AI산업 발전 위해 정보인권 희생시키는 데이터3법 개악

글 | 박우성 (투명사회국)

예를 들어 A보험사는 신상품 개발 연구를 목적으로 B통신사의 가명처리된 고객정보를 제공받을 수 있다. 또한 동시에 A보험사는 전문기관을 통해 자신의 고객정보를 C포털의 고객정보와 결합할 수 있다. 이런 식으로 A보험사, B통신사, C포털, D유통사, E병원 등이 자신의 고객정보를 서로 판매, 공유, 결합할 수 있게 되는 것이다. 이미 카카오와 현대중공업지주, 서울아산병원이 손을 잡았고 네이버와 대웅제약, 분당서울대병원이 손을 잡은 상황이다.

- “데이터3법 ‘가명처리’하듯 국민 눈 가릴텐가”, 월간 <참여사회>, 2019,12월호

그림출처: 진보네트워크(www.jinbo.net)

위 글을 읽으면서 사람들은 어떤 생각을 할까? 엄청난 숫자의 개인정보 유출 사건이 반복적으로 일어난 덕분에 어느 정도 면역이 생긴 우리나라 사람들에게는 이 정도의 개인정보 공유 및 활용이 별일 아니라고 여겨질 수도 있다. 하지만 이것을 가지고 부가적인 수익을 올리는 서비스 상품을 개발하거나 더 나아가 이런 정보를 모아서 판매하는 일도 가능하도록(아직은 미국에 국한된 얘기다) 법이 개정된 사실을 알게 되면 태도가 조금 바뀔 수도 있을 것이다. 나한테 묻지도 않고 내 정보를 사고팔수 있게 된다면 말이다.

우리나라에서는 앞으로 개인정보 보호가 가능하기는 한 것이냐 싶을 정도로 심각하고 치명적인 대규모 정보유출 사고가 여러 차례 일어났었다. 하지만 제대로 된 처벌과 보상이 이루어진 적은 없다. 실효성 있는 보완대책이 이루어졌는지 확인도 안 된다. 우리나라의 개인정보는 이미 다 털려서 한 명당 10원 정도면 구입할 수 있다는 얘기가 공공연하게 떠돌아다니고 있다. 주민등록번호 하나로 기본적인 신상이 다 드러나 버릴 정도로 강력하게 구축되어 있는 행정시스템도 위험성을 키우는 요인으로 여겨진다. 사람들의 개인정보 유출에 대한 경계나 관련 인식도 여전히 낮은 수준에 머물러 있는 것이 현실이다. 오죽하면 시스템 밖으로 도망가는 것이 가장 안전하다고 여길 정도로 정보보안과 관련된 정부 대책에 대해 불신이 팽배하다.

그 중요성에 비해 상대적으로 주목을 받지 못한 데이터3법 개정안이 지난 1월 9일 국회에서 통과됐다. 데이터 3법은 빅데이터 산업에 활용되는 개인정보의 보호와 관리 등을 규정한 개인정보보호법, 정보통신망법, 그리고 신용정보법을 가리킨다. 이번 법률 개정은 IT·금융·유통 등 산업에서 빅데이터 분석을 위해 비식별조치된 가명정보를 활용할 수 있도록 규제를 낮추는 것을 골자로 하고 있다. 그런데 왜 이번 법률 개정을 두고 기업이 돈벌이를 위한 수단으로 개인정보를 판매할 수 있도록 만든 개악이라는 평가가 나오고 있는 걸까.

첫 번째 문제는 정부와 산업계가 지적하는 것처럼 정말로 기존의 개인정보 보호법이 빅데이터 관련 산업의 발목을 잡고 있는가 하는 점이다. 정부와 산업계는 정보제공 동의 등 우리나라의 개인정보 규제 수준이 너무 강해서 데이터 기반 산업의 발전을 가로막고 있다며 규제혁신 또는 규제 효율화라는 명분으로 법개정 필요성을 역설해왔다.

그러나 이것은 한 마디로 견강부회 격의 거짓말이다. 정부가 동원하는 유럽 개인정보보호규정(GDPR, General Data Protection Regulation)의 수준에 맞춘 정보규제 완화라는 것은 그 자체로 모순이다. 유럽과의 데이터 교류를 가로막고 있는 것은 오히려 개인정보 보호 대책이 부족하다는 측면이 더 주된 이유였기 때문이다. 우리나라의 개인정보 보호 수준을 유럽의 GDPR에 맞추기 위해서라면 기존 행정안전부, 방송통신위원회, 금융위원회 등으로 분산되어 있는 개인정보 감독 기능을 일원화하고 독립성이 보장되도록 하는 것이 핵심이라고 할 수 있다. 하지만 개정 법률은 이 부분을 충분히 보완하지 못했다. 개인정보 감독권한이 개인정보보호위원회로 일부 통합되긴 했지만 신용정보에 대한 감독은 여전히 금융위원회가 담당하도록 되어 있다는 점이나 개인정보보호법과 신용정보법 사이의 중복 및 모호성 역시 완전히 해소되지 않은 점 등이 대표적이다.

두 번째 문제는 ‘가명정보’의 활용과 관리 문제다. ‘가명정보’라 함은 개인정보의 일부 내용을 제거해서 특정 개인을 식별할 수 없도록 처리한 정보를 말한다. 이러한 ‘가명정보’는 태생적으로 몇 가지 정보만 더해지면 손쉽게 개인의 신상정보가 파악될 위험성을 안고 있다. 이 점은 정부나 산업계도 일반적으로 인정하는 부분이다. 정부는 개인정보 보호와 활용의 균형을 이루기 위해 법률에서 개인정보 보호와 관련된 안전 조치를 강화했다고 하지만 산업계는 어느 정도의 개인정보 오픈은 빅데이터 산업 발전이나 이를 통한 인공지능, 사물인터넷 등의 기술 개발을 위해 불가피한 측면이 있다는 입장이다. 

법률 통과 전부터 논란이 되었던 정보 주체의 동의 없는 ‘가명정보’ 활용 논란은 결국 현실화된 셈이다. 결국 이번 법개정은 ‘과학적 연구’를 빙자해 정보 주체에게 동의를 받아야 하는 의무를 회피할 수 있는 근거를 제공하기 위해 무리하게 추진한 것이라고 평가할 수밖에 없다.

마지막으로 이번 법률 개정안의 추진 과정에서 드러난 정부와 여당의 문제다. 정부는 데이터와 인공지능의 결합이 다양한 새로운 산업을 만들어 낼 것이라며 장밋빛 전망만을 제시했다. 우려의 목소리는 일방적으로 무시됐고 더불어민주당은 해당 법률개정안을 비쟁점법안으로 분류해서 제대로 된 의견수렴 한 번 없이 일사천리로 법을 통과시켜 버렸다. 박근혜 정부가 충분한 논의 없이 ‘개인정보 비식별조치 가이드라인’을 밀어붙이던 2016년의 모습과 판박이다.

개혁이나 효율이라는 이름으로 우리의 안전과 인권을 시장에 넘겨줘버리는 구시대적인 발상이 아직도 작동하고 있다는 사실에 두려움과 걱정이 앞서는 것은 너무 당연하다. 인공지능 산업의 발전을 위해 시민의 정보인권을 희생시켜야 한다면 그 발전은 도대체 누구를, 무엇을 위한 것이란 말인가?