[단독] 정부, 가명정보 결합 데이터 외부반출도 허용 추진

그래픽_장은영

[행안부 ‘개인정보법 개정’ 문건 보니]

정보주체 동의없이 결합
기업에 반출까지 추진
누구 정보인지 재식별 가능
징역 등 처벌조항 뒀지만
사후에 밝혀낼 가능성 낮아
감독기구 일원화도 빠져 있고
대부분 절차 대통령령에 위임
전문가들 “기본적 안전조처 없어”
“박근혜 정부때와 같은 상황”

그래픽_장은영

데이터경제 활성화 명목으로 개인정보보호 규제 완화를 추진하고 있는 정부가 민간기업이 보유하고 있는 가명정보를 다른 가명정보와 결합시키고, 결합된 데이터의 외부 반출도 허용하는 내용으로 법 개정을 추진하고 있는 것으로 확인됐다. 가명정보의 활용 범위를 ‘산업적 연구’로 확대해 논란이 커진 상황에서 이렇다 할 안전조처 없이 데이터 결합·반출까지 허용하는 꼴이어서 개인정보 침해 우려가 커질 것이라는 지적이 나온다.

18일 <한겨레>가 국회 행정안전위원회를 통해 입수한 행정안전부의 ‘개인정보보호법 개정 계획’ 문건은 지난달 31일 문재인 대통령이 직접 발표한 ‘데이터경제 활성화 규제혁신’ 방안을 이행할 구체적인 법률 개정내용이 담겨있다.

※ 누르면 크게 볼수 있습니다.

개정 계획을 보면, 행안부는 지난달 발표내용대로 기관·기업이 가지고 있는 개인정보 가운데 이름·주민등록번호·휴대전화번호 등 개인을 식별할 수 있는 정보를 암호 키 등으로 대체한 ‘가명정보’를 공익적 기록 보존, 연구, 통계 목적으로 사용할 경우에는 정보주체의 동의없이 사용할 수 있도록 개정할 계획이다. 데이터 결합은 ‘보안시설을 갖춘 국가 지정 기관에서 수행한다’는 내용도 담겼다.

문제는 ‘결합된 데이터(정보집합물)의 반출’을 허용하는 내용까지 포함된 점이다. 개인정보 침해 우려 때문에 국가 지정 기관에서 데이터 결합을 수행하면서 정작 결합된 데이터는 기업에게 돌려주겠다는 셈이다. 예를 들어, 종합병원이 환자 진료 목적으로 보유하고 있는 정보를 가명처리한 뒤, 생명보험사가 ‘산업적 연구’를 목적으로 자신들이 가지고 있는 가명정보와 결합한 경우를 가정해보자. 결합된 데이터가 생명보험사에 반출될 경우, 생명보험사는 자신들이 가지고 있는 원본 데이터로 그 사람이 누구인지 식별할 수 있는 위험성이 있다. 행안부는 데이터를 ‘익명처리’한 뒤, 결합기관의 승인을 받아야 반출할 수 있도록 하고, 고의로 개인이 누구인지 재식별할 경우 5년 이하의 징역이나 5천만원 이하의 벌금, 매출액의 3%에 해당하는 과징금을 부과하도록 하는 내용을 개정안에 포함했지만, 재식별 가능성이 아예 없는 것은 아닌데다 기업의 재식별을 정부가 사후적으로 밝혀낼 가능성은 낮다. 게다가 일부부처는 익명정보가 아니라 가명정보 상태로 반출을 허용해야 한다고 주장하고 있는 것으로 전해졌다. 이 경우 재식별 가능성은 더욱 높아진다.

이런 규제완화는 세계적으로도 드물다. 지난해 개인정보보호위원회(개보위)의 연구용역인 ‘데이터 연계·결합지원제도 도입방안 연구’를 보면, 민간 데이터 결합을 기업의 영리목적으로 허용하는 사례는 물론이고 데이터 자체를 반출할 수 있는 경우도 드물다. 대다수 국가들은 데이터 결합을 ‘학술연구’에 한정해 실행하면서도, 개인정보 보호를 위한 철저한 안전장치를 두고 있다. 뉴질랜드 통계청은 결합된 데이터를 활용할 연구자와 연구과제에 대해 심사해 결합 여부를 결정하고, 결합이 진행될 보안시설은 물론 결합된 데이터와 연구결과까지 개인정보 침해 여부를 심사한다. 영국도 연구인력·프로젝트·환경·결과물에 대한 안전을 데이터 결합과정에서 모두 검토하도록 하고 있다. 하지만 행안부가 추진하고 있는 개인정보보호법 개정안은 가명정보 결합절차, 분석방법·결과물 반출에 대해서는 대통령령에 위임하고 있다. 진보네트워크센터 관계자는 “지금 상황이라면 무분별한 데이터 결합을 가능하게 했던 박근혜 정부의 비식별조처 가이드라인 수준의 시행령이 될 것”이라고 우려했다.

문 대통령이 “부처별로 이뤄지는 개인정보 관리를 정부가 통합해 강화해달라는 사회적 요구가 있다. 독립적인 관리감독기관에 대한 논의도 빠르게 시작해 주시기 바란다”고 언급했던 개보위 위상 강화를 통한 감독기구 일원화도 행안부 개정 계획에는 빠져있다. 개정계획에는 행안부·방송통신위원회·금융위원회로 쪼개진 개인정보 관련 권한 가운데, 행안부의 권한만 개보위로 넘기는 것으로 돼 있을 뿐, 방통위와 금융위 권한 이관에 대한 언급은 없다. 행안부와 방통위 관계자는 “거버넌스 문제는 부처 사이에 논의가 진행 중으로 아직 확정된 내용은 없다”고 말했다.

정보인권연구소의 이은우 변호사는 “해외에서 데이터 결합은 전염병 예방과 같은 학술연구에서 정보주체의 동의권을 후퇴시키고도 활용해야 할 필요성이 절박한 경우에만 제한적으로 허용되고, 연구 결과를 논문으로 작성하도록 할 뿐 결합된 결과물을 주지는 않는다”며 “현재 정부가 추진하는 개정안에는 기본적인 안전조처조차 찾아보기 힘들다”고 말했다.

박태우 기자 ehot@hani.co.kr

◎ Weconomy 홈페이지 바로가기: http://www.hani.co.kr/arti/economy/home01.html/
◎ Weconomy 페이스북 바로가기: https://www.facebook.com/econohani/