개인정보감독체계 일원화에는 무관심, 동의 없는 활용에만 골몰
모호한 장밋빛 전망에 기댄 성급한 정보주체 권리 완화는 위험해
최근 행정안전부, 방송통신위원회, 금융위원회는 국회 업무보고를 통해 데이터산업 활성화라는 명분으로 개인정보에 대한 정보주체의 권리와 보호장치를 완화하겠다는 계획을 내놓았다. 행정안전부의 경우 ‘가명정보’를 정보주체 동의 없이 산업적 연구목적에 활용하도록 하고, 민간과 공공의 데이터를 결합할 수 있는 근거를 마련한다는 것이다. 참여연대, 서울YMCA, 진보네트워크센터, 경제정의실천시민연합, 한국소비자연맹, 소비자시민모임, 함께하는시민행동 등 7개 시민사회단체는 문재인 정부가 모호한 장밋빛 전망에 기대어 사실상 박근혜 정부가 추진했던 개인정보”침해”정책을 그대로 계승, 발전시키고 있다는 강한 의문을 제기하지 않을 수 없다. 정부가 개인정보 규제 완화를 시도하는 반면 대통령 공약이자 국정과제였던 감독체계 개선방안은 온데간데없다. 실효적이지 않은 개인정보감독기구의 위상강화라는 말만 반복하고 있을 뿐이다. 나아가 어떻게든 국민들의 개인정보를 공짜로 활용하려는 산업계의 요구를 마치 4차산업혁명을 위한 혁신으로 포장하는 일까지 벌어지고 있다. 과연 문재인 정부는 국민들의 개인정보를 보호할 의지가 있는가.
각 정부부처들은 ‘가명정보’를 정보주체의 동의 없이 목적 외로 이용가능한 정보라고 호도하고 있다. 그러나 가명정보는 가명처리의 방법과 절차에 따라 그 자체로 특정 개인이 식별되거나 다른 정보와의 결합을 통해 특정 개인을 식별하는 것이 가능하기 때문에 여전히 보호의 대상이어야 한다. 가명처리는 개인정보 처리과정에서 정보주체의 프라이버시를 보호하기 위한 안전장치의 하나이지, 가명처리를 한다고 정보주체의 동의가 전혀 필요하지 않다거나 개인정보보호법의 규제를 회피할 수 있는 만능수단이 아니다. 가명처리와 별도로 정보주체의 동의 없이 활용을 가능하게 하려면 이를 정당화할만한 명확하고 충분한 공익적 가치가 존재해야 한다. 막연히 산업을 활성화하여 국가 경제에 이바지할 것이라는 추상적인 명분으로, 개인정보에 대한 정보주체의 통제권을 빼앗고 무력화시켜서는 안 된다. 국민 개개인의 권리를 쉽사리 희생시킬 수 있다는 발상이 4차산업혁명을 부르짖는 2018년에 반복되고 있는 것은 분명 시대착오적이라 할 것이다.
민간과 공공의 데이터 결합은 법적 근거를 마련하기 이전에 그 위험성과 필요성을 충분히 검토해야 마땅하다. 서로 다른 기관이 보유한 데이터를 결합한다는 것은 데이터셋 간에 개별적인 매칭이 가능하다는 것, 즉 개개인이 특정될 수 있다는 것을 전제한다. 따라서 한 개인에 관한 더 많은 정보가 통합되는 과정에서 개인에 대한 프라이버시 침해의 위험성은 더욱 높아진다. 이미 우리나라는 전국민을 주민등록번호로 통제하고 있고, 국가기관 내에서 수많은 정보들이 주민등록번호를 매개로 연계되어 있다. 이것을 정보주체 동의 없이 민간 데이터와 결합하여 기업이 활용할 수 있게 하는 것은 매우 위험하다. 또한 데이터 결합 정책의 가장 큰 수혜자는 이미 데이터를 다수 보유하고 있는 통신, 금융, 보건의료 영역의 재벌 대기업이 될 것이 뻔하다.
