현안과 정책 제 296호

박근혜 정부의 창조경제정책을 계승한 데이터 3법

​글 / 김보라미(법률사무소 디케 변호사)

데이터 3법은 ① 정보통신사업자들의 개인정보보호를 담당하던 정보통신망법(정식명칭은 “정보통신망의 이용 및 촉진에 관한 법률”)상 관련 규정을 폐지하여 개인정보보호법으로 이관하고, ② 금융회사들의 개인정보보호를 담당하던 신용정보법(정식명칭은 신용정보의 이용 및 촉진에 관한 법률)에 가명처리로 정보주체 등의 동의 없이 활용할 수 있는 근거를 확대하고, ③ 개인정보보호법상 가명정보의 처리의 근거 규정 및 개인정보보호위원회의 독립성을 강화하는 것을 내용으로 한다. 정부는 위 법들이 다루는 개인정보를 “데이터”로 프레임화하여 데이터 3법이라 지칭하면서 유럽 개인정보보호법을 수용하여 활용과 보호의 균형을 잡으려한 것처럼 주장하고 있다. 그러나 (1) 개인정보보호법은 정보통신망법을 모두 폐지하면서 정보통신망법상의 보호조항을 수용할 것을 의결한 과방위의 6개 부대의견을 단 하나도 반영하지 않고, 유럽 개인정보보호법을 도입하여 활용과 관련된 가명처리조항을 입법화하였다고 하면서도 정작 유럽 개인정보보호법의 중요한 보호장치인 프로파일링 보호조치의 도입 없이 이를 입법화하고, (2) 신용정보법은 2014년 전국민의 75%가 피해자로 추정되는 대규모 해킹사건의 반성적 고려로 도입된 신용정보회사의 부수적 영리활동제한을 모두 허용하고, 박근혜 정권 때에도 위험하다는 비판에 도입하지 못하던 “소셜미디어나 이와 유사한 공개된 정보”를 동의없이 사용할 수 있도록 허용하였으며, 더 나아가 금융기관 이외의 타 기관의 개인정보에 대해서도, 신용정보 또는 신용정보와 다른 종류의 개인정보간 결합에 대하여 금융위가 정부주체의 동의를 받지 않고 사용할 수 있는지 여부를 결정할 권한마저도 내주었다.

6년 전 박근혜 정부의 창조경제정책으로 시도하려 하였으나 실패했던 정책이, 유럽 개인정보보호법의 도입인 것처럼 포장되면서 한 걸음 더 나아갔다. 오히려 입법과정에서 과방위 부대의견에서 문제제기했던 법정합성이나 법취지에 반하는 조항들의 문제들도 개선 혹은 수정되지 않은 채 입법화되었다. 법이 개정된 이후 정부는 되려 민감정보까지도 동의 없이 가명처리로 활용할 수 있게 되었다고 대대적인 홍보활동을 하고 있다.

데이터 3법이, 적어도 제 취지를 찾으려면 신용정보법상 과대해진 금융위원회의 권한을 금융기관에 한정하여 처리하고, 개인정보처리와 관련된 규제권한은 개인정보보호위원회로 일원화하여야 하며, 신용정보법과 개인정보보호법과의 충돌을 정리하여야 한다. 그리고 개인정보보호법은 과방위에서 의결한 6가지의 부대의견을 조속히 입법화하여 개인정보보호법과 정보통신망법과의 법정합성을 맞추어야한다.

