이나 다름없다. 민간보험사가 이러한 건강정보 빅데이터를 입수하기를 원하는 것은 궁극적으로 보험가입자의 건강정보를 파악해 보험가입 및 보험금 지급거절을 하기 위한 것이다. 그러므로 보험사가 이러한 빅데이터를 영업목적으로 위해 활용하게 되면 보험가입을 원하거나 이미 가입된 국민들에게 피해를 줄 수 있으며 건강권을 침해 할 수 있는 여지가 충분하다. 결과적으로 심평원의 이러한 행위는 보험사의 이윤만 보장해 주는 격이지 국민의 건강권 향상에는 전혀 이로운 점은 없다. 특히나, 진료내역에 희귀질환과 같이 재식별이 아주 용이한 질병정보까지 포함하고 있어 가장 민감한 개인질병정보를 민간보험사가 집적하고 있다는 사실은 위험한 일이 아닐 수 없다.

이번 사건을 두고 심평원은 빅데이터 제공근거로 「공공데이터의 제공 및 이용 활성화에 관한 법률」제3조의 4항 을 언급했다. 그러나 동법 제28조에 의하면 공공데이터의 제공중단사유로 ‘공공데이터의 이용이 제3자의 권리를 현저하게 침해하는 경우’를 명시하고 있으며, 국민건강보험공단도 민간보험사에 빅데이터를 제공하는 행위가 이에 해당한다고 보고 있다. 또한 「개인정보보호법」에서 규정하고 있는 ‘개인정보’에 대한 정의를 보면 해당 정보만으로 개인을 특정할 수 없더라도 다른 정보와 결합하여 쉽게 식별할 수 있는 정보도 개인정보로 보고 있다. 그러므로 보험사들이 그 동안 집적한 국민의 건강정보에 대한 데이터와 심평원에 제공한 빅데이터(특히 질병정보까지 포함)를 결합하여 가공처리 및 분석할 경우 재식별이 충분히 가능하다는 것은 분명하다. 게다가 현재 비식별조치 가이드라인은 개인정보에 대한 익명화가 아니라 가명정보까지 포함한 개념으로 쓰고 있고 충분히 추론 및 연계하여 식별이 가능하다. 이런 느슨한 제도적 상황에서 민간보험사에 대한 빅데이터 제공을 두고 ‘이용권의 보편적 확대’라는 어설픈 변명을 하는 심평원이 암호화 조치 등 충분한 비식별 조치를 했을지는 의문이다.

국민의 건강권 증진이라는 공적인 목적과 역할을 수행해야 할 심평원이 민간보험사에 건강정보 빅데이터를 팔아넘김으로써 민간보험사의 이윤창출의 조력자 역할을 하고, 국민의 건강정보보호에 대한 책임을 방기한 심평원의 행태는 규탄 받아 마땅하며, 보험사를 비롯한 민간기업에 국민의 건강정보를 제공하는 짓은 변명할 여지가 없는 중범죄임을 인식해야 한다. 심평원의 상위기관인 보건복지부가 이번 사건의 심각성을 인지하고 국민의 개인건강정보보호를 위해 제도적 조치마련을 위한 노력을 다해줄 것을 요구한다.

사회, 개인정보, 개인정보보호법, 건강보험심사평가원, 건강정보, 국민건강보험법, 심평원

수, 2017/10/25- 16:43

138

[논평] 통신자료제공요청사유 공개하라는 1심 판결 환영

통신자료제공요청사유 공개하라는 1심 판결 환영

요청사유 공개는 개인정보자기결정권 충실한 행사 위해 중요해

통신자료 수집에 사법적 통제 가하는 법률개정도 필요

지난 6/12 수원지방법원 성남지원 제1민사부는 KT가 수사기관으로부터 받은 통신자료제공요청서를 공개하라며 KT 이용자가 제기한 소송에서 원고 일부승소판결을 내렸다. 참여연대 공익법센터(소장 양홍석 변호사)는 이번 판결은 정보주체의 권리에 보다 충실한 판결이라고 평가한다. 또한 이번 판결이 수사기관의 무분별한 통신자료제공요청에 대해 정보주체의 감시와 통제수단을 마련할 수 있는 점에서 환영한다.

