[리포트] 데이터 3법 개정안

세계적으로 데이터 경제로의 전환 흐름이 나타나고 있다. 데이터를 얼마나 확보하고 활용할 수 있느냐에 따라 국가 경쟁력이 달라질 수 있다는 것이다. 지난 1월 9일 ‘데이터 3법 개정안(▲개인정보보호법 ▲정보통신망법 ▲신용정보법)’이 데이터의 효율적 활용을 위한 1년여 간의 논의를 거쳐 국회 본회의를 통과했다. 노동계와 시민사회단체는 데이터 3법이 통과될 경우 국민기본권이 침해될 수 있다는 우려를 나타냈다. 데이터 3법 개정안에는 어떤 내용이 포함됐는지, 또 발생할 수 있는 문제가 무엇이 있는지 살펴봤다.

데이터 3법 개정안, 무엇이 달라지나?

데이터 이용을 활성화하는 ‘개인정보보호법’, ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법), ‘신용정보의 이용 및 보호에 관한 법률(신용정보법)’ 등 3가지 법률을 통칭하는 ‘데이터 3법 개정안’이 1년여 간의 논의 끝에 지난 1월 9일 국회 본회의를 통과했다.

이에 앞서 대통령 직속 4차산업혁명위원회는 지난 2018년 2월과 4월에 산업계, 학계, 시민단체 등이 모인 ‘해커톤회의’를 열고 다양한 의견을 반영한 개정안을 마련했다. 여러 주체들이 모여 개인정보보호라는 민감한 주제에 대한 합의를 이룬 것이다. 이 개정안이 국회 본회의를 통과했고, 오는 7월부터 시행될 예정이다.

‘데이터 3법 개정안’에 포함된 내용들은 어떤 것들일까.

먼저, 개인을 쉽게 알아볼 수 없도록 ‘가명정보’ 개념을 도입한다. ‘가명정보’는 개인정보주체의 실명을 가린 정보로, 추가 정보 없이는 특정 개인을 구별할 수 없도록 한 정보이다. 즉, 자신의 이름, 연락처, 나이, 이메일 등을 가려 해당 정보가 누구의 정보인지 알기 어렵게 한 것이다. 개정안에는 이런 가명정보를 ▲통계작성(상업적 목적 포함) ▲연구(산업적 연구 포함) ▲공익적 기록보존 등의 목적으로 정보주체의 동의 없이 활용할 수 있게 했다. 다만, 가명정보의 주인이 누구인지 알 수 없도록 재식별을 금지했고, 재식별 행위에 대해서는 전체 매출액의 3% 이하의 과징금을 부여할 것이라고 밝혔다.

또한, ‘개인정보보호위원회’를 국무총리 소속의 합의제 중앙행정기관으로 격상시켜 행정안전부와 방송통신위원회, 금융위원회 등으로 흩어져 있던 개인정보 보호체계를 ‘개인정보보호위원회’로 이관해 감독기구를 일원화할 예정이다.

신용정보산업에도 변화가 일어난다. 대표적으로 신용조회(CB: Credit Bureau)업을 개인CB, 개인사업자CB, 기업CB 등으로 구분한다. 현행 신용조회법 상에는 CB업의 구분이 없으나, 이번 개정을 통해 개인 CB업의 폭이 넓어졌다. 통신료·전기·가스·수도 요금 등 비금융정보까지도 비금융정보전문CB에 포함돼 조회할 수 있는 데이터의 폭이 훨씬 넓어졌다.

금융 분야에서는 정보주체의 권리행사에 따라 본인정보 통합조회, 신용·자산 관리 등 서비스를 제공하는 마이데이터(My Data) 산업이 도입된다. 마이데이터 사업자는 수집된 정보를 바탕으로 특정 개인에 맞는 상품을 개발할 수 있다.

이처럼 폭 넓은 데이터 활용을 가능하게 한 데이터 3법 개정안을 두고 노동계와 시민사회단체는 우려의 목소리를 내고 있다. 그들은 왜 ‘데이터 3법 개정안’을 문제 삼고 있는 것일까.

데이터 3법 개정안, 어떤 문제 있을까?

‘데이터 3법 개정안’이 국회 본회의를 통과하던 날(1월 9일), 국회 정론관에서는 시민사회노동건강단체들은 기자회견을 열고 ‘데이터 3법 개정안’은 국민기본권을 침해할 우려가 있다고 비판했다. 데이터 3법 개정으로 가장 큰 영향을 받을 것으로 예상되는 금융권과 의료계 일부에서는 어떤 이유로 반대의 목소리를 내고 있을까.

