바로가기 메뉴
본문 바로가기
대메뉴 바로가기

TECH M

계속되는 개인정보 비식별 조치 논란

2018-05-23강진규 기자

4차 산업혁명 시대에 데이터는 산업의 원동력이 될 것으로 주목받고 있다. 이에 따라 양질의 데이터 확보를 위해 개인정보를 활용해야 한다는 주장이 있는 반면 개인정보 보호를 위해 활용을 제한해야 한다는 지적도 있다. 논란의 한 가운데 있는 것이 개인정보 비식별 조치다.

2016년 정부는 비식별 조치를 통해 개인정보를 제한적으로 활용할 수 있도록 하겠다고 밝혔다. 하지만 이후 논란이 계속되면서 비식별을 통한 개인정보 활용은 지지부진한 상황이다.

높아지는 데이터 활용의 필요성

과거 2차 산업혁명 시대에는 석탄, 석유 등이 산업 성장에 중요한 역할을 했다. 4차 산업혁명 시대에는 데이터가 성장동력이 될 것으로 예상된다. 실제로 인공지능(AI), 스마트시티, 헬스케어, 자율주행차 등 분야에서는 데이터가 핵심적인 역할을 하고 있다.

가령 인공지능 기술을 의료 분야에 적용하기 위해서는 개인 의료정보가 필요하다. 인공지능 기술로 엑스레이 사진에서 폐암을 진단하기 위해서는 실제 폐암 환자의 엑스레이 사진이 대량으로 필요하다. 인공지능이 데이터를 학습, 분석해야 진단을 할 수 있기 때문이다. 환자의 엑스레이 사진은 당연히 개인 의료정보에 속한다.

스마트시티를 효율적으로 운영하기 위해서도 수많은 데이터가 필요하다. 폐쇄회로TV(CCTV)로 포착한 차량과 행인들의 정보, 각종 센서로 수집한 데이터 등을 조합해야 도시의 교통 흐름과 치안 상황 등을 분석할 수 있다. 행인들의 영상정보는 개인정보에 포함된다. 이처럼 새로운 기술 도입과 서비스 창출을 위해 개인정보 활용이 필요하다.

하지만 개인정보가 함부로 활용될 수 있다는 우려도 크다. 특히 국내에서 개인정보 유출 사건들이 다수 발생하면서 개인정보 활용에 대한 국민들의 우려가 높다. 2011년 7월 포털사이트 네이트에서 3500만 건의 개인정보가 유출되는 사건이 있었다. 또 2014년 1월에는 KB국민카드, 롯데카드, NH농협카드에서 1억 건 정보가 유출되는 사건이 알려졌다. 2016년 7월에는 인터파크에서 2600만 건의 개인정보가 유출됐다.

결국 한편에서 개인정보를 보호하면서도 다른 한편으로 데이터를 활용할 수 있는 지혜가 요구되는 상황이다. 이를 의식해 정부에서는 개인정보 비식별 조치라는 카드를 꺼냈다.

2016년 6월 행정자치부(현 행정안전부), 방송통신위원회, 금융위원회, 미래창조과학부(현 과학기술정보통신부), 보건복지부, 국무조정실은 개인정보 비식별 조치에 관한 명확한 기준과 지원, 관리체계를 담은 ‘개인정보 비식별 조치 가이드라인’을 발표했다.

적절한 수준으로 비식별 조치된 정보는 개인정보가 아닌 것으로 판단해 데이터를 활용할 수 있도록 한다는 것이 핵심 내용이었다. 여기서 적절한 수준이란 일부 정보의 삭제 등으로 비식별 조치된 정보를 사용해 식별 가능한 개인정보로 되돌릴 수 없어야 한다는 것이다.

정부가 제안한 비식별 조치는 4단계로 나눠 진행된다. 우선 첫 번째로 사전검토 단계에서는 개인정보 해당 여부를 검토한 후 개인정보가 아닌 경우에는 별도 조치 없이 활용할 수 있게 한다. 두 번째로 비식별 조치 단계에서는 가명처리, 데이터 삭제, 범주화, 데이터 마스킹 등 비식별 기술을 단독 또는 복합적으로 활용해 개인 식별요소를 제거한다.

세 번째로 적정성 평가 단계에서는 비식별 조치가 적정하게 이뤄졌는지를 외부 평가단을 통해 객관적으로 평가하도록 한다. 네 번째로는 사후관리 단계에서 비식별 정보의 안전한 활용과 오·남용 예방을 위한 조치가 이뤄진다. 정부는 2016년 9월 정부는 한국정보화진흥원(NIA), 한국인터넷진흥원(KISA), 한국신용정보원, 금융보안원, 사회보장정보원 등을 비식별 조치를 지원하는 기관으로 지정했다.

