"개인정보 비식별 가이드, 보호-활용 불균형"

정부가 작년부터 프라이버시 침해 없이 데이터 유통과 활용을 활성화한다는 명분아래 '개인정보 비식별 조치' 즉 비식별화를 장려하고 있다. 비식별 조치가 된 정보를 개인정보 보호법제 적용범위에서 제외시켜 빅데이터 산업 등 진흥 목적을 달성하기 위한 정책이다.

그런데 이 정책 일환으로 정부가 부처합동으로 지난해 6월말 발표한 '개인정보 비식별화 조치 가이드라인'이 개인 프라이버시 보호보단 산업적 활용에 치중하고 있다는 비판이 제기됐다. 지난 24일 발간된 국회입법조사처 '개인정보 비식별 조치에 관한 입법정책적 대응과제' 내용 일부다.

국회입법조사처 과학방송통신팀 심우민 입법조사관 명의로 작성된 보고서는 "개인 식별 가능성과 익명성의 경계가 모호해진 상황이 전개되고 있다"며 "주요 국가들은 개인정보 보호법제의 운용 및 개선에 관해 고민하고 있다"고 지적했다. 이어 "주요 국가들의 제도적 대응방식과 내용에 견주어 보자면 '개인정보 비식별 조치 가이드라인'을 통한 우리나라의 대응방식은 한계를 가진다"고 진단했다.

■국외 비식별 조치 대응 흐름

보고서는 비식별 조치 흐름에 대응한 국외 사례로 영국, 유럽연합(EU), 일본 등이 가이드라인 제정 또는 입법조치 동향을 설명했다.

영국은 가이드라인 성격을 띠는 '익명화실천규약'을 만들었다. 규약은 "프라이버시 보호를 위해서는 익명화된 데이터를 이용하거나 공개하는 게 더 좋은 방법"이며 "익명화를 통해 관련 정보를 활용하려는 기관은 발생할 수 있는 결과를 설명하고 정보주체의 동의를 구하며 위험분석 및 익명화에 엄격한 형식을 취해야 한다"고 설명하고 있다.

EU는 GDPR 입법조치를 통해 비식별 조치 흐름에 대응했다. GDPR은 국내 비식별 조치 일환으로 논의되는 가명처리 개념과 법적 효과 측면에 일부 차이가 있는 가명처리 개념을 담고 있다. 우선 가명처리된 정보의 개인정보 보호법제 적용은 조건부로 일부만 면제된다. 또 정보 관리자는 개인정보를 처리하는 목적이 정보 주체 식별을 필요로 하지 않게 되면 이를 정보 주체에게 고지해야 한다는 규정이 있다.

일본은 오는 5월 30일 시행 예정인 개인정보보호법에 '익명가공정보'라는 개념정의 규정을 포함하는 개정으로 비식별 조치 흐름에 대응했다. 법은 익명가공 방식을 규정하고 그 조치를 취한 정보를 익명가공정보라 정의했다. 또 법은 사업자가 "익명가공정보를 제3자에게 제공할 때 제공 정보에 포함되는 개인에 관한 정보의 항목 및 그 제공 방법을 공표하고 그게 익명가공정보라는 취지를 명시해야 한다"고 규정했다.

보고서가 이같은 국외 움직임과 가이드라인 및 법 제정 움직임과 한국의 가이드라인 내용을 견줘 지적한 한계점은 크게 3가지로 요약된다.

■법적 근거 모호성

첫째는 가이드라인의 법적 근거가 모호하다는 점이다.

보고서에 따르면 가이드라인은 현행 개인정보 보호법제의 해석과 집행 관행을 변화시키기 위해 제시됐다. 그런데 비식별화 또는 익명화를 통해 개인정보를 활용케 하려는 그 내용은 '개인정보 자기결정권' 등 헌법상 기본권을 제한하는 사항이라 법률적 근거가 필요하다.

보고서는 "영국의 익명화 실천규약은 …(중략)… 그 규범적 근거가 명확하다고 볼 수 있지만 우리나라 개인정보 비식별 조치 가이드라인의 경우 이에 관한 법률적 위임이 존재하지 않으며 단지 행정지도로서의 성격"을 띤다고 평했다.