2020년 1월 15일 정부 관계부처 합동 의료데이터 활용계획의 발표

데이터 3법의 통과와 더불어 행안부, 금융위, 과기부, 산업부는 실제 통과된 법률안의 취지와 달리 각자 하고 싶은 정책을 동상이몽으로 쏟아냈다. 하지만, 개인정보보호법 제23조 제1항에 따라 “민감정보의 활용 또는 허용을 별도로 요구하는 법령규정 없이”는 개인정보주체의 동의 없이 활용할 수 없도록 되어 있어 개정된 법률에 따르더라도 의료정보를 가명처리후 제3자에게 제공하는 것은 쉽지 않은 일이다.1)

그럼에도 불구하고, 마치 데이터 3법이 엄청난 혁신을 가능하게 할 것만 같은 착시효과를 불러일으키는 것이 3법 통과의 목표인 것처럼 보일 지경이다. 개인정보보호법은, 각 부처에서 개인정보보호규제에 대하여 손을 떼고 그 역할을 독립된 개인정보보호위원회에 넘기는 것이 중요 법취지이다. 그럼에도 불구하고 각 부처들은 저마다 가이드라인을 만들겠다고 발표하고 있다. 이에 경실련은 2020년 1월 20일 “정부는 독립적인 개인정보보호위원회가 할 일을 방해･무시하지 말고 정보인권 보완대책을 마련하라”고 이를 비판하는 성명을 발표한 바 있다.2)

실제 혁신을 위하여 어떤 청사진을 보여줄 수 있을지는 아직 명확하지 않다. 하지만 데이터 3법으로 인해 침해될 수 있는 위험은 현실적이다.

이 문제는 근원적으로 박근혜 정부의 창조경제정책에서 이미 드러났던 문제를 해결하지 않고, 이를 혁신이라는 이름으로 포장하여 부처의 권한 확대기회로 이용한 금융위의 이해와 맞닿아있다. 금융위는 2014년 전국민의 75%가 피해자로 추정되는 해킹사건 이후 더 이상 규제완화를 주장할 위치가 아님에도 불구하고, 문재인 정권의 4차산업 혁명이라는 캐치프레이즈를 앞세워 박근혜 정부시절부터 하겠다고 주장해 왔던 내용들을 모두 신용정보법개정안에 쓸어 담았다. 뿐만 아니라 행안위는 유럽개인정보보호법의 선진입법체계 도입을 내세워 개인정보 활용에 해당하는 “가명처리”, “양립가능”의 조항들은 촘촘히 입법화하면서도, 정작 유럽개인정보보호법이 중요하게 강조한 프로파일링 보호조항은 통째로 무시하였다.

2020년 1월 9일 본회의 데이터 3법의 표결과정에서 정의당의 토론, 그리고 더불어민주당의 김두관, 우상호 의원들의 반대표

정의당 추혜선 의원은 신용정보보호법 개정안에 대하여 ①2014년 1억 400여건의 개인정보가 유출된 대규모 금융사 해킹사고의 재발을 막기 위하여 개정된 신용정보회사의 겸업을 공공목적의 업무로 제한한 것을 개정안에서 영리목적겸업허용으로 개정한 것의 문제점, ② 소셜미디어에 올린 글들을 정보주체의 동의를 받지 않고 수집하여 활용할 수 있게 개정한 것의 문제점, ③ 개인신용정보활용의 주무부처인 금융위가 정보주체들의 동의 없이 활용할 수 있는 가명처리 수준을 정하도록 한 것의 문제점“을 지적하는 반대토론을 한 바 있다.

당시 데이터 3법은 더불어민주당과 자유한국당이 통과시키는 것을 합의하였고, 각 상임위에서 법안에 대한 반대가 거의 없이 일사천리로 처리되었다. 그러나 김두관, 우상호 의원 등 일부 더불어민주당 의원들의 반대를 포함하여, 개인정보보호법은 반대 14인3), 기권 21인, 신용정보법은 반대 15인, 기권 234)인으로 이 법에 문제가 있음을 지적하는 의견이 표출되었다. 다만, 본회의의 관행상 충분한 토론이 쉽지 않았기 때문에, 다수의원의 찬성 속에서 데이터 3법은 통과되었다. 애초 데이터 3법에 대한 충분한 논의가 각 상임위와 법사위에서 이루어졌어야 맞다. 그럼에도 불구하고 법사위 사정만 살펴보자면 법체계와 자구해석의 문제에 여전히 매달린 채 남겨져 있었다.