전기통신사업법 제83조 제3항 “전기통신사업자는 법원, 검사 또는 수사관서의 장, 정보수사기관의 장이 재판, 수사 등을 위하여 통신자료제공을 요청하면 그 요청에 따를 수 있다”는 규정에 따라 국민의 통신자료(이름, 주민번호, 주소 등)가 한 해 수백만 건 이상 수사기관에 제공되고 있다. 참여연대 공익법센터는 2010년부터 주요 포털과 이동통신 3사(KT, SK, LG)를 상대로 통신자료제공 열람청구소송을 제기했다. 그러나 통신자료를 가장 많이 수사기관에 제공하고 있는 이동통신3사는 통신자료를 제공했다는 사실만 알려줄 뿐 수사기관의 통신자료 요청 사유나 요청한 자료의 범위 등 구체적인 내용은 알려주지 않고 있다. 이에 참여연대는 통신자료가 수사기관에 제공된 시민(원고)을 대리해 지난 2016년 5월 이동통신 3사를 상대로 수사기관으로부터 받은 통신자료제공 요청서의 내용(요청사유, 이용자와의 연관성, 자료의 범위 등)을 공개하라는 소를 제기 했다. 구체적인 요청사유를 알아야 그것이 정당한 법집행인지 여부를 확인하고 이에 대한 실질적인 통제나 권리침해에 대한 법적 구제절차로 나아갈 수 있기 때문이다.

현재 수사기관의 통신자료제공요청에 대해서는 법률상 법원의 통제절차가 없다. 또한 대법원은 이용자의 개인정보인 통신자료를 요청만 있으면 손쉽게 내어준 통신사의 손해배상책임을 부인한 바 있고(고등법원에서는 인정) 통신자료를 무분별하게 요청한 수사기관의 책임도 인정된 바가 없다. 한 해 수백만 건에 달하는 국민의 통신자료가 수사기관에 제공되고 있지만, 그것이 제대로 된 법집행인지 누구도 알려주지 않고, 통제하지 않고 책임도 지지 않는 상황이다. 이런 상황에서 이번 판결은 적어도 통신자료제공 요청이나 이에 응해 자료를 제공한 행위의 타당성을 판단하기 위한 기초자료를 열람할 수 있게 한 점에서 의미가 있다.

개인정보의 처리에 관한 정보를 제공받을 권리는 정보주체의 개인정보자기결정권 실현을 위한 핵심적 권리이다. 그럼에도 SK텔레콤과 LG유플러스를 상대로 한 소송에서는 통신자료제공요청서가 정보통신망법 제30조 제2항 제2호에 따라 이용자가 정보통신서비스제공자에게 열람이나 제공을 요구할 수 있도록 한 ‘개인정보를 제3자에게 제공한 현황’에 해당하지 않는다는 다소 형식적인 판단으로 청구가 기각된 바 있다. 이와 달리 이번 판결은 통신자료제공요청서라는 형식보다 그 내용의 실질을 파악하고 개인정보자기결정권의 취지를 고려하여 이용자가 열람청구할 수 있는 대상이라고 본 데서 보다 진일보한 판결이다. 개인정보의 수집, 이용, 제공의 모든 과정에서 정보주체의 개인정보자기결정권을 보호하려는 정보통신망법상 여러 규정 취지에 비춰볼 때, 수사기관의 통신자료제공요청이라 해서 개인정보자기결정권의 충실한 행사를 위해 가장 중요한 정보인 ‘요청사유’, ‘필요한 자료의 범위’ 등을 공개할 수 없는 것은 아니라는 게 판결의 핵심이다.

현재 SK텔레콤과 LG유플러스를 상대로 한 통신자료제공요청서 공개청구소송은 대법원에 계속 중이다. 그 외에도 참여연대 공익법센터가 이통3사를 상대로 기본적인 통신자료제공사실조차 알려주지 않은 것에 대해 제기한 열람청구 및 손배소송도 고등법원에서 승소한 뒤 수년째 대법원에 머물러 있다. 또한 그 동안 사법기관의 통제 없이 무분별한 수집으로 국민의 통신비밀을 침해한다는 비판이 끊임없이 제기되어 온 통신자료에 대해서 감청이나 통신사실확인자료처럼 법원의 사전통제를 거치도록 하는 입법개정안도 국회에 발의되어 있다. 이번 판결이 수사기관의 통신자료제공요청에 대한 대법원의 올바른 사법적 판단과 국회의 법률개정에 유의미한 동력이 되기를 기대한다.

