시민사회단체, 17개 광역시도지사에게 규제프리존법 공개질의서 발송

 

나머지 보기

 

나머지 보기

"세상 어디에도 이런 가이드라인은 없다"- 7일 경실련 등 시민사회 빅데이터 시대 개인정보 보호...

위험한 게임: 빅데이터와 개인정보 비식별 조치 가이드라인

글 | 민노씨(슬로우뉴스 편집장)

 

개인정보 플랫폼 기업이 개인정보를 판매 촉진 목적으로 활용하려고 할 때, 정보주체의 동의를 받아야만 하는지, 동의를 받지 않고도 분석, 가공, 판매할 수 있는지에 따라서 개인정보 플랫폼 기업에는 막대한 이윤 발생 여부가 결정된다. 이들의 이해관계가 첨예하게 걸려 있는 사안이다. (이은우 변호사, 정보인권연구소)

강원도에 사는 스무살 대학생 철수가 페이스북에 재잘거리는 한담이, 제주도에 사는 서른살 직장인 영희가 트위터에 올리는 짧은 한탄이 경제적인 가치를 지니는 ‘고급 정보’가 될 가능성은 그 자체로는 제로다. 하지만 10만 명의 철수가 100만 명의 영희가 모이면 얘기는 달라진다.

 

빅데이터, 그것이 문제로다 

오늘날 컴퓨팅 기술은 천문학적인 규모로 생산되는 무수히 다양한 개인의 디지털 정보를 드디어 ‘정복’하는 단계에 들어섰다. 그걸 상징하는 용어는 ‘빅데이터’다. 이제 쓰고, 말하며, 대화하고, 소비하는 물리적인 컴퓨터 서버의 어딘가에 저장된다. 이제 디지털 저장기술은 인간의 기억을 대신한다. 우리는 그저 끊임없이 생산하고, 소비하며, 흘려보내면 그뿐이다.

그런데 그렇게 디지털 전자신호로 서버 속 공간 아닌 공간을 흘러갔던 정보는, 철수와 영희는 영영 모르는 채로, 이제 산업적인 가치를 가지는 정보로 재가공된다. 누구도 감히 시도하지 못했던 정보의 총체적 재구성이다. 모든 흩어진 의미가 ‘찬란한 귀향의 축제’를 맞는다. 기업 입장에서는 서비스를 더욱더 진화시키고, 이윤을 극대화할 기회이자 재료다.

luckey_sun, “big data”, CC BY SA

하지만 개인정보 주체들에게는 디스토피아의 서막일 수도 있다. 근대 이후 개인은 자신의 권리를 지키기 위해 국가 권력으로부터 자신을 숨길 수 있는 권리(홀로 있을 권리)를 ‘획득’했다. 그리고 오늘날 문명화한 국가는 국가권력의 부당한 간섭으로부터 자신을 숨기는 것에 그치지 않고, 자신의 개인정보를 통제할 수 있는 권리를 명문의 법률로 규정했다. 자기 정보 통제권(혹은 개인정보 자기 결정권)은 그렇게 탄생했고, 그 권리는 그저 주어진 것이 아니다. 개인정보에 관한 권리에 눈뜬 근대적 자아가 획득한 전리품이다. (→ 참고: 거짓말할 수 있는 권리)

단, 이 자기 정보 통제권이 각자 자신에 대한 정보를 공개된 정보와 비공개된 정보 가릴 것 없이 자신이 소유한 자동차를 소유하듯이 마음대로 통제할 수 있는 절대적인 권리로 해석하면 그것은 곤란하다. 이는 타인들 간에 진실한 정보를 공유하는 생활에 검열권을 가지게 하는 셈이라서 자기 정보 통제권은 균형을 고려한 해석이 불가피하다.

 

위험한 게임, ‘개인정보 비식별 조치 가이드라인’

기업에 빅데이터가 잠재적 부가가치를 창출할 가능성이라면, 자기 정보 통제권을 자신도 모르는 사이에 빼앗길 수 있는 개인에게는 잠재적 공포다. 그 ‘위험한 게임’이 지금 막 시작됐다. 이름은 ‘개인정보 비식별 조치 가이드라인’.

• 국무조정실
• 행정자치부
• 방송통신위원회
• 금융위원회
• 미래창조과학부
• 보건복지부

참여 부처의 이름에서 확인할 수 있듯 그야말로 통합 가이드라인이다. 그 골자는 이렇다.

‘개인정보라고 하더라도 비식별 조치(익명화)를 거치면 정보주체의 사전 동의 없이 기업이 이를 활용하도록 할 수 있다.’ 

개인정보 비식별 조치 가이드라인 (국무조정실, 행정자치부, 방송통신위원회, 금융위원회, 미래창조과학부, 보건복지부, 2016. 6) 중에서

 

가이드라인의 쟁점 

이 글은 가이드라인의 개요와 쟁점을 단계적 ‘Q&A’ 형식으로 독자에게 최대한 쉽게 전하는 것을 목표로 한다.

 

1. ‘빅데이터’란 무엇인가

가이드라인의 중심에 있는 화두는 ‘빅데이터’다. 빅데이터 산업 육성이라는 가치와 개인보호라는 가치를 조화롭게 공존하게 하는 게 가이드라인의 취지라면, 이에 시민단체(오픈넷)와 정부(행자부)의 평가와 시각 차이는 명확하다.

오픈넷은“법률적으로 빅데이터에 대하여 정의된 바는 없다”고 전제한 뒤, “최근 빅데이터라는 단어 자체에 천착하여 빅데이터 산업의 진흥만이 주로 논의될 뿐, 빅데이터 환경이 정보 주체의 개인정보 자기결정권에 미치는 영향에 대한 논의는 부족“하고, 가이드라인도 이런 “흐름의 연장선”에 있다고 지적한다.^[2]

Intersection Consulting, CC BY NC

이에 대해 행자부는 빅데이터 산업 진흥과 개인정보의 관계는 “단순하게 이야기할 수 있는 성격은 아니”라면서, 이번 가이드라인이 데이터 이용함에 있어 “개인정보 보호를 위한 기준을 제시”했다고 자평한다.^[3]

 

2. ‘비식별 조치’란 무엇인가

가이드라인의 골자는 ‘비식별 조치’(익명화)다. 가이드라인은 비식별 조치 방법과 그 적정성을 평가하는 기준을 제시한다. 그런데 ‘비식별 조치’라는 용어, 익숙한가? 용어 정의부터 잘못됐다는 비판과 이에 대한 정부의 입장을 살펴보자.

연구소는 ‘비식별 조치’라는 표현 자체가 부적절하다면서 “용어 자체가 부적절한 법률용어”라고 말한다. 그렇다면 비식별 조치는 과연 어떤 의미일까? 개인정보 보호법제와 유사한 유럽연합과 일본의 용어 정의를 참고해보자.

• 유럽연합: “익명화된 데이터”(data rendered anonymous)^[4]
• 일본: 개인정보보호법의 개정시 “익명가공정보” 규정한다. 익명가공정보는 ‘특정 개인을 식별할 수 없도록 개인정보를 가공하여 얻어지는 개인에 관한 정보로서 해당 개인정보를 복원할 수 없도록 한 것을 말한다’고 정의한다.^[5]

더불어 ‘비식별 조치’ 혹은 ‘비식별화’라는 표현이 너무 모호하다고 지적한다. 가이드라인의 ‘비식별 조치가’가 ‘익명화’나 ‘익명정보’ 혹은 ‘익명가공정보’와 같은 의미라면 그냥 ‘익명화’나 ‘익명정보’로 쓰면 될 것을 “문법에도 맞지 않는 신조어”를 사용해 국민에게 혼동을 초래한다고 비판한다.

‘비식별 조치’는 쉽게 말해 ‘익명화’라고 할 수 있다.

