개인정보보호프라이버시

[빅데이터 신화, 개인정보는 봉인가?⑤] 금융 빅데이터에 신용정보보호 대책은 없다{/}당신이 SNS에 올린 정보 우리 마음대로 팔겠습니다

By 2019/07/08 7월 17th, 2019 No Comments

편집자주 :

문재인 정부에서도 과거 박근혜 정부와 마찬가지로 빅데이터, 인공지능 산업 활성화를 명분으로 개인정보의 상업적 활용 정책을 내놓고 있습니다. 주요 보수 언론 및 경제지는 국내 개인정보 보호제도가 빅데이터 산업의 발목을 잡고 있다고 비판하며 노골적으로 개인정보 규제 완화를 요구하고 있습니다. 그러나 한국의 개인정보 보호수준이 높다는 것은 허구입니다. 수많은 개인정보 유출 사고에도 불구하고 제대로 된 처벌과 보상조차 이루어지고 있지 않습니다.
이번 연재를 통해 빅데이터 시대, 개인정보를 둘러싼 주요 쟁점에 대해 인권 및 소비자권리 관점에서 비판하고 대안을 제시하고자 합니다.
작성 : 서채완 (민변 디지털정보위원회 간사)

금융위원회와 한국신용정보원은 지난 6월 4일 ‘크레디비(CreDB)’라는 국내 약 200만 명에 대한 신용카드 개설, 대출, 차주, 연체 정보 등 금융 빅데이터 제공 플랫폼 서비스를 개시했다. 그리고 2주 만에 금융회사, 핀테크기업 등 80여 개 기관이 서비스 이용을 위해 회원가입을 신청했다.

위 서비스 개시로 공개된 약 200만 명의 데이터는 한국신용정보원이 관리하고 있는 신용정보의 약 5%를 ‘비식별처리’한 정보이다(참고로 한국신용정보원은 약 5000여 금융회사로부터 약 4000만 명의 신용정보를 받아 집중 관리하고 있다).

그런데 금융위원회가 공개한 약 200만 명의 데이터가 ‘누구’의 데이터인지, 식별의 위험성이 없는지는 아무도 알 수 없다. 금융위원회가 신용정보주체들에게 최소한의 설명조차 제공하지 않고 서비스를 개시했기 때문이다.


▲ “개인신용정보 표본DB” 서비스 제공 데이터 선정기준
ⓒ 한국신용정보원 보도자료 2019. 6. 17.

금융위원회가 발표한 향후 계획은 더욱 우려스럽다. 금융위원회는 보험신용DB 기업신용DB를 추가한 DB 서비스를 제공할 것과 기업 간 데이터를 사고 팔 수 있는 금융데이터 거래소를 운영할 것이라 밝혔다. 기업 간 금융데이터 결합도 허용할 계획을 밝혔다.

이러한 금융위원회의 금융 빅데이터 정책은 시민사회에서 크게 논란이 되고 있는 김병욱 의원 대표 발의 ‘신용정보의 이용 및 보호에 관한 법률 일부개정법률안'(이하 ‘신정법 개정안’)의 통과를 전제하고 있다. 그런데 중요한 사실은 신정법 개정안은 통과되지 않았다는 사실이다. 그럼에도 금융위원회는 마치 신정법 개정안이 통과된 양 ‘일단 저지르고 보자’ 식으로 정책을 추진하고 있는 것이다.

이처럼 금융위원회가 급하고 무리하게 정책을 추진하는 이유는 무엇일까? 금융위원회의 속내를 알 방도는 없다. 그러나 금융위원회는 위 서비스를 개시하며 지속적으로 신정법 개정안의 통과를 호소하고 있다. 금융위원회의 일방적 정책 추진은 결국 국회에 신정법 개정안 통과를 압박하려는 움직임이 아닐까?

신정법 개정안, 누구를 위한 법안인가

신정법 개정안은 국회가 2018년 11월 경에 발의한 ‘데이터경제 3법’ 중 하나이다(참고로 데이터 3법은 개인정보보호법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 신용정보의 이용 및 보호에 관한 법률의 각 일부개정안을 의미한다. 일부 매체에서는 줄여서 ‘개.망.신 법’이라 부르고 있다). 신정법 개정안은 ‘데이터경제 3법’ 중에서도 가장 노골적으로 개인정보를 이용하겠다는 의도를 드러내고 있다.

신정법 개정안 제32조 제6항 제9호의2를 살펴보자.

“9의2. 통계작성, 연구, 공익적 기록보존 등을 위하여 가명정보를 제공하는 경우. 이 경우, 통계작성에는 시장조사 등 상업적 목적의 통계작성을 포함하며, 연구에는 산업적 연구를 포함한다.”

