클라우드, 사물인터넷(IoT), 넓게는 인공지능(AI) 영역에서까지 개인정보는 단순 마케팅 수단을 넘어 이전과 비교할 수 없을 만큼 활용도가 커졌다.
사용자가 어떤 활동을 해왔는지에 대한 상세 데이터가 있다면 보다 정교한 타깃 광고를 할 수 있다. 하지만 단순히 그 정도 수준에 머무는 게 아니다. 의료 정보를 분석해 더 나은 진료방법을 고안해내거나 사회현상에 대한 정밀한 분석을 통해 새로운 개선책을 마련하는 등 공공 영역에서도 개인에 대한 데이터는 중요한 역할을 한다.
문제는 국내서 개인정보를 보다 안전하게 보호하면서도 활용도를 높일 수 있도록 범부처가 모여 개인정보 비식별조치 활성화를 위해 가이드라인을 내놨지만 여전히 국민들의 인식은 '내 정보가 어디에 어떤 식으로 쓰일지 몰라 불안하다'거나 '어차피 그 정보 가져가서 기업 마케팅만 도울 것 아니냐'는 냉소에 머물러 있다는 점이다.
1일 개인정보보호법학회가 주최한 학술 세미나에서는 '빅데이터 시대의 개인정보 활용과 책임'을 주제로 현업 전문가들의 토론이 이어졌다.
■ 비식별 조치 가이드라인 개선사항 보니
이날 개인정보 비식별조치 활성화를 위한 가이드라인 개선 제안에서 발제를 맡은 한국인터넷진흥원(KISA) 비식별지원센터 손경호 센터장에 따르면 현재 가이드라인에 대한 개선요구사항은 크게 5가지다.
이와 관련 손 센터장은 "현재 개인정보 비식별 조치 가이드라인 관련 개선 요구사항을 반영해 비식별 정보와 익명정보, 가명정보 개념이 모호한 점을 명확히 하고, 개인정보항목에 대해 식별자, 준식별자, 민감속성, 일반속성 등 이전 4단 분류체계로 상세 분류를 만드는 방안을 검토 중"이라고 밝혔다.
또한 반정형/비정형 정보에 대해서는 비식별화 처리를 위한 기술이 적용되기 어렵다는 점을 고려해 개인정보 민감도와 관리수준에 따라 차등화된 기준을 제시한다는 방침이다.
개인정보 비식별화 처리하는 과정에서 실시간 정보, 트랜잭션 데이터, 갱신 데이터 등에 대한 적정성을 평가할 때 중복절차가 발생하고 객관적으로 관련 내용을 판단할 수 있는 지표가 없다는 개선사항을 반영해 트랜젝션, 실시간/갱신 데이터의 특성을 분석해 보다 간소화된 평가절차 도입하면서도 객관적인 지표 개발을 검토한다는 계획이다.
끝으로 비식별 처리된 정보가 개인이 누구인지 특정할 수 있도록 재식별 정보로 변환될 가능성에 대한 불안감을 해소하기 위한 기술, 연구와 체계적인 관리체계를 구축한다는 생각이다.
손 센터장은 "현재로서는 재식별 가능성은 없다고 봐야하지만 데이터를 활용하는 과정에서까지 점검을 하는 방향을 모색하고 있다"고 밝혔다.
■ 가이드라인 자체 보다 사용자 인식에 초점 맞춰야
이 같은 조치에 대해 네이버 이진규 최고보안책임자(CISO)는 "현재 가이드라인에 대한 문제가 많이 논의되고 있는데 여기에만 너무 집중하지 않았으면 한다"는 의견을 냈다.
비식별조치를 위한 가이드라인을 잘 만들어서 기술적으로 검증할 수 있다고는 하지만 정보를 제공하는 주체인 국민들 입장에서는 여전히 '비식별화해도 내 정보가 사용되는 것 자체가 싫다'는 등 감정적인 부분에 대한 가이드가 필요하다는 설명이다.
이에 따라 이 CISO는 "개인정보주체에게 어떻게 개인정보가 활용되고, 비식별화되는지, 이런 정보가 통계적으로 쓰인다면 이런 결과가 어떤 방시긍로 다시 정보주체들에게 도움이 되는지 등을 알려줄 필요가 있다"는 것이다.
그럼에도 불구하고 "개인정보주체의 불안함을 줄이기 위해 유럽 개인정보보호법인 GDPR에서처럼 정보주체에게 적절하게 프라이버시에 대한 적절한 알림을 줄 수 있는 방안, 내 정보 활용에 대한 이의를 제기했을 때 어떻게 해결할 것인가 등에 대한 내용이 검토됐으면한다"고 그는 덧붙였다.
이와 관련 오픈넷 박지환 변호사는 "거버넌스 측면에서 보자면 개인정보주체는 가이드라인에 따라 개인정보가 비식별화 된다는 사실을 알기 어렵고 열람청구권도 제한되고 있다"며 "개인정보 관련 문제가 발생하면 이를 해결할 수 있다는 (국민들의) 신뢰기반이 존재하고 해결되리라는 믿음을 주지 못하고 있다"고 지적했다.
진보넷 장여경 활동가는 "기업이 개인정보를 활용하기 어렵다고 하지만 우리가 만난 사용자 혹은 소비자들은 이에 대해 의심하고 있다"며 "세이프가드를 지켰으니 안심하라는 것이 아니라 개인정보에 대한 자기결정권이 국민 기본권 조항으로 고려되고 있는 시점에서 신뢰회복이 필요하다"고 강조했다.
■ 비식별 조치 현업서 쓰기 쉽지 않다
신한카드 이종석 빅데이터센터장은 "가이드라인에 따라 비식별 조치를 하더라도 문제가 생기면 법적 책임을 져야하는 상황"이라며 "비식별 조치에 대한 평가하는 과정이 3개월~4개월 정도로 느린 탓에 기업이 활용하기 어려운 부분이 있다"고 설명했다.
관련기사
- "개인정보 비식별 가이드, 보호-활용 불균형"2017.11.01
- "금융권 개인정보 비식별 활용, 아직 눈치 보는 중"2017.11.01
- KISA, 기업 ‘개인정보 비식별조치’ 지원2017.11.01
- 미래부, ‘비식별 개인정보’ 빗장 푼다2017.11.01
이어 이 센터장은 "한 기업 내에서 확보한 정보만으로는 고객에게 차별화된 서비스를 제공하기 어려운 시대가 되고 있다"며 "고객에게 더 나은 혜택을 드리기 위해서라도 서로 다른 업종의 정보를 활용할 필요가 있다"고 덧붙였다.
이를테면 제한된 정보만으로 개인에게 필요없는 마케팅이나 프로모션 문자를 보내는 대신 정보제공에 동의한 고객들에게는 그에 맞는 혜택을 줄 수 있는 맞춤형 정보를 제공할 수 있게 될 것이라는 의견이다.
