ㆍ“보호냐 활용이냐” 이분법에 갇힌 한국…가명정보 3자 제공 “동의가 먼저다”
ㆍ기업들 ‘영리 목적 활용’ 숙원
ㆍ정부 허용 움직임에 우려 확산
영국 보건부는 2013년 공중보건·사회보장 관련 빅데이터 독립기구(HSCIC)를 설립했다. 여기서 만든 빅데이터 플랫폼이 ‘케어닷데이터’(care.data)였다. 그간 1차 의료기관에만 머물던 환자정보를 수집하고 분석해 제3자에게 제공하자는 것이었다. 빅데이터가 ‘미래 먹거리’로 꼽히던 때라 2015년 박근혜 정부 당시 보건복지부도 벤치마킹에 나섰다. “관련 데이터는 기업, 정부 등에 제공돼 산업 발전과 의료비 절감에 기여한다”고 본 것이다.
그러나 케어닷데이터 사업은 이듬해부터 휘청였다. 환자들이 자신의 의료기록이 공유되는 데 거세게 반발했기 때문이다. 환자들은 민감한 병력 등의 정보가 유출될 수 있다는 점을 우려했고, 케어닷데이터 플랫폼에서 자신의 정보를 삭제할 권리를 요구했다.
이 사업은 결국 2016년 7월 전면 중단됐다. 빅데이터 정책이 시민의 동의와 신뢰에 기반하지 않을 경우 좌초될 수 있음을 보여주는 대표적인 사례다.
한국은 개인정보를 놓고 ‘보호냐, 활용이냐’의 이분법에 갇혀 있지만 그보다는 개인의 동의를 구하는 것이 먼저라는 지적이 나오고 있다.
문재인 정부는 기업들이 ‘가명정보’를 영리 목적으로 활용할 수 있도록 문을 열어주는 방안을 저울질 중이다. 여야는 개인정보보호법 주요 법안 처리에 합의했고 23일 문재인 대통령이 개인정보보호 규제 발표를 앞두고 있다. 하지만 가명정보는 추가 정보를 결합할 경우 개인을 특정할 수 있다는 점에서 여전히 리스크가 있다. 가명정보는 개인정보와 익명정보 중간쯤의 데이터다. 유럽연합(EU) 개인정보보호규칙(GDPR)의 개념을 대통령 직속 4차산업혁명위원회 ‘해커톤’에서 도입한 것이다.
“통신료 연체 기록 들고 대출 거절하면 소외된 사람부터 피해”
빅데이터 활용 필요하지만 ‘정보 제공 결정권’ 개인이 가져야
개인정보는 이름·주민등록번호 등 바로 누구인지 알 수 있는 정보이고, 익명정보는 아예 누구인지 알 수 없는 정보다. 반면 가명정보는 일부의 정보만 생략한 것이다. 예를 들어 개인정보는 ‘서울 광화문 경향신문에 근무하는 김영진씨(1981년 3월1일생)’이고, 익명정보가 ‘서울 30대 남성 노동자’라면, 가명정보는 ‘서울 신문사에서 일하는 김모씨(37세)’가 된다.
■ ‘가명정보 영리 목적 활용’ 논란
정부는 가명정보에 대해 추가 정보를 결합하지 않으면 누구의 정보인지 알 수 없다고 주장한다. 역으로 이는 추가 정보를 결합하면 누구의 정보인지 알 수 있다는 뜻이 된다. 예를 들어 김영진씨에게 세쌍둥이 자녀가 있는데 서울 광화문에서 일하는 회사원 중에 세쌍둥이를 둔 사람이 김씨가 유일하다면 김씨는 특정될 위험이 있다. 병력기록 등 개인이 숨기고 싶은 개인정보가 기업 간 정보 결합을 통해 개인을 지목할 수 있다면 어떻게 될까.
정부와 시민사회단체는 앞서 해커톤을 통해 EU의 GDPR을 참고해 가명정보를 학술연구·통계 등 공익적인 목적으로는 예외적으로 쓸 수 있도록 허용하기로 합의했지만, ‘학술연구’의 범위를 놓고 충돌하고 있다. 현재 정부는 빅데이터를 활용한 신산업 창출·육성을 위해 기업들의 영리 목적 연구가 어느 정도는 허용돼야 한다는 입장이다.
반면 시민사회단체들은 기업들에 개인의 데이터가 당사자들의 동의 없이 제공돼서는 안된다며 반대하고 있다. 정부가 GDPR의 산업적 펀딩(privately funded) 연구가 가능하다는 문구를 과도하게 해석하고 있다는 것이다.
