주간경향(총 27 건 검색)

페북·인스타 이용하려면 개인정보 내놓으라고?(2022. 07. 22 11:16)

2022. 07. 22 11:16 경제 박송이 기자

ㆍ변경된 개인정보처리지침 미동의 시 8월 9일부터 계정 사용 불가 ㆍ애플의 ‘앱 추적 투명성 정책’ 영향 탓? 페이스북과 인스타그램이 변경된 개인정보처리지침에 동의하지 않으면 오는 8월 9일부터 계정을 사용할 수 없다고 고지해 논란이 일고 있다. 사실상 강제적 동의에 의한 과도한 개인정보 수집이라는 지적이다. 페이스북과 인스타그램을 운영하고 있는 메타는 지난 5월 26일부터 이용자들에게 다음 항목에 ‘필수동의’할 것을 요구하고 있다. ▲맞춤형 광고 표시를 위한 개인정보 수집 및 이용 ▲정부기관, 수사기관 등에 개인정보 공유 ▲전 세계 지사, 데이터센터 및 파트너 비즈니스에 개인정보 이전 ▲위치 기반 서비스 등이다. 전문가들은 메타의 방침이 개인정보보호법을 위반하고 개인정보를 침해할 수 있다고 우려했다. 메타가 맞춤형 광고를 위해 수집하는 개인정보 목록에는 게시물과 댓글을 비롯해 구매 또는 기타 거래정보, 친구·팔로워 등 연결된 관계, 사용기기, GPS(위치파악시스템) 기반 위치 추적 서비스, 사용하는 앱, 방문 웹사이트와 쿠키 데이터 등이 포함돼 있다. 페이스북과 인스타그램을 운영하고 있는 메타 로고 / 로이터 연합뉴스 개인정보 최소수집 원칙 위반 현행 개인정보보호법은 개인정보 최소수집을 원칙으로 한다. 개인정보보호법 제3조 1항은 “개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집해야 한다”고 밝히고 있다. 또 개인정보의 수집제한에 관한 제16조에 따르면, 개인정보처리자는 이용자에게 최소한의 정보를 제외한 개인정보 수집에 동의하지 않을 수 있다는 점을 알려야 하고, 여기에 동의하지 않는다는 이유로 서비스를 이용하지 못하게 하면 안 된다. 2020년 2월에는 “정보통신서비스 제공자는 이용자가 필요한 최소한의 개인정보 이외의 개인정보를 제공하지 않았다는 이유로 서비스 제공을 거부해서는 안 된다”(제39조3의 3항)는 조항도 신설했다. 전문가들은 메타의 이번 방침이 개인정보 최소수집 원칙 위반이라고 지적했다. 법무법인 지향의 이은우 변호사는 “메타는 동의의 형식을 내세우고 있지만, 동의하지 않으면 서비스를 사용할 수 없다는 식으로 사실상 이용자들에게 강요하고 있다”며 “소셜미디어의 서비스에 필요한 필수정보는 연결된 사람들과 소통하는 데 필요한 것 정도인데, 메타는 개인의 온갖 정보를 필수동의로 수집·축적해놓고 있다”고 말했다. 오병일 진보네트워크센터 대표는 “메타의 주장대로 맞춤형 광고를 위해 개인정보가 필요하다고 해도 그 정보들이 맞춤형 광고에 다 필요한 것은 아니다”라며 “메타의 방침은 목적 달성을 위한 최소한의 정보만을 수집해야 하고, 필수정보와 선택정보를 구분해야 하고, 선택정보 제공에 동의하지 않아도 서비스 제공을 거부해서는 안 된다고 한 개인정보보호법 위반”이라고 말했다. 법률사무소 디케 김보라미 변호사는 “필수정보를 이렇게 광범위하게 설정하면, 통신사 등 다른 기업들도 마케팅 용도로 광범위한 개인정보에 필수동의를 요구하는 상황이 벌어질 것”이라며 “이용자들이 페이스북을 이용하는 목적이 광고 서비스를 제공받기 위해서가 아니기 때문에 ‘맞춤형 광고 표시를 위한 개인정보 수집 및 이용’은 결코 필수동의 사안이 될 수 없다”고 말했다. 강요된 동의는 동의가 아니다 관할 부처인 개인정보위원회는 “문제가 되는 부분은 없는지 살펴보고 있다”며 “아직 검토 중”이라고 말했다. 익명을 요구한 한 개인정보보호법 전문가는 “메타의 지침은 명백한 개인정보보호법 위반이지만 그동안 규제당국은 판단이 애매하다는 이유로 개인정보 최소수집 원칙을 거의 집행하지 않았다. 향후 메타에 대한 규제당국의 판단이 어떨지 모르겠지만, 다른 나라와 달리 우리 법에서는 이른바 ‘필수동의’라는 희한한 제도를 인정하고 있어 강요된 동의라도 동의를 받으면 효력을 인정하려는 경향이 강하다”라며 “‘동의를 받았다’ 또는 ‘필수동의다’라고 하면 더 이상 따지지 않고 방치해온 규제당국의 관행이 문제”라고 지적했다. 