우리의 개인정보와 프라이버시가 위험하다

정부의 데이터경제 활성화 정책이 지닌 문제점

글. 김선휴 공익법센터 간사

2016년부터 특히 대한민국에서 크게 유행하고 있는 ‘4차산업혁명’. 그 실체가 불분명하다는 비판이 적지 않지만 4차산업혁명이라는 이름으로 수많은 정부정책과 예산, 법안이 움직이고 있는 것은 분명하다. 빅데이터, 인공지능, 사물인터넷 등 새로운 정보통신기술에 국가 경제의 미래가 달려 있으니 집중투자와 육성이 필요하다거나, 미래산업의 ‘원유’인 ‘데이터’의 활용을 가로막는 법적 규제를 더 풀어야 한다는 메시지들이 유포되고 있다. 편리하고 효율적인 서비스를 누릴 수 있다는 장밋빛 전망도 제시된다. 돈과 규제를 풀어준다고 그런 장밋빛 미래가 올지도 미지수지만, 지금 추진 중인 정책방향이 어떤 위험을 가지고 있는지 놓쳐서는 안 된다.    

기업은 빅데이터를 활용한 서비스 개발, 대량의 개인정보 판매뿐 아니라 개인정보를 활용해 개인의 신용도나 질병 위험을 판단한 뒤 대출거절, 금리인상, 보험료 인상으로도 이윤을 창출할 수 있다. 

기업이 내 동의 없이 개인정보를 활용하고 팔 수 있게 된다?

정부가 내세운 데이터경제 활성화 정책은 기업이 많은 데이터를 자유롭게 활용하여 이윤을 창출할 수 있도록 하려는 것이다. 이윤은 빅데이터를 활용한 새로운 서비스 개발로 발생할 수도 있지만, 기업이 보유한 대량의 개인정보를 ‘판매’해서 얻을 수도 있고, 개인정보를 활용해 개인의 신용도나 질병 위험을 판단한 뒤 대출거절, 금리인상, 보험료 인상으로도 창출할 수 있다. 이러한 이윤창출이 보다 손쉽게, 극대화될 수 있도록 정부는 개인정보에 대한 정보주체의 권리를 약화시키고, 개인정보 보호 수준을 낮추려 하는 것이다.  

개인정보를 수집·활용하는 기본 원칙은 정보주체의 동의를 얻는 것이다. 그런데 정보주체의 동의를 받지 않고도 개인정보를 목적 외로 활용하고 판매, 유통할 수 있도록 「개인정보보호법」을 바꾸겠다고 한다. 기업끼리 고객정보를 동의 없이 결합하고, 국가가 보유한 국민의 정보를 기업에 제공해 활용할 수 있게 한다는 것이다.  

민감한 의료정보나 신용정보도 예외가 아니다. 이 두 가지는 사실 산업계가 가장 원하는 정보이기도 하다. 그래서 국가가 공적 목적으로 수집·관리하던 나의 건강보험 가입정보, 진료내역과 처방내역, 건강검진내역, 암癌정보 등을 내 동의 없이 결합하여 민간에 제공하는 보건의료빅데이터 시범사업이 현재 추진 중이다. 금융위원회는 금융정보 외에도 다양한 개인정보를 수집, 활용하여 개인의 신용평가를 고도화하고 금융기관의 리스크를 최소화하겠다고 말한다.

이렇듯 정부의 데이터 정책은 시민이 자기 정보의 활용에 대해 통제나 결정할 수 있는 권리를 심각하게 약화시킨다. 그동안 내 개인정보가 해킹이나 무단유출 같은 범죄에 의해 타인에게 노출됐다면, 앞으로는 합법적으로 그래서 더 빈번하고 더 광범위하게 내 동의 없이 유통, 판매될 것이다. 그럴수록 불법적인 공격에도 더 많이 노출될 것이다. 그래서 이러한 정부 정책은 기업들이 개인정보를 활용하여 수익을 추구할 수 있는 길을 여는 대신 개인정보 보호를 후퇴시키고, 프라이버시 침해 위험을 높이는 것이다. 

