오는 10월27일 미국이 옵트인(opt-in, 사전동의) 방식의 개인정보 보호정책을 도입할 예정이다. 미국 사례를 들어 개인정보 관련 규제 완화가 세계적 추세라고 주장해왔던 한국정부 입장에서는 논리가 궁색하게 됐다.  

미국 언론의 보도에 따르면 미국 연방통신위원회(FCC : the Federal Communications Commisions Chairman)는 오는 27일 광대역통신망 서비스 이용자를 대상으로 한 사생활보호 규칙안을 표결에 부쳐 처리할 예정이다. 미 언론은 해당 규칙안이 3 대 2로 통과될 것으로 전망하고 있다. 규칙안의 근거는 고객의 프라이버시에 대해 규정한 미국 통신법 222조다.

FCC가 도입하려는 규칙안의 골자는 옵트인(opt-in) 방식을 명시하는 것이다. 옵트인은 서비스 이용자가 개인정보 수집을 허용하기 전까지 데이터 수집을 금지하는 제도다. 기업에서 광고를 위한 메일을 보내기 전에 수신자의 동의를 얻어야 메일을 보낼 수 있도록 하는 방안이 대표적이다. 미국 통신법 역사상 최초의 일이다.

FCC가 지난 4월1일 입법예고한 규칙안에 따르면 FCC는 광대역통신망 서비스 제공자의 정보처리를 목적에 따라 크게 3가지 범주로 분류했다. 첫 번째는 광대역통신망서비스 서비스 제공 및 마케팅 활용 목적이다. 이 경우 계약관계 형성 이후에는 정보를 수집하는 데 있어 추가 동의가 필요 없다. 두 번째, 그 밖의 통신서비스 마케팅 및 계열사와 공유하기 위한 목적에서는 옵트아웃 이전까지 이용자 정보를 활용하는 것이 가능하다. 옵트아웃이란 이용자가 자신의 정보 수집을 허용하지 않는다고 명시하면 정보수집이 금지되는 방식을 뜻한다.

▲ 한국인터넷진흥원(KISA)이 2016년 3월 발간한 ‘인터넷 법제동향’ 발췌

중요한 대목은 세 번째 범주다. 광대역통신망 서비스 제공자는 첫 번째와 두 번째에서 규정한 목적 외에 그 밖의 활용 목적으로 정보를 수집할 경우 이용자의 사전 동의(옵트인)를 받아야 한다. 제3자에 대한 정보제공은 사전 동의 없이 불가능하다.

FCC가 마련한 규칙안에 따르면 광대역통신망 서비스 제공자는 정보유출을 발견한 지 10일 내로 유출된 정보로 영향을 받은 이용자에게 정보유출에 대해 통보해야 하며, 정보유출을 발견한 지 7일 이내로 이러한 사실에 대해 연방통신위원회에 통보해야 한다. 또한 정보유출로 5천 명 이상의 이용자가 영향을 받은 경우 연방수사국 및 대통령 경호실에 7일 이내로 통보해야 한다.

이러한 흐름은 한국과 차이가 있다. 행정자치부 등 정부부처들은 지난 6월 빅데이터 산업 활성화를 이유로 개인정보 관련 가이드라인을 발표했다. 핵심은 ‘비식별화’된 개인정보는 개인동의 없이도 정보수집 및 제3자 이용이 가능하도록 만드는 것이다. 비식별화란 데이터 값 삭제, 총계처리, 범주화, 데이터 마스킹을 통하여 개인정보의 일부 또는 전부를 삭제하거나 대체함으로써 특정 개인을 식별할 수 없도록 하는 조치다.

기업이 업무처리과정에서 수집한 고객정보, 거래내역, 민원처리 내역 등을 비식별화한 다음 이용자의 동의없이 제3자에게 제공할 수 있도록 하는 것이 정부 가이드라인의 골자다. 한 마디로 금융기관, 보험사, 통신사, 의료기관 등이 개인정보를 비식별화한 뒤 다른 기업에 판매할 수 있다는 뜻이다. 하지만 비식별화가 안전한지에 대해서는 논란이 많다. 이미 대규모 유출이 이루어진 개인정보를 비식별화한 데이터와 결합하면 해당 정보의 주인을 알아낼 수 있기 때문이다.

관련기사 : 개인정보 비식별화하면 괜찮다? 교차하면 다 나온다

정부가 이용자의 동의 없는 정보수집 및 제3자 이용이 가능하도록 하는 제도를 추진하는 배경에는 기업과 경제계의 요구가 있다. 전국경제인연합회는 2014년 2월 산업통상자원부에 ‘ICT 기반의 창조적 생태계 조성을 위한 제도 개선과제’라는 건의문을 제출했다.

▲ 전경련이 2014년 2월 산업통상자원부에 제출한 ‘ICT 기반의 창조적 생태계 조성을 위한 제도 개선과제’ 건의문. 자료=권칠승 의원실

전경련은 건의문에서 빅데이터산업 활성화를 위해 “단순 위치정보나 개인을 특정하지 않는 방법으로 위치정보 수집‧이용시 개인의 동의를 요구하지 않도록 규제를 완화”해달라고 요구했다. 위치정보의 보호 및 이용 등에 관한 법률을 개정해야 한다는 주장도 담겨 있다.


이러한 주장의 근거는 미국 등 ‘세계적 추세’다. 정부는 6월30일 발표한 가이드라인에서 “미국‧영국 등 주요 선진국은 개인정보 침해가능성을 최소화하면서 데이터 산업 활성화를 위한 정책 추진 중”이라는 점을 제시했다. 미국의 빅데이터 정책에 대해 소개한 부분에서는 “개별 법령에서 제한하지 않는 한 자유로운 데이터의 이용이 보장된다”고 밝혔다.

하지만 한국인터넷진흥원이 2016년 3월 발간한 ‘인터넷 법제동향’은 미국 연방통신위원회의 사생활보호규칙 초안에 대해 소개하고 있다. 정부가 미국의 개인정보 보호 움직임을 알면서도 막상 빅데이터 가이드라인에서는 이런 점을 설명하지 않은 것이다.

▲ 6월30일 행자부 등이 발표한 빅데이터 가이드라인 발췌.
정부가 “자유로운 데이터의 이용이 보장된다”고 했던 미국에서도 개인정보 보호방안이 추진되면서 개인정보의 자유로운 활용이 ‘세계적 추세’라던 정부와 기업의 주장은 궁색해졌다. 미국의 시민단체 ‘민주주의와기술센터’(CDT : Center for Democracy & Technology)는 5월27일 FCC의 규칙안 입법예고에 대한 의견서에서 다음과 같이 지적했다. “데이터에 변형 능력이 있다고 해서 소비자 개인정보의 마구잡이 이용에 대해 점점 더 커지는 우려를 무시하면 안 된다”

저작권자 © 미디어오늘 무단전재 및 재배포 금지