정보인권연구소 이은우 변호사는 “GDPR에서 설명하는 ‘과학적 연구’는 과학적 방법으로 연구하고 그 결과를 발표하고 공중에게 공개하는 것을 말하는데, 정부가 원문을 왜곡하고 있다”고 주장했다. 이 변호사는 “연구 과정을 공개하지도, 결과를 전부 발표하지도 않는 기업의 연구개발, 마케팅을 위한 시장조사까지 개인 동의 없이 가명정보를 활용하게 해주겠다는 것은 기업의 영리 행위를 위해 정보 주체의 권리를 포기하라는 뜻”이라고 말했다.
그렇다고 개인정보 활용을 무조건 금지하는 ‘빅데이터 쇄국’이 옳은 방향은 아니다. 익명의 개인들이 축적한 빅데이터를 통해 구글 지도, 유튜브 동영상 추천, 각종 인공지능(AI) 서비스는 날이 갈수록 품질이 향상되고 있다. 서비스 경쟁력을 갖추기 위해서라도 어느 정도의 정보 활용은 불가피하다.
문제는 기업이 개인정보를 계속 결합했을 때 개인이 식별될 수 있다는 것이다. 기업들이 개인정보의 높은 환금 가능성에 눈독을 들여왔기 때문이다. 홈플러스의 사례가 대표적이다. 2011~2014년 10여차례 경품 행사를 열면서 취득한 고객정보를 7곳의 보험회사에 231억7000만원에 판매했다. 경품 추천과 관련 없는 성별·동거 여부 등 사생활정보와 주민번호까지 수집했는데, 이 과정에서 개인정보를 타 회사에 제공한다는 사실을 1㎜ 크기의 글씨로 읽기 불가능하게 적어놓고는 개인의 동의를 받았다. 법원은 개인정보를 최소로 수집해야 한다는 개인정보보호법상 원칙을 위반했다고 봤고, 지난 16일 전 경영진에게 유죄를 선고했다.
규제가 없으면 이 같은 문제는 언제든 발생할 수 있다고 시민사회는 우려한다. 지난해 SK텔레콤과 한화생명은 양사에 동시 가입된 218만명의 데이터를 결합했고 통신과 보험 간 데이터의 상관관계를 분석했다. 당시 양사는 “통신료를 연체하면 신용대출과 보험료 납입 연체율도 평균 연체율 수준을 상회한다” “통신료가 미납되거나 연체되는 게 결합되면 연체율이 2배 이상 높아진다”는 분석 결과가 나왔다고 발표했다.
■ 개인정보 이용, 개인의 동의 필요
기업들이 본격적으로 가명정보를 거래하고, 그 결과 예를 들어 보험회사가 통신료 연체기록을 들고 신용대출을 거절할 수 있다면 어떻게 될까. 이미 EU는 “구직 기회, 은행 대출, 건강보험 선택사항과 관련한 경우들에서 개인에게 부정적인 결과를 낳을 수 있다”고 우려하고 있다. 빅데이터, 알고리즘이 가난하고 소외된 사람부터 배제할 것이라는 우려도 나온다.
이와 관련, 정부는 가명정보 결합의 경우 재식별 방지를 위해 엄격한 보안시설을 갖춘 국가지정 전문기관에서 할 수 있게 하고, 법을 어길 경우 엄격하게 처벌한다는 방침을 내놓고 있다.
하지만 이것만으로는 부족하다는 지적이 나온다. 논의에서 정보의 당사자인 ‘개인’이 빠져 있기 때문이다. 예로 지난해 인도주의실천의사협의회의 발표 자료에 따르면 한국 국민 대다수는 의료정보 판매에 반대하고 있다. 수집된 의료정보의 영리업체 제공에 대해 동의하지 않는다는 응답이 77.8%였고, 통계·학술연구 목적으로 제공하는 데도 60.1%가 동의하지 않았다. 대가를 제공했을 때 제공하겠느냐는 질문에도 77.5%가 동의하지 않았다.
결국 가명정보를 둘러싼 논의는 다시 ‘개인정보자기결정권’으로 돌아와야 한다는 지적이 나온다. 기업이 영리 목적으로 정보를 활용하는 것에 대해서는 개인의 동의를 받으라는 것이다. 활용 동의를 하고 기업의 서비스를 받고 싶은 사람의 권리와 동의하지 않고 서비스를 누리지 않겠다는 사람의 권리 모두 동일하게 존중받아야 한다는 것이다.
