'개인정보 비식별 조치' 가이드라인

[박영아 변호사]

2016-11-07     원미선
지난 2016. 7. 1. 행정자치부, 방송통신위원회, 금융위원회, 미래창조과학부, 보건복지부, 국무조정실은 정부 관계부처 합동으로 빅데이터 활용을 위한 개인정보 비식별 조치의 명확한 기준과 지원 · 관리 체계에 관한 내용을 담은「개인정보 비식별 조치 가이드라인」(이하 "가이드라인")을 발간하였다. 비식별조치, 비식별화는 해당 개인을 식별할 수 있는 요소를 전부 또는 일부 삭제하거나 대체 등의 방법을 통해 개인을 알아볼 수 없도록 하는 조치를 말한다. 가이드라인 발간 이후 통신, 금융, 보건, 공공 분야별로 각 관계부처는 비식별 조치 전문 기관을 지정하고 개인정보 비식별 시장활성화를 위한 본격 지원에 나서고 있다.

빅데이터나 사물인터넷(IoT)을 기반으로 하는 서비스의 확산으로 인해 방대한 양의 데이터를 축적하여 활용하는 것이 가능해졌지만, 필연적으로 그에 따라 개인정보의 남용 및 프라이버시권 침해 이슈가 불안 요소로 떠올라 기업의 데이터 활용과 개인정보의 보호를 어떻게 절충할 것인지의 문제가 제기되었다.

'21세기 원유' 빅데이터 산업

특히 개인정보보호법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 신용정보의 이용 및 보호에 관한 법률 등 우리나라의 현행 개인정보보호 법제는 개인정보 처리자의 개인정보 처리 및 악용으로부터 개인정보를 보호하는데 중점을 두고 있어 '21세기 원유'라고 불리는 빅데이터 관련 산업의 활성화가 저해되고 있다는 우려와 함께 데이터 이용의 현실을 반영한 관련 규정의 정비가 필요하다는 목소리도 만만치 않다. 이러한 배경 하에서 각 분야의 개인정보를 관리감독하는 복수의 관계부처들이 합동 가이드라인을 발간하여 통일된 기준을 제시한 것은 개인정보보호와 데이터 산업의 활성화를 균형 있게 추진하기 위한 정부 차원의 통합된 노력으로 이해된다.

비식별 조치 및 사후관리 절차

가이드라인은 개인정보 비식별 조치를 ①사전검토 ②비식별 조치 ③적정성 평가 ④사후관리의 네 단계로 나누고 각 단계마다 조치되어야 하는 사항을 상세히 규정하여 기업이 쉽게 따를 수 있도록 표준화된 절차를 제시하고 있다.

나아가 가이드라인에 따라 비식별 조치한 정보는 개인정보가 아닌것으로 추정된다는 점과 그에 따라 정보주체의 동의를 받지 않더라도 신상품 개발 등 영업 목적을 위해 활용할 수 있다는 점을 명시하였다. 그 동안 비식별화 조치 활용에 대한 규제가 모호하고 명확한 가이드라인이 없어 형사처벌을 우려한 기업 입장에서는 데이터를 비식별화하여 활용하는 데 소극적일 수밖에 없었다. 가이드라인이 개인정보 비식별 조치에 관하여 비교적 명확한 기준을 제시함으로써 기업 입장에서 데이터 활용의 각 단계에서의 법률위반 여부에 대한 예측가능성을 어느 정도 확보할 수 있게 되었다.

또한 가이드라인은 빅데이터의 보다 적극적인 활용을 위해 서로 다른 기업이 보유하고 있는 정보를 결합하여 활용할 수 있는 방안도 제시하고 있으며, 재식별 가능성을 고려하여 비식별 정보의 '공개'를 금지하고 접근통제 등 일정한 관리적 · 기술적 보호조치를 취하도록 하고 있다. 이에 더하여 개인정보 침해 소지를 방지하기 위해 제3의 전문기관을 통해서만 결합할 수 있도록 하는 등 각종 제한도 두고 있다.

규제완화 시도 긍정적

비식별화된 정보도 재식별될 가능성이 있다는 비판과 함께 가이드라인에 대한 많은 보안 관련 논란이 제기되고 있으나 빅데이터 산업 활성화를 위한 규제완화의 시도는 긍정적이라고 본다. 최근 정부는 사물인터넷 등 자동정보처리장치에 의하여 개인정보를 수집 · 이용하는 경우에 관하여 사전 동의제도를 '포괄적 사전동의제도' 또는 '사후거부제도'로 변경하는 방안을 추진하는 등 개인정보 관련 규제완화 흐름이 이어지고 있다.

정보주체의 동의가 합리적으로 예견되는 경우에도 사전동의를 얻도록 하는 등 현행 개인정보보호법상 엄격한 규제는 오히려 고지 및 동의절차가 형식적으로 운영되게 하는 측면이 있다. 누구나 온라인상에서 개인정보의 이용과 처리에 관한 고지 사항을 제대로 읽어보지 않고 습관적으로 동의를 한 경험이 있을 것이다.

개인정보마다 그 민감도에 따른 보호의 필요성의 정도에 차이가 있을 수 있다. 민감하지 않은 개인정보에 대한 규제는 합리적인 범위 내에서 완화하되 정보처리자의 개인정보 보호의무를 엄격하게 설정하고 침해가 발생하는 경우 제재 수위를 강화하는 것이 개인정보를 보호하면서도 빅데이터 활성화를 촉진하는 방편이 될 수 있다.

이를 위해서는 관련 규제의 재정비와 더불어 빅데이터 시대의 기술의 발전을 반영하여 '개인정보'에 대한 정의 역시 구체화할 필요가 있다. 수집되는 정보가 방대하게 모여 빅데이터화 되는 과정을 통해 기존에는 개인정보에 해당하지 않았던 정보들이 집적되고 처리되면서 새로운 데이터 또는 개인정보를 만들어내기도 한다.

개인정보 정의 구체화 필요

개인정보보호법 2조는 개인정보를 '다른 정보와 쉽게 결합하여 개인을 알아볼 수 있는 정보'라고 정의하고 있는데, 이와 같은 포괄적인 정의는 빅데이터가 활용되는 신기술의 변화와 요구를 현실성 있게 반영하지 못한다는 지적이 있다. 기술발전으로 인해 다른 정보와 결합하여 개인을 식별할 수 있는 가능성이 높아져 개인정보의 범위가 상당히 확장될 수 있기 때문이다. 이러한 점을 고려하였을 때, 개인을 알아볼 수 있는 모든 정보에 대해 사전 고지 및 동의 과정을 전부 거치도록 요구하는 것은 기업에게는 부담을, 이용자들에게도 불편함을 주기만할 뿐이다.

개인정보의 실질적인 보호와 신 산업 발전을 위한 데이터의 효율적인 활용이 반드시 상치되는 이익은 아닐 것이다. 관련 업계의 의견 수렴 및 각계 관련부처 간 충분한 논의를 거쳐 적절한 접점을 찾아가길 기대해 본다

박영아 변호사(김앤장 법률사무소, youngah.park1@kimchang.com)

Copyrightⓒ리걸타임즈(www.legaltimes.co.kr), 무단전재 및 재배포 금지