더불어민주당과 과학기술정보통신부 등은 지난 11월 25일 <데이터 생산, 거래 및 활용 촉진에 관한 기본법> (이하 데이터기본법)제정 공청회를 개최하였으며, 11월 30일 이 법안을 발의할 예정이라고 합니다. 그러나 데이터기본법은 데이터를 경제적 재화로만 바라보는 편향된 관점에 기반하고 있을 뿐만 아니라, 정보주체의 권리를 침해하고 개인정보 보호체계를 훼손하는 등 많은 문제를 가지고 있습니다. 이에 현재의 데이터기본법안을 철회하고 다양한 이해관계자와의 협의를 통해 처음부터 다시 논의할 것을 요구합니다. 이 법안의 문제점에 대해 아래와 같이 시민사회의 의견을 제출합니다.
2020년 11월 27일
건강과 대안, 경제정의실천시민연합, 무상의료운동본부, 민주사회를위한변호사모임 디지털정보위원회, 서울YMCA 시청자시민운동본부, 전국민주노동조합총연맹, 전국사무금융노동조합연맹, 진보네트워크센터, 참여연대
▣ 붙임1. <데이터 생산, 거래 및 활용 촉진에 관한 기본법>에 대한 의견서 1부. 끝
데이터기본법에 대한 시민사회 의견서
<데이터 생산, 거래 및 활용 촉진에 관한 기본법>에 대한 의견서
-
산업 편향적 관점의 문제
-
개인정보 보호 완화
-
개인정보 보호체계 일원화 흐름에 역행
-
‘개인정보보호위원회’ 무력화
-
저작권법과의 충돌
이 법안은 데이터를 산업 편향적으로만 바라보고 있습니다. 제1조 목적에서부터 ‘데이터로부터 경제적 가치를 창출하고’라고 규정하고 있으며, 제2조에서는 데이터를 아예 ‘경제적 부가가치 창출을 위한 재료’로 정의하고 있습니다. 제3조(기본원칙) 3항은 국가와 지방자치단체로 하여금 “데이터가 경제적 가치 있는 자산임을 인식”하도록 하고 있고, 4항은 “시장중심의 의사형성”을 요구하고 있으며, 5항은 “데이터 생산, 거래 및 활용 촉진에 걸림돌이 되는 규제를 최소화”하도록 하고 있습니다. 지금까지 이처럼 노골적으로 산업 편향적인 법안은 없었습니다.
데이터는 시장에서 거래되는 상품이기도 하지만, 개인과 관련한 데이터, 즉 개인정보는 개인의 존엄성과 인권에 영향을 미치는 요소입니다. 또한 데이터는 공공정책을 수립하고 국민들이 정책 결정 과정에 참여할 수 있는 기반이기도 합니다. 데이터의 이러한 특성은 공공기관이 보유하고 있는 데이터만이 아니라 민간기업이 보유하고 있는 데이터에도 관련됩니다. 민간 기업 솔루션의 영업비밀 보호가 공공기관의 투명성 요구조건과 충돌하는 것처럼 산업중심의 데이터 정책은 때로 공공적 관점과 충돌할 수 있습니다. 민간 기업이 활용하는 차별적 데이터와 인공지능이 차별을 유발하거나 기본권을 침해할 우려가 있을 때에는 이를 방지하기 위한 공공적 개입이 필요합니다. 따라서 데이터를 단지 경제적 부가가치 창출을 위한 재료로서 바라보는 인식은 정확한 정의도 아닐 뿐더러, 위험하기까지 합니다.
국가와 지방자치단체가 데이터와 관련하여 우선적으로 가져야 하는 인식은 ‘데이터가 경제적 가치가 있는 자산’임이 아니라 ‘데이터의 공공적 가치’이며 ‘데이터가 인권에 미칠 수 있는 영향’에 대한 인식입니다. 민간 부문의 창의 정신은 존중되어야 하지만 민간에는 기업만 있는 것이 아닙니다. ‘시장중심의 의사형성’에 시민사회, 공동체, 소비자, 노동자가 참여할 수 있는 자리가 있는지 의문입니다. ‘걸림돌이 되는 규제 최소화’는 당연하지만, 공공성을 위해 필요한 규제 역시 당연히 유지되어야 하므로, 규제의 최소화가 아니라 적절한 규제 환경을 유지하는 것이 중요합니다.
