지난 1월 9일 ‘데이터3법(개인정보보호법, 정보통신망법, 신용정보법)’ 개정안이 국회 본회의를 통과했다. 세 개정안 중 찬성 비율이 가장 낮았던 신용정보법 개정안도 재석 152명 중 찬성 114명으로 가결됐다. 4차 산업혁명에 발맞춘다는 데이터3법 개정의 당위성에 여당과 야당 가릴 것 없이 동조했다. 경제지들은 ‘상공회의소 박용만 회장이 “만세”를 외친 데이터3법 개정’이라는 헤드라인을 뽑아냈다.
모두가 만세를 외치진 않았다. 같은 날 참여연대를 비롯한 12개 시민사회단체는 기자회견을 열어 ‘기업의 이윤을 위해 충분한 안전장치도 없이 정보주체의 권리를 희생시킨다’며 데이터3법의 통과를 규탄했다. 이들은 ‘데이터3법’이라는 호칭부터가 기업 친화적이라며 개인정보와 사생활을 데이터 경제 발전의 ‘원유’로 칭하는 행태를 지적했다. 정부와 기업은 찬성하고 시민단체는 반대해온 데이터3법 개정안의 내용을 살펴보고 정보 인권 논의에서 정보 주체인 국민이 소외된 정황을 살펴봤다.
개인정보, 활용이 보호를 이기다
2018년 11월 인재근 의원이 대표 발의한 ‘개인정보보호법 일부 개정안’은 올해 1월 최종 통과된 개정 데이터3법의 골자를 담고 있다. 해당 문서는 제안이유에 ‘4차 산업혁명 시대를 맞아 핵심 자원인 데이터 이용 활성화를 통한 신산업 육성이 범국가적 과제로 대두된다’며 ‘안전한 데이터 이용을 위한 사회적 규범 정립이 시급하다’고 적는다. 이는 개정안이 ‘지금은 데이터 활용의 활성화가 필요한 시점’이라는 현실인식에 기반함을 드러낸다.
데이터 활용을 활성화하고자 하는 정부의 인식은 추진 중인 정책에서 드러난다. ‘혁신성장’은 현 정부 경제정책의 중요한 기조이다. 기획재정부가 혁신성장을 위해 발표한 ‘3대 전략 투자’에는 빅데이터 산업 활성화와 그 기반이 되는 인공지능 개발이 두 주요 요소를 차지한다. ‘8대 선도사업’으로 제시된 바이오헬스와 핀테크 산업 등도 대부분 빅데이터 플랫폼을 필수적으로 요구한다. 이런 상황에서 데이터 산업 활성화를 향한 정부의 간절한 열망은 일면 불가피해보인다.
데이터 산업 활성화에 더욱 혈안인 주체는 산업계다. 반도체, 철강 등 제조업 산업의 전망이 불투명해지고 세계 데이터 시장 규모가 급속도로 성장함에 따라 기업들은 빅데이터 산업으로 눈을 돌리고 있다. 구글, 페이스북 등의 글로벌 기술 기업처럼 빅데이터를 활용해 금융, 의료 등 다양한 분야에서 맞춤형 상품을 개발하겠다는 것이다. 산업계는 ‘국내 개인정보 보호 수준이 너무 높아 데이터 산업 발전에 방해가 된다’는 주장을 펼치며 보호 규제의 장벽을 낮추기를 요구해왔다.
이처럼 산업계와 정부의 이해관계가 맞아떨어지자 데이터3법 개정안은 손쉽게 국회를 통과했다. 개정안의 핵심 쟁점은 개인정보 중 ‘일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가정보 없이는 특정 개인을 알아볼 수 없도록 처리(가명처리)’된 가명정보를 ‘개별 정보 주체의 동의 없이’ 활용할 수 있도록 하는 데 있다. 기업과 공공기관의 데이터 수집과 활용을 용이하게 하기 위해 개별 정보 주체의 동의권을 비롯한 통제권을 약화시킨 대신 가명처리라는 장치를 내세운 것이다. 개정안은 2016년 정부가 제시해 지속적으로 논란이 된 ‘개인정보 비식별화 조치 가이드라인’을 법제화해 가명정보 활용에 법적 정당성을 부여했다.