그간 자발성이 결여된 ‘필수동의’ 제도하에 개인정보 최소수집 원칙이 유명무실하게 운영돼왔다는 비판이다. 자발성이 없는 동의는 동의가 아니라고 보는 유럽의 감독기구들은 페이스북의 위법한 ‘동의’ 행태에 제재를 가하고 있다. 진보네트워크센터에 따르면 2015년과 2017년 벨기에 규제당국은 페이스북의 개인정보처리방침이 “정보 주체로부터 유효한 동의를 얻지 못하고 있다”며 페이스북의 전반적인 개인정보 처리에 법 위반의 문제가 있음을 지적했다. 스페인 규제당국도 페이스북이 동의 없이 광고 목적으로 민감한 개인정보를 처리한 것, 제3자 웹사이트에서 페이스북이 개인정보를 수집하고 사용하는 방법에 대해 명확하고 투명한 통지를 제공하지 않은 것 등을 지적하며 120만유로(16억원)의 벌금을 부과했다. 프랑스, 독일, 네덜란드 등에서도 잇따라 비슷한 결정을 내렸다. 2018년 유럽의 강화된 개인정보보호규정(GDPR) 시행 이후에는 수많은 신고가 이루어져 조사가 진행 중이다. 특히 유럽에서 ‘동의’ 요건이 엄격해지자, 메타는 기존의 ‘동의’를 이용자가 맞춤형 광고를 주문하는 계약 사항으로 전환해 문제가 됐다. 2018년 오스트리아의 개인정보보호단체인 ‘noyb.eu’는 메타가 개인정보보호규정(GDPR)을 우회하고 개인정보를 침해했다며 오스트리아 법원에 제소했다. 지난해 오스트리아 대법원은 유럽사법재판소에 메타가 ‘동의’와 ‘계약’을 혼동시키면서 개인정보보호규정의 취지를 훼손시켰는지에 대한 질의서를 제출했다. 만약 유럽사법재판소가 메타가 개인정보보호규정의 근간을 훼손했다는 판결을 내리면 메타는 큰 타격을 입게 될 전망이다. 맞춤형 광고, 무료 이용 대가? 일각에서는 메타가 맞춤형 광고를 위한 개인정보 수집에 필수동의를 요구한 것을 두고 지난해 4월 애플의 ‘앱 추적 투명성’ 정책으로 광고수익이 하락했기 때문이라고 분석한다. 애플은 아이폰 이용자들의 앱 사용 시 이용기록을 추적해도 되는지 반드시 사전에 동의를 구하도록 정책을 변경했다. 많은 이용자가 ‘추적 불가’를 선택하면서 페이스북의 지난해 3분기 광고 성과는 15% 하락한 것으로 알려졌다. 페이스북 개인정보처리방침 변경 안내 갈무리 메타는 페이스북이나 인스타그램의 서비스를 무료로 제공하기 위해 개인정보를 수집한다고 밝힌다. 실상은 무료를 미끼로 이용자들에게 광범위한 개인정보라는 지나친 대가를 요구하고 있다. 이은우 변호사는 “맞춤형 광고 말고 맥락 광고도 가능하다. 예컨대 페이스북에서 ‘좋아요’를 클릭한 것을 분석해 광고를 내보내는 것이 아니라 이용자가 어떤 글을 보고 있으면 그것과 연관된 맥락의 광고를 내보내면 된다. 그렇게 되면 개인정보 수집을 많이 안 해도 된다”라며 “맞춤형 광고를 원하는 이용자들에게는 그에 필요한 개인정보 수집에 동의하게 하고, 맞춤형 광고를 원하지 않는 사람들은 여기에 동의하지 않도록 선택할 수 있게 해야 하는데, 메타는 이를 회피하고 있다”라고 말했다. 전문가들은 메타가 정보를 과도하게 수집하고 이를 프로파일링(이용자의 성향이나 취향, 구매 패턴을 분석)해 광고영업 등에 이용하고 있다고 비판했다. 오병일 대표는 이번에 논란이 된 개인정보지침 외에도 페이스북이 ‘외부활동’이라는 이름으로 정보를 수집하는 것 또한 심각한 문제라고 지적했다. 메타가 ‘페이스북으로 로그인하기’, ‘페이스북 픽셀’ 등을 통해 제3자의 사이트로부터 개인정보를 수집하는 게 개인정보보호법 위반이라는 주장이다. 오 대표는 “페이스북 픽셀은 해당 웹사이트 방문자들이 취한 행동을 파악하는 일종의 코드다. 페이스북 픽셀이 설치된 제3자의 웹사이트에 방문한 인터넷 이용자의 여러 정보는 페이스북에 전송된다. 예를 들어 결제정보 추가, 장바구니 담기, 위시리스트 담기 등의 다양한 정보가 전송된다. 이때 자신의 개인정보가 페이스북에 제공된다는 것에 대한 동의 절차는 없다”고 말했다. 시장 독점한 메타의 배짱? 메타는 세계 곳곳에서 개인정보보호규정 위반으로 잦은 논란을 빚고 있다. 