1. 개요
데이터 3법 신용정보법 개정안은 상업 통계 작성, 연구, 공익적 기록 보존 등을 위해 가명 정보를 신용 정보 주체의 동의 없이 이용·제공이 핵심이다.http://it.chosun.com/site/data/html_dir/2020/01/09/2020010903896.html2. 특징
데이터 이용을 활성화하는「개인정보 보호법」,「정보통신망 이용촉진 및 정보보호 등에 관한 법률(약칭 : 정보통신망법)」,「신용정보의 이용 및 보호에 관한 법률(약칭 : 신용정보법)」등 3가지 법률을 통칭한다.4차 산업혁명 시대를 맞아 핵심 자원인 데이터의 이용 활성화를 통한 신산업 육성이 국가적 과제로 대두되고 있다. 특히, 신산업 육성을 위해서는 인공지능(AI), 인터넷기반 정보통신 자원통합(클라우드), 사물인터넷(IoT) 등 신기술을 활용한 데이터 이용이 필요하다. 한편 안전한 데이터 이용을 위한 사회적 규범 정립도 시급하다. 데이터 이용에 관한 규제 혁신과 개인정보 보호 협치(거버넌스) 체계 정비의 두 문제를 해결하기 위해 더불어민주당 김병관 의원에 의해 데이터 3법 개정안이 발의됐다. (‘18.11.15)*
당시 시급히 처리해야할 안건이었음에도 1년넘게 지지부진하다 2020년 간신히 통과되었다.
법률 개정안은 대통령 직속 4차산업혁명위원회 주관으로 관계부처·시민단체·산업계·법조계 등 각계 전문가가 참여한 ‘해커톤’ 회의 합의결과*(’18.2,’18.4)와 국회 ‘4차산업혁명 특별위원회’의 특별권고 사항**(‘18.5)을 반영한 입법조치다. 시민단체, 산업계, 법조계, 학계 등의 다양한 의견수렴 절차를 거쳐 마련됐다.
- 데이터 결합의 법적 근거를 마련하되, 국가지정 전문기관을 통한 데이터 결합만 허용
- 가명정보 활용과 결합에 대한 안전장치 및 사후통제 수단 마련
3. 기대효과
개정 목적ㅇ 빅데이터 분석·이용의 법적 근거 명확화와 빅데이터 활용의 안전장치 강화
ㅇ 「개인정보 보호법」과의 유사ㆍ중복 조항을 정비하는 등 데이터 경제의 활성화를 위한 규제 혁신
ㅇ 금융분야 데이터산업으로서 신용정보 관련 산업에 관한 규제체계 선진화
ㅇ 새로운 개인정보 자기결정권의 도입
- 정보활용 동의 제도의 개선, 개인신용정보의 전송요구권(Right to data portability), 자동화평가(Profiling)에 대한 신용정보주체의 설명 요구권 등
ㅇ 데이터가 전(全)산업의 가치창출을 좌우하는 ‘데이터 경제 시대’ 전환에 맞춰 금융산업 새로운 성장동력 확보
ㅇ EU GDPR*등 국제적 데이터 법제와의 정합성 제고로 전세계 데이터 경쟁에 참여할 수 있는 기반 마련
4. 문제점
데이터 3법은 언젠가 반드시 만들어졌어야만 하는 법안이었다. 빅데이터 시대이고 또 유럽 법안이 새로 생기면서 유럽에서 사업하기 어려워졌다. 다만 우려되는건 데이터 3법의 통과 자체가 아니다. 모범적인 유럽 GDPR 선례를 참고하고 만들었음에도 불구하고 GDPR 수준의 개인 정보보호 방안 대신 더욱 뒤떨어지는 정책을 만들어낸 점. 개인보호는 뒤로하고 오직 기업에게 유리하게 해논 점이다."가명"으로 개인의 동의 없이 정보만 제공한다 보기엔 안전해 보인다. 게다가 이 법 없이도 원래 정부기관에서 이미 기업에게 익명으로 정보를 제공하고 있었다. 불법임에도 불구하고. 정말로 개인 정보를 기업에게 풀어 제공한다고쳐도 선량한 일반시민에게 무슨 어떤 악영향이 있겠나? 설명해보겠다.
예를 들어본다. 은행의 신용정보, 카드회사 카드 소비패턴, 결제한 장소, 통신사 통화내역과 위치, 각종 요금 내역, 연체내역, 스마트 장비 현재 위치, GPS, 은행 대출내역, 보험회사 개인 보험 정보, 국민이 모르는 사이에 통보도 없이 이 모든 정보들을 기업들 끼리 사고 팔게 된다.
