개인정보 넘겨 4차혁명? 박근혜 때와 뭐가 다른가

[해설] 개인정보 규제혁신방안 발표… 가명정보 오용 위험 해소 못해, 내용 없는 면피용 ‘개인정보보호위 독립시켜야’

2018-08-31 21:01       금준경 기자 teenkjk@mediatoday.co.kr

“어느 병에 걸렸었나, 어느 병에 걸릴 확률이 있나, 심지어 복용약, 가족 유전 병력 다 나와 있습니다. 화정보험이 국내 최대 생명보험사라지만 어디 가서 이렇게 환자 정보 얻겠습니까. 표본데이터세트 한 건당 100만 원씩으로 하시죠. 계약자 질병 미리 알면 지불 거부할 수 있고 지불 가능성 높은 상품 가입 못 하게 할 수 있고.”

개인정보 판매의 위험성을 드러내는 JTBC 드라마 ‘라이프’의 한 장면이다. 개인정보가 팔리고, 여러 데이터가 합쳐지면 민감한 정보까지 노출될 수 있다. 2015년 미국의 한 마트에서 고등학생인 자녀에게 유아용품 할인쿠폰을 보내 항의했는데 알고 보니 딸이 임신 중이었다는 일화는 유명하다. 

정부는 31일 ‘데이터 규제혁신’ 정책을 발표했다. 문재인 대통령은 “4차 산업혁명 시대, 미래 산업의 원유가 바로 데이터”라며 “산업화 시대 경부고속도로처럼 데이터 경제시대를 맞아 데이터 고속도로를 구축하겠다”고 밝혔다. 정부는 △개인정보 규제혁신 △빅데이터 센터 구축 △중소기업 지원 △데이터 이용환경 개선 △인력 양성 △클라우드 지원 등을 발표했다.

▲ 31일 문재인 대통령이 판교를 방문하고 개인정보 규제완화 정책을 발표했다. 사진=청와대.

그러나 이 가운데 ‘개인정보 규제혁신’ 정책은 개인정보 유출 우려가 높다. 특히 논란인 건 ‘가명정보 활용’이다. 개인정보보호법은 본인 동의 없으면 개인정보를 제3자에게 제공하거나 판매할 수 없게 한다. 그러나 정부는 모자이크 하듯 ‘가명정보’로 바꾸면 본인을 알아볼 수 없어 상업적 목적의 시장조사 활용도 허용한다는 계획이다.

가명정보는 ‘A카드사의 고객정보’ 파일이 있으면 이름, 주소, 주민등록번호 같은 정보는 모자이크 처리하듯 지우거나 알아볼 수 없게 만들어 빅데이터 분석에 활용하는 것을 말한다. 박근혜 정부 때 만든 유사한 개념인 비식별화가 개인정보 식별 위험성이 높다는 비판이 나오자 개선했지만 여전히 위험성을 배제할 수 없다.  A카드사, B생명보험사, C통신사 개인정보를 결합하면 가명정보라도 누가 누구인지 드러날 수 있다.

정부도 문제를 안다. 정부는 가명정보의 개념을 “추가정보의 사용 없이는 특정 개인을 알아볼 수 없게 조치한 정보”로 규정했다. 달리 말하면 추가정보를 사용하면 특정 개인을 알아볼 수 있다. 추가정보를 사용해도 특정 개인을 못 알아 보도록 하는 정보는 가명정보가 아닌 익명정보라고 한다.

▲ 정부 개인정보 규제혁신 발표자료. 정부도 가명정보의 한계를 인식하고 있다.

여당 반응을 보면 정부여당이 이번 규제완화 개념을 제대로 이해하는지 의문이다. 지난 28일 김태년 민주당 정책위원회 의장은 “다른 정보와 결합해도 더 이상 개인 또는 개인의 위치를 알아볼 수 없도록 하는 조치”를 하겠다고 말해 정부와 다른 입장을 내놓았다.