그럼에도 이용자들에게 광범위한 개인정보를 필수적으로 요구하는 것은 메타가 독점적 지위를 갖고 있기 때문으로 풀이된다. 이미 오랜 기간 페이스북이나 인스타그램을 통해 관계를 형성하고 생활해온 많은 이용자에게는 다른 선택지가 없다. 페이스북과 인스타그램이 소셜네트워크서비스 시장을 거의 독점하고 있는 상황을 메타가 이용한 셈이다. 장혜영 정의당 의원은 지난 7월 19일 의원총회에서 “계정 유지를 위한 필수정보도 아닌 이용자의 과도한 개인정보를 필수동의 영역에 포함한 것은 시장지배적 지위를 이용해 이용자의 정보 주권을 침해하는 횡포”라고 지적했다. 필수동의를 하지 않으면 계정을 사용할 수 없다는 페이스북의 논리는 이용자들에게 싫으면 안 쓰면 된다는 ‘선택권’을 준 것처럼 보이지만, 갈 데 없는 이용자들에게 비싼 대가를 요구하는 것이어서 독점기업의 횡포에 가깝다. 2020년 독일에서는 페이스북의 이 같은 강요에 가까운 동의에 대해 ‘시장지배적 지위 남용’이라는 판결을 내린 바 있다. 독일연방최고법원은 80~90% 점유율을 보이고 있는 페이스북이 시장지배적 사업자에 해당한다고 판단했다. 페이스북 이용자들이 직접적 네트워크 효과로 다른 소셜네트워크 서비스로의 전환이 어려운 상황에서 광범위한 개인 데이터의 수집, 통합, 이용에 동의하지 않으면 서비스를 이용할 수 없도록 한 것은 소비자의 선택권 제한이라고 봤다. 만약 페이스북이 시장을 독점하지 않고 경쟁하는 상황이었다면, 이처럼 강요된 동의를 이용자들에게 요구하지 못했으리라는 분석이다. 독일연방최고법원은 “더 적은 데이터를 제공하는 서비스에 대한 수요가 있고 그러한 서비스 제공이 경쟁 시장이었으면 가능했을 것임에도 페이스북이 시장지배적 지위를 이용해 거부한 것으로 볼 수 있기 때문”이라고 설명했다.(<디지털 플랫폼 사업자의 소비자 착취 행위에 대한 경쟁법의 적용: 독일 페이스북 사건>·이상윤·2020년) 내 정보 어떻게 쓰이는지 몰라 빅테크 기업들의 광범위한 개인정보 수집 움직임에 직면한 이용자들 사이에서 개인정보보호에 좀더 경각심을 가져야 한다는 목소리가 높아지고 있지만, 정작 자신의 개인정보가 어떻게 수집되고 어떻게 쓰이는지를 꼼꼼히 살펴보는 사람은 별로 없다. 대부분의 개인정보보호 약관들은 내용이 어렵고 명확하게 파악되지 않는 경우가 많은데다 긴 시간을 들여 읽어야 할 만큼 복잡한 내용을 담고 있기 때문이다. 개인정보보호지침을 설명한 메타의 이번 공지도 법 전문가들 사이에서조차 좀처럼 의미를 파악하기 힘들다는 목소리가 나온다. 더군다나 법에 대한 해박한 지식이 없다면 의미를 파악하기가 쉽지 않다. 그러다 보니 이용자들은 자신의 정보들이 실제 어떻게 쓰일지 가늠하기 어렵다. 예컨대 메타가 필수동의를 요구한 ‘정부기관, 수사기관 등에 개인정보 공유’ 항목이 미국의 규제당국에서 쓰일 수 있다고 분석하는 이용자는 극히 드물다. 익명을 요구한 한 개인정보보호법 전문가는 “국내법보다 미국법에 따라 미국의 규제당국(테러·돈세탁·마약·아동포르노 등)이 페이스북에 국내 이용자들의 개인정보를 요구할 때 사법공조 등의 절차 없이 국내 이용자의 개인정보를 제공하기 위한 수단으로 보인다”라며 “이 경우 국내 이용자가 미국 등 해외여행 시 본인도 모르게 범죄자가 돼 현지에서 구속되는 불상사가 발생할 수도 있다. 참고로 외국에서는 미국 등 다른 나라의 규제당국이 자국민의 개인정보를 요구할 때는 국제협약, 행정협정 등에 의하도록 하고 있다”고 말했다. 최근 미국에서는 ‘로 대 웨이드’ 판례가 47년 만에 뒤집히면서 빅테크 기업이 수집한 개인정보가 처벌의 근거가 될 수 있다는 우려가 나오고 있다. 임신중단 관련 의료기관은 물론 가정폭력 보호소, 불임센터, 중독 치료시설, 체중 감량 클리닉, 상담센터 등 민감한 장소의 방문 기록이나 검색 기록이 수사기관의 표적이 될 가능성이 크다는 우려다. 과거에는 정부만 개인정보를 수집했다면, 이제는 소수의 빅테크 기업이 막대한 양의 개인정보 데이터를 수집·처리하고 있다. 소수의 손에 방대한 개인정보가 집중되는 상황은 위험하다. 개인정보 최소수집 원칙의 관점에서 메타의 이번 지침을 지켜봐야 할 이유다.

