개인정보 안전한 활용, 사회적 합의 가능할까..논란 중간정리

– ‘가명정보’ 활용 합의, ‘데이터결합’은 이견…개인정보 비식별조치 적정수준 평가 추진

개인정보 ‘보호’와 ‘활용’이라는 상충되는 이슈가 좀처럼 해결되지 않고 있다.

강력한 개인정보보호 관련 법규제로 데이터를 활용하지 못하는 산업계에서는 몇 년 전부터 걸림돌을 해소해 달라는 요구가 빗발쳤다. 하지만 무작정 풀어줄 수도 없는 상황이다.

이에 따라 정부는 전문가들과 함께 논의하고 공청회를 갖고 손 본 끝에 지난 2016년 관계부처 합동으로 ‘개인정보 비식별조치 가이드라인’을 내놨다. 개인 식별요소를 제거해 알아볼 수 없도록(비식별) 조치해 개인정보의 안전성을 높여 정보주체(본인)의 동의 없이도 빅데이터 분석 등에 활용할 수 있도록 하자는 취지다.

이 가이드라인이 그 해 7월부터 시행되면서 개인정보를 안전하게 활용할 수 있는 물꼬가 트였나 싶었지만 그렇지 못했다.

시민단체들은 비식별 조치된 개인정보도 재식별할 수 있는 가능성이 충분하고 비식별 조치된 정보에 대한 투명성이 확보돼 있지 않다는 등 여러 문제점을 지적해 왔다.

산업계 입장에서도 가이드라인은 법적 근거와 구속력이 없는 상황에서는 맘 놓고 활용하기에 부담과 불안감이 있었다. 더욱이 비식별 조치기준이 너무 높아 비식별 처리된 정보는 데이터 활용도와 유용성이 떨어진다고 주장하고 있다.

그 와중에 지난해 11월 참여연대, 진보네트워크센터 등 11개 시민단체는 개인정보 결합물을 만들어 제공했다는 이유로 한국인터넷진흥원(KISA) 등 개인정보 비식별조치 전문기관을, 또 이 기관에 개인정보를 넘겨준 보험사와 카드사, 통신사 등 20개 기업을 서울지방검찰청에 고발했다.

대상 기업들은 ‘개인정보비식별조치 가이드라인’에 따라 정보집합물 결합서비스를 제공해왔다.

시민단체들은 “기업이 보유한 고객의 정보를 무단으로 제공하고 처리하도록 한 것은 개인정보보호법과 정보통신망법, 신용정보보호법을 위반한 것”이라고 주장했다.

비식별 정보의 활용성과 안전성에 대한 갈등과 논란이 지속되고 있는 상황이다. 개인정보를 안전하면서도 효율적으로 활용할 수 있도록 균형점을 찾기 위해 개인정보 보호와 활용 관련 법제도 개선과 더불어 적절한 기술 수준과 방법에 대한 합의점 도출이 필요한 상황이다.

그동안 좀처럼 해결책이 보이지 않는 상황에서 대통령 직속 4차산업혁명위원회가 적극 나섰다. 관계부처, 시민단체 등과 머리를 맞대고 제도 개선을 적극 추진하고 있다.

4차산업혁명위원회는 민간과 정부가 함께 참여하는 규제·제도혁신 해커톤에서 이 의제를 적극 다루고 있다. 지난 2월 열린 2차 규제·제도혁신 해커톤에서 논의한 데 이어 지난 3~4일 열린 3차 해커톤에서도 데이터 활용과 개인정보보호의 조화를 의제로 다뤘다.

해커톤에는 과학기술정보통신부, 행정안전부, 방송통신위원회, 개인정보보호위원회, 금융위원회, 한국인터넷진흥원은 정부·공공기관은 물론 진보네트워크, 정보인권연구소, 진보넷, 참여연대 등 시민단체와 법조계, 산업계 관계자들이 참여하고 있다.

국회 역시 여야 의원 18명이 참여하고 있는 4차산업혁명 특위에서 정부부처와 전문가, 시민단체 의견을 수렴하면서 법안 마련을 추진하는 상황이다.

