국민이 위험 떠안는 개인정보 규제 완화 신중해야

4차 산업혁명 시대다. 4차 산업혁명이라는 개념은 2016년 1월 세계경제포럼(WEF)이 ‘제4차 산업혁명의 이해’를 주제로 내세우면서부터 세계적으로 대중화됐다. 국내에서는 WEF 창시자 클라우드 슈바프의 저서 『제4차 산업혁명』이 관심을 끌면서 학계· 산업계는 물론 정치권까지 너나 할 것 없이 신개념의 등장에 관심을 보였다.

2017년 대선에서도 대부분의 후보가 4차 산업혁명을 언급하면서 새로운 기술 발전과 산업 육성에 힘쓰겠다고 약속했다. 문재인 정부는 출범 이후 4차 산업혁명 시대에 맞는 미래 먹거리와 신성장 동력을 만들겠다는 각종 정책을 발표해왔다. 문재인 정부의 4차 산업혁명 정책 중 ‘규제 완화’가 중요한 부분을 차지하고 있다. 신기술 활용, 신산업 성장을 가로막는 규제를 걷어내야 한다는 것이다. 우리나라 기업이나 연구기관의 기술 수준이 선진국보다 낮은 것이 사실이고 중국보다 뒤처진 분야도 있는 상황에서 정부가 규제 완화 카드를 꺼내든 것은 경쟁에서 뒤처지지 않겠다는 절박함의 표현으로 이해할 수 있다.

불필요한 규제는 폐지하거나 완화하는 것이 필요하다. 빠르게 변하는 4차 산업혁명 시대에 대비하려는 정부는 그러나 급해 보였다. ‘규제 혁신’이라는 이름으로 나왔던 대표적 규제 완화 정책이 인터넷전문은행에 대한 은·산 분리 완화였다. 산업자본이 은행을 소유하지 못하고, 은행 역시 금융 외의 다른 산업에 진출하지 못하게 하는 것이 은·산 분리다.

규제 완화, 국민에게 해가 되면 안 돼

[그래픽=신재민 기자 shin.jaemin@joongang.co.kr]

은행법상 산업자본은 은행 지분을 10%까지만 보유할 수 있다. 또 의결권을 행사할 수 있는 지분은 의결권 있는 발행 주식의 4%를 넘지 못한다. 그런데 인터넷전문은행에 한해 이 은·산 분리 규정을 완화해 산업자본이 인터넷전문은행의 의결권 50%를 확보할 수 있도록 하자는 안이 제안되었다. 이 안은 19대 국회에서 박근혜 정부가 제안한 것과 동일한 것으로 당시 더불어민주당의 반대로 무산됐다. 문재인 정부에서 과거 반대했던 법안을 끄집어내 정보통신기술(ICT) 기업의 금융산업 진입을 활성화하고 정보통신기술과 금융의 융합 및 신성장 동력 창출을 위한 제도적 기반을 마련한다는 뜻에서 ‘혁신’ 딱지를 붙였다. 논란 끝에 인터넷전문은행의 의결권 있는 발행 주식의 34%까지 산업자본이 보유할 수 있도록 하는 인터넷전문은행법이 지난해 9월 국회를 통과했다.

은·산 분리 완화에 대해서는 우려가 크다. ICT 기업이라고 해서 늘 선한 것이 아니기 때문이다. ICT 기업의 금융산업 진입 활성화를 위해 은·산 분리를 완화하는 것은 이해하기 어려운 논리다. ICT와 금융의 융합은 기존 금융기관에서도 시도해야 할 과제이기 때문에 인터넷전문은행에 한해 규제를 완화할 이유가 되지 않는다.

한국은 2011년 상호저축은행 사태, 2013년 동양증권 사태를 겪었다. 은·산 분리 규정이 존재하는 데도 대주주의 편법·불법 행위를 사전에 막지 못했다. 이로 인해 수많은 피해자가 나왔고, 수조 원대의 공적 자금이 투입됐다. 이런 경험에도 불구하고 ‘혁신’이라는 이름으로 과거 폐기된 은·산 분리 완화를 관철한 상황에서 ‘4차 산업혁명’이란 멍분은 정치적 구호로 활용될 뿐이었다. 은행의 사금고화를 방지할 견제 수단을 포기한 혜택은 산업자본이 독점하고, 규제 완화의 위험은 국민이 지게 된 이 ‘혁신’ 조치는 두고두고 상당한 비판의 대상이 되고 있다.

