방통위는 「빅데이터 개인정보보호 가이드라인」 제정 중단하라.
개인정보 유출대책은 뒷전, 신상털기 합법화해 심각한 인권침해 유발
방송통신위원회는 신상털기 합법화해 인권침해 유발하는 「빅데이터 개인정보보호 가이드라인」(이하 ‘빅데이터 가이드라인’) 제정 시도를 즉각 중단하라.
방송통신위원회는 지난 3월 19일 카드사, KT, 보험사, 인터넷쇼핑몰 등의 개인정보 유출사고가 끊이지 않는 상황에서 개인정보 보호를 위한 대책은 외면하는 빅데이터 가이드라인 수정안을 발표했다. 그러나 수정된 가이드라인은 여전히 ▲공개된 개인정보 및 이용정보를 정보주체의 동의 없이 수집·이용 할 수 있고 ▲이를 활용하여 새로운 정보의 생성할 수 있고 ▲개인정보·이용정보·생성정보를 자유롭게 제3자에게 제공할 수 있도록 해 사생활이 침해될 수 있다.
만약 빅데이터 가이드라인이 제정되면 공개된 개인정보를 이유로 각종 SNS나 게시판, 블로그, 카페, 커뮤니티 등의 활동정보나 검색정보, 위치정보, 쇼핑정보 등 다양한 사생활 정보를 무차별적으로 수집하고, 수집된 개인정보 조합․분석․처리(프로파일링) 해 새로운 정보를 생성하여 사고팔거나 타겟 마케팅 등 이용할 수 있게 된다. 이러한 신상털기는 사생활 엿보기를 넘어서 자칫 범죄에 악용될 수 있어 심각한 인권침해를 유발할 수 있다.
빅데이터 가이드라인은 개인정보주체의 권리보호를 강화해야 한다는 국제적 추세에 역행하고, 개인정보의 수집·이용·제3자 제공 시 동의를 얻도록 하는 현행 『개인정보보호법』과 『정보통신망 이용촉진 및 정보보보호 등에 관한 법률』과도 배치된다. 가이드라인이 법 위에 군림하는 것이다.
경실련, 진보네트워크센터, 함께하는시민행동은 지난해 12월, 심각한 인권침해가 예상되는 빅데이터 가이드라인(안)에 대해 방송통신위원회 의견서, 개인정보보호위원회에 진정서를 제출한바 있다. 그러나 방송통신위원회는 창조경제를 이유로 사회적 합의로 마련된 개인정보 법제를 훼손하고, 개인정보의 자기결정권과 국회 입법권까지 무시한 위법한 행정행위를 하고 있는 것이다.
이에 경실련, 진보네트워크센터, 함께하는시민행동은 규제기관인 개인정보보호위원회가 빅데이터 가이드라인 제정 중단을 위한 적절한 조치를 취해 줄 것을 요구하며, 방송통신위원회는 빅데이터 가이드라인 제정 시도를 즉각 중단할 것을 강력히 경고한다.
<첨부> 「빅데이터 개인정보보호 가이드라인」 수정안에 대한 입장
경실련, 진보네트워크센터, 함께하는시민행동
‘빅데이터 개인정보보호 가이드라인(수정안)’에 대한 입장
한국 이외의 국가(중국 등 일부 국가제외)들은 인터넷에서 신원확인을 하지 않는 익명 기반의 자율적인 인터넷 생태계를 구축하였다. 이는 오프라인에서 익명성을 보장하는 일반적 상거래 행위와 동일하다.
그로 인하여 기업들은 직접광고(다이렉트 마케팅)와 소비자 요구를 알아내기 위해서 익명으로부터 실제 개인을 추출하고 분석하는 데이터마이닝, 빅데이터(프로파일링) 기법들이 진화되었다.
그러나 빅데이터 분석 과정에서 개인에 대한 프로파일링(개인정보 조합․분석․처리 등)은 정보주체가 인지하지 못하는 과정의 불투명성, 익명 정보에서 실명 개인정보로 변환됨으로 인하여 프라이버시 침해와 개인정보자기결정권을 훼손시킨다.
한국처럼 실명․신원․신분을 확인하지 않는 인터넷생태계 임에도 불구하고 프로파일링이 개인과 사회의 위협 요인이 되자 해외 각국의 개인정보보호감독기구들은 프로파일링(빅데이터)에 대한 통제를 논의하고 있다.