목적부터 정의, 기본원칙부터 산업 편향적으로 만들어진 이 법안은 근본적으로 정당성을 상실하였습니다.
이 법안은 데이터 활용 촉진을 위해 개인정보 보호법을 우회할 수 있도록 하여 결국 개인정보 보호를 무력화할 위험성이 큽니다.
첫째, 개인정보보호법을 우회하여 개인정보 보호 의무를 회피할 수 있도록 하고 있습니다. 제7조는 “개인정보 및 저작권의 보호에 관하여 이 법에 특별한 규정이 있는 경우를 제외하고는 「개인정보보호법」,「저작권법」에서 정하는 바에 따르”도록 하고 있습니다. 다시 말하면 개인정보와 관련하여 이 법에 규정을 하면 개인정보보호법이 아니라 이 법을 따라야 한다는 것입니다. 데이터 산업 활성화를 노골적으로 표방한 이 법이 개인정보보호법보다 그 보호 수준을 강화할리는 만무합니다. 개인정보보호법의 규정에도 불구하고 데이터 활용을 위해 그 보호 수준을 낮추겠다는 의지의 표현입니다. 그렇지 않다면, 개인정보인 데이터 역시 개인정보보호법을 따르면 되지 굳이 따로 규정할 이유가 없습니다.
둘째, 개인정보보호법에서 규정해야 할 사항들이 이 법안에 포함되어 있습니다. 제13조는 공개된 개인정보를 정보주체의 동의없이 활용할 수 있도록 하고 있는데, 이는 신용정보법 제15조에 포함된 것과 유사한 조항입니다. 신용정보법에서 이 조항을 신설할 때, SNS 정보를 정보주체의 동의없이 신용평가 목적으로 이용하는 것에 대해 표현의 자유를 침해하고 SNS 활용을 위축시킬 것이라는 우려가 제기된 바 있습니다. 이 조항의 내용 자체가 논란이 있을 뿐더러, 설사 공개된 개인정보와 관련된 규율이 필요하더라도 이는 개인정보보호법에서 관할해야할 문제입니다. 제16조에서 규정하고 있는 개인데이터 이동권 역시 유럽연합 개인정보보호법(GDPR)의 개인정보 이동권을 왜곡된 형태로 도입한 것인데, 그 도입의 필요성 및 내용은 개인정보보호법에서 다룰 필요가 있습니다. 이러한 이슈를 데이터 기본법에서 다루는 것은 개인정보보호법의 존재 의미를 축소하는 것에 다름아닙니다.
이 법안은 개인정보 보호체계의 혼란과 중복 규제를 해소하고 일원화 하려는 흐름에 역행합니다. 이 법안은 ‘데이터 주체’, ‘개인데이터처리자’라는 새로운 개념을 도입하고 있습니다. 사실상 이는 개인정보보호법에 따른 ‘정보주체’, ‘개인정보 처리자’를 의미합니다. 제2조 9호는 개인데이터를 “경제적 부가가치 창출을 위한 재료로 결합, 가공 및 활용할 수 있는 상태에 놓여 있는 개인과 관련된 데이터를 말한다. 단, 개인데이터가 개인정보보호법 제2조 제1호에 해당할 경우에는 개인정보로 본다.”고 규정하고 있는데, 개인정보가 아닌 개인데이터는 무엇이 있는지 의문입니다.
지난 개인정보 3법 개정 취지 중 하나는 그 동안 여러 법률에 흩어져있던 유사, 중복 규제를 해소하는 것이었습니다. 그래서 정보통신망법의 개인정보 관련 규정이 개인정보보호법으로 통합되었습니다. 그러나 여전히 신용정보법과 위치정보보호법 등과의 중복으로 인한 혼란이 존재하고 개인정보보호법의 특례 조항들도 정리해야 하는 과제가 남아 있습니다. 이런 상황에서 ‘데이터 주체’와 같은 요상한 개념을 도입하고 데이터기본법에서 개인정보 관련 규율을 하면서 혼란을 가중시키는 저의가 무엇인지 묻고 싶습니다.