개인정보 규제 완화 신중해야

은·산 분리 완화는 지난해 9월 인터넷전문은행법 통과로 일단락됐다. 이 문제를 다시 언급하는 이유는 은·산 분리 완화와 같이 국민에게 위험을 전가하는 규제 완화가 다시 현실화할 상황이기 때문이다. 정부와 산업계는 국내 빅데이터산업이 선진국보다 뒤처진 이유가 과도한 개인정보 보호 때문이라며, 빅데이터산업 육성을 위해 개인정보 보호 수준을 낮춰 개인정보를 수집·이전·활용할 수 있도록 하고 거래도 가능하도록 해야 한다고 주장한다.

은·산 분리 완화가 금융의 대원칙을 훼손하고 해당 은행의 부실로 인한 국민 경제의 부담과 그에 따른 공적 자금의 투입 등으로 이어질 수있다면, 개인정보 규제 완화는 전 국민이 개인정보 보호의 사각지대에 놓일 수있는 위험이 있다. 먹고 자고 일하는 모든 순간이 전자화된 정보로 기록·관리되는 4차 산업혁명 시대에 개인이 만든 수많은 정보가 결집할 수 있는 것만으로도 개인의 프라이버시는 더는 존재하기 어려워질 수있다. 이 정보들이 산업적 이해에 따라 활용되면 자신의 개인정보가 자신에 대한 침해 도구가 될 수 있는 아이러니한 상황에 부닥칠 수 있다. 그래서 개인정보 규제 완화는 은·산 분리 완화보다 더 심각하고, 규제 완화에 신중해야 한다.

정부와 산업계는 우리나라 개인정보 보호 수준이 세계 최고 수준이라고 주장한다. 그러나 해외 인터넷 서비스 중 대표적인 구글·트위터·페이스북 등은 최소한의 정보만 기재하면 가입할 수 있고 이용할 수 있다. 반면 우리나라에서는 그동안 주민등록번호·여권번호·면허번호와 같은 고유식별정보를 수집하는 경우가 많았다. 여기에 실명 인증까지도 받도록 하는 경우가 있기 때문에 외국 법제와 비교해 우리 개인정보 보호 수준이 어떻다 평가하는 것 자체가 부적절하다. 수집·보관·활용하는 개인정보의 양과 질이 다르고 그에 따라 규제 수준이 다른 것은 당연하다.

정부와 산업계는 개인정보 보호 규정 때문에 국내에서의 빅데이터 산업 활성화가 불가능하다고 주장한다. 그런데 현행법상으로도 정보 주체의 동의를 받으면 개인정보를 활용하는데 제약이 없고, 제3자에게 처리하도록 할 수도 있으며, 특정 개인을 식별할 수 없는 익명 정보의 활용에 제약이 없다. 또 특정 기업이 서비스 제공을 위해 수집·보관하고 있는 고객 정보를 그 기업이 다양한 서비스 제공을 위해 활용하는 것 역시 가능하다. 합법적인 데이터 활용은 현재도 가능하다.

개인정보 보호 장치 마련해야

그러면 왜 개인정보 보호 수준을 완화해 달라는 것일까? 다양한 이유가 있겠지만, 본질적인 이유는 돈이다. 정보 주체로부터 개인정보 수집·활용에 동의를 받는 데는 돈이 든다. 현행법상 합법적인 방법으로 데이터를 활용하기 위해서는 그 규모가 커지면 커질수록 투입해야 할 비용이 커지는 셈이다. 이 돈을 쓰지 않고 공짜로 데이터를 활용하게 해달라는 것이다. 산업계의 입장은 이해하지만, 규제 완화로 인한 혜택은 기업이 누리고 규제 완화로 인한 위험은 국민 개개인이 지는 규제 완화에 찬성하기는 어렵다.

