개인정보(데이터) 3법은 민생법안이 아니라 ‘개인정보 도둑법’이다
동의 없는 개인정보 활용과 개인정보 거래허용
안전장치 부재, 반쪽 개인감독기구
오늘(1/9) 국회 본회의에서 검경 수사권 조정 법안과 민생법안 처리될 예정이다. 이에 앞서 본회의 상정을 위해 법사위를 열어 개인정보 3법(개인정보보호법·정보통신망법·신용정보법 개정안_산업계와 정부 여당은 데이터 3법이라 부르고 있지만 개인정보 처리에 관련된 법률들로 개인정보 3법으로 불러야 마땅하다)을 처리할 예정이다. 지난 7일 이인영 더불어민주당 원내대표는 “데이터 3법은 산업 현장의 요구가 절박하다”며 법사위에 계류 중인 민생법안을 강조하며 개인정보 3법 처리를 압박했다. 그동안 정부와 국회는 개인정보 3법을 4차 산업혁명과 경제혁신을 위해 반드시 통과되어야 한다며, 민생법안으로 포장해 국민과 언론을 속여왔다.
우리 사회는 주민번호를 중심으로 금융, 의료, 건강, 통신, 유통 등 서로 다른 개인정보가 촘촘하게 연계되어 개인을 감시하고 추적해 왔다. 이로 인해 인권침해와 끊이지 않는 대규모 개인정보 유출, 불법 스팸, 보이스피싱 등 국민의 피해는 심각했다. 반면 개인의 권리를 지킬 집단소송법 등 피해구제 제도 부재와 국민을 지켜야 할 사법부의 판단은 기대 이하였다.
개인정보 3법이 본회의를 통과하면 개인정보 수집 처리 이용에 대한 전반적인 변화와 정보 주체인 국민의 권리 축소는 불가피하다. 개인정보 3법은 ‘상품구매나 서비스 이용’이 아닌 ‘개인정보 거래’가 목적이 되는 개인정보 체계의 근간을 바꾸는 중대한 사안임에도 사회적 합의 없이 일방적으로 기업측 요구에 호응하며 추진되어 왔다. 이제 얼마 남지 않은 20대 국회에서 마치 민생 법안인양 국민을 호도하며 통과를 서두르고 있다.
개인정보 3법의 내용을 보면 정보 주체인 국민 동의 없는 개인정보 상업적 활용과 서로 다른 기업 간의 개인정보 결합, 개인정보 거래허용 등 정보활용에 초점이 맞춰져 있다. 기업들이 가명처리된 고객정보를 정보주체의 동의 없이 판매, 공유, 결합할 수 있도록 제한 없이 허용함을 물론, 정부가 나서서 개인 신용정보 및 공개된 소셜미디어 정보들의 거래를 허용하고 활성화해 새로운 시장을 만들겠다는 발상은 세계에서 유래를 찾아볼 수도 없다.
반면 안전장치는 거의 전무하고 개인정보 감독기구의 역할은 반쪽에 불과하다. 유럽연합(EU)의 개인정보보호규정(GDDR)을 차용하면서도 GDPR에서 보호의 장치로 마련된 프로파일링에 대한 영향평가 의무나, 프로파일링에 대하여 개인이 행사할 수 있는 권리도 대부분 빠져있다. 개인정보 감독기구인 개인정보보호위원회가 금융위의 개인 신용정보, 복지부의 개인 의료정보 등은 권한을 제대로 미치지 못한다.
개인정보 3법은 기업의 이익을 위해 국민기본권을 침해하고, 민생법안으로 포장한 채 우리 사회가 지켜야 할 최소한의 기준과 원칙마저 경제적 논리로 훼손하는 ‘국민기본권 제한법’이자 ‘개인정보 도둑법’에 불과하다.
그동안 우리 시민사회단체들은 개인정보 규제 완화를 하더라도 보호조치가 없는 입법에 강력한 우려의 의견을 제시한 바 있다. 이대로 개인정보 3법이 통과되어 정보활용만이 중요한 가치로 인식된다면, 개인정보보호에 대한 사회적 혼란은 더 극심할 것이다. 우리 국민 주민번호는 전 세계 ‘공공재’라는 자조섞인 평가를 잊었는가? 이번 개인정보 3법 통과는 이후 또 다른 불필요한 사회적 비용과 혼란을 초래할 것임은 자명하다. 개인정보 3법이 통과되더라도 정부가 예상하는 것과 같은 신성장 기술·서비스 개발에 큰 보탬이 될지는 불분명하다.
국회의 입법권은 국민을 위해 사용되어야 한다. 사기업의 이윤을 위해, 그것도 충분한 안전장치도 없이 정보주체의 권리를 일방적으로 희생할 것을 요구하는 것은 국민의 대표기관이 할 일이 아니다. 적어도 정보인권과 정보활용의 균형을 맞추는 노력은 해야 하지 않겠는가?. 문재인 정부와 국회는 개인정보 3법 처리 시도를 즉각 중단하고, 최소한의 보호 규정이라도 마련한 후 입법화하여야 할 것이다. 국민들의 정보인권을 보호하는 역할을 정부와 국회가 포기하지 않기를 희망한다.