[공동 성명]
정보인권 보호가 규제혁파의 대상인가
지난 4월 29일, 정부는 홍남기 부총리 겸 기획재정부 장관 주재로 「제1차 비상경제 중앙대책본부 회의」를 개최하고 「10대 산업분야 규제혁신 방안」(이하 ‘방안’)을 논의하였다. 그런데 이 방안은 ‘코로나19 대응 및 경제활력 제고’를 목적으로 하고 있지만, 대부분 코로나19와 직접적인 관계가 있다기 보다는 경제위기 극복을 명분으로 기업들의 기존 민원을 해결해주겠다는 것에 불과하다. 문제는 ‘규제혁파’라는 포장과 달리 오히려 인권 보호와 공공성을 위한 제도적 안전망을 해체하고 있다는 점이다.
개인정보에 대한 권리 역시 예외가 아니다. 문재인 정부는 개인정보 보호가 ‘대못규제’라는 대한상의의 민원을 그대로 수용하고 있다. 시민사회가 ‘개인정보 도둑법’이라 비판한 소위 ‘데이터 3법’이 올해 1월 국회를 통과했지만 개인정보를 동의없이 활용하고자 하는 기업들의 욕망은 끝이 없다. 현재 ‘데이터 3법’ 시행령 개정안이 논의되고 있는 와중에 정부가 불법 논란이 있는 개인정보 활용까지 부추기고 있는 것은 매우 우려스럽다.
첫째, 이 방안은 8월까지 해설서를 마련하여 “민감정보 활용 촉진을 위해 민감정보도 가명정보에 포함된다는 기준을 제시하는 가이드라인을 제시”하겠다고 한다. 우선 이 과제를 왜 ‘과기정통부’가 주무하는지 의문이다. 개인정보보호법의 해석은 현재는 행정안전부, 데이터 3법이 발효되는 8월 5일 이후에는 통합 개인정보보호위원회 소관이다. 개인정보에 대한 전문성도 인권 의식도 없는 과기정통부가 주무하는 것은 월권이다.
과기정통부가 직접 담당하지 않더라도, 이처럼 ‘데이터 경제 활성화’를 목적으로 개인정보보호법의 해석 기준을 제시하는 것은 우려스럽다. 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보 등 민감정보는 말 그대로 특별한 보호를 필요로 하며 개인정보보호법 23조에 근거해서만 처리되어 왔으며 정부 역시 <개인정보보호법 해설서> 그렇게 해석을 해왔다. 문재인 정부에게는 프라이버시 침해가 큰 민감정보마저 그저 활용의 대상일 뿐인가. 최소한 정부가 자의적으로 해석하는 것이 아니라 먼저 법률에서 어떠한 조건에서 활용할 수 있는지 명확하게 규정해야 하지 않는가.
둘째, 이 방안은 특히 의료데이터를 적극적으로 활용하겠다는 의지를 표명하고 있다. 이를 위해 가명처리된 환자 기록이 의료법 제21조 적용대상이 아님을 보건복지부 지침 개정을 통해 명확화하고, 가명정보를 활용하는 연구는 기관생명윤리위원회(IRB) 심의 면제에 해당하도록 가이드라인 개정하겠다고 한다. 그러나 정부 보도자료에서도 인정하고 있다시피 의료데이터는 민감성이나 재식별 가능성이 매우 높다. 의료법은 제19조, 21조 등에서 의료정보를 제3자에게 제공하지 못하도록 하고 있으며 가명정보 역시 개인정보임은 명확하다. 정부가 자의적인 해석으로 이를 허용하겠다니, 문재인 정부에게 개인정보의 권리나 생명윤리는 신산업 육성을 위해 무시되어도 좋은 가치인가.