우리나라에서는 2008년 옥션 회원 정보 1863만 건, 2011년 7월 네이트닷컴 가입자 정보 3500만 건, 2011년 11월 넥슨코리아 회원 정보 1320만 건, 2012년 7월 KT 휴대전화 가입자 정보 870만 건, 2014년 1월 KB국민카드·NH농협카드·롯데카드 3사에서 1억580만 건, 2014년 3월 KT 1200만 건 등 굵직한 개인정보 유출 사건이 반복되고 있다.

또 약학정보원이 2011~2014년 전국 약국·병원에서 수집한 국민 4400만 명의 진료 정보, 처방 내용 등 47억 건을 다국적 기업인 IMS 헬스에 판매했다. 건강보험심사평가원은 2014~2017년 민간 보험사와 민간 보험연구기관에 6420만명분에 해당하는 개인 건강정보를 판매했다. 공공기관이 나서서 개인정보를 팔았지만, 그 정보 주체는 모르고 있었다. 이런 식의 유출 사고와 무단 활용이 끊이지 않는 상황에서 개인정보 보호 수준을 낮출 수는 없다.

데이터의 합법적 활용 고민해야

현재 기업이나 공공기관 등이 보유한 개인정보는 형식적 동의로 수집된 것이기 때문에 수집 당시에 예상하지 못한 활용에 신중해야 한다. PC나 모바일로 특정 서비스를 이용할 때 개인정보 수집·활용에 동의할 때 어떻게 하나. 형식적인 ‘클릭’ 몇 번으로 끝나는 경우가 대부분이다. 언제·어떤 서비스를 이용하면서 ‘클릭’을 한 것인지 일일이 기억할 수 없을 만큼 현재 동의 절차는 형식적이다.

개인정보를 제3자가 처리하도록 동의하는 것도 마찬가지다. 이런 형식적 동의로 가져간 정보의 활용은 그나마 형식적 동의를 받은 범위로 엄격하게 제한되어야 한다. 현재로선 그나마 이런 형식적 동의절차라도 있어서 관여할 여지가 있는데, 이것마저 없애버리면 누가 내 정보를 어디서·어떻게 쓰고 있는지 알 길이 없다.

4차 산업혁명 시대에도 개인의 프라이버시는 지켜져야 한다. 개인정보 보호는 프라이버시를 지키는 최소한의 법적 장치다. 그래서 개인정보 보호 수준을 완화하는 논의보다 수집 단계에서 지금보다 적은 비용으로 어떻게 하면 효과적으로 설명하고 효율적으로 동의를 받을 것인지를 먼저 고민해야 한다. 동의받기 어렵다고 해서 동의를 안 받아도 되는 법을 만들어 달라는 것은 정상적인 접근이 아니다.

데이터 수집·분석 기술은 놀랍도록 발전하는데, 정보 주체의 동의는 형식적인 수준에 머무르고 있는 건 동의를 어떻게 효과적으로 받을 것인지에 대한 고민이 없었기 때문이다. 최소한 정부는 합법적 데이터 활용 방법이 있다면 먼저 그 방법을 장려해야 하고, 불가피한 경우에 비로소 규제 완화를 검토하는 것이 순서다. 특히 규제 완화의 혜택을 국민 전체가 누리는 것이 아니고 규제 완화의 위험은 국민 전체가 감수해야 하는 상황이라면 정부의 선택은 모두의 위험을 최소화하는 방향이어야 한다.

어제보다 나은 오늘이 되도록 노력하고, 오늘보다 나은 내일을 기대하지만, 미래는 불확실하다. 법이 허용하지 않은 산업의 미래를 위해 법이 보장한 권리를 포기할 수 없다. 절박한 상황이라고 해서 국민을 희생하는 방식의 산업 활성화는 이제 통하지 않는다. 정부는 초법적 상상보다 데이터의 합법적 활용을 고민해야 한다.

양홍석 법무법인 이공 변호사·리셋 코리아 수사구조개혁분과 위원