​지난 14일 서울 서대문구에 위치한 진보네트워크센터 사무실에서 만난 오병일 대표는 ‘데이터3법’ 관련해 “개인정보보호 권리를 크게 침해한 법안”이라며 말했다. /사진=김경희 기자​

시사위크=이미정 기자  이른바 ‘데이터3법’으로 불리는 개인정보보호법·신용정보법·정보통신망법 개정안이 9일 국회를 통과했다. 산업계는 “데이터경제 활성화의 문이 열렸다”며 함박웃음을 짓고 있지만 시민사회 일각에선 우려의 목소리가 높다. 국민의 개인정보보호 권리 침해와 데이터 관련 범죄 증가, 과도한 상업적 데이터 활용 등에 대한 우려가 큰 것이다. 

데이터3법은 특정 개인을 식별할 수 없게 한 가명정보를 본인 동의 없이 통계 작성, 과학적 연구, 공익적 기록 보존 등에 쓸 수 있도록 하는 것을 골자로 한다. 논란 대상은 ‘민간 연구 영역’까지 가명정보 활용 범위를 넓혔다는 점이다. 전문가들은 가명 처리된 정보가 재식별될 가능성을 완전히 배제할 수 없다고 보고 있다. 추가 정보가 결합된다면 개인 식별 가능성이 커질 수 있는 위험성이 존재하기 때문이다. 의료정보나 생체인식 정보 등 사실상 가명처리가 어렵거나 쉽게 재식별이 가능한 개인 정보를 어렵게 처리할지도 미지수다. 

이에 시민단체들은 ‘학술 영역’ 외에 ‘상업적인 영역’에서도 가명정보가 활용되는 것에 강한 우려를 드러내왔다. 개인의 정보인권이 침해될 수 있을 뿐 아니라 정보 오남용이나 유출이 발생할 경우, 큰 피해를 낳을 수 있다는 이유다. 지난 14일 서울 서대문구에 위치한 진보네트워크센터 사무실에서 만난 오병일 대표는 “현재의 법안은 정보인권을 침해했을 뿐 아니라 기업들이 정보를 사고 팔 수 있도록 길을 열어줬다”며 강한 우려를 드러냈다. 정보인권운동 단체인 진보네트워크센터는 가명정보의 상업적 활용 법안에 대해 반대해온 대표적인 곳이다. 오 대표와의 인터뷰를 통해 정보인권의 함의와 개인정보보호 체계가 나아가야 할 방향을 짚어봤다.  

오병일 대표는 ‘데이터3법’ 관련해 “ ‘개인정보3법’이라고 불러야 한다”며 “데이터3법’이라고 하면 일반 시민들과 무관한 문제처럼 느껴질 수 있다고 본다”고 말했다./사진=김경희 기자

- 진보네트워크센터의 초창기 멤버로 20년간 정보인권 운동을 해왔다. 어떤 계기로 시작하게 됐나. 
“단체는 1998년도에 설립됐다. 자본과 국가 권력으로부터 독립적인 네트워크 기반을 구축하고 시민사회단체들의 정보화를 지원하기 위해 첫발을 뗐다. 당시 개별 시민사회 단체들이 스스로 정보화 시스템을 구축하기엔 자본, 인력, 기술 등에서 한계가 있었기에 다양한 웹서비스 구축을 지원하는 역할을 했다. 또 인터넷의 등장 후 인터넷상 표현의 자유, 프라이버시, 통신비밀, 정보공유 이슈 등이 사회적 담론으로 떠오르던 시기라 활동 범위를 넓힐 수 있는 계기가 됐다." 

- ‘정보인권’에 대한 사회적 관심이 더욱 커지고 있는 분위기다. 다만 일각에선 그 개념에 대해 낯설어하는 사람이 적지 않다.  
“명확하게 정의하기 어렵다. 여러 기본 권리 개념과 겹쳐있기도 하다. 기본적으로 인터넷상에서 표현의 자유와 프라이버시, 개인정보를 침해받지 않을 수 있는 권리 등으로 설명할 수 있지만 디지털 환경 변화에 따라 다양한 이슈가 생성되는 만큼, 한 마디로 정의하긴 어렵다. 망중립성, 정보 접근권 등도 정보인권의 개념 안에서 바라볼 수도 있다. 

- ‘데이터3법’이 통과됐다. 시민단체들은 ‘정보인권의 사망의 날’로 규정할 정도로 강한 불만을 표시했는데. 
“우선 법 통칭은 ‘데이터3법’이 아니라, ‘개인정보3법’이라고 불려야 한다고 본다. ‘데이터3법’이라고 하면 일반 시민들과 무관한 문제처럼 느껴질 수 있다고 본다. 핵심은 개인정보와 관련한 법이지 않냐. 그런데 정부는 ‘빅데이터 산업’ 육성이라는 맥락 속에서 이 법을 추진하기 때문에 데이터 3법이라는 프레임으로 가져갔다. 마치 개인정보와 무관한 것처럼 말이다. 이런 표현 방식은 이번 법안이 품고 있는 논의를 왜곡할 수 있는 지점이라고 본다.” 

