데이터 3법은 ① 정보통신사업자들의 개인정보보호를 담당하던 정보통신망법(정식명칭은 '정보통신망의 이용 및 촉진에 관한 법률')상 관련 규정을 폐지하여 개인정보보호법으로 이관하고, ② 금융회사들의 개인정보보호를 담당하던 신용정보법(정식명칭은 신용정보의 이용 및 촉진에 관한 법률)에 가명처리로 정보주체 등의 동의 없이 활용할 수 있는 근거를 확대하고, ③ 개인정보보호법상 가명정보의 처리의 근거 규정 및 개인정보보호위원회의 독립성을 강화하는 것을 내용으로 한다. 정부는 위 법들이 다루는 개인정보를 '데이터'로 프레임화하여 데이터 3법이라 지칭하면서 유럽 개인정보보호법을 수용하여 활용과 보호의 균형을 잡으려한 것처럼 주장하고 있다. 그러나 (1) 개인정보보호법은 정보통신망법을 모두 폐지하면서 정보통신망법상의 보호조항을 수용할 것을 의결한 과방위의 6개 부대의견을 단 하나도 반영하지 않고, 유럽 개인정보보호법을 도입하여 활용과 관련된 가명처리조항을 입법화하였다고 하면서도 정작 유럽 개인정보보호법의 중요한 보호장치인 프로파일링 보호조치의 도입 없이 이를 입법화하고, (2) 신용정보법은 2014년 전국민의 75%가 피해자로 추정되는 대규모 해킹사건의 반성적 고려로 도입된 신용정보회사의 부수적 영리활동제한을 모두 허용하고, 박근혜 정권 때에도 위험하다는 비판에 도입하지 못하던 '소셜미디어나 이와 유사한 공개된 정보'를 동의없이 사용할 수 있도록 허용하였으며, 더 나아가 금융기관 이외의 타 기관의 개인정보에 대해서도, 신용정보 또는 신용정보와 다른 종류의 개인정보간 결합에 대하여 금융위가 정부주체의 동의를 받지 않고 사용할 수 있는지 여부를 결정할 권한마저도 내주었다.
6년 전 박근혜 정부의 창조경제정책으로 시도하려 하였으나 실패했던 정책이, 유럽 개인정보보호법의 도입인 것처럼 포장되면서 한 걸음 더 나아갔다. 오히려 입법과정에서 과방위 부대의견에서 문제제기했던 법정합성이나 법취지에 반하는 조항들의 문제들도 개선 혹은 수정되지 않은 채 입법화되었다. 법이 개정된 이후 정부는 되레 민감정보까지도 동의 없이 가명처리로 활용할 수 있게 되었다고 대대적인 홍보활동을 하고 있다.
데이터 3법이, 적어도 제 취지를 찾으려면 신용정보법상 과대해진 금융위원회의 권한을 금융기관에 한정하여 처리하고, 개인정보처리와 관련된 규제권한은 개인정보보호위원회로 일원화하여야 하며, 신용정보법과 개인정보보호법과의 충돌을 정리하여야 한다. 그리고 개인정보보호법은 과방위에서 의결한 6가지의 부대의견을 조속히 입법화하여 개인정보보호법과 정보통신망법과의 법정합성을 맞추어야한다.
정부 관계부처 합동 의료데이터 활용계획의 발표
2020년 1월 15일 정부는 관계부처 합동으로 혁신성장전략회의에서 "개인정보보호법 개정에 따라 의료데이터 활용을 위해 「의료 데이터 활용지침(가이드라인)」을 마련하겠다는 입장"을 발표했다. 이 발표에서는 "국회를 통과한 개인정보보호법 개정안에 따라 의료데이터의 가명조치를 통한 제3자 제공 등의 법적 근거가 마련되었다"라는 설명이 붙어 있었다.
데이터 3법의 통과와 더불어 행안부, 금융위, 과기부, 산업부는 실제 통과된 법률안의 취지와 달리 각자 하고 싶은 정책을 동상이몽으로 쏟아냈다. 하지만, 개인정보보호법 제23조 제1항에 따라 "민감정보의 활용 또는 허용을 별도로 요구하는 법령규정 없이"는 개인정보주체의 동의 없이 활용할 수 없도록 되어 있어 개정된 법률에 따르더라도 의료정보를 가명처리 후 제3자에게 제공하는 것은 쉽지 않은 일이다.
