비식별 개인정보 3.4억건 유통…안전장치는 없어

[아시아경제 황준호 기자] 빅데이터 활성화를 위해 박근혜 정부가 마련한 '개인정보 비식별 조치 가이드라인(이하 비식별 가이드라인)'에 따라 3억4000여만 건의 비식별 개인정보가 기업으로 흘러 들어간 것으로 나타났다. 다만 가이드 라인 내에는 개인정보 재식별, 대량유출 등 각종 문제에 대한 안전장치가 없어, 폐기해야 한다는 주장이 제기됐다.

정의당 추혜선 의원(국회 과학기술정보방송통신위원회)은 지난해 6월 비식별 가이드라인이 도입된 이후 현재까지 한국인터넷진흥원, 정보통신산업진흥원, 금융보안원, 한국신용정보원 등 비식별 전문기관 4곳이 총 26건의 정보집합물 결합서비스를 통해 3억4000여만 건의 개인정보 결합물을 기업 등에 제공했다고 9일 밝혔다.

자료에 의하면 삼성생명과 삼성카드는 2017년 2월 양사에 동시 가입한 240만여 고객의 '가입건수, 보험료, 가입기간, 가입상품 및 카드이용실적정보' 등의 개인정보를 13회에 걸쳐, 보험개발원과 현대자동차는 1억5000만 건의 고객정보를 두 차례에 걸쳐 '비식별 가이드라인'에 따른 '정보집합물 결합지원서비스'를 통해 결합·제공받았다.

방송통신위원회와 미래창조과학부 등 6개 관계부처는 지난해 6월 합동으로 비식별 가이드라인을 발표했다. 가명화·익명화·범주화 등을 거친 개인 비식별 정보는 개인정보가 아닌 것으로 간주해 정보주체의 동의 없이 활용하거나 유통할 수 있다는 내용을 담고 있다.

추 의원실 측은 이에 대해 정부가 나서서 개인정보보호법을 우회해 개인정보를 유통할 수 있는 길을 터준 것이라고 해석했다.

정보집합물 결합지원서비스는 서로 다른 두 기업이나 기관이 각자 보유한 신용정보·보험가입정보·이용정보 등 개인정보들을 상호 조합해 활용하고자 할 경우 한국인터넷진흥원과 신용정보원 등 '전문기관'들이 각각을 비식별 처리한 후 결합해 양측에 다시 제공하는 서비스다.

추혜선 의원은 "비식별조치와 적정성평가를 거친 개인정보라도 원래 보유하고 있던 개인정보 및 공개정보 등과 대조하면 재식별 가능성이 여전히 남는다"고 밝혔다. 이어 "비식별 조치된 개인정보는 정보주체 동의 등 절차와 책임이 생략되므로 본인의 정보가 기업에 제공돼 활용되더라도 정보주체가 그 사실을 알 수 없고, 따라서 개인정보 재식별과 대량유출 등 문제가 발생해도 소송 등을 통해 구제와 보상을 받을 수 없다"고 강조했다.

추 의원은 "정보집합물 결합지원 서비스가 정보주체의 의사와 상관없이 기업들 간 정보 공유를 위한 장치로 활용 되서는 안 된다"며 "개인정보 보호에 대한 안전장치 없이 추진된 '개인정보 비식별 조치 가이드라인'을 폐기하고, 개인정보 보호를 위한 빅데이터 정책 보완이 시급하다"고 주장했다.

황준호 기자 rephwang@asiae.co.kr