“대기업끼리 국민 개인정보 마음대로 주고 받았다” - 미디어오늘

출처 : http://www.mediatoday.co.kr/?mod=news&act=articleView&idxno=139711

“대기업끼리 국민 개인정보 마음대로 주고 받았다”

시민단체, ‘비식별화’정보 결합한 정부와 기업 고발… “박근혜 정부 정책 그대로 추진돼 개탄”

금준경 기자 teenkjk@mediatoday.co.kr  2017년 11월 09일 목요일

“도대체 이게 무슨!” 남성은 분노했다. 딸에게 도착한 우편물을 열어보니 아기 옷, 수유제품을 비롯한 유아용품 할인쿠폰이 나온 것이다. 마트에 찾아가 “딸이 아직 고등학생인데 이런 쿠폰을 보내냐”며 거세게 항의했다. 그러나 알고 보니 딸은 임신 중이었다.

2015년 뉴욕타임스가 보도한 미국 대형마트 ‘타깃’에서 실제 벌어진 일이다. ‘타깃’은 상품구매내역을 비롯한 고객의 다양한 개인정보를 분석해 ‘그가 앞으로 무엇을 살지’ 예측했다.  

한 기업의 힘만으로 개인의 일거수일투족을 파악할 수 있는 상황인데 한국에서는 정부가 나서서 기업과 기업 간 ‘개인정보 빅데이터’ 결합을 주도하고 있다. 참여연대, 민주사회를위한변호사모임, 언론개혁시민연대 등 시민사회단체들은 9일 오후 이 같은 행위가 ‘개인정보보호법’ 등을 위반했다며 관련 기업과 한국인터넷진흥원 등 정부기관을 고발했다. 

이들 단체는 “어느나라 빅데이터 정책에서도 국가기관이 민간기업 고객정보 결합을 대행해 준 사례는 찾아볼 수 없다”면서 “국가를 사적 이익의 도구로 활용했던 박근혜 정부가 추진하던 비식별화를 통한 빅데이터 정책이 문재인 정부에서도 그대로 이어지고 있는 것은 개탄스럽다”고 밝혔다.  

▲ 비식별화 개념. 자료=진보네트워크센터.

이들 단체는 비식별화 조치와 비식별화된 개별 기업의 정보를 결합하는 행위 등이 ‘개인정보보호법’에 위배된다고 밝혔다. 개인정보보호법은 당사자의 동의를 받지 않으면 개인정보를 수집할 수 없도록 막고 있다. 그러나 비식별화된 정보는 ‘개인정보가 아닌 것으로 추정’해 당사자 동의 없는 수집 및 가공을 허용한다. 이 같은 규정은 법이 아닌 가이드라인을 통해 편법적으로 정의된 데다 비식별화는 개인이 식별될 우려가 있어 개인정보로 봐야 한다는 게 이들 시민사회단체의 입장이다.

비식별화는 ‘A카드사의 고객정보’파일이 있다면 개인정보가 노출될 수 있는 이름, 주소, 주민등록번호 같은 정보는 가공을 통해 모자이크처리를 하듯 지우거나 알아볼 수 없게 바꾸는 것을 의미한다. 비식별된 정보는 기업 마케팅에 활용된다. 

문제는 다른 정보와 대조하고 결합하면 개개인이 특정될 가능성이 커진다는 사실이다. A라는 이용자에 대한 통신정보, 신용정보, 카드결제정보, 의료정보 등을 하나로 묶게 되면 당사자가 누구인지 알게 되고 기업은 개인정보를 활용하기 쉬워진다.

추혜선 정의당 의원실이 한국인터넷진흥원, 정보통신산업진흥원, 금융보안원, 한국신용정보원 등 비식별 전문기관에서 제출받은 자료에 따르면 지난해 비식별화 도입 이후 3억4000만 건의 개인정보가 결합돼 기업에 제공됐다.

비식별화된 정보를 보면 남성을 ‘1’, 여성을 ‘2’로 표기하는 경우가 많았다. 또, 가구소득을 100만 원 단위로 103개 구간으로 나누고, 가구 보험금액을 10만 원 단위 463개 구간으로 나눠 표시하는 등 세분화해 개인이 식별될 가능성이 있는 것으로 나타났다. 일부 정보는 비식별화되지 않았는데 이용가치가 높은 정보를 비식별화하지 않은 것 아니냐는 지적이 나온다. 

▲ 일러스트=권범철 만평작가.

삼성카드와 삼성생명은 조금씩 다른 데이터를 제출하며 데이터 결합시도를 13번이나 한 것으로 나타나기도 했다. 해당 정보는 양사에 동시 가입한 240만여 고객의 가입건수, 보험료, 가입기간, 가입상품 및 카드이용 실적 데이터다. 일반적으로 다른 기업이 1~2회씩 결합한 것에 비춰보면 반복적 결합을 통해 비식별화를 풀려는 것 아니냐는 지적이 나온다. 

시민단체만 비식별화를 우려하는 건 아니다. 앞서 지난 1월 개인정보보호위원회는 “비식별은 익명과 가명을 포함한 개념으로 이를 사용할 경우 혼동을 가져올 수 있다”며 비식별화 용어 대신 익명과 가명을 구분해야 한다는 의견을 행정자치부에 전달했다.  

지난 2월 국가인권위원회 역시 “비식별 조치의 방법, 수준에 따라 특정 개인이 재식별할 위험성이 여전히 남아 있어 정보주체를 식별할 수 있는 가능성이 완전히 제거되었다고 보기는 어렵다”면서 “보완해야 한다”는 의견을 냈다.