[빅데이터 신화, 개인정보는 봉인가?②] 개인정보 무한공유, 감당하실 수 있겠습니까

개인정보 무한공유, 감당하실 수 있겠습니까

기업 연구 위해 개인정보의 권리를 희생해야 하는가

 

문재인 정부에서도 과거 박근혜 정부와 마찬가지로 빅데이터, 인공지능 산업 활성화를 명분으로 개인정보의 상업적 활용 정책을 내놓고 있습니다. 주요 보수 언론 및 경제지는 국내 개인정보 보호제도가 빅데이터 산업의 발목을 잡고 있다고 비판하며 노골적으로 개인정보 규제 완화를 요구하고 있습니다. 그러나 한국의 개인정보 보호수준이 높다는 것은 허구입니다. 수많은 개인정보 유출 사고에도 불구하고 제대로 된 처벌과 보상조차 이루어지고 있지 않습니다. 이번 연재를 통해 빅데이터 시대, 개인정보를 둘러싼 주요 쟁점에 대해 인권 및 소비자권리 관점에서 비판하고 대안을 제시하고자 합니다.[편집자말]

 

 

병원에서 의사로부터 처방전을 받아 그것을 약국에 제출하고 약을 받는다. 그 처방전에는 환자의 성명 및 주민등록번호, 질병기호, 처방의약품 정보, 의료인 정보 등이 기재되어 있다. 약사는 이 내용을 약국에 설치되어 있는 프로그램에 입력하고, 이를 토대로 건강보험심사평가원에 조제료, 복약지도료 등을 청구하게 된다.

 

그런데 나의 민감한 의료정보가 동의도 없이 소위 ‘빅데이터 분석’을 위해 제3의 기업에 제공된다면? 이는 실제 벌어진 사건이다. 약국에 PM2000이라는 프로그램을 제공하고 있던 약학정보원은 지난 2011년부터 2014년까지, 프로그램을 통해 수집한 처방전 정보를 다국적 업체인 IMS헬스의 자회사인 한국 IMS 헬스에 약 20억 원에 판매했고 이를 분석한 결과를 다시 국내 제약회사에 약 100억 원에 되팔았다. 이렇게 판매된 개인정보가 무려 43억여 건, 피해자는 4천8백여만 명에 달한다. 사실상 전 국민의 주민등록번호를 포함한 민감한 개인정보를 수집, 제공한 것이다.

 

약학정보원과 한국 IMS 헬스는 주민등록번호 등 식별정보를 암호화 등을 통해 비식별 처리했으므로 개인정보가 아니라고 주장한다. 그러나 직접적인 식별이 가능하지 않더라도 다른 정보와 결합하여 식별될 수 있다면 개인정보로 보아야 한다.

 

사실 이들은 암호해독의 방법을 공유하고 있었으므로 개인정보임이 더욱 명백하고 실제 항소법원도 개인정보보호법 위반을 인정했다(다만, 항소 법원은 개인정보의 수집은 위법하나 손해배상 책임은 인정되지 않는다고 판결하여 비판을 받고 있다).

만일 이것이 적법한 것으로 인정된다면 기업들은 우리의 개인정보를 비식별 처리만 하면 다른 기업에 자유롭게 판매할 수 있게 될 것이다.

 

즉, 통신사, 포털과 쇼핑몰, 금융사, 유통사, 병원 등이 보유하고 있는 우리의 개인정보가 서로 다른 기업 사이에서 무한대로 공유될 수 있다. 그런데 문제는 정부가 기업들이 보유한 고객정보의 판매, 공유를 합법화 하려 하고 있다는 점이다. 빅데이터 산업 육성을 명분으로 말이다.

 

박근혜 정부의 ‘개인정보 비식별조치 가이드라인’

 

시작은 박근혜 정부에서였다. 2016년 6월 정부는 행정안전부 등 관계부처 합동으로 ‘개인정보 비식별조치 가이드라인’을 발표했다. ‘빅데이터 활용기반 마련’을 위해 개인정보를 가이드라인에 따라 비식별조치 하면 개인정보가 아닌 것으로 간주하고, 정보주체의 동의가 없이도 애초 수집 목적 외로 활용할 수 있도록 하겠다는 것이다.

