김윤정 한국노총 정책본부 차장
지난 1월 9일 국회는 데이터 3법(개인정보보호법·정보통신망법·신용정보법 개정안)을 통과시켰다.
통과 직후, 송기헌 더불어민주당 법사위 간사는 “데이터 3법은 완전하지 않다. 부족한 점이 있는 것도 사실이다. 하지만 새로운 산업환경에 따라 입법이 필요하다고 결정해 여야 합의가 이뤄졌다. 여야 합의라는 대원칙에 따라 존중하는 것이 맞다”며 법안 통과 이유를 공개했다.
‘새로운 산업환경’에 필요한 법안이라 부족한 부분을 인지했음에도 보완하지 않고, ‘민생법안’으로 분류하더니 통과를 강행했다.
GDPR(유럽연합의 일반개인정보보호규정)이 이유라면, GDPR만큼의 개인정보 보호 환경이 조성되어야
데이터 3법 통과를 두고 노동시민단체는 지속적으로 개인정보 활용 및 거래 허용 시 국민을 보호 할 수 있는 장치가 있어야 한다는 문제제기를 했지만, 결국 관철되지 못했다. 데이터 3법은 기업과 기관 간의 개인정보 수집 처리 이용에 대한 규제 완화를 추진했다. 특히 개인정보보호법 개정으로 기업은 국민의 ‘동의 없이’ 개인정보를 ‘가명’으로 처리하여 이를 제한 없이 판매, 공유, 결합할 수 있도록 허용하고 있다.
적용 분야는 ‘데이터를 기반으로 하는 새로운 기술·제품·서비스의 개발 등 산업적 목적을 포함하는 과학적 연구, 통계작성, 공익적 기록보존 등의 목적으로도 가명정보를 이용할 수 있다고 한다. 새로운 제품을 만들고자 한다면 가명정보를 규제 없이 이용할 수 있다는 것이다.
더구나 한번 제공된 가명정보에 대해 목적 달성 이후 삭제나 폐기 의무도 없다. 이는 피해구제제도가 미흡한 한국에서 악용될 소지가 다분하다. 하지만 정부와 국회는 데이터 산업 육성과 유럽연합의 일반개인정보보호규정(GDPR) 기준 준수를 이유로 법안 통과를 서둘렀다.
하지만 GDPR는 데이터 3법보다 개인정보를 보다 엄격하게 관리하도록 하고 있다.
GDPR 제26항은 ‘가명처리’된 정보에 대해 추가적인 정보를 통해 개인을 식별할 수 있는 ‘개인정보’로 명시하고 있으며, ‘가명처리’ 정보도 제50항과 제156항을 통하여 ‘공익을 위한 기록 보존의 목적이나 과학이나 역사적인 목적 또는 통계 목적’으로 한정하여 처리할 수 있게 단서를 달고 있다.
그만큼 GDPR은 개인정보 활용 및 보호장치 설정에 있어서 ‘가명처리’에 대해 신중하게 접근하도록 규정하고 있다.
반면에 이번에 통과된 데이터 3법에서는 개인정보 활용은 GDPR 수준으로 허용했지만, 개인정보 보호장치와 관련해서는 GDPR에 현격히 부족한 수준이다. GDPR 규정에서는 위반한 업체에 수익의 4% 또는 2천만 유로(260억 원 상당) 가운데 더 많은 액수를 벌금으로 부과하도록 정해두었다.
그만큼 개인정보 보호와 안정에 무게를 두고 있다고 걸 방증한다.
현재 구글이나 페이스북, 우버, 메리어트 호텔 등 거대 기업들이 GDPR 규정을 준수하지 않아 벌금폭탄을 맞거나 항소를 준비하고 있다.
특히 구글은 GDPR과 관련해 다양한 데이터 침해 사고로 곤혹을 치르고 있다. 그 중 하나를 소개하자면 지난해 2019년 7월 구글이 홈 스마트스피커를 통해 벨기에와 네덜란드 사용자들의 음성정보를 수집한 것이 벨기에 언론사를 통해 밝혀졌다.
구글은 네덜란드어 검색엔진 기능을 개선하기 위한 모니터링 작업이었다고 하지만 개인 신상이나 민감한 정보가 담긴 오디오 파일이 확인됨에 따라 관리 당국에서 GDPR 위반 여부를 조사 중이다. 해당 사실이 밝혀지자 구글은 3개월간 유럽연합 내 음성정보 기록을 중단하기로 했다.
GDPR 규정에 따르면 EU 국민의 자유와 권리를 침해한 경우 필요에 따라 무려 ‘3개월간 즉시 중단조치’를 할 수 있다고 한다. GDPR은 데이터 침해 사고에 대한 다양한 대응 가이드라인을 가지고 있지만 우리나라는 개인정보위원회를 중앙행정위원회로 격상하는 정도의 걸음마 상태이다.
