경제정의실천시민연합, 언론개혁시민연대, 진보네트워크센터, 참여연대는 「지역전략산업 육성을 위한 규제프리존의 지정과 운영에 관한 특별법안(규제프리존특별법)」 중 개인정보 비식별화에 대하여 반대 의견을 발표하고 이를 국회에 전달하였다. 규제프리존특별법은 2월 임시국회에서 논의 예정인 핵심 쟁점 법안 중 하나이다.
4개 시민단체는 규제프리존특별법에서 ‘비식별화’ 조치를 이유로 개인정보 관련 법률의 적용을 배제하는 것은 정보인권 침해라고 지적하였다. 이들 단체는 2016년 11월, 국가인권위원회가 ‘비식별화’에 대한 비판 의견을 낸 데 이어 2017년 1월, 대통령 산하 개인정보보호위원회 역시 ‘비식별화’에 대하여 비판적으로 검토의견을 냈다는 사실을 강조하였다.
국가인권위원회와 개인정보 보호위원회가 지적하였다시피, 미국과 유럽 등 해외에서는 4차 산업에 대비하여 소비자와 이용자의 개인정보를 보호하기 위한 입법조치가 2016년 연달아 이루어졌다. 반면, 현재 박근혜 정부와 업계에서 주장하는 ‘비식별화’는 ‘개인정보 아닌 것으로 추정’(범정부 비식별 조치 가이드라인)하여 개인정보 관련 법률의 적용을 배제하는 것으로, 해외에서도 그 유례를 찾아 볼 수 없다.
개인정보처리는 그 효과가 특정지역에 국한되지 않는다. 규제프리존에서 개인정보 관련 법률의 적용이 배제된다면, 이 지역에서 기존의 개인정보 관련 법률들이 허용하는 정도를 넘어 개인정보를 수집하거나 가공한 기업들이 이 개인정보를 전국과 전세계를 상대로 이용, 제공 및 심지어 매매도 할 수 있다. 암호화 등 형식적으로 가리는 ‘비식별화’ 조치를 했다는 이유만으로 정보주체인 이용자나 소비자의 동의 없이 이런 일들이 이루어진다면, 이는 헌법에서 보호하고 있는 국민들의 개인정보 자기결정권을 중대하게 침해할 뿐 아니라 전세계에서 한국인 개인정보가 매매되는 재앙을 불러올 것이다.
약학정보원 등은 약국과 병원에서 수집한 4천4백만 명 국민의 처방정보를 당사자인 정보주체 동의 없이 미국 빅데이터 기업인 IMS헬스에 판매하였으며, 현재 형사재판에서 암호화 조치를 취했다는 이유로 무죄를 주장하고 있다. 그러나 하버드대 연구진이 IMS헬스에 판매된 한국인 주민번호의 암호를 성공적으로 해제하여 우리 국민을 충격과 부끄러움에 빠뜨렸다. IMS헬스로 유출된 우리 국민 처방전 정보는 회수되지 않았으며, 이 정보는 현재도 전세계를 상대로 판매되고 있을 것으로 추정된다.
오랜 기간 올바른 개인정보 보호제도의 정착을 위한 활동해 온 위 시민단체들은, 빅데이터 기술이 계속적으로 발전할수록 비식별 조치의 안전성 역시 점점 더 보장할 수 없다고 지적하였다. 이에 대한 대책은 최근 미국과 유럽이 제도 개선을 통해 추구하는 바와 같이, 소비자와 이용자 모르게 빅데이터를 처리하는 것이 아니라 소비자와 이용자가 자신의 개인정보에 대한 빅데이터 처리를 알고, 선택하고, 동의할 수 있도록 권리를 보장하는데 있다는 점을 강조하였다. 이들 단체들은 국회가 우리 사회의 개인정보 보호제도에 중요한 영향을 미칠 수 있는 이 법안의 처리에서 올바른 판단을 내릴 것을 촉구하였다.
별첨. 규제프리존특별법 중 비식별화 관련 의견서
개인정보 비식별화 조항에 대하여 반대함
2017년 2월 9일
경제정의실천시민연합, 언론개혁시민연대, 진보네트워크센터, 참여연대
□ 여야가 2월 임시국회에서 4차 산업혁명 대비라는 명목으로 「지역전략산업 육성을 위한 규제프리존의 지정과 운영에 관한 특별법안(규제프리존특별법)」을 협상 중입니다. 이 법 중 개인정보 보호 완화 관련한 우리 단체들의 우려와 반대 의견을 다음과 같이 전달합니다.
– 다 음 –
첫째, 4차 산업혁명 대비라는 명목으로 개인정보 보호를 완화하는 것은 소비자 및 이용자의 정보인권 침해입니다. 규제프리존특별법에서는 ‘비식별화’ 조치를 이유로 개인정보 관련 법률의 적용을 배제하고 있습니다. 그러나 2016년 11월, 국가인권위원회가 ‘비식별화’에 대한 비판 의견을 낸 데 이어 2017년 1월, 대통령 산하 개인정보보호위원회 역시 ‘비식별화’에 대하여 비판적으로 검토의견을 냈습니다.
둘째, 미국과 유럽에서는 4차 산업에 대비하여 소비자와 이용자의 개인정보를 보호하기 위한 입법조치가 2016년 연달아 이루어졌습니다. 우리사회가 4차 산업에 대비하기 위해 취해야 하는 조치 역시 소비자와 이용자의 개인정보를 빅데이터 처리로부터 보호하기 위한 제도적 대책들을 마련하는데 있습니다.