이어 "비식별화 정책 추진과 가이드라인 공표 이후 우리나라에서는 해외 주요 국과들과 같이 법률 개선을 위한 진지한 논의가 이뤄지기보다는 공표된 가이드라인의 내용을 단선적으로 입법에 반영하는 시도가 이뤄지고 있다"면서 "가이드라인은 현행 개인정보 보호법제의 체계적 개선을 위한 것이 아니기 때문에 그 내용을 단순하게 법률에 반영하게 될 경우 자칫 개인정보의 보호와 활용의 균형점을 상실한 입법적 결과가 도출될 가능성이 있다"고 경고했다.

■프라이버시 보호에 한계

둘째는 가이드라인이 '개인정보의 산업적 활용'에 치중한 나머지, 정보 주체의 프라이버시 보호 면에서 한계를 노출하고 있고, 산업적으로도 실효적일지 분명치 않다는 점이다.

보고서는 "가이드라인은 동의요건 등 개인정보 보호법제의 규제 요건들의 적용을 면제시키는 데 초점을 둬 왔고 궁극적으로 개인정보로서의 성격을 갖지 않는 것으로 추정한다는 법적효과를 전제로 하고 있다"면서, 이런 사실은 "종전 정보주체가 보유하고 있던 개인정보자기결정권을 행사할 수 있는 근거가 없어진다는 점을 의미하는데 과연 이것이 현대적 기술 상황과 부합하는 것인지에 대해서는 진지한 검토가 필요할 것"이라고 덧붙였다.

또 "우리나라의 가이드라인이 비식별화가 이루어진 정보를 개인정보가 아닌 것으로 추정하는 것은 관련 정보 또는 데이터의 산업적 활용상의 편의성을 위한 것으로 보이지만, …(중략)… 기업이 활용하고자 하는 정보는 종국적으로 특정 정보주체와 연결되어 직접적인 마케팅이 이루어질 수 있는 정보라고 할 수 있으며, 이러한 목적을 위한 정보라면 일반적으로 개인정보 보호법제상의 요건(예. 동의요건 등)을 준수하여 적법하게 수집 및 활용하는 것이 일반적"이라고 지적했다.

■사회적 합의 부재

셋째는 가이드라인의 접근은 '비식별화'와 '익명화' 등의 개념 정의와 법적 효과에 관한 사회적 합의를 담지 못하고 있다는 점이다.

보고서는 "비식별화 및 익명화에 관한 개념정의가 아직까지 국내외적으로 확고하게 제시되고 있지 못한 상황이기 때문에, 관련 용어의 개념정의는 물론이고 그 활용에 있어서도 주의를 기울일 필요가 있다"면서 "최근 정부의 비식별화 가이드라인 및 정책이 제시된 이후, 실제 현장에서는 비식별화 및 익명화 등의 용어들이 혼용되고 있을 뿐만 아니라, 각기 주장하는 개념정의 및 범주도 상이하여, 실효적이지 못한 논의들이 이어지고 있는 상황이기 때문에, 이에 대한 공감대를 형성해 갈 수 있는 사회적 담론 형성에 관한 노력이 요청"된다고 강조했다.

이어 "최신의 데이터 분석기술 등을 활용하면 익명 정보의 경우에도 충분히 개인식별 가능정보로 전환될 가능성이 있기 때문에 …(중략)… 개인정보 개념, 비식별화 또는 익명화 개념 등은 물론이고, 실질적인 프라이버시 보장에 기여할 수 있는 제도적인 방안도 함께 모색되어야 할 필요가 있다"고 첨언했다.

■부처합동 비식별조치 가이드라인 요약

2016년 6월 30일 발표된 부처합동 개인정보 비식별화 조치 가이드라인의 내용을 요약하면 이렇다. 가이드라인은 비식별 조치의 법적 효과, 대상이 되는 정보, 비식별화 방법, 비식별 조치의 적정성 평가, 사후관리, 5가지 항목을 설명하고 있다.

가이드라인을 적용받는 대상 영역은 '개인정보처리자'라는 개념으로 개인정보를 처리하는 공공과 민간의 담당자와 조직을 포괄한다.