그럼에도 마치 데이터 3법이 엄청난 혁신을 가능하게 할 것만 같은 착시효과를 불러일으키는 것이 3법 통과의 목표인 것처럼 보일 지경이다. 개인정보보호법은, 각 부처에서 개인정보보호규제에 대하여 손을 떼고 그 역할을 독립된 개인정보보호위원회에 넘기는 것이 중요 법 취지이다. 그럼에도 각 부처들은 저마다 가이드라인을 만들겠다고 발표하고 있다. 이에 경실련은 2020년 1월 20일 "정부는 독립적인 개인정보보호위원회가 할 일을 방해・무시하지 말고 정보인권 보완대책을 마련하라"고 이를 비판하는 성명을 발표한 바 있다.
실제 혁신을 위하여 어떤 청사진을 보여줄 수 있을지는 아직 명확하지 않다. 하지만 데이터 3법으로 인해 침해될 수 있는 위험은 현실적이다.
이 문제는 근원적으로 박근혜 정부의 창조경제정책에서 이미 드러났던 문제를 해결하지 않고, 이를 혁신이라는 이름으로 포장하여 부처의 권한 확대기회로 이용한 금융위의 이해와 맞닿아있다. 금융위는 2014년 전국민의 75%가 피해자로 추정되는 해킹사건 이후 더 이상 규제완화를 주장할 위치가 아님에도 불구하고, 문재인 정권의 4차산업 혁명이라는 캐치프레이즈를 앞세워 박근혜 정부시절부터 하겠다고 주장해 왔던 내용들을 모두 신용정보법개정안에 쓸어 담았다. 뿐만 아니라 행안위는 유럽개인정보보호법의 선진입법체계 도입을 내세워 개인정보 활용에 해당하는 "가명처리", "양립가능"의 조항들은 촘촘히 입법화하면서도, 정작 유럽개인정보보호법이 중요하게 강조한 프로파일링 보호조항은 통째로 무시하였다.
데이터 3법은 ① 정보통신사업자들의 개인정보보호를 담당하던 정보통신망법(정식명칭은 "정보통신망의 이용 및 촉진에 관한 법률")상 관련 규정을 폐지하여 개인정보보호법으로 이관하고, ② 금융회사들의 개인정보보호를 담당하던 신용정보법(정식명칭은 신용정보의 이용 및 촉진에 관한 법률)에 가명처리로 정보주체 등의 동의 없이 활용할 수 있는 근거를 확대하고, ③ 개인정보보호법상 가명정보의 처리의 근거 규정 및 개인정보보호위원회의 독립성을 강화하는 것을 내용으로 한다. 정부는 이를 "데이터"로 프레임화하여 데이터 3법이라 지칭하였지만, 사실은 단순한 데이터가 아니라 개인정보에 대한 사항을 다루는 중요한 법들이다. 즉, 이 법들의 개정이 시민들의 개인정보보호수준에 어떤 영향을 주고, 기업들은 시민들을 어떻게 추적하여 시민들의 선호와 선택을 왜곡할 수 있는지 등을 면밀히 살펴보았어야 했다. 하지만 거대 정당인 더불어 민주당과 자유한국당의 합의 및 당정청의 합의에 따라 경제가 위기라는 이유를 앞세워 “빨리빨리”와 “필요하면 나중에 개정”이라는 말로 정리되고 말았다.
표결과정에서 더불어민주당의 김두관, 우상호 의원들의 반대표
2020년 1월 9일 국회 본회의에서 202개의 법률안들이 거의 대부분 토론이 이루어지지 아니한 채 19시 5분부터 21시 48분까지 총 2시간 43분 동안의 본회의 동안 통과되었다. 이 중 개인정보보호법개정안, 신용정보보호법 개정안에 대해서만 반대토론이 있었다.
정의당 추혜선 의원은 신용정보보호법 개정안에 대하여 ①2014년 1억 400여건의 개인정보가 유출된 대규모 금융사 해킹사고의 재발을 막기 위하여 개정된 신용정보회사의 겸업을 공공목적의 업무로 제한한 것을 개정안에서 영리목적겸업허용으로 개정한 것의 문제점, ② 소셜미디어에 올린 글들을 정보주체의 동의를 받지 않고 수집하여 활용할 수 있게 개정한 것의 문제점, ③ 개인신용정보활용의 주무부처인 금융위가 정보주체들의 동의 없이 활용할 수 있는 가명처리 수준을 정하도록 한 것의 문제점을 지적하는 반대토론을 한 바 있다.
