태극기사

[이슈논쟁] ‘데이터 3법’ 약인가 독인가[찬성, 반대 의견]

작성일 작성자 道雨





[이슈논쟁] ‘데이터 3법’ 약인가 독인가



이른바 ‘데이터 3법’으로 알려진 개인정보보호법·정보통신망법·신용정보법 개정안의 국회 처리를 앞두고 찬반 논란이 가열되고 있다. ‘데이터 3법’은 개인정보보호 규제를 일부 완화해 산업적·상업적 목적의 활용도를 높이도록 한다는 취지를 앞세워, 여야 국회의원 다수가 찬성해왔다. 정보의 주체인 개인의 동의를 얻지 않고도 개인정보를 가명 처리해서 제3자에게 제공할 수 있으며, 다른 기관의 가명정보와 결합해 쓸 수도 있게 하자는 것이다. 하지만 참여연대와 경제정의실천시민연합, 진보네트워크센터 등 시민사회단체들은 기업의 이윤을 위해 민감한 개인정보가 침해될 수 있다며 반대한다. 법 개정으로 생길 부작용에 대해 강하게 우려하고 있는 것이다. 10일 국회 본회의 통과 여부에 관심이 쏠린 가운데, 최종연 참여연대 정보인권사업단 위원과 구태언 코리아스타트업포럼 이사의 견해를 나란히 싣는다.

원문보기:
http://www.hani.co.kr/arti/opinion/column/920193.html?_fr=mt0#csidxe49f7c3d9d2c03f9774a9a63d789aa1



****************************************************************************************************




상업적 활용만 염두에 둔 ‘개인정보 도둑법’




현재 추진되는 이른바 ‘데이터 3법’ 개정 추진의 가장 큰 문제는, 개인정보를 개인에 관련된 정보로 보지 않고, 마치 산업의 원재료나 금광처럼 여기는 태도에 바탕을 두고 있다는 것이다.

더구나 마치 개인정보 빅데이터를 당장 활용하지 않으면 세계적인 흐름에 뒤처질 것 같은 공포 분위기를 조성한다.


그러나 데이터 3법이 실제 유럽이나 미국 등 외국 법률에 부합하는 내용인지, 아니면 이를 잘못 해석하고 왜곡했는지에 대해서는, 국회에서 깊이 있는 심의가 이루어지지 않고 있다.

국회에서 1년 가까이 공청회 한 번 없이 잠자고 있던 법을, 회기 만료로 폐기될 위험이 있으니 서둘러 통과시키려는 것이 현재 상황이다.


과연 개인정보가 가명화된다고 해서 완벽한 보안이 이루어지고 오남용이 방지될까?

그럴 가능성이 거의 없다는 것이 시민사회가 우려하는 내용의 핵심이다.


유럽과 미국은 ‘관련성’을 기준으로 개인정보를 정의하지만, 이번 개인정보보호법 개정안은 여전히 ‘식별 가능성’을 기준으로 개인정보를 구분한다. 이 때문에 기본적으로 개인정보로 분류되는 범위가 좁다.

여기에 더해 가명정보의 처리부터 결합과 이후 판매·활용까지 정보 주체의 동의 없이 할 수 있기 때문에, 결합 때 소수의 집단에 해당하는 정보 주체일수록 사실상의 재식별이 가능하다.


미국에서는 넷플릭스 시청 이력과 영화평 내용을 결합해 일부 개인을 식별해낸 사례가 있다. 또 생년월일·성별·우편번호만 결합하면 87%의 미국인이 재식별을 할 수 있다는 연구 결과도 있다.

한국은 미국보다 훨씬 인구가 적다. 재식별의 오남용과 유출 때 파급력을 고려하면, 이를 처벌 대상으로 두는 것만으로는 결코 재식별이 방지된다고 안심할 수 없는 상황이다.


