지난 11월 29일 개인정보보호법과 신용정보법이 국회 본회의에 상정되지 않고 법제사법위원회에서 계류되자 산업계에서는 미래 산업에 대한 국가 경쟁력이 뒷걸음질 칠 수 있다는 우려를 쏟아내고 있다. 이들이 앓는 소리를 내고 있지만 정보통신망법을 포함한 소위 ‘데이터 3법’의 통과에 가장 앞장서는 세력은 정부와 국회다. 지난 10월 문재인 대통령은 데이터 3법의 연내 통과를 위한 협력을 약속했고, 데이터 3법에 대한 지지는 여야를 막론한다. 이미 대량의 개인정보 유출 사건을 수도 없이 겪은 한국사회에서 개인정보를 둘러싼 권리는 새로운 경제의 청사진에서 ‘걸림돌’로만 여겨지고 있다. 이런 상황에서 꼭 필요한 사회적 논의는 이루어지지 않고 있다. ‘어떤’ 데이터가 가치를 갖게 되는가? 그 자원은 ‘누구’에게 가치 있는가? 누가 그 자원을 활용할 수 있는가? 자원의 활용으로 이익이 얻거나 침해받는 것은 누구인가?
기업이 돈 벌기 위해 만든 ‘데이터 3법’
‘데이터 3법’의 쟁점은 가명정보에 대한 동의 여부와 활용범위와 관련된다. 가명정보란 추가 정보의 사용이나 결합 없이는 특정 개인을 알아볼 수 없도록 처리한 정보를 말한다. 마치 안전하게 처리된 데이터로 보이지만, 다른 정보와의 결합을 통해 언제든 쉽게 개인이 식별될 수 있는 위험을 안고 있다. 그런데 이번 개정안은 정보주체의 동의 없이 개인정보를 활용할 수 있도록 허용하고 있다. 더 심각한 문제는 바로 동의 없는 가명정보의 활용 범위로 통계작성, 과학적 연구, 공익적 기록 보존 등을 명시하면서 사실상 ‘과학적 연구’에 산업적 활용을 포함시키고 있다는 점이다. 게다가 가명정보의 경우 전문기관을 통한 데이터 결합의 근거까지 마련되면서 기업은 자신의 이익을 위해 개인정보를 활용할 수 있을 뿐만 아니라, 다른 기업에게 제공하고 유통할 수 있게 된다.
기업이 가명정보를 정보주체의 동의 없이 활용하게 된다면 어떤 일이 생길까? 2015년 IMS헬스 사건은 그 결과를 대표적으로 보여주는 사례다. 약학정보원은 2011~2015년 동안 환자의 개인정보 및 질병정보를 판매할 목적으로 프로그램 'PM2000'까지 개발해가며 병원과 약국을 통해 정보를 수집했다. 이 정보는 의료데이터 회사인 IMS헬스코리아에 판매되고, 미국 본사는 다시 이 정보를 분석한 데이터를 국내 제약회사에 마케팅 용도로 팔았다. 환자들은 동의 없이 처방전 정보를 판매한 것에 대해 손해배상 청구 소송을 냈지만, 올해 5월 2심에서 패소했다. 개인정보에 대한 자기 결정권이 ‘침해’된 것은 맞지만, ‘손해’가 발생했다고 보기 어렵다는 이유에서다. 4년 동안 47억 건의 개인정보를 통해 IMS헬스가 취득한 이익은 122억 원이 넘는다. 전자처방전 사업을 통해 환자 동의 없이 서버에 저장된 처방전을 약국에 건당 50원씩 판매하고 36억 원의 이득을 취한 혐의로 2015년에 기소된 SK텔레콤에 대한 재판은 아직도 진행 중이다. 만약 데이터 3법이 통과된다면 이러한 기업의 개인정보 수집․유통․판매가 법적 근거를 얻게 되는 셈이다. 물론 그 이익은 고스란히 기업이 쥐게 된다.
애초에 데이터 3법은 개인정보 활용의 근거를 필요로 하는 산업계의 요구를 수용한 결과다. 그 중에서도 산업계가 가장 크게 주목하는 빅데이터 경제는 바로 의료와 금융 분야다. 의료, 금융 정보는 일반적인 개인정보에 비해서 경제적 가치가 크다고 평가되는데, 이러한 정보의 활용이 기업에게 더 큰 이익을 가져다 줄 것은 자명하다. 기업이 자신들이 가진 개인정보 외에 다량의 중요 개인 정보를 다루는 의료공공기관과 신용정보기관, 통신사를 비롯한 다른 민간기업 데이터와의 결합에 눈을 반짝이는 이유다.
