(사)정보화사회실천연합

데이터3법 통과로 건당 10원에 팔려질 개인정보를 가공한 가명정보

0 681

데이터3법(개인정보보호법·신용정보법·정보통신망법 일부 개정법률안)이 국회 가결로 개인정보가 정보 주체인 국민의 의사와 무관하게 가명정보라는 이름으로 팔려 다니게 되고 말았다.

금번 통과된 데이터3법은 개인정보의 자기결정권 침해 및 가명정보이용에 대한 통제권이 부실한 내용으로 유럽연합(EU) 및 일본의 개인정보보호법 보다 미흡한 수준이다.

또한 개인정보보호 관련 법체계를 단일화하지 못하고 망았다. 정보통신망법은 개인정보보호법으로 단일화 되었으나 여전히 신용정보법은 개별법로 유지하게 되어 국민은 하나인데 개인정보관련 소관부처는 두개 행정기관이 서로 다른 기준으로 정책을 유지하게 되었다.

이는 정부와 국회가 데이터산업 육성이란 명분하에 국민의 사생활 침해보다 기업 민원을 처리하는 거수기로 전락한 모습을 보이고 있다.

국가는 국민에 의해 태어났으나,

정부와 국회는 국민 활동의 부수적인 조직인 기업을 위한 행위에 앞장서고 있다.

개인 정보, 가명정보, 익명정보가 어떻게 다른가?

데이터3법의 가명정보는 개인정보를 비식별화 처리한 정보로서 이를 개념적으로 구분하면 가명화정보, 익명화정보로 나눌 수 있으며, 이중 가명화정보가 데이터3법의 가명정보에 속한다.

○ 익명정보(Anonymous Data) vs 비식별화정보(de-identification Data)

  • Anonymous Data : 정보의 수집 단계에서 근원적으로 개인을 식별할 수 없는 형태로 수집한 정보
  • de-identification Data : 개인을 식별할 수 있는 상태에서 수집한 정보를 비식별화 과정을 통하여 개인을 식별할 수 없게 처리한 정보

*) 익명정보와 비식별화정보의 차이는 수집 단계에서 개인정보 수집자가 정보 주체를 인지할 수 있는 정보를 포함하여 수집한 정보인가 이다. 따라서 개인정보로 수집된 정보를 가공하여 개인을 식별 할 수 없도록 한 정보는 모두 비식별화 정보이다.

익명 정보와 비식별화 정보는 표면적으로는 개인을 식별할 수 없으나, 비식별화는 재식별화의 위험성이 내포되어 있고, 개인을 작은 단위로 그룹화하여 개인을 관리하는 것이 가능하다.

비식별화(de-identification)는 익명화와 가명화를 포함하는 과정이다.

  • 익명화(anonymization)와 가명화(pseudonymization)는 비식별화를 하는 단계
  • 익명화 정보(anonymization data) : 관련된 개인을 식별할 수 없게끔 특정 정보를 처리한 상태로 ‘A와 B가 누군지는 모르지만 둘은 서로 다르다는 구별은 가능한 것’
  • 가명화 정보(pseudonymization data) : 개인정보를 포함한 정보에서 식별자를 가명(pseudonym)으로 대체하여 관련된 개인과의 연결성을 제거한 상태로 ‘특정 개인을 알아볼 수 없는 형태’로 처리된 것

 

가명정보의 범위

가명정보는 아래 그림과 같이 가명화의 스펙트럼이 넓어 개념만으론 개인의 사생활을 보호하는데 모호한 개념이다.

가명정보 수준

이처럼 모호한 가명정보 개념을 기반으로 국회가 통과시킨 데이터3법은 개인정보의 무분별한 판매와 공유를 허용한 통제불능의 폭주기관차를 출발 시킨 것과 같으며, 또한 정보 주체의 알 권리와 동의권을 박탈하고 있다.

붙임자료 : 일본의 개인정보보호법 (익명가공 부분) 2015년 법률 제57호

 

데이터3법 처리 과정

374회 임시 국회 제2차 본회의는 자유한국당이 불참한 가운데, 151명의 의원들이 출석하여 개인정보보호법 개정안은 본회의 표결서 재석 151인 중 찬성 116인, 반대 14인, 기권 21인으로 가결됐다. 정보통신망법 일부 개정안은 재석 155인 중 찬성 137인 반대 7인 기권 11인, 신용정보법 개정안은 재석 152인 중 찬성 114인, 반대 15인, 기권 23인으로 가결됐다.

데이터3법
국회방송 갈무리 (2020.01.09)

다만, 개인정보보호법과 신용정보법 일부 개정법률안이 표결에 부쳐지기 직전 반대 의견이 제시됐다.

정의당 김종대 비례대표 의원이 법률안 통과를 반대 의견으로 “개인정보보호법 개정안에 가명정보 동의없이 처리할 수 있다고 돼 있는데 가명 처리 개인정보 기업이 상업적 목적으로 동의없이 수집하고 활용, 제3자 제공까지 가능하게 한 것”이라며 “정보 주체의 결정권이 전혀 고려되지 않았다. 정부와 여당은 합의했다고 하지만 그렇지 않으며, 모든 사람들은 정보를 보장받고 통제할 권리를 갖는다는 지난해 3월 문재인 대통령의 주장을 뒤집는 것”이라고 지적했다.

또 정의당 추혜선 의원은 신용정보법 개정안 반대 의견으로 “개인 재식별될 가능성 있는데 신용정보법 개정안의 경우 보호·감독 체계가 엉성하다”면서 “정보 주체 자기결정권 침해는 물론 빅데이터 경쟁력 약화 불러올 수 있어 숙의 과정을 거쳐야 한다”고 말했으며,  “금융사의 대규모 정보 유출 사고에 대한 반성 조치인데 이를 무의로 돌리는 것이며, 소셜네트워크서비스(SNS) 데이터도 신용평가사가 동의없이 활용하는 것도 문제”라고 꼬집었다. 그는 또 “게시물을 올릴 때마다 자기 검열을 할 수밖에 없으며, 신용등급 하락을 걱정해야 하는 등 프라이버시 침해”라고 덧붙였다.

이 외에 추혜선 의원은 “신용정보법 개정안을 발의한 금융위원회가 과도한 감독 권한을 갖고 있다”고도 지적하였다.

개인정보보호법 개정안은 특정 개인을 식별할 수 없도록 처리한 가명 정보를 본인 동의 없이 통계 작성, 연구 등 목적으로 활용할 수 있도록 하는 내용이다. 개인정보보호법 개정안은 2019년 11월 27일 행정안전위원회서 상정돼 가결됐다. 이틀 뒤인 11월 29일 법제사법위원회에 상정됐으나 전체회의서 통과하진 못했다. 그러나 당일 개인정보호법 개정안이 법제사법위원회서 가결, 본회의에 올랐다.

신용정보법 개정안은 상업 통계 작성, 연구, 공익적 기록 보존 등을 위해 가명 정보를 신용 정보 주체의 동의 없이 이용·제공하는 것이 핵심이다. 신용정보법 개정안도 지난해 11월 29일 정무위원회 심사서 대안이 가결된 이후 법제사법위원회에 상정됐다. 신용정보법 개정안도 당일에 수정 가결됐다.

글을 남겨주세요.

이 사이트는 스팸을 줄이는 아키스밋을 사용합니다. 댓글이 어떻게 처리되는지 알아보십시오.

이 웹 사이트에서는 사용자 환경을 개선하기 위해 쿠키를 사용합니다. 우리는 당신이 괜찮다고 생각하겠지만, 당신이 원한다면 거절할 수 있습니다. 동의 더 읽기