이 법안은 이제 막 출범한 개인정보보호위원회를 반쪽자리로 만드는 것입니다. 개인데이터 이동권이나 공개된 개인정보와 관련된 문제를 데이터 기본법에서 다루는 것 자체가 과학기술정보통신부가 개인정보 문제에 관여하겠다는 것입니다. 사실상 산업부처인 과학기술정보통신부가 개인정보를 관할하게 될 경우 그 보호 수준이 약화될 것임은 명확할 뿐더러, 이는 개인정보보호위원회의 관할을 침범하는 것입니다. 법안 제10조에서 규정하고 있는 데이터 결합 역시 이미 개인정보 보호법에 따라 개인정보보호위원회가 관할하고 있는 것인데, 이 법안에 따라 과학기술정보통신부와 관할 영역의 경합이 발생할 수밖에 없습니다.
개정 개인정보보호법 발의 이전인 2018년 8월 31일 ‘데이터 경제 활성화 규제혁신 현장방문 행사’에서 문재인 대통령은 ‘데이터를 가장 잘 다루는 나라’에 대한 의지를 표명하면서 안전한 활용을 위해 “개인정보보호위원회의 위상 강화로 개인정보 보호를 강화하겠다”고 밝혔습니다. 사실 이는 개인정보 보호를 위한 충분한 안전조치라기 보다는 개인정보 보호법이 제정될 때부터 당연히 이루어졌어야 할 최소한의 요건이었습니다. 그동안 부처이기주의 때문에 그 실현이 지연된 것인데, 개인정보 보호법 개정으로 뒤늦게 나마 통합 개인정보보호위원회가 출범한 것입니다. 그런데 개인정보 보호를 위한 진정한 안전조치의 도입을 논의하기는 커녕, 발족한지 얼마 되지도 않은 통합 개인정보보호위원회를 벌써부터 반쪽자리로 만들려고 하고 있습니다.
최근 거래내역 정보를 둘러싼 논란에서 볼 수 있는 바와 같이 개인신용정보의 범위를 지나치게 확대 해석하여 신용정보법이 개인정보보호법을 무력화하는 상황이 초래되고 있습니다. 데이터 기본법마저 제정된다면, 개인정보보호법과 개인정보보호위원회의 존재 의미는 더욱 축소될 수밖에 없을 것입니다. 이것이 문재인 대통령이 약속한 안전한 활용을 위한 방향인지 묻지 않을 수 없습니다.
또한 데이터기본법은 현재 정부가 추진중인 유럽연합과의 개인정보 적정성 협상에도 불리하게 작용할 수밖에 없습니다. GDPR과 달리 개인정보 보호를 우회하고 개인정보 감독기구의 권한을 약화시키는 조항들을 포함하고 있기 때문입니다.
데이터기본법은 개인정보보호법 뿐만 아니라 저작권법과도 충돌합니다. 제13조 1항의 규정, 즉 데이터 정보분석을 위한 저작권 적용 배제가 필요하다면, 데이터법이 아니라 저작권법에 규정되어야 합니다. 유럽연합에서도 저작권 지침에서 이를 규정하고 있고, 최근 문화체육관광부가 공개한 저작권법 전부개정안에서도 ‘정보분석을 위한 복제·전송 허용조항 도입’을 포함하고 있습니다. 이를 뻔히 알면서 데이터 기본법에서 이를 규정하려고 하는 것은 부처이기주의의 발로에 다름아닙니다.
제12조에서 규정하고 있는 기술적보호조치 무력화 규정도 데이터기본법에 규정하는 것이 타당한지 의문입니다. 이미 저작권법에서 기술적보호조치 무력화에 대한 규정을 포함하고 있기 때문에, 저작권법과 데이터기본법의 적용을 중복적으로 받을 수밖에 없습니다. 그나마 저작권법에서는 기술적보호조치 무력화가 허용되는 여러 예외적인 조건들을 규정하고 있습니다. 공정한 이용 등 기술적보호조치의 우회가 필요한 여러 요건들이 있음에도 불구하고, 데이터기본법에서는 ‘연구, 개발’을 위한 경우만으로 제한하고 있습니다. 여기서도 데이터기본법이 기본권과 공공성을 무시한 법안임을 다시 한 번 확인할 수 있습니다.