반면 행자부는 익명화든 비식별 조치든 “이는 용어 선택의 문제일 뿐”이라고 일축하면서, “내용이 중요하지 용어 선택은 부차적”이라고 말한다. 그러면서 “요즘은 국제적으로 ‘비식별화’를 쓰는 추세”라고 부연한다.^[6]

한편, 오픈넷은 연구소 입장에 동의하면서, ‘익명화’라고 표현해야 정확하다는 입장이다.^[7]

 

3. 가이드라인의 ‘비식별 조치’ 평가 기준은 타당한가

여러 문제와 논란은 별론으로, 우선 가이드라인의 내용에 집중해 보자. 가이드라인은 ‘비식별 조치’와 이에 대한 적정성의 평가 기준과 절차를 규정한다. 그럼 가이드라인에서 제시하는 ‘비식별 조치’의 기준은 과연 합리적일까.

개인정보 비식별 조치 가이드라인 (국무조정실, 행정자치부, 방송통신위원회, 금융위원회, 미래창조과학부, 보건복지부, 2016. 6) 중에서

연구소는 가이드라인의 위 해당 문답을 해석하면 “이는 재식별 가능성이 현저하지 않은 것은 개인정보보호법을 준수하지 않아도 된다는 것”이라면서 “유럽연합에서 익명정보가 ‘더 이상 재식별 가능성이 없는 것’을 의미한다고 지적한다. 더불어, 일본의 개인정보보호법에서도 ‘익명가공정보’란 복구 불가능한 것이라고 정의하고 있는 것과 비교할 때 잘못”이며, “재식별 위험이 현저하지만 않다면 개인정보 주체는 그 위험을 감수하라”는 가이드라인이라고 비판한다.

이에 대해 행자부는 해당 문답의 표현 중 “현저히”는 ‘강조 수사’에 불과”하다며, “해당 문구에 큰 의미를 부여할 필요가 없다”고 답변했다. 가이드라인의 “전체 체계”가 중요하고, 해당 문구는 “강조 수식에 불과”하다는 입장이다. 참고로, 행자부는 인터뷰에서 가이드라인의 법적 성질을 묻는 질문에 “유권해석집”이라고 답했다

한편, 오픈넷은 “표현의 모호성 때문에 ‘가이드’의 역할도 제대로 하지 못할 것”이라고 말하면서 가이드라인이 ‘유권해석집’이라면, “구체적인 법 규정에 대한 해석이어야” 할 텐데, “비식별 조치라는 것은 기존 법에도 없는 새롭게 창조한 개념”이고, 이를 해석한다고 하니 “내용뿐만 아니라 법적인 근거나 성질도 모호할 수밖에 없다”고 비판했다.

 

4. 비식별 조치에 대한 적정성 평가 

가이드라인은 비식별 조치가 제대로 이뤄졌는지 평가하는 기준을 정한다. 이 적정성 평가 기준은 과연 타당한 것일까. 연구소는 ‘형식적이기 짝이 없다’고 비판하고, 행자부는 ‘다른 대안이 없다’고 말한다.

연구소는 가이드라인의 “적정성 평가 기준은 형식적이기 짝이 없다”면서 “K(익명성), L(다양성), T(근접성)의 세 가지 방법의 익명화 기술을 적용하라는 것”은 “겉으로는 복잡해 보이지만, 단순하기 그지 없다”고 지적한다. 그리고 무엇보다 이들 방법과 기준은 “재식별 가능성이 농후한 방법으로 지목받아 왔던 기술”이라고 비판한다.

이에 대해 행자부는 연구소의 비판은 “비판을 위한 비판”이라고 반박한다. “현재로썬 KLT 외에는 현실적인 대안이 없”고, “(오히려) 유럽에서는 K를 의무화하지 않았지만, 우리는 K를 의무화했다”면서 그만큼 개인정보 보호에 신경 쓰고 있다고 강조했다.

오픈넷은 해당 기술의 재식별 가능성도 중요한 이슈지만, “개인정보처리자 입장에서 특정 기술을 이용한 비식별 조치만을 취하면 개인정보가 아닌 것으로 추정되는 것인 양 오독할 여지가 큰 가이드라인 규정의 모호성이 가장 큰 문제”^[8]라고 지적한다.

 

5. 적정성 평가단: 고양이에 생선가게 맡기기? 

가이드라인은 분야별 전문기관을 두고, 이 전문기관이 비식별 조치의 적정성을 평가하게 한다. 그런데 이 적정성 평가 기관에 ‘한국신용정보원’과 같은 빅데이터 산업과 이해가 직결한 이익단체가 속해 있어 문제다. ‘고양이에게 어물전을 맡기는 꼴’이라는 비판이 나오는 이유다.

연구소는 이들 기관이 “공정성을 기대하기도 어렵고, 혼란만 야기할 것”이라면서 특히 분야별 전문기관 중에는 “특히 사업자들 모임인 한국신용정보원이 포함”돼 있고, 금융보안원, 사회보장정보원, 한국정보화진흥원 등은 “성과 위주의 조직”임을 지적한다.

특히, 한국신용정보원은 금융업계 모든 고객의 신용정보를 통합해서 관리하는 기관(세계 최초)으로 여기엔 이들은 빅데이터 활용에 가장 큰 이해관계를 가진 다음 ‘이익단체’들이 참여한다. 더불어 이들 협회 소속 기업에서 그동안 각종 개인정보 유출 사고가 연례행사처럼 이어져 왔던 건 주지의 사실이다.

• 은행연합회
• 금융투자협회
• 여신금융협회
• 생명보험협회
• 손해보험협회 등

빅데이터 산업에 직접적인 이해관계를 가진 ‘이익단체’가 적정성 평가를 한다?

이에 대해 행자부는 연구소 측에서 특히 문제 삼은 ‘한국신용정보원’은 “우리가 지정한 게 아니라 금융위원회가 지정한 것”이라면서, “분야별로 소관 부처에서 관련 기업을 지원할 수 있는 기관을 지정한 것”이라고 우회적으로 답변했다.

이 문제 관해 오픈넷은 “전문기관 자체가 법률에 근거가 없”고, “정보주체들로부터 개인정보의 처리 권한에 대한 동의를 받지 않”았으므로, “사업자 모임 여부와 상관없이 부적절하다”고 답했다.

 

6. 입증책임 문제 

가령, A라는 기업이 철수와 영희의 신용카드 구매 정보를 ‘비식별 처리’해서 B라는 기업에 팔았다고 가정해보자. 이때 비식별 처리가 제대로 이뤄졌다는 ‘입증’ 책임은 누가 질까? 철수와 영희일까? 아니면 A와 B라는 기업일까?

연구소는 가이드라인이 “비식별 조치가 적정하다는 평가를 받으면 해당 정보는 개인정보가 아닌 것으로 추정”된다고 규정하므로, 해당 정보를 어떤 개인이 “개인정보라고 주장하려면 개인정보 주체가 이를 입증해야 한다”고 해석한다.

이에 대해 행자부는 연구소 측 주장은 “근거 없는 주장”이라면서, “가이드라인에는 그런 내용이 없”으며, “당연히 비식별 조치를 한 측에서 (비식별 조치의 정당성과 적정성을) 입증해야 한다”고 말한다.

개인정보 비식별 조치 가이드라인 (국무조정실, 행정자치부, 방송통신위원회, 금융위원회, 미래창조과학부, 보건복지부, 2016. 6) 중에서

입증책임 논란에 대해 오픈넷은 법원에 까지 가는 사안이 생기면, 법률에 근거가 있는 것은 아니지만  “가이드라인이 ‘추정한다’고 하니 반증이 없는 한 개인정보가 아닌 것으로 판단”될 가능성이 높다고 연구소 측에선 해석한 것이고, 행자부 쪽에선 원칙적으로 법원이 가이드라인에 구속되지 않으니 “각자도생’해야 한다는 식으로 답변”한 것으로 보인다면서, “가이드라인에 법적 근거가 없는 이상 개인정보처리자인 기업들 역시 가이드라인에 따라 비식별조치된 정보를 섣불리 수집 목적 외로 이용하거나 제3자 제공에 나서지는 않을 것”이라는 게 현 시점에서 가이드라인의 위치라고 답했다.

‘비식별 처리’ 문제로 ‘분쟁’이 생겨 법원에 가는 일이 생기면, 기업과 일반 시민 중에서 누가 입증책임을 질까?

