시민사회단체, 전자정부법 시행령 입법예고안 의견서 제출

건강정보까지 보험사 등 민간기업에 제공하는 규정 삭제 해야

범용 식별자로서 제2의 주민등록번호인 연계정보 활용 삭제

인공지능 활용 행정서비스 제공 범위와 한계, 책임성 명확히 할 것

오늘(8/31) 건강권 실현을 위한 보건의료단체연합(건강권 실현을 위한 행동하는 간호사회, 건강사회를 위한 약사회, 건강사회를 위한 치과의사회, 노동건강연대, 인도주의실천의사협의회, 참의료실현청년한의사회), 민변 디지털정보위원회, 민주노총, 무상의료운동본부, 사단법인 정보인권연구소, 연구공동체 건강과대안, 진보네트워크센터, 참여연대, 경실련 등 시민사회단체들은 정부의 「전자정부법시행령」 일부개정령안(행정안전부공고제2021-418호)(이하 ‘개정령안’)에 대해 입법의견서를 제출했다.

이번 개정령안은 지난 5/20 국회를 통과한 「전자정부법」의 12월 시행을 앞두고 법에서 위임한 사항을 반영하기 위한 것이다. 단체들은 의견서에서 가장 문제가 있는 ▶범용식별자로서 제2의 주민등록번호인 연계정보(CI) 활용 조항(개정령안 제12조 4항), ▶민감정보인 건강정보를 보험사 등 민간기업에 제공하는 조항(개정령안 제90조)은 삭제하고, ▶대다수 금융사, 보험사 등 국민의 행정정보 전송 대상으로 무분별하게 확대하는 것(개정령안 제51조의2)에 반대, ▶인공지능 전자정부 서비스의 책임성 등을 보장할 수 있는 규정을 마련할 것(개정령안 제15조의2, 제17조), ▶모바일신분증 개념, 요건 등 명확히 규정할 것 등의 의견을 제시했다.

이번 개정령안의 가장 문제가 되는 내용 중 하나는 행정기관, 공공기관 등이 보유한 국민의 행정정보를 은행, 보험사 등 제3자에 제공할 수 있도록 한 것이다. 전자정부법 제43조의2는 행정기관이 보유하고 있는 개인정보를 정보주체의 요구에 따라 행정기관 등과 은행, 그리고 대통령령이 정하는 개인, 법인 또는 단체에 줄 수 있도록 하였는데, 입법예고된 개정령안은 거의 대부분의 금융사, 보험사, 협동조합을 포괄할 뿐 아니라 고시에 재위임하면서 거의 무한대로 확장하는 것을 가능케하였다.

이렇게 되면 민간기업들이 영리적 목적으로 개인들을 회유하여 행정기관이나 공공기관이 보유하고 있는 개인정보를 수집, 활용할 우려가 있을 뿐 아니라 이에 대해 통제할 방법이 거의 없다. 특히 개인정보보호법에 가명정보 특례가 도입되어 기업이 보유한 개인정보를 정보주체 동의없이 무한대로 활용할 수 있는 조건에서 이렇게 행정정보까지 민간기업이 수집, 보유할 수 있도록 하는 것은 국민의 행정정보를 기업과 공유하겠다는 것과 다름없는 무책임한 행정이라는 것이 단체들의 지적이다.

여기에 더해 개정령안 90조는 국민의 건강정보까지 이들 “제3자”가 처리할 수 있도록 하여 사생활의 자유 등 기본권 침해 소지가 있다. 현 시행령에 따라 이미 중앙행정기관등의 장은 공공서비스 등록시스템 구축·운영 및 공공서비스 목록 제공 등의 사무를 수행하기 위하여 불가피한 경우에 건강정보를 처리할 수 있는데, 이 개정령안에 따르면 앞으로 보험사 등 민간기업도 건강정보를 본인 동의라는 미명하에 제공받고 사용할 수 있다.