당시 데이터 3법은 더불어민주당과 자유한국당이 통과시키는 것을 합의하였고, 각 상임위에서 법안에 대한 반대가 거의 없이 일사천리로 처리되었다. 그러나 김두관, 우상호 의원 등 일부 더불어민주당 의원들의 반대를 포함하여, 개인정보보호법은 반대 14인, 기권 21인, 신용정보법은 반대 15인, 기권 23인으로 이 법에 문제가 있음을 지적하는 의견이 표출되었다. 다만, 본회의의 관행상 충분한 토론이 쉽지 않았기 때문에, 다수의원의 찬성 속에서 데이터 3법은 통과되었다. 애초 데이터 3법에 대한 충분한 논의가 각 상임위와 법사위에서 이루어졌어야 맞다. 그럼에도 불구하고 법사위 사정만 살펴보자면 법체계와 자구해석의 문제에 여전히 매달린 채 남겨져 있었다.
법제사법위원회에서의 개인정보 3법 논의와 채이배 의원의 문제제기
위 데이터 3법이 통과된 본회의에 앞서 오전에는 데이터 3법의 통과를 위하여 법제사법위원회(이하 '법사위')가 개최되었다.
언론 및 법사위의 회의록을 통해서 논쟁과정을 살펴보면, 더불어민주당・자유한국당이 상호간에 이미 협의가 끝나 법사위에서도 그 내용조차 검토하지 않고 통과시킬 계획이었다. 그래서 원래 본회의가 예정된 2019년 11월 29일 13시경에 법사위가 열려 개인정보보호법을 본회의로 통과시키려고 하였으나 이 때 채이배 의원이 개인정보 3법이 모두 법사위에 넘어오지 못해 법 정합성을 검토할 수 없음을 문제제기하여 법사위를 통과하지 못하였다. 그런데 다시 본회의가 예정된 2020년 1월 9일 오전에 법사위가 열려 이 때에도 채이배 의원과 이재정 의원이 법체계와 자구해석을 문제제기하였으나, 이미 합의가 있다는 이유로 법사위를 통과하였다.
2020년 11월 29일부터 2020년 1월 9일까지 경제지 등 언론사에서도 법사위에서 데이터 3법이 통과되어야 한다고 분위기를 만들고 있었다. "법사위가 아니라 채이배 위원회", "4차 산업 발전의 빌런"이라면서, 법안 내용이나 비판 내용을 살펴보지도 아니한 채 일방적으로 법통과를 압박하는 기사들이 대부분이었다.
그러나 사실 이 세 법은 다음과 같이 상호간의 관계가 있었기 때문에 법사위에서는 각 상임위에서 통과된 개인정보 3법을 형식적으로 통과시켜서는 안되는 상황이었다. 첫째, 정보통신망법상 보호조항이 모두 삭제되어 개인정보보호법으로 이관되므로 개인정보보호법은 최소한 정보통신망법수준의 보호수준을 유지하여야 하였다. 이에 따라 정보통신망법을 모두 폐지한 과방위는 정보통신망법 수준의 보호조항을 담지 않은 개인정보보호법에 다음의 사항들이 포함되어야 한다고 부대의견을 달아 의결하였으므로 법사위에서는 이러한 사정을 살펴 행안위에서 올라온 개인정보보호법을 수정 의결하였어야 했다.당시 언론사에서 채이배의원을 성토하던 기사들
2020. 1. 9. 머니투데이 [법사위 이야기] 채이배는 왜 4차 산업 발전의 빌런‘이 됐을까
2020. 1. 9. 데이터 법 ‘9일 법사위 열려 국회 문턱 넘을까 … 채이배 변수 남아
2019. 12. 1. 한국경제 또 채이배... 데이터 3법 가로막은 법사위 상원갑질
2019. 11. 29. 뉴스 1 데이터 3법, 인터넷은행법 처리무산 ... 채이배 한명에 막혀
2019. 11. 29. 채이배에 발묶인 데이터 3법... 정보통신망법은 과방위조차 못 넘어
2019. 11. 29. 머니투데이 법사위가 아니라 채이배 위원회 ... 발묶인 데이터 3법 처리
