국가기관이 국내 금융‧통신 대기업들이 보유한 개인정보를 대규모로 결합시키는 데 이용된 것으로 드러났다.
이들 대기업은 지난 박근혜 정부가 설립한 ‘개인정보 비식별조치 전문기간’을 통해 20개 기업에 3억4천만 건 규모의 개인정보 거래를 중개했다고 국회 행정안전위원회 소속 진선미 의원(더불어민주당)이 지난 10일 밝혔다.
진선미 의원에 따르면 한화생명‧한화손해보험‧삼성카드‧삼성생명보험‧KB국민카드‧신한카드‧BC카드 등 금융사와 이동통신 3사, SCI평가정보, NICE평가정보 등 대기업들이 지난해 6월 이후부터 개인정보 1억7천만 건의 비식별화, 결합을 시도하고 그 중 1천2백만 건 이상의 개인정보를 서로 주고받았으나, 정부는 기업 간 교환된 실제 개인정보가 무엇인지 조자 파악하지 못하고 있다고 주장했다.
박근혜 정부는 개인정보가 포함된 빅데이터를 법에 저촉되지 않고 활용할 수 있도록 해달라는 대기업의 요구에 따라 지난 6월 방송통신위원회와 미래창조과학부 등 범정부차원에서 ‘개인정보 비식별 조치 가이드라인(이하 가이드라인)’을 제정한 것으로 알려졌다.
이 가이드라인에 따르면 개인정보를 가명화‧익명화‧범주화하면 개인정보가 아닌 것으로 간주해 정보 주체의 동의 없이 활용 유통할 수 있다는 내용을 담고 있으며, 이에 따라 한국인터넷진흥원, 금융보안원, 한국신용정보원 등 공공기관은 각 기업의 요청에 따라 개인정보를 비식별화 한 뒤 이를 결합해 대기업에 제공했다.
즉, 민간기업이 개인정보의 주체인 국민의 동의 없이 기업이 국민 개인정보를 거래하도록 국가가 중개하는 것.
정의당 추혜선 의원에 따르면, 삼성생명과 삼성카드는 지난 2월 양사에 동시가입 한 240만여 고객의 ‘가입건수, 보험료, 가입기간, 가입상품 및 카드이용 실적정보’ 등의 정보를 13회에 걸쳐 결합했으며, 보험개발원은 자체 보유한 1억5천만 건의 개인정보를 현대자동차 고객정보와 2회에 걸쳐 결합한 것으로 드러났다.
이들 기업은 이렇게 결합된 개인정보를 마케팅, 대출심사, 신용평가, 그리고 자사가 보유한 개인정보 거래 가치를 높이는 데 사용할 계획인 것으로 알려졌다.
비식별화 가이드라인 즉각 폐기돼야
이에 건강세상네트워크, 건강권실현을위한보건의료단체연합, 경제정의실천시민연합, 무상의료운동본부, 사회진보연대, 진보네트워크, 참여연대, 한국환자단체연합회, 함께하는 시민행동, 서울 YMCA, 언론개혁시민연대 등 범 시민단체는 오늘(11일) 성명서를 내고 이런 상황에 대해 개탄했다.
범 시민단체는 “헌법과 개인정보보호법의 보호를 받아야할 개인정보가 박근혜 정부의 이 가이드라인을 따랐단 이유로 정보주체도 모르게, 이른바 ‘비식별 조치된’ 개인정보로 정보주체의 사전동의 절차도, 책임도 거치지 않고 기업에 제공돼 활용된 것”이라며 “개인정보 재식별과 대량유출 등의 문제가 발생해도 이들 기업에 책임을 물을 수도, 정보주체가 소송 등을 통해 법적 구제와 보상을 받을 수도 없다”고 꼬집었다.
이들은 “비식별 전문기관들과 이런 대기업들은 비식별 조치를 했으므로 문제없다고 할지 모르지만, 드러난 자료만 보더라도 비식별화 수준이 여성은 1, 남성은 2로 표기하는 데 그치거나 이용가치가 높은 항목은 비식별화를 적용치 않기도 했다”며 “혹은 항목 범주를 수십, 수백개로 세분화해 재식별이 용이하도록 만든 경우도 있다”고 지적했다.
특히 이들은 “이런 개인정보는 소비자들이 기업을 믿고 맡긴 것인데, 기업들은 소비자들의 신뢰를 저버렸을 뿐 아니라 개인정보보호법에 명시된 목적 외 이용 금지를 어기고, 거래를 통해 이익을 취한 것”이라며 “국가기관이 이런 개인정보 불법거래를 독려하고 중개하고 보증했다는 점이 경악스러울 뿐 아니라, 박근혜 정부의 불법을 고스란히 문재인 정부가 이어가고 있다는 사실이 더욱 문제”라고 분노했다.
아울러 범 시민단체는 지난 2011년부터 2016년까지 5년간 국민건강보험공단이 수사협조란 명목으로 110만 건에 이르는 개인질병정보를 수사영장도 없이 무단으로 수사기관에 제공해 준 사건과, 지난 2015년 IMS헬스케어, SK텔레콤, 지누스, 약학정보원의 개인질병정보 불법수집‧판매 사례를 언급하면서 “지난 정부 어느 부처도 개인정보 불법거래 문제에 적극 대응하지 않았으며, 오히려 국민의 개인정보 권리를 침해하는 기업의 개인정보 거래를 부추겼다”고 맹비난했다.
그러면서 이들은 문재인 정부의 빅데이터 정책이 ‘개인정보 보호’에 기반 해 이뤄져야 하며, 자신의 공약대로 개인정보보호위원회를 비롯한 개인정보 감독체계를 수립할 것을 주문했다.
이들은 “국민의 개인정보를 제대로 보호하지 못한다면 문재인 정부의 4차산업혁명이 박근혜식 창조경제와 무엇이 다르겠냐”며 “정부는 불법적으로 기업에 넘어간 개인정보를 즉각 환수하고 파기하고 전문기관과 기업들의 불법 행위는 법률에 따라 엄정 하게 처벌하라”고 촉구했다.
끝으로 이들은 “이런 방식의 불법적인 개인정보 거래 중개에 대한 심각한 재검토가 이뤄져야 한다”며 “국민 개인정보를 ‘비식별화’란 세계 어디서도 시도하지 않는 방식으로 개인정보가 아닌 것으로 추정하고 불법적으로 거래하는 정책은 즉각 중단돼야 한다”고 피력했다.