연구소 측에 행자부 답변 내용을 전하자, 연구소 측에선 “가이드라인이 입증책임과 관련 없다면, 가이드라인(의 해당 문구)은 존재할 필요가 없다”면서, “가이드라인의 논리 체계에 반하는 해석을 주무 공무원이 공식적으로 답하는 것은 아주 무책임하다”고 논평했다. 더불어 가이드라인에 참여한 행정부처들을 고려하면 현실적으로 “어떤 개인이 ‘재식별화가 제대로 되지 않았다고 신고했을 때, 경찰이 어떤 기준을 따르겠는가?”라고 반문하면서, “경찰 수사에 있어서 가이드라인은 실질적인 수사 기준이 될 것”이라고 전망했다.

생각건대, 행자부의 답변은 궤변이다. 연구소나 오픈넷의 지적처럼, 가이드라인를 준수한 기업조차 다시 재판에서 ‘입증책임’의 부담을 져야 한다면 가이드라인의 존재 근거가 없고, 기업은 가이드라인을 따를 이유도 없다. 반면에 그렇다고 입증책임을 개인에게 지운다면 이는 더 큰 문제다. 가이드라인의 딜레마인 셈이다.

 

7. ‘결합지원’ 문제 

가이드라인은 각각 비식별 조치를 한 개인에 관한 별개 정보집합물을 전문기관에서 개인별로 결합시켜 주겠다고 한다. 예를 들면, 비식별 조치를 한 통신사 고객정보와 비식별 조치를 한 신용카드사 고객의 신용카드 사용정보를 전문기관에 보내주면 각 개별로 결합시켜 결합정보를 제공하겠다는 것이다.

예를 들어 가이드라인은 00홈쇼핑의 고객정보와 xx카드사의 구매금액 상위 10% 고객의 구매 내역 정보를 결합하여 xx카드사의 구매금액 상위 10% 고객 중 00홈쇼핑 고객을 골라 내서 구매내역을 분석할 수 있다고 한다. 이것은 홈쇼핑과 카드사가 고객의 동의도 받지 않고, 카드 구매내역을 분석하도록 허용하는 것과 같은 결과를 초래한다.

특히 결합은 산부인과나 산후조리원, 초등학생이나 유아 등 민감한 정보에도 무방비다. 이런 식이면 산부인과나 산후조리원은 환자나 산모의 동의도 받지 않고 임신, 출산한 고객 중 월 500만 원 이상 신용카드를 이용한 고객의 구매내역을 분석할 수도 있고, 초등학생 대상 학원에서는 초등학생이나 부모의 동의를 받지 않고도 통신사로부터 초등학생의 이동경로를 분석할 수도 있게 된다. 당사자는 이런 정보 결합에 대해 알지도 못하고, 반대할 기회도 갖지 못한다. (연구소 발제문 참조)

연구소는 비식별 조치를 했지만, 개인을 결합할 수 있다는 것은 “비식별 조치를 한 정보가 익명정보가 아니라는 것을 반증”하는 것이라면서 “만약 개인을 식별할 수 없도록 익명정보로 만들었다면 익명정보가 누구의 정보인지를 알 수 없는 것이기 때문에 다른 정보와 결합하는 것은 불가능하다”하다고 지적한다.

결합지원 이슈에 대해 행자부는 “리스크를 최소화하면서 나름으로 안을 짰는데, 결과적으로 유럽과 유사”하게 됐다면서 “신뢰할 수 있는 제3기관을 통해서 지원”하는 것이라고 답했다.

오픈넷은 “법률적 근거가 없는 전문기관에 의한 결합지원 역시 개인정보 자기 결정권을 침해”할 수 있다고 지적했다.

비식별 조치된 정보의 ‘결합지원’ 문제 역시 가이드라인이 다루는 중요한 문제 중 하나다.

 

왜 가이드라인가, 누구를 위한 가이드라인가 

행자부는 가이드라인의 법정 성질을 (개인정보보호법에 관한) “유권해석집”이라고 말한다. 그런데 왜 법을 개정하지 않고, 가이드라인으로 만들었을까? 행자부는 “법 개정은 오히려 업계에서 하는 주장”이라면서, “일본법은 개정안이 통과돼서 내년부터 시행될 예정”이라며 “(일본은) 법에서 규정한 안전조치(비식별 조치)를 준수하면, 기업의 책임이 면제”되므로, 우리나라 “업계에서도 법 개정을 원한다”고 말한다.

하지만 연구소 측은 “법률 개정이 필요한 사항을 가이드라인으로 만드는 것은 입법권을 무시하는 처사”라면서 가이드라인은 “상당한 재식별 가능성이 있어도 이를 무시하고 개인정보보호법의 적용을 배제”하고 있으므로, “즉각 폐기해야” 한다고 주장한다.

말도 많고, 탈도 많은 가이드라인, 과연 누구를 위한 것일까?

기업의 선의를 믿는다면, 기업은 더 좋은 서비스를 위해 비식별화한 정보를 활용할 것이고, 이는 서비스를 향유하고 소비하는 이용자에게도 좋은 일이다. 그리고 기업이 자신의 이익을 극대화하기 위해 재식별화하려는 욕망을 표출할 수밖에 없다는 견해도 부정적인 선입견일 수 있다.

하지만 인간은 과거에 있었던 행위를 회고하고, 성찰함으로써 미래를 전망한다. 기업의 개인정보 유출 사고뿐만 아니라 기업의 개인정보 ‘매매 사건’(홈플러스 사건), 거기에 더해 이런 개인정보 관련 사건 사고를 처리하는 국가권력(검찰)과 이를 최종적으로 판단하는 법원의 개인정보에 관한 인권 감수성(홈플러스 무죄 선고)을 떠올리면 개인정보의 주체, 그러니 평범한 시민이 기업의 선의, 관리자이자 감시자로서의 국가, 공정한 심판관으로서의 법원을 손쉽게 믿어주기 어려운 것 역시 사실이다.

홈플러스가 법을 위반해 번 돈은 4년간 약 232억 원. 2015년 4월 27일 공정위가 부과한 과징금은 4억3,500만 원. 그리고 법원에서는 무죄. 홈플러스 사건은 기업이 개인정보를 다루는 관점과 방식, 국가기관의 관리감독 능력, 그리고 공정한 심판자로서의 법원의 판단, 이 모두가 여전히 신뢰를 보내기에는 부족하다는 사실을 여실히 드러낸 사건이다.

여기서 하나 더 질문해보자. 가이드라인이 아니면 정말 기업이 빅데이터 산업 분야에 제대로 뛰어들 수 없는 걸까. 우리나라 개인정보 보호법제는 빅데이터 산업 육성에 방해 요소일까. 이미 개인정보보호법^[9]은 “통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우” 동의 없이 새로운 목적으로 이용하거나 제3자에게 제공할 수 있다고 규정한다. 빅데이터는 바로 통계를 목적으로 삼고 있지 않나.

연구소는 “현재의 개인정보 보호법제는 빅데이터 활용에 장애 요소가 아니”라고 말하면서, 우리나라 공공 부문에서 발주하는 사업을 분석해 보더라도 공공 부문 빅데이터 활성화를 위해서는 “개인정보를 익명화하여 처리하거나 동의받는 것을 기초로 하더라도 충분하며, 비식별정보 동의 면제가 있어야만 빅데이터를 활용할 수 있다는 근거를 찾기 어렵다”고 주장한다.^[10]

빅데이터와 개인정보의 문제는 기본적으로 정보 처리 주체와 관리감독 기관에 대한 신뢰의 문제다. (출처: Julien Belli, CC BY)

 

그렇다면 가이드라인을 둘러싼 이 온갖 논란에 관한 해법은 무엇일까. 명확한 현실 인식은 그 해법을 마련하는 초석이다. 오픈넷의 답변으로 결론을 대신한다.

가이드라인 제정이 지나치게 급한 호흡으로 이루어졌다. 특히 시민사회의 의견 수렴이 매우 형식적으로 이루어졌다. 즉 가이드라인은 빅데이터 산업 진흥이라는 버즈워드(buzz word)에 천착한 것이라고 본다. 그리고 가이드라인 상 비식별 조치에 의한 “동의” 면제 시도는 개인정보 자기 결정권을 무력화할 우려가 크다.

