최근에 이른바 데이터3법이라고 불리는 법률 개정안 3개가 국회에서 처리되었다. 데이터3법은 ‘개인정보 보호법’, ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’(정보통신망법), ‘신용 정보의 이용 및 보호에 관한 법률’(신용정보법)을 말한다. 이들 3개의 법률의 공통점은 모두 개인정보의 보호를 다룬다는 점이다. 데이터3법은 한때는 각 법률의 명칭이나 약칭(정보통신망법을 망법이라고도 부른다) 첫 글자들을 모아 ‘개망신’법으로 부르기도 했다. 그런데 어느 때부터 ‘개망신’법을 데이터3법으로 고쳐 부르기 시작했다. 그 말의 어감이 좋지 않다는 점도 있었지만 의도하는 바를 숨기기에 적합했기 때문이기도 하다. 그 중심에 개인정보의 동의 없는 활용이 자리하고 있다. 개인정보 보호라는 강력한 틀 속에 있던 개인정보를 각각의 개인정보 주체로부터 별도의 동의 없이 활용할 수 있는 길을 열어 두겠다는 것이다.

신산업 육성 위해 데이터 이용 필요

이러한 의도는 데이터3법 중에서 가장 중심이 되는 개인정보 보호법의 개정 이유 설명에서 잘 드러난다. 개인정보 보호법 개정안에 제시된 개정 이유로는 “4차 산업혁명 시대를 맞아 핵심 자원인 데이터의 이용 활성화를 통한 신산업 육성이 범국가적 과제로 대두되고 있고, 특히, 신산업 육성을 위해서는 인공지능, 클라우드, 사물인터넷 등 신기술을 활용한 데이터 이용이 필요한 바, 안전한 데이터 이용을 위한 사회적 규범 정립이 시급한 상황임”을 말하고 있다. 개인정보에 대한 언급은 전혀 없는 상태이다. 단지 신산업 육성을 위해 데이터 이용이 필요하다는 주장이다. 그러면서 “현행법상 개인정보 보호 감독기능은 행정안전부ㆍ방송통신위원회ㆍ개인정보보호위원회 등으로, 개인정보 보호 관련 법령은 이 법과 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 등으로 각각 분산되어 있어 신산업 육성을 위한 데이터 이용 활성화를 지원하는 데 한계가 있어 왔음”을 언급하고 있다. 개인정보 보호 감독기능을 언급하면서 데이터 관련 법률 들이 3개로 분산되어 있어 데이터 이용을 지원하는데 한계가 있다고 한 것이다. 즉 개정안 이유에서 언급하는 데이터가 곧 개인정보임을 암시하는 정도로 말하고 있는 것이다.

끝으로 “이에 따라, 정보주체의 동의 없이 과학적 연구, 통계작성, 공익적 기록보존 등의 목적으로 가명정보를 이용할 수 있는 근거를 마련하되, 개인정보처리자의 책임성 강화 등 개인정보를 안전하게 보호하기 위한 제도적 장치를 마련하는 한편, 개인정보의 오용ㆍ남용 및 유출 등을 감독할 감독기구는 개인정보 보호위원회로, 관련 법률의 유사ㆍ중복 규정은 이 법으로 일원화함으로써 개인정보의 보호와 관련 산업의 발전이 조화될 수 있도록 개인정보 보호 관련 법령을 체계적으로 정비하려는 것임”이라는 주장을 내세우고 있다. 즉 데이터를 내세우고 있지만 데이터라는 표현의 직접적인 의미는 개인정보임을 분명하게 하고 있는 것이다. 결국 개정안의 핵심은 데이터 산업 발전이라는 명목을 내세우면서 실상은 정보주체의 동의 없이 가명정보 즉 개인정보를 사업자 등이 이용할 수 있는 근거를 마련하는데 있었던 것이다. 법률안 개정 과정에서도 정보주체의 동의 없는 개인정보의 이러한 활용에는 문제가 있음이 제시된 바 있다. 주요 내용으로는 “가명정보 활용 범위를 ‘통계작성, 연구, 공익적 기록보존(이 경우, 통계작성에는 시장조사 등 상업적 목적의 통계작성을 포함하며, 연구에는 산업적 연구를 포함한다)’로 명시적으로 규정할 필요가 있다”는 의견이 제시되었다. 또한 “정보주체의 동의 없이 특정 목적 하에서 가명정보를 활용하게 되는 경우 정보주체의 권리가 침해될 가능성이 높으므로, 개인정보의 보호와 활용이 조화되도록 할 필요가 있다” 의견도 있었다. 이러한 의견의 핵심은 정보주체의 권리 침해 즉 각 개인이 모르는 상황에서 자기의 개인정보가 임의로 활용될 수 있다는 점이고, 활용을 하더라도 법에서 명확하게 그 활용의 한도를 설정해야 한다는 것이다. 이 같은 의견은 소수의견으로 처리되어 반영이 되지 않았다. 그러나 이러한 의견들은 각 개인에게 미치는 영향을 살펴볼 때 매우 중요한 문제이기도 하다.

개인 동의 없이 개인정보 활용

다만 그 과정이 어찌 되었던 개인정보의 활용을 주장했던 기업들의 희망대로 데이터3법 개정안이 처리되어 개인의 동의 없이 개인정보가 활용될 수 있는 환경이 마련되었다. 그러나 여전히 그 활용 방법이나 범위 등이 불분명한 상태임은 명확한 사실이다. 이러한 관점에서 개인정보를 활용하는 기업이나 자신이 제공한 개인정보가 동의 없이 활용되는 각 개인들의 입장에서 개정된 개인정보의 개념에 대하여 분명하게 인식할 필요가 있다고 하겠다. 데이터3법 중 핵심인 개정된 개인정보 보호법에서는 개인정보의 개념을 2개의 개념 즉 개인정보와 가명정보로 분화하였고 여기에 익명정보라는 개념을 추가하였다. 즉 개인정보라는 하나의 관점에서 가명정보, 익명정보라는 개념 용어가 새롭게 등장하게 된 것이다. 먼저 각각의 개념을 살펴보면 <표 1>과 같다.

