정의당 추혜선 의원이 인터넷진흥원, 정보통신산업진흥원 등 비식별 전문기관 4곳으로부터 입수한 자료에 따르면, 비식별 가이드라인 도입(2016.6) 이후 현재까지 이들 기관이 총 26건의 정보집합물 결합서비스를 통해 총 3억 4000여만 건의 개인정보 결합물을 기업 등에 제공한 사실이 확인됐다.
추 의원측은 삼성생명과 삼성카드는 지난 2월 양사에 동시 가입한 240만여 고객의 가입건수, 보험료, 가입기간, 카드이용실적정보 등의 개인정보를 13회에 걸쳐, 비식별 가이드라인에 따른 '정보집합물 결합지원서비스'를 통해 제공받은 것으로 나타났다고 전했다. 보험개발원과 현대자동차도 1억 5천만 건의 고객정보를 두 차례에 걸쳐 결합, 제공받았다.
비식별 가이드라인은 박근혜 정부 시기인 지난해 6월 방송통신위원회와 (구)미래창조과학부 등 6개 관계부처가 합동으로 발표한 것이다. 개인 식별정보를 가명화, 익명화, 범주화하면 개인정보가 아닌 것으로 간주해 정보주체의 동의 없이 활용, 유통할 수 있다는 내용을 담고 있다.
추 의원측은 "정부가 나서서 개인정보보호법을 우회해 개인정보를 유통할 수 있는 길을 터준 것"이라고 꼬집었다.
이 비식별 데이터를 활용하기 위한 지원체계로 제시된 '정보집합물 결합지원서비스'는 서로 다른 두 기업이나 기관이 각자 보유한 신용정보·보험가입정보·이용정보 등 개인정보들을 상호 조합해 활용하고자 할 때 한국인터넷진흥원과 신용정보원 등 '전문기관'들이 각각을 비식별 처리한 후 결합해 양측에 다시 제공하는 서비스다.
추혜선 의원은 "비식별 조치된 개인정보는 정보주체 동의 등 절차와 책임이 생략되므로 본인의 정보가 기업에 제공돼 활용되더라도 정보주체가 그 사실을 알 수 없다"면서 "개인정보 재식별과 대량유출 등 문제가 발생해도 소송 등을 통해 구제와 보상을 받을 수 없다"고 강조했다.
이어 "정보집합물 결합지원 서비스가 개인 의사와 상관없이 기업 간 정보 공유에 활용돼서는 안 된다"며 "개인정보에 대한 안전장치 없이 추진된 비식별 조치 가이드라인을 폐기하고, 개인정보 보호를 위한 빅데이터 정책 보완이 시급하다"고 주장했다.