뉴스필드

노동·인권 전문지

빅데이터 시대, 개인정보 보호체계의 강화가 필요하다

<칼럼 – 오병일 진보네트워크센터 대표>

지난 2019년 7월 15일 조셉 카나타치(Mr. Joseph CANNATACI) 유엔 프라이버시 특별보고관(UN Special Rapporteur on the Right to Privacy)이 한국을 공식 방문하여, 한국의 프라이버시 현황을 조사하였다. 특별보고관 제도는 유엔 인권이사회의 특별절차의 하나로 특정 국가 혹은 전 세계적으로 중요한 주제와 관련된 인권 문제에 대해 보고하고 자문하는 역할을 하는 독립적인 인권 전문가 제도를 의미한다. 정보인권과 관련해서는 지난 2010년에 프랭크 라 뤼(Frank La Rue) 유엔 의사 · 표현의 자유 특별보고관이 방한한 적이 있다.

프라이버시 특별보고관은 비교적 최근에 신설되었는데, 지난 2013년 에드워드 스노든이 미국 국가안보국(NSA)이 전 세계에서 자행한 대량 감청을 폭로한 것이 계기가 되었다. 스노든의 폭로 직후 2013년 말에 유엔 총회에서 ‘디지털 시대의 프라이버시권’ 결의안이 채택되었으며, 2015년 7월 3일 유엔 인권이사회는 프라이버시권 특별 보고관으로 이번에 한국을 방문한 조셉 카나타치를 임명하였다.

국내 시민사회단체들은 올해 초부터 특별보고관 방한에 대응하기 위한 준비에 들어갔다. 한국의 프라이버시 침해 사례와 실태를 보고서로 정리하였으며, 이를 공식 방문 전에 특별보보관에게 전달하였다.1) 또한, 그의 방한 기간 동안 시민사회는 두 차례에 걸친 간담회를 통해 피해 사례를 증언하고 제도적 문제점을 진술했다.

[사진3-1] 조셉 카나타치, 유엔 프라이버시 특별보고관

pneB-hpC5ToHm_HWTWQu1xCbbqJQW8ocpg0LCIjs

<사진 = 진보네트워크센터>

유엔 프라이버시 특별보고관 방한의 의미

특별보고관의 임무 중 하나는 자신이 맡고 있는 분야와 관련하여 중요한 국가를 방문하여 실태를 조사하고 개선을 권고하는 보고서를 작성하는 일이다. 프라이버시 특별보고관은 기존에 미국, 영국, 프랑스, 독일 등을 방문하기도 했다. 그는 시민사회와의 간담회 자리에서 한국을 방문한 것은 아시아 국가로서는 처음이며, 한국을 선택한 이유는 정보통신 인프라의 발전 수준이나 프라이버시 관련 제도적 측면에서 한국이 중요한 위치를 차지하기 때문이라고 언급했다. 실제로 빅데이터, 인공지능 등과 같이 선진국에서 쟁점이 되고 있는 이슈들이 거의 동시에 한국에서도 논란이 되고 있고 (다른 아시아 국가들에 비해) 상대적으로 발전된 개인정보 보호법제를 가지고 있는 반면, 대량 개인정보 유출사고나 인터넷 실명제와 같이 기술 및 제도의 부정적인 사례들도 많이 나타나고 있다.

프라이버시 특별보고관은 2019년 7월 26일, 기자회견을 통해 2주 동안의 조사 결과를 발표했다. 정보기관의 인터넷 대량감시를 계기로 임명이 된 만큼, 그의 가장 주요한 관심사 중 하나는 정보수사기관에 대한 감독이 제대로 이루어지는지 여부였다. 그는 정보수사기관의 “기술 활용에 대한 기본적인 법적 체계나 오남용을 방지하는 안전장치가 심각할 정도로 불충분한 상황”임을 우려하며, 감시사찰 및 정보수집 활동 기능을 감독할 수 있는 독립적인 감독기구를 만들 것을 권고했다.

정보수사기관의 국가감시와 더불어 가장 큰 프라이버시 이슈 중 하나는 ‘빅데이터 시대의 개인정보 보호’ 이슈이다. 프라이버시 특별보고관은 한국의 개인정보보호위원회가 법적인 권한과 독립성이 없다는 점에 대해 우려를 표했다. 또한, 한국이 개인정보와 관련된 국제협약인 유럽평의회(Council of Europe)의 ‘108호 협약(Convention 108)’에 가입할 것과 개인정보보호위원회에 개인정보를 침해한 기업에게 해당 기업의 전 세계 매출의 최대 4~5%에 해당하는 액수의 과태료를 부과할 수 있는 권한을 부여할 것을 권고했다.

