"행정안전부가 빅데이터 시대의 기업 돈벌이를 위해 동의없이 개인정보를 활용하는 개인정보보호법 개정안을 발의한 데 이어, 금융위원회는 '데이터 경제 활성화'와 '신용정보산업 선진화'를 명분으로 신용정보법 개정안을 발의하면서 거대 금융회사의 데이터 독점과 불공정을 강화하는 정책을 '혁신성장'으로 포장하고 있다."

김하나 민주사회를위한변호사모임 디지털정보위원회 변호사는 지난해 11월 15일 개인정보보호법 개정안에 대한 정부안이 발의되자 이 같이 성토했다. 그럼에도 국회로 넘어간 데이터3법은 진통 끝에 겨우 소관 상임위원회를 통과했지만 다시 법사위 심사에서 발이 묶이며 연내 처리 전망을 흐렸다. 


◆한국의 데이터 3법, 개인정보 '도구화' 우려

현재 국회 본회의 처리를 시도중인 「개인정보 보호법」, 「신용정보의 이용 및 보호에 관한 법률」, 「정보통신망 이용촉진 및 정보보호에 관한 법률」 등 이른바 '데이터3법'이 EU(유럽연합) 기준에서는 합당할 것일까.

우선 개인 데이터를 제품이나 서비스 개발에 활용해 데이터산업을 부흥시키자는 취지를 담은 개인정보보호법 개정안이 가장 큰 논란거리이다. 정부는 누구의 데이터인지 모르게 이름을 블라인드 처리해 엄격하게 관리ㆍ통제한다는 방침이다. 그럼에도 개인에게 활성화된 고유한 정보라는 것이 기술의 원활한 운영을 위한 수단으로 취급 받는다면, 진정한 사람을 위한 기술이라 보기 어렵다는 비판은 잦아들지 않고 있다.

방대한 양의 데이터를 분석하는 기술이 발전하면서 데이터의 가치만 남게 되고, 그 데이터를 구성하는 사람의 정보에 대한 존중은 사라지고 없는 사회. 현재 대한민국 시민사회가 우려하는 점은 법 개정을 통해 이러한 개인정보가 보호받지 못하고 무차별적으로 이용될 수도 있다는 것이다.

또 다른 논란 중 하나인 신용정보보호법은 통계작성과 연구 목적으로 가명으로 명명된 정보 주체의 동의없이 이를 사용하거나 제공하는 것을 허용하자는 안이다.

이 역시 빅데이터 활성화를 명분으로 기업 간 고객정보의 판매와 공유를 허용할 소지가 있어 심각한 개인정보 침해로 이어질 것이라는 우려를 낳고 있다.


◆수십억 달러 '과징금 폭탄'으로 막은 EU 디지털인권

지난해 5월 25일 발효된 유럽연합(EU)의 일반개인정보보호법(GDPR)은 유럽민의 개인정보 보호를 강화하고자 마련된 통합 규정이다. GDPR은 기업이 사용자의 동의없이 개인 정보를 수집하거나 이용할 경우 과징금을 전 세계 매출액의 최대 4%까지 부과할 수 있도록 했다. 

페이스북은 영국 데이터 분석 업체 케임브리지 애널리티카를 통해 8천700만 명의 회원정보를 유출한 것으로 알려지면서 이러한 규제강화 변화의 단초를 제공함과 동시에 당국의 집중적 감시 체제 아래에 놓였다. 

아마존도 같은 이유로 EU 감시망에 걸려 들었다. 소비자가 아마존이 아닌 사이트를 사용할 때 만들어진 정보까지 무차별 수집해 광고 등에 활용 중이라는 혐의이다.

한국 정부가 데이터3법 중 '가명'이라는 보호장치를 쓰겠다고 하지만 개인정보의 범위를 지나치게 축소한 점이 눈에 들어온다. 개인정보처리자가 직접적인 개인 식별이 힘들다면 개인정보가 아닌 것으로 간주했으나 제 3자가 개인식별이 가능한 결합 정보를 가지고 있다면 이 역시 개인정보로 봐야한다는 것이 EU의 시각이다. 