유럽연합 개인정보감독기구의 Working Party 29(EU WP 29) 의견서(2013. 5)는 프로파일링에 대한 개념을 다음과 같이 정의하였다.
‘프로파일링’이란 개인의 특성이나 특정 개인의 어떤 측면, 특히 개인의 건강, 경제 상태, 업무 처리, 개인의 취향, 관심, 행위의 신뢰성, 위치나 이동에 대한 분석이나 예측을 목적으로 하는 개인정보의 자동화된 처리를 의미한다.
또한 정보주체의 권리를 보호하기 위하여 ▲명시적 동의 ▲프로파일에 대한 접근권 ▲수정, 삭제권 ▲프로파일에 대한 조치나 결정을 거부할 권리에 관한 의견서를 만들었다.
35차 개인정보보호 감독기구 회의(2013. 9)는 기존의 프라이버시, 개인정보보호원칙을 재확인하고 프로파일링을 통제하기 위하여 ▲실제 용도의 명확성 ▲프라이버시 중심설계의 원칙(Privacy by design) ▲개인정보에 대한 통제권 유지 ▲프로파일링에 대한 정보주체의 접근권과 수정권한 ▲프로파일링에 대한 감독과 입법 과정의 여론 수렴 등이 필요함을 선언하였다.
한국의 인터넷 이용 환경은 본인 확인이라는 명목으로 주민등록번호를 수집하거나 대조하여 실명․신원․신분을 확인하는 구조이다. 이러한 이유로 빅데이터 기술이 수반하는 ‘프로파일링’에 대한 엄격한 통제는 불가피하며 필수불가결한 일이 된 것이다.
정부가 KT등의 본인확인기관 지정을 철회하고 주민등록번호를 수집하고 대조하는 실명․신원․신분 확인 정책을 폐지할 때 비로소 ‘개인정보’ 활용 수위에 대하여 사회적 논의가 시작될 수 있는 것이다.
그런데, 방송통신위원회는(2013.12.18) ‘공개된 개인정보’라는 일방적인 개념으로 개인정보보호법등을 위반하고 정보주체의 자기정보결정권 박탈할 뿐 아니라 프로파일링을 무한 허용하는 ‘빅데이터 개인정보보호가이드라인’을 추진하고 있다. 이후 시민사회단체들은 ‘가이드라인’의 위법성을 지적하는 반대 의견 제출과 개인정보보호위원회, 국가인권위원회에 진정서를 접수(2013.12.30)한 상황이다.
카드사, KT 주민등록번호 등의 개인정보 유출로 인한 사회 불안감과 피로감이 극심함에도 방송통신위원회는 ‘빅데이터 개인정보보호 가이드라인 수정안(2014. 3.19)’를 발표했다. 분석한 결과 지난 가이드라인과 차이점이 없다.
‘가이드라인’의 법적 근거로 소개하고 있는 개인정보보호법 제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지)의 입법한 이유는 ‘보도자료 배포하기 위해 홈페이지, 제3자를 통하여 기자 연락처 등을 수집하거나, 공무원과 연락하기 위해 당사자로 부터 굳이 연락처를 얻지 않아도 되는 것’등을 보장하기 위함일 뿐이다. 즉, 일상생활의 원활한 의사소통을 위한 조항 일뿐 개인의 프로파일링을 허용하기 위한 것이 아니다.
그렇기 때문에, 표준 개인정보 보호지침(제2011-45호, 행정안전부 , 2011.9: 관련 조문 제6조(개인정보수집) 3항 4항)과 개인정보보호법령 및 지침, 고시 해설(2011.12 행정안전부: 관련 해설 84-85, 121-122P)에서 ‘프로파일링’ 허용에 대한 해설이 전혀 없으며 우리 모두가 일반적 상식(명함주고 받는 행위, 중고물품의 판매자와 소비자 연락의 적법성 등)을 적시하고 있을 따름이다.
또한 제 3자가 이러한 정보를 수집하여 ‘대출, 이벤트 홍보 등’을 할 수 없으며 동의를 받아야 한다는 친절한 해설을 덧붙이고 있다.
‘빅데이터 개인정보보호가이드라인 수정안’은 원안과 동일한 문제가 있다. 유감스럽게도 시민사회단체들이 2013년 12월 30일에 공개한 의견에 대해 재확인 할 수밖에 없다.