더구나 데이터 3법은 개인정보 주체의 동의를 배제하고, 데이터의 활용에만 초점을 두어, 개인들이 일단 개인정보를 처리자에게 제공하고 난 뒤에는 그에 관한 통제권을 잃어버리는 결과를 낳을 것이다.


개정안에 따르면, 통계 작성, 과학적 연구, 공익적 기록 보존 등을 위해 정보 주체의 동의 없이 가명정보를 처리할 수 있고(28조의 2), 가명정보는 동의 없이 목적 외 이용 및 제3자 제공 대상이 된다(15조 3항·17조 4항). 또 외부 전문기관의 결합 대상이 되며(28조의 3), 개인이 열람·정정/삭제를 요청할 권리도 상실하게 된다(28조의 7). 심지어 가명 처리된 이후에는 개인이 처리 정지를 요청할 수 있는 ‘옵트아웃’(opt-out) 권리를 행사할 수 없고, 기업 등 처리자로부터 가명정보가 유출되어도 원래 정보 주체에게 통지해줄 의무가 없다.

이는 유럽이나 미국보다도 개인의 통제권을 훨씬 약화한 것이다.


또한 유럽에서 공익적 목적으로 통계 작성과 과학적 연구 때 보안장치의 하나로 가명 처리를 하게 하고, 이 경우 개인의 통제권을 일정 부분 약화한 것과 다르게, 관련법 개정안은 상업적이고 산업적인 연구와 통계 작성의 목적을 열어두고 있다. 신용정보법 개정안은 상업적·산업적 목적을 명시하고 있기까지 하다.

이는 국제적 개인정보보호법제에 맞춰가는 것이 아니라, 이를 과도하게 앞질러 오히려 위반하는 셈이다.


유럽 개인정보보호일반규정(GDPR)은 과학적 연구를 ‘자유롭게 유통되는 연구’로 전제하고 있고, 그마저도 개인의 동의권 등 통제권을 전면 배제하고 있지 않다.

만약 개정안처럼 상업적 연구를 전제로 개인정보처리자가 유럽 소비자의 정보를 동의 없이 가명처리한 뒤 결합하고 분석받아 판매한다면, 동의권 침해와 목적 외 이용 등 전반적인 개인정보보호일반규정 위반을 이유로 거액의 과태료를 부과받을 수도 있다.


개인정보를 활용해 개별 주체들의 편익과 맞춤형 서비스를 제공할 수 있을까?

오히려 정보의 비대칭성과 위에서 살펴본 재식별 가능성 때문에 개별 정보 주체들에게 불리한 결과를 가져올 수 있다. 보험사는 개인의 질병과 사고 발생 가능성을 더욱 정밀하게 평가해서 보험요율을 올릴 수 있을 것이고, 금융사는 개인의 신용정보를 결합 분석해 기대수익을 극대화한 상품을 내놓을 것이다.

개인정보를 비식별화해 결합하고 분석한 ‘데이터’는 결과적으로 수익으로 직결된다. 이를 상업적으로 활용하는 주체들은 자선사업가가 아니다.


개인들은 장기적으로 소비자-기업 간 정보 비대칭성이 강화되는 구조에서, 자신의 데이터를 제공하고서도 더 큰 비용을 들여가며 관련 서비스를 이용할 수밖에 없다.

결국 데이터 3법은 이익을 거두는 주체가 투자하고 비용을 부담해야 한다는 경제의 기본 원칙을 어기고, 개인정보를 제공한 목적과 범위를 벗어나 마음껏 활용하게 하는 ‘개인정보 도둑법’이나 다름없다.


박근혜 정부가 2016년 6월 도입한 개인정보 비식별 조치 가이드라인은 법률적 근거 없이 개인정보 결합·활용을 지원한다는 비판을 받고 사실상 폐기됐는데도, 데이터 3법은 이를 더 강력하게 되살렸다. 어디에도 ‘정부안’이라고 명시돼 있지 않지만, 모두가 정부안으로 알고 있다.