 

문제는 비식별조치는 개인정보보호법 상의 개념도 아닐 뿐더러, 비식별조치를 하더라도 더이상 개인정보가 아니라는 것을 보장할 수 없다는 것이다. 가이드라인 역시 재식별의 가능성이 있음을 인정하고 있다.

 

나아가 정부는 한국인터넷진흥원 등 공공기관을 전문기관으로 지정해 서로 다른 기업의 고객정보를 결합하고 결합된 데이터를 원 기업에 다시 제공할 수 있도록 했다. 2017년까지 이렇게 결합된 고객정보가 20개 기업, 3억 4천여 만 건에 이른다.

 

예를 들어, 박근혜 정부 때 ‘중금리’ 연구를 한다며 한화생명이 자기 고객 4백만 명의 신용등급 등 21개 항목의 정보를 SK텔레콤 고객 1천8백만 명의 연체금액을 비롯한 21개 항목 정보와 결합시켰을 때 한화생명 고객들은 그에 대해 설명을 듣거나 동의권을 행사할 수 없었다.

 

결국 한화생명은 SK텔레콤의 고객정보를, SK텔레콤은 한화생명의 고객정보를 무상으로 얻는 것이다. 물론 고객정보를 비식별처리 했다고는 하지만, 결합된 데이터를 자신이 원래 보유하고 있는 고객정보와 비교했을 때 과연 재식별이 불가능할지 의문이다.

 

ííìëª-SKíë ì½¤ ê°ì ë°ì´í° ê²°í© í­ëª© ì¶ì²: ê°ì¸ì ë³´ ë¹ìë³ ì¡°ì¹ ë° ê²°í©ì§ì ìë¹ì¤ ì¤ëªí(2017. 4. 11), p21

▲  한화생명-SK텔레콤 간의 데이터 결합 항목 출처: 개인정보 비식별 조치 및 결합지원 서비스 설명회(2017. 4. 11), p21

ⓒ 설명회 자료집

 

 

 국가기관인 건강보험심사평가원에서 ‘보험상품 연구’를 위해서 KB생명보험에 2015년도 입원환자 1백1십만 명분 데이터셋을 팔았을 때나 ‘보험 적정성 검토’ 연구를 한다며 삼성생명에 2011년 고령환자 데이터셋을 팔았을때 환자들에게 동의받지 않았다. 주민등록번호와 이름 등을 암호화하거나 지우는 ‘가명화’를 했다는 이유에서였다.

2017년 11월 시민사회단체는 20개 기업과 4개 전문기관을 개인정보보호법 위반으로 검찰에 고발했지만 검찰은 불기소함으로써 이에 면죄부를 주었다.

 

사적 이익을 위해 왜 고객의 개인정보를 희생해야 하는가

 

문재인 정부에서는 개인정보에 대한 정부의 인식이 바뀌기를 기대했지만 결국 실망만 안겨주고 있다. 박근혜 정부의 ‘개인정보 비식별조치 가이드라인’이 법적 근거가 없다는 비판을 의식한 듯, 문재인 정부의 ‘4차 산업혁명위원회’는 해커톤 행사를 개최하여 ‘개인정보의 보호와 활용’에 대한 사회적 합의를 이끌어내려고 했다.

 

해커톤 참가자들은 유럽의 개인정보보호규정(GDPR)을 따라, 관련 개념을 비식별정보라는 모호한 개념 대신 개인정보, 가명정보, 익명정보로 정립하자는 것에는 합의했지만, 가명처리된 개인정보의 활용 범위에 대해서는 합의에 이르지 못했다.

 

여기서 가명정보란 다른 정보와 결합하지 않고서는 직접적인 개인식별이 어렵도록 처리된 정보를 말한다. 즉, 바로 식별될 수 없도록 일부 개인정보를 가리는 것이다. 그러나 다른 정보와 결합하면 재식별이 될 수 있으므로 여전히 개인정보에 해당한다. 예를 들어, 주민등록번호를 암호화했더라도 암호를 해독할 수 있는 열쇠만 있으면  복원이 가능하므로 개인정보로 볼 수 있다. 반면, 익명정보는 통계 결과값과 같이 더 이상 개인을 식별하지 못하도록 처리된 것을 의미한다.