공공의 이익에 기여한다는 기만
그런데도 빅데이터의 결합과 활용은 기업의 이익뿐만 아니라, 소비자의 편의성을 증진하고 공공의 이익에 기여한다는 산업계의 언설이 난무한다. 의료정보의 경우 치료제 및 신약개발뿐만 아니라 다양한 헬스케어 서비스를 통해 건강증진에 기여할 수 있다고 홍보한다. 데이터가 쌓이면 쌓일수록 명확한 진단이 가능해지기 때문에 고객 개개인에게 유용한 건강정보 및 서비스를 제공할 수 있다는 것이다. 또한 은행, 카드, 보험, 금융투자 등 금융업 분야별로 나뉜 데이터를 결합해 맞춤형 금융상품을 개발․제공하고, 다른 사업 분야와 데이터 융합을 통해 획기적인 서비스가 가능해질 거라고 말한다. 하지만 기업의 관심은 ‘팔릴 만한’ 상품 및 서비스를 판매해서 이윤을 높이는 것이고, 돈이 되지 않는 사업이나 고객에 관심을 가질 리 만무하다.
건강보험심사평가원은 2014~2017년 동안 민간보험사와 민간보험연구기관에 6400만여 명의 ‘표본 데이터셋’을 수수료를 받고 제공한 사실이 논란이 되자 중단한 바 있다. 판매한 정보에는 환자의 기본정보뿐 아니라 진료내역과 처방내역이 포함되어 있었는데, 이는 보험사의 상품 위험률과 손해율이라는 사적 목적을 위해서였다. 유사한 빅데이터를 가진 건강보험관리공단은 질병보유자나 위험요인 보유자에 대해 보험 가입이나 수급에서 차별로 악용될 가능성이 있다는 이유로 민간 보험사에는 정보를 제공하지 않았다. 의료데이터가 개인이나 집단의 치료나 건강증진을 위해 활용되는 것이 아니라, 상품에 대한 통제를 통해 건강취약계층의 건강불평등을 발생시키거나 유지시키는 역할을 하게 되는 것이다. 신용·금융정보 또한 마찬가지다. 나이, 성별, 소득수준, 스마트폰 등 개인정보와 스마트폰 사용패턴과 같은 통신정보, 국민연금, 건강보험, 전기료 등 사회보장 정보가 결합되었을 때 저소득·빈곤층에 속하는 사람들은 은행에서 대출을 거부당하거나 위험도가 높은 금융권으로 내몰릴 수 있는 것이다.
기업의 ‘실제 고객’은 따로 있고, 우리는 개인정보라는 데이터 자체로서 판매 상품이 된다. 이미 거대한 시장이 형성된 ‘데이터 브로커’는 미국만의 문제일까? 데이터 3법이 개정되면, 우리도 모르는 사이에 기업들이 개인정보를 곳곳에서 취득하고 이를 다른 기업에 팔아 이익을 챙기는 업체들이 우후죽순 생겨날 것이라는 예측은 합리적이다. 더구나 이번 신용정보법 개정안은 2014년 카드사의 개인정보 유출을 계기로 강력하게 통제되거나 금지되었던 조항들을 역으로 폭넓게 허용하고 있다. 또한 공공기관이 보유한 개인정보의 공유 확대뿐 아니라, 그 동안 금지되었던 신용정보회사의 영리 목적의 빅데이터 업무 겸업을 허용하게 된다.
대량의 개인정보를 이용해 기업의 배를 불리는 모습이야말로 4차 산업혁명을 부르짖는 한국사회의 현주소이다. 산업계의 노골적인 행보조차 4차 산업혁명 시대를 선도한다는 국가적 책무로 포장되는 현재의 상황은 정부와 국회 탓이 크다. “기업들이 빠르게 수익을 낼 수 있는 환경을 마련하겠다”는 선언은 기업의 이익추구 자체를 사회의 ‘선’으로 쉽게 정당화했다. 우리 자신이 상품이 되어버린 시대에 정보인권, 프라이버시 보호, 데이터 주권 등 ‘권리’에 대한 논의는 설 자리를 잃은 지 오래다.
