‘데이터 3법’(개인정보보호법·신용정보법·정보통신망법) 시행 두 달째인 지난 9월, 대표적인 정보기술(IT) 기업인 에스케이텔레콤(SKT)과 네이버는 가명·익명정보를 결합·판매하는 사업을 내놓았습니다. 앞으로 ‘데이터 활용 사업’이 활발해지면, 고객들은 ‘빛과 그림자’를 모두 경험하게 될 것으로 보입니다. 다양한 영역에서 ‘맞춤형 서비스’를 제공받을 수 있지만, 그만큼 프라이버시 침해 우려도 함께 커지기 때문입니다. 데이터 활용 사업의 명암이 뚜렷한 터라, 산업계와 시민사회계의 주장은 첨예하게 갈립니다. 나아가 매일매일 아이티 서비스를 이용하는 모든 사람들이 맞닥뜨린 문제이기도 합니다. 기업이 활용하는 데이터는 결국 소비자들이 만들어낸 것이기 때문이죠. ‘데이터 3법’ 시행이 정보의 주인인 이용자 입장에서 어떤 미래를 가져올지 살펴봤습니다.
■가명처리 했다면, 내 정보는 내 허락 없이 팔린다 네이버와 에스케이텔레콤의 ‘데이터 활용 사업’을 살펴보기 전에, 개인·가명·익명정보의 개념을 간단히 정리해보겠습니다. 가명정보는 개정된 데이터 3법에서 신설된 개념으로, 개인정보와 익명정보의 중간에 자리잡고 있습니다. 예를 들어, ‘서울시 마포구에 거주하는 공덕대학교 재학생 한겨레(2000년 1월1일생)씨’가 개인정보라면 ‘서울 4년제 대학생 한아무개(20)씨’는 가명정보, ‘서울 20대 대학생’이 익명정보가 되는 식입니다. 개인정보보다는 추상적이지만 익명정보보다는 구체적인 정보가 바로 가명정보입니다.
네이버는 지난달 18일 ‘온라인 쇼핑 데이터’와 ‘지역 비즈니스 데이터’를 금융데이터거래소에 등록했습니다. 지난해 1월부터 12월까지 네이버 회원들이 검색한 쇼핑, 지역 관련 검색어 정보를 익명처리 한 익명정보입니다. ‘온라인 쇼핑 데이터’는 ‘사과’나 ‘배’, ‘패딩점퍼’ 같은 쇼핑 관련 키워드를 검색한 사람의 나이와 성별 등 정보를 담고 있습니다. ‘지역 비즈니스 데이터’는 강원도 강릉에서 네이버 회원들이 검색한 키워드는 무엇인지, ‘강릉교차로’를 검색한 사람은 모바일로 검색했는지 피시로 검색했는지 등의 내용을 포함합니다.
네이버가 등록한 이 익명정보는 은행이나 카드사 같은 금융회사뿐만 아니라 온라인이나 지역에서 사업을 해보려는 개인도 구매할 수 있습니다. 네이버 쪽은 “기업 입장에서는 이 데이터를 가지고 소비자에게 맞춤형 서비스를 개발할 수 있고, 소상공인은 사업 모델을 만드는 과정에서 시행착오 등 비용을 감소시킬 수 있을 것으로 기대한다”고 합니다.
에스케이텔레콤과 신한카드, 한국문화관광연구원은 ‘가명정보 결합’을 중심으로 하는 ‘문화관광 빅데이터 산업에서의 지속적인 상호 협력을 위한 업무협약’을 같은 달 2일 맺었습니다. 에스케이텔레콤의 위치 정보와 신한카드의 결제 정보를 통해 고객의 관광지 방문 순서, 성별과 나이에 따른 선호 관광지, 주요 관광지 인근 상권을 분석하고, 두 회사의 데이터를 분석한 결과를 가지고 문화관광연구원이 지역 관광 활성화를 위한 차별화된 전략을 세우겠다는 것입니다.
