(사)정보화사회실천연합

데이터3법, 사생활침해 대책없이, 누가 개인정보 활용을 동의하나?

0 751

데이터3법, 사생활침해 대책없이, 누가 개인정보 활용을 동의하나?

데이터 산업 육성이란 명분만으로 … 데이터3법 강행


데이터 산업을 필요한 데이터가 개인정보 뿐인가?

데이터 산업, 데이터 산업을 외치는 기업들은 개인정보만이 데이터 산업의 자원인 것처럼 외친고 있다. 데이터는 개인정보뿐만 아니라. 기업 내부에도 차고 넘치는 것이 데이터이다.

기업내부 데이터로는 일상적으로 발생하는 재무 데이터, 법인카드 이용내역 등이 대표적인 데이터이며, 생산시설에서 발생하는 각종 센서 데이터 등 데이터산업을 활성화하는데 활용이 가능한 데이터들이다.

그런데 기업들은 영업비밀이라면 절대로 같이 활용하려 하지 않는다. 그러면서 개인정보는 비식별화하여 활용할 수 있도록 하여야 한고 외치고 있다. 남의 것을 팔려 하지 말고 기업내부에 있는 데이터도 비식별화하여 기업도 기업 내부 데이터를 개방하여 활용할 수 있도록 하여야 할 것이다.

또한 사물인터넷을 통하여 개인들이 보유하고 있는 각종 기기의 데이터는 수집단계에서 익명화를 통하여 수집할 수 있으나 이에 대한 노력과 투자는 하지 않고 개인정보로 수집하여 손쉽게 활용하려고만 하고 있다.

기업들은 데이터 산업이 중요하다고 외치기만 하지 기업내부의 데이터를 어떻게 활용이 가능한지에 대한 고민도 없고, 개인정보를 어떻게 하면 안전하게 활용이 가능한가에 대한 노력도 없이  개인정보를 활용할 수 있어야 한다고 주장한다.

세상에 넘치고 넘치는 것이 데이터인데 아무런 노력 없이 그저 국민의 사생활을 재물 삼아 손쉬운 돈벌이로 데이터 산업을 왜곡하고 있다.

 

데이터3법 주요 내용
데이터3법 주요 내용

 

데이터3법 누구를 위한 법인가?

데이터3법 중 하나인 개인정보보호법은 특정 개인을 식별할 수 없도록 처리한 가명 정보를 본인 동의 없이 통계 작성 및 연구 등의 목적으로 활용할 수 있도록 하는 내용을 담고 있다. 이는 ‘목적 제한’, ‘최소 수집’, ‘목적 달성 후 폐기’라는 개인정보처리의 가장 큰 기본 원칙을 훼손할 우려가 있다.

가명정보는 언제든 다른 데이터와 결합되면 누구의 정보인지 식별이 가능하다. 따라서 정보 주체의 권리 보호를 위한 장치가 반드시 병행되어야 한다.

특히 가명정보의 결합은 개인정보를 가명처리하여 기업의 이해관계에 따라 서로 주고받는 형태가 가능하며, 이는 기존 보유하고 있는 개인정보를 통하여 타 기업이 제공한 가명정보를 통하여 특정 개인의 다른 영역(질병, 금융, 신용, 쇼핑 등)의 정보를 파악할 수 있어 이는 개인의 사생활을 보장 할 수 없는 상태가 된다.

가명정보는 추상적 개념으로 가명정보의 “추가정보의 사용 없이“라는 전제조건은 현실세계에서 통제할 수 없는 범위이다. 따라서 개인정보의 범위에 속하는 가명정보에 대하여 정보주체의 권리를 보장하여야 한다.

개인정보, 가명정보, 익명정보의 개념 차이
개인정보, 가명정보, 익명정보의 개념 차이

데이터3법이 이대로 통과되면, 민감한 질병정보에서부터 신용정보, SNS에 쓴 정보까지 기업의 상업적 목적에 활용될 수 있다. 정보주체는 동의권은 물론 정보열람권, 삭제요구권, 정보 이전 및 개인정보 유출에 대한 통지받을 권리 등도 인정받지 못한다.

과학기술정보통신부가 제시한 개인정보, 가명정보, 익명정보의 예시
개인정보 원본, 가명정보, 익명정보 예시. 행정안전부 2018.11.21

위의 예시(제대로 된 가명정보 예시)에서 핸드폰 번호를 암호화하면 가명정보로 개념을 적용하는 것은 잘못된 것으로 핸드폰번호를 암호화 하든, 안 하든 핸드폰번호가 갖는 유일성이 없어지지 않으므로 형태가 바뀐다고 하여도 특정 개인을 유일하게 구분하는 정보로 존재하게 된다.

이와 같은 방식의 가명화는 특정 개인을 구분하는데 차이가 없으므로 한마디로 눈감고 야옹 하는 격이다.

개인정보를 보유하고 있는 주체가 고유식별자인 주민등록번호, 여권번호 등을 가지고 개인 식별하는 것과 핸드폰번호로 개인을 식별하는 것과 무슨 차이가 있나?

이와 같은 논리는 주민등록번호도 그 자체만으로 현실의 사람이 누구인지 알 수가 없으므로 고유식별자를 특별히 법으로 엄격하게 제한할 필요도 없지 안는가?

정보주체의 동의권을 약화시킬 우려가 있는 데이터3법에 개인 정보를 보호할 수 있는 대안이 마련돼야 한다. 먼저 질병정보, 신용정보 등과 같이 민감한 정보에 대해서는 가명 처리를 제한해야 하며, 가명 처리된 정보라도 정보주체에 대한 권리는 보장해야 한다. 가명정보에 대한 열람권, 삭제권, 사용에 대해 통보 받을 권리, 처리 정지권 등을 보장해야 할 것이다.

박근혜 정부의 비식별화 조치보다 못한 가명정보

정부 또한 과거 인터넷실명제 제도에 의하여 기업들이 개인정보를 무차별적으로 수집하도록 하였으며, 이로 인하여 기업이 보유한 개인정보는 해킹으로 셀 수도 없이 유출되어 보호받아야 할 개인정보를 공용 정보로 전락시켰듯이 아무런 보완책 없이 과거 정부의 법안을 모방하여 데이터 산업 발전이란 명분으로 개인정보를 활용하게 하려 있어 문재인 정부의 국정목표인 국민이 주인인 국가를 위해 노력하는 정부인지 정부 스스로 자문이 필요로 하다.

처벌조문으로 개인정보를 보호하는데 충분하다고 주장하는데 이는 ‘소 잃고 나서 외양간을 고치는‘ 격으로 개인정보를 보호하는데 있어 부수적인 수단에 불과하다.

이는 박근혜 정부 때 비식별화 조치의 개념보다 느슨한 가명정보의 활용은 개인정보에 대한 보호조치를 포기하는 것과 같다.

진정 데이터 산업의 발전이 절실하면 기업 스스로 먼저 내부의 데이터를 활용하고, 사생활 침해를 최소화 할 수 있는 노력과 방안을 제시하여 국민의 신뢰를 얻는 것이 먼저이다.

글을 남겨주세요.