빅데이터 시대의 ‘개인정보 자기결정권’

글. 김보라미 법률사무소 디케 변호사 

2020년 1월 9일, 국회 본회의에서 202개 법률안들이 제대로 토론도 이뤄지지 않은 채 19시 5분부터 21시 48분까지 총 2시간 43분 동안 통과되었다. 이중 개인정보 보호법 개정안, 신용정보법 개정안에 대해서만 반대토론이 있었다. 소위 ‘데이터3법’이라 불리며 마치 혁신을 위한 법처럼 소개되었던 이 법들은, 더불어민주당과 자유한국당이 통과시키는 것을 합의하면서 일사천리로 본회의까지 올라왔다. 

비록 본회의에서 위 법률안들은 통과되었지만 개인정보 보호법은 반대 14인, 기권 21인, 신용정보법은 반대 15인, 기권 23인으로 반대토론에 공감하여 당론에 반대하는 표결이 이루어지기도 했다. 데이터3법은 “빅데이터 시대 원유는 데이터”라는 기치로 법체계와 법 내용 간 심사도 충분히 이루어지지 못한 채 통과된 것이다.이 법들의 면면을 살펴보는 것이 빅데이터 시대, 한국에서의 개인정보 자기결정권을 이해하는 첫걸음이 될 것이다. 

개인정보가 ‘빅데이터 시대 원유’?

그간 정부는 개인정보를, ‘빅데이터 시대 원유 = 데이터’로 프레임화 하여 유럽개인정보보호법^{GDPR·General Data Protection Regulation}을 수용하고 개인정보의 활용과 보호에 있어서 균형을 잡으려한 것처럼 주장해 왔다. 그러나 실제 발생된 결과는 참혹하다. 

우선, 「개인정보 보호법」은 「정보통신망법」을 모두 폐지하면서도 「정보통신망법」 수준의 보호조치를 담을 것을 의결한 과학기술정보방송통신위원회(이하 ‘과방위’)의 6개 부대의견을 단 하나도 반영하지 않았고, 유럽개인정보보호법을 도입하여 활용과 관련된 가명처리 조항을 입법화하였다고 하면서도 정작 유럽개인정보보호법의 중요한 보호장치인 프로파일링 보호조치(유럽개인정보보호법 제4절)의 도입 없이 이를 입법화했다.

신용정보법은 2014년 전 경제인구의 75%가 피해자로 추정되는 대규모 해킹사건의 반성적 고려로 도입된 신용정보회사의 부수적 영리활동 제한도 모두 허용하였고, 영리적 상인의 개인정보처리에 대하여는 「개인정보 보호법」을 우회할 수 있는 근거조항으로 계속적으로 개인정보보호위원회를 패싱하고 있다. 

정부는 위의 법들이 개정된 이후 정부는 법적 근거 없이 해설과 보도자료로 의료데이터를 포함한 민감정보까지도 동의 없이 가명처리로 활용할 수 있게 되었다고 대대적인 홍보활동을 해 왔다. 이 과정에서 개인정보보호위원회는 새로 출범한 위원회로 자기 역할을 하지 못하고 있을 뿐만 아니라 개인정보 보호에 대한 중요한 정책적 판단이나 결단을 적시에 내리지 못하고 있다. 

개인정보의 프로파일링이 야기하는 민주주의의 위기가 심각하게 우려되는 이 시점에 제 취지를 찾으려면, 신용정보법상 과대해진 금융위원회의 권한을 금융기관에 한정하여 처리하고, 개인정보처리와 관련된 규제권한은 개인정보보호위원회로 일원화하여 「신용정보법」과 「개인정보 보호법」과의 충돌을 정리하여야 한다. 

또한 과방위에서 의결한 여섯 가지 부대의견을 조속히 반영한 개정으로, 「개인정보 보호법」과 「정보통신망법」과의 법정합성을 맞추어야 한다. 더 나아가 개인정보주체의 권리는 유럽개인정보보호법 수준으로 강화되어야 한다. 모두 개인정보보호위원회가 국회를 통해 시급히 해야 할 임무이다. 

정보주체가 대항할 수 있는 무기는 ‘자기정보통제권’

그럼에도 불구하고 이번에 제안된 「개인정보 보호법」제2차 개정안에는 이런 내용들이 매우 미흡한 상황이다. 「신용정보법」 조차도 정리하지 못한 상황에서, ‘데이터 기본법’ 등 「개인정보 보호법」을 우회한 개인정보 활용의 근거법률들이 계속 발의되고 있는 것이, 현재의 비극적 상황이다. 

유엔 인권인사회는 2017년 3월 22일 ① 개인을 프로파일링하기 위한 개인정보의 자동화된 처리가 차별을 낳거나 경제적, 사회적, 문화적 권리 등 인권의 향유에 달리 잠재적으로 영향을 미칠 수 있고, ② 디지털 시대 민감정보 등 개인정보의 수집, 처리, 공유가 상당히 증가하여 자신의 개인정보를 재사용, 판매, 다목적 재판매하는데 대해 자유롭고 명시적이며 충분한 설명을 들은 후 동의하고 있지 못하며, ③ 기술 발달의 급속한 속도가 정부 기업, 개인이 감시, 감청, 정보수집을 실시할 수 있는 역량을 강화하여 프라이버시권 등 인권을 침해하거나 유린할 수 있고, ④ 이는 결국 표현의 자유와 간섭 없이 의견을 가질 자유, 평화적인 집회결사의 권리 등 다른 인권을 간섭하여 특히 영토 밖에서 대량으로 이루어질 때 민주사회 원리와 충돌할 수 있다는 우려를 표명한 바 있다. 