커다란 데이터 베이스를 대기업끼리 공유해 만들어 놓을수도 있겠다. 이를 토대로 무슨짓을 하게 될까? 국민의 다양한 정보를 익명으로 제공한다고 쳐도 그 많은 정보를 서로 대조하면 특정인을 충분히 인식하고도 남는다. 이는 전문가들이 수차례 경고하고 우려했던 부분이다. 분석 비용이 비싸 특정인을 밝혀내는게 소용 없다는 설명도 있지만 정말 말도 안되는 소리다. 지금도 파이썬으로 자동으로 분류하는 프로그램으로 모아논 데이터를 키워드를 넣어 분석하면 그만이다. 앞으로는 전국민의 데이터가 쌓여도 아무리 많아지더라도 사용자 위치 값을 구해서 분석하고 또 분석 프로그램을 발전시킬테니 더 쉬워질테다.
40대 남성 ㅇㅇ보험을 든 ㅇㅇ은행에 다니는 매일 ㅇㅇ음식점에서 밥을 먹고 ㅇㅇ카드로 결제하고 ㅇㅇ싸이트들 이용하며 남긴 로그들을 분석하고 ㅇㅇ위치의 cctv에 담긴 ㅇㅇ을 분석. 말 안해도 충분히 개인사찰로 이어질수있다고 본다. "합법"으로. 이렇게 대조해서 특정한 ㅇㅇ의 개인정보를 훤히 들여다 보고 약하게 이용하면 다양한 기업 마케팅에 이용에, 강하게 이용하면 ㅇㅇ의 gps기록으로 실시간 위치추적 등, ㅇㅇ의 병원기록을 찾아내 보험가입 거부, ㅇㅇ의 연체기록을 찾아내 신용등급 하락 등 개인의 자유는 심각하게 침해 받게될거다. 심하게 말해 나라의 미래 권력이 전부 정부에서 기업으로 이전 되었다고 볼수 있다. 지금이야 쌓아논 데이터가 비교적 적다지만 미래에는 어떻게 될지 상상도 안갈 뿐이다.. 정치인들과 충분한 충고를 못한 정부기관들이 전 국민을 기업에 판 셈이다. 이런말 듣기 싫다면 더욱 안전한 대책을 만들었어야 했다.
결국 2020년 한국에서도 해당 방안이 통과되어 버리는 비극이 일어났다.
5. 문제의 의문점
1. 정부의 "안전 대안"으로는 대통령령으로 인정한 기관에서만 데이터를 결합 할수 있도록 한다는데 정확한 인정 기준이 대체 무엇인가? 개정안엔 모호하고 개략적인 규정들 만 존재한다. 그 문제를 넘기더라도 결국 기관 형태는 공기업이 아니라 민간기업이 될텐데. 하나의 업체 이상의 수십개의 업체를 다발적으로 허가낼텐데 어떻게 면밀히 감시 하시겠는가? 일원화 된 전문기관이 아무리 크더라도 빅데이터들을 어떻게 모든 개인정보 보호를 안전히 강화하겠다는걸까? 또 정권에 따라 바뀌는 수칙과 기준없이 만들어질 기관이 눈에 휜히 보인다. 기준부터 다시 명확히 만들어야 한다.2. 의료정보들, 유럽 GDPR은 건강정보에 대해 원칙적 처리 금지를 명시했는데 전에 국무위원 정부의 설명을 보니 직접 원칙적으로 불가하지만 쓸수도 있다고 했다. 아니 써야한다고 말했다 그게 바이오 산업발전을 위한 핵심이라고. 이는 의료법에 명백히 위배되고 국민의 건강권을 침해하는 심각한 행위다. 바보가 아닌이상 누구도 이 목적이 뭔지 분명히 알아챌거다. 2016년 박근혜가 의료보험 민영화한다고 거센 반발에 부딪혀 실패했던 짓을 문재인 정부가 하고 있는 것이다.
한국의 최근 실제 사례를 들어보면. 병원에서 받은 처방전을 약국에 내고 약을 받아간다면 처방 내역, 약국 정보, 처방 일시 등의 정보를 약학정보원이 제공한 프로그램에 입력하게 되는데 이렇게 수집된 정보가 국민 모르게 빅데이터 업체인 IMS헬스에 팔려나갔다. 2011년부터 2014년까지 전국의 약국과 병원에서 4399만 명의 의료정보 약 47억 건이 판매되었다. 약학정보원과 IMS헬스는 주민등록번호를 암호화했기 때문에 불법이 아니라고 주장하지만 국민의 의료 정보가 국민 모르게 팔린거다. 현재 이 사건과 관련된 민형사 소송이 진행 중인데, 데이터 3법이 통과되면 이런 개인정보 판매가 합법화 되는 것이다.
3. 정부는 가명 처리를 했으니 안전하다고 말한다. 그러나 익명데이터보다 가명데이터가 더 위험하다. 가명 정보는 통계값 같은 익명 정보와는 다르다. 자동차번호의 경우를 생각해보자. 일반인은 자동차번호를 갖고 소유주가 누군지 알 수 없겠지만, 자동차번호와 연계된 다른 개인정보를 보유한 도로교통공단이나 경찰은 소유주를 알 수 있을 테다. 가명 정보는 다른 정보와 결합하면 개인을 식별할 수 있기 때문에 여전히 개인정보이며, 이는 유럽연합도 한국 정부에서도 이미 2016년 비식별 조치 가이드라인을 통해 인정했던 바이다.
