시민단체-산업계 주장 맞서… 개정안 10월 소위서 통과 못해
인공지능과 빅데이터 산업의 발전을 위해 개인정보의 산업적 활용을 활성화해야 한다는 업계의 요구와 개인정보 보호를 강화해야 한다는 시민단체의 주장이 팽팽히 맞서고 있다. 국회에서는 인재근·이재정·박선숙·진선미·변재일·민경욱·이진복 의원 등이 다수의 개인정보보호법(개보법) 개정안을 발의한 상태다. 그만큼 이 문제가 정치권과 정부의 핵심적인 관심사라는 것이다. 이 중 주되게 논의되는 안은 인재근 의원안(개정안)이다. 당정협의를 거친 사실상의 정부안이다. ‘힘을 싣기 위해’ 의원입법 형식을 취했다. 지난 9월 27일과 10월 1일 이 개정안이 국회 행정안전위원회 법안심사소위에서 논의됐지만 통과하지 못했다.
국회 행정안전위원회 관계자는 “인재근 의원안을 중심으로 논의되고 있지만 개인정보보호위원회의 조사권한이나 처분권한이 유럽연합의 일반개인정보보호법(GDPR)의 적정성 평가를 받기 위한 독립성 요건을 충족하는지에 대해 이견이 있었다”고 전했다. 하지만 큰 쟁점이 아니라서 국정감사가 끝난 11월에 다시 논의해 연내 처리도 가능할 수 있다.
가명정보의 제3자 제공이 쟁점
개정안의 핵심은 ‘가명정보’를 정의하고, 그 활용범위를 밝힌 데 있다. 가명정보란 성명, 주민등록번호와 영상 등 바로 개인이 특정되는 개인정보와 해당 정보만으로는 알 수 없어도 다른 정보와 쉽게 결합해 개인을 알아볼 수 있는 차량번호 같은 ‘비식별 개인정보’를 가명처리한 정보다. 추가 정보의 결합 없이는 특정 개인을 알아볼 수 없다. 가명처리에는 개인을 식별하거나 추론할 수 있는 이름과 성별, 나이, 주소와 같은 ‘식별자’를 지우거나 일부를 가리고 개인별로 고유한 정보인 주민등록번호 등을 제3자가 풀어볼 수 없도록 암호화하는 방법이 사용된다. 예를 들어 42세 나정보씨를 40대, 나○○로 바꾸는 식이다.
정보를 많이 남겨야 데이터의 활용가치가 높지만 사생활 보호에 문제가 있을 수 있기 때문에 적정한 수준의 가명처리를 한 정보가 산업적 활용의 중심이 된다. 개정안은 산업적 목적을 포함한 ‘과학적 연구’와 시장조사 등 상업적 목적의 통계 작성, 공익적 기록 보존 등의 목적으로 가명정보를 이용할 수 있도록 했다. 개인정보를 클라우드 서비스 등 제3자에게 위탁할 때도 사전동의 절차를 없애고 공개 혹은 고지만 하면 되도록 조항을 수정할 계획이다.
시민단체는 개정안이 사실상 개인정보의 판매와 공유를 허용하는 ‘개악’이라고 반발하고 있다. 민변 디지털정보위원회 위원장으로 활동하는 조지훈 변호사는 “가명화된 정보의 제3자 제공을 어느 범위 내로 할 것인지가 가장 큰 문제”라며 “인재근 의원안은 상업적 이용까지 포괄하고 있지만 우리는 공익적 목적의 통계 작성이나 학술연구 목적으로만 제한해야 한다는 입장”이라고 밝혔다. 시민단체 건강과연대의 변혜진 상임연구위원은 “민간보험사나 제약회사 등 환자의 정보를 이용해 수익을 얻는 기업도 모두 과학적 연구방법을 쓰고 있다”며 “과학적 연구라고 표현할 경우 시장조사나 마케팅, 상품 개발에까지 산업적으로 활용할 수 있는 문을 열어두게 된다”고 말했다.
특히 시민단체들은 ‘정보결합물’의 교환이 가능하도록 한 조항을 문제삼고 있다. 보안시설을 갖춘 전문기관을 거치도록 했지만 기업들이 자신이 보유한 정보를 결합해 활용할 수 있기 때문이다. 예를 들어 통신사와 카드회사가 양쪽이 보유한 고객정보를 결합해 새로운 서비스나 제품을 내놓을 수 있지만 휴대전화번호와 카드번호, 카드 매출정보 등을 결합하면 개인의 사생활이 고스란히 드러날 수 있다. 오병일 진보네트워크센터 대표는 “개인정보를 가명처리만 하면 정보주체의 동의 없이 다른 기업에 제공할 수 있다”며 “가명정보라는 이유로 이후 삭제할 의무조차 없다”고 말했다.
