정무위원회 전체회의 (2019.11.29.) 정의당 추혜선 의원

「신용정보법의 이용 및 보호에 관한 법률」 일부개정법률안에는 제가 발의한 법안의 내용도 포함돼 있습니다. 종합신용정보집중기관의 업무 중 ‘신용정보주체 주소변경 통보대행 업무’를 제외하는 내용입니다. (신용정보법 제25조의2 제4호 삭제) 민간의 중소기업이 제공하던 서비스를 금감원이 수행하다 현재는 신용정보원이 하고 있는데, 공공부문이 중소기업의 먹거리를 침범하는 문제를 바로잡고, 신용정보집중기관의 업무가 필요 이상으로 비대해지는 것을 막기 위해 이 법안을 발의했습니다.

?

그런데 안타깝게도 제 법안이 포함돼 올라온 대안의 주요 내용은 개인신용정보를 가명처리하면 정보주체의 동의가 없어도 활용할 수 있도록 하는 내용으로, 제 법안이 반영돼있음에도 반대 입장을 밝히게 된 것을 안타깝게 생각합니다.

?데이터산업 발전과 금융분야 혁신서비스 활성화, 물론 중요합니다. 이를 위해 규제체계를 정비하자는 데 반대하지 않습니다. 하지만 이를 위해 정보주체의 자기결정권이 제약된다면, 이는 국회가 일방적으로 서둘러 결정해서는 안 되는 문제입니다.

?우선 ‘가명조치’의 정의부터 문제입니다. 개정안에서 ‘추가정보를 사용하지 않고는 특정 개인인 정보주체를 알아볼 수 없도록 개인신용정보를 처리하는 것‘으로 정의하고, 이렇게 처리된 정보를 가명정보로 정의했습니다. 이는 추가정보를 이용해 식별 가능한 정보라는 의미입니다.

?유럽의 GDPR에서 가명정보를 정의한 것에 비추어도 너무나 느슨한 정의입니다. GDPR은 전문 26항에서 ”가명처리 정보는 추가 정보를 이용하여 개인을 식별할 수 있는 정보로서, 식별할 수 있는 개인정보로 간주되어야 한다“고 명시하면서, “어떤 개인이 식별가능한지를 판단하기 위해서는 특정개인의 식별 등 처리자 또는 제3자 모두가 개인을 직접 또는 간접적으로 확인하기 위해 사용할 것으로 합리적으로 예상되는 모든 수단을 고려해야 한다“고 했습니다.

?단지 정보처리자가 가명조치에 사용한 추가정보를 별도로 분리해 보관하거나 삭제하는 등의 조치만으로 가명정보를 정보주체의 동의 없이 활용하도록 하는 우리의 신용정보법 개정안과는 전혀 다릅니다.

?데이터3법 중에서도 신용정보법 개정안은 문제가 더 심각합니다. 일일이 열거하자면 너무 많습니다만, 몇 가지만 지적하겠습니다.

?우선, 개인정보보호 감독체계의 일원화와 독립성 확보에도 어긋납니다. 어제 소위에서 금융위의 관리 소홀에 책임을 물을 수 있도록 일부 수정했다고 하더라도, 개인신용정보 활용의 주무부처인 금융위가 감독권한까지 갖는 것은 감독체계의 기본적인 요건도 갖추지 못한 것입니다. 그동안 개인정보보호위원회의 위상에 관한 개인정보보호법 논의 과정을 봤을 때, 이는 금융위의 부처이기주의에 다름 아닙니다. 더구나 금융위가 특정 정보를 익명정보로 추정할 수 있도록 한 것(제40조의2 제4항)은 금융위에 지나치게 과도한 권한을 부여한 것입니다.

?둘째, 2014년 있었던 국제적 규모의 금융사 해킹사고 이후 재발 방지를 막기 위해 신용정보회사의 겸업을 공공 목적의 업무로 제한한 바 있는데, 이번 개정안에서 다시 영리 목적의 겸업을 허용했습니다. (제11조 제2항) 과거에 대한 반성적 고려 없이 기업의 요구만을 담은 것입니다.

?셋째, 소셜미디어에 올린 표현물들을 신용정보회사가 동의 없이 활용할 수 있도록 한 것(제15조 제2항 제1호 다목)도 문제입니다. 아무리 “대통령령으로 정하는 바에 따라 해당 신용정보주체의 동의가 있었다고 객관적으로 인정되는 범위 내로 한정“한다는 단서를 달았다 해도, 홍보나 마케팅 목적으로 올린 게시물 외에는 동의가 있었다고 객관적으로 인정하기 어렵다는 점에서 프라이버시와 표현의 자유를 침해할 수밖에 없습니다. 이외에도 개인 동의 없이 활용할 수 있는 정보에 대해 시행령에 위임하는 것도 지나친 포괄 위임이라 할 것입니다.

?넷째, 법형식 상으로도 문제가 많습니다. 일반법 성격을 갖는 개인정보보호법에도 있는 규정들을 신용정보법에 중복해 규정하고 있습니다. 특히 이종간 정보집합물 결합에서 문제가 나타날 수 있습니다. 금융사와 통신사가 각각 갖고 있는 정보를 결합한다고 하면, 개인정보보호법과 신용정보법의 규제를 모두 받아야 합니다. 두 법에서 규정한 내용이 충돌되거나 이중 규제가 될 때 규제의 어려움뿐 아니라 기업들의 부담도 늘게 될 것입니다.

?징벌적 손해배상제를 도입하고 배상 배율을 5배로 규정하는 등 정보주체의 권리 보호 장치를 마련했다고 할지 모르겠지만, 이미 개인정보 활용을 허용한 범위가 너무 폭넓기 때문에 사후적 권리 구제 장치가 실효성을 갖기 어렵습니다.

?이 법안은 산업발전을 위해 국민들이 자기 권리의 일부를 양보하라고 하는 법안입니다. 하지만 얼마 전 시민단체들이 실시한 여론조사에서 나타났듯이 응답자의 67%가 개인 동의 없는 가명정보 활용에 반대하고 80%가 개인정보보호 관련법 개정에 대해 모르고 있습니다. 국민적 공감대가 없이 서둘러 법안 처리를 하는 것은 국회가 국민들을 기망하는 것입니다. 이런 문제야말로 숙의민주주의가 필요한 것 아니겠습니까?

?신용정보법 개정안을 오늘 처리하지 말고 여야 간사님들께서 협의해 정보인권과 데이터산업 발전이 양립할 수 있는 방안에 대해 더 깊고 폭넓게 논의할 수 있는 계획을 마련해주시기 바랍니다.

?