개인정보 보호는 빅데이터 시대에 더 중요…정부·대기업' 빅브라더' 역할 우려
"전세계는 빅데이터 시대를 맞아 개인정보를 보호하는 방향으로 가고 있다. 유럽연합은 GDPR(통합개인정보보호 법규)을 통해 빅데이터 시대 소비자 보호 장치를 강화하고 있다. 2018년 적용한다. 이 법은 개인정보 주체의 동의권을 강화했다. 프로파일링을 거부할 권리도 담았다. 유럽 시민 단체들은 개인정보 보호가 이것으로도 부족하다고 주장한다. 반면 한국은 이와 반대로 가고 있다. 재식별화가 가능한 비식별 정보를 개인 동의 없이 상업적으로 이용하도록 하려한다.
장여경 진보네트워크 활동가의 말이다. 그는 특히 "비식별정보를 이용하려면 헌법이 보장하듯 개인 동의를 얻어야 한다. 거부권도 있어야 한다"고 강조한다.
카드3사의 고객정보 1억건 유출, 홈플러스의 개인정보 2400만건 보험사 판매 사태 등 최근 대규모 개인정보 유출이 잇따랐다. 개인정보 보호에 대한 시민 관심도 높아졌다. 이 상황에서 정부는 개인정보를 비식별화해 개인 동의 없이 상업적으로 이용하도록 할 방침이다. 빅데이터산업 활성화를 위해서다. 행자부는 개인정보 비식별조치 가이드라인을 지난 6월 발표했다. 금융위도 비식별화한 개인신용정보를 이용할 수 있도록 한 신용정보법 개정안을 입법예고했다.
장여경 활동가는 19일 인터뷰를 통해 정부의 개인정보 보호 완화 방침 문제점을 조목조목 밝혔다. 그는 정보인권 보호를 위해 활동하고 있다.
그는 개인정보 보호의 중요성이 더 커졌다고 밝혔다. 현행 개인정보보호법이 개인정보를 충분히 보호하지 못하기 때문이다. 빅데이터 시대 개인정보 보호는 더욱 중요한 과제가 됐다. 그럼에도 정부는 개인정보 보호 수준을 더 낮추려 한다고 말했다.
"현재 개인정보보호법은 충분히 개인정보를 보호하지 못하고 있다. 홈플러스의 회원 개인정보 보험사 판매 무죄 판결이 그 예다. 홈플러스가 개인정보 판매로만 얻은 이득이 231억원이다. 이 사건은 1심, 2심 모두 무죄 판결을 받았다. 법원에서 무죄 판결을 내린 근거가 법에 유상 판매를 알리라는 조항이 없다는 것이다. 개인정보보호법을 고쳐서 소비자들이 자신의 정보가 팔리는 것을 알고 거부권도 행사할 수 있어야 한다."
"빅데이터 산업 자체는 환영한다. 단 빅데이터 시대에는 개인정보 보호를 더 강화해야 한다. 개인들은 자신도 모르게 기업이나 사회 서비스로부터 차별 받을 수 있다. 빅데이터로 자신도 모르게 만들어지는 신용등급이 그 예다. 기업들은 빅데이터 정보를 자사 이득을 위해 사용한다. 기업과 개인의 정보 격차도 더 커진다."
장여경 활동가는 "이 상황에서 정부는 오히려 개인정보보호 규제 수준을 더 낮추려 하고 있다"며 "비식별정보를 정보 주체의 동의 없이 처리(수집, 이용, 제공, 판매)하도록 추진하고 있다. 이는 현행 개인정보보호법을 위반하는 것"이라고 말했다.
"개인 동의 없이 비식별정보를 이용하려는 방침은 국민의 자기 정보에 대한 통제권을 잃게 만든다. 비식별화한 자신의 개인정보를 어느 기업이 가지고 있는지, 어떻게 이용하는지, 비식별 조치가 어느 정도나 안전한지 국민들은 알 수 없다. 국민들은 자기 정보의 통제권을 잃은채 개인정보 유출 사고가 터질 때마다 불안에 떨어야 한다."
그는 헌법이 보장하듯 개인정보 처리 시 정보주체의 동의를 꼭 받아야 한다고 밝혔다.
"내(정보 주체) 개인정보를 정부·기업이 이용하려면 헌법에서 보장한 내(정보 주체) 동의를 받아야 한다. 내 정보를 비식별할지에 대한 동의, 비식별한 내 정보를 다른 기업에 팔지에 대한 동의를 구해야한다. 국민은 이를 거부할 권리도 있다."
"헌법재판소는 2005년 개인정보 자기결정권이 우리 헌법에서 보호하는 기본권이라고 선언했다. 개인정보 자기결정권이란 자신의 개인정보 공개와 이용을 스스로 결정하는 것이다. 헌재에 따르면 공개된 개인정보의 수집과 이용도 정보주체가 결정할 수 있다."
헌재는 2005년 5월 '개인정보 자기결정권은 자신에 관한 정보가 언제, 누구에게, 어느 범위까지 알려지고 이용되도록 할 것인지 정보주체가 스스로 결정할 수 있는 권리다. 즉 정보주체가 개인정보의 공개와 이용에 관해 스스로 결정할 권리를 말한다'고 밝혔다.
특히 장여경 활동가는 개인(신용)정보를 비식별하더라도 언제든지 재식별이 가능하다고 밝혔다. "개인정보를 비식별화 해도 페이스북 등 다른 정보들과 결합하면 재식별이 가능하다. 지금처럼 SNS가 넘쳐나고 빅데이터를 이용하는 시대에는 그 가능성이 더 높다. 정부기관과 대기업들은 비식별 정보를 받아서 자사가 가진 정보와 결합시키면 재식별 할 수 있다."
"행정자치부는 6월 개인정보 비식별조치 가이드라인을 통해 비식별화 안전장치로 'k-익명성' 모델을 내세웠다. 그러나 이 모델을 이용하더라도 재식별화가 가능하다. 동일한 정보를 가진 레코드가 비식별돼 하나의 동질 집합으로 구성되면 정보가 노출된다. 정보를 재식별화하려는 자의 배경지식이 많아도 재식별 할 수 있다. 이처럼 k-익명성은 재식별이 가능하기에 이후 l-다양성 등 새 모델들이 개발됐다. 그럼에도 정부는 낮은 안정성 수준을 가진 k-익명성을 사용하려 한다."
그는 정부가 비식별정보의 재식별화가 가능한 점을 인지하고 있다고 밝혔다. 재식별이 어려운 정보는 상품 가치가 없기 때문이다. 실제로 행자부는 비식별조치 가이드라인을 통해 k-익명성 모델이 동질성과 배경지식에 의해 재식별화가 가능하다고 스스로 밝혔다.
"정부 스스로 개인정보를 비식별화해도 재식별이 된다는 것을 안다. 정부가 모순된 모습을 보이는 것은 재식별화가 안되는 개인정보는 상품 가치가 없기 때문이다. 이에 정부는 재식별이 불가능한 익명화가 아닌 비식별화 조치를 택했다. 기업도 재식별이 가능해야 정보를 산다. 정부는 개인정보 거래 활성화를 목적으로 삼고 있다."
"정부나 대기업에 의한 정보 인권 침해, 빅브라더 상황도 가능하다. 한 기관에 개인의 사상, 종교, 건강 정보 등이 집중되면 인권 침해로 남용될 수 있다. 문제는 이러한 상황이 발생해도 정부가 추진하는 법 개정에 따라 적법한 것이 된다는 점이다."