가명처리 등 비식별 조치 명시화…비식별화 솔루션 수요 확대

[아이티데일리] 지난 1월 국회에서 데이터 3법이 통과됨에 따라 데이터 산업이 활성화될 것으로 기대되고 있다. 특히 비식별 조치가 된 개인정보를 산업적 통계 등 연구 목적으로 명시적 동의 없이 활용할 수 있게 되면서 데이터의 활용도가 높아질 것이 확실시된다. 또한 비식별 조치 중 가명정보가 명시됨으로써 활용되는 데이터의 품질도 크게 향상될 것으로 보인다.

데이터 3법에서 주목해야 할 점은 개인의 명시적 동의 없이 연구 목적으로 사용하기 위해서는 비식별 조치가 이뤄져야 한다는 것이다. 이런 이유로 비식별화 시장 역시 급성장할 것으로 기대된다. 오는 8월 데이터 3법이 시행되면, 국내에서도 데이터 활용을 위한 비식별 조치가 활성화될 것이라는 전망이다. 데이터 3법으로 인한 개인정보 비식별화 시장에 대해 전망해본다.


데이터 활용 위한 비식별 조치 법제화

지난 1월 데이터 업계의 숙원이었던 데이터 3법(개인정보보호법 개정안, 신용정보법 개정안, 방송통신망법 개정안)이 국회에서 통과됐다. 데이터 3법 개정안에서는 데이터 활용을 위한 가명정보 개념 도입, 비식별 조치 후 산업적 통계 등 연구 목적 활용, 개인정보보호위원회 격상 등이 법제화됐다.

사실 국내에서 데이터 활용을 위한 움직임은 2016년에도 있었다. 2016년 6월 국무조정실, 행정자치부(現 행정안전부), 방송통신위원회, 금융위원회, 미래창조과학부(現 과학기술정보통신부), 보건복지부 등 관계부처가 합동으로 당시 개인정보보호 법령 내에서 빅데이터를 안전하게 활용할 수 있도록 비식별 조치 기준, 활용범위 등을 포함한 ‘개인정보 비식별 조치 가이드라인’을 만든 바 있다.

▲ 2016년 ‘개인정보 비식별 조치 가이드라인’에서 정립된 비식별 조치 및 사후관리 절차(출처: 행정안전부)

이 가이드라인을 기반으로 개인정보를 활용하려는 움직임도 나타났다. 실제로 2017년 수십 건의 데이터 결합이 이종 기업 간 발생하는 성과도 있었다. 하지만 이런 개인정보를 활용하려는 이러한 움직임은 참여연대를 비롯한 12개 시민단체가 데이터 사업을 시작한 한국인터넷진흥원(KISA) 등 4개 기관과 현대자동차, SK텔레콤, 삼성생명 등 기업 20곳을 개인정보보호법 위반 혐의로 검찰에 고발하면서 활성화되지 못했다. 당시 검찰 고발 건은 무혐의로 결론 났지만, 기업들의 움직임은 소극적으로 변할 수밖에 없었다.

업계 관계자들은 ‘가이드라인’ 수준에 그쳤던 것이 문제였다고 지적한다. 법제화된 것이 아닌 ‘가이드라인’이었기 때문에 한계가 있었다는 것이다. 윤덕상 파수닷컴 전략사업본부장은 “데이터 3법이 개정되기 이전에는 데이터 활용이 사실상 불가능했다. 그나마 돌파구를 찾아보고자 시도한 것이 가이드라인이었다. 고발 건에 대해서는 무혐의 처분이 났지만, 그럼에도 기업들이 소극적으로 변한 것은 불필요한 이슈를 만들지 않기 위한 것으로 보인다”고 설명했다.

이런 관점에서 이번 데이터 3법 개정안 통과는 의미가 깊다. 가이드라인의 한계를 해결함으로써 데이터 활용의 기반을 마련했다는 평가다. 다만 본격적인 데이터 활용은 시행령 및 가이드라인 등 구체적인 제도가 마련돼야 가능할 것이라는 전망이다.

박세경 펜타시스템테크놀로지 CTO는 “이번 데이터 3법 개정안의 통과는 데이터를 활용할 수 있는 법제적 기반을 마련하고, 개인정보보호위원회를 전담기구로 격상하는 등 긍정적인 평가도 있지만, 가명정보와 익명정보에 대한 해석이 각기 다른 만큼 시행령과 가이드라인에서 정확히 규정할 필요성이 있다”고 강조했다.