[강혜미의 스타트업 카페](11)스타트업이 개인정보를 지키는 방법(2021. 04. 23 11:29)

2021. 04. 23 11:29 경제 강혜미 변호사

인공지능(AI) 챗봇 ‘이루다’는 개인정보 유출 등의 논란이 시작된 이후 20여일 만에 서비스를 중단했고, 현재 개인정보보호위원회의 조사를 받고 있습니다. 나아가 수백명의 이용자들로부터 2억원 상당의 손해배상청구 소송까지 당했습니다. 이루다는 운영사인 스캐터랩이 과거 출시한 ‘연애의 과학’ 서비스 이용자들이 제공한 카카오톡 대화 내용을 토대로 개발된 것으로 알려졌는데 대화 내용 중 비식별화되지 않은 개인정보가 유출됐다고 합니다. 뷰티테크 스타트업 ‘릴리커버’ 팝업스토어를 찾은 이용자들이 로봇이 데이터를 기반으로 개인 맞춤형 화장품을 만드는 과정을 지켜보고 있다. / AK플라자 제공 개인정보는 인간의 존엄성, 인격권, 사생활과 밀접한 관련이 있어 법에 의해 엄격하게 보호됩니다. 이루다 사례처럼 서비스 자체가 중단되고 기업 존폐에도 큰 영향을 미칠 수 있다는 점을 인지하고 대비해야 합니다. 먼저 ‘개인정보’에 대해 알 필요가 있습니다. ‘개인정보’는 생존하는 개인에 관한 정보로서 성명·주민등록번호 등에 의해 특정한 개인을 알아볼 수 있는 부호, 문자, 음성, 음향 및 영상 등의 정보를 말합니다. 중요한 것은 ‘특정한 개인을 알아볼 수 있다’는 것인데요, 해당 정보만으로 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합해 알아볼 수 있는 경우 그 정보도 개인정보에 속하는 점에 유의해야 합니다. 예를 들어 변호사, 여자, 서울, 10월 5일, 이화여대 각각은 개인정보가 아니지만, 이들 정보를 조합해 강혜미 변호사로 특정할 수 있다면 이 정보도 개인정보가 됩니다. 개인정보를 수집·이용하는 경우에는 사전에 이용자로부터 ①개인정보의 수집·이용 목적 ②수집하는 개인정보의 항목 ③개인정보의 보유·이용 기간을 알리고 동의를 받아야 합니다. 스캐터랩의 경우 연애의 과학 서비스 가입 시 개인정보 수집·이용 목적과 관련해 ‘개인정보가 신규 서비스 개발에 활용될 수 있다’고만 명시한 것으로 알려졌습니다. 이것만으로는 수집·이용 목적을 제대로 알린 것으로 보기 어려우며 이용자의 개인정보를 이루다 서비스에 이용한 것은 위법해 보입니다. 실무상 자주 문제가 되는 것은 적법하게 수집한 개인정보를 ‘제3자’에게 제공할 때 동의 없이 제공하는 것입니다. 개인정보를 제3자에게 제공할 경우 수집·이용에 대한 동의와 별도로 이용자의 동의를 받아야 합니다. 이때 ①개인정보를 제공받는 자 ②개인정보를 제공받는 자의 개인정보 이용 목적 ③제공하는 개인정보의 항목 ④개인정보를 제공받는 자의 개인정보 보유 및 이용 기간을 알리고 동의를 받아야 합니다. 통상적으로 제공받는 자를 ‘제휴사’와 같이 포괄적으로 기재하는 경우도 있으나, 제휴사의 상호를 특정할 필요가 있습니다. 개인정보를 제공받는 제3자가 많거나 수시로 변동되는 경우 제공받는 자를 별도의 서면 또는 인터넷 홈페이지에 구체적으로 기재하고, 정보주체가 링크를 클릭하면 팝업창이 열려 해당 내용을 확인할 수 있도록 합니다. 주민등록번호의 경우, 수집이 원칙적으로 금지되고, 예외적인 경우에만 수집할 수 있습니다. 강혜미는 대한변호사 협회 인증 스타트업 전문변호사면서 M&A 전문변호사다. 법무법인 별의 대표변호사다.