1. 잘못된 “공개된 개인정보” 정의
|
제2조(정의) 공개된 개인정보, 이용내역정보, 정보조합 분석 처리 시스템, 생성된 개인정보, 비식별화, 재식별화에 대한 정의 |
각종 정의 조항은 ‘프로파일링’ 대한 통제를 위하여 관련법의 개정 과정에서 논의할 주제이다. ‘공개된 개인정보’에 대한 정의는 현행 개인정보보호관련법의 ‘개인정보’ 정의와 충돌하고 있으며 본질적으로 개인이 자신의 개인정보를 공개한 경우라도, 특정 목적 하에 개인정보 자기결정권을 행사한 것일 뿐 자신의 권리를 포기한 것이 아님이 전제되어야 한다.
2. 위법한 동의 없는 개인정보 수집
|
제3조(공개된 개인정보의 수집) 공개된 개인정보를 수집하는 경우 별도로 정보주체의 동의를 얻지 않아도 된다. |
이는 개인정보 수집 시 정보주체의 동의를 받도록 하는 현행 개인정보 법제를 완전히 무력화시키는 조항이다. 이렇게 되면 개인정보 자기결정권은 빈껍데기만 남는다. 현행 개인정보보호법은 공개된 개인정보라도, 개인정보 주체에게 수집 여부나 이용 목적, 제3자 제공 여부를 결정할 수 있도록 하고 있다.
3. 인권침해 사생활 엿보기
|
제4조(이용내역 정보의 수집) 정보통신서비스 제공자가 정보통신서비스 제공과 관련하여 조합, 분석 또는 처리를 목적으로 이용내역을 수집하는 경우, 별도로 정보주체의 동의를 얻지 않아도 된다. |
이용내역정보는 민감한 개인정보이다. 포털사이트의 검색정보이나 커뮤니티 활동정보, 위치정보, 쇼핑정보 등 개인의 사생활 궤적이 담겨 있다. 정보주체의 동의 없이 프로파일링 목적으로 사생활을 엿볼 수 있도록 하겠다는 것은 심각한 인권침해 행위이다.
4. 프로파일링 규정의 불법성
|
제5조(새로운 개인정보의 생성) 공개된 개인정보 및 이용내역 정보를 활용하여, 새로운 정보를 생성하는 경우에도 정보주체의 동의를 얻지 않아도 된다. |
현행 개인정보보호법에는 개인정보의 생성을 개인정보의 처리로 정의하여 정보주체의 동의를 받아야 된다. 동의 받지 않는 개인정보의 생성은 개인정보의 목적 외 이용으로 위법하다. 공개된 개인정보를 통해 새로운 프로파일링 파일의 생성은, 영업이나 감시의 목적으로 개인을 더욱 세밀하게 식별할 수 있어 심각한 인권침해를 야기할 수 있다.
5. 의미 없는 비식별화 처리
|
제6조(공개된 개인정보등의 조합·분석·처리) 공개된 개인정보 및 이용내역 정보를 활용하여, 새로운 정보를 생성하는 경우 비식별화 처리 이후에 해야 한다. (정보주체의 동의를 얻지 않아도 된다.) |
비식별화이든 재식별화 이든 정보주체의 자기정보결정권을 행사하기 위해서는 개인의 식별성은 불가피하다. 그런 의미에서 허구적인 규정이며 개인정보보호법에는 개인정보의 생성을 개인정보의 처리로 정의하여 정보주체의 동의를 받아야 하는 만큼 프로파일링에 대한 당사자의 명시적 동의는 필수이다.
6. 무차별적인 개인정보 공유
|
제11조(공개된 개인정보등의 제3자 제공) 공개된 개인정보는 정보주체의 동의 없이 제3자에게 제공할 수 있도록 하고 있다. |
동의 없는 개인정보의 제3자 제공은 현행 개인정보 관련법 상 불법행위이다. 동의 없이 광범위하고 제한 없이, 제3자에게 공유되는 ‘공개된 개인정보’는 피해의 구제와 권리 회복을 불가능하게 만든다. 또한 책임 소재와 부담을 개인이 지게 되어, 역시 정보주체의 인권을 심각하게 침해한다.
2014-03-24