‘가명정보’ 명시…활용되는 데이터 품질 높인다

이번 데이터 3법의 주요 내용 중 하나는 역시 ‘가명정보’의 개념을 도입하고 이를 명시화했다는 것이다. 이전에는 익명정보의 개념만 도입했기 때문에, 데이터 활용 측면에서 의미 있는 결과를 도출하기 어려웠다. 하지만 이번 데이터 3법에 가명정보 개념이 도입됨에 따라 데이터 품질이 높아질 것으로 기대되고 있다.

그렇다면 개인정보, 가명정보, 익명정보의 차이는 무엇일까. 먼저 개인정보는 살아있는 개인에 관한 정보로, ▲성명·주민등록번호·영상 등을 통해 개인을 알아볼 수 있는 정보 ▲해당 정보만으로 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합해 알아볼 수 있는 정보 등을 포함한다. 더불어 이번 개정안에서는 ▲개인정보를 가명처리함으로써 원래의 상태로 복원하기 위한 추가정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보(가명정보)도 개인정보의 정의에 포함됐다.

가명정보는 개인정보의 일부를 삭제하거나, 일부 또는 전부를 대체하는 등의 방법으로 추가정보 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 의미한다. 신용정보법 개정안에서는 ‘가명처리’를 추가정보를 사용하지 않고는 특정 개인인 신용정보주체를 알아볼 수 없도록 개인신용정보를 처리하는 것을 의미한다고 명시돼 있다.

익명정보는 특정 개인인 신용정보주체를 알아볼 수 없도록 개인신용정보를 처리하는 것을 의미한다. 익명정보는 추가적인 정보와 결합해도 재식별이 불가능한 정보로, 개인정보보호법의 적용을 받지 않는다.

즉 개인정보는 성명, 주민등록번호 등 개인을 식별할 수 있는 정보며, 가명정보는 개인정보의 일부를 삭제하거나 대체하는 등의 조치로 추가정보 없이는 식별할 수 없도록 처리하는 것을 의미한다. 익명정보는 가명정보에서 더 나아가 추가정보와 결합하더라도 식별이 불가능하도록 처리한 것이다.

예를 들어 서울시 금천구 가산디지털1로 181에 살고 IT기업 과장인 34세 남성 이정혁이 있다고 가정해보자. 이를 가명처리하면 서울시 금천구에 살고 IT업계 종사자인 30대 중반 조철강이 돼 이정혁이라는 특정 개인을 식별할 수 없게 된다. 더불어 익명처리까지 한다면 서울시 금천구에 거주 중인 30대 직장인 남성으로 치환할 수 있다.

▲ 개인정보, 가명정보, 익명정보 예시

앞서 말했듯이 익명정보는 추가 정보와 결합하더라도 개인을 식별할 수 없는 정보이기 때문에 개인정보보호법 개정안 제58조 2에 따라 법의 적용을 받지 않는다. 익명정보는 개인정보가 아니기 때문에 더 자유로운 활용이 가능하다는 것이다. 하지만 익명정보를 활용할 경우 재식별 가능성에 대한 철저한 검증이 필요하다는 지적이다.

가명정보는 개인정보보호법에 따라 개인정보의 일종으로 취급되기 때문에 개인정보보호법을 준수해야 한다.

이번 개정안을 통해 개인정보처리자는 통계작성 및 과학적 연구, 공익적 기록보존 등의 목적 내에서만 정보 주체의 동의 없이 가명정보를 처리할 수 있게 됐다. 또한 이런 목적을 위해 서로 다른 개인정보처리자 간의 가명정보를 결합할 땐 개인정보보호위원회 또는 전문기관에 의뢰해야 한다. 개인정보처리자는 가명정보를 처리할 때 원래 상태로 복원하기 위한 추가정보를 별도로 분리해 관리해야 하며, 관련 법령에 따른 보호조치를 적용하지 않는다면 처벌받을 수도 있다.

이번 개정안에 따르면 적절하게 가명정보를 처리하지 않았을 경우에는 전체 매출액의 3% 이하 또는 4억 원의 과징금, 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처해질 수 있다.

윤덕상 파수닷컴 본부장은 “이번 데이터 3법 개정의 핵심 내용 중 하나는 수집 동의를 받지 않아도 통계작성 및 과학적 연구, 공익적 기록보존 등의 목적으로 활용이 가능하다는 점이다. 하지만 무조건 활용이 가능한 것은 아니며, 가명처리 등 비식별 처리가 필요하다. 이에 데이터를 분석하는 기업들의 비식별화 솔루션 수요가 급증할 것이라고 생각된다”고 설명했다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지