[원문보기/다운로드]

통신자료, 개인정보, 전기통신사업법, 민간인사찰, 통신자료제공요청, 승소, 참여연대, 권력감시

금, 2018/06/22- 10:35

137

시대에 역행하는 국내 서버 설치 의무 법안을 당장 철회하라! – 모든 트래픽의 감시와 검열을 조장하는 변재일 의원의 정보통신망법 개정안에 반대한다

시대에 역행하는 국내 서버 설치 의무 법안을 당장 철회하라!

모든 트래픽의 감시와 검열을 조장하는

변재일 의원의 정보통신망법 개정안에 반대한다

최근 더민주당 변재일 의원은 국내 서버 설치를 의무화하는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’(이하 ‘정보통신망법’) 일부개정법률안을 대표발의했다. 본 개정안은 정보통신서비스 제공자 중 일정 기준에 해당하는 자에게 이용자가 정보통신서비스를 안정적으로 이용할 수 있도록 국내에 서버를 설치하는 등 기술적 조치를 할 의무를 지우고, 이를 위반할 경우 방송통신위원회가 해당 정보통신서비스 제공자에게 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있도록 하고 있다. 이러한 국내 서버 설치 의무법은 결국 중국과 러시아 등에서 실시하고 있는 데이터 현지화 또는 국지화(data localization) 제도와 유사하면서도 더 광범위하고 세계적으로도 유례가 없는 ‘트래픽 현지화’ 제도를 창조하는 것으로 문제가 매우 심각하다.

변재일 의원은 제안이유로 “망 사용료 분담과 관련된 분쟁 과정에서, 글로벌 콘텐츠 사업자가 일방적으로 이용자의 콘텐츠에 대한 접속 경로를 변경하여 이용자들이 서비스 속도 저하 등 불편을 겪는 사례가 발생”한 바 있고, “이러한 상황이 심화될 경우 국내 사업자와 글로벌 사업자 간의 역차별 이슈가 지속적으로 제기될 가능성”이 높으므로 글로벌 콘텐츠 사업자에게 국내에 서버를 설치하게 해서 이용자에게 안정적인 서비스를 제공할 수 있도록 해야 한다고 주장하고 있다. 여기서 언급한 사례는 방송통신위원회가 지난 3월 과징금을 부과한 페이스북 접속 경로 임의변경 건인데, 그 대응책으로 페이스북, 구글, 넷플릭스 등과 같은 글로벌 CP(콘텐츠 사업자, Content Providers)들에게 무조건 국내에 서버를 설치하게 하자는 것이다.

그러나 국내에 서버를 설치해야만 이용자에게 안정적인 서비스를 제공할 수 있다는 주장은 근거가 없을 뿐만 아니라 우리나라에만 존재하는 갈라파고스적 규제로써 역차별 해소는커녕 오히려 국내 인터넷 기업들에게만 추가적 부담을 안겨 역차별을 초래할 수 있다. 그리고 무엇보다도 개정안의 더 큰 문제는 데이터 현지화의 도입이다. 데이터 현지화는 글로벌 IT 기업에게 개인정보의 보관·처리를 위한 서버를 반드시 자국 내에 설치하도록, 즉 데이터를 국내에 보관하도록 강제하는 것을 말한다. 데이터 현지화는 국경을 초월한 정보의 자유로운 이동이라는 인터넷의 본질을 정면으로 부정하는 것으로, 온라인에 디지털 장벽을 세워 자유와 개방의 인터넷을 조각내고 파편화시켜버린다. 이로 인해 인터넷 이용자들은 카카오톡 감청 사태 때처럼 현지 정부와 기업의 감시와 검열로부터 사이버 망명을 떠날 수 있는 자유를 빼앗기게 된다.

데이터 현지화는 아주 극소수의 공산주의 국가나 동남아의 일부 국가가 도입한 제도이다. 중국이 소위 만리방화벽(great firewall)이라는 인터넷상 국경을 유지하고 있던 유일한 국가였고, 2017년부터는 네트워크 안전법을 시행해 중국에서 수집된 개인정보를 현지 서버에 저장하도록 의무화하고 수사상 필요시 제공하도록 하고 있다. 그리고 러시아가 2015년부터 연방법에 의해 러시아 국민의 개인정보를 자국 내 데이터 베이스에 저장하도록 하고 있으며(그렇다고 국외 보관이 금지된 것은 아니다), 베트남과 인도네시아에서 콘텐츠 사업자들에게 제한적인 서버 설치 의무를 지우고 있는 정도이다. EU GDPR상의 개인정보의 역외 이전 제한도 일종의 데이터 현지화라고 하지만, 국내 서버 설치 의무와는 차원이 다르다.

