BI|분석 / 데이터ㆍ분석 / 보안 / 프라이버시

"산업활성화 법이냐, 개인정보 도둑법이냐" 데이터 3법 개정안의 주요 내용과 비판

이대영 기자 | ITWorld 2020.01.10
데이터 3법 개정안이 2020년 1월 9일 국회 본회의를 통과됨에 따라 보안뿐만 아니라 서비스, 통신, 금융, 유통, 의료 등 다양한 산업계에서 상당한 파급력을 가질 것으로 보인다. 데이터 3법은 개인정보보호법·신용정보법·정보통신망법을 의미한다.  

과학기술정보통신부(이하 과기정통부)는 "데이터 3법 개정이 인공지능 시대와 데이터 경제를 선도할 수 있는 제도적 기반이 마련됐다"며, "데이터 3법 개정안의 국회 통과에 따른 후속조치로 4차 산업혁명 시대 핵심 자원인 데이터 개방·유통 확대를 추진하고, 데이터 간 융합과 활용 촉진을 통해 데이터 산업 육성을 본격 지원한다"라고 밝혔다. 

하지만 참여연대를 비롯한 관련 시민단체들은 이번 데이터 3법 개정은 국민의 정보인권을 포기한 것으로 헌법에서 규정한 개인정보자기결정권을 침해한 것이라고 강력하게 반발하고 있다. 

참여연대를 비롯한 10여 개의 시민사회단체 측은 "이번 데이터 3법 개정안은 2011년 제정이래 유지되어 왔던 개인정보보호의 기본 체계를 뒤흔드는 법안이다. 국가 개인정보보호의 체계를 근본적으로 바꾸는 중대한 사안임에도 그동안 정부는 제대로 된 사회적 논의를 진행하지 않았으며 기업 측의 요구를 일방적으로 수용한 것이다"라고 밝혔다. 

반대의 목소리를 내는 주최는 건강과대안/경제정의실천시민연합/무상의료운동본부/민변디지털정보위원회/민주노총사무금융노조/서울YMCA/소비자시민모임/의료연대본부/진보네트워크센터/참여연대/한국소비자연맹/함께하는시민행동 등 시민사회 단체들이다. 

이번 데이터 3법 개정안 주요 내용을 살펴보면서 시민사회단체들이 주장하는 이번 개정안의 문제점과 우려 사항을 함께 알아보자.



과학기술정보통신부(이하 과기정통부)가 밝힌 개정안의 주요 핵심 내용은 다음과 같다. 

- 개인정보 개념 명확화: 모호했던 개인정보의 판단 기준을 명확히 하고 익명화된 정보는 개인정보보호법에서 제외  
- 가명정보와 개인정보의 이용범위 확대: 데이터 이용 활성화를 위한 가명정보 개념을 도입
- 정보집합물 결합 근거 마련: 기업 간 데이터 결합은 전문기관에서 수행하고 기관 외부로 반출시 개인을 알아볼 수 없는 형태로 반출 
- 개인정보처리자의 책임성 강화: 가명정보 처리와 결합시 안전조치 의무 및 위반시 형사벌, 과징금 벌칙 부과 
- 개인정보보호 추진체계 효율화: 행정안전부, 방송통신위원회, 금융위원회의 개인정보보호 기능을 개인정보보호위원회로 일원화

데이터 3법 개정안이 상정되기 전부터 시민단체들은 개인정보보호법, 신용정보법 등의 개정 움직임에 대해 지속적으로 감시해왔다. 특히 개인의료정보 상업화에 대해 극렬하게 반대했다. 이 단체들의 개인정보 상업화의 반대 요지는 다음과 같다. 

"한국은 개인의료정보 보호 측면에서 각별한 주의가 필요한 나라다. 국민 모두에게 주민등록번호라는 고유식별정보가 존재하고, 일 년에 수차례 대량의 개인 정보 유출이 발생하는 나라다. 게다가 한국은 모든 국민이 건강보험에 가입되어 있기에 개인의 진료정보, 약물사용 자료, 건강검진 자료 등이 국민건강보험공단에 대규모로 집적되어 있다. 국민건강보험공단에는 건강보험 적용 및 이용을 위한 행정적 목적으로 이러한 의료 정보 외에도 개인의 소득, 주소, 직장 등 방대한 양의 개인정보가 집적되어 있다. 이러한 조건에서는 아무리 가명화된 개인의료정보라도 다른 개인정보를 활용해 얼마든지 개인이 식별될 위험성이 높다." 


