▲신정법 개정안은 SNS 등에 공개된 정보가 신용평가 등에 어떻게 활용될지에 대해서 아무런 설명을 제공하지 않고 있다.
Pexels.com
지난 2018년 데이터 분석업체 케임브리지 애널리티카가 8700만 명의 페이스북 이용자의 개인정보를 정치 목적으로 활용한 충격적인 사실이 드러나 전 세계적으로 논란이 되었다. 그리고 논란에 대한 후속조치 등은 현재까지도 진행중이다.
이러한 분위기 속에 신정법 개정안 제15조 및 제32조는 당당하게도 신용정보회사 등에 SNS 정보와 같이 공개되어 있는 개인정보를 개인의 동의없이 수집하고, 신용평가 등 영리적 목적으로 사용할 수 있도록 하고 있다.
누구도 자신이 SNS에 공개하는 정보가 신용평가 등 사업의 목적으로 수집되어 사용되리라 생각하며 SNS를 사용하지는 않는다. 그런데 신정법 개정안은 마치 개인이 SNS에 공개한 내용을 동의를 받아 사용할 수 있는 정보인 것처럼 취급하고 있다. 참고로 헌법재판소와 대법원 등 우리 사법부는 과거에 이미 공개된 개인정보도 보호가 필요한 개인정보라는 점을 인정하고 있다.
금융위원회가 인정하면 익명정보, 그 책임은 누가 지는가
개인정보 보호법제에서 보호의 예외가 되는 정보는 개인에 대한 식별가능성이 모두 제거된 '익명정보' 뿐이다. 그런데 신정법 개정안 제40조의2는 금융위원회에 어떤 개인정보를 익명정보로 추정할 수 있는 권한을 부여한다. 즉 금융위원회가 어떤 정보를 익명정보라고 결정하면 일단 익명정보로 보겠다는 것이다.
신용정보의 상업적 활용에 혈안이 되어있는 금융위원회가 익명정보 여부를 판단 하는 것도 부적절하지만, 그 정보가 문제 되었을 때 누가 책임을 지는지도 불분명하다. 신정법 개정안이 책임 발생에 대해서 침묵하고 있기 때문이다. 그 결과 개인은 자신의 신용정보가 익명정보가 아님에도 익명정보로 추정되어 활용된 경우 그 피해의 책임을 누구에게 물을 수 있는지 알 수 없다.
빅데이터 정책 추진이라는 명목 아래 탄생하는 금융계 빅브라더
현행 법은 신용조회회사의 '영리' 목적 겸업을 2014년 금융 개인정보 대량 유출사태 이후 신용정보 보호의 관점에서 제한하고 있다. 그러나 신정법 개정안 제11조의2는 신용조회회사의 영리 목적 빅데이터 겸업을 허용한다. 빅데이터 정책 추진이라는 명목 아래 신용조회회사에 대한 규제를 은근슬쩍 풀고자 하는 것이다.
나아가 신정법 개정안은 한국신용정보원 등 신용정보집중기관의 권한을 무제한적으로 확대한다. 신정법 개정안 제23조는 한국신용정보원 등 신용정보집중기관에 제공될 수 있는 공공기관 보유 개인정보를 확대한다. 즉 신용정보집중기관이 상업적 목적으로 활용할 수 있는 개인정보가 확장되는 것이다.
더불어 신정법 개정안 제26조의4는 한국신용정보원 등 신용정보집중기관을 '데이터 전문기관'으로 지정하고 다양한 관련 사업을 수행할 수 있도록 한다. 관련 사업의 범위는 대통령령으로 정할 수 있도록 하여 무한정 확장할 수 있도록 했다. 이처럼 신정법 개정안은 한국신용정보원 등 신용정보집중기관이 금융계의 '빅브라더'가 될 수 있도록 전폭 지원하는 법안인 것이다.
개인정보보호 체계를 무시하는 특별한 대우의 요구
신정법 개정안은 노골적으로 개인정보보호 법제 일원화로부터의 차별성을 추구한다. 신정법 개정안은 개인정보보호법이 규정해야 할 주요 사항들을 더 확장된 개념으로 정의하거나 신용정보만의 장기 보유를 도입하는 등 노골적으로 특혜를 요구한다.
무엇보다 문제인 것은 신정법 개정안이 독립적인 개인정보 감독기구에 의한 관리, 감독의 일원화도 거부하고 있다는 점이다. 신정법 개정안은 금융위원회에 개인정보 관리, 감독 권한을 인정하고 있다. 신용정보의 상업적 활용을 추진하고 있는 금융위원회가 신용정보 보호를 위한 독립적인 기구로서 역할할 수 있을까?
실종된 GDPR의 본래적 의미
신정법 개정안은 위에서 언급한 문제점 뿐만 아니라 '데이터경제 3법'의 다른 두 법안이 가지고 있는 문제점들도 공통적으로 가진다. 불충분한 정의 및 안전장치 미도입을 통한 '가명정보'의 무분별한 활용 우려, 세계에서 유례를 찾아볼 수 없는 국가 주도 정보집합물의 결합 제도 도입 등 다른 두 법안의 문제점이 그대로 반영되어 있다.
금융위원회 등은 이러한 신정법 개정안이 유럽연합(EU)의 일반개인정보보호규정 (General Data Protection Regulation, 'GDPR')에 부합한다는 주장을 하고 있다. 그러면서 신정법 개정안이 통과되어야 유럽의 변화된 데이터 시장에서 경쟁력을 갖출 수 있다고 주장한다.
신정법 개정안은 정작 GDPR의 정신과 내용에 상충된다. 정보와 평가에 대한 권리, 정보주체의 프로파일링에 대한 고지의무, 설명의무 규정 미비 등 GDPR의 정신과 내용에 입각한 정보주체의 권리 보장 조항은 신정법 개정안에서 협소하게 규정하거나 찾아볼 수 없다. 즉 신정법 개정안은 GDPR이 기본적으로 개인정보의 상업적, 영리적 활용을 촉진하기 위한 지침이 아닌 변화되는 산업환경에서 개인정보를 보호하기 위해 만들어진 지침이라는 인식을 결여하고 있는 것이다.
결국 금융위원회 등이 GDPR을 운운하며 신정법 개정안의 정당성을 호소하는 것은 GDPR을 잘못 해석해 시민을 기만하는 행위이다.
신용정보 보호가 실종된 신정법 개정안, 결코 통과되어서는 안돼
2014년 금융 개인정보 대량 유출사태 이후에도 금융 개인정보 유출사고는 지속적으로 발생하고 있다. 그리고 유출 사례가 발생할 때마다 그 피해는 오롯이 신용정보의 주체들이 부담해야만 했다. 개인정보 유출에 따른 피해는 사후적 회복이 어렵고, 단 한 번의 정보 유출만으로 개인의 삶은 평생 무너질 수 있다.
이처럼 신정법 개정안은 정보주체의 기본권을 심각하게 침해할 수밖에 없는 법안이다. 따라서 신용정보의 보호를 담보할 수 있는 체계 구축 없이 신정법 개정안을 강행해서는 안 될 것이다.