- 법안이 품고 있는 가장 큰 문제가 무엇이라고 보나.  
“개인정보 활용 자체를 반대하는 것은 아니다. 문제는 어떤 방식으로 활용되느냐다. 지금도 기업들은 개인정보를 수집하거나 활용하고 있다. 다만 지금까지는 정보 주체에게 동의를 받아서 활용했다. 그런데 이번에 가명 처리한 정보에 대해선 사전 동의 없이 활용이 가능하게 풀어줬다. 

가명정보는 개인의 정보를 식별할 수 없게 처리한 정보다. 문제는 가명처리 범위가 모호한 상태라는 점이다. 비식별 처리를 어느 정도 많이 하느냐에 따라 안전 수준은 천차만별이다. 여기에 추가 정보와 결합할 경우, 개인 신상을 식별 가능한 위험성이 있다. 안전 및 규제 장치를 통해 재식별 행위를 막겠다고 하지만 제대로 이뤄질 수 있을지 의문이다. “

- 선진국에선 가명정보의 활용을 어디까지 규정하고 있나.
“유럽연합 일반개인정보보호규정(GDPR)상에선 사이언티픽 리서치(scientific research)에 한해선 가명정보의 활용이 가능하다. 그 개념을 어떻게 볼 것이냐의 해석이 여지가 있는데, 시민단체들은 이를 ‘학술적 연구’ 개념으로 보고 있다. 학술적 연구는 사회의 지식 기반 확대라는 공익적 가치가 있다. 이에 학술적 연구 차원에서 가명정보 활용은 그 의미가 가질 수 있다고 본다. 여기에 유럽은 가명 정보 활용과 폐기에 있어서도 거버넌스(governance) 시스템이 잘 구축돼 있는 편이다. 

반면 우리나라는 과학적 방법을 사용하는 연구라는 정의 조항을 넣어 기업의 가명정보 활용 근거를 마련해놨다. 심지어 신용정보법개정안엔 과학적 연구도 아니고, 연구라는 용어를 사용해 규제를 풀어줬다. 또 가명정보 활용 후 폐기 등 후속 조치 조항도 명확히 규정해놓지 않는 등 법상 미비점들이 다수 존재한다.”

- 기업이 개인정보를 상업적 목적으로 사고 팔 수 있게 만드는 법이라는 비판도 한 바 있다. 
“만약 한 포털 기업이 연구 목적으로 통신사에 가명정보를 요청했다고 가정해보자. 통신사는 그 가명정보를 공짜로 줄까. 아니라고 본다. 경제적인 대가를 받던가, 그에 상응하는 정보를 요구할 수 있다. 법상 대가를 받아선 안 된다는 조항이 없는 만큼 충분히 가능한 일이다. 시민사회단체들의 핵심 비판 지점은 바로 이 부분이다. 기업들이 정보 주체의 의사와 상관없이 정보를 판매 및 공유할 뿐 아니라, 심지어 결합할 수 있다는 점이다.” 

- 정부와 산업계에선 가명정보 활용을 통해 신사업을 육성하고 신기술과 서비스 등이 개발할 수 있는 이점을 강조하고 있다.  
“과연 일반인에게 이득이 될지는 잘 생각해봐야 한다. 은행과 보험사 등 금융사들은 이번 법 통과로 다양한 고객 발굴과 상품 개발이 가능하게 됐다고 한다. 빅데이터를 활용해 씬파일러(Thin Filer, 금융이력부족자) 대상으로 대출이 확대될 수 있다는 긍정적인 측면도 부각되고 있다. 반대로 신용도 평가가 깐깐해지는 결과도 나올 수 있다고 본다. 기존에는 대출이 가능했던 사람의 신용도가 깎일 수 있다. 보험사들의 경우, 데이터를 통해 고객군의 위험 평가가 세밀하게 평가할 수 있다. 누군가는 보험료 할인의 이점을 볼 수 있지만 누군가는 기존 시스템보다 많은 부담을 안게 될 수 있다.” 

- 이번 법안 통과로 개인정보보호위원회가 별도의 독립기구로 분리됐다. 여러 부처에 분산된 개인정보보호 업무가 위원회로 일원화되면서 규제 당국의 권한이 이전보다 커지게 됐다.  
“이 부분은 긍정적인 변화다. 이는 시민단체가 그동안 줄기차게 요구해온 부분이기도 했다. 개인정보보호위원회의 독립성은 매우 중요하다. 기업 뿐 아니라 정부도 감시해야 한다. 

