금융·통신사 고객 개인정보 동의 없이 1226만건 결합…전문가들 "법 위반·재식별화 가능"

지난 12일 열린 국회 행정안전위원회의 행정안전부 국정감사에서 더불어민주당 진선미 의원이 박근혜 정부 당시 빅데이터 개인정보 정책에 대해 질의하는 모습. (사진=뉴시스)

[파이낸셜투데이=이준영 기자] 개인정보 비식별 조치 가이드라인을 폐지해야 한다는 목소리가 늘고 있다. 최근 금융·통신 대기업들은 고객 개인정보를 정보 주체의 동의 없이 1226만건을 교환했다. 결합 수행은 국가기관들이 했다. 전문가들은 이를 법 위반 사안으로 판단했다. 재식별화 가능성도 우려했다.

13일 진선미 더불어민주당 의원에 따르면 일부 금융·통신사들은 지난 1년간 빅데이터 활용 명목으로 고객 동의 없이 개인정보를 주고받아 1226만 건을 결합했다. 예를 들어 한화생명과 A손해보험사는 각사가 가진 고객 개인정보를 주고 받아 60개 정보를 결합했다. 최종 결합 데이터 목록에는 한화생명 고객의 연령, 직업, 직업기반 추정소득금액, 주소기반 추정소득금액, 추정주택가격 등 19개 개인정보가 담겼다. A손해보험사 고객들의 성별, 거주지, 자동차 배기량, 자동차 외제차 여부, 차량가액, 보유차량 대수, 장기 질병 가입 건수 등 41개 개인정보도 포함됐다.

개인정보 결합에 참여한 금융사는 한화생명, 한화손해보험, 삼성생명, 삼성카드, KB국민카드, 신한카드, 주택금융공사, 주택도시보증공사 등이다. SK텔레콤, KT, LG유플러스 등 통신사들도 참여했다. 이들은 빅데이터 활용 명목으로 고객 동의 없이 1억7000만 건의 개인정보 결합을 시도했다.

기업들이 가진 고객 개인정보를 중개 결합해 준 곳은 국가기관들이다. 한국신용정보원, 금융보안원, 한국정보화진흥원, 한국인터넷진흥원이 기업 고객 개인정보들을 결합했다.

위 금융사와 통신사들이 고객 동의 없이 개인 정보를 주고 받을 수 있었던 근거는 개인정보 비식별 조치 가이드라인이다. 지난해 6월 행정자치부(현 행정안전부)가 발표했다. 누구인지 알 수 없게 처리한 비식별 정보는 추가 동의 없이 활용 가능하게 한다는 것이 요지다.

고객 동의 없이 교환 결합된 개인정보들은 신용평가, 보험액 평가, 맞춤형 상품 마케팅 등 상업적 목적으로 활용될 예정이다. 진 의원에 따르면 한화생보는 빅데이터 결합의 기대효과로 고객별 신용평가 활용, 신용대출 연체 고객의 특성 분석, 제휴상품 출시 검토 등을 제시했다.

전문가들은 정보 주체의 동의 없이 비식별 개인정보를 교환한 행위는 개인정보보호법을 위반한 사안이라고 밝혔다. 비식별화한 개인정보도 다른 비식별 정보들과 결합하면 누구인지 알 수 있다고 말했다.

장여경 진보네트워크센터 활동가는 "기업들이 상업적 목적으로 고객 비식별 개인정보를 결합한 것은 개인정보보호법과 헌법재판소 판결에 어긋난다"며 "개인정보보호법과 헌재는 개인정보 이용 시 정보 주체의 동의를 받도록 했다"고 말했다.  

헌재는 지난 2005년 "개인정보 자기결정권은 자신에 관한 정보가 언제, 누구에게, 어느 범위까지 알려지고 이용되도록 할 것인지 정보주체가 스스로 결정할 수 있는 권리다"며 "즉 정보주체가 개인정보의 공개와 이용에 관해 스스로 결정할 권리를 말한다"고 밝혔다.

윤철한 경제정의실천시민연합 소비자정의센터 팀장은 "개인정보들은 소비자들이 기업을 믿고 맡긴 개인정보다. 이를 기업들이 목적 외 개인정보 거래로 이득을 얻었다면 불법이다"며 "이는 개인정보보호법의 목적 외 이용, 사전동의 취득 규정을 어긴 것"이라고 말했다.

그는 "특히 국가기관이 이런 불법 개인정보 거래를 중개하고 보증했다"며 "위헌적인 개인정보 거래가 새 정부 출범 후에도 버젓이 일어났다"고 덧붙였다.

전문가들은 비식별화 한 개인 정보도 다른 비식별 정보와 결합하면 재식별이 가능하다고 우려했다.

권태환 경제정의실천시민연합 간사는 "기업들이 개인정보를 교환할 때 주민번호나 이름은 가렸지만 이용가치가 높은 항목은 비식별화를 적용하지 않기도 했다"며 "어떤 항목의 범주를 수십, 수백 개로 세분화해서 이름이 가려진 이를 나중에 재식별하기 쉽게 만든 경우도 있다"고 말했다.

장여경 간사는 "근본적으로 개인정보 비식별 조치 가이드라인을 폐지해야 한다"며 "유럽은 빅데이터 시대에 개인정보 보호를 강화하고 있다"고 밝혔다.

정부도 개인정보 비식별 조치 가이드라인에 대해 검토를 하겠다고 밝혔다. 지난 12일 김부겸 행정안전부 장관은 국정감사 자리에서 "기업들이 영업 목적으로 비식별 개인 정보를 교환하는 것에 대해 정부가 어디까지 감독할 수 있는지 살필 것"이라고 말했다.

이에 신용정보원 관계자는 "정부의 개인정보 비식별 조치 가이드라인에 따라 비식별정보를 결합했다. 이는 개인정보보호법을 위반한 것이 아니다"며 "재식별화 가능성 위험도 외부위원들이 사전 검사하기에 높지 않다"고 말했다.

저작권자 © 파이낸셜투데이 무단전재 및 재배포 금지