‘비식별조치’한 개인정보, 동의없이 활용 가능

개인정보 ‘보호’와 ‘활용’이라는 상충되는 이슈가 ‘비식별조치’ 방안으로 접점을 찾았다.

정보주체로부터 사전에 개인정보 수집·이용에 대한 동의를 받기 어려운 빅데이터 환경에서는 해당 정보주체(개인)를 알아볼 수 없도록 조치해 활용하자는 방안이 제시됐다.

하지만 개인정보 개념이 모호하고 비식별 조치 기준과 범위, 방법 등이 명확히 제시되지 않아 사업자들이 이같은 조치를 적용하는데 어려움이 있었다. 비식별 조치에 대한 안전성이 검증되지 않거나 개인정보가 제대로 보호조치 되지 않은 채 활용될 경우 개인정보가 침해될 수 있다는 우려도 제기됐다.

국무조정실과 행정자치부, 방송통신위원회, 금융위원회, 미래창조과학부, 보건복지부 등 관계부처 합동으로 마련한 ‘개인정보 비식별조치 가이드라인’과 ‘개인정보보호 통합 법령해설서’가 발간돼 이같은 문제를 상당부분 해소할 수 있게 됐다.

7월 1일부터 시행되는 가이드라인에는 개인정보를 빅데이터 분석 등에 활용하기 위해 사업자들이 적용해야 하는 조치 기준과 절차, 방법이 제시됐다.

통합 법령해설서에는 개인정보 범위와 비식별정보 등을 명확히 규정했다. 개인 식별요소를 전부 또는 일부 삭제해 알아볼 수 없도록 비식별조치한 정보는 정보주체의 추가 동의 없이도 활용 가능하도록 했다.

비식별 처리된 개인정보는 일단 개인정보가 아닌 것으로 추정해 본인 동의 없이도 빅데이터 분석 등에 활용할 수 있도록 허용된다.

업무처리 과정에서 수집한 고객정보, 거래내역, 민원처리 내역 등 개인정보가 포함된 각종 자료를 비식별 조치한 후 시장조사, 신상품 개발, 마케팅 전략 수립 등을 위해 분석, 가공, 활용할 수 있다.

미국, 유럽, 일본 등에서도 이미 법령 개정이나 지침에 비식별 조치된 정보는 개인정보보호 규제 대상에서 제외하거나 관련 조치기준을 제시하고 있다.

비식별 처리된 정보가 다른 데이터(추가정보)와 결합되거나 새로운 분석기술을 활용해 다시 개인을 알아볼 수 있는 정보가 될 경우에 대한 우려도 제기된다. 이를 방지하기 위해 가이드라인에는 관리적·기술적 안전조치와 관리 방법 등을 명시했다.

정부 합동으로 발표된 가이드라인은 통신사업자, 금융기관을 포함해 모든 사업자와 공공기관에 적용된다.

가이드라인에는 먼저 사업자가 개인정보 비식별 조치를 반드시 준수해야 한다는 점을 명시했다.

비식별 조치 절차비식별 조치는 4단계로 나눠 단계별 조치사항을 제시했다.

첫 단계는 사전검토 단계다. 개인정보 해당 여부를 검토해, 개인정보가 아닌 것이 명백한 경우에는 별도 조치없이 자유롭게 활용할 수 있다. 판단기준은 개인정보보호법 등 관련법률에서 규정하는 개념을 활용하면 된다.

두 번째는 비식별 조치 단계다. 가명처리, 총계처리, 데이터 삭제, 범주화, 데이터 마스킹 등 다양한 비식별 기술을 단독 또는 복합적으로 활용해 개인을 식별할 수 있는 요소를 제거해야 한다.

세 번째는 적정성 평가 단계다. 다른 정보와 결합하거나 추론기법을 사용해 개인을 식별할 수 없도록 비식별 조치가 적정하게 이뤄졌는지를 평가단을 통해 객관적으로 평가하도록 했다.

평가단은 개인정보보호책임자가 과반수 이상의 외부전문가를 위촉해 구성, 엄격한 평가를 실시하도록 했다.

적정성 평가과정에는 객관적이고 계량적인 평가수단인 ‘k-익명성’을 활용하도록 했다.

프라이버시 보호 모델 가운데 하나인  ‘k-익명성’을 동일한 값을 가진 레코드를 k개 이상으로 해 특정 개인을 추론하기 어렵게 하는 방법이다. 예를 들어 k값을 5로 정해 비식별 조치했다면 데이터 셋 내에 개인 식별 요소가 없음은 물론이고 최소 5개 이상의 레코드가 동일해 개인식별이 어려워진다.

마지막은 사후관리 단계다. 비식별 정보의 안전한 활용과 오·남용 예방을 위해 이용목적 달성시 파기, 접근권한 관리 및 접근통제, 재식별시 처리 중단, 파기 등 필수적인 관리적·기술적 보호조치를 적용하도록 명시했다.

그리고 비식별 정보를 활용하는 과정에서 정기적인 모니터링과 필수적인 안전조치 등을 통해 재식별 위험을 최소화하도록 했다.

비식별 정보 처리 과정에서 특정 개인을 재식별하게 된 경우 사업자는 즉시 그 정보의 처리를 중단하고 파기조치를 취해야 한다.

비식별정보 보호조치비식별 정보를 재식별해 이용하거나 제3자에 제공한 경우에는 개인정보의 목적 외 이용·제공에 해당돼 개인정보보호법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법), 신용정보의 이용 및 보호에 관한 법률(신용정보법) 위반으로 형사처벌 된다. 이 경우 5년 이하의 징역 또는 5천만원 이하의 벌금이 부과된다. 정보통신망법 적용 사업자는 위반행위 관련 매출액의 3% 이하 과징금 추가 부과도 가능하다.

비식별 정보를 활용해 재식별하고도 즉시 파기 조치하지 않고 보관하고 있는 경우는 정보주체의 동의없는 개인정보 수집에 해당돼 5천만원 이하의 과태료가 부과될 수 있다.

정보통신망법 적용 사업자는 5년 이하 징역 또는 5천만원 이하 벌금형에 처해질 수 있으며 위반행위 관련 매출액의 3% 이하 과징금이 추가 부과될 수 있다.

한편, 정부는 부처별로 전문기관을 지정해 중소기업과 스타트업을 지원할 수 있는 체계도 마련했다.

행정자치부와 방송통신위원회는 한국인터넷진흥원(KISA), 금융위원회는 한국신용정보원과 금융보안원, 미래창조과학부는 한국정보화진흥원, 보건복지부는 사회보장정보원으로 오는 8월부터 운영될 예정이다.

개인정보보호 전담기관인 KISA에는 개인정보 비식별지원센터도 설치한다. 센터는 분야별 전문기관 운영 가이드라인을 마련하고 실태를 점검하는 한편, 평가단 관리와 중소기업·스타트업 지원 등을 수행하게 된다.

정부는 “이번 가이드라인과 법령 통합 해설서 발간에 따라 산업계의 빅데이터 활용이 활성화될 것”이라며  빅데이터 이용에 따른 개인정보 침해 우려도 불식될 것으로 기대했다.

특히 “매년 30% 이상 급성장하고 있는 빅데이터 산업에 새로운 전기가 마련될 것으로 보이며, 고급 데이터 분석가 등 IT 분야 청년 일자리 창출에도 상당한 기여를 할 것으로 기대된다”고 밝혔다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

관련 글

2 댓글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다