개인정보는 어쩌다 ‘권리’로부터 멀어 졌나
경찰청 사이버안전국에 따르면 최근 10년간 발생한 개인정보 유출사건으로 유출된 개인정보가 2억 3,000만 건에 달하는 것으로 나타났다. 개인정보 유출 사고의 빈도와 규모를 떠올려볼 때 그러한 사고에 무감각해지지 않기란 어렵다. 가끔씩 소름이 돋기도 하지만 기업이 맞춤형 정보를 척척 건네주는 현실이 편리할 때도 있고, 주민등록번호까지 털린 마당에 내게 남아 있는 ‘보호’해야 할 유의미한 정보가 무엇인지 잘 떠오르지 않기도 한다. 설령 떠올린다 한들, 현실에서 무엇이 달라질 수 있을지 전혀 가늠되지 않는다. 문제는 이러한 상황을 ‘프라이버시의 역설’이라는 구도로 접근하면서 개인의 책임과 선택을 강조하는 사회적 분위기다. 프라이버시를 중요시하고 개인정보 보호를 원하지만 현실에서는 각종 서비스나 재화를 취득하기 위해 개인정보를 제공하는 개인에게 책임의 화살을 돌리는 것이다.
많은 사람들이 자신의 개인정보가 원치 않는 방식으로 활용되는 것은 거부하면서도 SNS 활동을 위해 개인정보를 스스로 노출한다. 또한 프라이버시 침해에 대해 우려하면서도 작은 경품 혜택을 위해 개인정보를 제공하기도 한다. 사람들이 개인정보에 대한 통제권을 자신의 권리로 잘 인식하지 못하거나 인식하더라도 쉽게 포기하는 배경에는 ‘개인’ 정보가 다량의 ‘집합’ 정보로 다루어지고, 단독으로 활용되기보다 다양한 형태로 결합되어 활용되기 때문이다. 개인정보 제공에 동의하지 않을 경우 이용 가능한 서비스 자체가 거의 남아 있지 않은 상황에서 이미 개인정보는 개개인의 동의 수준을 넘어선지 오래다. 이는 개인정보에 대한 제도의 규범과 정책의 방향이라는 총체적 차원의 문제이다.
빅데이터의 활용에 대한 공론의 장이 필요한 시점
“한국 데이터산업은 사망선고 직전 심폐소생술을 하는 단계”라고 과장하는 산업계과 빅데이터가 새로운 오일이라고 받아쓰는 언론 속에서 우리는 어떤 변화를 만들어갈 수 있을까. 문제는 가장 가치 있다는 자원이 기업의 이익을 위해 활용되는 것은 당연하다는 인식이 공론장을 지배하고 한다는 점이다.
거대 정보통신기업들이 권력을 쥐게 되는 것은 정보의 유통과 생산, 가공에 있어 통제권을 행사하기 때문이다. 다른 한편, 다양한 정보들이 생산되고 연결되면서 새로운 정보와 지식이 축적되는 현재 상황은 우리에게 새로운 접근법을 요구한다. 그 중 하나는 바로 서비스 제공자 혹은 데이터 거래자인 기업이 가진 통제력을 약화시키고 데이터를 제공하는 사람들이 더 많은 통제력을 갖도록 하는 것이다. 또한 정부는 가지고 있는 데이터를 명확한 원칙아래 공개함으로써 새로운 서비스가 창출될 수 있도록 지원하거나, 핵심적인 공공데이터 영역을 관리할 수도 있다. 더 확대될 수밖에 없는 데이터 경제가 몇몇 기업들의 이익을 위해 존재하지 않으려면 공공정책과 제도를 통한 개입이 필요하다.
지금 우리에게 필요한 것은 이익 추구에 여념 없는 기업과 산업발전이라면 뭐든지 허용할 기세인 정부의 '결속'이 아니다. 개인의 정보인권, 결합된 정보에 대한 집단적 권리를 보장받을 수 있으리라는 기대와 신뢰구축부터 이루어져야 한다. 이는 데이터의 활용과 사회적 이익을 둘러싼 공론의 장을 여는 논의의 과정이자, 데이터 공유와 기술이 공공의 이익에 기여할 수 있도록 하기 위한 사회적 협력을 쌓아가는 과정이기도 하다. 데이터 3법의 조속한 처리가 아닌 데이터 3법에 대한 정부의 관점 전환이 필요한 이유다.