위 조항은 ‘상업적 목적’, ‘산업적 연구’를 목적으로 ‘익명처리’가 아닌 ‘가명처리’한 신용정보를 개인의 동의 없이 제3자에게 제공하는 것을 허용하고 있다. 즉 영리목적으로 가명정보를 적극 활용하겠다는 의도를 법률에 직접 명시한 것이다. 이처럼 ‘상업적 목적’이나 ‘산업적 연구’를 당당하게 법률에 직접 명시한 법안은 ‘데이터경제 3법’ 중에서도 신정법 개정안이 유일하다.

신정법 개정안 곳곳에서 신용정보의 영리적 활용 의도를 드러내는 규정을 찾아볼 수 있다. 반면 신용정보의 보호를 강화하려는 의도를 가진 규정은 신정법 개정안을 꼼꼼히 살펴보아도 찾을 수 없다. 이러한 신정법 개정안은 도대체 누구를 위한 법 일까? 적어도 신용정보를 제공한 시민을 위한 법은 아니라는 것이 명확하다.

신정법 개정안은 개인정보 보호 측면에서 지적할 점이 너무나 많은 법안이다. 그러나 지면의 한계로 이 글에서 모든 문제점을 자세히 살펴보기는 어렵다. 따라서 이 글에서는 신정법 개정안에서 특히 문제가 되는 부분을 중점적으로 소개한다.

SNS 등 공개된 개인정보 수집 및 활용, 개인은 동의할까


▲ 신정법 개정안은 SNS 등에 공개된 정보가 신용평가 등에 어떻게 활용될지에 대해서 아무런 설명을 제공하지 않고 있다.
ⓒ Pexels.com
지난 2018년 데이터 분석업체 케임브리지 애널리티카가 8700만 명의 페이스북 이용자의 개인정보를 정치 목적으로 활용한 충격적인 사실이 드러나 전 세계적으로 논란이 되었다. 그리고 논란에 대한 후속조치 등은 현재까지도 진행중이다.

이러한 분위기 속에 신정법 개정안 제15조 및 제32조는 당당하게도 신용정보회사 등에 SNS 정보와 같이 공개되어 있는 개인정보를 개인의 동의없이 수집하고, 신용평가 등 영리적 목적으로 사용할 수 있도록 하고 있다.

누구도 자신이 SNS에 공개하는 정보가 신용평가 등 사업의 목적으로 수집되어 사용되리라 생각하며 SNS를 사용하지는 않는다. 그런데 신정법 개정안은 마치 개인이 SNS에 공개한 내용을 동의를 받아 사용할 수 있는 정보인 것처럼 취급하고 있다. 참고로 헌법재판소와 대법원 등 우리 사법부는 과거에 이미 공개된 개인정보도 보호가 필요한 개인정보라는 점을 인정하고 있다.

금융위원회가 인정하면 익명정보, 그 책임은 누가 지는가

개인정보 보호법제에서 보호의 예외가 되는 정보는 개인에 대한 식별가능성이 모두 제거된 ‘익명정보’ 뿐이다. 그런데 신정법 개정안 제40조의2는 금융위원회에 어떤 개인정보를 익명정보로 추정할 수 있는 권한을 부여한다. 즉 금융위원회가 어떤 정보를 익명정보라고 결정하면 일단 익명정보로 보겠다는 것이다.

신용정보의 상업적 활용에 혈안이 되어있는 금융위원회가 익명정보 여부를 판단 하는 것도 부적절하지만, 그 정보가 문제 되었을 때 누가 책임을 지는지도 불분명하다. 신정법 개정안이 책임 발생에 대해서 침묵하고 있기 때문이다. 그 결과 개인은 자신의 신용정보가 익명정보가 아님에도 익명정보로 추정되어 활용된 경우 그 피해의 책임을 누구에게 물을 수 있는지 알 수 없다.

빅데이터 정책 추진이라는 명목 아래 탄생하는 금융계 빅브라더

현행 법은 신용조회회사의 ‘영리’ 목적 겸업을 2014년 금융 개인정보 대량 유출사태 이후 신용정보 보호의 관점에서 제한하고 있다. 그러나 신정법 개정안 제11조의2는 신용조회회사의 영리 목적 빅데이터 겸업을 허용한다. 빅데이터 정책 추진이라는 명목 아래 신용조회회사에 대한 규제를 은근슬쩍 풀고자 하는 것이다.

나아가 신정법 개정안은 한국신용정보원 등 신용정보집중기관의 권한을 무제한적으로 확대한다. 신정법 개정안 제23조는 한국신용정보원 등 신용정보집중기관에 제공될 수 있는 공공기관 보유 개인정보를 확대한다. 즉 신용정보집중기관이 상업적 목적으로 활용할 수 있는 개인정보가 확장되는 것이다.