강혜미의 스타트업 카페

[표지 이야기]자살예방이냐, 개인정보 보호냐(2020. 11. 20 14:30)

2020. 11. 20 14:30 사회 윤호우 선임기자

ㆍ본인 동의 없이도 자살 고위험군 개인정보 제공 법 개정 추진 2018년 4월 6일 충북 증평군의 한 아파트에서 40대 여성이 네살 딸과 함께 숨진 채 발견됐다. ‘증평 모녀 사건’이 당시 큰 충격을 준 것은 이 사건이 벌어지기 한해 전에 40대 여성의 남편 역시 극단적인 선택을 했기 때문이다. 가장의 죽음 이후 모녀는 경제적 어려움을 겪었다. 유서에는 ‘남편과 사별해 정신적으로 힘들다’는 내용이 적혀 있었다. 결국 40대 여성은 남편과 같은 선택을 하고 말았다. 한 자살예방센터에서 상담원이 ‘자살 충동’을 호소하며 전화를 걸어온 사람과 이야기를 나누고 있다. 최근 코로나19가 확산되는 가운데 센터에 상담을 요청하는 사람들이 크게 늘었다. / 경향신문 자료사진 이들 모녀가 자살 고위험군(자살유가족)이었음에도 사회적 안전망은 전혀 가동되지 않았다. 모녀가 죽은 지 몇달이 지나서야 시신이 발견됐다. 증평 모녀 사건은 자살 고위험군에 대한 사회적 차원의 관리가 필요하다는 교훈을 남겼다. 당시 한 언론사의 보도에서 해당 군의 관련 공무원은 “개인정보보호법 때문에 경찰에서 자살 사건이 접수돼도 관련 기관에 통보되지 않아” 이들 모녀를 전혀 알지 못했다고 말했다. 경찰과 소방서 등 ‘자살예방업무 수행기관’에 자살 위험자나 자살유가족에 대한 정보를 제공해, 이들 기관이 업무를 적극적으로 수행하게 할 수 있을까. 현행법으로는 본인이 동의해야만 가능한 일이다. 사실상 해당 기관이 자살 고위험군에 대한 개인정보를 알 수 없다는 이야기다. 이동진 서울대 법학전문대학원 교수(한국자살예방협회 법제위원회 위원장)는 “자살위기에 처한 사람이 직접 나서서 자신을 알리기도 힘들거니와 처음부터 본인이 정보제공에 동의한다는 것은 현실적으로 어렵다”라고 말했다. 해당 정보의 삭제 및 파기 요구 권리도 21대 국회에서는 본인의 동의 없이도 자살예방업무 수행기관에서 관련 정보를 알 수 있도록 하는 개정안이 발의돼 있다. 송옥주 더불어민주당 의원이 지난 6월 ‘자살예방 및 생명존중문화 조성을 위한 법률 일부개정법률안’을 발의했고, 지난 9월에는 김상희 민주당 의원이 비슷한 내용의 개정안을 발의했다. 송 의원의 개정안은 “자살 위험이 높아 긴급한 지원이 필요한 경우 등 상당한 이유가 있는 때에는 자살시도자 등의 동의 없이도 정보를 제공할 수 있다”는 내용을 명시했다. 김 의원의 개정안에는 “다만 반복적으로 자살을 시도한 자 등 자살을 할 위험성이 높아 긴급한 지원이 필요한 경우로서 대통령령으로 정하는 경우에는 그러하지 아니하다”라며 본인 동의 조건에 대해 예외조항을 넣었다. 필요한 경우에는 정보제공이 가능토록 한 것이다. 김 의원의 개정안에는 당사자의 의견을 충분히 반영하는 조항도 넣었다. “당사자의 동의 없이 자살시도자 등의 정보를 제공받은 기관은 상담 등의 지원을 제공할 때 당사자에게 해당 정보의 삭제 및 파기를 요구할 권리가 있음을 안내하고 당사자가 이를 요구하면 지체 없이 해당 정보를 삭제 및 파기하여야 한다”고 명시해놓은 것이다. 국회 보건복지위는 검토보고서에서 두 개정안에 대해 “현행 법률은 자살시도자 등의 정보를 공유하기 위해서는 반드시 당사자의 동의를 받도록 하여 자살 위험 예방과 개인정보 보호 간의 균형을 이루고자 하고 있다”고 평가했다. 