당시 채이배 의원은 법사위 회의에서 "법사위가 과방위 부대의견까지 무시하면서 정말 터무니없는 짓을 지금하고 있다. 정보통신망법에서 누락된 내용들을 다시 담아야 한다"고 문제제기하면서, 방송통신위원회 한상혁 위원장에게 "누락된 내용이 지금 법사위에서 수정이 안 되어 있지요"라고 질의하였고, 한상혁 위원장은 "법사위에서 논의하시는 결과에 따라서 저희들은 수용하겠다는 말씀을 드리겠다"고 답변을 회피하였다. 둘째, 신용정보법은 금융기관의 개인정보처리에 한정하여 금융위원회의 권한을 조정하였어야 하였음에도, 금융위원회는 금융기관의 개인정보처리 이외에도 권한을 과도하게 규정하고 있어 개인정보보호법과 충돌되고 법적용이 불분명한 상황이었다. 신용정보법은 이외에도 동의받지 아니하고 활용할 수 있는 공개된 개인정보에 대하여 "이에 유사한 정보로서 대통령령이 정하는 경우"라거나, "이에 준하는 경우로서 대통령령으로 정하는 경우"를 하위법령에 포괄위임입법하였으므로 이에 대하여도 조정을 했어야 하는 상황이었다. 그러나 이 모든 규정의 문제들에도 불구하고, 더불어민주당 법사위 간사인 송기현 의원은 "이 법이 완전할 수는 없지만 여야가 합의를 해서 이 정도는 지금의 새로운 산업 환경에 따라서 입법이 필요하다고 결정해 가지고 합의가 된 만큼 그런 정도는 법사위에서 늘 존중을 해 왔었고 이번에도 그렇게 돼야 된다고 생각을 합니다"라고 주장하고, 여상규 위원장이 이에 따라 가결선언으로 법사위를 통과하게 되었다.데이터 3법의 내용이 위와 같이 꼬이고 법체계와 법 내용 간 균형이 이루어지지 않게 된 것은 2018년 11월 당정청 합의로 법이 발의되었으나 그 이후 데이터 3법간 조율이 제대로 이루어지지 못하였기 때문이다. 2018년부터 무려 1년이 넘는 시간 동안 이 법은 혁신이 아이콘인 것처럼 일컬어졌으나, 3법간 정합성과 체계정리가 충분히 이루어지지도 못하여, 집행과 해석에 있어서 향후 시민들이 큰 불편을 겪을 것은 눈 보듯 뻔한 일이다.과방위의 부대의견
「개인정보 보호법 일부개정법률안(대안)」에 대한 의견 1 법 적용대상자인 개인정보처리자와 정보통신서비스 제공자의 용어 개념에 대한 혼선이 야기될 가능성이 있으므로 향후 정합성 제고 차원에서 재검토 및 이에 대한 개선이 필요함2. 개정안 제28조의2 제1항에 “정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 없는 경우에 한하여”라는 조건을 추가하여 가명정보 처리 시에 정보주체의 권리가 보호될 수 있도록 하는 것이 바람직함3. 가명정보의 목적 외 이용 또는 제3자의 제공 처리 시에 이를 공표하도로 하는 조항, 개인정보 프로파일링(profiling)의 정의 신설 및 개인정보 프로파일링으로 인한 정보주체 권리 침해 방지에 대한 조항을 추가로 반영하는 것이 바람직함4. 제28조의4 제1항 위반의 경우, 동일한 위반 행위에 대하여 형사처벌(징역형 ・ 벌금)과 행정처분(과태료)을 동시에 부과하고 있으므로 법리적 차원에서 개선이 필요함5. 제28조의4 제2항을 위반할 경우 형사처벌 대신 과태료 부과만 가능하게 되는데 기록을 작성・보관하지 않은 가명정보처리자에게 과태료를 부과하는 것은 ‘정보제공자 본인의 동의없이’ 처리할 수 있는 가명처리의 특성상 매우 낮은 수준의 처분이므로 이에 대한 개선이 필요함6. 제28조의5 제1항의 경우 “누구든지 특정 개인을 알아보기 위한 목적으로 가명정보를 처리하여서는 아니된다”고 규정하여 특정 개인을 알아보기 위한 목적만 없다면 특정 개인을 알아볼 수 있는 정보를 생성해도 과태료 부과에 그치므로 이에 대한 개선이 필요함