대통령 직속 4차산업혁명위원회는 민간과 정부가 함께 참여하는 규제·제도혁신 해커톤에서 개인정보 보호와 활용을 주요 의제로 삼아 논의를 이어가고 있다. 사진은 ‘데이터 활용과 개인정보보호의 조화’를 의제로 진행된 3차 해커톤 참석자들. <출처 : 4차산업혁명위원회>

개인정보 개념 구분…‘가명정보’ 상업목적 통계·연구 활용 가능

4차산업혁명위원회는 지난 2월 2차 해커톤을 진행한 결과, 개인정보와 관련된 법적 개념체계를 개인정보, 가명정보, 익명정보로 구분해 정비하기로 했다고 밝혔다. 익명정보는 개인정보보호법 적용대상에서 제외하는데 합의해 개인정보와 구분했다.

익명정보의 정의를 법에 명시하는 대신 EU GDPR 전문(26)을 참조해 ‘개인정보’의 개념을 보완하기로 논의했다. 가명정보의 정의와 활용에 관한 법적근거도 마련하기로 했다.

지난 3~4일 진행된 3차 해커톤에서는 가명정보 활용 목적과 범위, 익명정보의 사용, 데이터 결합, 개인정보보호 체계 등에 대한 추가 논의가 진행됐다.

그 결과, 가명정보는 ▲공익을 위한 기록 보존의 목적 ▲학술 연구 목적 ▲통계 목적을 위해 당초 수집 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다고 합의했다. 학술 연구 목적에는 산업적 연구 목적, 통계 목적에는 상업적 목적이 포함될 수 있다.

이를 위해서는 가명처리를 포함한 기술적, 관리적 조치 등 안전조치가 취해져야 한다.

정부는 유럽연합 일반개인정보보호법(EU GDPR) 등 해외 입법례를 참조해 가명처리 여부 등 여러 사정을 고려, 개인정보를 당초 수집한 목적과 상충되지 않는 목적으로 활용할 수 있도록 하는 제도를 마련키로 했다.

익명처리와 관련해 정부는 적정성을 평가하기 위한 절차와 기준을 마련할 수 있고, 그 절차와 기준은 기술적 중립성에 입각해 강제적인 것이거나 최종적인 것으로 해석돼서는 안된다는 것도 이날 합의된 사항이다.

정부는 적정성 평가를 위해 신뢰할 수 있는 제3의 기관(Trusted Third Party, TTP)이나 전문가를 활용하는 제도적 장치를 마련할 수 있다. 신뢰할 수 있는 제3의 기관현행 비식별조치 가이드라인 하의 전문기관을 지칭하는 것은 아니다.

데이터 결합 방안, 시민단체·산업계 간극

데이터 결합(가명정보 결합)과 관련한 구체적인 방안 논의는 시민단체와 산업계의 의견이 달라 합의가 불발됐다.

시민단체는 현행 개인정보보호체계에서 민간기업이 보유한 개인정보 연계와 결합은 허용될 수 없다는 입장이다. 세계적으로 민간 부문이 보유하고 있는 개인정보의 연계를 위한 제도를 갖추고 있는 경우는 거의 없고, 대부분의 국가에서 행정 데이터 및 설문조사 데이터에 대한 연계를 보건의료 분야의 전문기관, 혹은 국가 통계청에 의해 제한적으로 수행하고 있다는 점을 이유로 들었다.

시민단체 측은 “통계청 혹은 관련 전문기관이, 개인정보 침해 위험에 비해 공익적 가치가 큰 연구 및 통계목적에 한해 공공기관이 보유한 데이터의 연계, 결합을 관련 법률 및 UN 원칙에서 규정한 엄격한 거버넌스 체제 하에서 수행할 수 있다”라며 “개인정보처리자가 정보주체의 동의를 획득한 경우, 혹은 익명정보 사이의 결합은 가능하다”는 의견을 냈다.

