빅데이터 관련 ‘비식별화’ 법정화 법안에 반대합니다!
정보주체의 동의 없이 개인정보를 처리할 수 있도록
‘비식별화’ 개념 도입하고, 보호 규범 완화에 반대
1. 박근혜 정부는 창조경제와 빅데이터 산업 활성화를 위해 정부가 행정입법으로 개인정보 보호 규범을 완화하려는 시도를 계속해 왔습니다. 방송통신위원회는 지난해 12월 23일 행정규칙으로 <빅데이터 개인정보보호 가이드라인>을 발표하였고, 올해 6월 3일 금융위원회는 빅데이터 산업 활성화를 위해 신용정보법 시행령을 개정하겠다고 밝혔습니다.
2. 이런 행정입법들의 핵심 취지는 ‘비식별화’된 개인정보에 현행 개인정보 보호 규범의 예외를 인정하고 기업 등 개인정보 처리자로 하여금 정보주체의 동의 없이 개인정보를 수집 및 처리할 수 있게끔 허용하겠다는 것입니다. 이는 결국 개인정보보호 규범을 우회하거나 약화시키겠다는 것으로서, 빅데이터 산업 활성화의 명분으로 국민의 기본권에 중대한 제한을 가져올 것입니다. 빅데이터 산업은 정보주체이자 소비자의 권리인 개인정보 동의권을 약화시키는 것이 아니라 보장하는 방법과 조화를 이루어야 할 것입니다.
3. ‘비식별화’ 개념은 행정입법에 그치지 않고 국회에 발의되어 있는 일부 법안들에서 법정 개념으로 도입하고 있습니다. 이에 우리 단체들은 다음 비식별화 관련 법안들에 대한 반대 의견을 제출합니다.
▪ 국회 안전행정위원회 소관 법률안
– 개인정보 보호법 전부개정법률안(강은희의원 대표발의, 13932)
– 개인정보 보호법 일부개정법률안(부좌현의원 대표발의, 14166)▪ 국회 미래창조과학방송통신위원회 소관 법률안
– 정보통신망 이용촉진 및 정보보호 등에 관한 법률 일부개정법률안(부좌현의원 대표발의, 14162)
– 정보통신망 이용촉진 및 정보보호 등에 관한 법률 일부개정법률안(강길부의원 대표발의, 14200)
– 빅데이터의 이용 및 산업진흥 등에 관한 법률안(배덕광의원 대표발의, 16842)▪ 국회 정무위원회 소관 법률안
– 신용정보의 이용 및 보호에 관한 법률 일부개정법률안(서상기의원 대표발의, 17627)
4. 위 법안들이 ‘비식별화’ 개념을 법정화한 것은 다음과 같은 이유에서 문제가 있습니다.
첫째, ‘비식별화’ 처리만 하면 기업을 비롯한 개인정보처리자들이 정보주체의 동의를 받지 않고 인터넷에서 개인정보를 수집하고, 저장하고, 분석하고, 심지어 제3자에게 판매하는 것이 가능해집니다. 반면 정보주체는 누가 언제 어떻게 자기의 정보를 수집하고, 분석하고, 조합하여 사고 파는지 알지 못하여 매우 불안한 상황에 처해질 것입니다.
둘째, 현행법으로도 통계작성, 학술연구 목적으로 개인을 식별할 수 없는 형태로 제공하는 것은 적법합니다. 이처럼 개인정보보호법 규율의 예외가 되려면 ‘익명화’가 되어 더 이상(no longer possible) 개인을 (재)식별할 가능성이 완전히 사라져야 합니다.
셋째, ‘비식별화’는 ‘가명’ 등의 방법으로 추후 ‘재식별화’될 가능성이 높고 재식별화 후에도 정보주체의 동의 없이 처리할 것을 예정하고 있습니다. 헌법재판소의 결정을 비롯하여 우리나라, 그리고 세계 대다수 개인정보 관련 법률들에서 보호대상으로 삼고 있는 개인정보는 다른 정보와 쉽게 결합하여 간접적으로 식별되는 개인정보도 차별없이 포함됩니다. 따라서 재식별화 할 수 있다면 정보주체의 동의권 등 개인정보 보호규범이 예외없이 보장되어야 헌법에 부합하는 처리라 할 것입니다.