정보주체의 동의 없이는 원칙적으로 개인정보를 수집하거나 이용할 수 없다는 “동의” 제도는 개인정보 자기결정권을 실질적으로 구현하는 방법으로 현재 개인정보 보호 법제에서 핵심적인 위치를 차지하고 있기 때문이다. 가이드라인의 뼈대라 할 수 있는 “비식별조치에 의한 동의 면제”는 개인정보 자기결정권의 핵심을 이루는 “동의” 제도를 무력화하는 것으로 이는 법률 개정으로 다루어야 할 문제이다.

특히 가이드라인에 따른 비식별 조치를 거쳤다고 하더라도 개인정보 재식별 위험성은 주민등록번호 제도 및 인터넷 상 본인확인을 강요하는 수많은 법률에 의해 그 어느 나라보다도 크다. 특히 본인확인기관으로 지정된 이동통신사는 식별 가능성이 가장 크다.

오히려 사물인터넷과 빅데이터 시대에 동의에 기반한 개인정보보호가 불충분하다. 어떻게 개인정보 자기 결정권을 보장할 수 있을 것인가에 대한 발전적 논의가 필요한 시점이라고 할 수 있다. 더불어 법적 근거 없는 전문기관의 운영은 매우 위험한 발상이며 개인정보보호위원회의 개인정보보호 콘트롤 타워로서의 기능 확립 필요하다.

우리나라의 주민등록제도는 특히 재식별화의 치명적인 위험 요소다. 왜냐하면, 주민등록번호가 모든 자물쇠를 여는 ‘만능열쇠’ 역할을 할 수 있기 때문이다.

——————————————-

[1] 이은우, 마케팅 활용 목적 빅데이터 활용과 판매: 개인정보 플랫폼 기업의 탐욕과 비식별화 조치 가이드라인 (빅데이터 시대 개인정보 보호를 위한 정책토론회, 2016. 9. 7. 국회의원회관 제9간단회의실) 별도 인터뷰 인용이 아닌 문단에는 문단이 끝나는 위치에 괄호( )로 해당 발제문의 페이지 수를 표시했음.

[2] 다만, 빅데이터는 통상적으로 사용되는 데이터 수집, 관리 및 처리 소프트웨어의 수용 한계를 넘어서는 크기의 정보라고 정의되며, 데이터의 양(volume), 데이터 입출력 속도(velocity), 데이터 종류의 다양성(variety)데이터의 양(volume), 입출력 속도(velocity), 종류의 다양성(variety)이라는 세 개의 차원에서 분석할 수 있다(가트너 보고서). 이를 빅데이터의 3V라고 하는데, 3V가 커질수록 그 데이터의 산업적 가치는 높아지지만, 이에 비례하여 개인정보의 유출 위험성이나 개인정보 자기결정권이 침해될 가능성도 커진다.

[3] 현 가이드라인이 기존에 행자부, 미래부, 방통위에 존재했던 개별안들이 ‘비식별’ 기술를 소개하고, 안내하는 수준이었다면, 검증절차와 보호조치에 관한 내용을 보완하면서 기존 개별안들을 통합한 것이다.

[4] 개인이 더는 식별될 가능성이 없다면(“no longer possible”) 개인정보로 보지 않는다고 규정한다.

[5] 그러면서 미국은 ‘개인정보’라는 개념 대신 ‘개인식별가능정보’(personally identifiable information)라는 개념이 법령에 정의되어 제한적인 보호 대상이 되고 있다고 더불어 언급하는데, 미국은 우리나라의 개인정보보호법제와 다르기 때문에 미국에서 개인정보호보규범이 적용되지 않는 범위를 규정한 비식별화(‘de-identification’) 규정이나, 그에 따른 비식별화(‘de-identification’) 가이드라인을 법제가 다른 우리나라 개인정보보호법에서는 그대로 적용할 수 없는 규정이라고 설명한다.

[6] 참고로, 현행 개보법에는 ‘비식별 조치’라는 용어나 표현은 없다. 다만 법(제18조 제2항 제4호)에서는 개인정보처리자 동의 없이 수집 목적 외로 이용하거나 제3자 제공이 가능한 예외로 “통계작성이나 학술연구 등의 목적으로 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공할 수 있다.” 고 규정하는데, 이 규정에서 개인정보를 “특정 개인을 알아볼 수 없는 형태”로 변환하면 제한적 목적(통계작성이나 학술연구 등)이긴 하나 동의 없는 이용이나 제공이 가능하므로 이를 ‘비식별 조치’ 혹은 ‘익명화’를 간접적으로 언급한 규정이라고 할 수 있다.

[7] 가이드라인이 창설한 비식별화(비식별 조치) 개념은 재식별화하여 개인정보로 인정될 위험성이 상존해 있는 상태를 의미하며, 만약 비식별화를 거쳐 동의 없이 이용, 제공한 경우 식별 여부에 대한 사법적 판단에 따라 특정 시점에서는 개인정보보호법을 위반할 우려가 있는 법적으로 매우 불안정한 상태를 의미한다.(오픈넷)

[8] 물론 가이드라인에서는 특정 기술조치 여부뿐 아니라 종합적 관점에서 판단한다고 이야기하고 있긴 하다.

[9] 제18조 제2항 제4호

[10] 유럽연합은 우리 법제보다 빅데이트 활용과 관련하여 프로파일링에 대한 규율을 신설, 보완하고, 동의에 대한 규정, 투명성에 대한 규정 등과 관련하여 개인정보주체의 권리를 강화하는 방향으로 법률을 개정하고 있다. 그런데 유럽에서 개인정보보호법제 때문에 빅데이터 활용에 제약이 있다는 움직임을 보이지는 않는다. 기업이 재식별화할 의사가 없더라도 재식별화할 가능성이 있다는 것이 문제고, 비식별화한 정보가 다른 업체에 매매됐을 때 다른 정보와 결합해서 손쉽게 재식별화된다는 것이 문제다. 이는 MIT 미디어랩의 연구를 통해서도 실증됐다. 가령 카드사의 구매 정보를 비식별화해서 이 정보를 이통사(이동정보)에 넘겼다면, 두 가지 정보가 결합되면 누가 어디서 어떤 물건을 구매했는지 알게 된다. 재식별화 의지가 없다라도 자동적으로 재식별화된다. 재식별화하면 훨씬 더 가치 있는 정보가 되는데 기업에서 안 할 이유가 있겠나. 더불어 재식별화 의지가 없더라도 해당 정보가 유출되어 악용될 가능성이 상존하니 그것도 문제다. (연구소)

* 위 글은 슬로우뉴스에 동시 게재하고 있습니다. (2016.10.06.)

집회 채증 사진의 증거능력을 엄격하게 판단한 법원 판결에 대한 논평

경찰의 무분별한 채증 관행에 경종을 울린 법원 판단을 환영한다

 

집회 채증 사진의 증거능력을 엄격하게 판단한 법원 판결이 나왔다. 9월 29일 서울중앙지법 형사24단독 노서영 판사는 “채증사진 파일은 원촬영자가 누구인지 불분명하고 최소한의 신뢰성 확보장치도 미흡하여 증거능력을 인정할 수 없고, 이를 그대로 출력한 채증사진의 증거능력도 마찬가지”라며 피고인 김랑희씨에게 무죄를 선고했다. 우리는 집회 채증 사진의 증거능력을 엄격하게 판단한 이번 판결을 환영한다.