또한 '새로운 기술ㆍ제품ㆍ서비스의 개발' 범위를 과학적 연구로 보고 서로 다른 기업의 고객정보를 공공기관이 결합한 후에 이를 반출할 수 있도록 한 점도 개인정보 판매를 합법화할 가능성이 있다는 비판이 가능하다.
 

개인정보의 활용에만 초점이 맞춰져 정보주체의 권리인 디지털 인권을 등한시 했다는 측면에서 EU의 GDPR의 취지와는 상당한 유격이 있어 보인다.

EU는 페이스북이나 구글의 데이터 취급 행위가 데이터 독점이고 경쟁저해 행위라고 판단하고 있다.

1일 로이터통신 등 외신에 따르면 EU 반독점 규제기관은 구글의 데이터 수집과 방법에 관한 재조사에 들어갔다. 조사 목적은 구글이 EU의 범령 아래 올바르게 데이터를 활용해 수익을 창출하는지 여부다.

범위는 지역검색 서비스, 온라인 광고, 온라인 광고 타케팅 서비스, 로그인 서비스, 웹 브라우저와 기타관련 데이터 등으로 넓다. 로이터 통신은 구글의 영업 방식을 묻는 설문을 이미 구글 측에 전발하는 방식으로 예비조사에 들어갔다고 밝혔다. 

구글은 이미 지난 2년간 약 80억 유로에 달하는 벌금과 함께 사업 관행 개선 명령 이행을 강제 당해 왔다. 이를 위해 데이터 사용서비스 개선과 함께 사용자가 직접 데이터를 관리하고 삭제할 수 있도록 개정했으나 위법 논란은 끊이지 않고 있다. 


◆한국의 데이터 3법, EU는?

GDPR은 세계에서 가장 강력한 개인정보보호법 중 하나이다. 개정법에 따라 개인 정보를 수집하고 저장하는 방법, 사용 방법 및 개인 데이터 삭제를 요청할 수있는 권한 등을 소비자에 제공해야 한다. 또한 회사는 소비자에 대한 데이터 수집 및 사용 방법을 명확하게 설명하고 사전에 동의를 얻도록 명시하고 있다. 만일 EU국가나 시민을 대상으로 한 사업을 원하는 한국 기업이라면 이 조항을 눈여겨 봐야 할 것이다.

그런데 한국 정부는 유럽의 GDPR 내 개인정보 조항을 참조하겠다고 밝혔지만 국회에 상정된 법안은 그 수준에 미달했다는 평가다. 현재 개정안이 국회를 통과한다고 해도 정부가 기업들의 고객정보 활용을 지원하는데 급급한 나머지 합법적 개인정보 유출의 길을 열었다는 논란은 끊이질 않고 있다. 

정부가 4차 산업혁명 시대에 맞는 개인정보보호 체계 개선을 진정으로 원한다면, 시민과 소비자를 데이터 생산 뿐만 아니라 소비의 주체로 인식하고 모든 경우에서 신뢰할 수 있는 법안을 만들어야 한다는 요구가 등장한 이유다. 

이와 관련한 전문가 평가는 냉정하다. 경제정의시민실천연합 등 13개 시민단체는 그간 신용정보산업 선진화 방안에 대해 지속적인 반대활동을 진행해 왔다. 이들은 디지털 정보산업 부흥을 위한 법안 마련에 앞서 기본적인 인권과 그 속에 담긴 개인정보 보호가 최우선 고려대상이 돼야 한다고 주장하고 있다. 윤철한 경실련 국장은 "데이터 독점 기업이 개인정보의 집적과 활용을 통해 이익을 추구한다면 소비자 권리는 침해될 수밖에 없다"고 지적했다. 또 오병일 진보네트워크센터 활동가는 "신용정보법 개정안은 허락 없이 개인정보의 무분별한 수집과 판매를 허용하고 있다"고 비판했다.