가명정보 재식별화, “가능해야”vs“글쎄”

개인정보를 알아볼 수 없도록 처리한 가명정보를 두고, 정보의 주인인 정보주체의 권리가 침해당할 수 있다는 의견과 그렇지 않다는 의견이 충돌하고 있다.

개인정보보호법 개정안이 지난 8월 시행됐다. 유럽의 GDPR처럼 통계작성, 과학적 연구, 공익적 기록보존 등 공공의 이익을 위해 ‘가명처리’라는 안전조치를 취하면 정보주체에게 일일이 동의를 받지 않아도 개인정보를 활용할 수 있다. 이때 정보주체는 가명정보에 대한 열람권, 정정·삭제권, 처리거부 등을 행사할 수 없다. 관련 법에 따라 가명정보를 재식별화하는 것이 금지됐기 때문이다.

일각에서는 정보주체의 권리를 보장하지 않는다며 문제를 제기했다. 반면, 재식별화가 될 경우 오히려 정보주체의 권리에 문제가 생길 수 있다는 반대 의견도 나온다.

“정보주체 권리 보장되지 않는다”

가명정보에 속한 특정 개인을 식별하는 것을 ‘재식별화’라고 한다. 현행 개인정보보호법 제28조5에 따라, 가명정보 처리 시 “특정 개인을 알아보기 위한 목적으로 가명정보를 처리해서는 안 된다”고 규정되어 있다. 가명정보의 재식별화를 금지한 것이다.

이를 두고 일각에서는 “가명처리를 할 경우 정보주체의 개인정보 열람권, 정정 삭제권, 처리거부권이 보장되지 않는다”는 비판의 목소리가 나온다. 정보주체가 자신의 정보를 스스로 열람하고 정정, 삭제하는 것은 개인의 당연한 권리이며, 가명화된 정보라고 해도 정보주체의 동의없이 이용될 때 이를 거부할 수 있어야 한다는 주장이다.

박경신 고려대 교수는 “우리나라는 통계작성, 과학적 연구, 공익적 기록보존의 목적 외에도 가명화만 하면 정보주체의 열람권, 삭제권, 정정권, 처리거부권이 제한되도록 했다”며 “공익적인 목적이 없어도 가명화를 했다는 이유만으로 정보주체의 권한이 제한될 수 있는 문제가 발생한다”고 지적했다.

이를 악용한 사례가 속출할 수 있다고 우려했다. 예를 들어, 악의를 품은 정보처리자가 사용자의 개인정보를 가명화해서 보관했다고 가정하자. 문제는 이 정보처리자는 현행 법에 따라 가명화를 했다는 이유만으로 정보주체의 열람권, 삭제권 등을 거부할 수 있다.

실제로 정보주체가 정보처리자에게 자신의 개인정보를 가명처리했는지 열람을 요구한 사례가 있으나, 현행 법에 따라 열람을 거부한 사례가 소개됐다. 가명정보 처리에 대한 열람을 구한 것이 아니라, 가명처리에 대한 열람을 구한 것이었음에도 이를 거부한 사례다.

김선휴 법무법인 이공 변호사는 “가명정보 처리에 대한 특례규정들은 가명처리에 대한 정보주체의 권리까지 출소, 배제하는 방향으로 해석, 운용되고 있다”고 비판했다.

아울러, 박경신 교수는 “재식별화를 금지하면 가명화를 할 이유가 없다”며 “재식별화를 영영 하지 않으면 익명화를 하면 된다”고 주장했다.

“가명정보 재식별화, 오히려 문제 생길 것”

반면, 가명정보를 재식별화하는 것이 정보보호 측면에서 위험할 수 있다는 반대의견이 나왔다.

최경진 가천대 교수는 “가명정보를 처리하는 것 자체가 가급적 안전하게 제한된 목적으로 개인정보를 처리하자는 취지”라며 “재식별이 허용되는 경우는 수사증거 목적, 법원명령 등 몇 가지 사항으로 제한됐다”고 설명했다.

오히려 가명정보의 재식별이 허용될 경우 개인정보 유출 등의 문제가 발생할 수 있다. 최 교수는 “현행 법에서 개인정보의 로우(Raw) 데이터를 가급적 삭제하도록 하고 있는데, 가명정보를 재식별화하기 위해서는 로우 데이터를 가지고 있어야 한다”며 “이 경우 정보주체를 보호하기 위한 취지와 멀어진다”고 반박했다.

최 교수는 가명정보 재식별화를 통한 정보주체의 권리를 보호하는 것이 ▲어떤 실익이 있는지 ▲어떤 측면에서 정보 주체의 권리가 보장되는지 의문을 제기했다.

오병일 진보네트워크센터 대표는 “가명화는 안전조치의 하나일 뿐 의무사항이 아니며, 오히려 가능하다면 익명처리를 하도록 하고 있다”고 밝혔다.