이때까지만 해도 개인정보의 비식별 조치를 통해 다양한 데이터를 활용할 수 있을 것으로 기대됐다. 그러나 실상은 달랐다. 되돌릴 수 없는 수준의 비식별 조치라는 조항이 발목을 잡았다. 기업, 기관들이 어느 정도 수준으로 정보를 삭제하거나 변조한 것이 되돌릴 수 없는 수준인지 판단할 수 없기 때문이다. 더구나 가이드라인은 법적 근거가 되지 않는다.

한 의료 IT업체 관계자는 “해외에서는 희귀질환 환자들의 데이터를 모아 그들을 위한 맞춤 진료도 하고 있다”며 “그러나 한국에서는 그렇게 하기 어렵다. 희귀질환 환자는 소수이기 때문에 비식별 조치를 해도 다른 정보가 약간만 있으며 개인이 식별이 될 가능성이 있다. 때문에 논란의 소지가 있어 데이터를 활용할 수 없다”고 말했다.

이처럼 비식별 조치를 했어도 식별이 가능할 수도 있다는 우려와 책임 문제로 인해 비식별 개인정보 활용이 이뤄지지 못하고 있다. 또 데이터를 활용하고자 하는 기업, 연구소, 기관 관계자들은 논란을 없애기 위해 너무 많은 정보를 삭제할 경우 데이터의 가치가 손상된다고 지적한다.

예를 들어 개인정보 중 비식별 조치를 위해 이름뿐 아니라 나이, 성별, 거주지 등 많은 정보를 삭제할 경우 개인을 알아볼 수는 없겠지만 그 정보를 활용할 수 있는 것도 별로 없다는 것이다.

이런 한계를 극복하기 위해 법 개정도 추진됐다. 송희경 의원(자유한국당) 등 11인은 2017년 5월 30일 개인정보보호법 개정안을 발의했다. 개정안에는 비식별 조치의 정의와 재식별 방지를 위한 안전성 확보 방안 등이 담겼다. 하지만 법 개정안은 현재까지 제대로 논의되지 못하고 있다.

다시 시작된 비식별 개인정보 활용 논의

정부도 비식별 개인정보가 활용되지 못하고 있다는 점을 인식하고 있다. 이에 최근 다시 비식별 조치를 통해 개인정보를 활용해야 한다는 논의가 진행되고 있다. 금융위원회는 올해 3월 19일 ‘금융 분야 데이터 활용 및 정보보호 종합방안’을 발표했다. 금융위는 2016년 가이드라인의 한계를 스스로 지적했다. 금융위는 비식별 조치 가이드라인의 법적 지위가 불명확하고, 가이드라인에서 따른 비식별 조치 수준이 다른 나라들에 비해 과도하게 높아 비식별 정보의 데이터 유용성이 크지 않다고 반성했다.

 

 

이에 금융위는 해외 입법사례, 비식별 기술에 관한 국제적 논의 등을 종합적으로 고려해 비식별 개인정보 활용을 위한 법적 근거를 명확히 하겠다고 밝혔다. 금융위는 유럽연합(EU)의 사례를 예로 들었다. EU는 익명정보와 가명처리정보 개념을 도입했다. 익명정보는 더 이상 개인을 식별할 수 없도록 처리된 정보로 개인정보가 아니기 때문에 자유로운 분석과 이용이 가능하다.

가명처리정보는 추가적인 정보를 사용하지 않으면 특정 개인을 식별할 수 없도록 처리된 정보로 제한적으로 과학연구, 통계작성, 공익목적의 기록보존 등에 이용할 수 있다. 금융위는 이같이 익명정보, 가명정보 개념을 도입하고 비식별 처리된 익명정보 등의 중개를 허용하는 방안을 추진할 방침이다.

이어 4월 3일과 4일 이틀 간 대통령 직속 4차산업혁명위원회는 충청남도 천안 우정공무원교육원에서 제3차 규제 제도혁신 행사를 개최했다. 이 행사에서 법조계, 산업계, 시민단체 관계자 등이 ‘개인정보의 보호와 활용의 조화’에 대해 논의했다. 참석자들은 개인정보 익명처리 절차와 기준, 가명정보의 활용 범위, 데이터 결합 허용 여부 등에 대해 토론했다.