나머지 보기

오픈넷, 정부의 개인정보 비식별조치 가이드라인을 입법화하려는

정보통신망법 개정안(강길부 의원안)에 대한 반대의견 제출

 

• 빅데이터 시대의 개인정보보호는 대규모 개인정보 처리환경에서 개인정보처리자의 “투명성”과 “책임성” 강화 논의부터 시작되어야
• 비식별화만 거치면 제한 없이 동의 의무를 면제하려는 시도나 비식별화가 모든 문제를 해결할 것이라는 비식별화 만능주의 프레임을 지양해야
• 정부의 개인정보 비식별조치 가이드라인(2016)은 폐기하고 비식별화 적정성 평가단이 아닌 개인정보보호위원회가 컨트롤타워 역할을 해야 함
• 논의과정의 투명성 부족과 조급증도 문제- 이해당사자가 모두 참여하는 협의체를 구성하여 논의를 본격화해야

강길부 의원이 대표발의한 정보통신망 이용촉진 및 정보보호 등에 관한 법률 개정안 (이하 강길부 의원안: 첨부1)은 비식별화라는 개념을 추가하면서 비식별화한 개인정보를 이용자의 동의 없이 이용하거나 제3자에게 제공할 수 있도록 하고 있다. 오픈넷은 지난 2017. 1. 14. 아래와 같은 이유로 강길부 의원안 입법예고에 반대의견을 제출하였으며, 더불어 지난 2016년에 정부가 제정한 개인정보 비식별조치 가이드라인(이하 “가이드라인”)에 대해서도 폐기 의견을 함께 제시한다.

 

빅데이터 시대의 개인정보보호는 대규모 개인정보 처리환경에서 개인정보처리자의 “투명성”과 “책임성” 강화 논의부터 시작되어야

EU 개인정보보호감독관의 빅데이터 의견서(첨부2)에서 타당하게 결론 내린 것처럼 빅데이터의 진정한 위험 요소와 도전 과제는 대규모 개인정보 처리에 대한 “투명성 부족”과 “정보의 불균형”으로 인해 “개인정보보호 핵심원칙”이 위협에 빠진다는 것이다. 즉 빅데이터 시대에서 “알 수 없는 알고리즘”을 통해 정보주체에 대한 충분한 고지나 동의 획득 없이 개인정보 처리가 대규모로 이루어진다면 개인정보 처리에 관한 정보는 더욱 불균형해질 것이며 이로 인해 개인정보자기결정권은 형해화할 것이다.

우리나라의 경우 식별성이 가장 높은 주민등록번호가 여전히 이동통신사 등 사적 주체에 의해 행정 목적 외에도 널리 활용되고 있으며, 법령상 상존하는 각종 본인확인 의무로 인하여 비식별화를 거치더라도 결합을 통해 개인이 재식별될 위험성은 매우 크다. 특히 주민등록번호를 수집할 수 있는 본인확인기관에 개인정보가 고도로 집중되어 있다는 점도 재식별화 위험성을 가중시키고 있다.

요컨대 빅데이터 시대의 개인정보보호는 개인정보처리자의 “투명성”과 “책임성” 강화가 가장 중요한 고려 요소가 되어야 한다.

 

비식별화만 거치면 제한 없이 동의 의무를 면제하려는 시도나 비식별화가 모든 문제를 해결할 것이라는 비식별화 만능주의 프레임을 지양해야

 

(1) 비식별화 만능주의 프레임 지양해야

강길부 의원안은 개인정보처리자의 투명성과 책임성 강화에 대한 진지한 고민 대신, 비식별화 그 자체에만 천착하고 있다는 것이 핵심적 문제이다. 강길부 의원안은 대통령령이 정하는 비식별화 적정성 평가단(안 제28조의2 제2항, 이하 “평가단”)의 적정성 평가나 기술적 관리적 보호조치(안 제28조의5)의 구체적인 내용은 전혀 정하지 않았다. 막연히 추후에 제정될 대통령령에 의해 개인정보 보호가 충분히 이루어질 것이고, 비식별화만 이루어지면 빅데이터 산업이 부흥할 것이라는 소박한 믿음에 기초하고 있는 것이다.

 

(2) 비식별화만 거치면 어떠한 제한도 없이 동의를 면제 – 재식별 위험이 매우 큰 정보라는 점을 간과

강길부 의원안은 어떠한 방법으로든 비식별화가 이루어지면 어떠한 제한도 없이 개인정보보호법의 기본 원칙인 “동의 요건”을 광범하게 면제해주고 있어 문제이다. 이는 김병기 의원이 대표 발의한 개인정보보호법 개정안이 현행법과 같이 비식별화를 거친 정보라도 “정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 없을 경우”에만 동의 요건을 면제하고 있는 것과 비교된다. (첨부3: 김병기 의원안)

그러나 우리나라처럼 재식별 위험이 매우 큰 상황에서 비식별화한 정보에 어떠한 제한도 없이 이용 및 제3자 제공을 허용할 지 여부에는 매우 신중한 검토가 요구된다. 완벽한 비식별화 기술이란 존재하지 않으며, 평가단의 검증을 거쳤다고 비식별화의 적정성이 담보되는 것도 아니다.

한편 EU의 GDPR에서 강길부 의원안이 비식별화 방법으로 예시한 가명화(pseudonymisation)는 개인정보 보호를 위해 권장되는 수단이지 가명화한 정보에 대한 개인정보 보호를 배제하려는 것이 아님을 명확히 하고 있다. (recital 28 : The explicit introduction of ‘pseudonymisation’ in this Regulation is not intended to preclude any other measures of data protection.) 최근 개인정보보호법을 개정한 일본의 경우 GDPR과 달리 익명가공정보를 개인정보와 별개로 규정하여, 이를 이용하거나 제3자에게 제공하려는 개인정보처리자에게 익명가공정보에 포함되는 개인에 관한 정보의 항목을 공표 및 취지를 명시하도록 하는 등 개인정보와 준하는 취급을 하고 있다.

 

(3) 개인정보 정의조항의 변경 – 정보통신망법과 개인정보보호법과의 괴리 발생

강길부 의원안은 개인정보의 정의 중 다른 정보와의 결합가능성 부분에 “해당 정보를 처리하는 자”를 판단 기준으로 제한하고 있어 이 같은 제한이 없는 개인정보보호법과 간극이 발생하게 된다. 물론 개인정보보호법 정의 조항의 합헌적 해석상 결합가능성은 해당 정보를 처리하는 처리자의 입장에서 판단되어야 한다고 볼 여지가 있다. 그러나 개인정보 정의 규정은 개인정보보호법제의 핵심을 이루는 것으로 개인정보보호법의 정의조항은 그대로 둔 채 정보통신망법의 개정으로 손쉽게 접근할 문제가 아니다.

 

(4) 투명성, 책임성 요건 결여 – 정보주체의 통제권한 상실, 개인정보 유통에 대한 정보불균형 심화

강길부 의원안에는 빅데이터 시대의 개인정보 보호에 가장 핵심적인 투명성과 책임성 요건이 결여되어 있어 정보주체의 실질적 통제 권한이 상실되고 개인정보 유통에 대한 정보불균형이 더욱 심화할 우려가 크다. 강길부 의원안에 따르면 정보주체는 본인의 어떤 개인정보가 어떻게 비식별화 처리되는지 전혀 알지 못한 채 개인정보처리자의 선의 또는 평가단 적정성평가의 무결성을 기대할 수밖에 없는 셈이다. 이는 아래 일본의 개정 개인정보보호법이 익명가공정보에 포함되는 개인에 관한 정보의 항목을 공표하게 하는 등 최소한의 투명성과 책임성 요건을 갖춘 것과 비교해보아도 그러하다.

 

정부의 개인정보 비식별조치 가이드라인(2016)은 폐기하고 비식별화 적정성 평가단이 아닌 개인정보보호위원회가 컨트롤타워 역할을 해야 함

한편 지난 2016년 정부 각 부처는 개인정보 비식별조치 가이드라인을 제정하였는데, 가이드라인은 한 걸음 더 나아갔다. 비식별조치를 취하면 동의 요건을 아무런 제한 없이 면제하고 있을 뿐 아니라 반증이 없는 한 개인정보가 아닌 것으로 추정하는 등 법 개정 없이 고지와 동의(notice and consent)라는 개인정보보호의 기본 원칙의 변경을 꾀한 것으로 즉시 폐기되어야 한다.

더욱이 가이드라인은 법적 근거 없이 전문기관에 의해 비식별조치의 적정성을 판단하도록 하고 있어 문제인데, 강길부 의원안은 비식별화 적정성 평가단을 입법화하면서 가이드라인의 전문기관에 법적 근거만 부여하려는 시도와 다름아니다.