2018년 11월 정부 여당의 데이터 3법합의
데이터 3법이 민주당의 당론이 된 것은 2018년도부터 '데이터는 미래의 석유'라는 캐치프레이즈 아래 데이터산업육성을 강조하며 일사천리로 같은 해 11월 당정청 회의에서 합의되면서부터이다. 당시 정부는 관련 법안들이 시민사회의 합의로, 유럽 개인정보보호법을 그대로 수용하여 만들어졌다고 국회 의원실마다 방문하여 해당 법률안을 설명하고 있었다. 이 과정에서 여당의 한 의원실에서 시민사회에 이에 대하여 확인을 하는 과정에서 법률안에 시민사회와 합의를 한 사실도 없고, 유럽 개인정보보호법과는 상당히 거리가 있다는 사실이 드러났다. 2018년 12월 7일 위 여당 의원의 주최로 열린 간담회에서, 이미 발의된 법률안이 ① 유럽 개인정보보호법이 활용과 동시에 프로파일링에 대한 보호조치를 두고 있음에도 현행 개인정보보호법안은 보호조치가 전혀 입법화되지 않은 점, ② 익명처리로 처리할 수 있을 경우 익명처리가 우선되어야 한다는 규정 등이 입법화되지 않은 점에 대하여 정부 쪽에서 시인하였다. 당시 정부측 관계자는 2019년 하반기에는 프로파일링에 대한 보호조치를 입법화할 테니 개인정보보호법을 독립적인 개인정보보호위원회를 설치하는 취지로 조속히 통과시키는 것이 더 중요하다고 의원실과 시민사회에 법의 조속한 통과를 설득하려 하였다. 여당 의원실에서도 프로파일링의 보호조치를 2019년 하반기에는 입법화한다고 하고, 이미 당정청에서 합의한 안이라 전체를 수정하기는 어려운 상황이어서 익명조치우선의 원칙이라도 입법화하여 수정발의를 하였고 해당 수정발의내용이 개정안에 반영되어 있다. 그러나 당시 간담회에서 정부측의 계획이라던 '프로파일링 처리에 대한 보호조치'는 그 이후 업데이트되지도 못하였다. 오히려 정보통신망법의 경우에는 이후 2019년에도 여러 차례 유럽 개인정보보호법의 선진적인 제도를 반영하여 법이 개정되었는데, 2018년 11월 발의된 개인정보보호법은 이러한 내용들이 전혀 개선되지 못하였다. 사실 이 데이터 3법이 여기까지 오게 된 것은 박근혜 정부 시절 추진된 ① 비식별화 가이드라인을 통한 정보결합, ② 소셜미디어상 정보 활용, ③ 신용정보의 영리목적활용 등이 2014년의 대규모 해킹사건으로 제동이 걸렸기 때문이다. 유럽 개인정보보호법제의 도입은 겉으로 내세우는 포장일 뿐 실제로는 개인정보 활용을 넓히고자 법제 정비가 시작된 것이었으므로 법체계나, 자구해석, 실제 보호조치의 의미에 대하여 충분한 검토가 있을 수 없었다.2013년 12월경 발표된 박근혜 정부에서 시도하려던 창조경제정책들
2013년 12월 박근혜 정부의 창조경제정책의 일환으로 방송통신위원회는 '공개된 개인정보의 동의 받지 아니한 활용정책' 등 빅데이터 산업육성 정책들을 발표하였으나, 사회적으로 이에 대하여 계속적인 문제가 있었고, 2014년 1월 금융개인정보사고가 발생하면서 이러한 개인정보 활용, 공유 정책들은 모두 중단되었다. 당시 이 사고로 우리나라 경제인구의 약 75%가 피해자로 추정된 바 있었다. 이 때 폐기되었던 동의 받지 아니한 활용정책은 이번에 신용정보법에 적극적으로 반영되어 있다. 당시 금융위가 금융기관의 개인정보처리를 제대로 관리하지 못하는 사정이 드러난 바 있다. 