① 금융권

국민들의 데이터를 다양하게 활용할 수 있게 되면, 가장 큰 이익이 있을 것이라고 예상되는 분야가 금융권이다. 소비자 생활환경에 맞는 금융상품을 제공할 수 있어 기업은 물론 소비자에게도 이익이 될 것이라고 예상한다. 하지만, 사무금융노조는 걱정이 크다.

백정현 사무금융노조 교육국장은 “지금까지는 정보주체의 동의가 있어야 개인정보를 활용하거나 제3자에게 제공할 수 있었다”면서 “하지만 개정안에서는 정보제공자의 동의 없이 개인의 신용정보를 활용할 수 있게 해 개인정보를 보호할 방법이 없어지게 됐다”고 설명했다.

새롭게 도입되는 개념인 ‘가명정보’에 대한 우려도 제기했다. 백정현 교육국장은 “가명정보는 (실명을 가려도) 데이터를 결합하면 식별할 가능성이 높아진다”며 “개정안에서는 재식별을 금지했지만, 불법적인 방법으로 가명정보를 재결합하거나 정보를 유출할 가능성도 높다”고 밝혔다. 이전에도 금융기업에서 개인정보가 유출돼 금융소비자들의 피해가 있었는데, 데이터 3법 개정으로 개인정보 활용에 대한 규제가 느슨해진다면 그 피해가 더 커질 수 있다.

다른 한편, 개인정보를 파악할 수 있게 되면 ‘프로파일링’이 가능해진다. 나를 이해할 수 있는 데이터 포인트들을 나열할 수 있기 때문에 ‘나보다 나를 더 잘 아는’ 기업들이 우후죽순으로 생길 수 있다.

백정현 교육국장은 “금융기업들은 그동안 정보의 비대칭을 가장 큰 문제라고 생각했는데 이번 데이터 3법 개정안으로 최대의 숙원을 해결한 셈”이라고 이야기한다. 그는 “그동안 금융기업은 채무자의 정보를 정확히 알 수 없어 원금과 이자를 받을 수 있도록 장치를 만들어왔다”면서 “개정안이 통과되면 금융기업들이 금융소비자들의 정보를 알 수 있게 되기 때문에 저신용자에게는 높은 금융거래 비용을, 고신용자에게는 낮은 문턱의 기회를 제공할 것”이라고 우려한다. 결국 “금융기업들이 금융소비자들의 주머니 사정과 모든 행태를 속속들이 알 수 있게 된다”는 것이다. 이로 인해 금융기업들은 비용을 절감할 수 있겠지만, 소비자에게는 금융기업의 문턱이 더욱 높아지는 결과를 초래할 수 있다. 기업의 이익을 위해 소비자가 희생되는 것이다.

② 의료계

의료계의 걱정도 만만치 않다. 데이터 3법 개정에 찬성했던 이들은 취급할 수 있는 정보 데이터의 양이 많아지면 신약개발에 도움을 줄 수 있고, AI를 활용한 의료기술이 발달할 수 있다는 등의 장밋빛 미래를 예상한다. 하지만, 장밋빛 미래 속에 숨겨진 어두운 부분은 쉬쉬하고 있다.

전진한 보건의료단체연합 정책국장은 “개정안은 국민건강보험공단이 가지고 있는 정보까지 활용할 수 있게 허용했는데, 여기에는 병원에서 받은 진단, 처방, 환자에 대한 사회·경제적인 정보들이 모두 들어 있다”며 “특히나, 민감할 수 있는 산부인과 기록이나 정신과 기록, 성폭력 노출 여부 등도 모두 해당된다”고 말했다.

이렇게 특정된 정보들을 조합할 경우, 정보주체를 식별하는 것도 더욱 쉬워진다. 식별된 정보를 기업들이 사고팔게 될 경우에는 고용에서도 차별을 받을 수 있다. 문제는 이렇게 차별을 받게 되는 경우에도 피해자는 그 이유를 제대로 파악하기 어렵다는 점이다.

보이스피싱의 위험도 높아질 수 있다. 전진한 정책국장은 “가족력이나 개인의 질병 등을 디테일하게 파악하게 된다면 보이스피싱도 더 이상 허술하게 여겨지지 않게 된다”며 “디테일한 정보에 속아 넘어가는 사람들이 많아져 그 피해는 더욱 커질 수 있다”고 우려했다.

무엇보다도 병원에서 환자들이 안심하고 상담하는 것을 꺼려할 수도 있다. 전진한 정책국장은 “환자들은 당연히 진료실에서 한 이야기들이 밖으로 나가지 않을 것이라고 생각하기 때문에 그동안 어떤 일을 겪었는지 말할 수 있다”며 “앞으로 진료실 밖으로 이야기한 내용이 새나가게 된다고 생각하면 환자와 의사의 관계는 무너지게 되고 나아가 의료 시스템이 제대로 가동될 수 있을지도 걱정된다”고 밝혔다.

