데이터 3법 통과되면 나에겐 무슨 일이?
입력 2019.11.24. 11:18
[한겨레21] 가명 처리돼 통신사가 포털사에 제공… 박근혜 정부 가이드라인이 입법화돼
데이터 3법이 가을 정기국회에서 핵심 법안의 하나로 떠올랐다. 정확히 얘기하면 개인정보보호법, 정보통신망법, 신용정보법 등 ‘개인정보’와 관련된 세 법의 개정안이다. 데이터 3법이란 이름에서 알 수 있듯이, 이 법의 골자는 개인정보를 데이터로 활용할 수 있도록 허용하는 것이다. 빅데이터, 인공지능 산업 발전이 명분이다.
더불어민주당 이인영 원내대표는 연일 데이터 3법의 시급한 통과를 강조한다. 정부·여당이 하는 일에는 모두 반대할 것 같은 자유한국당도 데이터 3법에 찬성한다니 본회의 통과는 시간문제인 듯싶다. 그러나 시민사회단체는 오래전부터 이 법에 반대해왔다. 정보인권을 침해하는 ‘개인정보보호 포기법’이라고 비판한다. 이 법이 통과되면 ‘나’에게 무슨 일이 생기는 것일까.
‘가명 처리’돼 안전하다?
데이터 3법의 가장 큰 문제는, 신상품 개발 같은 기업의 영리적 목적을 위해 개인정보를 ‘내’ 동의도 없이 애초에 수집한 목적 외로 활용하거나, 심지어 다른 기업에 제공하도록 한다는 점이다. 이름이나 주민등록번호 등 개인을 식별하는 정보를 삭제하거나 암호화하는 등의 방법으로 ‘가명 처리’를 한다면 말이다.
예를 들어 통신사는 나에 대한 기본 정보뿐만 아니라 월평균 통화 시간이나 통화 빈도, 납부 요금, 연체 여부와 연체 액수, 보유 단말기 종류 등의 정보를 보유하고 있다. 데이터 3법에 따르면, 포털사가 서비스 개발 목적으로 통신사의 고객 정보를 요청할 때, 통신사가 고객 정보를 가명 처리해 포털사에 제공할 수 있도록 허용한다. 그런데 통신사가 포털사에 무료로 제공할 리는 없다. 당연히 포털사의 고객 정보를 제공받거나 일정한 대가를 받고 판매할 것이다. 통신사가 포털사에만 제공하겠는가. 당연히 금융, 유통, 보건의료 영역의 다른 기업에 팔려고 할 것이다. 이런 식으로 한 기업의 고객 정보가 다른 기업에 판매, 공유된다.
정부는 가명 처리를 했으니 안전하다고 말한다. 그러나 가명 정보는 통계값 같은 익명 정보와는 다르다. 다른 정보와 결합하면 개인을 재식별할 수 있다. 자동차번호의 경우를 생각해보자. 일반인은 자동차번호를 갖고 소유주가 누군지 알 수 없겠지만, 자동차번호와 연계된 다른 개인정보를 보유한 도로교통공단이나 경찰은 소유주를 알 수 있을 것이다. 특정 개인을 재식별하는 기술도 발전하고 있다. 가명 정보는 다른 정보와 결합하면 개인을 식별할 수 있기 때문에 여전히 개인정보이며, 이는 유럽연합도 한국 정부도 인정하는 바다.
실제 사례를 들어보자. 우리는 병원에서 받은 처방전을 약국에 내고 약을 받아간다. 약국에서는 처방 내역, 약국 정보, 처방 일시 등의 정보를 약학정보원이 제공한 프로그램을 통해 입력한다. 이렇게 수집된 정보가 우리도 모르게 빅데이터 업체인 IMS헬스에 팔려나갔다. 2011년부터 2014년까지 전국의 약국과 병원에서 4399만 명의 의료정보 약 47억 건이 판매됐다. 약학정보원과 IMS헬스는 주민등록번호를 암호화했기 때문에 불법이 아니라고 주장한다. 현재 이 사건과 관련된 민형사 소송이 진행 중인데, 데이터 3법이 통과되면 이런 개인정보 판매가 합법화될 것이다.
원래 고객 정보 보유한 기업이 결합정보 받아
이뿐만이 아니다. 데이터 3법은 전문기관이 서로 다른 기업들의 고객 정보를 결합할 수 있도록 지원한다. 이는 2016년 박근혜 정부 때 ‘개인정보 비식별 조치 가이드라인’을 통해 하려고 했던 바다. 당시 박근혜 정부는 전문기관을 통해 20개 대기업의 고객 정보 3억4천만여 건을 고객 동의 없이 결합해주었다.
예를 들어 한화생명보험의 고객 정보, 거래 정보, 신용정보 등 21개 항목과 SK텔레콤의 고객 정보, 거래 정보, 신용정보 21개 항목 등 총 42개 항목을 결합해, 양사 공통가입 고객 218만5596명의 개인정보가 결합됐다. SK텔레콤의 고객 정보는 한화생명으로, 한화생명의 고객 정보는 SK텔레콤으로 공유됐다. 물론 양사는 고객 정보를 비식별 처리했기 때문에 안전하다고 주장하지만, 원래의 고객 정보를 보유한 양사가 과연 결합된 고객 정보를 재식별할 수 없을지 의문이다. 또한 전세계적으로 공공기관을 통해 기업들의 고객 정보를 결합해주는 사례는 우리나라밖에 없다. 이처럼 박근혜 정부에서 가이드라인으로 추진하려고 했던 것을 문재인 정부에서는 입법화하려 한다.
이미 한국 사회는 대규모 개인정보 유출 사고를 겪었다. 특히 우리나라는 주민등록번호를 중심으로 서로 다른 개인정보를 결합할 수 있어 그 피해가 더욱 커진다. 개인정보의 유출과 남용이 가져올 피해는 다양한 수준에서 나타날 수 있다. 우리를 귀찮게 하는 스팸 전자우편과 전화부터 큰 금전 피해를 야기하는 보이스피싱까지, 모두 어디에선가 유출된 내 개인정보를 활용한 것이다. 숨기고 싶은 민감한 질병 정보가 유출될 수도 있고, 이런 정보가 보험이나 고용에서 불이익을 야기할 수도 있다. 나의 명예나 지위에 해를 끼칠 수도 있고 법적 분쟁에서 불리하게 작용할 수도 있다.
국민 신뢰가 우선
기업들의 개인정보 보호 수준에 대한 국민의 신뢰가 높지 않다. 그런데 데이터 3법처럼 서로 다른 기업 사이에 개인정보를 판매·공유·결합할 수 있도록 허용한다면, 개인정보의 유출과 남용 위험은 커질 수밖에 없다. 시민사회는 빅데이터 기술과 산업의 발전에 반대하지 않는다. 그러나 정보인권을 침해하는 산업의 발전이 어떤 의미가 있는가. 빅데이터 산업의 발전은 국민의 개인정보를 보호하는 방향으로 이루어져야 하며, 오히려 개인정보에 대한 신뢰가 있을 때 발전할 수 있다.
오병일 진보네트워크센터 대표
<한겨레21>이 후원제를 시작합니다. 정의와 진실을 지지하는 방법, <한겨레21>의 미래에 투자해주세요.
[▶후원 하기]
[▶정기구독 신청]
오사사
국내외에서 일어나는 사건사고 정보제공