정부가 빅데이터 환경에서 개인정보 활용정책을 내 놓은 것은 박근혜 정부 때인 2013년이다. 그 해 9월 안전행정부는 <공공정보 개방·공유에 따른 개인정보 보호 지침>을 발표했는데, 개인정보를 ‘비식별화’하면 수집 목적외로 활용하거나 공개할 수 있도록 했다. 이름이나 주민번호를 삭제하거나 암호화 하면 개인 동의없이도 활용할 수 있다는 것이다. 방송통신위원회도 ‘창조경제의 핵심인 빅데이터 산업의 활성화’를 위해 <빅데이터 개인정보보호 가이드라인> 제정을 추진했다.

문재인 정부 들어 4차산업혁명위원회가 주관한 ‘해커톤’에서 법적 근거도 없는 ‘비식별화’ 개념은 사실상 폐기됐지만, 이제는 ‘가명정보’의 활용 범위를 둘러싸고 논란이 지속되고 있다. 시민사회는 사회적 가치가 있는 학술연구 및 통계목적에 한정해야 한다는 입장인 반면, 산업계는 시장조사와 산업적 연구까지 확대해야 한다는 입장이다. 단지 기업의 사익을 위해 왜 나의 개인정보 자기결정권이 희생돼야 하는지 답변은 듣지 못했다.

▲ ⓒ gettyimagesbank
▲ ⓒ gettyimagesbank
무려 5년이 흘렀지만 제자리다. 산업계 이익을 위해 법적 근거도 없이 가이드라인을 통해 성급하게 추진하다 스스로 발목을 잡았다. 그 사이 유럽연합은 일반 개인정보보호규정(GDPR)을 올해 5월에 발효했다. 유럽 국가들의 법제를 통일해 역내에서 개인정보의 자유로운 이전을 가능하게 하면서도 빅데이터, 사물인터넷 등 신기술의 위협에 대응해 정보주체의 권리를 강화했다.

유럽사법재판소는 “독립적인 개인정보 감독기구의 설립은 개인정보보호의 핵심적 요소”라고 말했다. 개인정보보호법이 있어도 개인정보 감독기구가 없다면 법의 실효성 있는 집행을 보장할 수 없어서다. 독립성이 중요한 이유는 정부도 방대한 국민 정보를 보유한 개인정보처리자이고 따라서 감독대상이라서다. 근 30년 전인 1990년 유엔 지침부터 개인정보 감독기구는 독립적이고 효과적인 집행력을 갖추어야 한다는 게 국제규범이다. 2017년 국제 개인정보 감독기구 협의체(ICDPPC) 조사결과 84.88%에 달하는 대부분의 감독기구가 공공과 민간 부문을 모두 소관하며 집행 및 법률 제·개정권을 모두 갖고 있다.

우리는 애초에 첫 단추를 잘못 끼웠다. 2011년에 개인정보보호법이 통과될 때, 정보통신망법과 신용정보법을 함께 정비하고 개인정보보호위원회를 실질적인 감독기구로 제대로 설립해야 했다. 그러나 현재 개인정보 관련 권한은 부처별로 쪼개져 있다. 자기 권한을 놓지 않으려는 부처 이기주의 탓이다. 개인정보보호위원회는 감독기구로서의 집행 권한을 보유하고 있지 않다. 방통위와 금융위는 산업 육성 정책과 개인정보 감독기능이라는 상충하는 업무를 동시에 담당하고 있다. ‘금융분야 빅데이터 산업 활성화를 견인’하고 ‘빅데이터 중개 플랫폼을 구축하여 데이터 시장 조성을 지원’하겠다는 것이 금융분야 감독기구의 정책이라니! 세계적으로도 방송통신기구나 금융기구가 개인정보 감독을 맡는 경우가 없다.

문재인 정부는 ‘개인정보보호체계 효율화’를 국정과제의 하나로 내세웠다. 그러나 또 다시 자신의 밥그릇을 빼앗기고 싶지 않은 부처들 몽니로 개인정보 감독기구의 일원화는 지지부진하다. 개인정보 보호에 대한 신뢰없이 개인정보의 활용은 신기루에 불과하다. 청와대가 개인정보 보호에 의지를 보여주기를 기대한다.

저작권자 © 미디어오늘 무단전재 및 재배포 금지