‘데이터3법’ 후속조치 “건강정보 절대 보호해야”
‘데이터3법’ 후속조치 “건강정보 절대 보호해야”
정부, 3월까지 시행규칙 마련 계획 밝혀…민감정보 활용제한, 영향평가 강화 등 요구 이어져

정부가 개인정보 활용 규제를 완화하는 ‘데이터 3법’ 후속 조치에 돌입한 가운데, 절대적으로 보호해야 할 개인정보를 구분하고 데이터 활용으로 인한 피해구제 장치를 마련하라는 지적이 이어진다. 시민사회는 지난 1월 관련 법안이 국회를 통과한 뒤 개인정보 주권·인권보장을 위한 보완입법이 필요하다고 밝혀왔다.

서채완 민주사회를위한변호사모임 디지털정보통신위원회 변호사는 21일 ‘디지털 상호의존 시대, 한국의 새로운 도전과제 진단’ 토론회에서 △신체·건강정보 등은 절대적으로 보호해 활용금지 △규제완화보다 안전장치 도입 우선 △개인정보 활용에 대응하는 정보주체 권리 보장 △범위 제약이 없는 영향평가제도 등을 개인정보 데이터 활용의 원칙으로 삼아야 한다고 주장했다. 경제정의실천시민연합과 콘라드 아데나워 제단이 지난해 6월 공개된 EU 고위급 패널 보고서(디지털 상호의존 시대) 의견을 수렴하고자 마련한 토론회는 이날 서울 종로구 경실련 대회의실에서 진행됐다.

서 변호사는 “데이터 활용이 어느정도 공익에 기여할수 있다는 점은 부인할 수 없다. 그러나 데이터의 적극적 활용이 공익에 기여하기 위해선 그 활용이 소외 계층에 대한 지원 등 공익적 목적으로 활용될 때 가능하다”며 “(UN) 행동규범으로서 활용 목적에 대한 제한이 필요하고, 데이터 활용으로 인해 발생하는 피해에 대해 정보주체가 구제를 받을 수 있는 수단 보장이 필요하다. 또한 식별가능성이 있는 ‘가명정보’ 또한 ‘개인정보’에 준하는 보호를 받는 것을 원칙으로 하는 것이 타당하다”고 주장했다.

▲ 21일 서울 종로구 경제정의실천시민연합 대회의실에서 '디지털 상호의존 시대, 한국의 새로운 도전과제 진단' 토론회가 진행됐다. 사진=노지민 기자
▲ 21일 서울 종로구 경제정의실천시민연합 대회의실에서 '디지털 상호의존 시대, 한국의 새로운 도전과제 진단' 토론회가 진행됐다. 사진=노지민 기자

국회는 지난 1월 이른바 ‘데이터 3법’으로 불리는 개인정보보호법·신용정보법·정보통신망법 개정안을 통과시켰다. 가명처리(비식별조치)한 개인정보인 ‘가명정보’를 정보주체 동의를 받지 않고도 공익적 목적 내지 상업적 목적으로 활용하는 길이 열렸다. 정치권과 산업계는 개인정보 데이터를 안전하게 활용할 수 있다며 쌍수를 들었지만, 정보인권·주권을 강조하는 시민사회계는 설익은 개정안이 안전장치 없이 통과됐다고 반발했다.

서 변호사는 “전통적으로 개인정보 활용을 ‘동의’에 기반하는 것이 개인정보보호를 위한 최소한의 안전장치로 기능해왔다. 하지만 도래하는 디지털 사회에서는 ‘동의’에 기반한 개인정보 활용조차 개인의 프라이버시권 침해로 이어질 우려가 있다”며 “대한민국에선 건강정보·학교생활정보 등 보호 필요성이 큰 개인정보 활용이 비식별조치 등을 통해 활용될 수 있는 바, 충분한 안전장치가 마련돼있지 않은 상황이라 할 수 있다. 한국은 안전장치를 우선적으로 마련하기보다는 개인정보 활용을 위한 규제완화 중점을 두고 정책을 추진하고 있다”고 비판했다.

관련 문제점으로 그는 “개인정보 3법은 프로파일링 등 개인정보 보호에 부정적 영향을 미칠 수 있는 다양한 제도를 도입했다. 그러나 개인정보 3법은 이에 대응하는 프로파일링을 거부할 권리 등을 보장하고 있지 않다”며 “국가가 개인정보 보호를 위해 도입할 수 있는 대표적 안전장치로는 법령·정책·사업 등이 추가될 때 권리에 미칠 영향을 평가하는 ‘영향평가제도’가 있다. 대한민국에서도 개인정보 활용과 관련한 영향평가제도가 있지만 특정 수 이상 개인정보가 연관된 경우에만 영향평가를 한다든지, 영향평가 대상에 법률이 전부 포함되지 않는 등 문제가 있다”고 지적했다.

서 변호사는 “데이터 활용에 따른 프라이버시권 침해는 회복이 사실상 불가하다는 점, 침해 방지를 정보 주체가 직접 통제할 수 없다는 점, 피해 발생 시 책임주체를 특정하기 어렵다는 점을 유의해야 한다”며 “프라이버시권 침해로 발생한 손해의 적절한 평가와 배·보상 방법, 피해자의 구제수단(집단소송제 등) 마련, 책임자에 대한 엄중한 제재 등이 세밀하게 연구돼야 한다”고 강조했다.

정부는 오는 3월 안에 3법 관련 행정규칙 개정안을 마련한다는 계획이다. 개인정보 법제를 소관하는 행정안전부·방송통신위원회·금융위원회·개인정보보호위원회 등 4개 부처는 21일 합동 브리핑을 열고 “올 2월까지 시행령 개정안을 마련하고, 3월까지 고시 등 행정규칙 개정안을 마련하며 법 시행 시점에 분야별 가이드라인과 해설서 개정안을 발간해 가명정보의 활용 범위, 데이터 결합 방법·절차 등을 명확히 할 계획”이라고 발표했다.

후속조치를 전담하는 행안부 전자정부국장을 반장으로 하는 ‘법제도 개선 작업반’이 산업계·시민사회단체·각계 전문가들과 소통해 하위법령과 보호정책을 구체화한다는 방침이다. 유럽연합 개인정보보호규정(EU GDPR) 적정성 평가를 위해서는 진영 행안부 장관의 이달 말 주한 EU 대사 면담을 시작으로, 2월 초 EU 집행위와 유럽의회를 방문해 협력을 도모하겠다고 밝혔다.

이 기사를 후원합니다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 1
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
바람 2020-01-21 20:49:57
개인적으로 안전장치에 대한 추가적인 보완작업이 필요하다고 본다. 그러나 세계는 4차산업으로 가고 있고, 여기에서 뒤처지면 보안산업까지 후퇴한다. 이번에 중국 해커들이 일본 미쓰비시 전기(전자/국방/핵심 산업)를 해킹한 사실을 아는가. 세계화 시대에 규제만 강화한다고 보안이 지켜지는 것은 아니다. 산업과 보안은 같이 발전한다. 이런 온라인 생태계를 알지 못한다면, 4차산업이나 컴퓨터 산업이 발전하지 않은 곳은 세계 해커들의 먹잇감이 될 것이다.