셋째, 결합된 가명정보의 전문기관 외부반출 기준을 정립하겠다고 한다. “개인정보보호법과 신용정보법상 결합된 가명정보를 전문기관 외부로 반출할 수 있는 기준이 다르게 규정되어 혼란을 야기”하고 있는 점은 당연히 해결되어야 한다. 그런데 결합된 가명정보의 외부반출은 원칙적으로 허용되어서는 안된다. 왜냐하면 원래의 개인정보처리자가 결합된 가명정보를 반출할 경우 재식별의 위험성이 커지기 때문이다. 개인정보보호법 시행령은 원칙적으로 결합된 가명정보를 ‘분석공간’에서 접근하도록 하고 있는데, 신용정보법 시행령 역시 이를 기준으로 맞춰져야 한다. 외부반출을 적극 허용하는 것은 사실상 2016년 박근혜 정부 당시 <비식별조치 가이드라인>으로 후퇴하는 것이나 다름아니다.
넷째, 가명정보의 결합 전문기관으로 민간기업을 지정하겠다고 한다. 그런데 가명정보의 연계는 정보주체의 동의 없이 이루어질 뿐만 아니라 결합을 통해 식별 가능성이 높아지기 때문에 일반적인 개인정보 처리보다 위험성이 크다. 그래서 국내 개인정보보호법은 개인정보 연계를 개인정보 영향평가 대상으로 규정하고 있으며, 유럽연합 개인정보보호법(GDPR) 역시 마찬가지다. 민간기업 가명정보의 결합을 정부가 지원하는 세계적인 사례가 없다는 점에서 시민사회는 이에 반대해왔는데, 이마저 공공기관이 책임성을 갖고 운영하는 것이 아니라 민간기업이 상업적으로 운영하는 것마저 허용한다면 가명정보 결합으로 인한 개인정보 침해 위험이 더욱 커질 수밖에 없다.
다섯째, 신용카드사가 업무와 관련하여 취득한 정보를 가명·익명조치 후 자문서비스에 활용하는 업무 등을 신고 없이 영위할 수 있도록 하겠다고 한다. 우선 자문서비스에 활용하는 업무 등을 수행하기 위해서는 정보주체의 동의가 필요하다. 자문서비스가 (과학적) 연구에 해당하거나 애초 수집목적과 합리적으로 관련된 범위라고 보기는 힘들기 때문이다. 또한 신용카드사는 여신전문금융업법에 따라 ‘금융이용자 보호 및 건전한 거래질서를 해할 우려가 없는 업무’가 아니라면 금융위원회에 부수업무에 대한 신고가 필요하다. 가명정보를 이용한 자문서비스는 정보주체의 개인정보 자기결정권을 침해할 우려가 있기 때문에 당연히 금융이용자의 보호에 부정적 영향을 미칠 수 있다. 따라서 이 정책은 법적인 근거도 미약할 뿐만 아니라 신용정보주체의 권리를 침해할 우려가 크다.
정보주체의 개인정보 자기결정권은 헌법재판소가 인정한 헌법상 기본권이며 문재인 정부 역시 헌법 개정안에 명시적으로 포함하려고 했다. 또한 최근 빅데이터, 인공지능 기술 등 변화하는 기술 환경 속에서 개인정보의 권리는 침해에 더욱 취약해지고 있다. 그런데 경제 활성화를 명분으로 개인정보에 대한 전문성도 권한도 없는 부처들이 개인정보 정책을 좌지우지하는 것은 바람직한 일이 아니다. 개인정보 보호정책은 오로지 정보주체의 권리를 어떻게 효과적으로 보호할 수 있을지에 대한 관점으로 수립되어야 하고, 개인정보의 활용은 정보주체의 권리를 침해하지 않는 방식으로 이루어져야 한다.
시민사회는 「10대 산업분야 규제혁신 방안」을 즉각 폐기할 것을 요구한다.
2020년 5월 6일
건강권실현을 위한 보건의료단체연합 (건강사회를 위한 약사회, 건강사회를 위한 치과의사회, 노동건강연대, 인도주의실천의사협의회, 참의료실현청년한의사회), 무상의료운동본부, 민주사회를위한변호사모임 디지털정보위원회, 전국민주노동조합총연맹, 진보네트워크센터,참여연대