2016년 [범정부 비식별 조치 가이드라인]에 따라 3억 4천여만 건의 개인정보 결합물 기업에 제공
국민의 개인정보 사고 팔기 위해 도입된 비식별화가이드라인 즉각 폐기하라
경악할 일이다. 국가기관 혹은 국가가 지정한 전문기관들이, 민간기업들이 보유한 개인정보를 대규모로 결합시키는 데 이용되었다는 사실이 밝혀졌다. 국회 진선미 더불어민주당 의원, 추혜선 정의당 의원 등에 따르면, 박근혜 정부가 1년 전 설립한 이른바 ‘개인정보 비식별 조치 전문기관’이 그간 20개 기업 3억4천만 건에 달하는 규모의 개인정보 거래를 중개했다는 것이다. 결국 박근혜식 빅데이터 정책은, 민간기업이 보유한 개인정보를 정보주체인 국민 모르게 불법적으로 거래하도록 국가기관이 중개하는 것이었다.
관여된 기업으로는 KT, SKT, LGT 등 이동통신3사를 비롯해 한화생명보험, 한화손해보험, 삼성생명보험, BC카드, 신한카드, 삼성카드, SCI평가정보, NICE평가정보, 보험개발원 등 유수의 금융회사들이 포함되어 있다. 이들 기업들은 지난 1년 간 26번에 걸쳐 자신들의 고객정보를 타사의 고객정보와 결합시켰다. 1회 결합될 때마다 이용자 개인정보가 평균 1천3백만 건씩 제3자인 다른 기업들에 넘어간 셈이다. 특히 삼성생명과 삼성카드는 2017년 2월 양사에 동시 가입한 240만여 고객의 ‘가입건수, 보험료, 가입기간, 가입상품 및 카드이용 실적정보’ 등의 개인정보를 13회에 거쳐 결합했고, 보험개발원은 자체 보유한 1억5000만 건의 개인정보를 현대자동차 고객정보와 2회에 걸쳐 결합한 것으로 드러났다. 이들 기업은 이렇게 결합된 개인정보를 마케팅, 대출심사, 신용평가 그리고 자사 보유 개인정보의 거래 가치를 높이는데 사용할 계획이었다.
모두 현행 개인정보 관련 법률들을 위반한 행위이다. 그 배경에는 전경련의 건의로부터 유래한 박근혜 정부의 빅데이터 정책이 있다. ‘비식별화’라는 그럴듯한 이름으로 개인정보를 보호하는 것처럼 포장했지만, 사실 이 가이드라인은 “정부 가이드라인을 따르면 개인정보가 아닌 것으로 추정해 주겠다”는 초법적인 거짓말에 다름 아니었다. 헌법과 개인정보 보호법이 보호하는 개인정보를, 정부가 마련한 가이드라인을 따랐다는 이유로, 정보주체도 모르게 기업에 무단으로 넘긴 것이다. 이른바 ‘비식별 조치된’ 개인정보는 정보주체의 사전동의 등 절차와 책임이 생략되므로 본인의 정보가 기업에 제공돼 활용되더라도 정보주체가 그 사실을 알 수 없다. 개인정보 재식별과 대량유출 등 문제가 발생해도 이들 기업에 책임을 물을 수도, 정보주체가 소송 등을 통해 법적 구제와 보상을 받을 수도 없는 것이다.
