(14)'데이터가 원유'라는 환상 뒤..'제로 프라이버시'의 현실이 기다린다 [이광석의 디지털 이후]

[경향신문] ㆍ‘데이터 3법’ 유감
ㆍ국회서 가결된 개인정보보호법·정보통신망법·신용정보법 개정안“빅데이터 활성화 골든타임 지켰다”지만 시민단체는 “개인정보 도둑법” 존엄한 정보인권, 규제 맥락으로 접근…오남용이란 불에 기름 부어 EU 개인정보보호법의 형식만 따르고 산업 부흥을 위한 조치에 방점 불안한 보호에서 안전한 활용이란 매력적 슬로건 ‘약보다 독’이 될 우려

일러스트 | 김상민 기자

새해 벽두부터 소위 ‘데이터 3법’(개인정보보호법·정보통신망법·신용정보법 개정안)이 국회 본회의에서 가결됐다. 그동안 개인 데이터 권리 보호론 대 데이터의 상업적 목적 활용론 사이 존재했던 긴장관계조차 이로써 무너졌다. 물론 데이터 활용론의 예고된 승리로 끝났다. 관련 업계, 정부, 언론 모두 한목소리로 ‘빅데이터 활성화 골든타임’을 지켰다며 자축 일색이다. 시민사회만 침통한 어조로 이를 20대 국회 ‘최악의 입법’이자 ‘개인정보 도둑법’으로 평가했다.

언론들은 연일 관련 법 개정을 위해 ‘데이터는 원유’라는 비유법을 써왔다. 20세기 화석경제 원료인 원유만큼 오늘날 신기술 환경에서는 데이터가 시장의 에너지원이자 돈벌이란 뜻이리라. 그런데 이 천박한 데이터 비유법은, 원유라는 화석연료가 오늘 지구의 위기 상황을 초래한 주범임을 망각한 듯하다. 어찌 보면 데이터 또한 오늘날 디지털 자본주의의 중요한 시장 자원으로 쓰지만, 그도 지나치면 우리는 극단의 정보 사유화와 함께 어디에도 홀로 남겨질 곳 없는 ‘제로(0) 프라이버시’의 우울한 현실을 맞게 된다.

데이터 활용 측은 꽤 오랫동안 ‘불안한 보호에서 안전한 활용으로’라는 매력적인 슬로건을 내세웠고, 관련 법 개정을 촉구해왔다. 문재인 대통령 또한 “데이터를 가장 잘 다루면서 동시에 데이터를 가장 안전하게 다루는 나라”를 만들자며 데이터 경제 혁신을 강조해왔다. 법 제도 정비를 통해 빅데이터 활용과 보호의 두 마리 토끼를 잡겠다는 심산이었다. 하지만 이번 데이터 3법 개정은 활용과 보호 사이의 화해도 아니었고, 그저 활용을 위해 보호를 알리바이로 썼음을 확인하는 자리가 됐다.

■ ‘데이터 3법’의 쟁점 사항들

데이터 3법 개정안의 몇 가지 쟁점 사항만 짚고 가자. 먼저 개인정보보호법 내용을 들여다보면, 이전에 법적으로 없던 ‘가명정보’란 논쟁적 용어가 공식적으로 등장한다. 여기서 ‘가명정보’는 개인을 식별할 수 있는 정보 일부를 삭제하거나 대체해 추가 정보 없이는 특정 개인을 알아볼 수 없도록, 이른바 ‘비식별 조치’를 취한 데이터를 뜻한다. 데이터 보호 입장에서는 ‘가명정보’가 현실적으로 불안한 개념이란 회의론이 무성했지만, 이번 개정안은 사적인 용도로 가명정보를 폭넓게 개인 동의 없이도 활용할 수 있게 한다는 내용을 담고 있다.

물론 단서조항은 있다. “통계 작성, 과학적 연구, 공익적 기록 보존 등은 동의 없이 활용 가능”하다. 하지만 ‘과학적 연구’란 것이 실제 산업 영역의 활용까지 포괄할 수 있어서 거의 대부분의 상업적 활용에 문을 열어주고 있다. 특정 개인을 알아볼 수 있는 식별 정보, 즉 ‘개인정보’ 활용 규정도 “수집 목적과 합리적으로 관련된 범위”에 있다면 정보 주체의 동의 없이 활용할 수 있도록 개정했다. 바뀐 규정에 따르면 가령 인터넷 쇼핑몰과 배송업체 사이 고객의 배송 관련 개인정보를 주고받으려면 이전에는 고객 동의를 얻었지만 이젠 그럴 필요가 없어졌다.