개인의 동의를 반드시 받도록 한 이유에 대해서도 “본인 또는 가족이 자살(시도)자라는 사실이 알려질 경우 개인에게 예기치 못한 불이익이 발생할 우려가 있다”라고 밝혔다. 개인동의를 반드시 받도록 한 또 하나의 이유로 “정보제공 요청에 응해야 하는 기관에 의료기관이 포함될 경우 의료법상의 정보누설 금지 의무와 충돌할 가능성이 있다”고 밝혔다. 이는 자살예방법 개정안이 개인정보법·의료법과 충돌되는 지점을 잘 말해주고 있다. 코로나19 사태 이후 감염확산 방지와 개인정보 보호라는 상충된 이해관계가 나타난 것과 비슷하다. 한쪽에서는 자살예방의 측면을 강조하고, 다른 한쪽에서는 개인정보 보호의 측면을 강조하는 셈이다. 검토보고서에는 관련 내용의 개정에 대한 보건복지부의 입장도 나타나 있다. 보건복지부는 송 의원의 개정안에 대해서는 ‘수정 수용’의 입장을 나타냈다. “다만 동의 없이 정보를 제공하는 경우를 대통령령으로 정하도록 하여 명확히 제시할 필요가 있다”고 했다. 또한 당사자가 서비스 제공을 명시적으로 거부하거나 정보의 삭제를 요청할 경우 해당 정보를 파기토록 할 필요가 있다고 덧붙였다. 김 의원의 개정안은 보건복지부의 이 같은 ‘수정 수용’ 입장을 반영한 것으로 볼 수 있다. 그럼에도 불구하고 김 의원 개정안에 대해 국회 보건복지위는 ‘기다려 봐야 한다’는 입장이다. 국회 보건복지위는 검토보고서에서는 “아직 이 법이 시행된 지 얼마 지나지 않아 정보 공유의 효과 또는 필수적 동의 요구에 따른 비효율이 어느 정도인지 알 수가 없다”며 부정적인 의견을 나타냈다. 그러면서 “개인의 동의를 필수적으로 요구하도록 한 사정이 변했다고 볼 만한 특별한 이유도 없다는 점을 고려할 때, 현행 법률의 시행 경과를 조금 더 지켜보고 결과를 바탕으로 법개정 여부를 논의해 나갈 필요가 있다”고 결론지었다. 20대 국회에서도 발의됐으나 불발 보건복지위의 한 민주당 의원 측은 “코로나19 같은 감염병 확산과 개인정보 보호가 상충되는 측면은 감염병의 확산을 막아 피해를 줄여야 한다는 공공의 이익이 더 크게 작용할 수 있었다”며 “하지만 공공의 이익에 끼치는 영향으로 볼 때 자살예방은 감염병 확산과는 다르기 때문에 법안이 통과될 가능성을 쉽게 예측할 수 없다”고 말했다. 개정안을 낸 김상희 의원 측은 “해당 부처에서는 찬성 의견을 냈다”면서 “검토보고서의 부정적인 의견은 검토보고일 뿐이므로 개정안이 해당 상임위에서 무난하게 통과할 것으로 본다”고 말했다. 이동진 교수는 “자살예방의 사회적인 기반이 단단하고 안전망이 촘촘하다면 ‘기다려보자’가 합리적인 선택일 수 있지만, 지금 현실은 그렇지 못하다”고 말했다. 이 교수는 “민감한 정보를 관계기관에 먼저 주는 것이기 때문에 ‘센 법’이라고 할 수 있다”면서도 “잘 운영한다는 전제 아래 일단 시도는 해봐야 한다”고 말했다. 자살률이 매우 심각하기 때문에 입법부터 해야 한다는 것이다. 본인 동의 없이도 정보제공이 가능하게 하는 내용의 개정안은 20대 국회에서도 발의됐으나 결국 통과되지 못했다. 원혜영 전 민주당 의원과 김승희 전 자유한국당 의원이 발의한 자살예방법 개정안에는 본인 동의 없이도 정보를 관계기관에 제공토록 돼 있었다. 하지만 원혜영 전 의원의 개정안은 20대 국회가 지난 5월 폐회하면서 임기만료로 폐기됐다. 김승희 전 의원의 개정안은 다른 내용이 수정 반영이 됐지만 정보제공 내용은 포함되지 못했다. 이동진 교수는 “자살의 주요 요인으로 경제와 건강 문제가 있는데, 코로나19 사태 때문에 자살률이 심상치 않다”면서 “보다 적극적으로 자살을 예방하기 위해 정보제공의 입법을 시도할 때가 됐다”고 말했다.