그러나 국민의 건강정보는 세계적으로 법규범에 따라 특별히 보호받는 민감정보로, 개인정보보호법에서도 건강에 관한 정보 등 민감정보는 그 수집을 엄격히 제한하고 있다. 그럼에도 개정 전자정부법에 따르면 “행정정보”라고 포괄적으로 취급되어 민간보험사 등 기업이 건강정보를 언제든 자산으로 활용할 수 있도록 길을 열어주고 있을 뿐 아니라, 전자정부법에서 위임하지 않았음에도 특별한 보호가 필요한 국민 건강정보를 명시적으로 처리할 수 있도록 규정한 것은 「개인정보보호법」의 민감정보 보호 규정과 「의료법」의 환자 정보 등 보호 조항에도 반하는 것이며 헌법상의 사생활비밀의 보장에도 위반되는 조항이다. 따라서 이 조항은 반드시 삭제되어야 한다고 단체들은 주장한다.

제2의 주민등록번호인 연계정보(CI)를 본인확인방법으로 도입하는 것도 문제다. 연계정보(CI)는 주민등록번호를 특정한 방식으로 암호화하여 생성한 번호로, 주민등록번호와 1:1 매칭되는 고유식별번호이다. 연계정보(CI)는 “정보통신서비스 제공자의 온·오프라인 서비스 연계를 위해” 생성한 인증정보일 뿐임에도 수많은 민간 정보통신서비스 제공자들은 본인확인을 통해 이용자의 연계정보(CI)를 애초의 목적을 넘어 개인식별정보의 하나로 수집해 왔다.

무엇보다 연계정보(CI)는 법령이 아닌 방통위 고시에 그 근거가 규정되어 있을 뿐이며, 여기에서도 연계정보(CI)의 생성주체, 생성방법, 사용기준, 정보주체의 권리 등에 관한 어떠한 규정도 없어 그 법적 성격과 사용기준, 통제방법 등이 모두 불분명한 정체불명의 정보이다. 이러한 정체불명의 정보를 전자정부법 시행령에 다른 법령과의 별다른 연결고리 없이 갑자기 ‘이용자 식별 정보’라 규정하고 본인확인방법의 하나로 도입하는 것은 올바른 입법이라 할 수 없다.

연계정보(CI) 생성과 수집에 행정기관 등까지 확대함으로써 연계정보(CI)는 과거 주민등록번호와 마찬가지로 민간 및 공공영역을 불문하고 ‘범용 국민식별번호’로서 활용될 위험이 크다. 단체들은 연계정보 자체의 문제점 뿐 아니라 애초 주민등록번호 대체수단의 탄생 배경이 주민등록번호의 남용에 따른 사회적 위험을 막기 위한 것임을 상기할 때 이번 연계정보 활용 조항은 반드시 재고해야 한다고 주장했다.

인공지능 기술 및 민간의 서비스를 전자정부서비스에 도입에는 인권침해와 차별 등 기타 서비스상의 제반 문제를 통제하고 전자정부서비스의 책임성을 담보하는 장치가 마련되어야 한다. 그러나 전자정부법 및 개정령안은 인공지능 및 민간서비스의 도입 및 활용만을 언급하고 있을 뿐, 인공지능 기술과 민간서비스 도입 과정에서 발생할 수 있는 위험을 통제하기 위한 원칙, 절차, 안전조치 등에 대해 전혀 언급하지 않고 있다.

또한 각 행정기관 등이 고유업무를 위해 수집, 보관하는 행정정보의 종류가 다양함에도 일괄 인공지능 행정서비스로 제공할 수 있도록 하고 있을 뿐이다. 인공지능 기술 및 관련 데이터에 대한 적절한 통제가 이루어지지 않을 경우 인권을 침해하거나 차별을 야기하는 등의 문제를 야기할 수 있다는 우려가 제기되고 있고 세계 각국에서도 인공지능에 대한 적절한 통제 규범을 마련하는 중이다. 이에 단체들은 투명하고 공정한 행정서비스를 제공하기 위해서 인공지능 기술을 활용하여 제공하는 행정서비스 종류와 범위를 구체적으로 규정하고 문제 발생시 권리구제 방안 등까지 명확하게 규정할 것을 요구했다.

(2021년 8월 31일)

건강권 실현을 위한 보건의료단체연합⋅경제정의실천시민연합⋅무상의료운동본부⋅민변 디지털정보위원회⋅민주노총⋅사단법인 정보인권연구소⋅연구공동체 건강과대안⋅진보네트워크센터⋅참여연대

[공동성명]  

<저작권자 © 시민사회신문, 무단 전재 및 재배포 금지>