불타는 활동의 연대기 202009

검찰과 경찰, 국정원 등 권력기관의 개혁은 현 정부가 초창기부터 강조해오던 것입니다. 그리하여 각 기관들은 과거의 인권침해적 사건들을 조사하기도 하고 제도개선을 위해 개혁위원회 등을 구성해 활동하기도 했죠. 허나 지난 8월 4일 정부여당이 발의한 ‘경찰법 전부개정법률안'(김영배 의원 대표발의)은 경찰을 민주적으로 통제하겠다는 의지가 없어 보입니다. 필요한 것은 허울 뿐인 자문기구가 아닌 광범위한 조사권과 강력한 권고 이행 기능을 갖춘 독립적 외부기구일 것입니다. 경찰 권한의 분산 문제와 정보 경찰 문제도 마찬가지입니다. 뼈대는 그대로인데 어떤 변화가 있을 수 있을까요? 공권력의 국가폭력은 단순히 정부의 성향 문제로 인해 나타나는 것이 아닙니다. 인권침해의 가능성이 항시 상존하는 경찰력 행사의 목적, 집행과정, 결과에 대한 민주적-인권적 통제가 경찰개혁의 핵심이 되어야 할 것입니다.

인공지능과 관련된 기술이 급속도로 발전하고 있습니다. 동시에 실제 우리 주변에, 사회 전반에 걸쳐 도입되고 있기도 하죠. 허나 인공지능은 편리함과 여러 이익 뿐만 아니라, 개인정보 침해, 차별의 재생산 등 인권침해적 문제도 함께 가져올 것입니다. 진보네트워크센터에서는 이러한 인공지능 시스템이 가져올 문제, 특히 공공영역에 들어오는 인공지능 시스템에 관해 여러 연구와 활동을 계획하고 시작하고 있습니다. 이번에 개최된 토론회는 공공기관의 인공지능 시스템 도입과 다양한 사전 영향평가에 관한 것입니다. 추후 있을 다른 인공지능 관련 토론회와 활동들도 주목해주세요.

8월 5일 시행된 개정 개인정보보호법은 해석상 모호한 규정이 다수 포함돼 있어 필연적으로 재개정이 필요합니다. 시민사회단체는 개인정보보호법 재개정을 추진하면서 그와 동시에 시행령, 고시안 등으로 최소한의 법적 근거를 마련할 것을 촉구한 바 있습니다.

하지만 시민사회가 제출한 의견은 일체 수용되지 않았고 산업계의 의견만 받아들여진 고시안이 발표되고 말았습니다. 개인정보보호위원회(이하 보호위원회)가 발표한 고시안에 따르면 서로 다른 기업의 가명정보가 결합된 정보가 반출되는 것에 대해 제대로 된 사전 규제 장치가 없으며, 결합전문기관에 대한 보호위원회의 감독권한 역시 후퇴하는 등 여러모로 문제가 많습니다.

또한 보호위원회는 제대로 된 법적 근거 마련에 대한 고민 없이 ‘가명처리 가이드라인’을 공개하는 것으로 갈음하려 합니다. 그간 이러한 가이드라인이 사실상 유권해석처럼 여겨져 온 것 역시 문제입니다. 법에서 정한 개인정보 보호 규정과 절차가 있음에도 이를 무시하려는 기업들은, 행정안전부 등 정부부처가 자체적으로 제작, 배포한 이러한 가이드라인을 마치 면책사유처럼 이용하고 있습니다. 법에 없는 일을 하고도 가이드라인을 내세워 빠져나가고 있습니다.

보호위원회가 발표한 가명처리 가이드라인은 개인을 알아볼 수 있는 기준을 ‘개인정보 처리자’의 관점으로 제한하고 있어 개인정보를 협소하게 규정하고 있습니다. 또한 과학적 연구의 목적에 대해 여전히 포괄적으로 서술하고 있어 거의 모든 활동에 가명정보를 활용할 위험을 키웁니다.

엄연히 개인정보보호위원회가 낸 가이드라인인데 정보주체의 권리 보호와 관련된 언급이 너무나 적은 것도 문제입니다. 개인정보 보호와 정보주체의 권익 보장을 목적으로 독립적으로 설립된 개인정보’보호’위원회가 정보주체의 권리를 전혀 고려하지 않고 있는 것입니다. 보호위원회가 정보주체의 권리를 보호해주지 않는다면 정보주체는 어디에서 보호받을 수 있을까요?

보호위원회는 개인정보 활용에 방점을 둔 정부와 기업보다는 정보주체의 의견을 듣고 그들을 보호하는 데 초점을 두어야 할 것입니다.

지난 8월 28일 보건의료 데이터 활용 가이드라인이 공개됐습니다. 개인정보보호위원회(이하 보호위원회)와 보건복지부가 공동으로 만든 이 가이드라인에는 개인 의료정보를 불법적으로 활용, 공유, 결합, 판매하는 방법이 담겨있습니다.