입수 가능성, 합리적 고려 명시 

이번에 통과된 개인정보보호법 개정안은 첫째로 개인정보 여부는 결합할 수 있는 다른 정보의 입수 가능성, 식별에 소요되는 시간·비용·기술 등을 합리적으로 고려하도록 하고, 이런 요건에 해당하지 않는 익명화된 정보는 개인정보보호법을 적용하지 않음을 명확히 했다.
 
이를 위해 개인정보 해당 여부에 대한 판단 기준을 제시(개인정보보호법 제2조 제1호 개정)하고, 가명정보의 개념을 명시(제2조 제1호 개정)했다. 또한 익명정보는 개인정보보호법의 적용을 배제(제 58조의2 신설)했다. 

가명정보는 개별 정보주체와의 1:1 대응관계가 남아 있어 개인정보를 원상태로 복원하기 위한 추가정보를 추가하면 다시 개인을 알아 볼 수 있다. 반면 익명정보는 이런 1:1 대응관계가 제거되어 다른 정보와 결합해도 개인을 알아보는 것이 현행 기술상 극히 곤란한 정보다. 하지만 익명정보는 일반적으로 개인 식별이 안 되는 것으로 분류되지만, 기술적으로 특수한 조건이 구비되면 일부 개인 식별 가능성이 상존할 수 있는 유동적인 개념이다.
과기정통부는 이를 통해 개인정보 처리를 동반하는 사업 추진 시 혼란이 줄어들고, 익명정보의 이용이 활성화될 것이라고 기대했다. 


가명정보, 동의없이 이용 가능

둘째, 가명정보는 통계작성·과학적 연구·공익적 기록 보존 등을 위해 정보주체의 동의 없이 적절한 안전조치 하에 이용할 수 있게 됐다. 이에 따라 데이터의 가명처리를 통해 활용 가능한 데이터의 종류가 다양해지고 새로운 기술·제품·서비스 개발, 시장조사 등 활용 분야도 확대될 것으로 보인다. 

이에 대해 시민단체는 "가명정보라고 해도 기업이 동의없이 이용, 판매하는데 반대한다는 국민 다수의 의견은 무시됐다. 특히 최후의 보루로 남겨뒀어야 할 명시적 동의 요건을 삭제하고 가명처리만으로 마음대로 사고 팔고, 집적할 수 있도록 해 준 것은 1970년 대 개발독재식 논리와 다를 바 없다"고 비판하면서 이번 개인정보보호법 개정안은 기업들이 가명처리된 고객정보를 정보주체의 동의없이 판매, 공유, 결합할 수 있도록 허용하는 "개인정보 도둑법"이라고 규정했다. 

셋째, 기업 간 데이터 결합은 보안시설을 갖춘 전문기관에서 수행(제28조의3 신설)토록하고 결합된 데이터를 기관 외부로 반출할 경우 개인을 알아볼 수 없는 형태로 전문기관의 승인을 거쳐 반출하도록 규정(제28조의3 신설)했다. 과기정통부는 "이를 통해 통신, 금융, 유통 등 서로 다른 분야의 데이터가 안전하게 결합, 이용되어 데이터의 가치가 제고되고, 이를 기반으로 개인별 맞춤형 서비스 등 혁신 서비스 창출이 활성화될 것으로 기대한다"라고 밝혔다. 

이에 시민 단체들은 "데이터산업이 커지면 그동안에도 고객 정보를 수집하고 집적해 온 금융기업 등 일부 관련 기업들은 환호할 것이고 데이터산업의 부가가치는 일부 기업에 집중될 것이다. 그러나 정보주체인 국민들은 개인정보 권리 침해, 데이터 관련 범죄 증가, 국가와 기업의 국민 감시 및 차별 심화 등 그 피해를 고스란히 떠안게 될 것이다. 가장 사적이고 민감해 보호받아야 할 각종 질병 정보, 가족력이나 유전병 정보 등 건강 정보에 의료 관련 기업은 물론이고 의료와 관계 없는 온갖 영리기업들도 접근할 수 있게 된다"라고 설명했다. 


가명정보에 사라진 정보주체의 권리 

넷째, 개인정보처리자의 책임성을 강화하기 위해 가명정보 처리 및 결합시 안전조치 의무를 부과(제28조4 및 제28조5 신설)하고 가명정보 처리 및 결합시 특정 개인을 알아보는 행위 금지 의무, 위반시 형사별, 과징금 등 벌칙을 부과(제28조의5 및 제 28조의6 신설 등)했다. 또한 가명정보를 복원하기 위한 추가 정보를 별도로 분리 보관하거나 제3자에게 제공하는 것을 금지하고, 데이터 활용 과정에서 개인 식별가능 정보가 생성된 경우 지체없이 처리 중단 및 회수·파기하도록 했다. 