소위 비식별 전문기관들과 이들 기업들은 비식별 조치를 했으므로 문제 없다고 할지 모른다. 그러나 기업들 스스로 취한 비식별화 수준이 충분했을 리 없다. 드러난 자료에 따르면, 상대 기업과 개인정보를 교환할 때 주민번호나 이름은 가렸다고 하지만, 성별 비식별화의 수준이 남성 2, 여성 1로 표기하는 데 그치거나, 이용가치가 높은 항목은 비식별화를 적용하지 않기도 하고, 아니면 어떤 항목의 범주를 수십, 수백 개로 세분화해서 이름이 가려진 이를 나중에 재식별하기 쉽게 만든 경우도 있었다. 이 개인정보들은 소비자들이 기업을 믿고 맡긴 개인정보이고 이를 목적 외 개인정보 거래로 이득을 얻었다면 명백히 불법이다. 소비자들의 신뢰를 저버린 것이며 개인정보보호법의 목적 외 이용, 사전동의 취득 등의 규정을 어긴 것이다. 무엇보다 국가기관이 이런 불법 개인정보 거래를 독려하고 중개하고 보증했다는 점이 경악스럽다. 박근혜 정부였기에 가능한 위법, 위헌적인 개인정보 거래가 새로운 정부가 출범한 이후에도 버젓이 일어났다는 사실은 더욱 더 문제다. 개인정보 정책의 적폐가 아닐 수 없다.
문재인 정부는 분명히 알아야 한다. 개인정보 보호법 때문에 빅데이터 산업이 위축되고 있다는 기업들의 엄살은 사실이 아니다. 세계 여러나라가 빅데이터와 개인정보 보호를 조화시키기 위해 노력하고 있다. 오히려 우리 현실은 국민의 개인정보에 대한 권리를 기업들이 마구 침해하는 형국이다. 마트 고객의 개인정보를 보험사에 불법적으로 팔아버린 홈플러스 사건은 형사와 민사 재판이 아직도 끝나지 않았다. 미국 빅데이터 업체인 IMS헬스는 국내 병원과 약국에서 우리 국민 4천4백만 명 50억 건에 달하는 처방전 정보를 모두 사가지고 가서 전세계를 상대로 판매 중이다. 지난 정부 어느 부처도 개인정보 불법거래 문제에 적극 대응하지 않았으며, 오히려 국민의 개인정보에 대한 권리를 침해하는 기업 개인정보 거래를 부추겨 왔다.
올바른 빅데이터 정책은 개인정보 보호 속에 이루어져야 한다. 국민의 개인정보를 제대로 보호하지 못한다면 문재인 정부의 4차 산업혁명이 박근혜식 창조경제와 무엇이 다르겠는가. 문재인 정부가 공약했듯이 개인정보 보호위원회를 비롯한 개인정보 감독 체계가 바로 수립되어야 한다. 이미 개인정보 보호위원회에서는 ‘비식별’이라는 개념이 개인정보 여부가 불분명하고 국제적 통용성이 부족하다고 반대 의견을 밝힌 바 있다(2017. 1. 9).
불법적으로 기업들에 넘어간 개인정보를 즉각 모두 환수하고 파기하라. 전문기관과 기업들의 불법 행위는 법률에 따라 엄정하게 처벌하라. 빅데이터 개인정보 처리에 대한 사회적 감독 체제를 강화하라. 나아가 앞으로도 국가기관이 계속 이런 방식으로 불법적인 개인정보 거래를 중개해야 할지 심각한 재검토가 필요하다. 현재 행정안전부, 보건복지부를 비롯하여 여러 부처가 추진중인 빅데이터 정책들은 대개 박근혜 정부로부터 이어져 온 것이다. 세계 어느 나라의 빅데이터 정책에서도 국가기관이 민간기업의 개인정보 거래를 중개하고 공공과 민간 정보를 연계시켜 주는 경우는 찾아볼 수 없다. 국민의 개인정보를 개인정보가 아닌 것으로 추정하고 불법적으로 거래하는 비식별화 정책은 즉각 중단되어야 한다. 끝.
건강권 실현을 위한 보건의료단체연합, 건강사회를 위한 약사회, 건강세상네트워크, 경실련, 무상의료운동본부,
사회진보연대, 서울YMCA, 시민건강증진연구소, 언론개혁시민연대, 진보네트워크센터, 참여연대, 함께하는시민행동,
한국환자단체연합회(한국백혈병환우회, 한국신장암환우회, 한국선천성심장병환우회, 한국다발성공수종환우회, 한국GIST환우회, 암시민연대, 한국HIV/AIDS감염인연합회 KNP+, 대한건선협회)