더불어 신정법 개정안 제26조의4는 한국신용정보원 등 신용정보집중기관을 ‘데이터 전문기관’으로 지정하고 다양한 관련 사업을 수행할 수 있도록 한다. 관련 사업의 범위는 대통령령으로 정할 수 있도록 하여 무한정 확장할 수 있도록 했다. 이처럼 신정법 개정안은 한국신용정보원 등 신용정보집중기관이 금융계의 ‘빅브라더’가 될 수 있도록 전폭 지원하는 법안인 것이다.

개인정보보호 체계를 무시하는 특별한 대우의 요구

신정법 개정안은 노골적으로 개인정보보호 법제 일원화로부터의 차별성을 추구한다. 신정법 개정안은 개인정보보호법이 규정해야 할 주요 사항들을 더 확장된 개념으로 정의하거나 신용정보만의 장기 보유를 도입하는 등 노골적으로 특혜를 요구한다.

무엇보다 문제인 것은 신정법 개정안이 독립적인 개인정보 감독기구에 의한 관리, 감독의 일원화도 거부하고 있다는 점이다. 신정법 개정안은 금융위원회에 개인정보 관리, 감독 권한을 인정하고 있다. 신용정보의 상업적 활용을 추진하고 있는 금융위원회가 신용정보 보호를 위한 독립적인 기구로서 역할할 수 있을까?

실종된 GDPR의 본래적 의미

신정법 개정안은 위에서 언급한 문제점 뿐만 아니라 ‘데이터경제 3법’의 다른 두 법안이 가지고 있는 문제점들도 공통적으로 가진다. 불충분한 정의 및 안전장치 미도입을 통한 ‘가명정보’의 무분별한 활용 우려, 세계에서 유례를 찾아볼 수 없는 국가 주도 정보집합물의 결합 제도 도입 등 다른 두 법안의 문제점이 그대로 반영되어 있다.

금융위원회 등은 이러한 신정법 개정안이 유럽연합(EU)의 일반개인정보보호규정 (General Data Protection Regulation, ‘GDPR’)에 부합한다는 주장을 하고 있다. 그러면서 신정법 개정안이 통과되어야 유럽의 변화된 데이터 시장에서 경쟁력을 갖출 수 있다고 주장한다.

신정법 개정안은 정작 GDPR의 정신과 내용에 상충된다. 정보와 평가에 대한 권리, 정보주체의 프로파일링에 대한 고지의무, 설명의무 규정 미비 등 GDPR의 정신과 내용에 입각한 정보주체의 권리 보장 조항은 신정법 개정안에서 협소하게 규정하거나 찾아볼 수 없다. 즉 신정법 개정안은 GDPR이 기본적으로 개인정보의 상업적, 영리적 활용을 촉진하기 위한 지침이 아닌 변화되는 산업환경에서 개인정보를 보호하기 위해 만들어진 지침이라는 인식을 결여하고 있는 것이다.

결국 금융위원회 등이 GDPR을 운운하며 신정법 개정안의 정당성을 호소하는 것은 GDPR을 잘못 해석해 시민을 기만하는 행위이다.

신용정보 보호가 실종된 신정법 개정안, 결코 통과되어서는 안돼

2014년 금융 개인정보 대량 유출사태 이후에도 금융 개인정보 유출사고는 지속적으로 발생하고 있다. 그리고 유출 사례가 발생할 때마다 그 피해는 오롯이 신용정보의 주체들이 부담해야만 했다. 개인정보 유출에 따른 피해는 사후적 회복이 어렵고, 단 한 번의 정보 유출만으로 개인의 삶은 평생 무너질 수 있다.

이처럼 신정법 개정안은 정보주체의 기본권을 심각하게 침해할 수밖에 없는 법안이다. 따라서 신용정보의 보호를 담보할 수 있는 체계 구축 없이 신정법 개정안을 강행해서는 안 될 것이다.

▲ 시민단체들은 지난 2018년 12월 12일 국회 정론관에서 신정법 개정안을 비판하기 위한 기자회견을 개최했다.
ⓒ 진보네트워크센터
그리고 무엇보다 신정법 개정안 도입은 그 추진 과정에서 그 영향을 직접적으로 받게될 시민들의 의견을 전혀 반영하지 않고 있다. 정부와 국회는 시민들을 위한 공식적인 공청회, 설명회, 토론회 한 번 없이, 시민들의 삶에 막대한 영향을 미칠 신정법 개정안을 포함한 ‘데이터경제 3법’을 강행 통과하려 하고 있다. 민주주의의 기본적인 요청이 제대로 지켜지지 않고 있는 것이다.

정부와 국회는 ‘데이터경제 3법’의 추진을 재고해야 한다. ‘혁신성장’과 ‘데이터경제 활성화’라는 명목으로 시민들의 개인정보 보호를 포기하거나 도외시하는 법안을 통과시키는 것은 결국 국민의 기본권을 보호해야 할 입법부와 행정부로서의 기본적 책임을 포기하는 것과 다름 없기 때문이다.