지난 9일 국회 본회의에서 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’(정보통신망법) 개정안이 재석 의원 155명 중 137명의 찬성으로 통과되고 있다. 개인 데이터의 상업적 활용의 길을 여는 소위 ‘데이터 3법’(개인정보보호법·정보통신망법·신용정보법 개정안)이 이날 국회 문턱을 넘은 것이다. 시민사회는 정보 사유화의 우려와 함께 ‘개인정보 도둑법’이라며 반발하고 있다. 연합뉴스

다음으로 신용정보법 개정안을 보자. 개인정보보호법마냥 금융 분야 가명정보의 분석 및 이용, 그리고 주체의 동의 없는 가명정보의 영리적 이용을 폭넓게 허용했다. 가령 이 개정안 아래에서는 사회관계망서비스(SNS)에 올린 다양한 데이터 정보들을 신용정보회사가 고객 동의 없이 활용할 수 있게 된다. SNS를 통해 수집한 신용 관련 ‘비정형’ 데이터를 해당 고객의 신규 대출이나 보험수가 등 다양한 신용평가 자료로 쓸 수 있게 되는 것이다. 이를테면 우리가 은연중 소셜미디어에 남긴 부모 형제 등 가족의 직업 및 재산, 현실 혹은 페이스북 친구와의 재정 상태 관련 개인 톡, 해당 이용자의 개별 습성이나 성격 등 데이터 부스러기들의 알고리즘 가중치 분석을 통해 신용을 평가하는 일이 흔해질 것이다.

신용정보법 개정안은 개인정보 주체의 ‘전송요구권’ 조항도 신설했다. 이제까지 은행, 보험사, 카드사, 통신사 등 여기저기 흩어져 있는 개인의 입출금 내역, 소비정보 등 신용정보를 다른 데이터 서비스 기관으로 옮기거나 통합해 관리할 수 있는 이른바 개인신용 정보의 이동 권한을 고객에게 부여하고 있다. 이에 금융업계의 기대감이 크다. 이를 통해 데이터 수요자와 공급자를 매칭해 금융·통신·기업 정보 등 데이터 거래를 취급하는 ‘데이터거래소’란 중개 플랫폼을 만들고, 고객 맞춤형 데이터 분석이나 금융상품 추천 등 자산관리 서비스 대행업인 ‘마이데이터(본인신용정보관리업)’ 산업을 키울 수 있게 됐다. 시민 신용 데이터의 자유로운 거래가 가능한 금융 비즈니스의 신흥 시장이 열린 셈이다.

마지막으로 정보통신망법 개정안은 주로 개인정보 보호 규제 감독 권한을 높이는 내용을 담고 있다. 구체적으로 ‘개인정보보호위원회’를 국무총리 소속 합의제 중앙행정기관으로 격상하는 내용을 담고 있다. 이 개정안은 내국민 개인정보 보호 위상을 확대하려는 의도보다는, 당장에 유럽연합(EU)의 일반개인정보보호법(GDPR)이 요구하는 조건들 중 ‘개인정보 보호 기관의 독립성’ 충족을 위한 국내 제도 정비로 볼 수 있다. 한국은 이미 EU의 GDPR에서 규정한 데이터 역외수출 보호에 관한 적정성 승인심사를 두 번이나 탈락한 상태다.