2017. 1. 개인정보 보호위원회 의견 중
셋째, 현재 박근혜 정부와 업계에서 주장하는 ‘비식별화’는 ‘개인정보 아닌 것으로 추정’(범정부 비식별 조치 가이드라인)하여 개인정보 관련법률의 적용을 배제하는 것으로, 해외에서도 그 유례를 찾아 볼 수 없습니다.
2016. 6. 범정부 비식별조치 가이드라인 중
2016. 11. 국가인권위원회 의견 중
특히 유럽연합에서 빅데이터 처리로부터 소비자와 이용자를 보호하기 위하여 개인정보 보호 조치로서 도입한 ‘가명’의 경우 일부 예외를 인정하였지만 여전히 ‘개인정보’입니다. 즉, ‘가명’이라 하더라도 개인정보 관련 법률들의 적용을 받습니다(우리 정보통신망법의 암호화 조치와 유사). 이는 성명 등을 가리는 조치를 형식적으로 취했다는 이유로 개인정보가 아닌 것으로 간주하는 ‘비식별화’와는 다른 접근입니다.
|
(26) 개인정보보호원칙은 식별되었거나 또는 식별될 수 있는 개인에 관한 일체의 정보에 적용될 수 있다. 가명처리 정보는, 추가 정보를 이용하여 개인을 식별할 수 있는 정보로서 식별할 수 있는 개인정보로 간주되어야 한다. 어떤 개인이 식별가능한지를 판단하기 위해서는 특정개인의 식별 등 처리자 또는 제3자 모두가 개인을 직접 또는 간접적으로 확인하기 위해 사용할 것으로 합리적으로 예상되는(reasonably likely) 모든 수단을 고려해야 한다. 개인을 식별하기 위해 사용될 것으로 합리적으로 예상되는 수단인지를 확인하기 위해서는, 식별하기 위해 소요되는 비용과 시간 등 객관적인 요소를 모두 고려하고, 처리 당시 가용한 기술과 기술적 발전을 모두 고려하여야 한다. 익명정보에는 개인정보보호원칙이 적용되지 않는다. 다시 말해서 이 원칙은 식별되었거나 또는 식별될 수 있는 개인과 관련되지 않는 정보 또는 그런 방식으로 익명처리되어 더 이상 식별될 수 없는 정보주체에는 적용되지 않는다. 따라서 이 법은 통계목적 및 연구 목적 등을 위한 익명정보의 처리에는 적용되지 않는다. (28) 개인정보의 가명처리는 해당 정보주체가 갖는 위험성을 줄일 수 있으며 정보처리자와 수탁처리자가 그들의 개인정보보호의 의무를 준수할 수 있도록 돕는다. 이 법에서 명시적으로 가명처리를 도입하는 것은 여러 어떤 개인정보보호 조치를 방해할 의도가 아니다. (가명처리를 했다고 해서 정보보호 조치가 면제되는 것이 아니다.) |
(2016. 4. 제정 유럽 일반개인정보보호규정 전문 중)
넷째, 개인정보처리는 그 효과가 특정지역에 국한되지 않습니다. 규제프리존에서 개인정보 관련 법률의 적용이 배제된다면, 이 지역에서 기존의 개인정보 관련 법률들이 허용하는 정도를 넘어 개인정보를 수집하거나 가공한 기업들이 이 개인정보를 전국과 전세계를 상대로 이용, 제공 및 심지어 매매도 할 수 있습니다. 암호화 등 형식적으로 가리는 ‘비식별화’ 조치를 했다는 이유만으로 정보주체인 이용자나 소비자의 동의 없이 이런 일들이 이루어진다면, 이는 헌법에서 보호하고 있는 국민들의 개인정보 자기결정권을 중대하게 침해할 뿐 아니라 전세계에서 한국인 개인정보가 매매되는 재앙을 불러올 것입니다.
다섯째, 비식별화는 전혀 안전하지 않습니다. 약학정보원 등은 약국과 병원에서 수집한 4천4백만 명 국민의 처방정보를 당사자인 정보주체 동의 없이 미국 빅데이터 기업인 IMS헬스에 판매하였으며, 현재 형사재판에서 암호화 조치를 취했다는 이유로 무죄를 주장하고 있습니다. 그러나 하버드대 연구진이 IMS헬스에 판매된 한국인 주민번호의 암호를 성공적으로 해제하여 우리 국민을 충격과 부끄러움에 빠뜨렸습니다. IMS헬스로 유출된 우리 국민 처방전 정보는 회수되지 않았으며, 이 정보는 현재도 전세계를 상대로 판매되고 있을 것으로 추정됩니다.
한겨레 2016. 9. 25
여섯째, 빅데이터 기술이 계속적으로 발전할수록 비식별 조치의 안전성 역시 점점 더 보장할 수 없을 것입니다. 이에 대한 대책은 최근 미국과 유럽이 제도 개선을 통해 추구하는 바와 같이, 소비자와 이용자 모르게 빅데이터를 처리하는 것이 아니라 소비자와 이용자가 자신의 개인정보에 대한 빅데이터 처리를 알고, 선택하고, 동의할 수 있도록 권리를 보장하는데 있습니다.
위와 같은 이유에서 우리 단체들은 개인정보 보호를 완화하는 규제프리존특별법 중 비식별화 조항에 대하여 반대합니다.
<끝>