프라이버시 특별보고관이 기자회견에서 발표한 내용은 최종적인 권고는 아니다. 또한, 이번 발표에서 언급되지 않는 이슈들, 혹은 시민사회의 관점에서 아쉽게 느껴지는 이슈들도 있다. 예를 들어, 그는 사회보장정보시스템이나 의료정보의 활용과 관련해서는 문제점을 인식하지 못했다. 이에 대해 시민사회는 특별보고관에게 해당 이슈에 대한 보충 자료와 논거를 제출할 예정이다. 프라이버시 특별보고관의 최종 보고서는 내년 초에 발표될 것으로 보인다. 프라이버시 특별보고관의 보고서가 각 국가에 강제력을 갖는 것은 아니지만, 한국의 프라이버시 현황에 대해 전반적으로 점검하고 문제점을 개선하는 계기가 될 것이다.

빅데이터 기술의 발전과 개인정보 보호

프라이버시 특별보고관이 제주의 스마트시티 사업이 개인정보 영향평가도 없이 시행되는 것에 우려를 표하면서, “시민이 자신에 대한 과도한 데이터가 수집되는 상황에 빠지지 않도록 안전장치를 개발하길 권고”한 바와 같이, 빅데이터 시대에 가장 위협받을 수 있는 기본권이 바로 개인정보 자기결정권이다. 스마트시티 사업에는 사물인터넷(IoT), 빅데이터, 인공지능 등의 기술이 결합될 수밖에 없다. 그런데 이는 비단 스마트시티 사업에만 관련된 문제가 아니다. 문재인 정부 들어와서도 이른바 ‘4차 산업혁명’ 구호 하에 각 정부부처들은 빅데이터와 인공지능 관련 사업들을 쏟아내고 있다. 또한 이를 명분으로 기존의 개인정보 보호 수준을 완화하려고 하고 있다.

이미 과거와 비교할 수 없을 정도로 방대한 개인정보가 생산되고 있다. 그것도 나도 모르는 새 생성된다. 예를 들어, 우리가 인터넷을 이용하고 신용카드로 결제하며 길거리를 돌아다니는 와중에도, 인터넷 이용기록, 결제기록, CCTV 촬영 기록 등 내 개인정보가 어느 서버엔가 기록된다. 스마트홈과 같은 사물인터넷 기기가 보편화되면 이러한 개인정보의 집적은 더욱 가속화될 것이다. 이렇게 누적된 방대한 개인정보(데이터)는 빅데이터 기술을 통해 분석되고 인공지능을 위한 훈련 자료로 활용되며 나를 대상으로 한 정밀한 타깃 마케팅이 가능해질 것이다.

기업들은 개인정보 보호체계가 거추장스럽다. 인공지능 개발을 위해서는 빅데이터가 필요한데 수천만 명에게 어떻게 동의를 받느냐는 것이다. 개인을 식별할 수 없도록 비식별(가명) 처리를 하면 동의없이 이용할 수 있도록 해야 한다고 주장한다. 더불어 약관은 아무도 읽지 않으니 동의 절차에 대해 재검토해야 한다거나, 실시간으로 정보 수집이 이루어지는 사물인터넷 환경에서 어떻게 동의를 구하냐는 일부 전문가의 의견도 횡행한다.

실제로 많은 사람들이 개인정보 동의 절차가 형식적이라고 느낀다. 더구나 수많은 기업들이 내 개인정보 처리에 관여한다. 예를 들어, 통신사의 개인정보처리방침을 읽어보았는가? 통신사의 업무를 위탁 처리하거나 제휴 관계를 통해 제공받는 사업자들이 수십 개에 달한다. 도대체 통신사가 수집한 내 개인정보가 어느 어느 업체로 가고 있는지 알 수가 없다. 이제 하나의 스마트폰 앱을 사용해도 앱 개발업체, 플랫폼 운영업체, 데이터 분석업체, 위탁업체, 배달업체 등 수많은 기업들이 내 개인정보를 처리하게 될 것이다. 개인정보 자기결정권이란 정보주체가 자신의 개인정보의 수집과 처리에 대해 통제권을 행사할 수 있어야 한다는 것이다. 빅데이터, 인공지능 환경에서 내 개인정보를 통제하는 것이 가능하기는 한 것인가?

