개인정보를 데이터로 산업에 활용할 수 있도록 하는 내용을 골자로한 데이터3법, 그의 모법(母法)이 되는 「개인정보보호법 개정안」 그 자체에 문제가 있다는 주장이 나왔다.
참여연대 이찬진 변호사가 지난 19일 개인정보보호법 개정안에 대해 행정안전부에 제출한 의견서에 따르면, 이 개정안은 개인정보 동의제도 실질화에 역행할 뿐 아니라 정보주체의 동이 없이 가명화된 개인정보를 상업적 목적으로 사용토록 해, 시민의 안전과 공공성을 침해한다는 것.
특히 이 변호사는 해당 개정안이 유럽의 개인정보보호에 관한 일반규정(이하 GDPR)에 합치된다는 정부의 주장에 대해 양 법안을 비교하며 개정안의 문제점을 조목조목 지적했다.
개인정보‧가명정보 정의 ‘불분명’
먼저 이 변호사는 개정안에 명시된 ‘개인정보’의 정의부터가 문제라고 봤다.
개정안 제2조에서는 개인정보를, ▲성명, 주민등록번호 및 영상 등을 통해 개인을 알아볼 수 있는 정보 ▲다른 정보와 쉽게 결합해 알아볼 수 있는 정보라고 정의하고 있다. 또 ‘가명정보’에 대해서는 ‘원상태로 복원하기 위한 추가 정보의 사용‧결합 없이는 특정 개인을 알아볼 수 없는 정보’로 정의하고 ‘가명처리’방법은 대통령령으로 정한다고 명시돼 있다.
이 변호사는 “개정안 2조에서 개인정보를 개인을 알아볼 수 있는 정보로 정의하며 ‘식별 가능성’을 기준으로 두고 있어 개인과 관련된 정보 중 식별가능성 여부에 따라 판단해야 하는 상황이 발생하게 된다”며 “개정안과 같이 정의한다면 휴대전화번호, IP 주소 등은 개인정보가 아닌 것으로 간주될 가능성이 크다”고 지적했다.
즉, 개인정보의 정의가 불분명하다는 것.
반면 GDPR에서는 ‘개인정보주체와 관련된 일체의 정보’는 물론 ‘제3자에 의해 식별가능한 경우’까지도 개인정보로 규정하고 있다. 뿐만 아니라 처리 시점에서 이용 가능한 기술과 기술발전을 고려하는 등 개인정보의 범위를 폭넓게 보고 있다.
이 변호사는 “개인정보보호의 취지를 달성하기 위해선 개인정보의 범위를 ‘관련정보’로 확대하고 기술발전까지 모두 고려해야 한다”고 제안했다.
과학적 연구목적, 상업적 연구로까지 확대 글쎄?
정부와 여야, 산업계가 ‘개인정보보호법 개정안’의 당위성으로 내세우는 것이 바로 ‘과학적 연구’다. 가명처리된 개인정보를 데이터로 삼아 빅데이터 산업, 인공지능 등 첨단 기술을 개발해 세계시장에서 경쟁력을 확보해야한다는 것.
개인정보보호법 개정안 제2조 8호에서는 과학적 연구를 기술 개발과 실증, 기초연구, 응용연구 및 민간투자 연구 등 과학적 방법을 적용하는 연구로 규정하고, 동법 제28조의2제1항에서는 통계작성, 과학적 연구, 공익적 기록 보존 등을 위해 정보주체의 동의 없이 가명정보를 이용, 제공할 수 있도록 했다. 나아가 데이터3법의 하나인 ‘신용정보법 개정안’에서는 이 가명정보를 활용할 수 있는 범위를 시장조사 등 상업적 목적의 통계작성 및 산업 연구로까지 확장하겠다는 것이다.
이에 이찬진 변호사는 “이 내용은 GDPR 해설 전문 제159조를 제한적으로 도입한 것인데, 실제 GDPR에서는 ‘과학적 연구 목적’을 상업적‧산업적 목적이 특정 기업‧기업체의 이익과 결부되지 않고 사회 및 학계에서 자유롭게 유통될 수 있는 학술적 성격의 것으로 해석하고 있다”며 “GDPR 기준에 부합하려면 과학적 연구의 정의를 상업적‧산업적 목적 활용을 제외하고 명확히 제시해야 한다”고 지적했다.
정보처리자에 '모호하게' 많은 권한 위임
시민사회단체가 이번 개정안의 가장 큰 문제로 꼽는 것은 바로 개인정보주체의 ‘동의 없이’ 가명정보를 처리할 수 있다는 규정으로, 개인정보보호법 개정안 제28조의2(가명정보의 처리 등), 제15조(개인정보의 수집‧이용), 제17조(개인정보의 제공) 등이다.
