[성명서]개인정보 위협하는 데이터 3법, 엄격한 보호장치 필요하다
 
1월 9일 국회는 데이터 3법(개인정보보호법·정보통신망법·신용정보법 개정안)을 통과시켰다. 이 과정에서 개인정보 활용 및 거래 허용 시 국민을 보호 할 수 있는 장치가 있어야 한다는 노동시민사회의 지속적인 문제제기는 관철되지 못했다.  
 
데이터 3법은 개인정보 수집 처리 이용에 대한 규제 완화를 통해 국민의 ‘동의 없이’ 개인정보를 ‘가명’으로 처리하여 이를 제한 없이 판매, 공유, 결합할 수 있도록 허용하고 있다. 심지어 한번 제공된 가명정보에 대해 목적 달성 이후 삭제나 폐기 의무도 없다. 이는 피해구제제도가 미흡한 한국에서 악용될 소지가 다분하다.

하지만 정부와 국회는 데이터 산업 육성과 유럽연합의 일반개인정보보호규정(GDPR) 기준 준수를 이유로 법안 통과를 서둘렀다. GDPR 제26항은 ‘가명처리’된 정보에 대해 추가적인 정보를 통해 개인을 식별할 수 있는 ‘개인정보’로 명시하고 있으며, ‘가명처리’ 정보도 제50항과 제156항을 통하여 ‘공익을 위한 기록 본조의 목적이나 과학이나 역사적인 목적 또는 통계 목적’으로 한정하여 처리할 수 있게 단서를 달고 있다. 그만큼 GDPR은 개인정보 활용 및 보호장치 설정에 있어서 ‘가명처리’에 대해 신중하게 접근하도록 규정하고 있다.

반면에 이번에 통과된 데이터 3법에서는 개인정보 활용은 GDPR 수준으로 허용했지만, 개인정보 보호장치와 관련해서는 GDPR에 미흡한 수준이다.

졸속으로 통과된 데이터 3법은 개인정보처리에 대한 기업의 책무성을 강화하는 조치나 개인의 건강정보가 침해될 시에 필요한 적극적 대응 등이 부재하여 사회적인 혼란을 가져올 수 있다. 특히, 개인의 건강정보 등 민감정보 관리 체계에 대한 명확한 규정도 없이 규제완화만 일방적으로 추진하여 정보주권 침해 뿐 아니라 의료공공성 약화로 이어질 가능성이 크다.

한국노총은 국민의 개인정보를 보호장치 없이 활용하도록 허가하는 데이터 3법을 통과시킨 국회와 정부를 규탄한다. 데이터 3법으로 인해 국민들은 개인정보 침해와 개인정보 범죄 피해에 고스란히 노출될 가능성이 크다. 유럽연합의 GDPR 기준을 앞세워 법안 통과를 강행한 만큼 GDPR와 동일한 기준의 개인정보의 이용범위와 관련 규정을 명확하게 설정하여 개인정보를 보호해야 한다. 더불어 개인정보를 악용하는 사례에 대한 강력한 처벌규정 및 적극적인 예방조치가 반드시 마련되어야 한다. 한국노총은 데이터 3법의 개선이 시급한 만큼 노동시민사회와 함께 데이터 3법 재개정 운동에 적극 나설 것임을 밝힌다.

2020년 1월 10일
한국노동조합총연맹