그러나 시민들은 이미 수많은 정보 유출 사고와 이를 기초로 한 보이스피싱으로 날마다 고통받고 있고, 기술적 고도화 아래, 침해인지도 모르고 개인정보가 침해될 수 있다.


데이터 3법은 결코 현 상황에 대해 책임 있는 법도 아니고, 개인정보를 더욱 보호하는 법도 아니다. 오직 산업적·상업적 활용만을 가능케 하는 법이다.



최종연 ㅣ 참여연대 정보인권사업단 위원·법률사무소 일과사람 변호사

원문보기:
http://www.hani.co.kr/arti/opinion/column/920193.html?_fr=mt0#csidx3c8ca8d68f53bc994d4c790da3e132d




****************************************************************************************************





막연한 공포 조성, 데이터경제 발목 잡는다 




차량의 도로 이동 정보가 담긴 데이터 파일이 당신 손에 있다고 치자. 이 파일에는 차량번호와 이동에 든 시간, 시점과 종점에 관한 내용이 담겨 있다. 이 정보로 당신은 시간대별, 지역별 차량 이동 내용을 분석해 교통량을 분석하고 병목현상이 생기는 지역과 시간대를 파악해 도로 증설에 필요한 중요한 전략 정보를 얻을 수 있다. 이를 통해 예산 낭비를 줄이고 과잉 공급을 줄여 국가 재무 건전성 개선을 꾀할 수 있다. 이 분석으로 국민이 얻을 이익은 매우 클 것이라는 것은 자명하다.


위 차량의 도로 이동 정보 분석의 핵심은 차량번호를 기반으로 한 연계분석이다. 차량번호가 있어야 분석을 할 수 있고, 불필요한 도로 증설을 막아 예산을 아끼고 세금 징수를 줄일 수 있다.

그런데 차량번호를 그 자체로 개인정보라고 보는 순간, 위 데이터 제공은 현행법상 불가능하다. 차량번호의 주인을 찾아내 일일이 사전 동의를 받아야 하기 때문이다. 차량번호 주인을 찾아내려면 차량등록원부를 봐야 하는데 합법적으로 그것을 보기는 어렵다.


그렇다면 차량번호를 비식별화해 다른 번호로 대치하면 될까?

완전히 바꾸어도 다시 변환정보를 입수해 재식별할 수 있다고 보는 이상, 여전히 그 데이터는 개인정보다. 물론 국가뿐 아니라 민간 영역에서도 다양한 데이터를 분석해 공익에 기여하고 산업을 발전시켜 소비자의 후생을 늘릴 수 있을 텐데, 누군지도 모를 데이터의 주인에게 동의를 받으라고 하니 아무것도 할 수가 없다.


나는 개인정보보호법이 아니라 개인정보의 해석에 관한 주무 관청의 게으름이 데이터경제를 가로막은 주범이라고 본다.

현행법상 개인정보는 개인 관련 정보 중 그 자체로 특정 개인을 식별할 수 있는 ‘식별 개인정보’와, 그 자체로는 특정 개인을 식별할 수 없으나 다른 정보와 쉽게 결합해 특정 개인을 식별할 수 있는 ‘비식별 개인정보’로 이루어져 있다.

이런 ‘식별 개인정보’와 ‘비식별 개인정보’를 제외한 정보를 ‘비식별 비개인정보’라고 할 수 있다.


안전한 활용을 위해서는 ‘비식별 비개인정보’와 ‘비식별 개인정보’를 잘 구별하는 것이 핵심이다. 그 자체로 식별되지 않는 정보이지만 다른 정보와 쉽게 결합해 특정 개인을 다시 식별할 가능성이 매우 높은 정보와 그렇지 않은 정보는 개인정보 오남용의 위험 면에서 큰 차이가 있기 때문이다.