다만 개인정보보호위원회의 일부 권한에 대해선 예외사항을 둔 점은 아쉽다. 조사 권한은 위원회가 갖고 있지만, 정책 수립과 법령 제정 추진에 있어선 총리의 지휘감독을 받아야 한다. 개인정보보호 기준은 정부의 정책 기조에 따라서 왔다 갔다 하면 안 된다. 앞으로 개인정보보호위원회의 역할이 중요하다. 독립적이고 올바른 운영 체계가 자리 잡힐 수 있도록 개정을 촉구할 방침이다.”

오병일 대표는 “현 정부의 데이터 관련 정책은 경제적인 논리만 우선시되고 있다”며 “사회와 개인의 인권에 어떤 영향을 미치고 있는지에 대한 고민이 부차적인 수준으로만 논의되고 있다”고 비판했다. /사진=김경희 기자

- 처벌 규정을 강력하게 두면 정보의 오남용과 유출의 억제할 수 있다고 보나.  
“물론 처벌 규정은 중요하다. 하지만 처벌이 만병통치약은 아니다. 문제는 기업 간의 개인정보를 쉽게 공유할 수 있는 시스템이 만들어졌다는 것이다. 환경 자체가 유출이나 남용을 유발할 가능성을 더 키웠다는 점이 문제의 핵심이다. 이번에 과징금 처벌 규정이 상향됐지만 얼마나 효과가 있을지는 모르겠다. 

처벌 규정 강화도 중요하지만 무엇보다 집단소송제가 도입돼야 한다고 본다. 개인정보유출 피해는 한번 발생하면 피해자 규모가 크다. 피해자 한명이 대표로 소송을 제기하면 다른 피해자들은 별도 소송 없이 그 판결로 피해를 구제받을 수 있는 집단소송제가 도입되면 기업들은 엄청나게 많은 배상금을 물게 될 수도 있다.”

- 4차산업혁명 시대를 대비한 기술과 신사업 육성이라는 명분 아래 이번 법이 도입됐다. 일각에선 개인정보 권리가 일부 제한되더라도 시대적 흐름상 불가피한 부분이 있다고 시각도 있다. 
“경제적인 논리만 너무 부각되고 있다. 사회의 기술 발전 과정은 하나의 방향성만 갖고 있지 않다고 본다. 원칙과 가치가 중요하다. 인공지능 등 4차 산업혁명 기술은 앞으로 우리의 일상 생활 속으로 깊게 파고들 것이다. 그 기술이 우리의 개인정보권리와 공공적 가치를 헤치는 방식으로 개발된다면 옳지 않다고 본다. 새로운 산업과 기술은 지금 현재의 사회적 시스템과 조화를 이루는 방식으로 도입돼야 한다.”

오병일 대표는 “법 문제점 보완을 위해 개인정보보호위원회가 제 역할을 해야 한다”고 목소를 높였다. /사진=김경희 기자

- 이전 정부와 비교해 현 정부의 정보통신정책 기조에 대해선 어떻게 보나. 
“차이를 못 느끼겠다. 다른 영역에 있어선 인권, 공공성이 더 강화됐다고 볼 수 있겠지만 IT정책에 있어선 큰 차이점이 없다고 본다. 현 정부에서 정보 인권이라는 게 언급이 전혀 없는 것은 아니지만 부차적인 문제로 인식되고 있다. 산업적인 측면의 효용성만이 강조되고 있다.”

- 어쨌든 법은 통과됐다. 앞으로 법의 미비점 보완 작업이 이뤄질 것으로 보인다. 향후 무엇이 필요하다고 보나. 
“가명처리 개념 정립부터 필요하다. 가명처리 기준을 엄격하게 하는 방식으로 시행령 개정이 필요하다. 그리고 궁극적으론 법이 개정돼야 한다고 본다. 현재 개인정보3법은 누더기법안이다. 법적 통일성을 갖추기 위한 정비가 필요하다 한다. 정보 주체의 권리를 강화하고 개인정보 처리자의 책임성을 강화하는 방식으로 개정도 필요하다. 과학적 연구 범위와 안전조치 수준 부문도 재논의해야 한다.  

이를 위해선 개인정보보호위원회가 제대로 구성돼 운영돼야 한다. 유럽 사법재판소는 개인정보 감독기구를 개인정보수호자라고 한다. 우리나라 개인정보보호위원회도 감독기구로서 제대로 역할을 해내야 한다.”

- 진보네트워크센터는 어떻게 대응할 방침인가. 
“법 개정을 위해서 다양한 촉구 운동을 할 예정이다. 이 문제에 대한 이용자들의 참여와 인식을 높이기 위한 캠페인을 진행할 계획이다. 아울러 헌법소원 등 법적 대응을 통해 사회적 인식을 제고할 계획도 갖고 있다.”

저작권자 © 시사위크 무단전재 및 재배포 금지
이 기사를 공유합니다