개인정보보호법 23조는 ‘민감정보의 처리 제한’를 다루고 있다. 개인의 사상이나 신념, 노동조합 및 정당 등의 가입과 탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보가 민감정보에 해당된다. 이러한 정보를 활용하기 위해서는 정보주체로부터 별도의 동의를 받아야 한다. 하지만 이와 같은 민감정보까지 ‘가명정보’라는 이름 아래 활용이 가능해진다면 개인들이 숨기고 싶은 정보까지도 이용이 가능하게 될 수 있다.

경제 발전도 좋지만,
소비자 보호 우선돼야

무엇보다도 무서운 건 기업들이 개인에 대한 모든 정보를 알게 됐을 때 어떤 상황이 발생할지 정확한 예측이 불가능하다는 점이다. 백정현 교육국장은 “나와 관련된 정보를 프로파일링하면 기업이 어떤 힘을 갖게 되는지 한 번도 경험해 본 적이 없다”며 “어떤 일이 일어날지 짐작할 수가 없다”고 말했다. 전진한 정책국장도 “모든 데이터를 가지고 있을 때 무엇을 할 수 있는지는 우리가 상상할 수 있는 범위를 초월한다”고 설명했다.

정부는 데이터 3법 개정안을 통해 EU GDPR(유럽 개인정보보호법) 등과 수준을 맞출 수 있을 것이라고 전망했다. GDPR은 개인의 정보를 활용할 수 있도록 폭을 넓혀주는 것이 아닌 개인정보 보호를 강화하고, 기업에 책임을 물리는 데 초점이 맞춰져 있다. 반면, 데이터 3법 개정안의 경우 데이터 활용 범위는 넓혀놓으면서도 정보주체들의 권리를 보호할 수 있는 방법이 제대로 마련돼 있지 않다.

또 하나의 문제는 개정안의 주요 내용을 당사자인 국민들이 제대로 알지 못하고 있다는 점이다. 지난해 11월 시민사회노동건강단체는 국민들을 상대로 데이터 3법 개정안에 대한 설문조사를 진행했다. 1,000명의 응답자 중 81%가 개정안에 추진에 대해 몰랐다고 답했다. 또한, 개인의 민감정보에 대한 수집이나 이용을 반대한다는 의견이 70%로 높게 나타났다. 개정안의 골자인 ‘가명정보’를 활용한 정보 제공에 대해서도 80%가 반대한다고 밝혔다. 그럼에도 정부는 이른바 ‘민생법안’이라는 이름으로 데이터 3법 개정안 국회통과를 밀어붙였다. 국민들은 데이터 3법 개정안이 무슨 내용을 담고 있는지조차 제대로 이해하지 못한 상황에서 기업들이 자신의 개인정보를 활용할 수 있도록 손 놓고 있게 되는 것이다.

하루가 다르게 변화해가는 사회 속에서 흐름에 맞춘 기술의 혁신은 필요하다. 특히, 데이터는 경제 발전에 있어서 중요한 요소 중 하나다. 백정현 교육국장은 “금융산업이 이전과는 다른 방식으로 발전해 가고 있다는 것을 인지하고 있고, 한국이 세계적 흐름에 맞춰가야 하는 것은 맞다”면서도 “EU GDPR과 같이 소비자들의 권리를 침해하지 않도록 할 안전장치들을 기본적으로 만들어야 한다”고 강조했다.

정부는 7월 시행 전 하위법령을 마련해 국민들의 불안을 잠재우겠다고 했지만, 실효성이 있을지는 의문이다. 전진한 정책국장은 “하위법령에 위임해 놓은 게 별로 없어 개정안 자체를 다음 국회에서 바꾸지 않는 한 보완되기는 어려울 것이라고 본다”고 밝혔다.

지난 2월 17일, 시민사회노동건강단체는 데이터 3법 개정안 후속과제에 대한 의견서를 발표했다. 개인정보 침해 위험을 최소화하고 올바른 방향으로 재개정하기 위해 ▲개인정보보호위원회 독립적 운영 ▲가명정보 안전조치 등이 포함된 하위 법령 제정 ▲개인정보처리자의 책임성 강화 등이 포함된 개인정보보호법의 개정 필요성 등을 제안했다.

사람들은 다양한 방법의 기록을 통해 데이터를 남긴다. 자신이 기억하는 데이터도 있지만, 희미하게만 남아 있는 기억들은 데이터를 보고 다시 떠올릴 수 있다. 하지만, 모든 기억들이 기업들의 손에 들어간다면 어떻게 될까? SNS를 비롯해 자신의 모든 기록을 스스로 검열해야 하는 상황이 올 수 있다고 하면 미래를 너무 암울하게 보는 것일까?