먼저 새롭게 등장한 가명정보는 기존의 개인정보를 가명처리를 통해 얻어낸 정보이다. 가명처리란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말한다. 가명정보 또한 큰 범주에서는 개인정보에 속한다. 차이점은 추가의 정보를 사용하거나 결합하여 특정 개인을 알아 볼 수 있다는 점이다. 예를 들어 ‘이름, 주민등록번호, 주소’로 이뤄진 정보는 그 자체만으로 누구나 특정 개인을 특정할 수 있다. 또한 <표2>에서와 같이 ‘남자, 50세, 서울 종로구, 은행임원, 독도대학졸업’ 등으로 구성된 개인정보의 경우 몇 가지 추가 정보를 결합하면 개인을 특정할 수 있다. 이 경우에 있어서는 은행의 기업 공시자료나 공개되는 인물 정보 등의 자료와 비교해 보면 쉽게 누구인지를 알 수 있게 된다. 이 같은 형태의 정보도 개인정보의 전형적인 형태가 된다. 법에서는 이러한 정보에 대하여 “해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다”라고 정의하고 있다. 향후 쉽게 알아 볼 수 있느냐 없느냐의 기준을 어떻게 판단할 것인가는 논쟁거리가 될 전망이다.

개인^가명^익명정보 구분 어려워

가명정보는 ‘남자, 50대, 종로구, 은행간부, 대학졸업’과 같은 형태의 정보를 말한다. 여기에서 언급된 정보만으로는 정보의 대상이 누구인지 특정하기가 매우 어렵다. 이러한 정보에 해당하는 개인이 다수이기 때문이다. 추가 정보의 제공이나 다른 정보를 사용하지 않고서는 특정 개인을 알아 볼 수 있는 정보이기 때문이다. 익명정보에 대하여는 개인정보 보호법에서 별도의 정의를 내리지는 않고 있다. 다만 개인정보(익명정보를 포함하는 개념)가 아닌 경우를 말한다고 보아야 할 것이다. 예를 들어 ‘남자, 50대, 은행인’와 같은 정보의 경우는 대체적으로 다른 상당한 정보를 결합하더라도 개인을 특정하기가 매우 어렵다. 이 같은 형태의 정보를 익명정보라고 한다. 개인정보 보호법에서 익명정보에 대하여는 별도의 정의를 하고 있지 않지만 익명처리라는 용어를 도입하여 그 개념을 간접적으로 유추할 수 있는 상태이다. 아직까지는 개인정보, 가명정보, 익명정보를 명확하게 구분하기 곤란한 상태이다. 이는 그 개념간의 경계가 다소 모호하고 추가 정보의 사용이나 결합의 정도를 어떻게 판단할 것인가에 대한 객관적 기준의 제시도 어렵기 때문이기도 하다. 또한 개인정보를 다루는 환경이 매우 다양하다는 측면도 더욱 어렵게 하는 원인이 되고 있다.

이번 개인정보 보호법에서 가장 모호한 부분은 이와 관련하여 개정된 개인정보 보호 원칙이다. 개정된 원칙은 “개인정보처리자는 개인정보를 익명 또는 가명으로 처리하여도 개인정보 수집목적을 달성할 수 있는 경우 익명처리가 가능한 경우에는 익명에 의하여, 익명처리로 목적을 달성할 수 없는 경우에는 가명에 의하여 처리될 수 있도록 하여야 한다”라고 되어 있다. 개인정보의 수집 단계에서 가명처리나 익명처리를 하도록 하는 것인지 아니면 가명처리, 익명처리가 개인정보가 수집된 이후 인지가 불분명하기 때문이다. 앞으로 이러한 논란은 시행령, 각종 고시가 나오는 단계에서 보다 세밀하게 다듬어질 것으로 보인다. 이번 개인정보 보호법의 개정은 기업에게는 개인정보를 활용할 수 있는 길을 열어 준 것이다. 물론 과학적 연구, 통계작성, 공익적 기록보존 등의 목적이라는 단서가 있지만 그동안 개인정보 활용이 사실상 거의 불가능했다는 데서는 크게 진일보한 것임에는 틀림이 없을 것이다. 개인정보를 제공하는 각 개인들의 입장에서는 이번 법 개정으로 자신의 동의 없이 기업들이 개인정보를 남용할 여지가 있다는 우려를 제기할 수밖에 없을 것이다. 이러한 상황에서 디지털 사회의 건전한 발전을 위해 정보주체인 개인은 물론 기업 또한 개인정보, 가명정보, 익명정보에 대한 올바른 이해를 바탕으로 모두에게 도움이 될 수 있는 현명한 지혜의 발현이 요구된다고 하겠다.

● 한호현 (테크칼럼니스트·공학박사) - 한호현은 정보통신분야 공학박사로 국회 4차산업혁명특별위원회 위원, 금융위원회 금융발전심의회 위원 등 다수의 기관에서 전문가로 활동하고 있다. 또한 정보통신산업진흥원 총괄본부장을 역임하였으며, 정보통신부, 현대정보기술 등 공공, 기업 등 다양한 분야에서 정보통신 관련 다양한 실무 경험도 갖고 있다.