“새 개인정보보호법 ‘구멍’ 숭숭…기업 악용 가능성 커”

오픈넷 “추가 입법·시행령 보완 필요”
가명화 핑계로 ‘처리거부’ 거절할 수도
‘과학연구 결과 사회와 공유’ 의무화도
재생식별 키·데이터 함께 보유못하게 해야

한겨레 자료사진

정부가 지난 3월31일 새 개인정보보호법의 시행령을 입법예고한 가운데, 기업의 악용을 막기 위해서는 추가 입법을 하거나 시행령 개정안을 보완해야 한다는 지적이 나온다. 지금대로라면 기업이 개인정보 가명화를 명분으로 고객의 개인정보 열람·정정·삭제·처리거부 요구를 거부할 수 있다는 것이다.

전문가 시민단체인 오픈넷은 9일 성명을 내어 “지난 2월4일 개정된 새 개인정보보호법이 너무 허술하게 입법돼 기업들의 악용 가능성이 크다”며 추가 입법이나 시행령 보완을 요구했다. 오픈넷은 먼저 “유럽연합의 개인정보보호법(GDPR)은 과학연구 목적을 본인 동의 면제 근거로 삼았으나 우리나라 개인정보보호법은 가명화를 동의 면제 근거로 삼았다”며 “가명화만 하면 과학연구 목적이 없음에도 열람권과 처리거부권 등 정보 주체의 권리들이 제한될 가능성이 열렸다”고 지적했다. 기업이 고객 개인정보 가운데 실명 부분을 가린 뒤 가명화했다는 이유로 고객의 개인정보 이용내역 열람이나 처리거부를 거절할 수 있다는 것이다.

오픈넷은 이어 “가명정보를 정보 주체의 동의없이 상업적 연구를 포함한 과학연구에 활용할 수 있게 하는 대신 연구결과물을 사회 전반에 공유되도록 의무화해야 했다”며 “법 취지를 살리기 위해서는 과학연구 결과물 공유를 의무화하는 쪽으로 추가 입법을 해야 한다”고 지적했다. 가명정보는 다른 정보와 결합하면 식별성을 갖추게 돼 개인정보에 해당하는 만큼, 지디피아르 전문의 ‘연구공역(European Research Area)’처럼 과학연구의 혜택이 사회에 환원되는 경우에만 동의 없는 추가 처리가 허용돼야 한다는 것이다.

오픈넷은 결합 절차에 재식별 키와 연구대상 데이터를 하나의 기관이 보유하지 못하도록 명문화되지 않은 것도 새 개인정보보호법의 한계로 꼽았다. 오픈넷은 “하나의 전문기관이 재식별 키와 연구대상 데이터를 함께 보관하는 경우 개인정보 침해 위험이 훨씬 커진다”며 “시행령 입법예고안에 이런 위험에 대한 대비책이 마련되지 못했다”고 지적했다.

김재섭 선임기자 jskim@hani.co.kr