게티이미지뱅크.
게티이미지뱅크.
참여연대가 이른바 ‘데이터3법’이라 불리는 개인정보보호법, 신용정보법 개정안 중 일부 조항이 헌법에서 보장하는 개인정보자기결정권을 침해해 위헌이라는 헌법소원을 제기했다. 개인을 식별할 수 없다는 이유로 가명정보의 활용이 쉬워졌는데, 향후 가명정보가 누적될수록 식별 가능한 개인정보가 될 수 있다는 이유에서다.

2일 참여연대 공익법센터는 보도자료를 통해 “개인정보보호법 제28조의 7, 신용정보법 제40조의 3이 개인정보인 ‘가명정보’에 대해서 정보 주체의 정보열람권, 정정 및 삭제요구권, 처리정지요구권 및 기업 등 개인정보처리자의 개인정보유출시 통지권, 파기의무 등이 적용되지 않도록 하고 있다”며 “이는 헌법상 과잉금지원칙, 기본권의 본질적 내용 침해 금지 원칙을 위반해 위헌이다”고 밝혔다.

가명정보는 개인정보를 적절히 가공해 개인을 식별할 수 없도록 만든 정보다. 데이터3법 개정으로 공공, 산업 등의 목적에 부합할 때 카드사, 보험사, 의료기관 등 여러 기관들이 보유한 정보를 결합할 수 있게 됐다.

참여연대는 법 개정으로 동의 없는 개인정보 활용의 길이 열렸다고 우려했다. 이들은 “해당 법안들은 가명정보, 가명처리라는 개념을 도입하면서 통계작성, 과학적 연구, 공익적 기록보존을 위해 정보 주체의 동의를 받지 않고 수집 목적 외 이용, 제3자 제공 및 이종간 정보결합 등이 가능한 특례를 마련했다”며 “심각한 문제는 가명정보에 대해서 정보 주체의 기본 권리인 열람청구권, 정정·삭제권, 처리정지요구권의 적용을 제외하는 한편 개인정보처리자의 수집출처 등에 대한 고지의무, 파기의무, 유출 시 통지의무 등을 면제해 주었다는 것”이라고 지적했다.

개인을 식별할 수 없는 정보인 가명정보가 누적될수록 식별 가능성이 높아지기에 가명정보도 개인정보자기결정권으로 보호돼야한다는 게 이들의 주장이다. 이들은 “향후 가명정보의 형태로 제3자에게 제공(유통)되는 경우는 훨씬 많아질 것이고, 가명정보끼리 결합한 후 원래 정보를 보유한 기업으로 다시 제공돼 언제까지나 보유할 수도 있다”며 “가명정보가 계속 유통될수록, 반복적으로 결합되고 연계된 정보가 많아질수록 개인정보의 식별 가능성은 그만큼 높아지는 것은 당연하다”고 말했다.

이 단체는 그래서 해당 법안들이 헌법상의 권리를 침해했다고 본다. 이들은 “2005년 헌법재판소가 확인한 개인정보자기결정권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보 주체가 스스로 결정할 수 있는 권리로, 이는 헌법 제10조 제1문에서 도출되는 일반적 인격권 및 헌법 제17조의 사생활의 비밀과 자유에 의하여 보장된다”며 “구체적으로는 개인정보의 처리에 관한 동의여부, 동의범위 등을 선택하고 결정할 권리뿐만 아니라 정보열람, 처리정지, 정정 내지 삭제 및 파기를 요구할 권리를 기본권으로 보장받는다는 것”이라고 설명했다.

이어 “지금 시행중인 개인정보보호법과 신용정보법은 가명정보에 대해 정보 주체의 권리를 전면적이고 일률적으로 배제시킴으로써 개인정보자기결정권의 본질적 내용을 침해하고 있다”며 “동의 없이 가명정보를 무제한 활용할 수 있게 된 기업 등 개인정보처리자들의 사적 이익을 증대시키는 것 외에 정보 주체의 기본권 제한을 헌법적으로 정당화할 수 있는 다른 입법목적도 없으며 권리침해의 최소화를 위한 어떤 노력도 없다”고 했다.

김남영 기자 nykim@hankyung.com