박근혜 정부의 비식별조치 가이드라인

빅데이터 관련 개인정보 이슈가 문재인 정부에서 처음 등장한 것은 아니다. 2016년 6월, 박근혜 정부 당시 행정안전부 등 관계부처는 합동으로 <개인정보 비식별조치 가이드라인>을 발표한 바 있다. ‘빅데이터 활용기반 마련’을 위해 개인정보를 가이드라인에 따라 비식별조치하면 개인정보가 아닌 것으로 간주하고, 정보주체의 동의 없이도 애초 수집 목적 외로 활용할 수 있도록 하겠다는 것이다. 원래 개인정보 보호원칙에 따르면, 개인정보는 특정한 수집 목적 내에서만 활용할 수 있다. 나아가 정부는 한국인터넷진흥원 등 공공기관을 전문기관으로 지정하여 서로 다른 기업의 고객정보를 결합하고 결합된 데이터를 원 기업에 다시 제공할 수 있도록 했다.

<개인정보 비식별조치 가이드라인>은 시민사회로부터 많은 비판을 받았다. 첫째, ‘비식별조치’는 개인정보보호법에도 없는 개념으로, 이 가이드라인에 따라 비식별조치된 개인정보를 수집 목적 외로 활용하고 제3자에게 제공하는 것은 개인정보보호법 위반이다. 둘째, 비식별조치를 하더라도 더 이상 개인정보가 아니라는 것을 보장할 수 없다. 가이드라인 역시 재식별의 가능성이 있음을 인정하고 있는데, 그래서 비식별조치된 정보를 일반에 공개하지 않도록 하고 있다. 그럼에도 ‘개인정보가 아닌 것으로 간주’하는 것은 문제이다. 만일 재식별될 경우 누가 책임을 질 것인가? 가이드라인은 다시 비식별조치를 하라고 할 뿐, 누구의 책임도 묻지 않고 있다. 셋째, 전문기관을 통해 서로 다른 기업의 개인정보 결합을 지원하고 있는데, 이 자체가 개인정보보호법 위반이다. 즉, 결합하기 위해서는 공통의 식별자가 있어야 하는데, 이는 개인식별이 가능한 개인정보라는 의미이기 때문이다. 더구나 이렇게 결합된 데이터를 원래의 데이터 보유기업에게 제공하고 있는데, 그렇다면 원래의 데이터 보유기업은 당연히 결합된 데이터로부터 개인을 식별할 수 있지 않겠는가. 결국 정보주체의 동의도 없이, 두 기업이 고객 정보를 공유한 것 아닌가.

[그림3-1] 한화생명-SK텔레콤 간의 데이터 결합 항목

MSHVNXxTBkNoX9bRho-FPkGMsM6WEltUFoPbBgZU

자료: 개인정보 비식별 조치 및 결합지원 서비스 설명회(2017. 4. 11), p21

예를 들어, 박근혜 정부때 ‘중금리’ 연구를 한다며 한화생명이 자기 고객 4백만 명의 신용등급 등 21개 항목의 정보를 SK텔레콤 고객 1천8백만 명의 연체금액을 비롯한 21개 항목 정보와 결합시켰을때 한화생명 고객들은 그에 대해 설명을 듣거나 동의권을 행사할 수 없었다. 결국 한화생명은 SK텔레콤의 고객정보를, SK텔레콤은 한화생명의 고객정보를 무상으로 얻는 것이다. 고객정보를 비식별처리 했다고는 하지만, 결합된 데이터를 자신이 원래 보유하고 있는 고객정보와 비교했을 때 과연 재식별이 불가능할지 의문이다.

2017년까지 이렇게 결합된 고객정보가 20개 기업, 3억 4천여만 건에 이른다. 2017년 11월, 시민사회단체는 20개 기업과 4개 전문기관을 개인정보보호법 위반으로 검찰에 고발하였지만, 검찰은 불기소함으로써 이에 면죄부를 주었다.