넷째, 특히 일부 법안은 공개된 개인정보라는 이유로 정보주체의 동의 없이 비식별화 등 처리를 할 수 있도록 규정하고 있습니다(개인정보보호법 강은희안, 부좌현안). 2005년 헌법재판소는 공개된 개인정보를 포함하여 자신의 개인정보의 공개와 이용에 관하여 정보주체가 스스로 결정할 수 있는 개인정보자기결정권이 우리 헌법에서 보호하는 기본권이라고 선언하였습니다. 헌법재판소의 결정에 따르면 공개된 개인정보에 대한 비식별화 등 처리 역시 정보주체의 권리로서 헌법으로 보호받고 있기 때문에 그에 대한 동의권을 포기할 것을 법률로써 강제할 수 없습니다.
다섯째, 비식별화 처리 대상에는 민감한 개인정보가 포함되어 있을 가능성이 높습니다. 빅데이터 기술로 개인정보를 수집 및 처리하는 것을 제한하지 않는다면 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 우리 법률에서 특별히 보호하고 있는 개인정보에 대한 보호가 무력해질 수밖에 없습니다.
특히 일부 법안에서 비식별화하면 동의 없이 사용할 수 있다고 본 ‘이용내역 정보’(이용자가 정보통신서비스를 이용하는 과정에서 자동으로 발생하는 서비스 이용기록, 인터넷 접속정보, 거래기록 등의 정보) 역시 민감한 개인정보입니다(강은희안, 배덕광안). 통화내역, 통화위치 등 통신사실에 대한 자료는 현행 통신비밀보호법에 따라 수사기관에 제공될 때 법원의 허가가 필요합니다. 쇼핑 내역, 검색 내역, 의료기관 이용내역 또한 매우 민감한 정보를 포함할 수 있다는 점에서 이에 대해 정보주체의 동의 없이 제공하는 것은 중대한 기본권 침해로 이어질 수 있습니다. 유럽연합에서 연내 통과가 예상되는 개인정보 보호규정(General Data Protection Regulation)에서 민감정보는 원칙적으로 그 처리를 금지하고 있습니다.
여섯째, 대량 개인정보 유출이 반복적으로 발생한 우리나라의 특수한 상황을 심각하게 고려할 필요가 있습니다. 국민 정서는 개인정보 보호 문제를 매우 중요하게 생각하고 있을 뿐 아니라, 그 동안 대규모 개인정보 유출 사례도 많아서 익명처리를 해도 개인정보를 안전하게 보호하기가 거의 불가능한 상황입니다.
특히 우리나라에서는 통신사, 인터넷 포털, 유통, 신용카드사, 은행 등 개인정보가 대기업으로 집중되는 정도가 심하고, 이 정보들은 주민등록번호나 휴대전화번호 등 개인을 식별할 수 있는 정보와 직간접적으로 결합되어 있습니다. 따라서 비식별화 처리로 개인정보를 보호할 수 있다는 명분은 거짓입니다.
5. 결론적으로 ‘비식별화’는, 국제적으로 유래없는 ‘개인정보보호 비정상화’의 결과를 낳을 것입니다. 이는 카드3사 유출 사고 이후 정부가 표방한 ‘개인정보보호 정상화’와 정반대에 이르는 길입니다.
전세계적으로 빅데이터 산업이 개인정보 보호에 미칠 영향을 둘러싼 논의가 진지하게 이루어지고 있습니다. 특히 계속된 개인정보 유출 사고로 개인정보 보호 토대가 취약해진 것으로 지적받는 우리나라에서 지금 필요한 것은 성급한 입법이 아닙니다.
정부와 국회는 빅데이터 시대 예상되는 기업의 무분별한 개인정보 처리로부터 소비자의 개인정보를 보호하기 위하여 프로파일링(profiling) 거부권을 도입하는 등 개인정보를 보호하기 위한 조치 마련에 우선적으로 나서야 할 것입니다.
<끝>
2015년 11월 22일
경실련 소비자정의센터, 진보네트워크센터