정보주체가 대항할 수 있는 무기는 ‘자기정보통제권’으로, 이는 개인이 세상과 관계 맺는 방식을 통제하는 인간능력의 중심요소로 인식되어 개인의 정체성을 형성하는 중요한 권리로 형성되어 왔다. 참여민주주의와 시민자치라는 가치 역시 시민들이 스스로에게 갖는 자신의 정보에 대한 실질적인 통제력, 즉 자기정보통제권과 직접적으로 관련된다고 평가되었다. 스노든의 폭로 이후^➊ 유엔에서 수차례 “실질적인 자기정보통제권이 인정되지 아니한다면, 민주주의의 중요 가치들이 실현되지 못한다는 점에 대해 우려를 표명해 온 것”은 이러한 측면을 다시 한 번 확인한 것이다.

그러나 지금 사업 진행 과정을 살펴보면 개인정보 자기결정권 보장 부분은 상당히 미약한 수준이다. 내 정보가 누구에게 가서 어떻게 경제적 가치를 창출하고 있는지 소비자가 이해할 수 있어야 결정도 할 수 있을 것이다. 그러나 현행 마이데이터 서비스는 개인이 한번 자신의 정보를 사용하는 데 동의한 후에는 그 정보가 누구에게 가서 어떻게 쓰이는지 알 수 없게 돼있다.

해외의 엄격한 개인정보보호법률, 우리나라는?

유럽에서도 이러한 맥락에서 급격한 기술발전과 세계화에 따라 개인정보보호 분야에서 발생한 새로운 이슈들을 해결하기 위한 새로운 법률 도입의 필요성이 강조됐다. 2012년 1월 25일 처음으로 유럽개인정보보호법이 제안됐고, 이후 수년간 논의 끝에 2016년 4월 14일 유럽의회에서 의결되어 2018년 5월 25일 시행되었다. 

유럽개인정보보호법은 프로파일링 시대에 개인정보처리 원칙과 개인정보주체의 권리, 보호조치 등을 과거 지침^directive 보다 구체화했다. 이를 위반할 경우 최대 2천만 유로 또는 직전 회계연도의 연간 전 세계 총 매출의 4%에 이르는 행정 과징금 중 높은 금액의 처분을 받게 하는 등 행정과징금의 액수도 상향 조정하였다.

미국에서도 시민들의 정보주체의 개인정보에 대한 권리강화에 대한 요구에 따라, 캘리포니아주에서 소비자개인정보보호법^{CCPA·California Consumer Privacy Act}이 2020년 1월 1일부터 시행되었다. 이외에도 여러 주에서도 개인정보 보호법 개정안들이 발의되어 해당 주의회에서 논의되고 있다. 

미국 캘리포니아주의 소비자개인정보보호법은 유럽연합의 개인정보보호법에 비교될 만큼 엄격한 규정들을 규정하고 있다. 소비자에게 알 권리^{Notice/Transparency Requirement}, 삭제권^{Right of Deletion}, 접근권^{Right of Access}, 거부권^{Right of Opt-Out}, 차별금지권^{Prohibition on Discrimination} 등을 부여하고, 관련 규정을 위반할 경우, 사업자에게는 의도적 위반에 대해 건당 최대 7천 5백 달러의 민사법 처벌을 규정하고 있으며, 소비자에게는 법정손해배상액➋ 또는 실손해액의 배상 책임 등을 부과하였다.

유럽개인정보보호법이나 캘리포니아의 소비자개인정보보호법 같은 미국의 각 주법들은 개인정보주체의 권리를 강화하며 권리 내용과 그 절차를 구체화하고 있다. 이러한 글로벌한 흐름은 우리나라의 프라이버시 체계에 영향을 줄 수밖에 없는 바, 데이터3법의 개정 방향 역시 이러한 해외 입법 방향을 참고하여 시사점을 찾아야 한다.

그럼에도 불구하고 현재까지의 국내 현실은 너무나 암담하다. 우리 데이터3법 개정 과정에서 ‘가명정보’가 도입된 경위는, 가명처리를 안전조치의 일종으로 검토해야 함에도, 활용요건으로 도입되었기 때문에 개인정보보호원칙과 충돌되는 지점이 크다. 유럽개인정보보호법에서 가명처리가 안전조치의 한 종류로 검토된 맥락과 국내의 개인정보보호법상 가명정보는 완전히 다른 차원의 법문들이다. 이런 까닭에 가명정보의 예외를 일부 법문 개정하여서는 여러 문제가 해결되지 않고, 위험한 활용에 개인들이 내몰리는 결론에 이를 가능성이 크다. 또한 가명처리 이외에도 프로파일링의 보호조치들과 같은 안전장치들이 함께 검토돼야 유럽개인정보보호법상 가명처리를 도입한 맥락이, 우리 법에서도 실현될 수 있다. 

❶  에드워드 조지프 스노든은 미국 중앙정보국과 미국 국가안보국에서 일했던 컴퓨터 기술자로, 2013년 가디언지를 통해 미국 내 통화감찰 기록과 국가안보국의 다양한 기밀문서를 폭로했다. 

➋  소비자 위반 건당 100달러에서 750달러 사이

특집 마이 데이터 유어 비지니스

1. 빅데이터 시대의 ‘개인정보 자기결정권’ 김보라미

2. 마이데이터, ‘남의 데이터’ 안 되게 하려면 김동환

3. ‘이루다’는 왜 카톡 대화를 수집했나 장여경

4. 데이터의 사회적 가치 제고 방안 박지환

>> 2021년 3월호 목차보기