오병일 진보넷 활동가는 “공익적 목적에 활용되는 것과 기업의 영리적 목적에 활용되는 것은 다르다”며 “정부는 개인정보 보호와 활용 사이의 답을 찾겠다더니 산업계 논리에 경도돼 오히려 정보 주체의 권리를 내려놓으라고 말하고 있다”고 말했다.
문 대통령 공약과도 부합
한국은 개인정보 보호업무가 개인정보보호법을 관할하는 행정안전부와 정보통신망법을 관할하는 방송통신위원회, 신용정보법을 다루는 금융위원회 등 분야별로 분산돼 있다. 개인정보를 총괄하는 컨트롤타워가 없다보니 급속하게 변하는 국제적 흐름에 기민하게 대응하기 어려운 상황이다. 이에 따라 문재인 대통령은 지난해 4월 대선공약으로 ‘개인정보보호위원회 위상 강화’를 내걸기도 했다.
개인정보보호법을 갖춘 전 세계 70여개국 중 미국 등 일부 국가를 제외하고는 대부분 단일 보호법제와 단일 감독기관을 두고 있다. 일본의 경우 2016년 개인정보보호법을 전면 개정해 총무성이 관할하는 행정정보 외에 모든 민간 정보를 개인정보보호위원회 관할로 일원화했다. 미국은 기업의 개인정보 관련 불법행위 등은 연방거래위원회가, 건강정보는 보건복지부 산하 민권사무국 등이 주로 담당하고 민간 자율규제도 인정한다.
한국은 2015년 개인정보보호법을 개정해 개인정보보호위원회의 기능을 강화했지만 공공기관 조사 권한만 갖고 있다는 한계는 여전하다. 개인정보의 대다수가 포털과 통신사, 금융회사 등의 인터넷망상에 존재하는 상황에서 개인정보보호위원회가 할 수 있는 일은 많지 않다.
김선휴 참여연대 공익법센터 간사는 “갈수록 정보통신과 신용정보 분야의 개인정보가 주를 이루게 될 텐데 양 분야에서 감독 권한을 갖지 못한 개인정보보호위원회의 존재 의미는 부족할 수밖에 없다”며 “개인정보 감독기구를 일원화하는 것이 개인정보 규제완화를 위한 최소한의 전제 조건이 돼야 한다”고 말했다.
4차 산업혁명의 빅데이터 산업을 선점하기 위해 치열한 경쟁을 벌여야 하는 상황에서 개인정보 보호 분야의 사령탑 부재로 산업의 경쟁력 강화에도 뒤처지고 있다는 것이 시민단체의 견해다. 윤철한 경실련 국장은 “정부는 4차 산업혁명이나 빅데이터 시대를 맞아 다양한 형태로 공공이 갖는 정보와 기업 정보를 서로 결합해 활용하겠다는 의지가 강하다”며 “개인정보의 활용을 위해서도 개인정보 보호체계 일원화가 시급하다”고 말했다.
더불어민주당은 금융혁신지원법 제정, 산업융합촉진법 개정, 정보통신융합법 개정 등 이른바 규제혁신 5법의 처리를 계획하고 있다. 시민단체들은 개인정보보호법이 일원화되지 않은 상황에서 개인정보 보호에서 각종 예외를 인정하는 이런 특별법들이 도입될 경우 비효율적인 개인정보법제와 감독체계가 더욱 혼선을 빚게 될 것이라고 주장하고 있다.
윤 국장은 “개인정보 활용의 중요성엔 공감하지만 최소한 규제완화로 산업 발전과 실생활에 얼마나 도움이 되는지 명확하고 구체적인 모습을 들며 설득해야 한다”면서 “큰 틀에서 개인정보 보호 법체계를 세우고 그 안에서 어떻게 활용할 것인지를 정하는 방식으로 가야 한다”고 말했다.
문 대통령은 대선공약으로 ‘개인정보보호위원회 위상 강화’와 ‘개인정보 보호체계 효율화’를 내걸었다. 현재 개인정보보호위원회의 독립성 강화에는 어느 정도 합의가 됐지만 개인정보 감독체계 통합에 대해서는 여전히 이견이 존재하는 것으로 알려졌다. 주무부처인 행안부 관계자는 “개인정보 거버넌스 논의에서 감독기구 일원화 논의도 중요하다고 생각하지만 아직 구체적인 안을 말하긴 어렵다”며 “조만간 관계부처 합동으로 브리핑을 할 수 있을 것 같다”고 말했다.