큰사진보기
▲  오병일 진보네트워크 대표(가운데)가 4일 오전 서울 종로구 참여연대 아름드리홀에서 열린 개인정보3법(데이터3법) 기자 브리핑에서 가명처리된 개인정보(가명정보) 활용 문제점을 지적하고 있다.
ⓒ 김시연	관련사진보기

 

"데이터3법은 개인정보 포기법, 도둑법이다. 앞으로는 '개인정보3법'으로 불러 달라."(이재근 참여연대 권력감시국장)
 
시민사회단체가 이른바 '데이터3법'(이하 개인정보3법)에 대해 잘못 알려진 정보 바로잡기에 나섰다. 가명 처리된 개인정보(이하 가명정보) 활용을 허용하는 개인정보보호법, 신용정보보호법, 정보통신망법 개정안 등이 현재 국회에 계류돼 법제사법위원회와 상임위 통과를 눈앞에 두고 있어서다.

"데이터3법은 개인정보 포기법, 국회 통과 반대" 

그동안 '개인정보3법' 통과를 반대해온 참여연대, 진보넷, 무상의료운동본부, 건강과대안, 민변, 민주노총 등 시민사회단체는 4일 오전 서울 종로구 참여연대 아름드리홀에서 긴급 기자 브리핑을 열었다.

이날 참석자들은 '가명처리된 개인정보는 안전하다', '4차산업혁명을 위해 개인정보 규제 완화가 필요하다' 등 그동안 개인정보3법 명분이 되었던 산업계와 정치권 주장을 조목조목 반박했다.

사회를 맡은 이재근 참여연대 권력감시국장은 "개인정보 3법이 통과되면 기업들이 수집한 개인정보를 가명처리하면 당사자 동의 없이도 다른 기업에 넘겨주거나 판매할 수 있다"면서 "이런 디스토피아 같은 미래가 오지 않도록 시민단체들이 나섰다"고 밝혔다.

1. 가명 처리된 개인정보는 안전하다? "가짜뉴스"
 
'가명 정보'란 개인정보 가운데 특정인을 식별할 수 있는 일부 데이터를 제거하거나 대체해 추가 정보 없이는 특정인을 알아볼 수 없는 정보를 말한다. 다만 추가 정보를 더해도 특정인을 식별할 수 없는 '익명 정보'와 다르다.

오병일 진보네트워크 대표는 "가명정보는 가명처리되지 않은 개인정보보다는 안전하지만 다른 정보와 결합하면 여전히 재식별될 위험이 있다"면서 "우리나라에서는 개인정보를 가명처리하면 안전하니 자유롭게 활용할 수 있다고 잘못 이해하고 있다"고 지적했다.

실제 유럽연합 일반개인정보보호규정(GDPR)에서도 가명정보도 개인정보로 보고 연구 목적 이외의 상업적 활용을 제한하고 있다. 반면 우리 개인정보보호법 개정안에는 가명정보를 당사자(정보 주체) 동의 없이도 '과학적 연구, 통계 작성, 공익 목적의 아카이브'를 목적으로 활용할 수 있도록 하고 있는데, '과학적 연구'에 신상품 개발 등 기업의 상업적 연구도 포함돼 논란이 되고 있다.

이 때문에 시민사회에서는 민간 기업들이 가명정보를 상업적 목적에 활용할 경우엔 반드시 정보 주체 동의를 받도록 해야 한다고 요구하고 있다.

가명정보 악용 우려가 가장 큰 분야가 바로바로 '민감정보'로 분류되는 개인 유전정보, 건강정보, 의료정보 등이다. 변혜진 연구공동체 건강과대안 상임연구위원은 이날 "개인 유전정보는 가명처리 자체가 불가능한 정보"라면서 "이미 과학계에서는 개인 의료·건강 정보의 경우 99.9% 재식별이 가능한 정보라고 보고 있고, 유럽 GDPR도 홍채, 지문, 안면인식 등 생체인식정보를 '민감정보'에 해당하는 '특정범주의 개인정보'로 분류해 엄격히 관리해야 한다고 권고하고 있다"고 지적했다.

변 위원은 "민간보험회사에선 의료민영화를 위해 개인 의료정보, 건강정보 공유를 요구해왔는데, 개인정보보호법 개정안은 의료민영화 문을 막고 있던 안전핀을 제거하는 역할을 할 것"이라면서 "국민건강보험공단과 심사평가원 등에서 수집한 국민의 개인 의료·건강 정보는 공단이 아닌 환자 개인의 것이기 때문에 제3자에게 제공하려면 개인의 동의를 받아야 한다"고 밝혔다.

2. 4차산업혁명 위해 규제 완화 필요? "지금도 동의받으면 가능"
 
4차산업혁명 등 산업 발전을 위해 개인정보 활용 규제 완화가 필요하다는 산업계 주장에 대해서도 오병일 대표는 "개인정보 보호와 활용을 별개로 생각하는데 둘은 떨어진 게 아니다"라면서 "개인정보도 정보 주체 동의를 받으면 기업에서 사용할 수 있는데, 빅데이터 환경에서 개인정보를 어떻게 보호할지 기준도 마련하지 않고 기업 활용을 위해 보호제도를 완화하려고 하는 게 문제"라고 지적했다.

오 대표는 "개인정보보호제도를 완화해야 개인정보 활용이 가능하다는 논리라면, 전 세계가 개인정보를 보호 안 하려는 경쟁에 뛰어들어야 하고 유럽의 GDPR 제정도 미국과의 경쟁에서 뒤떨어지려는 자살행위인 셈"이라면서 "미국도 연방 차원의 개인정보보호법은 없지만 캘리포니아 소비자보호법 등 주별로 개인정보보호 강화법안을 만들었고 시민사회에서도 연방 차원의 보호법을 요구하는 캠페인을 벌이고 있다"고 밝혔다.

변혜진 위원은 "기업에서는 의학 발전과 치료제를 만들기 위해 가명 처리된 개인정보 활용이 필요하다고 하는데, 우리 요구는 공익적인 학술 연구 목적으로만 하고 상업적, 산업적 이윤 취득 목적일 경우에는 정보 주체 동의를 받고 하라는 것"이라면서 "기업에서 개인정보를 공짜로 달라는 게 더 부당한 요구"라고 꼬집었다.

특히 금융계에선 신용정보법 개정안이 통과돼 개인신용정보가 가명정보로 풀릴 경우 보이스피싱 등 금융 범죄에 악용될 가능성이 높다고 보고 있다.

백정현 민주노총 사무금융노조 교육연구국장은 "이미 주민등록번호 등 개인정보가 유출돼 보이스피싱 등 금융사기범죄에 이용되고 있는데, 개인 신용정보가 가명정보란 이름으로 풀리면 보이스피싱 범죄 수법이 정부에서 감당 못 할 정도로 발전할 것"이라고 지적했다.

백 국장은 "보이스피싱 피해 대상 연령층이 고령층에서 SNS 활동이 활발하고 온라인에 자기 정보를 많이 공유하는 20~40대 젊은층까지 폭증하고 있다"면서 "가명정보 자체로는 특정인 식별이 안 되지만 이미 불법 유통되는 개인정보와 결합해 다양한 보이스피싱 기법이 나타날 것"이라고 우려했다.