이에 시민단체는 "개인정보보호와 활용의 균형을 이루겠다는 법개정 취지는 말속임에 지나지 않는다"면서, "가명정보라는 개념을 도입해 국민의 가장 사적이고 민감한 의료정보, 질병정보에서부터 소비특성, 투자행태, 소득규모 등을 파악할 수 있는 신용정보, SNS등에 쓴 다양한 정보까지 거의 모든 정보를 기업이 활용할 수 있도록 길을 열어 준다. 반면 정보주체는 동의권은 물론이고 정보열람권, 삭제요구권, 정보이전 및 개인정보유출에 대한 통지받을 권리 등을 인정받지도 못한다. 정보주체인 국민들은 기업이 어떻게 내 정보를 활용하고 판매하고 결합하는지, 또 어떤 사고가 있어 유출되고 악용되는지 알 수가 없다"고 말했다. 

다섯째, 개인정보 보호와 관련해 유사 중복 규정을 정비하고 추진체계를 효율화하기 위해 개인정보보호위원회를 국무총리 소속 중앙행정기관으로 격상(제7조 개정)하고 행안부, 방통위(전부), 금융위(일부)의 개인정보보호 기능을 보호위로 이관했다. 개인정보 보호와 관련해 다른 부처에 대해 공동조사 요구권, 행정 처분에 대한 의견제시권 부여 등 보호위의 컨트롤 타워 기능을 강화했다.  

과기정통부는 유사 위반 사항(안전조치 의무위반)에 대해 A 항공사는 행안부가, B 항공사는 방통위가 각각 조사해 제재한 사안에 대해 거론하면서 온오프라인으로 분리되어 있던 감독 체계를 일관된 정책 추진이 가능해질 것이라고 의미를 부여했다. 

또한 개인정보 감독기구과 독립성을 갖추게 되어 EU 적정성 평가 승인이 예상된다고 밝혔다. 적정성 평가가 승인되면 국내 기업이 EU 거주자의 개인정보 이전 시에 필요한 별도 절차를 면제받는다.  


81.9%, 개인정보보호법 개정 추진 자체 몰랐다 

이에 시민 단체는 "정부는 이 개정안이 EU의 GDPR 적정성 평가를 위해서도 필요하다고 주장하지만, 이는 문제가 되는 법안 내용 중 개인정보보호위원회의 독립성과 권한을 강화하는 조항만 통과시키면 되는 것이지, 굳이 법개정 취지와는 반대로 국민의 정보인권을 일방적으로 희생할 것을 요구할 필요는 없다"고 비판했다.  

또한 "이 개정안을 통해 이제 기업은 인터넷의 모든 곳을 관리하고 거기서 만들어지는 흔적인 ‘데이터’를 자신들의 이익을 위해 얼마든지 결합하고 공유하고 판매할 수 있게 되었다. 80%가 넘는 국민들이 개인정보보호법이 개정된다는 사실조차 알지 못하는 가운데 새로운 데이터환경, 정보환경으로 바꾸어 놓았다"라고 비판했다.

2019년 11월, 시민단체는 개인정보보호법안의 국회 행안위 법안심사소위 심사를 앞두고 긴급 여론조사를 실시한 바 있다. 여론조사전문기관인 서든포스트에서 19세 이상 성인남녀 1,000명을 대상으로 ARS 여론 조사를 실시한 결과, 국민 81.9%가 개인정보보호법 개정 추진 사실 자체를 몰랐으며, 66.3%가 가명정보를 동의없이 기업 간 제공하는 것에 반대하고 있었다. 특히 정치적 견해, 건강, 의료 정보 등 민감정보라도 가명처리 후 본인 동의없이 수집, 이용하는 것에 대해 80.3%가 반대했다.    

정부는 데이터 3법 개정에 따른 다양한 민간의 의견을 수렴하고 정책에 최대한 반영해 기업, 기관 등이 데이터를 안전하게 활용하고 데이터 경제로의 이행이 본격화되도록 지속 지원할 계획이다. 이를 위해 정부는 관련 모든 부처가 참여하는 데이터 경제 활성화 태스크 포스를 출범하고 2월 중으로 종합 지원 방안을 발표할 에정이다. 

시민단체는 "이번에 통과된 데이터 3법은 정보인권침해 3법, 개인정보도둑 3법이라 불릴 것이다. 또한 법개악에 반대해 헌법소원과 국민캠페인 등 가능한 모든 수단을 동원해 잘못 개정된 정보인권침해 3법의 재개정에 매진할 것이다"라고 밝혔다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.