본문 바로가기

변혁정치

> 변혁정치
98호 사회변혁노동자당 2019.12.18 18:39

데이터 3법? 

개인정보 도둑법이다!


오병일┃진보네트워크센터 대표



정부‧여당이 한국당과 손잡고 밀어붙이는 소위 ‘데이터 3법’이 국회 통과를 눈앞에 두고 있다. 개인정보보호법, 정보통신망법, 신용정보법 등 ‘개인정보’와 관련된 3법의 개정안이다. ‘데이터 3법’이라는 이름에서 알 수 있듯이, 이 법의 골자는 기업들이 개인정보를 데이터로 자유롭게 활용할 수 있도록 허용하는 것이다.


그러나 개인정보가 단지 데이터인가. 개인정보는 침해될 경우 자칫 한 사람의 생명과 재산을 위협할 수도 있는 인권의 문제다. 그래서 노동‧시민사회 단체들은 이 법을 ‘개인정보 포기법’ 혹은 ‘개인정보 도둑법’이라고 부른다.



‘가명 처리’하면 안전하다?


이 법의 가장 큰 문제는 기업의 영리 목적을 위해 개인정보를 본인 동의도 없이 애초 수집 목적 외로 활용하거나, 심지어 다른 기업에 제공할 수 있도록 허용한다는 점이다. 이름이나 주민등록번호 등 개인을 식별할 수 있는 정보를 삭제하거나 암호화하는 등의 방법으로 ‘가명 처리’만 한다면 말이다. 예를 들어, 포털사 A가 서비스 개발을 목적으로 통신사 B에게 고객정보를 요청한다. 이 법에 따르면, 통신사 B는 고객 정보를 가명 처리하여 포털사에 제공할 수 있다. 그런데 통신사가 포털사에 무료로 제공할 리는 없다. 당연히 그 대가로 포털사의 고객정보를 받거나 일정한 대가를 받고 판매할 것이다. 통신사가 포털사에만 제공하겠는가. 당연히 금융, 유통, 보건의료 영역의 다른 기업에 판매하고자 할 것이다. 이런 식으로 한 기업의 고객 정보가 다른 기업에 판매, 공유된다.


정부는 ‘가명 처리를 했으니 안전하다’고 말한다. 그러나 ‘가명 정보’는 통계값 같은 ‘익명 정보’와는 다르다. 다른 정보와 결합하면 개인을 재식별할 수 있다. 예를 들어, 일반인은 자동차 번호만으로는 소유주가 누군지 알 수 없겠지만, 자동차 번호와 연계된 다른 개인정보를 보유하고 있는 도로교통공단이나 경찰은 소유주를 알 수 있다. 가명 정보가 재식별의 위험성이 있음은 많은 연구 결과가 입증하고 있다.


98_37.jpg




당신의 정보, 절찬리 판매 중


시민사회가 개인정보를 연구 목적으로 활용하는 데 무조건 반대하는 것은 아니다. 그 결과를 공유해 사회의 지식기반을 확대하는 학술연구에는 정보 주체의 동의 없이 개인정보가 활용될 수 있을 것이다. 물론 연구 과정에서 개인정보 침해가 없도록 가명/익명 처리를 비롯한 여러 안전조치를 취해야 한다. 그런데 기업의 사적 이익을 위해 왜 정보 주체의 권리를 희생해야 하는지 도무지 이해할 수 없다.


실제 사례를 들어보자. 우리는 병원에서 받은 처방전을 약국에 내고 약을 받아 간다. 약국에서는 처방내역, 약국 정보, 처방일시 등의 정보를 약학정보원이 제공한 프로그램을 통해서 입력하는데, 이렇게 수집한 정보들이 우리도 모르게 빅데이터 업체인 IMS 헬스에 팔려나갔다. 2011년부터 2014년까지, 전국의 약국과 병원에서 국민 4,399만 명의 의료정보 약 47억 건이 판매되었다. 약학정보원과 IMS 헬스는 ‘주민등록번호를 암호화했기 때문에 불법이 아니’라고 주장한다. 현재 이 사건과 관련된 민‧형사 소송이 진행 중인데, 데이터 3법이 통과되면 이와 같은 개인정보 판매가 합법화될 것이다.



빅데이터와 결합한 정보 유출


데이터 3법은 문재인 정부에서 새롭게 등장한 것이 아니다. 지난 2016년 박근혜 정부는 ‘개인정보 비식별조치 가이드라인’을 만든 바 있다. 이에 따르면, 개인정보를 ‘비식별화’하면 개인정보가 아닌 것으로 보고 자유롭게 활용하도록 허용된다. 또한, 서로 다른 기업들이 공공기관을 통해 고객정보를 결합하여 서로 공유할 수 있도록 했다. 이렇게 결합된 개인정보가 20개 대기업의 고객정보 3억 4천여만 건에 달한다. 문재인 정부가 추진하는 데이터 3법은 박근혜 정부의 가이드라인과 별 다를 바가 없다.


이미 한국 사회는 대규모 개인정보 유출 사고를 겪어 왔다. 특히 한국은 주민등록번호를 중심으로 서로 다른 개인정보를 결합할 수 있어 그 피해가 더욱 커진다. 개인정보 유출과 남용이 가져올 피해는 다양한 수준에서 나타난다. 우리를 귀찮게 하는 스팸 메일과 전화에서부터 막대한 금전적 피해를 야기하는 보이스피싱까지, 모두 어디에선가 유출된 내 개인정보를 활용한 것이다. 숨기고 싶은 민감한 질병 정보가 유출될 수도 있고, 이런 정보들이 보험이나 고용에서 불이익을 야기할 수도 있다. 나의 명예나 지위에 해를 끼칠 수도 있으며 법적 분쟁에서 불리하게 작용할 수도 있다.


오히려 최근 발전하고 있는 빅데이터 기술에 따라 개인정보에 대한 침해가 더욱 심각해질 우려가 있다. 버스나 지하철을 탈 때도, TV를 시청할 때도, 온라인 쇼핑을 할 때도 온‧오프라인에서의 내 활동은 개인정보로 기록되고 있기 때문이다. 이렇게 수집된 개인정보는 분석을 거쳐 나에 대한 타겟마케팅에 활용될 수 있다. 혹은 보험, 고용, 금융 등 여러 영역에서 나를 차별하는 데 사용될 수도 있다. 오히려 개인정보 보호를 강화하고 개인정보 처리자에 대한 책임성을 강화해야 하는 이유다. 국회의 데이터 3법 강행을 막고 개인정보 보호를 강화하기 위한 논의를 시작해야 한다.