"개인정보 원본활용 개보법 개악 즉각 중단하라"
- 개보위는 정보주체 안심할 수 있는 개인정보보호 대책을 마련하라
1. 쿠팡에서 3,370만 개 계정의 고객 개인정보가 유출되었다. 2,500만 명의 개인정보가 유출된 지난 4월 SK텔레콤 사태 이후 더 큰 규모의 유출사태가 발생한 것이다. 개인정보가 아니라 공용정보라는 탄식이 나올 지경이다. 하지만 개인정보보호를 위한 강력한 대책이 마련되기는커녕 오히려 기업 이해에 밀려 개인정보 보호수준은 갈수록 후퇴하고 있다. 이 와중에 현재 국회 정무위에는 개인정보 원본을 인공지능 기술개발, 성능향상을 위해 정보주체 동의 없이 이용하게 하는 개인정보보호법 개정안(AI특례법안)이 발의되어 통과 수순을 밟고 있다. 국회 국토교통위원회에서는 ‘자율주행자동차 상용화 촉진 및 지원에 관한 법률 일부개정법률안'(이소영 의원 대표발의)이 논의되고 있는데, 이 역시 자율주행차 기술개발을 위해 가명처리도 하지 않고 원본 영상을 활용하도록 하고 있다. 인공지능 기술 개발을 위해서라면 개인정보 자기결정권은 내팽개쳐도 좋다는 것인가. 국회는 원본 데이터 활용을 허용하려는 개정안들을 즉각 폐기하고 개인정보 보호대책을 당장 내놓아라.
2. 쿠팡이 유출한 개인정보에는 이름, 연락처, 주소뿐 아니라 주문목록, 공동주택 입구 비밀번호 등도 포함된 것으로 알려졌다. 이용자의 거의 모든 정보라고 할 만하다. 보안 전문가들은 쿠팡에서 유출된 개인정보와 앞서 다른 경로를 통해 유출된 정보들을 결합해 범죄에 악용될 가능성이 크다고 경고한다. 이와 관련한 부당결제나 이상 로그인 시도 확인 등 피해 사례가 이어지고 있다. 시민사회가 우려했던 바가 현실에서 확인되고 있는 것이다. 하루가 멀다고 발생하는 개인정보 유출사태에도 정부의 조치는 충분하지 못하고 시민들 스스로 피해를 막기 위한 방법을 공유하는 등 자구책을 찾고 있는 게 실상이다.
3. 이 와중에 정부와 국회는 원본 데이터 활용을 적극 허용하는 법안들을 논의 중이다. 이 같은 논의가 원본 개인정보에 대한 안전한 보호를 전제로 한다고 하지만, 지금까지 SKT, KT, 롯데카드, 쿠팡 등에 보관되어 있던 개인정보 유출 사고는 ‘안전한 보호’라는 전제가 제대로 이행되고 있지 않은 현실을 적나라하게 드러냈다. 개인정보를 안전하게 보호하겠다는 기업들의 호언장담은 이미 신뢰할 수 없다. 잇따르는 대규모 개인정보 유출사고는 한국에서 개인정보보호가 얼마나 미흡한지 보여준다. ‘개인정보보호’라는 전제가 없는데 가명처리조차 하지 않은 개인정보 원본을 정보주체 동의 없이 이용하도록 하는 법안이 결코 통과돼서는 안 된다.
4. 개인정보보호 주무 기관인 개인정보보호보호위원회(이하 개인정보보호위)는 이번 쿠팡의 개인정보 유출 사고에 대해 피해방지 대책을 마련하라고 촉구하며 엄정 대처하겠다고 한다. 그동안 개인정보보호위가 보인 언행불일치 행태를 보면 신뢰하기 어렵다. 개인정보보호위는 그동안 개인정보보호를 위한 정책보다는 활용에 방점을 두는 정책을 추진해 왔다. 2025년 7월 공개한 ‘개인정보 처리 통합 안내서’에서 개인정보를 ‘처리하는 자의’ 입장에서 판단해야 한다고 명시함으로써 개인정보의 범위를 좁게 해석하였으며, 세계적으로 개인정보로 인정되고 있는 이용자 행태정보를 동의 없이 수집, 공유하는 표적 광고 관행에 대해서는 기업 눈치를 보며 차일피일 규제를 미뤄 왔다. 심지어 지금은 AI 기술 개발 및 성능 개선을 위해 개인정보 원본을 기업들이 활용할 수 있도록 하는, 이른바 ‘AI특례법안’ (개인정보보호법 개정안)까지 청부입법해 추진 중이다. 개인정보보호위가 정보주체의 권리보장을 위한 법개정이나 정책보다는 개인정보를 원본 그대로 수집 목적 외로 정보주체 동의도 없이 활용하도록 하는 법개악을 추진하는 것은 개인정보보호위의 존재 근거를 스스로 무너뜨리는 행태이다.
5. 개인정보보호위가 이번 쿠팡을 비롯한 SKT, KT, 롯데카드 등의 대규모 개인정보 유출 사고의 재발을 방지하겠다고 하면서 오히려 개인정보 원본을 기업들에게 이용할 수 있도록 하는 법개정에 나서는 것은 앞뒤가 맞지 않는다. 쿠팡과 같이 거대 플랫폼 기업들이 보유하고 있는 고객 개인정보는 수천만 건에 달한다. 만약 개인정보보호위가 전력 추진하고 있는 개인정보 원본활용 허용 법안들이 통과된다면 가명처리조차 되지 않은 날 것 그대로의 구매정보, 병원·약국 이력 등 건강 정보, 얼굴·음성· 걸음걸이·지문 등의 생체인식정보 등 민감정보까지 원래 수집 목적 외로 정보주체의 동의도 받지 않고 인공지능기술개발 등을 위해 이용된다. 개인정보보호위가 해야 할 일은 앞으로 점점 더 많은 개인정보를 처리하여야 하는 인공지능 환경에서 개인정보 보호규범을 제대로 수립하고 오남용 관행을 바로잡을 수 있는 정책을 추진하는 것이다. 개인정보보호위는 개인정보원본활용 개보법 개정 추진을 즉각 중단하라. 국회는 개인정보보호 원칙을 무너뜨리는 ‘AI특례법안’을 폐기하라. 끝.
2025. 12. 4.
디지털정의네트워크 · 민주사회를 위한 변호사모임 디지털정보위원회 · 정보인권연구소 · 참여연대