이 변호사는 “개정안에서 과학적 연구를 위해 정보주체 동의 없이 ‘가명정보’를 처리할 수 있다고 하는데, 이것이 가명처리인지 이미 가명처리가 완료된 가명정보의 처리인지 불분명하다”며 “법조항에 제시된 이외의 건강‧의료정보, 신용정보, 범죄경력 정보 등이 정보주체자의 동의 없이 상업적 이용이 가능하다는 걸 의미한다”고 지적했다.
이어 그는 “특히 민감 정보에 속하는 건강‧의료정보는 의료법에 보호 조항이 없기 때문에 관련된 내용은 개인정보보호법을 따르게 돼 있어, 건강‧의료정보가 상업적으로 활용될 수 있다”고 우려했다.
아울러 그는 “유럽에서는 연구자에게 공공데이터를 엄격한 조건하에 제한적으로 접근토록하고 있다”며 “이처럼 공공기관이 민간기업의 고객정보를 결합해주고, 결합된 고객정보의 반출까지 허용하는 경우는 없다”고 비판했다.
또 해당 조항에서는 정보주체의 동의 없는 처리 범위를 ‘합리성‧불이익 여부‧안전성 확보 여부만 고려하면 대통령령이 정하는 바에 따라 이용할 수 있도록’했다. 이는 GDPR의 제4조2항을 참조한 것으로 보이나 처리범위를 상대적으로 확대한 것으로 판단된다고 이 변호사는 밝혔다.
이 변호사에 따르면 GDPR에서는 개인정보 처리 원칙으로 ▲투명성 ▲목적제한 ▲데이터 최소화 ▲정확성 ▲기간제한 ▲무결성 ▲기밀성 ▲책임성을 규정하고 있다. 그는 “대통령령으로 정하는 바에 따라 처리가 제한된다 하더라도 위임에 따른 행정입법 규정에 법률상 명시된 ‘고려요소’ 이상의 제한 요인이 포함될 것이라 기대하기 어렵다”고 짚었다.
이어 정보의 당초 수집 목적 외 처리, 목적 간 연관성, 생체‧건강 등 특정범주 개인정보의 처리의 적법성을 규정한 GDPR 제6조제4항에 의거해 본다면, 개인정보처리자가 안전성 확보 여부 등을 ‘고려’하면 동의 없는 수집목적 외 처리 일반을 허용한 것으로 해석하기엔 부족하고, 조문과도 상이하다고 지적했다.
이 변호사는 “건강‧의료정보 등 민감정보의 예외적 처리가 초래할 수 있는 오남용의 위험을 방지하기 위해서는 정보주체에게 실질적 선택권을 보장하는 방안이 필요하다”며 “정보주체의 동의 없는 정보처리 외 목적과 요건을 구체적이고 세부적으로 적시 할 필요가 있다”고 강조했다.
정보 ‘처리’를 ‘결합’으로만 규정…불명확성의 문제
이번 개정안에서 ‘정보집합물’ 및 ‘결합’에 대한 정의조항이 부재하다는 게 이 변호사의 지적이다.
개정안 제28조의 3을 보면 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 개인정보처리자간 정보집합물의 결합은 대통령령으로 정하는 기준에 따라 보안시설을 갖춘 전문기관이 수행한다고 명시돼 있다.
이에 이 변호사는 “개정안에서 어느 수준까지 정보집합물에 대한 결합을 규제하는지, 불명확하고 오용의 가능성이 존재하는 것으로 보인다”며 “개인정보처리자 간 정보집합물의 결합이 가능한 내용은 동일하게 연구의 산업적‧상업적 확대 및 정보주체의 통제권 상실의 문제가 지적될 수 있다”고 밝혔다.
GDPR 제4조제2항에서는 개인정보의 ‘처리’를 수집, 기록, 편집, 가공, 배포, 제공, 연동, 제한, 삭제, 파기 등으로 폭넓게 규정하고 있는 반면, 개정안은 처리에 대한 정의를 ‘결합’으로만 모호하게 규정하고 있다.
게다가 GDPR에서는 개인정보의 겨합에 관해 가명정보라고 하더라도 이를 특별히 동의면제 예외 사유로 규정하거나, 각 개인의 정보통제권의 면제사유로 보지 않는다는 게 이 변호사의 설명이다.
즉, GDPR의 조항에 이 개인정보보호법 개정안이 ‘일부’ 합치되나 지나치게 ‘정보처리자’의 편의에 편중된 모양새다.
이 외에도 이 변호사는 개인정보보호위원회의 위상을 정의한 개정안 제7조에서는 국무총리의 지휘‧감독권을 일부분에서만 배제하고 있을 뿐, 관련법의 개선‧정책‧제도‧계획수립‧집행 등의 업무에는 국무총리가 행정감독권을 행사할 수 있도록 해 개인정보보호위원회의 위상을 침해하고 있다고 지적했다.