개인정보의 판매, 공유를 허용할 것인가

2018년 초, 문재인 정부의 대통령 산하 ‘4차 산업혁명위원회’는 ‘개인정보의 보호와 활용’에 대한 해커톤 행사를 통해 업계, 시민사회, 학계, 정부 등 이해관계자 사이의 합의를 도모하였다. 해커톤 참가자들은 유럽의 개인정보보호법(GDPR)을 참조하여, 비식별정보라는 모호한 개념 대신 개인정보, 가명정보, 익명정보로 정립하자는 것에는 합의했지만, 가명처리된 개인정보의 활용 범위에 대해서는 합의에 이르지 못했다. 여기서 가명정보란 다른 정보와 결합하지 않고서는 직접적인 개인식별이 어렵도록 처리된 정보를 말한다. 즉, 바로 식별될 수 없도록 일부 개인정보를 가리는 것이다. 그러나 다른 정보와 결합하면 재식별이 될 수 있으므로 여전히 개인정보에 해당한다. 예를 들어, 주민번호를 암호화했더라도 암호를 해독할 수 있는 열쇠만 있으면 다시 복원이 가능하므로 개인정보로 볼 수 있다. 반면, 익명정보는 통계 결과값과 같이 더 이상 개인을 식별하지 못하도록 처리된 것을 의미한다.

해커톤에서의 합의가 없었음에도 불구하고, 정부는 2018년 11월, 인재근 의원 대표발의로 개인정보보호법 개정안을 발의하였다.2) 이 개정안은 기업의 입장을 그대로 수용하고 있다. 즉, 과학적 연구나 통계작성 목적으로는 가명처리된 개인정보를 동의없이 애초 수집 목적 외로 활용할 수 있도록 하고 있는데, 여기서 과학적 연구란 ‘과학적 방법을 적용하는 연구’라고 정의하고 있다. 과학적 방법을 적용하지 않는 연구가 있는가. 사실상 ‘연구’라고 주장하면, 그것이 상업적 목적의 기업 내부 연구라고 할 지라도 개인정보를 목적 외로 활용할 수 있도록 열어놓고 있는 것이다. 개정안의 ‘제안이유’에서도, 이 법에서 얘기하는 연구와 통계는 “새로운 기술․제품․서비스의 개발 등 산업적 목적을 포함하는 과학적 연구, 시장조사 등 상업적 목적의 통계작성”을 의미한다고 명시하고 있다.

이에 대한 시민사회의 입장은 개인정보의 목적 외 활용은 ‘학술연구’로 제한되어야 한다는 것이다. 물론 동의를 받을 수 있다면 가장 바람직할 것이고, 동의를 받는 것이 현실적으로 어려울 경우 혹은 동의를 받는 것이 학술 연구에 부정적인 영향을 미치는 경우(예를 들어, 특정 질병에 대해 동의를 받아 연구를 진행할 경우 표본 집단에 편향이 발생할 수 있을 것이다.) 에는 가명처리를 포함한 여러 안전조치를 전제로 동의없이 활용할 수 있을 것이다. 학술 연구나 통계 목적의 경우 그 결과물이 공개되어 한 사회의 지식 기반의 확충에 기여하는 바가 있기 때문에, (정보주체에게 부정적인 영향을 미치지 않는 범위에서) 일정하게 그 권리를 제한할 명분이 있다고 볼 수 있다. 그러나 신상품 개발과 같은 기업의 사적 이익을 위해 정보주체의 권리를 제한해야 할 이유가 어디에 있는가? 영국에서도 자국의 개인정보보호법을 설명하면서, 과학적 연구는 “시장 조사나 소비자만족도조사와 같은 상업적 연구 목적에는 적용되지 않는다”고 설명하고 있다.

정부 개정안은 나아가 박근혜 정부의 <개인정보 비식별조치 가이드라인>과 마찬가지로, 전문기관을 통해 서로 다른 기업의 고객정보를 결합할 수 있도록 하고 있다. 또한, 연구 및 통계 목적으로 가명정보를 처리할 때 정보주체의 권리가 포괄적으로 제한되도록 하고 있다. 예를 들어, 개인정보는 수집 목적이 다하면 원칙상 삭제해야 하지만, 연구를 목적으로 제3자에게 제공된 나(가명처리된)의 개인정보는 영구히 보관될 수 있는 것이다.