표지 이야기

개인정보, 보호냐 활용이냐(2019. 10. 07 14:19)

2019. 10. 07 14:19 경제 주영재 기자

ㆍ시민단체-산업계 주장 맞서… 개정안 10월 소위서 통과 못해 중국 건국 70주년을 맞은 지난 10월 1일 베이징 톈안먼 인근에서 열병식을 앞두고 얼굴인식 기술을 이용한 보안검색이 진행되고 있다. 중국은 13억명의 얼굴을 1초 만에 식별할 수 있는 기술을 확보하고 있다. 연합뉴스 인공지능과 빅데이터 산업의 발전을 위해 개인정보의 산업적 활용을 활성화해야 한다는 업계의 요구와 개인정보 보호를 강화해야 한다는 시민단체의 주장이 팽팽히 맞서고 있다. 국회에서는 인재근·이재정·박선숙·진선미·변재일·민경욱·이진복 의원 등이 다수의 개인정보보호법(개보법) 개정안을 발의한 상태다. 그만큼 이 문제가 정치권과 정부의 핵심적인 관심사라는 것이다. 이 중 주되게 논의되는 안은 인재근 의원안(개정안)이다. 당정협의를 거친 사실상의 정부안이다. ‘힘을 싣기 위해’ 의원입법 형식을 취했다. 지난 9월 27일과 10월 1일 이 개정안이 국회 행정안전위원회 법안심사소위에서 논의됐지만 통과하지 못했다. 국회 행정안전위원회 관계자는 “인재근 의원안을 중심으로 논의되고 있지만 개인정보보호위원회의 조사권한이나 처분권한이 유럽연합의 일반개인정보보호법(GDPR)의 적정성 평가를 받기 위한 독립성 요건을 충족하는지에 대해 이견이 있었다”고 전했다. 하지만 큰 쟁점이 아니라서 국정감사가 끝난 11월에 다시 논의해 연내 처리도 가능할 수 있다. 가명정보의 제3자 제공이 쟁점 개정안의 핵심은 ‘가명정보’를 정의하고, 그 활용범위를 밝힌 데 있다. 가명정보란 성명, 주민등록번호와 영상 등 바로 개인이 특정되는 개인정보와 해당 정보만으로는 알 수 없어도 다른 정보와 쉽게 결합해 개인을 알아볼 수 있는 차량번호 같은 ‘비식별 개인정보’를 가명처리한 정보다. 추가 정보의 결합 없이는 특정 개인을 알아볼 수 없다. 가명처리에는 개인을 식별하거나 추론할 수 있는 이름과 성별, 나이, 주소와 같은 ‘식별자’를 지우거나 일부를 가리고 개인별로 고유한 정보인 주민등록번호 등을 제3자가 풀어볼 수 없도록 암호화하는 방법이 사용된다. 예를 들어 42세 나정보씨를 40대, 나○○로 바꾸는 식이다. 정보를 많이 남겨야 데이터의 활용가치가 높지만 사생활 보호에 문제가 있을 수 있기 때문에 적정한 수준의 가명처리를 한 정보가 산업적 활용의 중심이 된다. 개정안은 산업적 목적을 포함한 ‘과학적 연구’와 시장조사 등 상업적 목적의 통계 작성, 공익적 기록 보존 등의 목적으로 가명정보를 이용할 수 있도록 했다. 개인정보를 클라우드 서비스 등 제3자에게 위탁할 때도 사전동의 절차를 없애고 공개 혹은 고지만 하면 되도록 조항을 수정할 계획이다. 시민단체는 개정안이 사실상 개인정보의 판매와 공유를 허용하는 ‘개악’이라고 반발하고 있다. 민변 디지털정보위원회 위원장으로 활동하는 조지훈 변호사는 “가명화된 정보의 제3자 제공을 어느 범위 내로 할 것인지가 가장 큰 문제”라며 “인재근 의원안은 상업적 이용까지 포괄하고 있지만 우리는 공익적 목적의 통계 작성이나 학술연구 목적으로만 제한해야 한다는 입장”이라고 밝혔다. 시민단체 건강과연대의 변혜진 상임연구위원은 “민간보험사나 제약회사 등 환자의 정보를 이용해 수익을 얻는 기업도 모두 과학적 연구방법을 쓰고 있다”며 “과학적 연구라고 표현할 경우 시장조사나 마케팅, 상품 개발에까지 산업적으로 활용할 수 있는 문을 열어두게 된다”고 말했다. 특히 시민단체들은 ‘정보결합물’의 교환이 가능하도록 한 조항을 문제삼고 있다. 보안시설을 갖춘 전문기관을 거치도록 했지만 기업들이 자신이 보유한 정보를 결합해 활용할 수 있기 때문이다. 