2020년 1월 9일 오전 10시 법제사법위원회에서의 개인정보 3법 논의와 채이배 의원의 문제제기

언론 및 법사위의 회의록을 통해서 논쟁과정을 살펴보면, 더불어민주당･자유한국당이 상호간에 이미 협의가 끝나 법사위에서도 그 내용조차 검토하지 않고 통과시킬 계획이었다. 그래서 원래 본회의가 예정된 2019년 11월 29일 13시경에 법사위가 열려 개인정보보호법을 본회의로 통과시키려고 하였으나 이 때 채이배 의원이 개인정보 3법이 모두 법사위에 넘어오지 못해 법 정합성을 검토할 수 없음을 문제제기하여 법사위를 통과하지 못하였다. 그런데 다시 본회의가 예정된 2020년 1월 9일 오전에 법사위가 열려 이 때에도 채이배 의원과 이재정 의원이 법체계와 자구해석을 문제제기하였으나, 이미 합의가 있다는 이유로 법사위를 통과하였다.

2020년 11월 29일부터 2020년 1월 9일까지 경제지 등 언론사에서도 법사위에서 데이터 3법이 통과되어야 한다고 분위기를 만들고 있었다. “법사위가 아니라 채이배 위원회”, “4차 산업 발전의 빌런”이라면서, 법안 내용이나 비판 내용을 살펴보지도 아니한 채 일방적으로 법통과를 압박하는 기사들이 대부분이었다.

당시 언론사에서 채이배의원을 성토하던 기사들

그러나 사실 이 세 법은 다음과 같이 상호간의 관계가 있었기 때문에 법사위에서는 각 상임위에서 통과된 개인정보 3법을 형식적으로 통과시켜서는 안되는 상황이었다.

첫째, 정보통신망법상 보호조항이 모두 삭제되어 개인정보보호법으로 이관되므로 개인정보보호법은 최소한 정보통신망법수준의 보호수준을 유지하여야 하였다. 이에 따라 정보통신망법을 모두 폐지한 과방위는 정보통신망법 수준의 보호조항을 담지 않은 개인정보보호법에 다음의 사항들이 포함되어야 한다고 부대의견을 달아 의결하였으므로 법사위에서는 이러한 사정을 살펴 행안위에서 올라온 개인정보보호법을 수정 의결하였어야 했다.

과방위의 부대의견

당시 채이배 의원은 법사위 회의에서 “법사위가 과방위 부대의견까지 무시하면서 정말 터무니없는 짓을 지금하고 있다. 정보통신망법에서 누락된 내용들을 다시 담아야 한다”고 문제제기하면서, 방송통신위원회 한상혁 위원장에게 “누락된 내용이 지금 법사위에서 수정이 안 되어 있지요”라고 질의하였고, 한상혁 위원장은 “법사위에서 논의하시는 결과에 따라서 저희들은 수용하겠다는 말씀을 드리겠다”고 답변을 회피하였다.

둘째, 신용정보법은 금융기관의 개인정보처리에 한정하여 금융위원회의 권한을 조정하였어야 하였음에도, 금융위원회는 금융기관의 개인정보처리 이외에도 권한을 과도하게 규정하고 있어 개인정보보호법과 충돌되고 법적용이 불분명한 상황이었다. 신용정보법은 이외에도 동의받지 아니하고 활용할 수 있는 공개된 개인정보에 대하여 “이에 유사한 정보로서 대통령령이 정하는 경우”라거나, “이에 준하는 경우로서 대통령령으로 정하는 경우”를 하위법령에 포괄위임입법하였으므로 이에 대하여도 조정을 했어야 하는 상황이었다.