대상 정보는 '개인정보 일반'을 아우른다. 정보의 종류를 한정하지 않고 '적정하게' 비식별화된 정보는 특정 개인을 알아볼 수 없기 때문에 개인정보가 아닌 것이라 추정한다.

개인정보에 가명처리, 총계처리, 데이터 삭제, 범주화, 마스킹 등을 하는 것이 '비식별화 방법'으로 제시돼 있다. 그 개념적인 정의는 "정보집합물(데이터셋)에서 개인을 식별할 수 있는 정보를 전부 또는 일부 삭제하거나 대체하는 방법을 활용해 개인을 알아볼 수 없도록 하는 조치"다.

가이드라인에 근거해 비식별 조치가 적정했느냐를 판단하는 '비식별 조치 적정성 평가단'이 운영된다. 평가단은 개인정보 보호책임자 책임아래 외부 전문가가 참여해 구성된다. 최소한의 적정성 평가수단으로 'k-익명성'을, 필요시 추가 평가수단으로 'l-다양성'과 't-접근성'을 활용하도록 하고 있다. k-익명성은 특정인임을 추론할 수 있는지 검토하고 그 확률을 떨어뜨리는 기준이다. l-다양성은 민감한 정보의 다양성을 높여 추론 가능성을 낮추는 기준이다. t-접근성은 민감한 정보의 분포를 낮춰 추론 가능성을 더욱 떨어뜨리는 기준이다.

가이드라인은 또 비식별화한 정보를 '사후관리' 및 '안전조치'하도록 하고 있다. 사후관리 비식별정보 안전조치, 재식별가능성 모니터링, 비식별 정보제공 및 위탁계약시 준수사항, 재식별시 조치요령 등을 다뤘다. 안전조치 차원에서는 5가지 관리적, 3가지 기술적 보호조치를 규정하고 있다. 관리적 보호조치는 담당자 지정, 정보파일 대장 관리, 원본-비식별 정보 관리부서간 정보공유 금지, 이용목적 달성시 파기, 유출시 대응계획 수립이다. 기술적 보호조치는 접근 권한관리 및 통제, 접속기록 관리, 보안프로그램 설치 및 운영이다.

가이드라인 발간에 참여한 정부부처는 국무조정실, 행정자치부, 방송통신위원회, 금융위원회, 미래창조과학부, 보건복지부, 6곳이다. 앞서 방송통신위원회 '빅데이터 개인정보보호 가이드라인'의 제한적인 규제대상을 넘어선 범부처 공통기준 성격을 띤다.

보고서는 "향후 부처합동 가이드라인은 비식별 조치와 관련한 정책적 차원에서의 판단 기준으로 활용될 것"이라며 "제정 작업에 방송통신위원회가 참여하고 있다는 측면에서 더 이상 종전 방송통신위원회 가이드라인이 적용되지 않는다고 판단하는 것이 타당"하다고 판단했다.

관련기사

보고서 주 작성자인 심우민 조사관은 1개월전 진행된 제23회 정보통신망 정보보호 컨퍼런스(NetSec-KR) 1일차(2017년 4월 25일) 주제강연 발표자로 나서기도 했다. 그의 강연 마무리 발언을 요약하면 다음과 같다.

"식별되느냐 안 되느냐보다 중요한 것은 그 당사자의 사생활 보호가 실제로 되느냐다. 프라이버시는 특정 상황마다 침해여부에 대해 광범위한 재량적 판단이 필요한 개념이다. 누가 집에서 옷 벗고 샤워하고 있는데 드론이 날아와 그 모습을 찍어 인터넷에 올리면, 얼굴이 식별되지 않는 상황이더라도 당사자는 사생활이 침해된 걸로 느낄 수 있다. 하지만 현행법으론 그게 '식별되지 않는다'는 이유로 개인정보보호법의 보호를 받지 못할 수도 있다. 이런 프라이버시에 관심을 갖고 법을 바라봐야한다. '프라이버시 바이 디자인'이나 '프로파일링 금지' 규정과 같은 광범위한 접근을 통해, 위험이 있는 곳에 규제가 집중될 수 있도록 바뀌어야 한다."