전체메뉴

[애플경제 박문석 기자] 지난 달 27일, 국회 본회의를 통과한 개인정보보호법 개정법률에 대해 시민사회단체들의 비판이 거세다. 특히 동 법상 ‘전송요구권’과 정보주체(정보소유자)의 AI시대 ‘완전 자동화 의사결정’ 등이 조항에 대해선 재개정을 요구하는 목소리가 높다.

3일 한국소비자연맹과 참여연대, 민주사회를위한변호사모임, 서울YMCA 등 10개 단체는 “개인정보를 적극 활용하고 싶은 산업계의 로비에 밀려 국제규범에 한참 못미치는 수준으로 타협한 결과”라며 “정보주체의 권리 보호와 개인정보 처리자의 책임성을 강화하고, 개인정보보호법에 표적 광고 목적의 식별자도 명확하게 ‘개인정보’로 규정해야 한다”고 촉구했다.

“개정된 ‘전송요구권’, 자칫 정보주체 권리 침해”

이번에 가장 문제가 된 것은 ‘전송요구권’ 도입이다. 이는 그 동안 개인정보보호법 개정의 가장 뜨거운 논쟁거리가 되어왔다. 무엇보다 전송요구를 할 수 있는 정보주체의 권리를 얼마나 확실하게 보장할 수 있느냐는 것이다. 정보와 데이터를 소유한 당사자의 의지를 십분 존중한다는 취지임에도 불구, 자칫 잘못하다가는 무분별한 개인정보 유출과 침해가 일어날 것이란 우려다.

현재의 개인정보 제공 여부에 관한 동의 제도와 흡사한 상황이 벌어질 수도 있다는 지적이다. 실제로 개인정보 제공에 동의하지 않을 경우 거의 모든 상거래나 조회, 검색 등이 불가능한 실정이다.

이번 개정안 통과 직후 시민사회는 통합된 법적 체계가 마련됐다는 점은 일단 긍정적으로 평가했다. 그러면서도 해외에서 시행되고 있는 마이데이터 취지와는 사뭇 다른 저의를 갖고있는게 현재 국내 금융계와 기업들이 선호하는 마이데이터 제도라는 지적이다. 즉 개인데이터 보호보다는 산업 활성화에 방점을 찍고 있어, 전송요구권이 왜곡될 소지가 크다는 얘기다. 이에 법의 행간에 숨은 기업들의 저의를 두고, ‘재보다 잿밥’이란 비유까지 나오고 있다.

소비자연맹과 참여연대 등은 “정보 전송을 통해 개인정보가 악용될 위험이 크고, 그 결과에 대한 충분한 설명이 정보주체에게 제공될 것이라고 신뢰하기 어렵다.”면서 “개인정보 상업화에 혈안이 된 기업들의 개인정보 집적과 남용의 위험성 여전히 상존하기 때문”이라고 경계했다

특히 진보네트워크센터는 “정부가 마이데이터를 추진하는 명분은 정보주체의 권리를 강화하는 것이라고 하지만, 그 보다는 데이터 활용 측면이 더 강한 것이 사실”이라며 “전송요구권을 통해 정보주체의 동의를 받는다고 하지만, 과연 개인이 위험성을 충분히 인지한 후 동의를 할 수 있을지는 의문”이라고 그 실효성을 의심했다.

‘완전자동화 의사결정’ 원칙적 금지 유럽과는 대조적

AI시대에 필수적인 ‘완전 자동화 의사결정’에 대한 정보주체의 권리조항(신설 제37조의2)dp 대해서도 “유럽연합에 비해 보호 수준이 미흡하다”는 비판이다.

즉, 유럽연합의 경우 동의나, 계약, 법률에 의한 경우를 제외하고는 정보주체에게 중대한 영향을 미치는 완전 자동화 의사결정을 원칙적으로 금지하고 있다. 그러나 이번에 개정된 국내법은 개정안은 원칙적으로 허용하되, 정보주체가 사후에 거부할 수 있도록 했다. 유럽이 포지티브 원칙이라면, 국내법은 네거티브 방식이어서, 거절 등 특별한 경우를 제외하곤 폭넓게 수용하는 쪽을 선택한 것이다.