시민사회단체들은 개인정보 보호를 위협하는 정부와 기업의 개정 의도를 비판해왔다. 개인정보 보호와 데이터 산업 발전은 양립할 수 있으며, 이번 개정안은 산업 발전의 논리에 치우쳐 ‘보호’와의 균형을 잃었다는 이유에서다. 진보네트워크 희우 활동가는 “기업들은 개정 전에도 정보 주체의 동의를 받으면서 데이터를 수집 및 활용할 수 있었다”며 “(동의 없는 활용을 위해 제시된) 가명처리는 기업의 정보수집 비용 절감과 편의를 위함”에 지나지 않는다고 설명했다. 일과사람 최종연 변호사는 “정보 주체 개인의 동의권을 제한하려면 이를 뛰어넘는 사회적 가치가 있어야 한다”며 “가명정보의 동의 없는 처리가 허용된 목적이 상업적인 것으로 해석된다면 이것을 기본권 이상의 가치라고 할 수 있을진 의문스럽다”고 평했다.
시민사회단체의 목소리는 개정 과정에서 전혀 반영되지 않았다. 2018년 2월과 4월, 대통령 직속 4차산업혁명위원회 주관으로 관계부처·시민단체·산업계 등이 참여한 ‘해커톤’이 진행됐다. 희우 활동가는 “당시 가명정보의 처리 범위 등에 대해 합의하지 못했으나 정부는 이후 보도자료로 시민사회와 합의를 했다고 발표했다”라고 설명했다. 개정안이 제안된 뒤에도 시민사회단체들은 여러 차례 공청회를 비롯한 논의자리를 요구했으나 정부는 수락하지 않았다. 지난해 11월 국회 주최의 ‘데이터3법의 위험과 정보인권 보장 토론회’가 유일한 자리였으나 이마저 정부 담당자가 세 명만 참여한 데 그쳤다. ‘대한민국 정책 브리핑’ 홈페이지의 데이터3법이 ‘시민단체, 산업계, 법조계, 학계 등의 다양한 의견수렴 절차를 거쳐 마련됐다’는 표현은 현실의 왜곡인 셈이다.
정작 데이터3법 개정안의 영향을 받을 국민의 대부분은 개인정보보호법제가 개정되는 상황조차 모르는 상태다. 노동·의료·시민단체가 작년 11월 13일 발표한 ‘개인정보보호법 개정 관련 여론조사’에서 ‘가명정보를 동의 없이 다른 기업에 제공하는 것에 동의하느냐’는 질문에 응답자의 80.3%가 반대했다. 다섯 명 중 네 명꼴로 데이터3법 개정의 핵심 내용을 반대한 셈이다. 심지어 81.9%는 개인정보보호법 개정 추진 사실 자체를 모른다고 답했다. 데이터3법 개정안이 국회 내에서라도 충분히 검토됐는지 역시 의문이다. 민주노총 금융사무노조 백정현 교육국장은 “과학기술정통위원회 법안소위가 격론을 벌인 끝에 개인정보 보호 장치로 사용될 수 있는 6개 항목을 부대의견으로 달아 법제사법위원회로 보냈는데 이마저도 최종안에 반영되지 않았다”고 지적했다. 백 교육국장은 데이터3법 개정에 대해 “최소한의 법적 정합성을 보장하는 수준의 토론과 검토도 이뤄지지 않은 졸속 입법”이라 비판했다.
덮어놓고 넘어가기엔 너무 많은 문제
시민사회단체들은 데이터3법 개정안이 ‘가명처리’ 뒤에 숨어 가명정보에 대한 안전장치를 충분히 마련하지 않았다고 본다. 개인정보보호법상 가명정보는 개인정보의 범주에 속한다. 주체를 식별할 수 없게 일정 부분을 삭제 및 대체해도 추가 정보와 결합하면 개인을 식별할 수 있기 때문이다. 최종연 변호사는 “가명정보도 개인정보와 같이 보호의 필요성이 있고 다만 일정 부분이 비식별화돼 개인정보와 동일한 수준의 보호나 정보 주체의 권리가 보장되지 않을 뿐”이라고 강조했다. 가명정보의 수집과 활용을 확대하는 방향으로 정책이 추진된다 해도 여전히 최소한의 안전장치가 필요하다는 것이 최 변호사의 설명이다.