행정안전부에 따르면, 여기서 ‘쉽게 결합할 수 있다’는 뜻은 재식별을 위한 다른 정보의 ‘입수의 용이성’과 ‘결합의 용이성’으로 설명된다. 특정 개인을 식별할 수 있는 다른 정보를 쉽게 입수할 수 없다면, 그 정보는 ‘비식별 비개인정보’로 보아야 한다는 뜻이다.


결국 그 자체로 특정 개인을 식별할 수 없는 개인 관련 정보는 다른 정보의 입수 가능성에 따라 법률상 개인정보냐 아니냐가 결정된다. 비식별 정보의 개인정보성은 이처럼 해당 정보가 놓인 환경에 따라 달라진다고 법은 이미 정의하고 있다.


그렇다면 주무 관청인 방송통신위원회와 행정안전부는 어떤 경우에 비식별 정보가 ‘비식별 개인정보’가 되는지 구별할 수 있는 기준을 제시해왔어야 한다.

예를 들어 차량번호는 전체 차량 등록대수 중 절반가량이 법인 소유임을 고려해 그 자체로는 비식별 정보이므로 어떤 경우에 ‘비식별 개인정보’가 되는지 해석 지침을 마련하고 개선해왔다면, 차량 정보를 활용한 산업이 발전할 수 있었다. 개인정보 주무 부처의 게으름 속에 차량번호는 그 자체로 ‘식별 개인정보’인 것처럼 호도돼, 최근에는 차량번호가 개인정보라는 행정법원의 판결까지 선고돼, 차량번호를 중심으로 한 개인정보 처리는 사실상 막혀 있는 상황으로 치닫게 됐다.


비식별 정보의 프로파일링이 문제다. 특정 개인을 알 수 없는 비식별 정보는 재식별하기 전에는 특정 개인을 알 수 없고, 그래서 동의를 받는 것도 불가능하다. 비식별 정보를 재식별할 수 있는 다른 정보를 보유하고 있지 않는 한 재식별할 수도 없다. 다른 정보를 보유하고 있더라도 실제로 재식별 행위를 하지 않는 한 여전히 비식별 정보다.

비식별 정보 중 ‘쉬운 결합성’을 갖고 있는 정보만 개인정보로 정의하는 개인정보보호법의 입장은 그래서 개인 관련 정보의 보호와 활용을 조화롭게 하기 때문에 적절한 것이다.


문제는, 이런 법의 합리적 정신을 무시하고, ‘비식별 정보는 재식별할 가능성이 있으므로 무조건 개인정보’라는 식의 공포 조성이다. 현행법으로도 개인정보의 안전한 활용은 가능했던 것이다.


가명정보의 재식별 행위는 처벌된다.

가명정보는 개인정보를 가명 처리함으로써, 원상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보다. 개인의 동의 없이 개인정보를 가명 조치하고 제3자에게 제공하더라도, 이를 재식별하지 않는 한 비식별 상태에 있다. 특정 개인을 식별하는 행위가 문제이므로, 동의 없는 재식별 행위를 금지하면 된다.


현재 국회에서 논의 중인 개인정보보호법 개정안은 이 재식별 목적의 가명정보 처리를 처벌하고 있으므로 그 보완 장치도 마련돼 있다.

가명정보 상태를 유지한다면, 그 처리가 어떤 개인의 권리를 침해하겠는가?


글로벌 선도국가는 빅데이터를 활용해 사회를 효율화하고 빅테크기업을 키워 세계경제를 지배하고 있다. 가명정보 활용은 ‘당신의 프라이버시를 침해한다’는 식의 막연한 공포 조성은 그만하자.




구태언 ㅣ

코리아스타트업포럼 이사·법무법인 린 변호사



원문보기:
http://www.hani.co.kr/arti/opinion/column/920196.html#csidxf989b102bfbffa3ab0372aa99007b5e






맨위로
통합 검색어 입력폼