정부가 최근 ‘규제 샌드박스’ 사업을 처음으로 지정했습니다.
규제 샌드박스?
샌드박스(Sandbox)는 어린이의 안전을 위해 모래를 채운 모래 놀이터를 의미합니다. 규제 샌드박스(Regulatory Sandbox)는 2014년 영국에서 ‘핀테크’ 산업 육성을 위해 처음 도입된 제도로, 신기술 산업 분야에서 신상품과 서비스를 내놓을 때 일정한 기간 규제를 면제하거나 유예해주는 제도입니다. 마치 어린이(= 기업)가 위험하지 않은(= 규제가 없는) 모래 놀이터에서 안전하게 맘껏 뛰어놀 수 있게 하는 것과 마찬가지로 말이죠. 정부는 지난 1월 22일 규제 샌드박스를 도입하겠다고 밝힌 바 있었죠.
지난 2월 14일, 과학기술정보통신부는 정보통신융합법[footnote]정보통신 진흥 및 융합 활성화 등에 관한 특별법[/footnote]에 근거해 첫 규제 샌드박스 사업을 지정했습니다. 첫 ICT 규제 샌드박스 사업을 지정한 겁니다. 여기에 카카오페이와 KT의 ‘메신저·문자 기반 행정·공공기관 고지서 모바일 전자고지 서비스’(이하 ‘모바일 전자고지 서비스’)에 포함됐습니다. 과기정통부는 해당 사업을 ‘임시허가’했습니다(참조: 과기정통부, 첫 ICT 규제 샌드박스 사업 지정을 위한 1차 신기술 서비스 심의위원회 개최 결과, 2019. 2. 14.). 행정·공공기관의 모바일 전자고지를 위해 본인확인기관이 주민번호를 연계정보(CI)로 일괄 변환하여 사용할 수 있도록 허용한 셈입니다.
하지만 과기정통부는 모바일 전자고지 서비스에 관한 임시허가를 철회해야 한다고 생각합니다. 그렇게 판단하는 이유를 하나씩 설명드리겠습니다.
임시허가 필요한 혁신 서비스?
우선 법 규정에 부합하는지에 관한 문제입니다. 모바일 전자고지 서비스가 정보통신융합법상 임시허가 대상이 되는 것이 적절할까요?
정보통신융합법 제37조는 임시허가를 신청할 수 있는 경우로 두 가지를 제시하고 있습니다.
- 첫째, 허가 등의 근거가 되는 법령에 해당 신규 정보통신융합등 기술ㆍ서비스에 맞는 기준ㆍ규격ㆍ요건 등이 없는 경우
- 둘째, 허가 등의 근거가 되는 법령에 따른 기준ㆍ규격ㆍ요건 등을 적용하는 것이 불명확하거나 불합리한 경우.
그런데 모바일 전자고지 서비스는 이미 개인정보보호법 상 규제가 적용되므로 두 번째 요건이 적용되어야할 텐데요. 과연 개인정보보호법 규제가 ‘불명확하고 불합리한 경우’에 해당하는지 의문이다.
공공기관은 정보주체의 동의를 받아 모바일 전자고지를 할 수 있으며, 주민번호를 연계정보(CI)로 일괄 변환하여 사용하겠다는 것은 행정 편의를 위해 정보 주체의 동의를 받지 않겠다는 것일 뿐입니다. 이것이 임시허가를 필요로 할 만큼 혁신적 서비스인가요? 이런 식으로 정보 주체의 동의를 회피하는 것을 허용한다면 개인정보보호법은 그 의미를 잃을 수밖에 없습니다.
연계정보(CI)의 문제
둘째, 연계정보의 문제입니다. 본인확인기관이 생성하는 연계정보(CI)는 주민번호의 가명처리된 정보라고 할 수 있습니다. 연계정보는 전국민 주민번호와 1:1 매치되기 때문에 온라인 어디서나 개인을 고유하게 식별할 수 있는 온라인 주민번호인 셈이죠. 연계정보는 본래 주민번호 대신 실명을 확인하려는 목적으로 제한적으로 사용되어 왔습니다. 주민번호는 계속 써야겠는데 주민번호 오남용 문제가 우리 사회에서 너무 심각했기 때문에 대체수단으로 탄생한 한국적이고 기형적인 제도죠.
민간 공공 할 것 없이 오랫동안 주민번호가 남용되면서 많은 국민이 유출로 인한 피해를 당해 왔습니다. 그래서 우리 사회는 주민번호의 처리 그 자체를 법으로 제한해 왔고 인터넷 게임 등에서는 주민번호 대신 연계정보를 쓰도록 한 것이죠. 그러나 눈에 보이지 않게 처리한다고 주민번호 처리의 위험성이 사라지는 것은 아닙니다. 헌법재판소는 2012년 인터넷 실명제에 대해 위헌 결정을 내리면서 인터넷 익명의 자유를 보장하고 인터넷에서 주민번호 처리의 위험을 줄여야 한다고 말했습니다.