그런데 앞서 언급했듯 본 개정안은 단순한 데이터 현지화에서 나아가 광범위한 트랙픽 현지화를 내정하고 있다. 다른 나라의 예에서 보듯 국가안보 등의 목적이나 자국민의 개인정보로 대상을 한정한 것이 아니라, 모든 서비스 제공을 위한 서버를 국내에 두라고 하고 있기 때문이다. 이에 따라 이용자의 개인정보뿐만 아니라 서비스 이용정보를 포함한 모든 정보가 국내 서버에 저장될 것이기 때문에 결국 국가에 의한 감시와 검열이 훨씬 쉬워지게 된다. 감시와 검열을 피해 한메일을 쓰다가 지메일로 옮기거나, 카카오톡을 쓰다가 텔레그램으로 이동할 이유가 없어지는 것이다.

부차적으로는 소비자들의 서비스 선택권에도 큰 영향을 미치게 된다. 한국에 서버를 둘 계획이나 능력이 없는 정보통신서비스 제공자의 경우에는 서비스를 아예 제공하지 않거나 한국 소비자 맞춤형 서비스를 제공하지 않을 것이기 때문이다. 또한 국내 사업자의 경우도 좀 더 값싼 해외 클라우드 컴퓨팅 서비스를 이용하지 못 하게 되고, 스타트업들은 울며 겨자 먹기로 세계적으로 가장 비싼 수준인 우리나라 ISP들의 서비스를 이용할 수밖에 없다. 이러한 제약들은 결국 IT 산업의 혁신 저해로 귀결될 것이다.

이렇게 4차 산업혁명 시대에 역행하는 국내 서버 설치 의무 법안을, 그것도 정보통신부 차관 출신이며 국회 과학기술정보방송통신위원회 소속 변재일 의원이 대표발의했다는 것은 해당 산업에 대한 몰이해와 전문성 부족을 여실히 드러낸다고 하겠다. 변재일 의원은 모든 트래픽의 감시와 검열을 조장하는 정보통신망법 개정안을 당장 철회하라!

2018년 9월 18일

사단법인 오픈넷

문의: 오픈넷 02-581-1643, [email protected]

논평/보도자료, 프라이버시, 혁신과 규제, data localization, 감시, 개인정보, 검열, 국내서버설치의무화, 글로벌 CP, 변재일의원, 역차별, 정보통신망법, 테이터국지화, 트래픽현지화

화, 2018/09/18- 13:33

134

[이슈리포트] 그 많은 내 개인정보는 누가 다 가져갔을까 - 2007-2017 개인정보수난사 Worst 44

10년간 개인정보 60억 건 이상 무단 유출, 활용

참여연대, 개인정보 침해사례 44건 분석 결과 이슈리포트 발표
반복된 유출, 오남용에 대해 기업의 법적 책임은 매우 불충분
현행 개인정보 정책방향은 개인정보 침해위험과 규모 증가시킬 것

참여연대 공익법센터(소장 양홍석 변호사)는 오늘(10/1) 2007년부터 2017년 사이 한국사회에서 발생한 주요 개인정보 침해사례 44건을 분석한 이슈리포트 「 그 많은 내 개인정보는 누가 다 가져갔을까 - “2007-2017 개인정보수난사 worst 44” 」를 발표했다.

최근 정보주체의 동의 없는 개인정보의 이용과 결합 ·유통을 활성화하려는 정부의 정책방향이 프라이버시 침해 위험을 키운다는 문제제기에 대해 정부는 안전하게 활용하겠다는 것만을 강조하고 있다. 참여연대 공익법센터는 지난 10여년간 한국사회에서 개인정보가 얼마나 소홀히 다뤄져왔는지, 유출이나 오남용에 대한 법적 책임 부과나 사회적 대응은 충분했는지 살펴보고, 정부의 개인정보 정책방향에 대한 시사점을 얻기 위해 이번 이슈리포트를 기획했다.