그러나 평가단 신설로 생겨날 “관치 보안”의 문제는 차치하더라도 이는 개인정보보호위원회가 수행해야 할 이른바 컨트롤타워 역할을 무력화하는 시도와 다름아니다. 일본의 경우 개인정보보호위원회가 컨트롤타워로서 익명가공에 요구되는 기술적, 관리적 조치를 종합적으로 규율하도록 하고 있는 것과 비교된다.

 

논의과정의 투명성 부족과 조급증도 문제 – 이해당사자가 모두 참여하는 협의체를 구성하여 논의를 본격화해야

일본의 경우 개인정보보호법을 개정하기 위하여 다양한 이해당사자가 참여하는 협의체를 구성하여 2년에 걸친 광범한 논의를 거쳤다. 그러나 2016년 가이드라인의 경우 세부논의 내용과 초안을 비공개하는 등 폐쇄적인 방법으로 제정되었다. 정보주체를 대변하는 시민사회는 가이드라인의 초안이 대부분 결정된 뒤 단 1회 시행된 내부 간담회 외에는 논의에 제대로 참여할 수 없었다.

따라서 가이드라인의 주요 내용을 그대로 입법화하는 강길부 의원안은 정보주체를 대변하는 이해당사자의 의견 수렴을 전혀 거치지 않은 것과 다름없어 원점에서 다시 검토되어야 한다. 늦었지만 지금부터라도 국회를 중심으로 모든 이해당사자가 참여하는 협의체를 구성하여 빅데이터 시대의 개인정보 보호를 위한 논의를 진지하게 시작해야 할 것이다.

 

2017년 1월 17일

 

사단법인 오픈넷

 

문의: 오픈넷 사무국 02-581-1643, [email protected]

 

민간보험사에 국민건강정보 팔아넘긴 심평원을 규탄한다!

건강보험심사평가원(이하 심평원)이 지난 2014년 7월부터 2017년 8월까지 민간보험사 8곳을 비롯한 민간보험연구기관 2곳이 보험료 산출 및 보험상품 개발 등을 위해 요청한 ‘표본 데이터셋’을 건당 30만원의 수수료를 받고 총 52건, 6,420만 명분의 진료기록 정보를 팔아넘긴 것으로 확인됐다. 표본 데이터셋의 구성자료는 입원환자와 소아청소년환자, 고령환자 및 입원환자에 대한 진료 및 질환정보를 담은 상병내역과 진료내역, 원외처방내역 그리고 환자의 개인정보를 담은 일반내역을 포함하고 있다. 심평원으로부터 사들인 진료기록정보를 민간보험사들은 보험상품 연구 및 개발과 위험률 산출 등을 위해 환자들의 정보를 분석하여 영업 및 마케팅에 활용해 온 것이다.

심평원은 「국민건강보험법」제62조에 따라 “요양급여비용을 심사하고 요양급여의 적정성을 평가하기 위하여” 설립됐고, 이러한 근거에 따라 “주민등록·출입국관리·진료기록·의약품공급 등의 자료”를 수집 및 집적할 수 있다(동법 제96조). 그럼에도 불구하고 심평원은 공공의 기능을 수행하는 정부기관임을 망각하고 국민의 건강정보를 민간보험사의 이익창출을 위한 도구로 제공했으며, 민간보험사는 정부기관을 정보수집수단으로 이용했다. 정부기관이 공적인 목적을 위해 수집한 국민들의 개인정보를 상업적 목적을 위한 민간기업에 돈을 받고 팔았다는 사실에 국민으로써 분노하지 않을 수 없으며 정부에 대한 배신감과 불신으로 국민의 건강권과 복지증진을 위한다는 말은 더 이상 믿을 수가 없다.

심평원이 민간보험사에 제공한 정보는 진료행위와 처방의약품에 대한 내용을 비롯해 주/부상병에 대한 정보까지 전부 제공했으니 국민건강정보 모두를 제공한 것이나 다름없다. 민간보험사가 이러한 건강정보 빅데이터를 입수하기를 원하는 것은 궁극적으로 보험가입자의 건강정보를 파악해 보험가입 및 보험금 지급거절을 하기 위한 것이다. 그러므로 보험사가 이러한 빅데이터를 영업목적으로 위해 활용하게 되면 보험가입을 원하거나 이미 가입된 국민들에게 피해를 줄 수 있으며 건강권을 침해 할 수 있는 여지가 충분하다. 결과적으로 심평원의 이러한 행위는 보험사의 이윤만 보장해 주는 격이지 국민의 건강권 향상에는 전혀 이로운 점은 없다. 특히나, 진료내역에 희귀질환과 같이 재식별이 아주 용이한 질병정보까지 포함하고 있어 가장 민감한 개인질병정보를 민간보험사가 집적하고 있다는 사실은 위험한 일이 아닐 수 없다.

이번 사건을 두고 심평원은 빅데이터 제공근거로 「공공데이터의 제공 및 이용 활성화에 관한 법률」제3조의 4항 을 언급했다. 그러나 동법 제28조에 의하면 공공데이터의 제공중단사유로 ‘공공데이터의 이용이 제3자의 권리를 현저하게 침해하는 경우’를 명시하고 있으며, 국민건강보험공단도 민간보험사에 빅데이터를 제공하는 행위가 이에 해당한다고 보고 있다. 또한 「개인정보보호법」에서 규정하고 있는 ‘개인정보’에 대한 정의를 보면 해당 정보만으로 개인을 특정할 수 없더라도 다른 정보와 결합하여 쉽게 식별할 수 있는 정보도 개인정보로 보고 있다. 그러므로 보험사들이 그 동안 집적한 국민의 건강정보에 대한 데이터와 심평원에 제공한 빅데이터(특히 질병정보까지 포함)를 결합하여 가공처리 및 분석할 경우 재식별이 충분히 가능하다는 것은 분명하다. 게다가 현재 비식별조치 가이드라인은 개인정보에 대한 익명화가 아니라 가명정보까지 포함한 개념으로 쓰고 있고 충분히 추론 및 연계하여 식별이 가능하다. 이런 느슨한 제도적 상황에서 민간보험사에 대한 빅데이터 제공을 두고 ‘이용권의 보편적 확대’라는 어설픈 변명을 하는 심평원이 암호화 조치 등 충분한 비식별 조치를 했을지는 의문이다.

국민의 건강권 증진이라는 공적인 목적과 역할을 수행해야 할 심평원이 민간보험사에 건강정보 빅데이터를 팔아넘김으로써 민간보험사의 이윤창출의 조력자 역할을 하고, 국민의 건강정보보호에 대한 책임을 방기한 심평원의 행태는 규탄 받아 마땅하며, 보험사를 비롯한 민간기업에 국민의 건강정보를 제공하는 짓은 변명할 여지가 없는 중범죄임을 인식해야 한다. 심평원의 상위기관인 보건복지부가 이번 사건의 심각성을 인지하고 국민의 개인건강정보보호를 위해 제도적 조치마련을 위한 노력을 다해줄 것을 요구한다.