개정 개인정보보호법의 가명정보 처리에 관한 규정과 EU의 유럽개인정보보호일반규정(GDPR)의 내용을 비교하면 이번 개정안의 허점을 파악할 수 있다. 개정안 제28조2의 제1항은 ‘개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존(3대 목적) 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다’고 명시한다. 가장 총체적이고 구체적인 개인정보보호법제로 평가받는 GDPR에서도 가명처리의 개념은 등장한다. 다만, 최종연 변호사는 개정 개인정보보호법의 가명정보 처리 규정은 “GDPR의 취지를 오독한 결과”라고 설명했다. GDPR 제89조는 공익적 기록 보존 목적, 과학적 또는 역사적 연구 목적, 통계적 목적을 위한 정보 처리가 개인정보주체의 통제권(열람권, 정정권, 처리제한권, 처리반대권)을 제약할 수 있기에 이에 대한 적정한 안전조치의 일환으로 가명처리나 익명처리를 제안할 뿐이다. 심지어 GDPR은 연구목적에 대한 개인정보주체의 동의권을 기본으로 보장한다(해설전문 33조). 최 변호사는 ”GDPR은 적절한 조치의 예시로서 가명처리와 익명처리를 들 뿐“이라며 ”(이번 개정안처럼) 가명처리만 하면 동의없이 정보를 사용해도 된다고 규정한 적이 없다“고 설명했다. 백종현 교육국장 또한 “가명 혹은 익명처리를 하면 정보 주체의 통제권을 무력화할 수 있다는 입법태도는 GDPR과 완전히 다르다”고 꼬집었다.
가명정보 처리에 대한 시선이 왜곡돼 있을 뿐 아니라 동의 없는 가명정보 처리가 허용되는 목적으로 규정된 ‘과학적 연구’의 범위도 문제다. 개정 개인정보보호법은 제2조 제8호에서 ‘과학적 연구’를 규정하는데, 시민사회단체는 여기에 기업 내부적인 상업적 연구까지도 포함될 위험성을 지속적으로 제기했다. 심지어 신용정보법 개정안은 ‘과학적 연구’ 대신 ‘연구’ 개념을 사용하며 ‘통계작성에는 시장조사 등 상업적 목적의 통계작성이 포함되며 연구는 산업적 연구를 포함’한다고 명시한다. 일단 상업적 연구 목적으로 동의 없이 신용정보를 활용한다는 법률 조항의 내용은 그 자체로도 정당화되기 어렵다. 뿐만 아니라 최 변호사는 “개인정보보호법이 신용정보법과 통합적으로 해석될 때 개인정보보호법에서 규정한 ‘과학적 연구’에서도 상업성을 배제하기 어렵다”고 설명했다. 백정현 교육국장은 “GDPR에서는 ‘공익’을 전제로 한 목적 하에서 가명처리가 허용된다”며 개정안은 가명정보가 상업적 목적으로 무분별하게 활용될 가능성을 내포한다고 지적했다.
가명정보의 처리에 있어 정보 주체의 동의권이 배제된다면 수집 이후의 옵트 아웃(처리 정지) 또는 반대할 권리(GDPR 제21조)를 비롯한 최소한의 통제권이라도 보장돼야 한다. 그러나 개인정보보호법 개정안은 가명정보에 한해서는 ‘불필요시 파기 의무(제21조)’, ‘영업양도시 이전 규제(제27조)’, ‘유출 시 통지 의무(제34조 1항)’의 내용 등을 모두 배제하고 있어 가명정보에 대한 정보 주체의 통제 범위가 GDPR에서보다 현격히 좁다. 백정현 교육국장에 따르면 작년 11월 국회 토론회에서 GDPR에 포함된 가명 정보의 삭제권 등이 국내 개정안에는 반영되지 않은 이유를 시민사회 단체가 질의했으나 기술적으로 불가능하다는 답변만 돌아왔다.
가명정보 활용을 둘러싸고 시민사회의 우려를 가장 크게 불러왔던 지점 중 하나는 개정 개인정보보호법 제28조3의 ‘가명정보 결합’ 조항이다. 이는 3대 목적 등에 한해 서로 다른 개인정보 처리자 간 가명 정보의 결합을 정부가 지정한 전문 기관에서 수행할 수 있도록 한 규정이다. 2월 17일 발표된 ‘개인정보보호법 개정 후속 과제에 대한 시민사회 의견서’는 ‘전 세계적으로 공공기관이 기업들 사이의 개인정보 결합을 지원하고 결합된 가명정보를 원 개인정보 처리자에게 다시 제공하는 사례를 찾아볼 수 없다’고 적으며 공공기관은 그 결합을 제한적으로 제공해야 한다고 지적한다. 희우 활동가는 “(가명 정보가 공공기관에서 결합돼도) 결합한 데이터를 개별 기업이나 연구기관이 가지고 나갈 수 있게 된다면 이미 갖고 있는 다른 데이터와 맞춰보면서 개인을 식별할 가능성이 현저히 높아진다”고 우려했다.
