"산업활성화 법이냐, 개인정보 도둑법이냐" 데이터 3법 개정안의 주요 내용과 비판
과학기술정보통신부(이하 과기정통부)는 "데이터 3법 개정이 인공지능 시대와 데이터 경제를 선도할 수 있는 제도적 기반이 마련됐다"며, "데이터 3법 개정안의 국회 통과에 따른 후속조치로 4차 산업혁명 시대 핵심 자원인 데이터 개방·유통 확대를 추진하고, 데이터 간 융합과 활용 촉진을 통해 데이터 산업 육성을 본격 지원한다"라고 밝혔다.
하지만 참여연대를 비롯한 관련 시민단체들은 이번 데이터 3법 개정은 국민의 정보인권을 포기한 것으로 헌법에서 규정한 개인정보자기결정권을 침해한 것이라고 강력하게 반발하고 있다.
참여연대를 비롯한 10여 개의 시민사회단체 측은 "이번 데이터 3법 개정안은 2011년 제정이래 유지되어 왔던 개인정보보호의 기본 체계를 뒤흔드는 법안이다. 국가 개인정보보호의 체계를 근본적으로 바꾸는 중대한 사안임에도 그동안 정부는 제대로 된 사회적 논의를 진행하지 않았으며 기업 측의 요구를 일방적으로 수용한 것이다"라고 밝혔다.
반대의 목소리를 내는 주최는 건강과대안/경제정의실천시민연합/무상의료운동본부/민변디지털정보위원회/민주노총사무금융노조/서울YMCA/소비자시민모임/의료연대본부/진보네트워크센터/참여연대/한국소비자연맹/함께하는시민행동 등 시민사회 단체들이다.
이번 데이터 3법 개정안 주요 내용을 살펴보면서 시민사회단체들이 주장하는 이번 개정안의 문제점과 우려 사항을 함께 알아보자.
과학기술정보통신부(이하 과기정통부)가 밝힌 개정안의 주요 핵심 내용은 다음과 같다.
- 개인정보 개념 명확화: 모호했던 개인정보의 판단 기준을 명확히 하고 익명화된 정보는 개인정보보호법에서 제외
- 가명정보와 개인정보의 이용범위 확대: 데이터 이용 활성화를 위한 가명정보 개념을 도입
- 정보집합물 결합 근거 마련: 기업 간 데이터 결합은 전문기관에서 수행하고 기관 외부로 반출시 개인을 알아볼 수 없는 형태로 반출
- 개인정보처리자의 책임성 강화: 가명정보 처리와 결합시 안전조치 의무 및 위반시 형사벌, 과징금 벌칙 부과
- 개인정보보호 추진체계 효율화: 행정안전부, 방송통신위원회, 금융위원회의 개인정보보호 기능을 개인정보보호위원회로 일원화
데이터 3법 개정안이 상정되기 전부터 시민단체들은 개인정보보호법, 신용정보법 등의 개정 움직임에 대해 지속적으로 감시해왔다. 특히 개인의료정보 상업화에 대해 극렬하게 반대했다. 이 단체들의 개인정보 상업화의 반대 요지는 다음과 같다.
"한국은 개인의료정보 보호 측면에서 각별한 주의가 필요한 나라다. 국민 모두에게 주민등록번호라는 고유식별정보가 존재하고, 일 년에 수차례 대량의 개인 정보 유출이 발생하는 나라다. 게다가 한국은 모든 국민이 건강보험에 가입되어 있기에 개인의 진료정보, 약물사용 자료, 건강검진 자료 등이 국민건강보험공단에 대규모로 집적되어 있다. 국민건강보험공단에는 건강보험 적용 및 이용을 위한 행정적 목적으로 이러한 의료 정보 외에도 개인의 소득, 주소, 직장 등 방대한 양의 개인정보가 집적되어 있다. 이러한 조건에서는 아무리 가명화된 개인의료정보라도 다른 개인정보를 활용해 얼마든지 개인이 식별될 위험성이 높다."
입수 가능성, 합리적 고려 명시
이번에 통과된 개인정보보호법 개정안은 첫째로 개인정보 여부는 결합할 수 있는 다른 정보의 입수 가능성, 식별에 소요되는 시간·비용·기술 등을 합리적으로 고려하도록 하고, 이런 요건에 해당하지 않는 익명화된 정보는 개인정보보호법을 적용하지 않음을 명확히 했다.이를 위해 개인정보 해당 여부에 대한 판단 기준을 제시(개인정보보호법 제2조 제1호 개정)하고, 가명정보의 개념을 명시(제2조 제1호 개정)했다. 또한 익명정보는 개인정보보호법의 적용을 배제(제 58조의2 신설)했다.