가명정보라는 껍데기에 투영되는 개인정보
개인정보를 ‘가명처리’나 ‘익명처리’해도 데이터들을 결합하면 정보주체를 알아챌 수 있다는 우려는 여전하다.
건강권 실현을 위한 보건의료단체연합의 전진한 정책국장은 한 매체를 통해 "어떤 병원에서 특정 수술을 받은 서울 거주의 20대 남성이라는 식으로 가명 처리가 될 경우 수가 적어 누구인지 금방 드러날 가능성이 높고, 유전자 정보는 개개인이 모두 다르기 때문에 가명 처리 자체가 불가능하다"고 인터뷰했다.
이처럼 민감정보에 대한 개인정보 보호가 별도로 마련되어야 한다는 노동시민단체의 요구에도 보건복지부는 데이터 3법 통과한지 일주일도 안 되어 <바이오헬스 핵심규제 개선방안>을 발표했다. 바이오산업 육성을 위해 데이터 3법 활용을 본격화하겠다는 것이다.
복지부는 올해 하반기 개정 개인정보보호법 시행 시기에 맞춰, 가명처리 절차 및 필요한 보안조치, 가명정보 제3자 제공 시 절차 및 거버넌스 등을 포함한 의료 데이터 활용 지침(가이드라인)을 수립하기로 했다.
또 국민건강보험공단·건강보험심사평가원·질병관리본부·국립암센터 등 4대 공공기관 데이터를 이용하고자 지난해 개소한 공공의료 빅데이터센터나 인공지능 신약개발센터, 데이터 중심병원 활용지원센터(2020년 설립예정), 피부·유전체 분석센터(2021년) 등을 통해 의료 데이터를 적극 활용하겠다는 계획을 내보였다.
더불어 환자 맞춤형 신약 개발을 위해 희망자를 대상으로 최대 100만 명의 유전체 정보, 의료이용 및 건강 정보를 수집하는 바이오 빅데이터센터 설립도 추진하겠다고 한다. 여기서 의료데이터는 환자가 병원 진료 및 치료 과정에서 생성되는 의료정보, 병원·연구기관 등에서 별도로 확보하는 유전정보(DNA 등 가계나 개인의 특정화할 수 있는 정보), 생활습관이나 키·몸무게 신체 계측 등의 정보가 포함된다.
복지부는 개인 식별이 가능한 유전체 정보를 수집할 경우에는 개인에게 동의를 구하겠다고 하지만 이 이외의 의료 데이터 취득·활용에 대해서는 가명정보를 이용할 예정이라고 한다.
개인정보처리에 대한 기업의 책무성을 강화하는 조치나 개인의 건강정보가 침해될 시에 필요한 적극적 대응 등이 부재한 상황에서 민간정보 활용만을 계획하고 있어 국민에게는 사회적인 혼란을 가져올 수 있다.
특히 개인의 건강정보 등 민감정보 관리 체계에 대한 명확한 규정도 없이 규제완화만 일방적으로 추진하여 정보주권 침해 뿐 아니라 의료공공성 약화로 이어질 가능성이 크다.
‘가명정보’를 활용하니까 식별하기 어렵다고 생각할지 모르겠지만, 하단의 표는 금융위원회에서 공개한 빅데이터 분석에 활용되는 정보의 종류이다. 예시 속 ‘가명 정보’는 어느 정도 민감 정보를 커버했다고 볼 수 있지만, 가장 큰 맹점은 ‘가명처리’에 대한 수준이다.
개인정보보호법 개정안은 ‘가명처리’에 대해 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리한다‘는 모호한 규정을 정해두고 있다.
가명정보가 지금은 식별하기 어려울지 몰라도 데이터의 양이 많아지고 활용도가 높아지면 가명정보를 통해 개인정보에 대한 유추가 가능해질 수 있다.
민감정보에 대한 보호 및 가이드라인 절실
데이터 3법은 민생법안이 아니다. 기업을 위해 국민정보를 판매하는 법이다. 데이터 3법으로 인해 국민들은 개인정보 침해와 개인정보 범죄 피해에 고스란히 노출될 가능성이 크다.
유럽연합의 GDPR 기준을 앞세워 법안 통과를 강행한 만큼 GDPR과 동일한 기준의 개인정보 이용범위와 관련 규정을 명확하게 설정하여 개인정보를 보호해야 한다.
더불어 개인정보를 악용하는 사례에 대한 강력한 처벌규정 및 적극적인 예방조치가 반드시 마련되어야 한다.
한국노총은 데이터 3법의 개선이 시급한 만큼 노동시민사회단체와 함께 데이터 3법 재개정 운동과 복지부의 가이드라인 수립 시 적극적으로 개인정보 보호를 요구할 예정이다.
#한국노총 #GDPR #데이터3법