“가명정보도 개인정보다. 정보주체의 정보를 가명화했다고 해서 기본적인 권리(개인정보 열람권, 정정권, 파기권 등)이 제한돼서는 안 된다”

올 2월 4일 개인정보보호법(이하 개보법) 일부개정안이 공포, 8월 5일 시행됐다. 데이터 3법 중 하나인 개보법은 가명처리된 개인정보(가명정보)를 정보주체의 동의를 구하지 않고 활용해도 되는 ‘개인정보 활용’에 초점이 맞춰졌다. 그러나 개인정보의 활용에 더 무게중심이 쏠려 개인정보보호 장치가 부족하다는 비판이 나왔다. 특히 이번 개보법 개정안은 정보주체의 기본적인 권리를 제한한다는 주장이 나왔다.

지난 13일 <바이라인네트워크>가 박경신 고려대학교 법학전문대학원 교수를 만나, 개보법 개정안에 대한 자세한 이야기를 들어봤다.

박경신 고려대학교 법학전문대학원 교수

문제삼고 있는 조항이 무엇인가?

개보법 제28조의7(적용범위) 조항이다.

개인정보보호법 내용. 28조의 7에 언급된 조항은 정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지, 개인정보 파기, 영업양도 등에 따른 개인정보의 이전 제한, 개인정보 유출 통지, 개인정보 열람, 정정 삭제, 처리정지, 특례, 이용내역 통지 등이 해당된다. 제28조의2에 따라, 정보처리자가 가명정보를 처리할 경우 정보주체자의 해당 권리가 사라진다.

유럽연합(EU)의 개인정보보호법(GDPR)의 경우 공익적 기록, 과학적 역사적 연구, 통계목적으로 개인정보를 가명화를 할 경우, 정보주체의 열람권, 정정권, 처리거부권을 제한한다. 예를 들어, 과학적 연구 목적인 코로나19 역학조사는 공익적익 목적에서 이뤄지기 때문에 가명정보를 정보주체의 동의없이 활용할 수 있다.

EU가 공익적 목적에 정보주체의 권리를 제한한 이유는 이렇다. 만약 이때 정보주체의 처리거부권이 있을 경우 과학적 연구 등이 불가능해지면서, 사회 전체가 피해를 보기 때문이다.

그러나 우리나라는 공적인 목적이 아니어도 정보주체의 권리가 제한이 되기 때문에 문제가 되는 것이다. 우리 개보법은 가명화만 한다면 정보주체의 파기권, 통지권, 삭제권, 열람권, 정정권, 처리거부권 등이 제한된다. 가명정보를 제3자에게 받았을 경우, 인수합병 등 다른 기업에 넘기는 경우, 유출됐을 때의 통지 등을 받을 수 없게 된 것이다.

아이러니한 것은 개보법 2조 1항에 따르면, “개인정보는 해당 정보만으로 특정 개인을 알아볼 수 없더라도 다른정보와 쉽게 결합해 알아볼 수 있는 정보”라고 정의되어 있다. 여기에 따르면 가명정보도 명백히 개인정보인데 정보주체의 파기권, 통지권 등의 권리를 제한한 것은 위험하다.

이 조항대로라면 어떤 일이 발생할 수 있나?

가장 위험한 것은 개인정보처리자(기업)들이 공적인 목적이 아니어도, 개인정보를 가명화시킬 수 있다는 것이다. 이 경우 정보 주체의 권리가 거부당할 수 있다. 실제로 개인정보처리자들이 가명정보를 법의 취지에 따라 이용되고 있는지 확인할 수 없다.

개보법 제35조 개인정보의 열람에 따라 정보주체는 개인정보처리자가 처리하는 자신의 개인정보에 대한 열람을 요구할 수 있는데, 가명정보를 할 경우 이 권리가 거부당할 수 있다. 예를 들어, 한 정보주체자가 A기업에게 개인정보 열람을 신청한다고 하자. 이때 기업이 이 주체자의 개인정보를 가명화한다면 열람권이 제한된다. 물론 기업이 가명정보를 하기 위해선 법의 취지에 따라야 하지만, 실제로 이를 확인할 방법은 없다.

결국 가명화가 됐다는 이유로 정보주체의 권리가 제한되면, 정보주체 입장에서는 가명정보가 유출되더라도 통지를 받을 수 없는 상황이 생길 수 있다.

또 다른 예로, 가명정보가 유출됐다고 가정하자. 가명화된 정보라고 할지라도, 복구키만 있다면 재식별화가 가능하다. 이동통신사의 경우 사람들의 위치정보, 통신정보 등이 있다. 이를 조합해 어떤 사람이 어느 직장에서 일하는지, 어디서 사는지 유추, 확인할 수 있다. 만약 이 정보가 유출된다고 하면 정보주체의 피해가 클 것이다.

극단적일 수 있지만 실생활에도 타격을 받는 예가 있다. A병원에 약 일주일 입원을 했다고 가장하자. 입원기록을 요청했으나, 병원에서 환자의 정보를 가명화해서 보관했다는 이유로 이를 보여주지 않을 수 있다. 개보법 개정안에 따라 위법이 아니다. 또 이 병원이 해킹 당해서 가명정보가 유출되어도 이를 환자들에게 통지하지 않아도 되는 문제가 발생한다.

가명처리가 원래 개인정보보호 강화를 위해 만들어진 것임에도 불구하고, 이번 개보법 개정안으로 정보주체의 권리가 제한되면서, 시민단체를 비롯한 소비자들이 가명처리를 반대하고 있다.

해결 방법이 있다면?

이 문제를 풀기 위한 방법은 오직 개보법 28조의7 조항을 개정하는 것이다. 개보법 개정안의 취지가 GDPR을 벤치마킹해 개인정보보호를 비슷한 수준으로 만드는 것이었다.

따라서 이 조항을 “가명정보는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 이용할 때 제20조, 제21조, 제27조, 제34조1항, 제35조부터 제37조까지, 제39조의3, 제39조의4, 제39조의6부터 제39조의8까지의 규정을 적용하지 아니한다”로 바꿔야 한다.

이 경우 개인정보 처리자들이 공적인 목적이 아니어도 가명처리를 하는 위험을 피할 수 있다. 결과적으로 개인정보 가명처리를 자유롭게하고, 보안과 활용 측면에서도 바람직한 결과를 가져올 수 있다.

글. 바이라인네트워크
<홍하나 기자>0626hhn@byline.network

--------------------------------------------------
[무료 웨비나 안내] 팬데믹 시대, 중소기업 비대면 업무 혁신 솔루션
  • 일시 : 2020년 10월 28일 14시~15시
등록하러 가기
--------------------------------------------------
[스페셜리포트] 새롭게 부상하는 웹 애플리케이션 위협
  • 아카마이 악성 스크립트 차단 솔루션 리포트
다운로하러 가기