2007년부터 2017년 사이 개인정보 침해사례 44건을 분석한 결과, 60억 건이 넘는 개인정보가 유출되거나 무단 활용, 제공된 것으로 나타났다. 개인정보 침해사례는 개인정보를 대량 보유한 대기업, 특히 통신, 카드, 금융회사에서 빈번히 발생하였다. 침해사례의 유형별로 해킹에 의한 유출 23건, 직원에 의한 유출 9건, 무단사용․판매 9건, 관리 소홀로 인한 노출 3건을 분석하였는데 이중 개인정보 유출규모로는 무단사용판매가 59억 건으로 제일 큰 것으로 나타났다.

최근 빅데이터 수요 증가와 기술 발전으로 개인정보 중 식별요소의 일부를 가공한 뒤 정보주체 동의나 법적 근거 없이 대규모로 무단 사용, 판매하는 사례가 증가하고 있는데, 이러한 위법행위는 비영리재단이나 공공기관에서까지 행해진 것으로 드러났다. 약학정보원은 2011년~2014년 국민 의료정보 43억 건을 빅데이터 회사인 IMS헬스에 판매하였고, 국민의 의료정보를 엄격히 보호해야 할 건강보험심사평가원은 2017년까지 6400만명 분의 표본데이터셋을 민간보험사 등에 판매한 것으로 드러났다.

반면 개인정보 침해사고에 대한 감독기관의 과태료, 과징금 등 행정적 제재는 매우 낮은 것으로 나타났다. 대표적으로 1억 건이 넘는 개인정보가 유출된 카드3사(국민카드, 농협카드, 롯데카드)의 경우 감독기관의 행정처분은 과태료 600만 원 부과에 불과했다. 또한 일부 피해자들이 소송을 제기하더라도 피해를 구제받기 어려운 것으로 나타났다. 법원은 해킹에 의한 정보유출의 경우, 기업의 배상책임을 대부분 인정하지 않고, 무단유출 등으로 배상이 인정된다 해도 원고 1인당 10만원 내외에 불과해 결과적으로 기업은 충분한 법적 책임을 지지 않은 것으로 나타났다. 참여연대는 솜방망이 행정제재와 법원의 소극적 판결은 기업으로 하여금 개인정보 보호와 보안에 투자할 유인을 낮춘다는 점에서 결국 반복되는 개인정보 침해사고의 주요 원인이라고 주장했다.

참여연대는 지난 10년의 사례를 통해 볼 때, 개인정보의 동의 없는 결합과 집적, 유통을 대폭 확대하는 지금의 정책방향이 지속된다면, 더 많은 개인정보가 위험에 노출될 것이고 이에 대한 충분한 사회적 제재나 권리구제도 기대하기 어려울 것이라고 강조했다. 또한 빅데이터의 혜택을 강조하며 개인정보의 수집, 활용을 확대하는 방향으로만 정책을 추진할 것이 아니라, 개인정보를 필요이상으로 과도하게 수집하지 않고 충분한 보호조치를 취할 수밖에 없도록 정책을 설계해야 한다고 주장했다. 이를 위해서는 ▷개인정보 수집단계에서부터 목적구속원칙과 최소수집원칙을 담보할 수 있는 제도개선 ▷정보주체가 자신의 개인정보의 수집범위나 활용 여부를 통제할 수 있는 권리 실질화 ▷ 개인정보 보호를 위한 법제 및 감독기구 개선 ▷ 권리구제를 활성화하기 위한 집단소송제도 도입 및 징벌적 배상제도 확대 등이 이루어져야 한다고 강조했다.

최근 국회에서는 신기술 서비스를 위해 개인정보 규제를 완화하는 정보통신융합법, 산업융합법, 지역특구법이 통과되었고, 개인정보의 동의 없는 활용과 결합을 일반적으로 확대하는 개인정보보호법의 개정도 정기국회 때 주요한 쟁점이 될 예정이다. 참여연대 공익법센터는 무분별한 개인정보 규제완화의 위험성과 사회적 공론화 부재를 계속 지적하며, 정보주체의 권리를 보호하기 위한 활동을 지속할 예정이다.

▶︎ 보도자료 [원문보기/다운로드]

▶︎ 이슈리포트 "그 많은 내 개인정보는 누가 다 가져갔을까" - 2007-2017 개인정보수난사 worst 44 [원문보기/다운로드]