그러나 이 모든 규정의 문제들에도 불구하고, 더불어민주당 법사위 간사인 송기현 의원은 “이 법이 완전할 수는 없지만 여야가 합의를 해서 이 정도는 지금의 새로운 산업 환경에 따라서 입법이 필요하다고 결정해 가지고 합의가 된 만큼 그런 정도는 법사위에서 늘 존중을 해 왔었고 이번에도 그렇게 돼야 된다고 생각을 합니다.”라고 주장하고, 여상규 위원장이 이에 따라 가결선언으로 법사위를 통과하게 되었다.5)

데이터 3법의 내용이 위와 같이 꼬이고 법체계와 법내용간 균형이 이루어지지 않게 된 것은 2018년 11월 당정청 합의로 법이 발의되었으나 그 이후 데이터 3법간 조율이 제대로 이루어지지 못하였기 때문이다. 2018년부터 무려 1년이 넘는 시간 동안 이 법은 혁신이 아이콘인 것처럼 일컬어졌으나, 3법간 정합성과 체계정리가 충분히 이루어지지도 못하여, 집행과 해석에 있어서 향후 시민들이 큰 불편을 겪을 것은 눈 보듯 뻔한 일이다.

2018년 12월 7일 위 여당 의원의 주최로 열린 간담회에서, 이미 발의된 법률안이 ① 유럽 개인정보보호법이 활용과 동시에 프로파일링에 대한 보호조치를 두고 있음에도 현행 개인정보보호법안은 보호조치가 전혀 입법화되지 않은 점, ② 익명처리로 처리할 수 있을 경우 익명처리가 우선되어야 한다는 규정 등이 입법화되지 않은 점에 대하여 정부 쪽에서 시인하였다. 당시 정부측 관계자는 2019년 하반기에는 프로파일링에 대한 보호조치를 입법화할 테니 개인정보보호법을 독립적인 개인정보보호위원회를 설치하는 취지로 조속히 통과시키는 것이 더 중요하다고 의원실과 시민사회에 법의 조속한 통과를 설득하려 하였다.

여당 의원실에서도 프로파일링의 보호조치를 2019년 하반기에는 입법화한다고 하고, 이미 당정청에서 합의한 안이라 전체를 수정하기는 어려운 상황이어서 익명조치우선의 원칙이라도 입법화하여 수정발의를 하였고 해당 수정발의내용이 개정안에 반영되어 있다.

그러나 당시 간담회에서 정부측의 계획이라던 “프로파일링 처리에 대한 보호조치”는 그 이후 업데이트되지도 못하였다. 오히려 정보통신망법의 경우에는 이후 2019년에도 여러 차례 유럽 개인정보보호법의 선진적인 제도를 반영하여 법이 개정되었는데, 2018년 11월 발의된 개인정보보호법은 이러한 내용들이 전혀 개선되지 못하였다.

2013년 12월경 발표된 박근혜 정부에서 시도하려던 창조경제정책들

당시 금융위가 금융기관의 개인정보처리를 제대로 관리하지 못하는 사정이 드러난 바 있다. 개인신용정보를 막 공유하여 영업활동을 하는 과정에서 당시 피해가 과도하게 확산되었다. 이에 사회적 요구에 따라 2015. 3. 11. 신용조회업의 부수업무가 제한되었고 영리목적 겸업금지가 입법화되었다. 당시에만 하더라도 금융위기이후 오바마정부에서 신설된 금융소비자위원회처럼 금융산업진흥정책에 편향된 금융위원회로부터 독립된 위원회를 요청하였으나 이는 끝까지 입법화되지 못하였다.