■ ‘데이터 3법’의 부끄러운 속내

데이터 3법 개정안이 이미 통과됐지만, 여전히 우리가 중요하게 살펴야 할 대목이 있다. 심각한 몇 가지만 보자. 우선 시민 기본권으로서의 데이터 보호라는 정보인권적 법안들을 이상하게도 시장 ‘규제 완화’로 다루는 주류 시각이다. 인간 보편의 인권만큼 동시대 중요한 존엄의 권리인 ‘정보인권’을, 일반 시장 ‘규제’ 맥락에서 다루려는 경박함이 우리 사회를 압도한다. 데이터를 경제와 성장 에너지로만 접근하는 측에서 보면 어쩌면 이것이 당연한 귀결인지도 모르겠다. 하지만, 실제 시민이 만들어내는 데이터는 시장주의적 요청뿐만 아니라 사회문화적 보편 프레임도 필요하다. 일상의 삶 거의 대부분이 데이터로 표현되고 기록되는 그런 세상을 이제 우린 살고 있지 않은가. 그렇다면 개인정보는 성장과 발전을 위해 매번 양보하거나 거래될 시장 품목이나 대상이 아님이 분명하다.

둘째로, EU의 GDPR에서 규정한 역외 데이터 수출 요건을 맞추기 위해 우리 정부가 나서서 정보통신망법을 개정한 것은 형식상 옳을 수는 있으나 내용적으로 보면 대단히 유감스러운 조치다. 잘 알려진 바처럼 GDPR은 오늘날 데이터 인공지능(AI) 알고리즘 기술 등 4차 산업혁명 시대에 상상을 초월하는 개인정보 침해 문제로 인해 시민의 정보인권을 위해 만들어진 법안이다. 즉 GDPR의 탄생 배경에는 새로운 기술 환경과 빅데이터 국면에 더욱 취약한 지위로 추락한 유럽 시민들의 데이터 권리를 보호하고 기업의 책임성을 강화하려는 법 제도 개선의 의지가 있다. 그런데 과연 우리는 GDPR의 취지를 이해하면서 이에 대응한 정보통신망법 개정을 도모했는지 심히 의심스럽다.

GDPR의 성격과 달리 우린 주로 데이터 산업 부흥을 위한 조치들만을 명문화하고 있다. 그러다보니 GDPR이 강조하는 시민들의 개인정보 보호 취지는 눈에 들어올 리 만무하다. 우리의 GDPR 정책 대응이란 것도 국외법이 현재 우리 국가에 요구하는 데이터 교역 기준에 맞추기 위해 관련 기구를 정비하며 형식만 따라가는 웃지 못할 형국이다. 즉 ‘디지털 시대 시민권’에 대한 근본 철학은 온데간데없고 데이터 사업을 위해 GDPR 기준을 맞추려 허둥대는 꼴이다.

어쨌거나 이번에 한층 격상된 위원회를 구성하니, 우린 GDPR의 요건을 충족할 수 있는 것일까? 설사 운이 좋아 적정성 평가를 통과하더라도 향후 유럽 시장에서 GDPR의 엄격한 시민 개인 데이터 보호조항들에 우리 기업들이 얼마나 잘 버틸지 걱정스럽다.

셋째로, 국내 개인정보 관리 실태나 데이터 오남용 상황을 고려할 때 이번 데이터 3법 개정안은 약이 되기보단 독이 될 공산이 크다. 경찰청 사이버안전국 수치로 보면 최근 10여년 동안 발생한 개인정보 유출 사건만 2억3000만건에 달한다. 전 세계 데이터 해킹 건수나 규모에서 한국은 늘 미국 다음을 차지하고 있다. 심각한 수준이다. 게다가 논쟁의 소지가 많은 ‘가명정보’의 상업적 활용은 개인정보 오남용이란 불에 기름을 붓는 격이다. 추가적 정보의 활용을 통해 가명정보 또한 재식별이 가능하게 될 확률이 높다는 것은 상식이다. 우리 사회 데이터 오남용이 더욱 감당하기 어려운 난제가 될 소지가 다분하다.

4차 산업혁명의 신기술 발달을 따져보면 우리의 데이터 오남용 문제는 더욱 심각할 수 있다. 가명정보의 추가 처리 과정이 매우 손쉽게 이뤄져 식별 정보로 파악될 확률이 점점 높아지고 있다. 가령 안면인식 기술로 신원 확인은 물론이고 이제 누군가의 감정 상태나 취향을 파악하고 예측하는 일도 흔해졌다.

EU는 지금의 GDPR에 안주하지 않고 ‘AI의 플루토늄’이라 불리는 AI 안면인식 기술을 공공영역에서 활용하는 것을 최대 5년간 금지하고, 그 기간 동안 기술의 영향 및 위험에 대한 영향평가를 의무적으로 하도록 하는 개인정보보호법안을 마련 중이라고 한다.