■개인정보 ‘보호와 활용’ 두 축으로 개정된 데이터 3법 네이버와 에스케이텔레콤 고객들은 네이버와 에스케이텔레콤의 약관에 동의하고 서비스를 이용했습니다. 하지만 자신의 정보를 다른 회사에 넘겨줘도 좋다고 동의한 적은 없습니다. 그런데도 정보의 주인인 이용자들의 동의 없이 기업들이 정보 뭉치를 사고 팔며 사업을 할 수 있게 된 데에는 ‘데이터3법’ 개정이 자리잡고 있습니다.
8월5일부터 시행된 ‘데이터 3법’의 핵심은 ‘데이터의 보호와 활용’이라고 할 수 있습니다. 데이터가 4차산업혁명 시대의 핵심 자원으로 떠오르면서 데이터를 활용한 신산업 육성을 위해 관련 규제를 풀어야 할 필요성이 떠올랐습니다. 동시에 데이터의 주인인 정보주체의 권리를 보호하기 위해 개인정보 보호 체계를 재정비 해야 한다는 필요성도 함께 생겼죠. 지난 2016년과 2018년 두 차례에 걸쳐서 유럽연합(EU)의 개인정보보호법(GDPR) 적정성 평가에서 한국이 탈락했던 일은 데이터 관련 법 개정에 속도를 붙였습니다. 유럽에서 사업을 하는 한국 기업이 사업상 취득한 유럽 시민의 정보를 국내로 쉽게 들여오려면 한국 정부가 유럽연합으로부터 적정성 판정을 받아야 합니다. 하지만 유럽연합은 △개인정보 보호를 위한 독립적인 감독 기구가 없고 △이용자가 개인정보 보호를 요구할 수 있는 데이터 주권 조처가 미약하다는 점을 지적하며 한국 정부를 적정성 판정에서 탈락시켰습니다.
이런 맥락에서 개정된 데이터 3법은 ‘보호와 활용’을 두 축으로 합니다. △익명정보보다 산업적으로 활용도 높은 가명정보 개념을 새로 만들어서 가명처리를 한 개인정보는 통계 작성, 과학적 연구, 공익적 기록보존을 하는 경우라면 정보주체의 동의 없이 결합·판매 등 활용할 수 있게 했고 △여러 법에 흩어져있던 개인정보 보호 관련 제도를 개인정보보호법을 중심으로 통합하고, 독립성과 위상을 강화한 개인정보보호위원회를 출범시키면서 개인정보 보호를 위한 장치들도 강화한 것이죠.
■데이터 활용 사업의 ‘빛과 그림자’ 데이터 사업이 활성화되면 데이터를 쌓아준 고객, 정보주체가 편리해지는 측면도 분명히 있습니다. 네이버와 에스케이텔레콤은 “이용자들이 정말 필요한 서비스를 보다 정확하게 제공받을 수 있을 것”이라고 입을 모았습니다. 에스케이텔레콤 쪽은 “관광지의 유명 식당에 언제 사람들이 몰릴지를 미리 예측해서 알려주면, 이용자 입장에서도 혼잡한 시간을 피해서 식사를 빠르고 편하게 할 수 있을 것”이라는 예를 들었습니다. 전세계적으로 뜨겁게 진행 중인 자율주행 자동차, 인공지는 로봇 개발 경쟁 등 신산업 발전 측면에서도 데이터 활용은 분명 필요한 일입니다.
하지만 정보가 활용될수록 ‘나도 모르는 사이에’ 내 신상정보가 알려지는 프라이버시 침해 우려도 함께 커지고 있습니다. 산업적으로 활용될 ‘가명정보’는 결합될수록 개인을 식별할 가능성이 커진다는 특징을 갖고 있기 때문입니다. 시민사회에서는 현재의 법 체계 하에서는 누군지 알아볼 수 없도록 가명처리를 했더라도, 각 기업이 갖고 있는 원본 데이터 때문에 가명처리 후 결합된 정보를 가지고 개인을 식별할 수 있는 가능성이 존재한다는 지적을 내놓습니다. 물론 개인정보보호법은 가명처리된 정보를 특정 개인을 알아보기 위한 목적으로 재식별할 경우 5년 이하의 징역 또는 5천만원 이하의 벌금, 전체 매출액의 3% 이내의 과징금을 내도록 정해두고 있습니다. 하지만 다른 목적으로 재식별했지만 결과적으로는 특정 개인을 알아볼 수 있게 된 경우는 막기 어렵고, 개인정보 침해는 한 번 발생하면 되돌리기 어렵기 때문에 현재와 같은 사후적 규제는 부족하다는 것이 시민사회가 우려하는 지점입니다.