특히 주민등록번호라는 신분 확인 수단이 사회·경제의 거의 모든 영역에서 활용되고, 다른 개인정보를 연결하는 핵심키 역할을 하는 한국의 특수성을 감안해야 한다는 주장이 제기된다. 지난 7월 25일 국가인권위원회도 국회에 보낸 의견서에서 “성명과 주민등록번호 등의 개인정보 데이터베이스가 이미 대량으로 유출돼 음성적으로 거래·활용되고 있는 점, 가명정보 재식별 위험성이 상대적으로 큰 점 등을 고려해야 한다”고 밝혔다. 가명처리된 개인정보라도 재식별의 위험성이 높다는 점에서 여타 선진국에 비해 안전장치를 더 강화해야 한다는 것이다.
산업계는 조속한 통과 요구
시민단체들은 빅데이터가 유용한 경제·사회적 가치를 창출할 수 있다는 가능성을 부정하지 않지만 그 활용을 위해서는 정보주체의 권리 보장이 전제되어야 한다고 주장한다. 특히 GDPR에서 정보주체의 권리 강화를 위해 도입한 삭제권(잊혀질 권리), 처리 제한권, 데이터 이동권, 자동화된 의사결정에 대한 기업의 설명의무 등을 보장해야 한다고 요구했다.
조지훈 변호사는 “우리나라 정보보호 법제가 세계적으로 강력하다고 하지만 실제로는 GDPR 수준에도 못미친다”며 “프로파일링을 거부할 권리와 같이 GDPR이 명시적으로 규정한 정보주체의 권리를 신설하고, 개인정보 침해사고가 났을 때 집단소송제의 실효성을 강화할 필요가 있다”고 말했다.
반면 인터넷 산업계는 더 과감한 조치를 원하면서도 우선은 지금의 개정안이라도 국회를 통과하길 바라고 있다. 한국인터넷기업협회, 코리아스타트업포럼, 한국게임산업협회 등 5개 단체는 지난 9월 26일 발표한 성명에서 “(개정안) 통과가 지연될 경우 유럽연합의 적정성 평가 승인 지연, 글로벌 경쟁력 상실 등 국가 경제력 악화로 이어질 수 있으므로 국회가 조속한 입법을 통해 이를 해결해 줄 것”을 요청했다.
한 인터넷 포털 업계 관계자는 “현행법은 필요한 범위에서 ‘최소한’의 개인정보만을 적법하고 정당하게 수집해야 한다고 되어 있다”며 “최소한이라는 용어로 인해 데이터활용에 제한이 있다”고 말했다. 업계는 개인정보를 수집한 후 그 수집 목적과 다른 새로운 목적이 생겼을 때 추가로 동의 없이도 활용이 가능한 ‘포괄동의’가 가능한 형태로 바꿔야 한다고 제안했다. 포괄동의를 해준 후 이후 정보주체가 선택적으로 거부하게 하거나 문제가 생길 경우 사후규제하는 방식이다. 미국과 유럽이 이런 방식을 따르고 있다. 포괄동의는 국내외 기업의 역차별 문제로도 자주 거론된다. 업계 관계자는 “해외 업체들은 처음 정보를 포괄적으로 동의받아서 새로운 목적으로 정보를 활용해도 지장이 없다”며 “반면 국내 업체들은 개인정보 보호 가이드라인에 따라 포괄동의를 받을 수 없어서 초기 동의를 받은 후 수집한 정보를 다른 목적으로 쓸 때 다시 동의를 받아야 한다”고 설명했다.
산업별로 구체적인 가명정보의 정의를 내리고 그 활용범위에 대한 사회적 합의를 마련하는 게 우선이라는 의견도 있다. 정보기술분야 규제 관련 전문가인 구태언 테크앤로 대표변호사는 “가명정보와 개인정보, 익명정보 사이의 구별에서 정부가 가이드라인을 조기에 마련해 주지 않으면 개보법 제정 이후 지난 9년간의 악순환을 되풀이하게 된다”며 “정부의 사회적 합의 노력 부재와 개인정보 처리와 관련해 형사처벌을 전면적으로 도입한 두 문제가 우리나라의 빅데이터 산업 발전을 가로막았다”고 말했다.
<주영재 기자 jyj@kyunghyang.com>