“유럽연합(EU)은 GAFA(구글, 애플, 페이스북, 아마존)를 겨냥해 GDPR(개인정보보호법)을 만들었습니다. 하지만 한국은 아직 개인정보를 활용할 수 있는 기준조차 제대로 정립되지 않은 상황입니다”
한국인터넷진흥원 김호성 개인정보기술단장은 1일 "4차 산업혁명 근간은 빅데이터인데 한국은 세계 시장 흐름에 도태되고 있다"며 위와 같이 지적했다.
김 단장은 "비식별 기술 저변을 확대하고 개인정보 활용이 가능한 비식별 조치 기준을 마련하기 위해 ‘개인정보 비식별 콘테스트’를 올 하반기에 개최할 예정"이라고 덧붙였다.
■ “가명정보 법제화해 활용 가능한 개인정보 명확히 해야”
김 단장은 개인정보를 보호하면서 동시에 자유롭게 활용하기 위해서는 “가명정보를 법제화해 기업이나 기관에서 활용 가능한 개인정보 범위를 명확히 하는 것이 필요하다”고 말했다.
가명정보는 바로 식별할 수 없지만, 별도 추가 정보만 있으면 식별이 가능한 정보를 말한다. 익명정보는 가명정보보다 비식별 조치를 강하게 취한 정보로 다른 정보와 결합해도 특정 개인을 알아볼 수 없는 정보다.
한국은 ‘가명화’가 명확히 정의되어 있지 않아 ‘개인정보 비식별 조치 가이드라인’을 따라 비식별조치한 개인정보가 가명정보인지, 익명정보인지 명확하지 않다. 비식별조치는 특정 개인을 알아볼 수 없도록 주민등록번호, 이름, 주소와 같은 특정 정보를 삭제하거나 가리거나 암호화하는 등의 조치를 말한다.
따라 김 단장은 “현재 기업에서는 주로 비식별조치를 강하게 적용한 ‘익명정보’를 이용하고 있다”며 “익명정보를 가지고는 실제 데이터 분석 유용성이 떨어진다”고 말했다.
■"개인정보 활용 위해서는 개인정보 비식별 조치 법제화해야”
김 단장은 “가명화 개념 도입과 더불어 개인정보 비식별 조치를 법제화하는 것이 필요하다”고 주장했다.
한국은 지난 2016년 6월 방송통신위원회와 행정안전부 등 6개의 관계부처가 합동으로 ‘개인정보 비식별조치 가이드라인’을 만들었다. ‘개인정보 비식별조치 가이드라인’에 따르면 개인정보라 하더라도 가이드라인에서 제시하는 비식별 조치를 취하면 개인정보가 아닌 것으로 보고 기업이나 기관 등이 마케팅에 적극적으로 활용할 수 있다.
하지만 김 단장은 “가이드라인이 법적 구속력이 없어 비식별 조치를 한 익명정보조차도 기업에서 안심하고 이용하지 못한다”고 지적했다. 실제 작년 11월에는 11개의 시민단체가 한국인터넷진흥원을 비롯한 개인정보 비식별 조치 전문기관과 20여 개 기업을 개인정보보호법 위반으로 검찰에 고발한 바 있다.
■ "한국 '개인정보 활용 유연성' EU·미국·일본에 비해 떨어져"
한국정보화진흥원이 2016년에 발표한 ‘빅데이터 통합과 이슈 보고서’에 따르면 한국은 데이터 규제 강도가 미국, 유럽, 일본보다 높은 것으로 나타났다. 김 단장은 "한국은 개인정보보호법과 정보주체의 동의에 기반을 둬 최소 범위로만 개인정보 이용을 허용해 활용 유연성은 다소 부족하다"고 설명했다.
김 단장은 “미국과 EU에서는 익명정보에 개인정보 규제를 적용하지 않고 있다”며 “미국은 가명정보도 따로 일괄 규제 없이 활용 가능하며, EU에서는 공익을 위한 기록보존 목적이나 과학 또는 역사 연구 목적으로는 가명정보가 활용 가능하다”고 말했다. 이어 "일본도 개인정보보호법을 개정해 ‘익명가공정보’개념을 만들었다"며 "익명가공정보는 목적의 제한 없이 자유롭게 활용이 가능하다"고 덧붙였다.
반면 한국은 현재 가명정보는 정의되지 않아 사용하지 못하며, 익명정보는 ‘개인정보 비식별조치 가인드라인’에 근거해 활용할 수 있는데 이조차 법적 효력이 없어 자유롭게 이용하지 못한다는 지적이다.
■ 제도 개선해 가명정보 활용할 수 있게 해야
김 단장은 “결국 개인정보를 안전하게 하면서도 빅데이터로 활용할 수 있게 하기 위해서는 무엇보다도 제도 개선이 필요하다”고 강조했다. 어디까지가 안전한(재식별이 불가능한) 비식별 조치인지를 합의를 통해 규정하고, 가명정보를 법 제도화시켜 활용할 수 있게 해야 한다는 설명이다.
이어 김 단장은 “해커톤 운영을 지속해 개인정보 활용에 대한 세부 내용을 해결해 나가야 한다”고 조언했다. 현재 정부는 대통령 직속 4차산업혁명위원회에서 빅데이터 활용 규제를 논의하고 있다. 또 정부, 시민단체, 업계 등이 참여하는 해커톤을 운영해서 여러 의견을 협의해 법 제도 개정방향이 도출되면 4차 산업혁명 특위에 전달할 예정이다.
금융위원회에서는 지난 해커톤에서 나온 내용을 바탕으로 익명정보 및 가명정보 개념 도입과 개인정보 범위를 명확히 하는 내용 등의 개인정보 보호&활용 정책 방향을 지난 19일 발표하기도 했다.
관련기사
- 개인정보 비식별화로 빅데이터 활용 선도한다2018.04.01
- 개인정보 비식별 조치하면 사실상 재식별 불가2018.04.01
- "개인정보 비식별 가이드, 보호-활용 불균형"2018.04.01
- 행정자치부, 개인정보보호법 위반기업 11곳에 1억5천만원 벌금2018.04.01
거버넌스 통합이 필요하다는 지적도 나온다. 현재 개인정보보호법은 행정안전부가 총괄하고 정보통신망법은 방송통신위원회가 총괄하고 있어 사업 영역에 따라 주 부처 담당이 달라 규제 통합이 안 되고 있기 때문이다.
김 단장은 “장기적으로는 개인도 단순히 정보를 제공하는 것에 그치는 것이 아니라 정보를 제공함으로써 거기서 얻게 되는 부가가치를 누릴 수 있는 환경을 만들어야 한다”고 덧붙였다.