넷째로, 언론은 이번 신용정보법 개정으로 인해 개인 고객이 금융 데이터의 조회·이동·관리 주체가 되는 ‘데이터주권’ 실현이 이뤄질 것으로 과대평가한다. 우리 자신이 금융 정보를 관리하는 주체가 되었다고 묘사하지만, 정작 앞으로 내 개인 금융정보를 통합해 위탁 관리하는 대행업자가 따로 있고 그들이 신흥 ‘마이데이터’ 사업자이자 우리를 대신해 데이터주권의 실세로 나설 공산이 크다. 진정 내 정보에 대한 데이터 자기결정권을 행사하려면 보다 더 결정적인 통제력을 우리 자신이 가져야 하는데, 과연 시민 각자가 데이터 관리 비즈니스 전장에서 그와 같은 자율의 ‘데이터주권’을 지킬 수 있을지 의문스럽다.

■ 시민 정보인권의 자생력 키우기

안타깝게도 문제 많은 데이터 3법 통과에도 시민의 관심이나 주목이 현저히 떨어진다. 몇 년 사이 국가인권위나 시민단체가 실시한 여론조사를 보면 가명정보 활용에 압도적으로 반대하는 숫자와 비교해 개인정보보호법 개정 사실에 대한 인지도는 현저히 낮다. 민감해하지만 침묵할 때는 다 이유가 있다. 추측해보건대, 하나는 대다수 언론이 데이터 3법 개정이란 사안을 마치 우리가 지향해야 할 시장 관련 법 제도 개선이나 경제 전문가 논의로 한정해 여론몰이를 한 정황이 크게 작용했다고 본다. 사안의 경제·법률적 지평 너머 그것이 시민사회적 영역과 크게 포개지고 있음을 애써 밝히지 않았다. 다른 하나는 우리 사회 고질의 개인정보 오남용에 대한 일반 시민의 무력감이다. 개인 데이터의 생성과 교환이 편리와 효율로 인해 강제보다는 자발적으로 이뤄지는 불평등 거래가 대부분이라, 그에 대한 무기력은 더 커질 수 있다. 시민들은 매분매초 자신의 데이터가 부지불식간에 거래되고 있음에도 이런 상황에서는 대부분 침묵할 뿐이다.

시장 성장과 시민 권익의 단순 ‘대립관계’에 갇혀 있을 수만은 없다. 그렇다고 해서 그 긴장관계를 무너뜨려 시민의 정보인권을 크게 해쳐서는 곤란하다. 정부는 공익적이고 장기적인 안목에서 지능정보사회에 대응하는 보편의 데이터 시민 권리를 위한 국가 철학을 준비하는 일이 중요하다. EU GDPR을 제대로 보고 읽으라. 기업은 데이터 오남용을 미연에 막고 가명정보 활용에 주의를 기울이고, 그렇지 못하면 응당한 처벌을 감내할 준비가 돼 있어야 한다. 시민들은 어렵겠지만 스스로 생산한 데이터에 대한 제대로 된 데이터주권 행사를 할 수 있는 현실적 대안을 마련해야 한다. 단순한 데이터 보호를 넘어서 시민들이 함께 데이터를 공동 사용·관리하며 이익을 공유하는 데이터 공동재산권 실험을 모색할 필요가 있다.

『▶필자 이광석

이광석은 테크놀로지, 사회, 문화가 서로 교차하는 접점에 비판적 관심을 갖고 연구와 집필 활동을 해오고 있다. 현재 서울과학기술대학교 IT정책대학원 디지털문화정책 전공 교수로 일한다. 주요 연구 분야는 테크노문화, 미디어·아트 행동주의, 커먼즈, 노동과 테크놀로지에 걸쳐 있다. 대표 저서로 <데이터 사회 비판> <데이터 사회 미학> <뉴아트행동주의> <사이방가르드> <디지털 야만> 등이 있고, 기획해 함께 쓴 책으로 <사물에 수작 부리기> <불순한 테크놀로지> <현대 기술·미디어 철학의 갈래들> 등이 있다.』

이광석