가명정보는 개별 정보주체와의 1:1 대응관계가 남아 있어 개인정보를 원상태로 복원하기 위한 추가정보를 추가하면 다시 개인을 알아 볼 수 있다. 반면 익명정보는 이런 1:1 대응관계가 제거되어 다른 정보와 결합해도 개인을 알아보는 것이 현행 기술상 극히 곤란한 정보다. 하지만 익명정보는 일반적으로 개인 식별이 안 되는 것으로 분류되지만, 기술적으로 특수한 조건이 구비되면 일부 개인 식별 가능성이 상존할 수 있는 유동적인 개념이다.
과기정통부는 이를 통해 개인정보 처리를 동반하는 사업 추진 시 혼란이 줄어들고, 익명정보의 이용이 활성화될 것이라고 기대했다.
가명정보, 동의없이 이용 가능
둘째, 가명정보는 통계작성·과학적 연구·공익적 기록 보존 등을 위해 정보주체의 동의 없이 적절한 안전조치 하에 이용할 수 있게 됐다. 이에 따라 데이터의 가명처리를 통해 활용 가능한 데이터의 종류가 다양해지고 새로운 기술·제품·서비스 개발, 시장조사 등 활용 분야도 확대될 것으로 보인다. 이에 대해 시민단체는 "가명정보라고 해도 기업이 동의없이 이용, 판매하는데 반대한다는 국민 다수의 의견은 무시됐다. 특히 최후의 보루로 남겨뒀어야 할 명시적 동의 요건을 삭제하고 가명처리만으로 마음대로 사고 팔고, 집적할 수 있도록 해 준 것은 1970년 대 개발독재식 논리와 다를 바 없다"고 비판하면서 이번 개인정보보호법 개정안은 기업들이 가명처리된 고객정보를 정보주체의 동의없이 판매, 공유, 결합할 수 있도록 허용하는 "개인정보 도둑법"이라고 규정했다.
셋째, 기업 간 데이터 결합은 보안시설을 갖춘 전문기관에서 수행(제28조의3 신설)토록하고 결합된 데이터를 기관 외부로 반출할 경우 개인을 알아볼 수 없는 형태로 전문기관의 승인을 거쳐 반출하도록 규정(제28조의3 신설)했다. 과기정통부는 "이를 통해 통신, 금융, 유통 등 서로 다른 분야의 데이터가 안전하게 결합, 이용되어 데이터의 가치가 제고되고, 이를 기반으로 개인별 맞춤형 서비스 등 혁신 서비스 창출이 활성화될 것으로 기대한다"라고 밝혔다.
이에 시민 단체들은 "데이터산업이 커지면 그동안에도 고객 정보를 수집하고 집적해 온 금융기업 등 일부 관련 기업들은 환호할 것이고 데이터산업의 부가가치는 일부 기업에 집중될 것이다. 그러나 정보주체인 국민들은 개인정보 권리 침해, 데이터 관련 범죄 증가, 국가와 기업의 국민 감시 및 차별 심화 등 그 피해를 고스란히 떠안게 될 것이다. 가장 사적이고 민감해 보호받아야 할 각종 질병 정보, 가족력이나 유전병 정보 등 건강 정보에 의료 관련 기업은 물론이고 의료와 관계 없는 온갖 영리기업들도 접근할 수 있게 된다"라고 설명했다.
가명정보에 사라진 정보주체의 권리
넷째, 개인정보처리자의 책임성을 강화하기 위해 가명정보 처리 및 결합시 안전조치 의무를 부과(제28조4 및 제28조5 신설)하고 가명정보 처리 및 결합시 특정 개인을 알아보는 행위 금지 의무, 위반시 형사별, 과징금 등 벌칙을 부과(제28조의5 및 제 28조의6 신설 등)했다. 또한 가명정보를 복원하기 위한 추가 정보를 별도로 분리 보관하거나 제3자에게 제공하는 것을 금지하고, 데이터 활용 과정에서 개인 식별가능 정보가 생성된 경우 지체없이 처리 중단 및 회수·파기하도록 했다. 이에 시민단체는 "개인정보보호와 활용의 균형을 이루겠다는 법개정 취지는 말속임에 지나지 않는다"면서, "가명정보라는 개념을 도입해 국민의 가장 사적이고 민감한 의료정보, 질병정보에서부터 소비특성, 투자행태, 소득규모 등을 파악할 수 있는 신용정보, SNS등에 쓴 다양한 정보까지 거의 모든 정보를 기업이 활용할 수 있도록 길을 열어 준다. 반면 정보주체는 동의권은 물론이고 정보열람권, 삭제요구권, 정보이전 및 개인정보유출에 대한 통지받을 권리 등을 인정받지도 못한다. 정보주체인 국민들은 기업이 어떻게 내 정보를 활용하고 판매하고 결합하는지, 또 어떤 사고가 있어 유출되고 악용되는지 알 수가 없다"고 말했다.