산업계에서는 새로운 가치를 창출하기 위해 데이터 결합 제도를 도입해야 한다는 입장이다. 인가받은 TTP를 통해 데이터 결합을 수행하거나 엄격한 안전조치 하에 자체적으로 수행토록 하면 된다는 의견을 냈다.

TTP에 법적 지위를 부여해 TTP에 데이터를 제공하는 것은 데이터의 제3자 제공이 아님을 명확히 해달라는 요청이다.

산업계는 TTP의 역할과 기능, 권한에 대해 결합 키와 가명정보를 다룰 수 있고 데이터 결합과 결합된 데이터의 가명처리와 가명처리의 적정성 평가 역할을 수행할 수 있는 기관으로 정의했다. 또 TTP에 대한 정부의 상시감독제도를 도입해 결합과정에서 관리적 투명성을 확보할 수 있다는 의견이다.

아울러 TTP에서 결합된 데이터는 가명처리 및 가명처리의 적정성 평가를 거쳐야만 결합을 요청한 정보처리자에게 제공될 수 있도록 하는 방안도 제시했다. 이를 위해 결합된 데이터 안전조치를 취하고, 그 관리절차를 마련해 운영토록 해야 한다는 점과 결합 데이터는 기존 고객정보 시스템과 분리 보관하고 접근권한을 별도로 부여해야 한다는 점을 강조했다. 결합 데이터에 대해서는 어떤 형태로도 재식별 행위를 해서는 안되며, 당초 결합목적 내에서만 활용 가능하고, 활용 목적 달성 시 폐기해야 한다고 지적했다.

4차산업혁명위원회는 “데이터 결합은 사회적 후생을 증진하는 중요한 역할을 할 수 있으나 그 과정에서 발생할 수 있는 개인정보 침해의 위험성도 간과돼서는 안된다”는 것과 “정부가 데이터 결합의 법적 구성방식들을 구체화하고 개인정보 침해 위험에 비례해 사전적 또는 사후적 통제방안을 마련하도록 노력해야 한다”는 점에선 합의가 이뤄졌다고 밝혔다.

KISA, 콘테스트 개최…비식별 정보 안전성·유용성 평가, 재식별화 막을 방안 도출

KISA는 비식별조치된 개인정보의 안전한 활용에 대한 사회적 합의를 이끌어내는데 기여할 수 있도록 ‘개인정보 비식별 콘테스트’ 개최를 추진하고 있다.

개인정보 보호와 활용 사이의 적정한 기술수준을 도출하고 비식별조치 신기술 개발과 저변을 확산하기 위한 목적이다. 경연을 통해 개인정보 원본 데이터를 얼마나 안전하게 비식별화할 수 있는지, 유용성은 어느 정도 되는지 확인하는 동시에 비식별조치된 정보의 재식별화를 막을 수 있는 방안도 연구하겠다는 방침이다.

KISA는 일본에서 열리는 ‘PWS 컵(Cup)’ 대회를 벤치마킹해 국내 기업·대학이 참여할 수 있도록 데이터셋을 확보하고 운영프로그램을 개발할 계획이다.

김호성 KISA 개인정보보호본부 단장은 “오는 5월 콘테스트 설명회를 개최해 상반기 안에 대회 규칙 등을 마련하고 참가팀을 모집해 예선 대회를 거쳐 올해 말 본선대회 개최를 추진할 것”이라고 말했다.

김 단장은 “장기적으로 개인정보를 보호하고 안전하게 활용하려면 사회적 합의를 통해 각 분야별로 명확한 책임과 원칙을 부과할 수 있는 생태계가 필요하다”라면서 “유럽을 중심으로 개인 주도 정보유통시스템(PDS) 전환 논의가 본격화되고 있는데, KISA도 현재 관련연구를 진행하고 있다”고 말했다.

PDS는 정보주체가 자신의 정보 처리를 통제하는 개념을 적용해 일종의 개인정보은행인 PDS에 있는 개인정보를 의료, 금융, 교육 등 각 분야 사업자에 필요한 정보만 뽑아서 주는 방식이다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network