[개정 개인정보 보호법 시행에 즈음한 시민사회 공동성명]
데이터 바이러스 주의보, 8월 5일부터 개인정보 도둑법이 시행됩니다.
먼저 우리의 개인정보에 애도를 표합니다
8월 5일, 새로운 개인정보 보호법이 시행됩니다. 이름과 달리 개인정보에 대한 약탈을 허용하는 법입니다. 아무리 ‘데이터 3법’이란 미명으로 치장해도 그 데이터가 우리의 개인정보임은 변함이 없습니다. 개인정보 도둑법 입법 과정에서 시민사회는 이 법으로 인해 기업들 사이에 개인정보가 판매, 공유, 결합될 것에 대해 우려한 바 있습니다. 시행령 제정 과정은 이러한 시민사회의 우려가 기우가 아니었음을 확인해주었습니다.
▶ 가명정보를 ‘과학적 연구’ 목적으로 활용한다고 하지만 해당 목적으로 활용하는지 확인할 수 있는 아무런 장치도 마련되지 않았습니다. 해당 분야의 윤리 규범을 준수해야 하고 동료 평가(peer review)를 하며 그 결과물이 한 사회의 지식 기반 확대에 기여하는 학술 연구가 아니라, 연구라고 주장하는 기업의 모든 활동에 가명정보가 활용되어도 통제할 수 없게 되었습니다. ▶ 기업들이 고객정보를 가명처리해서 팔아도 이를 저지할 수 있는 수단 역시 마련되지 않았습니다. 가명정보 판매를 규제하겠다는 행정안전부의 변명은 거짓말이었습니다. ▶ 기업들의 가명정보 결합을 허용하는 것도 모자라, 그나마 결합된 가명정보를 안전 시설 내에서 접근하도록 한 조항을 폐기하고, 결국 결합 정보의 반출을 허용했습니다. 두 기업들이 고객정보를 결합해서 공유할 수 있도록 허용한 것입니다. 이는 지난 박근혜 정부가 제정한 2016년 <개인정보 비식별조치 가이드라인>에서부터 비판받아 온 문제점입니다. 문재인 정부가 박근혜 정부와 다른 점이 도대체 무엇인가요. ▶ 가명정보를 목적 달성 후에 삭제하도록 한 시행령 규정도 기업들의 요구를 받아들여 폐기했습니다. 가명정보를 무한정 보유할 수 있도록 하겠다는 것인가요? ▶ 수집한 개인정보를 목적 외로 활용할 수 있는 범위가 대폭 확대되었습니다. 목적외 활용은 정보주체의 합리적인 기대를 벗어나지 않는 매우 제한적인 범위 내에서 이루어져야 하지만, 정보주체의 동의없는 추가 이용의 범위를 확대해 달라는 기업들의 요구가 전적으로 수용된 것입니다.
통합 개인정보 보호위원회, 기본권의 수호자 역할해야
그나마 기존에 행정안전부, 방송통신위원회가 가지고 있던 개인정보 감독권한을 이관하여, 통합 개인정보보호위원회(이하 보호위원회)를 설립한 것은 바람직한 방향입니다. 보호위원회가 독립적인 감독기구로서 제 역할을 한다면 말입니다. 개인정보처리자인 기업들과 공공기관의 개인정보 처리를 감독하기 위해서는 상업적인 이해관계는 물론 정부 권력으로부터도 독립적이어야 할 것입니다.
그러나 이번 보호위원회의 인사를 보면 과연 보호위원회가 독립적으로 제 역할을 할 수 있을지 우려됩니다. 행정안전부와 방송통신위원회 출신인 현직 고위 관료 두 분이 위원장과 부위원장을 맡았는데 과연 정부로부터 독립적으로 활동할 수 있을까요? 또한 보호위원회 위원장으로 내정된 윤종인 행안부 차관이 지금도 과거 언론 인터뷰에서처럼 개인정보 도둑법을 합리화하고, 이 법이 유럽연합 개인정보보호법(GDPR)과 유사한 수준이라고 생각하고 있다면 큰 일이 아닐 수 없습니다.
보호위원회는 정부의 데이터 정책에 종속되어서는 안됩니다. 오히려 인권을 침해하지 않을 수 있도록 방향을 제시해야 합니다. 개인정보 처리와 활용의 균형은 개인정보의 활용을 위해 기본권을 타협하는 것이 아니기 때문입니다. 변화하는 기술 환경 속에서 보호위원회가 ‘기본권의 수호자’로서 개인정보 보호규범을 제대로 수립하고 이행을 감독한다면, 그 규범에 따라 활용도 제대로 이루어질 수 있을 것입니다.
정보인권을 위한 활동은 계속됩니다
비록 개인정보 도둑법이 시행되지만, 우리 단체들은 정보주체의 권리 보호를 위해 계속 싸워나갈 것입니다.
첫째, 현행 법의 문제를 알리고 정보주체 스스로의 권리 인식을 위한 캠페인을 벌여나갈 것입니다. 정보주체는 기업들이 내 개인정보를 가명처리하는지, 어떤 목적으로 누구에게 제공하는지 알 권리가 있습니다. 또한, 정보주체가 원하지 않을 경우, 개인정보 처리의 정지를 요구할 권리가 있습니다. 우리 단체들은 이용자들이 자신의 정당한 권리를 행사할 수 있도록 돕고, 정보주체의 권리를 제대로 보장하지 않는 정부와 ‘나쁜 기업’들에 맞서 싸울 것입니다.
둘째, 의료법상 진료기록을 환자 동의 없이 연구 목적 등으로 가명화하여 활용하는 것에 대한 고발, 정보주체의 정당한 권리를 보장하지 않은 채 무분별하게 개인정보를 처리하는 기업들에 대한 민사소송 및 고발, 개인정보보호법의 독소조항에 대한 헌법소원심판청구 등 모든 사법적 구제수단을 통해 이 법에 대해 문제제기할 예정입니다.
셋째, 결국 개인정보 보호법과 신용정보 보호법이 올바로 개정될 수 있도록 노력할 것입니다. 충분한 논의도 없이 법이 개정되면서, 개인정보 보호법과 기존 정보통신망법 조항의 모순점, 신용정보 보호법과의 적용 범위 충돌의 문제 등이 벌써 불거지고 있습니다. 개인정보 도둑법이 규정하는 독소 조항은 당연히 개정되어야 하고, 개인정보 영향평가나 개인정보 기본설계와 같이 개인정보처리자의 책임성 및 개인정보 보호를 강화하기 위한 조항도 개정 및 도입되어야 합니다. 보호위원회와 국회는 개인정보 보호법을 국제적인 수준으로 개선하기 위한 작업을 즉시 시작해야 합니다.
넷째, 보호위원회가 기본권의 수호자로서, 독립적인 감독기구로서 제 역할을 할 수 있도록 시민사회는 보호위원회의 감시자가 될 것입니다. 정보주체의 권리 보호를 위한 활동에는 적극 협력하겠지만, 자신의 역할을 망각하고 개인정보의 남용을 오히려 합리화하는 역할을 한다면 신랄하게 비판할 것입니다.
우리는 데이터 산업 발전을 명분으로 정보인권을 도외시해온 문재인 정부에 유감을 표합니다. 문재인 정부는 정보주체의 보호를 도외시한 정책의 추진이 결코 평탄하게 갈 수 없고, 오히려 기술과 산업의 발전을 지체시킬 수 있다는 점을 분명히 인식해야할 것입니다.