[그림3-2] 개인정보의 무한공유! 감당할 수 있어요?

afq7_cJc--02yAxjfrpNWhJqqK1y99Dbejml0cCM

<사진 = 진보네트워크센터>

현재 정부의 개인정보보호법 개정안에 따르면 다음과 같은 시나리오가 가능하다. 보험업체들이 ‘연체자 분석 연구’를 목적으로 통신사에게 고객정보의 제공을 요청하면, 통신사들은 이를 가명처리하여 제공할 것이다. 그런데 통신사가 보험업체에 무상으로 제공하겠는가. 당연히 합당한 비용을 받고 판매하거나 혹은 보험업체의 고객정보 제공을 요청할 것이다. 통신사는 보험업체에게만 제공하겠는가. 포털, 신용카드사, 유통사, 병원 등 어떤 업체에든 제공할 수 있다. 통신, 금융, 의료 정보는 최고로 가치있는 정보이지 않은가. 카드사와 쇼핑몰은 공공기관을 통해 서로의 고객정보를 결합할 수 있을 것이다. 그리고 이렇게 제공된 고객정보는 연구가 끝나도 삭제되지 않는다. 추가적인 연구에 계속 필요한데 왜 삭제를 하겠는가. 이렇게 한 기업에 의해 수집된 고객정보는 수많은 다른 기업으로 판매, 공유될 것이다. 고객정보의 공유가 많아질수록 개인정보 침해의 위험성은 점점 커질 것이다. 어떤 기업들은 불법적으로 고객을 재식별해서 타깃 마케팅에 이용하거나 고객을 차별하는데 활용할 것이다. 때로는 이렇게 공유된 정보들이 대량 유출되어 다양한 불법적인 목적에 활용될 수도 있다. 정부와 여당은 진정으로 개인정보의 판매, 공유를 허용하고자 하는 것인지 답해야 한다!

개인정보 보호체계의 강화가 필요하다

빅데이터 환경에서 오히려 개인정보 보호체계의 강화가 필요하다. 앞서 언급했듯이, 빅데이터와 같은 신기술 환경에서 개인정보에 대한 통제권은 갈수록 취약해지고 있다. 정보주체의 권리 보장은 당연히 필요하지만, 개인정보에 대한 보호를 정보주체의 책임으로 돌릴 수는 없다. 그래서 필요한 것이 개인정보 감독기구다. 즉, 기업과 정부의 개인정보 처리를 감독하고, 잘못된 것이 있으면 시정을 요구하고, 정보주체의 피해를 구제해줄 수 있는 공적 기관이 필요한 것이다. 정부 역시 수많은 개인정보를 보유하고 있는 개인정보처리자이고, 감독기구는 정부도 감독해야 하므로 감독기구가 정부로부터 독립성을 갖는 것이 매우 중요하다. 이는 세계적으로 확립된 개인정보 보호원칙에서 확인하고 있는 바다.

그러나 한국의 개인정보 감독체계는 개인정보보호법을 관할하는 행정안전부, 정보통신망법을 관할하는 방송통신위원회, 신용정보법을 관할하는 금융위원회 등으로 분산되어 있을 뿐더러 정부부처이기 때문에 독립성이 없다. 개인정보보호법 제정에 따라 만들어진 개인정보보호위원회가 있지만, 조사권, 시정조치권 등 집행권한도 없고 인사와 예산에 있어서의 독립성도 없다. 그래서 개인정보보호법 제정 이전부터 한국의 시민사회는 독립적인 개인정보 감독기구의 설립을 주장해왔고, 지금도 개인정보보호위원회로의 감독기구 일원화를 주장하고 있는 것이다.

정부와 기업은 ‘개인정보의 보호와 활용의 조화’를 얘기하면서 사실상 개인정보 활용을 위한 보호의 약화를 얘기한다. 그러나 신기술 개발을 위해 개인정보의 보호를 약화해야만 한다면, 그러한 신기술을 우리가 도입할 필요가 있을까? 시민사회가 개인정보의 보호를 얘기하는 것은 활용을 반대하는 것이 아니다. 개인정보의 동의를 받는 것도 결국 활용을 하기 위해서 아닌가. 즉, 개인정보의 권리가 침해되지 않는 방식으로 활용하라는 것이다. 한국 정부는 프라이버시 특별보고관의 다음과 같은 언급을 귀담아 들어야 한다. “한국의 개인정보 보호체계가 혁신과 경제성장의 걸림돌이 아니라는 점을 지적한다. 오히려 (빅데이터와 같은) 새로운 경제 분야에 진출할 때에도 기존의 개인정보 보호체계를 엄격히 준수할 것을 권고한다.”

LEAVE A RESPONSE

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다