개인 의료정보는 엄연히 ‘민감정보’이며, 이 민감정보는 정보주체의 별도 동의를 받거나 법령에서 허용하는 경우 외에는 처리를 엄격히 제한하고 있습니다. 그런데 가명처리 역시 개인정보를 ‘처리’하는 것이죠. 개인 의료정보의 가명처리 및 활용이 가능한지에 대해서는 현재 명확한 규정이 없는 상태입니다. 이런 상황에서 보호위원회와 보건복지부는 정보주체의 권리를 보호하는 방향으로 해석해야만 합당할 것입니다.

개인 의료정보는 또한 의료법 21조로도 보호되고 있습니다. 그런데 이 가이드라인에 따르면 가명처리한 경우 의료법이 적용되지 않는다고 해석하고 있습니다. 그런데 법령보다 가이드라인이 우선된다는 해석은 아무런 근거가 없는 것이죠.

또한 본인 동의가 필요한 정보 종류 등을 가이드라인에서 규정하고 있는데, 정보주체의 인권에 치명적 영향을 줄 수 있어 동의가 필요한 정보들에 대해서는 가이드라인이 아니라 당연히 법령에서 규정되어야 합니다.

결국 해당 가이드라인은 개인정보보호법 및 의료법 위반의 소지가 큰 만큼 폐기되어야 마땅하며, 민감한 정보일수록 정보주체의 권리 보호를 최우선으로 하는 정책이 수립되어야 할 것입니다.

지난 8월 31일 언론 보도에 따르면 금융위원회(위원장 은성수, 이하 ‘금융위’) 가 보험회사가 보유한 고객의 질병정보 등(개인의 질병, 상해 그 밖에 이와 유사한 정보, 이하 질병정보 등)을 가명처리한 가명정보는 정보 주체의 동의 없이 제3자 제공, 활용 등이 가능하다는 유권해석을 내렸다고 합니다. 8월 5일부터 시행된 신용정보법에 따라 가능하다는 것입니다.

그런데 개인의 질병정보 등은 개인 신용정보가 아닙니다. 또한, 만약 개인 신용정보라고 가정하더라도 신용정보법 제33조 제2항에서 “질병정보 등”에 대해서는 사전에 동의를 받아 대통령령으로 정해진 목적으로만 수집, 조사 또는 제3자 제공할 수 있으므로 신용정보법 자체에도 위법적인 해석입니다.

그럼에도 금융위가 마치 「신용정보법」에 따라 질병정보 등을 가명처리 후 정보주체의 동의 없이 보험사 등의 이익을 창출하는 데 제한없이 활용할 수 있는 것처럼 유권해석한 것은 기업의 불법적인 행위를 지지하는 것이며, 범죄행위를 교사-방조하는 것으로 해석됩니다. 즉, 위와 같은 금융위의 유권해석은 폐기되어야 합니다. 이러한 금융위의 유권해석은 또한 법적 구속력도 없습니다.

만약 이번 금융위의 위법한 유권해석을 근거로 관련 보험사 등이 정보주체 동의 없이 “질병정보 등”을 가명처리하고 제3자에게 제공하거나 이용할 경우, 보험 소비자들의 민형사상 법적 대응을 각오해야 할 것입니다.

이에 덧붙여 금융위는 마이데이터 사업에 제공해야 할 신용정보 범위에 소비자가 인터넷쇼핑을 하면서 물품을 구매한 정보인 ‘주문내역 정보 등과 전용카드 이용내역’(이하 주문내역 정보 등) 등이 포함된다고 밝혀 논란을 만든 바 있습니다. 이는 개정 시행령안 입법 예고에는 없었던 조항입니다.

마이데이터 사업은 신용정보보호법에만 그 근거가 있으며, 주문내역 정보를 개인 신용정보로 확대해석해서는 안 됩니다. 민감한 개인정보인 거래내역을 이렇게 임의대로 사업 범위에 포함시킨다면, 소비자의 입장에서 개인정보보호법과 신용정보보호법 중 어떤 것을 적용해야 할지 혼란스러울 수 있고, 이는 향후 개인정보보호 체계를 위협할 일입니다.

광범위한 전자상거래가 이루어지고 있는 현재 인터넷 쇼핑몰 주문내역 정보 조회만으로도 개인의 일거수일투족이 노출될 가능성이 큽니다. 소비자는 숙박, 여행, 취미생활, 콘텐츠 구매 등 개인의 밀접한 정보가 마이데이터 사업에 제공할 수 있다고 생각하기 어려울 것입니다.

만약 금융위가 이를 임의대로 확대해석해 신용정보에 포함시키려면, 마이데이터 사업자에게 해당 구매내역 정보가 제공되고 활용된다는 점에 대해 정보주체인 소비자에게 별도 동의를 받아야 할 것입니다.

마이데이터 사업 활성화 이전에 소비자 개인정보의 엄격한 보호를 위한 제도적인 보완이 우선되어야 할 것이며, 흩어져 있는 개인정보의 문제를 일관성 있고 종합적으로 판단할 수 있도록 금융 분야도 개인정보보호위원회로 일원화하고 역할을 강화하는 것이 필요할 것입니다.