가명정보 결합 민간기업도 허용…시민사회 “셀프결합 우려”

개인정보보호법 고시 통과 파장

윤종인 개인정보보호위원회 위원장이 26일 오전 정부서울청사에서 열린 전체회의를 주재하며 발언하고 있다. 연합뉴스

에스케이텔레콤(SKT), 삼성전자 등 민간기업도 가명정보 결합전문기관이 될 수 있도록 한 데이터3법 관련 고시가 통과됐다. 공공기관이 먼저 결합기관 업무를 맡은 뒤 민간으로 점차 확대해가려 한 기존 방침을 정부가 뒤집었다는 지적이 나온다. 가명정보 결합을 신청하는 개인정보처리자가 스스로 결합 업무까지 하면서 가명정보를 축적, 활용하는 이른바 ‘셀프 결합’ 가능성을 열어뒀다는 우려가 시민사회에서 나온다.

개인정보보호위원회(보호위)는 26일 전체회의를 열어 ‘가명정보의 결합 및 반출 등에 관한 고시’를 의결했다. 이달 초 시행된 개정 개인정보보호법엔 가명정보를 결합하는 행위를 규율하는 조항이 신설됐는데, 그 구체적 활용 방법을 이번 고시에 담았다. 고시를 보면, 가명정보의 결합을 원하는 기관은 결합키관리기관인 한국인터넷진흥원(KISA)를 거친 가명정보를 보호위가 지정한 결합전문기관으로 보내야 하고, 결합전문기관은 신청기관의 가명정보를 결합한 뒤 결합전문기관 내부의 반출심사위원회 승인을 거쳐 결합된 정보를 외부로 내보내야 한다.

문제는 정부가 이번 고시를 만들면서 기존의 입장을 뒤집고 기업도 결합전문기관이 될 수 있도록 했다는 점이다. 가명정보는 비식별 조치가 돼 있으나 결합 정보가 많아질수록 특정 개인을 식별할 가능성이 높아진다. 이런 이유로 정보 결합 업무는 공공이 맡아야 한다는 게 그간 시민사회나 보안 전문가들의 지적이었다.

이병남 보호위 개인정보정책과장은 이날 온라인 브리핑에서 “지난 2월 개인정보보호법 시행령 입법예고 뒤 윤종인 위원장(당시 행정안전부 차관)이 공공기관을 전문기관으로 지정하고 추이를 보면서 민간으로 확대하겠다고 밝혔지만 보호위가 그간 살펴본 결과 공공과 민간을 구별할 실익이 없었다”고 밝혔다.

‘셀프 결합’ 여지도 고시에 남겨뒀다. 개인정보보호법과 시행령에선 결합전문기관을 맡은 개인정보처리자가 신청기관에게서 받은 가명정보 뭉치를 쌓고 활용할 수 있는지 여부가 명확하지 않았는데, 이를 금지하는 내용을 고시에 담지 않았다는 뜻이다. 최영진 보호위 부위원장은 “신청기관과 결합기관은 서로 달라야 한다는 취지로 법 조문을 해석하기로 했다”고만 설명했다.

시민사회에서는 우려의 목소리가 나온다. 서채완 변호사(민변 디지털정보위원)는 <한겨레>와 한 통화에서 “셀프결합 방지는 위원회의 법 해석이 아닌 고시에 명확히 담았어야 한다”고 꼬집었다. 또 민간기관도 결합전문기관이 될 수 있도록 한 데 대해 서 변호사는 “공적 영역이 관리해야 할 국민의 기본권을 민간에 위탁하는 것과 다름없다”며 “박근혜 정부 시기 비식별조치 가이드라인보다도 후퇴한 것”이라고 덧붙였다. 박근혜 정부 땐 정보 결합 관련 업무를 공공기관이 전담했다.

최민영 기자 mymy@hani.co.kr