4차산업혁명위원회에 따르면 참석자들은 ‘정부는 익명처리의 적정성을 평가하기 위한 절차와 기준을 마련할 수 있고, 이런 절차와 기준은 기술적 중립성에 입각한 것이어야 하며, 강제적이거나 최종적인 것으로 해석돼서는 안 된다’고 합의했다.

지금까지 발표 내용을 보면 정부는 앞서 설명한 EU의 익명정보, 가명처리정보 개념을 도입하는 방식으로 개인정보 활용의 돌파구를 마련할 것으로 보인다.

이와 관련된 법안도 나왔다. 오세정 의원(바른미래당) 등 11인은 3월 5일 개인정보보호법 개정안을 발의했다. 국회 의안정보시스템에 따르면 오세정 의원은 제안 취지에 대해 “개인정보의 안전한 활용을 위해서는 그 근거를 가이드라인이 아닌 법에 마련할 필요가 있다”며 “대부분의 국가가 익명정보와 가명정보의 개념을 구별해 사용하고 있고 비식별은 ‘익명’과 ‘가명’을 포함한 개념이므로 의미에 혼동을 줄 수 있어 입법단계에서부터 명확한 개념 정의가 필요하다”고 설명했다. 이에 EU의 유럽 개인정보보호법(GDPR)의 입법 사례를 참고해 가명정보와 익명정보의 개념과 활용에 대한 법적 근거를 마련한다는 것이다.

산업계와 시민단체는 익명, 가명정보 도입에 대해서 긍정적인 반응을 보이고 있다. 한 IT업체 관계자는 “현행 개인정보보호법 등 체계에서는 데이터 활용이 너무 제한적이다”라며 “차라리 EU 기준에 따라 개인정보를 보호하고 활용하는 것도 해법이라고 생각한다”고 말했다.

시민단체 진보네트워크센터의 오병일 활동가는 “비식별이라는 개념이 모호하다. 비식별은 개인정보에서 식별을 제거한다는 의미인데 불완전하게 제거됐을 때 다른 정보와 결합해 개인이 식별될 수 있다”며 “개념을 명확히 하기 위해 개인정보, 익명정보, 가명정보 개념이 도입돼야 한다”고 말했다.

하지만 정보 활용 범위에 대해서는 이견이 예상된다. 개인정보를 보호하고 익명정보를 활용한다는 것에 대해서는 산업계와 시민단체의 의견이 대부분 일치한다. 쟁점은 일부 비식별 조치가 이뤄진 가명정보다. 산업계에서는 가명정보 활용을 기대하고 있지만 시민단체에서는 엄격히 활용을 제한하도록 요구할 것으로 예상된다.

오병일 활동가는 “일부 기업들은 가명처리만 하면 자유롭게 데이터를 활용할 수 있는 것으로 오해하고 있는데 그렇지 않다. 안전조치를 취해야 한다”며 “가명정보의 연구목적 활용에 대해서 기업들이 마케팅 연구도 포함하려고 하는데 시민단체 입장에서는 학술적인 연구에만 활용해야 한다고 생각하고 있다”고 설명했다. 이에 앞으로 기업들과 시민단체간 가명정보 활용 범위에 절충 방안을 찾는 것이 화두가 될 것으로 보인다.

이와 함께 데이터 결합에 대한 문제도 해결해야할 숙제다. 제3차 규제 제도혁신 행사에서 개인정보 주제 논의 중 이견이 있었던 분야가 데이터 결합이다.

시민단체들은 현행 개인정보보호체계에서는 민간 기업이 보유한 개인정보의 연계, 결합은 허용될 수 없다고 밝혔다. 반면 기업 관계자들은 새로운 가치를 창출하기 위해 데이터 결합 제도를 도입하되, 인가받은 기관을 통해 데이터를 결합하거나 엄격한 안전조치를 취하자고 주장했다.

이에 대해 염흥열 순천향대 정보보호학과 교수는 “4차 산업혁명을 위해서는 데이터의 활용이 필수적이며 그 핵심에 데이터 결합이 존재한다. 그런데 데이터의 결합은 정보주체의 프라이버시를 침해할 소지가 크다”며 “데이터의 결합을 개별 개인정보 처리자에게 맡긴다면 이는 정보주체의 프라이버시 권한이 침해될 우려가 크다. 따라서 제3의 전문기관을 통해 데이터 결합을 추진하고 전문기관에게는 엄격한 기술적 관리적 보호조치를 요구해야 한다”고 말했다.

[테크M = 강진규 기자(viper@techm.kr)]

<본 기사는 테크M 제61호(2018년 5월) 기사입니다>

 

뉴스