다섯째, 개인정보 보호와 관련해 유사 중복 규정을 정비하고 추진체계를 효율화하기 위해 개인정보보호위원회를 국무총리 소속 중앙행정기관으로 격상(제7조 개정)하고 행안부, 방통위(전부), 금융위(일부)의 개인정보보호 기능을 보호위로 이관했다. 개인정보 보호와 관련해 다른 부처에 대해 공동조사 요구권, 행정 처분에 대한 의견제시권 부여 등 보호위의 컨트롤 타워 기능을 강화했다.
과기정통부는 유사 위반 사항(안전조치 의무위반)에 대해 A 항공사는 행안부가, B 항공사는 방통위가 각각 조사해 제재한 사안에 대해 거론하면서 온오프라인으로 분리되어 있던 감독 체계를 일관된 정책 추진이 가능해질 것이라고 의미를 부여했다.
또한 개인정보 감독기구과 독립성을 갖추게 되어 EU 적정성 평가 승인이 예상된다고 밝혔다. 적정성 평가가 승인되면 국내 기업이 EU 거주자의 개인정보 이전 시에 필요한 별도 절차를 면제받는다.
81.9%, 개인정보보호법 개정 추진 자체 몰랐다
이에 시민 단체는 "정부는 이 개정안이 EU의 GDPR 적정성 평가를 위해서도 필요하다고 주장하지만, 이는 문제가 되는 법안 내용 중 개인정보보호위원회의 독립성과 권한을 강화하는 조항만 통과시키면 되는 것이지, 굳이 법개정 취지와는 반대로 국민의 정보인권을 일방적으로 희생할 것을 요구할 필요는 없다"고 비판했다. 또한 "이 개정안을 통해 이제 기업은 인터넷의 모든 곳을 관리하고 거기서 만들어지는 흔적인 ‘데이터’를 자신들의 이익을 위해 얼마든지 결합하고 공유하고 판매할 수 있게 되었다. 80%가 넘는 국민들이 개인정보보호법이 개정된다는 사실조차 알지 못하는 가운데 새로운 데이터환경, 정보환경으로 바꾸어 놓았다"라고 비판했다.
2019년 11월, 시민단체는 개인정보보호법안의 국회 행안위 법안심사소위 심사를 앞두고 긴급 여론조사를 실시한 바 있다. 여론조사전문기관인 서든포스트에서 19세 이상 성인남녀 1,000명을 대상으로 ARS 여론 조사를 실시한 결과, 국민 81.9%가 개인정보보호법 개정 추진 사실 자체를 몰랐으며, 66.3%가 가명정보를 동의없이 기업 간 제공하는 것에 반대하고 있었다. 특히 정치적 견해, 건강, 의료 정보 등 민감정보라도 가명처리 후 본인 동의없이 수집, 이용하는 것에 대해 80.3%가 반대했다.
정부는 데이터 3법 개정에 따른 다양한 민간의 의견을 수렴하고 정책에 최대한 반영해 기업, 기관 등이 데이터를 안전하게 활용하고 데이터 경제로의 이행이 본격화되도록 지속 지원할 계획이다. 이를 위해 정부는 관련 모든 부처가 참여하는 데이터 경제 활성화 태스크 포스를 출범하고 2월 중으로 종합 지원 방안을 발표할 에정이다.
시민단체는 "이번에 통과된 데이터 3법은 정보인권침해 3법, 개인정보도둑 3법이라 불릴 것이다. 또한 법개악에 반대해 헌법소원과 국민캠페인 등 가능한 모든 수단을 동원해 잘못 개정된 정보인권침해 3법의 재개정에 매진할 것이다"라고 밝혔다. editor@itworld.co.kr
함께 보면 좋은 콘텐츠
Sponsored
Surfshark
“유료 VPN, 분명한 가치 있다” VPN 선택 가이드
ⓒ Surfshark VPN(가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다. 동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다. 무료 VPN, 정말 괜찮을까? 무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다. 보안 우려 대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다. 속도와 대역폭 제한 무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다. 서비스 제한 무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다. 광고 및 추적 위험 일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다. 제한된 기능 무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다. 유료 VPN의 필요성 최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다. 서프샤크 VPN은 구독 요금제 가입 후 7일간의 무료 체험을 제공하고 있다. ⓒ Surfshark 그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다. 보안 강화 해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다. 개인정보 보호 인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다. 지역 제한 해제 해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다. 빠르고 안전한 유료 VPN, 서프샤크 VPN ⓒ Surfshark 뛰어난 보안 서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다. 다양한 서버 위치 서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다. 속도와 대역폭 서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다. 다양한 플랫폼 지원 서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다. 디바이스 무제한 연결 서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.