가명정보는 언제든 다른 데이터와 결합하면 누구의 정보인지 식별이 되는 정보이므로 정보주체의 권리보호를 위한 장치가 반드시 병행되어야 한다. 국회의 입법권은 국민을 위해 사용되어야 하는데 기업의 이윤을 위해 충분한 안전장치도 없이 정보주체의 권리를 일방적으로 희생할 것을 요구하는 것은 국민의 대표기관이 할 일이 아니다. 위 법안은 GDPR을 참고했음에도 불구하고 개인정보 보호의 장치로 마련된 프로파일링에 대한 영향평가 의무나, 프로파일링에 대하여 개인이 행사할 수 있는 권리도 대부분 빠져있다. 개인정보 감독기구인 개인정보보호위원회가 그럼 무슨 소용일까.
위 3법은 기업의 이익을 위해 국민기본권을 침해하고, 민생법안으로 포장한 채 우리 사회가 지켜야 할 최소한의 기준과 원칙마저 경제적 논리로 훼손하는 ‘국민기본권 제한법’이자 ‘개인정보 도둑법’이 될 가능성이 크다.
4. 이미 전세계적으로 개인정보 악용 사례는 넘친다. 대표적으로 미국은 데이터 브로커가 모아다가 파는 산업이 엄청 크다. 우리는 후발주자니까 이런 미국의 폐해를 충분히 극복할수있다고 생각한다.
미국민은 이에 대한 염증이 심해졌으며 이에 직접 시민들이 청원을 넣어 캘리포니아주에서에서는 2020년 1월부터 CCPA 법이라는 게 생겼다. 주 한정으로 나오는 프라이버시 법인데, 이건 GDPR보다 수위가 낮지만 과징금 상한선이 없다.
6. 해결방안
우리도 적어도 GDPR보단 못하더라도 CCPA에 상응하는 법안을 만들어야한다.1-개인이 기업에게 정보제공을 명확하게 거부 할수있고,
2-미성년자의 데이터 판매를 금지하며,
3-개인의 실시간 위치정보 추적금지,
4-데이터 공유를 거부했다는 이유로 기업은 다른 품질의 서비스를 제공해서 차별해선 안된다
7. 미국 법안 예시
CCPA소비자의 권리와 사업자의 의무) CCPA에 따라 소비자에게는 수집하는 개인정보의 범위·정보의 출처와 수집 목적·변경사항·개인정보 공유하는 제3자의 존재 등의 공개를 요구할 권리, 개인정보의 판매 정지권, 삭제요구권 등이 보장됩니다.
- 특히 소비자는 개인정보를 제3자에게 판매하는 사업자에 대해 자신의 개인정보를 판매하지 말 것을 지시(direct)할 권리(Right to Opt out)를 가지며, 사업자는 특정 웹페이지에 “내 개인정보는 판매하지 말라(Do Not Sell My Personal Information)”는 제목의 “명확하고 눈에 띄는 링크(clear and conspicuous link)”를 게시하여 개인정보의 판매를 거부할 수 있는 기능을 제공하여야 합니다.
- 13세 이상 16세 미만인 미성년 소비자의 개인정보를 판매하기 위해서는 기업은 해당 미성년자의 사전 동의가 얻어야 하고, 소비자가 13세 미만일 경우 부모나 후견인의 사전 동의까지도 얻어야 합니다.
- 사업자는 소비자가 CCPA에 규정된 권리를 행사했다는 이유로 상품·서비스의 제공을 거부하거나, 다른 수준 또는 품질의 상품·서비스를 제공하는 방법 등으로 소비자를 차별해서는 안 됩니다.
(사업자의 의무 준수 방법) 사업자는 소비자의 권리를 보장하기 위하여 ① 소비자의 권리행사를 위한 구체적인 절차와 방법, ② 직전 12개월 내 수집했던 개인정보의 범위, ③ 12개월 동안 판매한 개인정보의 범위 등의 정보를 공개하고, 해당 정보를 매 12개월마다 갱신하여야 합니다.
(위반 시 제재) ① CCPA를 고의적으로 위반한 사업자에 대해서는 최대 7,500달러까지 민사벌이 부과 될 수 있습니다. ② 기업의 개인정보보호체계가 소비자의 개인정보를 충분하게 보호하지 못하여 무단 접근 또는 유출 등의 사고가 발생하는 경우, 소비자는 100달러에서 750달러의 법정손해배상 또는 실제 손해액 중 큰 금액을 청구하는 민사소송 등을 제기할 수 있습니다.
끝으로 솔루션을 개발하는 회사들은 국제 기준에 맞춰 기능 제공을 위한 필수 개인정보로 수집범위를 최소화하고, 솔루션 설계 단계부터 개인정보보호 측면을 고려해서 개발해야 할 것이다. 정말로 그것이 미래의 기업과 국민 모두에게 좋을 것이다.