개인정보를 안전하게 보호한 적이 없는 대한민국

이런 우려와 지적에 대해 정부는 개인정보를 ‘안전하게’ 활용하겠다고 강조한다. 예를 들어 성명, 주민등록번호, 전화번호 등 개인 식별요소 중 전부 또는 일부를 삭제, 암호화, 범주화(ex. 35세→30대)하는 등으로 가명처리해서 활용하겠다고 한다. 그러나 가명처리를 하더라도 다른 추가정보를 활용하면 개인을 식별해낼 수 있기 때문에 여전히 개인정보로서 보호해야 한다. 소득액, 가입일자, 가입상품, 연체금액, 결혼여부, 질병종류 등 개인의 속성을 담은 다양한 항목이 유통될수록, 이름이나 주민등록번호를 가린다 해도 개인을 식별하기 쉬워진다. 기업이나 국가가 원본데이터를 보유하고 있을수록, 또 정보처리기술이 발전할수록 재식별의 가능성은 더욱 높아질 것이다. 

사실 한국 사회는 그간 개인정보를 안전하게 보호하지 못했고 보호를 위한 의지도 부족했다. 참여연대 공익법센터가 최근 2007년부터 2017년 사이 한국 사회에서 발생한 주요한 개인정보 오남용 사례 44건을 분석한 이슈리포트 <그 많은 내 개인정보는 누가 다 가져갔을까>에 따르면 지난 10년간 무려 60억 건이 넘는 개인정보가 유출되거나 무단 활용, 제공되었다. 개인정보를 대량 보유한 대기업, 특히 통신, 금융회사에서 빈번히 발생하였다. 최근에는 개인정보 식별요소 일부를 가공한 뒤 동의나 법적 근거 없이 대규모로 무단 사용, 판매하는 사례가 증가하고 있는데 약학정보원이 2011~2014년 국민의료정보 43억 건을 빅데이터 회사인 IMS헬스에 판매하거나, 건강보험심사평가원이 국민 6,400만 명분의 표본 데이터셋을 민간보험사 등에 판매한 것 등이다. 법률이 개정되면 이런 행위가 오히려 합법적으로 행해질 수 있다.    

반면 개인정보 침해사고에 대한 법적 제재는 매우 낮았다. 1억 건이 넘는 개인정보가 유출된 카드3사가 받은 과태료는 고작 600만 원이었다. 일부 피해자들이 소송을 제기하더라도 기업의 책임에 대해 법원은 소극적으로 판단했다. 솜방망이 행정제재와 법원의 소극적 판결은 기업이 개인정보 보호와 보안에 투자할 유인을 낮췄고 개인정보 침해사고는 반복되고 있다. 이런 사회적 토양에서 개인정보보호의 빗장이 풀리면 우리는 어떤 미래사회를 맞이하게 될까. 

개인정보 보호에 방점을 둔신중하고 섬세한 정책추진이 필요하다

왜 국가가 공적 목적으로 동의 없이 수집한 수많은 개인정보들을 기업에 내어주는 것을 우리가 감수해야 하는가. 내가 휴대폰 서비스를 이용하느라 제공한 정보가 왜 금융기관이 신용도 평가를 하는 데 동의 없이 사용되어야 하는가. 데이터경제활성화라는 모호한 장밋빛 전망 외에 정부는 충분히 납득할 만한 설명이나, 프라이버시 침해 우려를 불식시킬만한 구체적인 방안을 제시하지 않고 있다. 디지털 세상에서 개인정보는 한 번 유출되면 기하급수적으로 퍼지고 다시 주워 담을 수도 없다. 개인정보 보호의 빗장을 무조건 열기 전에 충분한 사회적 공론화를 거치고 개인정보 보호에 방점을 둔 신중한 정책 추진이 필요하다.