 

기업들은 신기술 개발 등 내부적인 연구 목적으로 가명처리된 개인정보를 애초 수집 목적 외로 활용할 수 있어야 한다고 주장한다. 반면, 시민사회는 가명처리된 개인정보의 활용은 ‘학술 연구’로 제한되어야 한다는 입장이었다. 물론 동의를 받을 수 있다면 가장 바람직할 것이고, 동의를 받는 것이 현실적으로 어려울 경우에는 가명처리를 포함한 여러 안전조치를 전제로 활용할 수 있다는 것이다. 학술 연구나 통계 목적의 경우 그 결과물이 공개되어 한 사회의 지식기반 확충에 기여하는 바가 있기 때문이다. 그러나 신상품 개발과 같이 기업의 개인정보 활용을 위해 정보주체의 권리를 제한해야 할 이유가 어디에 있는가?

 

이와 같은 해커톤에서의 이견에도 불구하고, 정부가 2018년 11월 발의한 개인정보보호법 개정안(인재근 의원안)은 기업의 입장을 그대로 반영하고 있다. 즉, 과학적 연구나 통계작성 목적으로는 가명처리된 개인정보를 동의없이 애초 수집 목적 외로 활용할 수 있도록 하고 있다.

 

나아가 박근혜 정부의 ‘개인정보 비식별조치 가이드라인’과 마찬가지로, 전문기관을 통해 서로 다른 기업의 고객정보를 결합할 수 있도록 하고 있다. 개정안의 ‘제안이유’에서 볼 수 있다시피, 이 법에서 얘기하는 연구와 통계는 “새로운 기술․제품․서비스의 개발 등 산업적 목적을 포함하는 과학적 연구, 시장조사 등 상업적 목적의 통계작성”을 의미한다.  

 

정부는 개인정보보호법 개정안이 유럽의 개인정보보호규정(GDPR)과 사실상 동등하다고 주장한다. 유럽에서도 ‘과학적 연구(scientific research)’를 목적으로 일정한 조건에서 개인정보의 수집 목적 외 활용을 보장하고 있다. 그러나 개정안은 유럽의 GDPR과 비교하여 개인정보의 활용은 폭넓게 허용하고, 반면 개인정보 보호를 위한 안전조치는 빈약하다.

 

첫째, 정부 개정안은 GDPR의 일부 문구만을 빌려와 과학적 연구를 ‘과학적 방법을 적용하는 연구’라고 정의하고 있다. 과학적 방법을 적용하지 않는 연구가 있는가. 사실상 ‘연구’라고 주장하면 개인정보를 목적 외로 활용할 수 있도록 하고 있다. 반면, 영국의 개인정보감독기구(ICO)는 GDPR을 반영한 자국의 개인정보보호법을 설명하면서, 과학적 연구는 “시장 조사나 소비자만족도조사와 같은 상업적 연구 목적에는 적용되지 않는다”고 설명하고 있다.

 

둘째, GDPR에서는 과학적 연구를 위해 익명정보로도 충분할 경우에는 익명정보의 형태로 제공하도록 하고 있지만, 정부 개정안은 이처럼 가능한 한 개인정보 제공을 최소화하려는 조항이 없다.

 

셋째, 정보주체의 권리도 지나치게 제한하고 있다. GDPR의 경우에는 연구 수행이 불가능할 경우에만 정보주체의 일부 권리를 제한하도록 하고 있지만, 정부 개정안은 정보주체의 권리가 포괄적으로 제한되도록 하고 있다.

 

넷째 법안 전체적으로 안전조치도 미흡하다. GDPR은 프로파일링에 대한 정보주체의 권리, 개인정보 중심설계(Privacy by Design) 등 개인정보 보호를 위한 여러 규정을 두고 있지만, 정부 개정안에는 이러한 내용이 없다.

 

정부는 현재 행정안전부, 방송통신위원회 등으로 분산되어 있는 개인정보 감독권한을 개인정보보호위원회로 통합하여 ‘개인정보의 안전한 활용’을 보장하겠다고 하지만, 독립적이고 충분한 권한을 가진 개인정보 감독기구를 두는 것은 이미 개인정보보호법을 제정할 당시에 이루어졌어야 할 가장 기본적인 조치이다.

 

시민사회단체는 2003년 교육행정정보시스템(NEIS) 논쟁 당시부터 독립적인 개인정보 감독기구의 설립을 요구해왔으나, 2011년 개인정보보호법 제정 당시 정부가 앞장서서 올바른 개인정보 감독기구 설립을 좌절시킨 바 있다.