정부는 ‘엄격한 데이터 결합’과 ‘강력한 사후 처벌’을 대책으로 내놓았으니 안심해도 된다고 한다. 임의로 데이터를 합쳐 누가 누군지 다시 드러나게 하는 재식별를 금하고, 위반하면 형사처벌하고 과징금을 부과할 계획이다. 데이터 결합과 분석은 국가가 지정한 전문기관에서만 가능하게 하겠다고 밝혔다.

그러나 개인정보가 드러날 수 있는 가명정보를 기업이 관여하는 산업연구에 활용하게 만드는 조치가 과도하고 사후대응도 불완전하다.

오병일 진보네트워크센터 활동가는 “산업연구에 가명정보를 활용하면 국민의 처방전 정보를 팔았던 IMS헬스 사건 같은 일은 합법화하겠다는 것”이라고 말했다. IMS헬스 사건은 약학정보원, 약사회 등이 2011년부터 다국적 데이터 업체인 IMS헬스에 50억건에 달하는 처방전 정보를 암호화한 다음 제공해 손해배상 청구소송이 제기된 사건이다.

▲ 일러스트=권범철 만평작가.

문재인 대통령은 해외와 비교하며 규제완화를 강조했지만 정부안보다 엄격한 국가도 많다. 민주사회를위한변호사모임 디지털정보위원회는 “EU의 일반개인정보보호규정(GDPR)은 가명화 정보를 사용할 수 있는 경우를 공익을 위한 기록보존의 목적, 과학적, 역사적 연구 목적 등에 한정한다”며 산업연구에 활용하는 정부안이 과도하다고 했다.

오병일 활동가는 “정부는 개인정보를 ‘결합’하는 전문기관을 따로 두겠다지만, 정부가 나서 민간기업 간 결합 허용 자체가 해외에도 사례가 없다”며“사후처벌을 강화한다지만 다 해결될지 의문이고 안전장치를 마련하겠다는 주장에는 구체적인 내용이 없다”고 지적했다.

이날 정부가 함께 발표한 위치정보 활용 규제완화도 위험하다. 정부는 무인차, 드론 등 신산업 활성화를 위해 사물위치정보 수집·이용·제공시 사전동의를 받지 않도록 하겠다고 한다. 그러나 무인차를 비롯해 개인이 사물과 연동되는 사물인터넷 기술의 특성을 고려하면 사물위치정보가 개인정보처럼 활용될 수 있어 신중해야 한다.

개인정보 유출 사건이 잇따르고 규제완화가 추진되는 상황에서 시민사회단체, 정의당, 여당 일각은 개인정보보호위를 국가인권위원회처럼 독립기구로 만드는 방안이 해법이라고 입을 모은다. 개인정보보호위는 행정안전부 산하기구라서 독립성이 확보돼 있지 않고 제대로 된 감독권한도 없다. 더구나 개인정보 정책이 행정안전부, 방송통신위원회, 금융위원회 등에 분산돼 있고 이들 부처가 권한을 넘기는 데 소극적이다.

정부 발표에는 ‘개인정보보호위원회 위상 강화’라는 표현만 있을 뿐 알맹이가 없다. 추혜선 정의당 의원은 “분산된 감독기구로는 정부가 내세우는 안전장치 역시 정상 작동하기 힘들다”며 “감독기구 일원화는 언급조차 없었다. 여론을 의식한 듯 개인정보보호위원회 위상을 강화하겠다지만 구체적 개선방안은 전혀 제시하지 못하고 있다”고 지적했다.

여당 내에서도 개인정보보호기구 일원화가 필요하다는 목소리가 있다. 지난달 22일 국회 과학기술정보방송통신위원회 간사인 김성수 더불어민주당 의원은 “개인정보보호위의 독립성을 강화하고 조사권을 부여하면 방통위의 권한이 줄어드는 것을 우려하는 것 같다”며 “원칙적으로 개인정보보호위의 권한을 강화하는 게 맞다”고 했다.