그 와중에 개인정보에 대한 기업 간 판매, 제공 양상을 처벌할 조항도 미비한 상태다. 기존 개인정보보호법에는 개인정보 보호 규정 등의 위반 시 벌칙규정이 규정돼있다. 그러나 이전 처벌 판례 대부분은 소액의 벌금형 선고에 불과했다. 희우 활동가는 개인정보보호법 위반 행위에 대한 처벌이 약하다고 설명하며 지난해 9년 만에 판결이 확정된 ‘홈플러스 사건’을 예로 들었다. 홈플러스는 이벤트 응모권에 1㎜ 이하의 글씨로 ‘개인정보가 보험회사 영업에 활용될 수 있다’고 적은 뒤 수집한 개인정보를 보험사에 판매해 231억 원 가량의 이익을 냈다. 재판부는 개인정보보호법 위반을 인정했으나 7,500만 원의 벌금만을 확정하고 231억 원은 추징하지 않았다. 최종연 변호사는 가명정보 처리 규정 위반에 관해서도 “기존의 사례를 고려할 때 처벌 수준이 상향될 것으로 기대하기 힘들다”고 설명했다. 한편 개인정보보호법 개정안에서는 주체를 식별하기 위한 목적의 가명정보 결합, 가공 등의 처리 행위를 새롭게 금지하면서 행정벌 규정을 따로 둬 전체 매출액의 3% 이하의 과징금을 부과한다. GDPR은 처벌 행위의 범위가 더욱 넓고, 과징금을 2천만 유로(약 250억원)와 총 매출액의 4% 중 ‘높은’ 금액으로 정한다는 사실과 비교하면 국내 개정안이 그보다 적은 금액을 상한선으로 둔 바는 결코 엄격한 처벌이라 보기 힘들다.
산업계가 ‘데이터3법’의 개정을 기다려온 이유 중 하나는 한국의 개인정보보호법제가 EU GDPR 적정성 심사를 통과해야 국내 IT 기업들이 EU 내 개인 데이터를 원활히 수집 및 활용할 수 있기 때문이었다. 한국은 그동안 GDPR 적정성 심사에 두 차례 탈락했는데 탈락의 대표적인 원인으로 ‘완전한 독립성을 가지고 업무를 수행하고 권한을 행사하는 개인정보 보호 감독기관의 부재’가 꼽혔다. 이를 충족시키기 위해 이번 개정 개인정보보호법은 인사권 및 예산권을 갖는 독립적인 중앙행정기관으로서 개인정보보호위원회의 설립을 명시했다.
정부는 개인정보보호위원회가 GDPR 심사를 통과할 만큼의 자격을 갖췄다는 입장이지만, 시민사회단체들은 개인정보보호위원회의 위상에 문제를 제기한다. 희우 활동가는 “개인정보의 일종인 신용정보의 감독은 여전히 금융위원회 소관인 것으로 개정 신용정보법에 명시돼 있다”며 개인정보 보호 권한 자체가 일원화되지 않았다고 지적했다. 개인정보보호위원회의 독립성 또한 의심받는다. 최종연 변호사는 “개정된 법에서 개인정보보호위원회는 국무총리 산하 기구고 총리의 행정 감독권이 배제되는 영역이 매우 협소하게 설정돼 있어 독립성이 실질적으로 보장될지 확신할 수 없다”고 비판했다.
개인정보보호법 개정안에 명시된 위원회의 구성 또한 우려를 낳고 있다. 최종연 변호사는 개인정보보호법 개정안 제7조 2에서 “전·현직 공무원의 위원 자리는 보장되는 반면 시민사회단체나 소비자 단체는 ‘단체’에 포함된다”고 설명했다. 여기서 단체는 기업의 연구 기관, 상업적 목적의 학회 등을 전부 포괄해 위원회가 다양한 의견을 대변하는 구성원으로 고르게 구성되지 않을 수 있다. 희우 활동가는 “공무원은 개인정보 활용이라는 정부 기조를 대변할 가능성이 높고 시민사회단체의 추천 인원은 개정안 규정에 따르면 들어가기 힘들 것”으로 추측했다.
보호 대신 활용’이 가져올 결말
‘가명정보에 대한 정보주체의 동의 없는 처리’와 ‘가명정보 간의 결합’의 보편화는 정보 주체의 개인정보 통제권을 약화하고 개인정보 유출 등의 피해를 심화시키는 데 그치지 않는다. 2017년 4월, SK텔레콤과 한화생명이 발표한 연구 결과를 주목할 필요가 있다. 양사는 데이터 3법 개정안의 전신인 ‘비식별화 조치 가이드라인’에 따라 동시 가입된 약 218만 명의 개인정보들을 결합했다. 이를 분석한 연구 결과 중엔 ‘통신 요금을 연체하는 사람은 신용대출 연체율도 높다’는 내용이 포함됐다. 아무리 경제적으로 어려워도 핸드폰 요금은 마지막까지 내는 게 보편적이라는 사실을 고려하면 연구 결과 자체는 그럴듯하다.