무분별한 규제완화, 규제프리존법·서비스산업발전법 즉시 폐기하라

재벌특혜·정경유착의 결과인 규제프리존법 관련 국회논의 중단하라

  [caption id="attachment_185130" align="aligncenter" width="640"] ⓒ환경운동연합[/caption] 환경운동연합을 비롯한 참여연대, 무상의료운동본부, 민주노총, 민주사회를위한변호사모임 등 29개 노동·시민사회단체는 9일 오전 11시 광화문광장에서 '규제프리존법·서비스산업발전법 폐기와 생명 안전 보호를 위한 공동행동 출범(이하 공동행동)' 기자회견을 열고 “무분별한 규제완화, 규제프리존법·서비스산업발전법을 즉각 폐기하라”고 촉구했습니다. 공동행동은 “그동안 규제프리존법과 서비스산업발전법이 시민의 삶에 미치는 영향이 심각하다는 것을 지적하고 법안 폐기를 요구한 전국 29개 노동·시민단체들이 <규제프리존법·서비스산업발전법 폐기와 생명안전 보호를 위한 공동행동>을 출범한다”고 밝혔습니다. [caption id="attachment_185129" align="aligncenter" width="640"] ⓒ환경운동연합[/caption] 국회의 본격적인 입법논의를 앞두고, 「지역전략산업 육성을 위한 규제프리존의 지정과 운영에 관한 특별법안」(이하 규제프리존법)이 다시 주목받고 있습니다. 규제프리존법은 의료·보건, 환경, 개인정보, 사회·경제적 약자보호 등 우리 사회의 공익을 위해 제정된 현행법과 제도를 특정한 지역 안에서 무력화시키는 내용을 골자로 하고 있습니다. 규제프리존법으로 인한 무분별한 규제완화가 시민의 생명과 안전을 위협하고 우리 사회의 기본적인 공공성을 훼손할 것으로 우려되는 상황입니다. [caption id="attachment_185137" align="aligncenter" width="640"] ⓒ환경운동연합[/caption] 규제프리존법은 지역발전이란 미명 하에 추진된 박근혜 정부의 입법안으로 19대 국회에서는 임기만료되어 폐기되었고, 20대 국회에서 자유한국당과 국민의당이 다시 제출하였습니다. 그러나 규제프리존법은 그 내용은 물론, 그 추진과정 또한 ‘정경유착의혹’에서 자유롭지 않습니다. 그렇기 때문에 지난 대선과정에서도 후보 간의 입장 차이가 극명했던 대표적인 법안입니다. 최근 국민의당과 바른정당은 규제프리존법을 통과시키자며 합의했고, 정세균 국회의장은 규제프리존법 중재안을 마련한 것으로 알려졌습니다. 또한 서비스산업발전법은 제18대~제20대까지 자유한국당 의원들이 발의하여 추진하고자 하였습니다. 그러나 적용대상이 농어업과 제조업을 제외한 모든 서비스업으로 규정하고 있어 포괄적 위임입법 금지 원칙에 위반되고, 공공목적의 규제를 대폭 완화하는 내용을 포함하고 있어 그간 노동·시민단체는 서비스산업발전법 폐기를 강하게 요구하였습니다. [caption id="attachment_185136" align="aligncenter" width="640"] ⓒ환경운동연합[/caption] 문재인 대통령은 보건의료만 제외한 법안 통과를 공약으로 내걸었지만 보건의료만 제외하더라고 교육, 사회복지서비스, 언론 등 공공서비스 영역이 시장논리의 지배를 받게 되는 위험성이 있습니다. 그뿐만 아니라 기획재정부에 과도한 지위를 부여하여 각 부처를 통제할 수 있도록 하고 있어 각 부처의 자율권 문제가 발생할 수 있습니다. 이처럼 법안 자체가 지니는 문제가 심각함에도 불구하고 청와대는 서비스산업발전법 통과를 요구하고 있습니다. [caption id="attachment_185131" align="aligncenter" width="640"] ⓒ환경운동연합[/caption] 무상의료운동본부 김재헌 사무국장의 사회로 진행된 기자회견에서 김정범 공동집행위원장(무상의료운동본부)은 여는 말을 통해 서비스산업발전법의 문제점을 전하며, 제18대~제20대까지 법안을 반대해 온 이유를 설명하였습니다. 또한 “최순실-박근혜-전경련 법이라 일컫는 규제프리존법은 절대 통과되어서는 안된다”고 강조하였습니다. [caption id="attachment_185132" align="aligncenter" width="640"] ⓒ환경운동연합[/caption] 이어  환경운동연합 맹지연 국장은 “규제프리존법이 통과되면, 생명안전 규제가 완화되고, 기업의 책임을 낮춰 가습기살균제 사례와 같이 국민을 전세계 다국적기업의 마루타로 전락시킬 것이며, 신사업이라는 미명하에  전국 10%도 안되는 보호지역의 막개발을 허용하는 세계 최초 기업특혜법으로 당장 폐기되어야 한다”고 주장했습니다. [caption id="attachment_185133" align="aligncenter" width="640"] ⓒ환경운동연합[/caption] 참여연대 김남희 팀장은 “우리나라는 개인정보 유출이 빈번하게 일어나고 있음에도 관련 대책을 마련하지 않고 있다”면서 “박근혜 정부가 행정부 가이드라인으로 추진한 비식별화가 사실상 개인정보를 침해하는  문제점이 드러나고 있음에도 규제프리존법으로 비식별화를 도입하는 것은 기업의 이익을 위하여 개인정보 자기결정권을 침해하는 것”이라고 밝혔습니다. [caption id="attachment_185134" align="aligncenter" width="640"] ⓒ환경운동연합[/caption] 이어 노동자연대 최영준 운영위원은 “규제프리존법에 보건의료 분야 중 의료법인 부대사업, 약사법 규제를 완화함으로 의료가 영리화 될 가능성이 크다”고 지적하면서, “국민의 생명과 안전에 직결되는 의료 분야는 공공의 영역을 확장하는 것이 맞다”고 주장하였습니다. 마지막으로 민주사회를위한변호사모임 최재홍 변호사는 “규제프리존법은 공공의 영역의 규제를 한꺼번에 완화하는 전세계적으로 찾아볼 수 없는 법안이며, 법률의 명확성 원칙에 위반되는 등 법률적 문제가 심각하다”고 지적하였습니다. [caption id="attachment_185135" align="aligncenter" width="640"] ⓒ환경운동연합[/caption] 진보네트워크센터 이종회 대표의 기자회견문 낭독을 끝으로 기자회견을 마무리 하였습니다.

[embedyt] https://www.youtube.com/watch?v=yjF0fkHHzBs[/embedyt]

다음은 기자회견문 전문입니다.

---

[기자회견문]

규제프리존법과 서비스산업발전법 추진 즉각 중단하라!

  2017년 11월 3일 국민의당과 바른정당이 정책연대를 한다며 규제프리존법과, 서비스산업발전법을 통과시키겠다고 발표했다. 이에 민주당은 “독소조항을 검토해 여당이 수용할 수 있는 수정안을 내어달라”고 답했다. 기재부가 서비스산업발전법과 규제프리존법을 이번 ‘정기국회에서 통과시키는 게 목표'라고 하고 있다. 총리, 경제부총리, 행안부장관까지 나서 공공연히 찬성 입장을 밝히고 있다. 우리는 이러한 정치권의 위험천만한 행보를 규탄하며, 국민의 생명과 안전을 지키기 위해 규제프리존법•서비스산업발전법 폐기를 위한 공동행동을 선포하는 바이다. 박근혜 정부는 집권 4년 동안 국민의 생명과 안전을 위협하는 수많은 규제를 풀었고, 보다 큰 규제를 풀기 위해 서비스산업발전법을 추진했다. 그러나 법안 통과가 어려워지니 우회전략으로 내놓은 게 규제프리존법이었다. 이러한 전말이 국민들에게 알려지게 된 결정적 계기는 최순실의 미르-K스포츠재단이 드러나면서였다. 두 재단에 전경련 소속 기업들이 거액을 입금했고, 전경련이 그 대가로 서명운동까지 해가며 통과시켜달라고 요구한 것이 바로 서비스산업발전법과 규제프리존법이었다. 박근혜 정부는 그 요구에 맞춰 길거리 서명운동에 직접 사인까지 해가며, 탄핵 직전까지 두 법을 통과시키려고 안간힘을 썼다. 서비스산업발전법과 규제프리존법은 박근혜-최순실-전경련 이 국정농단세력이 낳은 최종 결정체였다. 우리가 이 두 법의 폐기를 위한 공동행동에 나섰다. 그 이유는 두 법이 적폐세력의 산물임은 물론, 국민의 생명과 안전을 위협하는 내용들로 차고 넘치기 때문이다.

첫째, 규제프리존법과 서비스산업발전법은 민영화법이다.