윤종인 개인정보보호위원장이 지난 8월5일 정부서울청사에서 취임식을 갖고 인사말을 하고 있다. 연합뉴스원
■‘정보의 주인’ 정보주체의 프라이버시 보호, 개인정보보호위 손에 시민사회는 데이터 3법이 개정되는 과정 전반에서 정보주체의 권리보다 기업 등 개인정보처리자의 편익이 더 많이 고려됐다고 지속적으로 비판의 목소리를 내고 있습니다. 산업계는 법 개정 과정에서 각종 협회나 단체의 이름으로 자신들의 요구 사항을 분명히 전달할 수 있었는데, 정보주체인 개인은 흩어져 있기 때문에 권리 보호의 측면에서 조직된 목소리를 반영하기 어려웠기 때문이라고 설명합니다. 8월5일 데이터 3법 시행과 함께 출범한 ‘통합 개인정보보호위원회’(보호위)의 역할이 중요한 이유는 그래서입니다. 개개인으로 흩어져있지만, 데이터 산업의 바탕이 되는 정보를 생성해주는 정보주체의 권리를 보호하는 역할을 수행해야 하기 때문입니다.
하지만 보호위는 ‘개인정보 보호가 먼저’라는 입장을 명확히 밝히지 않았습니다. 윤종인 보호위원장은 취임사에서 “개인정보 보호와 활용의 조화를 이루겠다”는 모호한 입장을 내놨습니다. 산업 진흥을 위해 규제 완화 정책을 펴는 정부와 데이터를 활용해 사업을 하고 싶은 기업의 압력이 거센 상황에서, 보호위가 데이터의 주인인 정보주체를 잘 보호할 수 있을지 걱정스러운 대목입니다.
데이터는 결국 개별 이용자인 국민이 만들어내는 것이기 때문에, 제대로 된 권리보호가 바탕이 되어야 데이터 산업 진흥도 가능할 것입니다. 실제로 영국에서는 2014년 2월 출범한 보건의료 분야 빅데이터 플랫폼인 ‘케어닷데이터’ 프로그램이 정보인권의 측면에서 큰 반발을 불러와 2016년 7월 중단되기도 했습니다. 한국 보건복지부도 참고하려 했던 이 프로그램은 영국 정부가 시민에게 ‘정보 제공 반대’(옵트아웃) 권리를 포함해 프로그램에 대한 설명을 제대로 하지 않았다는 점에서 큰 반발을 불러왔습니다. 시민의 식별가능한 건강 데이터를 합법적인 근거 없이 구글에 제공한 사실도 알려지면서 신뢰가 추락해 결국 이 프로그램은 중단됐습니다. 데이터 활용은 정보주체의 권리 보호가 먼저 이뤄진 다음에 가능하다는 것을 보여주는 사례입니다.
보호위는 출범 이후 줄곧 “산업계의 이익을 먼저 고려한다”는 비판을 받아왔지만, 지난 17일 시민사회의 간담회 자리는 ‘권리보호에 힘쓰는 보호위’로 나아가려는 의지를 보인 것이 아닌가 기대를 하게 합니다. 이날 윤종인 보호위원장은 “법적 정합성과 정보주체의 권리 보호에 문제가 있는 등 개인정보보호법의 개정 필요성을 인정한다”며 시민사회의 지적을 반영해 권리를 강화하는 취지의 법 개정 가능성 시사했습니다. 개인정보와 관련한 주요 쟁점도 시민사회와 함께 논의하고 꾸준히 소통할 것이라는 입장도 밝혔죠. 보호위가 정말 이 약속을 제대로 지킬지, ‘정보의 주인’인 모든 시민들이 함께 지켜볼 필요가 있겠습니다.
최민영 기자
mymy@hani.co.kr