“내일부터 ‘개인정보 도둑법’ 시행된다”

기업이 무분별하게 개인정보 판매, 공유, 결합할 수 있어

오는 5일부터 일명 ‘개인정보 도둑법’이라 불리는 데이터 3법(개인정보 보호법·신용정보법·정보통신망법) 개정안이 시행된다. 법안 시행을 앞두고 정보인권 및 시민사회 단체는 통합 개인정보보호위원회(보호위원회)의 독립적 역할을 촉구하고 나섰다.

진보네트워크센터, 정보인권연구소, 건강권실현을 위한 보건의료단체연합 등 10개 단체는 4일 성명을 내고 “먼저 우리의 개인정보에 애도를 표한다”며 “8월 5일, 새로운 개인정보 보호법이 시행된다. 이름과 달리 개인정보에 대한 약탈을 허용하는 법”이라고 밝혔다.

이어서 “개인정보 도둑법 입법 과정에서 시민사회는 이 법으로 인해 기업들 사이에 개인정보가 판매, 공유, 결합될 것에 대해 우려한바 있다”며 “시행령 제정 과정은 이러한 시민사회의 우려가 기우가 아니었음을 확인해줬다”고 비판했다.

앞서 문재인 대통령을 비롯한 여당은 4차산업혁명과 경제혁신을 이유로 ‘데이터 3법’ 처리를 강력히 추진해 왔다. 올해 1월 국회를 통과한 ‘데이터 3법’은 빅데이터, 인공지능 산업 육성을 명분으로 정부 주체의 동의 없이 서로 다른 기업 간에 가명처리 된 개인정보를 판매, 공유, 결합할 수 있도록 허용하고 있어 논란이 되고 있다.

[출처: 진보네트워크센터]

정보인권 단체들은 우선 기업들이 고객정보를 가명처리 해 팔아도 이를 저지할 수 있는 수단이 없다는 점을 지적하고 있다. ‘과학적 연구’ 목적으로 활용되는 가명정보 또한, 목적에 따라 활용되고 있는지 확인할 장치가 없다는 점도 문제다. 심지어 기업 활동까지 ‘연구’라고 주장할 경우, 가명정보 활용을 통제할 수 없게 된다. 뿐만 아니라 개정안에서는 기업들의 고객정보를 결합해 공유할 수 있도록 하고, 가명정보를 목적 달성 후에 삭제토록 한 시행령 규정도 폐기됐다. 수집한 개인정보를 목적 외로 활용할 수 있는 범위도 대폭 확대됐다.

단체들은 “개인정보 목적 외 활용은 정보주체의 합리적인 기대를 벗어나지 않는 매우 제한적인 범위 내에서 이뤄져야 하지만, 정보주체의 동의 없는 추가 이용의 범위를 확대해 달라는 기업들의 요구가 전적으로 수용된 것”이라고 지적했다.

정보인권 단체들은 이후 보호위원회가 독립적인 감독기구로서 기본권의 수호자 역할을 해야 한다고 강조했다. 이들은 “개인정보처리자인 기업들과 공공기관의 개인정보 처리를 감독하기 위해서는 상업적인 이해관계는 물론 정부 권력으로부터도 독립적이어야 한다”며 “보호위원회는 정부의 데이터 정책에 종속되어서는 안 된다. 오히려 인권을 침해하지 않을 수 있도록 방향을 제시해야 한다”고 조언했다.

한편 단체들은 이후 의료법 상 진료기록을 환자 동의 없이 가명화 해 활용하거나, 무분별하게 개인정보를 처리하는 기업 등을 상대로 소송 및 고발 활동을 벌여나갈 예정이다. 아울러 개인정보보호법의 독소조항과 관련 헌법소원심판청구 등을 통해 문제제기해 나간다는 계획이다.