예를 들어 통신사와 카드회사가 양쪽이 보유한 고객정보를 결합해 새로운 서비스나 제품을 내놓을 수 있지만 휴대전화번호와 카드번호, 카드 매출정보 등을 결합하면 개인의 사생활이 고스란히 드러날 수 있다. 오병일 진보네트워크센터 대표는 “개인정보를 가명처리만 하면 정보주체의 동의 없이 다른 기업에 제공할 수 있다”며 “가명정보라는 이유로 이후 삭제할 의무조차 없다”고 말했다. 특히 주민등록번호라는 신분 확인 수단이 사회·경제의 거의 모든 영역에서 활용되고, 다른 개인정보를 연결하는 핵심키 역할을 하는 한국의 특수성을 감안해야 한다는 주장이 제기된다. 지난 7월 25일 국가인권위원회도 국회에 보낸 의견서에서 “성명과 주민등록번호 등의 개인정보 데이터베이스가 이미 대량으로 유출돼 음성적으로 거래·활용되고 있는 점, 가명정보 재식별 위험성이 상대적으로 큰 점 등을 고려해야 한다”고 밝혔다. 가명처리된 개인정보라도 재식별의 위험성이 높다는 점에서 여타 선진국에 비해 안전장치를 더 강화해야 한다는 것이다. 산업계는 조속한 통과 요구 시민단체들은 빅데이터가 유용한 경제·사회적 가치를 창출할 수 있다는 가능성을 부정하지 않지만 그 활용을 위해서는 정보주체의 권리 보장이 전제되어야 한다고 주장한다. 특히 GDPR에서 정보주체의 권리 강화를 위해 도입한 삭제권(잊혀질 권리), 처리 제한권, 데이터 이동권, 자동화된 의사결정에 대한 기업의 설명의무 등을 보장해야 한다고 요구했다. 조지훈 변호사는 “우리나라 정보보호 법제가 세계적으로 강력하다고 하지만 실제로는 GDPR 수준에도 못미친다”며 “프로파일링을 거부할 권리와 같이 GDPR이 명시적으로 규정한 정보주체의 권리를 신설하고, 개인정보 침해사고가 났을 때 집단소송제의 실효성을 강화할 필요가 있다”고 말했다. 반면 인터넷 산업계는 더 과감한 조치를 원하면서도 우선은 지금의 개정안이라도 국회를 통과하길 바라고 있다. 한국인터넷기업협회, 코리아스타트업포럼, 한국게임산업협회 등 5개 단체는 지난 9월 26일 발표한 성명에서 “(개정안) 통과가 지연될 경우 유럽연합의 적정성 평가 승인 지연, 글로벌 경쟁력 상실 등 국가 경제력 악화로 이어질 수 있으므로 국회가 조속한 입법을 통해 이를 해결해 줄 것”을 요청했다. 한 인터넷 포털 업계 관계자는 “현행법은 필요한 범위에서 ‘최소한’의 개인정보만을 적법하고 정당하게 수집해야 한다고 되어 있다”며 “최소한이라는 용어로 인해 데이터활용에 제한이 있다”고 말했다. 업계는 개인정보를 수집한 후 그 수집 목적과 다른 새로운 목적이 생겼을 때 추가로 동의 없이도 활용이 가능한 ‘포괄동의’가 가능한 형태로 바꿔야 한다고 제안했다. 포괄동의를 해준 후 이후 정보주체가 선택적으로 거부하게 하거나 문제가 생길 경우 사후규제하는 방식이다. 미국과 유럽이 이런 방식을 따르고 있다. 포괄동의는 국내외 기업의 역차별 문제로도 자주 거론된다. 업계 관계자는 “해외 업체들은 처음 정보를 포괄적으로 동의받아서 새로운 목적으로 정보를 활용해도 지장이 없다”며 “반면 국내 업체들은 개인정보 보호 가이드라인에 따라 포괄동의를 받을 수 없어서 초기 동의를 받은 후 수집한 정보를 다른 목적으로 쓸 때 다시 동의를 받아야 한다”고 설명했다. 산업별로 구체적인 가명정보의 정의를 내리고 그 활용범위에 대한 사회적 합의를 마련하는 게 우선이라는 의견도 있다. 정보기술분야 규제 관련 전문가인 구태언 테크앤로 대표변호사는 “가명정보와 개인정보, 익명정보 사이의 구별에서 정부가 가이드라인을 조기에 마련해 주지 않으면 개보법 제정 이후 지난 9년간의 악순환을 되풀이하게 된다”며 “정부의 사회적 합의 노력 부재와 개인정보 처리와 관련해 형사처벌을 전면적으로 도입한 두 문제가 우리나라의 빅데이터 산업 발전을 가로막았다”고 말했다.