규제프리존법과 서비스산업발전법은 규제완화, 민영화를 가속화시킬 반민생 법안이다. 이 두 법은 사실상 의료나 교육, 복지 등은 물론 환경, 개인정보까지 영리적 산업으로 만들겠다는 것이다. 특히 의료민영화가 핵심에 놓여있다. 19대 국회 논의에서 당시 새누리당은 의료 부분을 제외하자는 더불어민주당의 제안에 ‘의료산업 없는 서비스발전법은 ‘앙꼬 없는 찐빵’, ‘김치없는 김치찌개’라며 의료민영화가 주요 목표임을 자인했다. 또한, 규제프리존법을 통해서는 지방자치단체 조례를 통해 병원 부대사업을 제한 없이 확대할 수 있고, 공공병원의 매매도 가능해진다. 또한 ‘신기술기반’ 사업이라 인정될 경우 안전성과 효과성 여부에 상관없이 의료기술 등을 허가할 수 있다.

둘째, 규제프리존법과 서비스산업발전법은 반노동 친재벌법이다.

이제 서비스산업은 비정규직 확산의 주요 근거지가 됐고, 규제 완화 일색의 정부정책은 노동조건을 악화시키고 있다. 하지만 이윤 창출에 혈안이 된 자본은 아직도 더 쉬운 해고와 더 많은 저임금 노동을 요구하고 있다. 서비스발전법과 규제프리존법을 위시한 규제 완화는 결국 이러한 자본의 필요에 부응코자 하는 것이다. 규제프리존법 공청회에 참가한 새누리당 추천의 한 연구위원은 ‘노동 규제를 풀어서 임금을 낮춰야 한다’고 법안의 속내를 드러내기도 했다. 규제프리존법의 모태가 된 일본의 전략특구 역시 초과 근무 수당을 없애고, 해고 규정 규제를 완화하는 것이 핵심 사안이었다.

셋째, 규제프리존법과 서비스산업발전법은 제2의 옥시 참사법이자 반환경법이다.

규제프리존법의 핵심 조항 중 하나인 기업실증특례는 기업이 ‘사업 등에 대한 안전성 등을 실증할 수 있는 자료를 함께 제출’하게 될 경우 특례 인정을 요구할 수 있다. 그러나 800만 명의 건강을 위협했고, 수백 명의 목숨을 앗아간 옥시 가습기 살균제도 ‘신기술’이었으며, 기업이 그 연구결과를 ‘조작해’ 안정성을 입증한 제품이었다. 기업실증특례는 이를 단속하기는커녕 오히려 합법화해주겠다는 것이다. 또한, 규제프리존법은 환경에도 치명적이다. 보전산지가 변경⋅해제될 수 있어 무분별한 난개발이 유발될 수 있으며, ｢산지관리법｣, ｢산림문화·휴양에 관한 법률｣, ｢국유림의 경영 및 관리에 관한 법률｣, ｢산림보호법｣, ｢초지법｣  등에 특례를 적용함으로써 그나마 있는 환경보호 규제마저 무용지물로 만들 수 있다.

넷째, 규제프리존법과 서비스산업발전법은 개인정보 유출법이자 전국민 감시법이다.

규제프리존법은 비식별화를 할 경우 ｢위치정보의 보호 및 이용 등에 관한 법률｣ 과 ｢정보통신망 이용촉진 및 정보보호 등에 관한 법률｣ 등 기존 개인정보보호법의 적용을 받지 않는다. 그러나 비식별화 조치는 익명화 조치와 달리 기술적으로 얼마든지 재식별이 가능하다. 특히, 한국처럼 유출된 개인정보가 많고 주민번호를 사용하는 나라에서는 더욱 위험하다. 또한 최근 문제가 되고 있는 디지털 감시 및 유출사고 역시 확대될 위험이 크다. 규제프리존법은 지역내 ‘사업자는 영상정보를 수집하여 특정개인을 알아볼 수 없도록 조치하는 경우, ｢개인정보 보호법｣ 제25조제1항’인 영상정보의 수집과 이용에 관한 제한을 풀어주기 때문이다. 지역 내 영상정보라고는 하지만 디지털의 특성상 한 곳의 규제완화는 전국적 규제완화와 다름없다. 사실 위에 언급한 것들은 예상 가능한 몇 가지 위험요소에 불과하다. 규제프리존법과 서비스산업발전법의 경우 안된다고 명시한 것 외에는 다 허용해주는 네가티브 방식의 규제를 근간으로 하기 때문에 무슨 일이 어떻게 벌어질지 아무도 알 수 없다. 또한 설령 이 네가티브 방식이 조정된다 하더라도 기업실증특례나 신기술기반산업과 같은 조항으로 얼마든지 유사한 규제완화 효과를 낼 수 있다. 규제프리존법과 서비스산업발전법안의  찬성론자들은 독소조항을 손보면 괜찮을 것처럼 주장하고 있지만, 규제프리존법과 서비스산업발전법은 그 자체로 독소 법안이다. 문재인 정부가 출범한지 6개월이 지났다. 뜨겁던 촛불의 열기가 아직 채 식지 않았다. 문재인 대통령은 대선당시 규제프리존법 통과를 주장하는 안철수 국민의당 대표에 맞서 “규제를 풀어 공공성 침해 우려가 제기된 법을 통과시키자는 것은 자신이 이명박·박근혜 정권 계승자임을 드러낸 것”이라고 주장했다. 자유한국당 등은 물론 이 법을 통과시키겠다고 나서는 국민의당과 바른정당, 그 적폐 중의 핵심 적폐를 추진하는 데 공조하려는 집권여당에 엄중히 경고하는 바이다. 우리의 요구는 단 하나다.

규제프리존법과 서비스산업발전법 즉각 폐기하라!

2017년 11월 9일

규제프리존법‧서비스산업발전법폐기와생명안전보호를위한공동행동

광주인권지기 활짝, 건강과대안, 건강권실현을위한보건의료단체연합, 경제민주화전국네트워크, 구속노동자후원회, 국립공원을지키는시민의모임, 국제민주연대, 노동자연대, 녹색당, 녹색연합, 다산인권센터, 삼성노동인권지킴이, 생태지평, 서울환경연합, 무상의료운동본부, 문화연대, 민주노총, 민주사회를위한변호사모임, 사회진보연대, 약사의미래를준비하는모임, 언론개혁시민연대, 전국농민회총연맹, 전국여성농민회총연합, 전북평화와인권연대, 진보네트워크센터, 참여연대, 천주교인권위원회, 환경운동연합, 환경정의 [주요활동] 16.05.03. [의견서] 규제프리존법 폐기 요구하는 의견서 발표 16.08.24. [공개질의서] 17개 광역시도지사에게 규제프리존법 공개질의서 발송 16.11.01. [기자회견] 서비스산업발전기본법, 규제프리존특별법 반대 시민사회단체 기자회견 16.11.30. [좌담회] 박근혜-최순실-전경련 합작품 ‘규제프리존법’ 문제점 진단 좌담회 16.12.01. [기자회견] 규제프리존법 뒤에 최순실-차은택-전경련, 뇌물죄 고발 및 규제프리존법 폐기요구 기자회견 17.01.23. [고발] ‘박근혜-최순실-전경련’ 특검 고발 기자회견 17.02.01. [기자회견] 재벌특혜 규제프리존법 폐기 촉구 기자회견 17.02.15. [의견서] 시민사회단체, 규제프리존법 문제점에 대한 의견서 발표 17.02.15. [기자회견] 국민의당, 바른정당 재벌특혜 국정농단법인 규제프리존법 폐기 촉구 기자회견 17.03.03. [기자회견] 규제프리존특별법 추진 압박하는 최문순 강원도지사 규탄 17.03.17. [기자회견] 규제프리존법 4당 원내대표 협상 중단 기자회견 17.04.18. [기자회견] 박근혜-최순실-재벌 특혜법, 생명·안전·환경 파괴법 규제프리존특별법 찬성 국민의당 안철수 후보 규탄 17.04.27. [토론회] 논란이 되고 있는 규제프리존법특별법, 이대로 괜찮은가? 17.05.04. [카드뉴스] 규제프리존법 찬성자들에게 속지마세요 17.08.10. [공동성명] 정부 여당은 민영화법인 서비스법과 규제프리존법 합의 추진을 중단하라