문재인 정부가 폐기한 개인정보 비식별화 조치를 담은 법안이 국회에서 여야 합의로 통과됐다.

20일 국회는 자유한국당의 ‘규제프리존법’과 더불어민주당의 ‘지역특구법’의 대체 법안인 ‘지역특화발전특구에 대한 규제특례법’을 통과시켰다. 이 법은 수도권을 제외한 각 지역에 전략산업을 지정하고 이와 관련한 규제를 철폐하는 ‘규제자유 특구’로 지정하는 내용으로 국회 산업통상자원중소벤처기업위원회(이하 산자위) 소관이다.

법 자체가 무분별한 규제완화라는 지적을 받지만 특히 문제가 되는 건 비식별화 관련 조항이다. 이 법은 규제자유특구에서 허가 받은 사업자가 사물인터넷을 통해 수집한 개인정보를 비식별화하면 사업에 활용할 수 있게 하는 내용이 담겼다. 현행 개인정보보호법은 동의 없는 개인정보 제3자 제공과 판매를 금지하고 있는데 비식별화라는 절차를 거치면 예외로 둔다는 이야기다.

▲ ‘지역특화발전특구에 대한 규제특례법’.
▲ ‘지역특화발전특구에 대한 규제특례법’.

비식별화는 박근혜 정부때 만든 개념으로 ‘A카드사의 고객정보’ 파일이 있으면 이름, 주소, 주민등록번호 같은 정보는 지우거나 알아볼 수 없게 만들어 빅데이터 분석에 활용한다. 정부는 재식별되지 않을 것이라고 발표했지만 정보처리 기준을 제대로 명시하지 않아 다른 정보를 결합하면 누가 누구인지 드러나는 우려가 크고 정보 유출시 제대로 된 대응조치도 이뤄지기 힘들었다. 더구나 법이 아닌 가이드라인으로 만들어 개인정보를 산업에 활용하기 위해 법을 우회하려는 꼼수라는 비판을 받았다.

최근 공개된 박근혜 정부 미래창조과학부의 비식별화 연구 보고서에는 비식별화의 위험이 고스란히 드러난다. 보고서는 신림동에 사는 30대 여성을 검색하면 이름, 전화번호 등이 가려진 5건의 자료가 나온다. 누구인지 알 수 없어 보이지만 37살 김아무개씨의 폐암 치료기록 정보와 결합하니 5명 중 한명이 동일인으로 나왔다. 이 같은 방식으로 개인의 병력 뿐 아니라 신용등급과 연체율 등 민감 정보도 드러났다.

▲ 비식별화 개념. 자료=진보네트워크센터.
▲ 비식별화 개념. 자료=진보네트워크센터.

그래서 문재인 정부는 비식별화 개념을 폐기했다.  정부는 지난달 31일 개인정보 규제완화 정책을 발표하면서 박근혜 정부 때 만든 비식별화 가이드라인이 △기준이 모호하고 △법적 근거가 부족하고 △비식별정보의 재식별에 대한 제재가 미흡한 점 등을 지적하며 법률상 개인정보를 익명정보와 가명정보로 명시한다고 밝혔다. 

즉 개인정보 처리를 법에 담으려면 ‘익명’(개인이 드러나지 않는 정보)이나 ‘가명’(결합하지 않는 한 드러나지 않는 정보)이라는 용어를 써야 한다. 시민사회단체는 가명정보의 기준을 엄격하게 두고 학술연구 등 제한적 목적으로만 활용해야 한다는 입장이다. 익명정보는 어떻게 가공하고 결합하더라도 개인정보가 드러나지 않는 정보로 원래부터 본인 동의 없이 활용이 가능하다.

이번 의결은 국회의 다른 법 논의와도 상충된다. 20일 국회에서 함께 통과된 산업융합촉진법, 정보통신진흥융합활성화특별법 등에 비식별화 관련 내용은 빠졌다. 반면 규제특례법의 경우 국회 산자위가 규제완화 입법 속도전을 치르는 과정에서 충분히 검토하지 않은 것으로 보인다.

오병일 진보네트워크센터 활동가는 “이 법에도 개인정보 비식별화 관련 내용을 삭제했어야 하는데, 민주당에서 전혀 생각하지 못한 것 같다”며 “기본적인 개인정보 개념체계에 대한 인식이 없었고, 심사 과정도 허술했다”고 지적했다.

저작권자 © 미디어오늘 무단전재 및 재배포 금지