2014년 11월 20일 방송통신위원회는 비식별화 조치를 강화하는 조건으로 정보보호가이드라인(안)을 공개하였으며, 2016년 6월 30일에 KLT 모델을 기반으로 한 비식별화 조치를 이행한 경우 익명정보로 해석하여 동의를 받지 않고 타사간 데이터를 결합할 수 있도록 하는 조항이 발표되었다. 그러나 위 가이드라인에 따른 유일한 실증보고서에 따르면 “신용도와 관련된 전체 기록 791만 천 여건 가운데 숫자로 된 민감정보로 대조를 했더니 765만 6천여 건이 공격에 취약한 것으로 나타났는데, 그 의미는 정보를 결합했을 때 96%는 식별이 가능하다는 얘기고 동질그룹에 속하는 민감정보로는 99%까지 식별이 된다는 취지였다. 당시 정부는 비식별 조치 정보를 개인정보가 아닌 것으로 추정하고 동의 없이도 활용 가능하도록 했지만 정보 결합에 따라 개인정보를 완전히 공개하는 것과 다르지 않게 되는 것”을 알고 있었음이 드러났으며6) 해당 가이드라인에 따른 데이터 결합은 형사고발을 당하기도 하면서 해당 정책은 전면 중단되었다.

6년 후 다시 마주치게 된 똑같은 개인정보 침해 정책

박근혜정부 시절 2016년 5월에 더불어민주당이 주최했던 20대 국회 미디어정책과제 연속토론회 발제에서 나는 “인류역사상 처음으로 정부와 기업은 국민전체를 상대로 대량감시를 실행할 수 있게 되면서, 정부와 사기업은 시민을 대놓고 감시하고, 사기업은 그러한 감시의 결과물로 시민들을 차별함으로써 이윤을 추구하거나, 시민의 취향과 선택을 왜곡하고, 시민은 감시당하는지를 모르거나, 그러한 감시의 의미가 무엇인지 모르기 때문”에 “공개된 개인정보”나 “비식별화 조치를 통한 정보”를 정보주체의 동의 없이 사용하도록 하는 정책이 얼마나 위험한지 말씀드린 바가 있었다.

전 세계가 개인정보를 활용한 산업의 위험성에 대하여 과거보다 더 진지하게 인식하며, 미국조차도 각 주별로 개인정보보호법들을 입안해가는 상황인데 비해 국내 상황은 오히려 악화되고 있다. 데이터 3법이, 적어도 개인정보보호법의 취지를 몰각하지 않으려면, 신용정보법상 과대해진 금융위원회의 권한을 금융기관에 한정하여 처리하고, 개인정보처리와 관련된 규제권한은 개인정보보호위원회로 일원화하여야 하며, 신용정보법과 개인정보보호법과의 충돌을 개정하여 정리하여야 한다. 그리고 개인정보보호법은 과방위에서 의결한 여섯 가지의 부대의견을 조속히 개정입법화하여 개인정보보호법과 정보통신망법의 법정합성을 맞추어야 할 것이다.

<풋노트>

1) 2020. 1. 9. 법사위 전체회의에서도 행안위에서 사보임되어 온 더불어민주당 이재정 의원 역시 행안위 마지막 전체회의에서 의료법이 우선한다(민감정보는 함부로 사용할 수 없는 것)로 정부로부터 설명을 들었고 행안위에서도 그렇게 이해하고 있었다라고 설명하고 있다.강효진. 2013. “종영특집②, ‘구가의 서’, 명품 조연이 살렸다,” <티브이데일리>, 2013. 6. 26.

2) http://ccej.or.kr/58571?pageds=1&p_id=185&k=&c=

3) 개인정보보호법 일부개정법률안 반대의원 13인 김두관 김종대 김종훈 박주현 심상정 여영국 우상호 윤호하 이정미 정인화 천정배 최도자 추혜선

4) 신용정보법 일부개정법률안 반대의원 15인 김두관 김종대 김종훈 박주현 심상정 여영국 우상호 윤호하 이정미 임재훈 장정숙 정인화 천정배 최도자 추혜선

5) 당일 여상규 위원장은 KT특혜 의혹이 있던 ‘인터넷전문은행법“도 채이배 의원, 이철희 의원의 반대에서 일방처리하려고 하려다 정족수 부족으로 처리하지 못하였다. https://www.youtube.com/watch?v=ybaOk96Mu4I