그 때문에 “기업의 개인정보 처리자가 자신의 ‘정당한 이익’을 주장하며 완전 자동화 의사결정을 했을 경우, 이에 대해 고지조차 제대로 받지 못하는 정보주체(소유자)가 어떻게 거부권을 행사할 수 있을지 실효성조차 의문”이라는 지적이다.

이 밖에 법 위반 행위에 대한 과징금 조항도 문제다. 과징금 규모를 전체 매출액의 3%로 규정한 것도 모자라, ‘전체 매출액에서 위반행위와 관련이 없는 매출액을 제외(신설 제64조의2 2항)’하는 것으로 후퇴한 것이다. “무엇이 (법 위반 행위와) 관련된 매출액인지에 대한 논란이 발생할 수밖에 없고, 기업들은 이를 빌미로 소송을 제기하여 법 위반에 대한 처벌이 한없이 유예되지 않을지 우려된다”는 것이다.

“정보활용 요건 강화, 수사기관 접근 제한 등으로 ‘재개정’ 필요”

이에 10개 시민사회단체들은 “정보주체의 권리 보장과 개인정보처리자의 책임성 강화를 주 내용으로 하는 종전의 민병덕 의원안 및 배진교 의원안을 반영하여 다시 재개정해야 한다”고 강력히 요구했다.

이들에 따르면 정보주체의 권리 보호와 개인정보 처리자의 책임을 강화하는 방향으로 재개정되어야 한다.

즉 “과학적 연구 목적의 개인정보 활용 요건을 엄격히 하되, 공익적인 연구에 한하여 충분한 안전조치를 전제로 이용할 수 있도록 해야 한다.”면서 “‘동의’ 외에 어떠한 적법 근거에 따라 개인정보를 처리하든, 자신의 개인정보가 어떻게 처리되는지에 대해 정보주체에게 충분한 정보를 제공할 것”을 강조하고 있다.

또 “정보수사기관이 충분한 안전조치 없이 개인정보에 접근할 수 있도록 하는 현행 요건을 보다 엄격하게 제한해야 한다.”면서 “개인정보가 어떤 부작용을 빚는가를 평가하는 ‘개인정보 영향평가 제도’를 민간의 고위험 개인정보 처리로 확대하고, 빅데이터, 인공지능 시대에 ‘개인정보 영향평가 제도’가 실질적인 안전조치가 될 수 있게 해야한다.”고 목소리를 높였다.

이들 단체는 특히 ‘표적 광고’에 대해서도 기업 등에 대한 규제를 강화할 것을 요구하고 있다. 우선 동의없이 이용자의 인터넷 행태정보를 수집하는 현재의 관행을 비판하면서 “법적 확실성을 위하여 개인정보보호법에 ‘표적 광고’ 목적의 식별자를 개인정보로 명확하게 규정할 필요가 있다”고 했다. 즉 “표적 광고 자체가 개인의 취향과 관심사에 맞춰 제공되는 것임에도 불구하고, 기업들은 뻔뻔하게도 이를 개인정보가 아니라고 우기면서 정보주체의 동의 없이 이를 처리해왔기 때문”이라고 비판했다.

"21대 국회 회기 내 재개정" 요구

이들 단체는 또 “개인정보보호법과 감독체계의 일원화 흐름에도 불구하고 여전히 위치정보법 및 신용정보법은 통합되지 않고 있어, 어떤 것들이 개인신용정보인지, 개인위치정보의 처리는 어떻게 해야하는지 혼란이 계속되고 있다”고 통합을 요구했다.

결론적으로 이들 시민사회단체들은 정보주체의 권리 보호와 개인정보 처리자의 책임성 강화 측면에서 국제적인 규범과 시민사회의 기대에 한참 미흡한 수준이라며 비판하고 있다. 그래서 “아직 21대 국회가 1년 넘게 남아있는 만큼, 진정으로 정보주체의 권리를 보호하는 방향으로 개인정보보호법을 재개정할 것을 촉구한다”고 했다.

이번 개정법률의 재개정을 요구하곤 시민사회단체는 한국소비자연맹, 제정의실천시민연합, 무상의료운동본부, 민주사회를위한변호사모임 디지털정보위원회, 서울YMCA 시민중계실, 소비자시민모임, 연구공동체 건강과대안, 전국민주노동조합총연맹, 진보네트워크센터, 참여연대