반면 정부는 개인정보 감독체계 효율화와 관련하여 여전히 구체적인 방안을 제시하지 않고 있다. 현행 한국의 개인정보 보호법제는 여러 법률로 중복, 분산되어 있어 혼란과 중복규제를 야기하고 있다. 특히 실효성있는 개인정보 보호를 위해 필수적인 개인정보 감독기구 역시 분산되어 있는 실정이며 독립성과는 거리가 멀다. 개인정보보호위원회는 예산, 인사 등에서의 독립성이 없고 감독기구로서의 집행권한이 없다. 가장 방대한 국민정보를 보유하고 있는 행정안전부 역시 독립성을 갖고 있지 못하다. 방송통신위원회나 금융위원회는 각각 정보통신산업과 금융산업의 육성, 진흥을 담당하는 부처로서 개인정보보호에 방점을 둬야 할 개인정보 감독기구로서의 전문성과 독립성을 충분히 기대하기 어렵다. 감독기능이 이렇게 여러 부처로 분산되어 있다보니, 국가차원의 일관된 개인정보보호정책의 수립과 감독, 집행이 이루어질 수가 없다. 그래서 시민사회는 일관되게 방송통신위원회와 금융위원회가 가진 개인정보 감독권한을 개인정보보호위원회로 통합하고 위원회를 독립된 중앙행정기구로 만들어야 한다고 주장해온 것이다. 그러나 행정안전부의 방안은 분산되어 있는 감독기능의 부분적인 통합조차도 고려하고 있지 않다. 지난 7월 19일 행정안전부는 시민사회단체들과의 간담회 자리에서 행정안전부의 권한만 개인정보보호위원회에 이관하여 독립시키는 방안만이 현실적이라고 강변했다. 이는 겉보기에는 개인정보보호위원회의 위상강화로 보일 수 있을 지 모르지만 이러한 방안이 오히려 바람직한 개선을 가로막고 현재 드러난 문제들을 고착화시킬 수 있다. 정보통신망을 통한 개인정보처리가 이미 일반화된 상황에서 앞으로 더욱더 정보통신망을 통한 개인정보처리가 늘어날 것인데 이 부분에 대해서는 아무런 조치를 취할 수 없는 감독기구는 의미를 갖기 어렵기 때문이다. 신용정보의 보호가 점점 더 중요해지는데도 감독기구가 이에 대해서 아무런 보호조치를 취할 수 없는 체계를 계속 유지하겠다는 저의가 무엇인지 의문이다. 방송통신위원회와 금융위원회의 감독권한을 일부라도 통합하지 않고서는 이것은 개인정보 감독체계 개선이라고 볼 수 없다. 통합적인 컨트롤타워가 만들어지는 것 또한 요원해질 것이다.
청와대와 각 부처는 개인정보를 산업적, 상업적 목적으로 활용하고 거래하기 위한 여러 정책들을 앞다투어 내놓고 있다. 보건의료빅데이터 시범사업, 헬스케어 사업, 마이데이터 사업, 스마트 시티 사업 등 데이터 활용을 극대화하기 위한 정책들이 우후죽순 경쟁적으로 추진되고 있는 것이다. 하지만 각 부처의 정책들간에는 일관성이 없을 뿐만 아니라 과연 개인정보보호 측면에서의 고려가 있었는지도 의문이다. 개인정보와 관련한 정부 컨트롤타워 부재의 문제가 그대로 드러나고 있는 것이다. 각 부처들은 데이터의 활용만 강조하고 미흡한 사후규제 강화방안을 명목상 끼워넣고 있을 뿐이다. 개인정보감독체계를 통합, 정비하고 독립성보장 등 권한을 강화하지 않으면, 이제 우리의 개인정보와 프라이버시는 법전에만 존재하는 형해화된 권리가 될 것이다.
개인정보감독체계 정비는 개인정보를 보호하고, 개인정보의 활용이 목적에 부합하는 최소한의 범위에서 안전하게 이루어지는지를 감독하기 위한 최소한의 전제조건이다. 이를 위해 부처간 권한의 통합과 조정도 필요하다. 이를 정권 초기에 하지 않으면 앞으로도 하기 어려울 것이다. 그러나 문재인 정부가 출범한 지 1년 4개월이 되도록 어떠한 진전도 보이지 않았다. 지금 정부는 산업활성화를 위한 골든타임을 이야기하지만, 개인정보보호를 위한 골든타임은 이미 지났는지도 모른다. 청와대가 의지를 갖고 실질적인 개인정보감독체계 개선을 추진할 계획이 없다면 더이상 국민을 기만해서는 안 된다. 각 부처들도 껍데기 뿐인 개인정보보호방안을 들고 시민사회를 기만하고 회유하려는 시도를 중단해야 한다. 답을 정해놓고 시민사회와 소통하는 모양새를 취할 것이 아니라, 시민사회의 우려에 진정 귀를 기울이기를 기대한다. 제대로 된 개인정보보호체계 구축과 감독기구의 일원화를 통해 자기 통제 밖에서 자신들의 개인정보가 활용될 것이라는 국민들의 불안을 해소하는 것은 정부의 몫임을 정부 스스로 인식해야 할 것이다.
2018년 8월 1일
참여연대·서울YMCA·진보네트워크센터·경제정의실천시민연합·한국소비자연맹·소비자시민모임·함께하는 시민행동·정보인권연구소