개인신용정보를 막 공유하여 영업활동을 하는 과정에서 당시 피해가 과도하게 확산되었다. 이에 사회적 요구에 따라 2015년 3월 11일 신용조회업의 부수업무가 제한되었고 영리목적 겸업금지가 입법화되었다. 당시에만 하더라도 금융위기이후 오바마정부에서 신설된 금융소비자위원회처럼 금융산업진흥정책에 편향된 금융위원회로부터 독립된 위원회를 요청하였으나 이는 끝까지 입법화되지 못하였다. 2014년 11월 20일 방송통신위원회는 비식별화 조치를 강화하는 조건으로 정보보호가이드라인(안)을 공개하였으며, 2016년 6월 30일에 KLT 모델을 기반으로 한 비식별화 조치를 이행한 경우 익명정보로 해석하여 동의를 받지 않고 타사간 데이터를 결합할 수 있도록 하는 조항이 발표되었다. 그러나 위 가이드라인에 따른 유일한 실증보고서에 따르면 '신용도와 관련된 전체 기록 791만1000여건 가운데 숫자로 된 민감 정보로 대조를 했더니 765만6000여 건이 공격에 취약한 것으로 나타났는데, 그 의미는 정보를 결합했을 때 96%는 식별이 가능하다는 얘기고 동질그룹에 속하는 민감정보로는 99%까지 식별이 된다는 취지였다. 당시 정부는 비식별 조치 정보를 개인정보가 아닌 것으로 추정하고 동의 없이도 활용 가능하도록 했지만 정보 결합에 따라 개인정보를 완전히 공개하는 것과 다르지 않게 되는 것'을 알고 있었음이 드러났으며 해당 가이드라인에 따른 데이터 결합은 형사고발을 당하기도 하면서 해당 정책은 전면 중단되었다.문제가 되었던 위 데이터결합과 관련된 조항들은, 모두 이번에 가명처리, 가명정보의 처리라는 이름하에 개인정보보호법, 신용정보법에 모두 입법화되었다. 그러나 유럽 개인정보보호법에는 데이터결합을 어디에도 규정하고 있지 않다.6년 후 다시 마주치게 된 똑같은 개인정보 침해 정책
박근혜 정부에서 추진했지만, 정보주체들에게 돌아갈 문제의 심각성 때문에 모두 중단되었던 정책들이 이번에 모두 입법화되었고, 신용정보법은 한걸음 더 나아가 금융위에 독립적인 개인정보보호위원회 수준의 상당한 권한을 허용하고 있다. 박근혜정부 시절 2016년 5월에 더불어민주당이 주최했던 20대 국회 미디어정책과제 연속토론회 발제에서 나는 "인류역사상 처음으로 정부와 기업은 국민전체를 상대로 대량감시를 실행할 수 있게 되면서, 정부와 사기업은 시민을 대놓고 감시하고, 사기업은 그러한 감시의 결과물로 시민들을 차별함으로써 이윤을 추구하거나, 시민의 취향과 선택을 왜곡하고, 시민은 감시당하는지를 모르거나, 그러한 감시의 의미가 무엇인지 모르기 때문"에 "공개된 개인정보"나 "비식별화 조치를 통한 정보"를 정보주체의 동의 없이 사용하도록 하는 정책이 얼마나 위험한지 말씀드린 바가 있었다. 전 세계가 개인정보를 활용한 산업의 위험성에 대하여 과거보다 더 진지하게 인식하며, 미국조차도 각 주별로 개인정보보호법들을 입안해가는 상황인데 비해 국내 상황은 오히려 악화되고 있다. 데이터 3법이, 적어도 개인정보보호법의 취지를 몰각하지 않으려면, 신용정보법상 과대해진 금융위원회의 권한을 금융기관에 한정하여 처리하고, 개인정보처리와 관련된 규제권한은 개인정보보호위원회로 일원화하여야 하며, 신용정보법과 개인정보보호법과의 충돌을 개정하여 정리하여야 한다. 그리고 개인정보보호법은 과방위에서 의결한 여섯 가지의 부대의견을 조속히 개정입법화하여 개인정보보호법과 정보통신망법의 법정합성을 맞추어야 할 것이다.
전체댓글 0