한국에서 정부기관과 기업들은 주민번호를 이용해 다른 나라에서는 상상할 수도 없는 국민과 소비자 추적을 공공연하게 해왔습니다. 그래서 국가인권위원회는 2014년 주민번호 사용을 제한할 것을 권고했던 거고요. 저는 본인확인제도가 온라인에서 추적할 수 있는 온라인 주민번호이기 때문에 마찬가지로 위험하며, 인터넷 실명제 위헌 결정을 무력화했다고 비판해 왔습니다.
구글, 아마존 등 해외 주요 서비스는 굳이 본인확인을 하지 않아도 이용자가 서비스를 이용할 수 있습니다. 그런데 국내 주요 인터넷 업체들은 필요 이상으로 끊임없이 이용자에게 본인을 확인하라고 요구합니다. 기업들은 연계정보를 보호하지 않는 법의 헛점을 이용해 이용약관에 포괄적으로 동의를 받고 연계정보를 활용해 왔습니다. 수사기관 역시 연계정보를 통해 이용자의 온라인 행적을 추적해 왔고요.
그런데 이번 규제완화 결정은 공공기관과 기업이 주민번호를 연계정보로 자유롭게 변환하고 사용할 수 있도록 허용했습니다. 이용약관 속에 숨기다시피 했던 연계정보 사용 동의조차 받지 않겠다는 거죠. 이는 본래 주민번호를 보호하고 본인을 확인하려는 목적으로 연계정보를 도입한 입법 취지를 넘어선 것입니다. 온라인에서 주민번호와 연계정보 사용을 보편화하는 것은 지난 몇년간 주민번호의 사용을 제한하려 한 입법, 사법적 결정들에도 반합니다.
행정만능주의, 기업의 독점 지위 강화가 혁신?
셋째, 이 서비스는 이용자에게 ‘언제 어디서나 편리하게 서비스를 제공’할 수 있다고 얘기하지만, 카톡이나 문자로 국민들에게 좋은 통지만 가는 것은 아닙니다. 과기정통부 보도자료의 [행정·공공기관 모바일 전자고시 대상 예시]에 나와있듯, 경찰의 교통범칙금, 지자체의 과태료 등 국민에게 불이익한 처분을 하는데도 이런 방식의 고지가 사용될 겁니다.
지금까지 이러한 처분은 법적 근거를 두고 우편으로 보내는 것이 원칙이었습니다. 문자나 메일을 이용한 통지는 국민의 동의를 받고 선택적으로 시행해왔었죠. 하지만 앞으로 공공기관은 국민 동의 없이 문자나 카톡으로 주정차 위반이나 과속 딱지를 보내겠다는 것입니다. 당사자가 문자나 카톡을 확인하면 이에 대한 법적 책임을 물을 수도 있습니다. 과연 이러한 방식의 행정만능주의, 행정편의주의가 아무런 문제가 없는 것인지 신중한 법적 검토가 선행되어야 합니다.
넷째, 이 서비스는 근본적으로 주민번호와 온라인 주민번호인 연계정보(CI)가 있는 한국에서만 가능한 기형적인 서비스입니다. 국가가 주민번호를 보호하겠다며 그 사용을 제한하는 정책을 추진해온 한편에서 이동통신사 등 특정 민간업체만 주민번호를 사용해 수익을 창출할 수 있도록 특혜를 주는 것은 정당할까요? 전 국민이 널리 사용하는 카카오톡의 시장지배를 국가가 견제하기는커녕 공공기관 고지에 의존해서 그 독점적 지위를 강화해주는 사업이 과연 혁신입니까?
저는 공공기관이 비용절감과 국민 편의를 위해 문자 메시지나 카카오톡과 같은 다양한 모바일 서비스를 이용하는 것에 반대하지 않습니다. 이런 서비스는 지금까지처럼 국민 동의를 받아 휴대전화번호나 카카오톡 아이디를 수집하는 것으로 가능합니다. 그러나 이번 규제완화 결정은 공공기관이 비용 절감과 서비스 업체의 경제적 이익을 위해 주민번호 사용을 확대하고 정보주체의 동의권을 무력화했다는 점에서 규제 혁신은커녕 나쁜 정책일 뿐입니다.
과학기술정보통신부는 모바일 전자고지 서비스 임시허가를 즉각 취소하기 바랍니다.