하지만 해당 연구 결과를 기업들이 어떻게 활용할지는 다른 차원의 문제다. 희우 활동가는 이런 연구 결과가 가져올 기업 상품과 서비스는 “사회적 소수자 계층에 불리하다”고 지적했다. 예를 들어 경제적으로 어려운 사람들에게 대출 시 고금리를 적용한다거나 보험 요율을 높이는 일이 기업 이윤 추구라는 명목으로 자연스럽게 행해지리라는 예측이다. 대부분의 기업들이 2016년 ‘비식별화 조치 가이드라인 발표’부터 가명정보 간 결합에 눈독을 들여온 상황에서 기업들의 연구결과 활용을 상상하는 일이 마냥 달갑지 않은 이유다.
가명정보를 비롯한 개인정보를 기업이 자유롭게 활용하게 될수록 정보 주체와의 정보 불균형은 심화된다. 시민사회단체들은 이 과정에서 기업에게는 이윤이, 대중에게는 차별과 불평등이 주어지리라 예상한다. 희우 활동가는 자동화된 알고리즘으로 작동하는 구글 광고가 “백인 남성에게는 화이트칼라 구직광고를, 흑인 남성에게는 블루칼라 구직광고를 띄우게 돼 차별 논란이 인 적이 있다”며 사람의 의도성이 없는 빅데이터 기반 알고리즘에서조차 차별이 발생한다고 설명했다. 하물며 기업이 이윤을 내기 위한 의도로 빅데이터를 활용하고, 그 정황이 정보의 불균형성으로 은폐될 수 있다면 기업이 개인들을 얼마나 적극적으로 차별할지는 가늠하기 어렵다. 백정현 교육국장은 “활용할 수 있는 개인정보의 증가는 곧 기업의 감시능력 확대를 의미한다”며 “그 감시능력의 확대를 어느 곳에 활용할지는 아무도 모른다”고 설명했다.
기업의 데이터 산업 기술은 압도적인 속도로 발전한다. 희우 활동가는 “가명화 처리 기술의 발달은 곧 암호화를 푸는 기술의 발달을 의미한다”며 완벽한 개인정보 익명성은 불가능하다고 주장했다. 반면 대중의 정보 인권에 대한 인식은 기술 발전 속도를 따라가지 못하고 있다. 백정현 교육국장은 정보 인권에 대한 대중의 인식에 일종의 역설이 존재한다고 말하면서 “인터넷 사용자들은 정보 유출을 두려워하면서도 별 의심 없이 자기 정보를 제공한다”고 말했다. 최종연 변호사 역시 “‘우리 개인정보는 공공재다’라는 식의 농담은 사실 정보 인권에 대한 인식이 엷어져 있다는 증거”라고 설명했다. 개인정보를 활용하고자 하는 기업과 이를 인지하지 못하는 정보 주체의 간격이 벌어질 수밖에 없다는 전망이다.
데이터3법은 이런 상황 속에서 개정된 것이다. 백정현 교육국장은 “정보 인권은 지금까지도 국가 공백의 영역이었지만, 거기서 한 걸음 더 나아가 그나마 존재하던 개인정보 보호 수준까지 상실한 것이 이번 개정”이라 강조했다. 국민의 개인정보와 사생활 기본권을 수호할 최후의 의무를 지닌 주체는 이를 헌법으로 명시한 국가다. 정부가 앞장서 개인정보‘보호’법의 초점을 ‘활용’으로 변화시킨 사실이 뼈아픈 이유다.
3월과 4월에 걸쳐 데이터3법에 대한 시행령과 시행규칙이 발표되면 가명처리의 방법, 가명 정보 간의 결합 절차가 구체적으로 정해진다. 시민사회단체들은 후속조치에라도 의견을 반영하기 위해 노력 중이며 궁극적으로는 개인정보보호법제에 대한 재개정이 필요하다고 주장한다. 희우 활동가는 “개인정보 보호를 논하는 것은 데이터 산업을 저지하려는 목적이 아니다”라고 선을 그었다. 데이터3법 개정에 대한 비판은 “안전하고 정당하게 정보를 사용할 보호장치를 마련하지 않은 사실”을 겨냥한다는 것이다. 정보 인권에 대한 담론이 온라인 플랫폼을 사용하는 인구 전원을 대상으로 하는 시대가 왔다. 각자의 것을 최소한이라도 지키기 위해 개인정보의 보호와 활용 사이 어디에 설지 적극적으로 고민해야 하는 이유다.