 

시민사회가 우려하는 것 : 개인정보의 판매와 무한 공유

 

 기업은 빅데이터를 활용한 서비스 개발, 대량의 개인정보 판매뿐 아니라 개인정보를 활용해 개인의 신용도나 질병 위험을 판단한 뒤 대출거절, 금리인상, 보험료 인상으로도 이윤을 창출할 수 있다. 

▲  기업은 빅데이터를 활용한 서비스 개발, 대량의 개인정보 판매뿐 아니라 개인정보를 활용해 개인의 신용도나 질병 위험을 판단한 뒤 대출거절, 금리인상, 보험료 인상으로도 이윤을 창출할 수 있다.

 

시민사회가 개인정보의 활용을 무조건 반대하는 것은 아니다. 기업들 역시 개인정보를 보호하면서 이를 활용할 수 있다. 예를 들어, 이미 많은 기업의 연구들이 그렇게 하듯이, 정보주체가 동의를 한다면 그들의 개인정보를 마케팅 연구나 기업 기술 개발 목적으로도 활용할 수 있을 것이다.

 

혹은 애초 수집 목적과 합리적으로 연관된 경우에는 일정한 조건 하에 가명 혹은 익명처리된 개인정보를 활용할 수 있을 것이다. 예컨대 어떤 시간대에 어느 연령대의 고객이 구매를 많이 하는지 판매 내역을 분석할 수 있을 것이다. 혹은 이미 해외에 여러 사례가 있는 것처럼 공공기관의 개인정보를 가명처리하여 안전시설 내에서 연구자에게 제공할 수도 있을 것이다.  그러나 우리나라처럼 기업의 고객정보를 가명화해서 고객 동의없이 다른기업 고객정보와 결합시키거나 공공기관이 기업을 위해 결합시켜주는 경우는 찾아볼 수 없다.

 

시민사회가 진정 우려하는 것은 이것이다. 현재 정부의 개인정보보호법 개정안에 따르면 다음과 같은 시나리오가 가능하다. 보험업체들이 ‘연체자 분석 연구’를 목적으로 통신사에게 고객정보의 제공을 요청하면, 통신사들은 이를 가명처리하여 제공할 것이다.

 

그런데 통신사가 보험업체에 무상으로 제공하겠는가. 당연히 합당한 비용을 받고 판매하거나 혹은 보험업체의 고객정보 제공을 요청할 것이다. 통신사는 보험업체에만 제공하겠는가. 포털, 신용카드사, 유통사, 병원 등 어떤 업체에든 제공할 수 있다. 통신, 금융, 의료 정보는 최고로 가치있는 정보 아닌가. 카드사와 쇼핑몰은 공공기관을 통해 서로의 고객정보를 결합할 수 있을 것이다. 그리고 이렇게 제공된 고객정보는 연구가 끝나도 삭제되지 않는다. 추가적인 연구에 계속 필요한데 왜 삭제를 하겠는가. 이렇게 한 기업에 의해 수집된 고객정보는 수많은 다른 기업으로 판매, 공유될 것이다.

 

고객정보의 공유가 많아질수록 개인정보 침해의 위험성은 점점 커질 것이다. 어떤 기업들은 불법적으로 고객을 재식별해서 타깃 마케팅에 이용하거나 고객을 차별하는데 활용할 것이다. 때로는 이렇게 공유된 정보들이 대량 유출되어 다양한 불법적인 목적에 활용될 수도 있다. 더구나 한국은 서로 다른 개인정보를 연결해 줄 주민등록번호를 보유한 나라가 아닌가. 과연 사후적인 처벌만으로 이러한 개인정보 침해를 막을 수 있을지 의문이다.

 

정부는 이걸 괴담일 뿐이라고 자신있게 말할 수 있는가?

 

오병일 진보네트워크센터 대표

 

* 이 글은 총 7회에 걸친 연속 칼럼 중 2회이고, 6월 20일 오마이뉴스에 기고한 글입니다.

 

[빅데이터 신화, 개인정보는 봉인가?②] 개인정보 무한공유, 감당하실 수 있겠습니까

[빅데이터 신화, 개인정보는 봉인가?①]빅데이터가 당신에게 알려주지 않은 진실

 

정부지원금 0%, 회원의 회비로 운영됩니다

참여연대 후원/회원가입