[기고] 개인정보 비식별 조치의 과제
2017.04.11 오후 4:17
고학수 서울대학교 법학전문대학원 교수·개인정보보호 포럼 위원
데이터 중심 경제(data-driven economy)의 시대가 막을 올렸다.

우리의 일상이 데이터화되면서 데이터를 수집·분석·활용할 수 있는 가능성이 늘고 있다. 반면 데이터의 수집·이용 증가에 따른 개인정보 유출과 오남용에 대한 우려도 커지고 있다.

이에 따라 데이터의 안전한 활용법에 대한 논의가 활발히 진행되고 있으며, 그중에서도 '개인정보 비식별 조치(de-identification)'에 관심이 모이고 있다.

개인정보를 비식별 조치하면, 개인정보 유출 등 잠재적 문제를 예방하거나 피해를 최소화하는 데 도움이 되기 때문이다. 또 개인정보에 적용되는 법적 규율도 대체로 피해갈 수 있다.

이때 개인정보 비식별 조치란 데이터 상에서 특정인을 식별할 수 없도록 정보를 가공하는 것을 말한다.

개인정보 비식별 조치에는 다양한 방법이 있다. 이름, 생년월일, 성별, 거주지 등의 정보를 담고 있는 데이터 중 생년월일 정보를 남기고 나머지 정보를 삭제하면, 개인의 식별 가능성은 크게 낮아질 것이다. 또 생년월일 정보 중 월일 정보는 삭제하고 생년 정보만 남기는 대신 성별 정보 또한 남겨두는 방식도 생각해볼 수 있다.

이처럼 개인정보 비식별 조치는 방법에 따라 다양하나, 어떤 방식으로 비식별 조치를 하든 기술의 발전 등 여러 가능성을 고려할 때 완전한 비식별 조치란 존재하지 않는다.

즉, 비식별 조치는 식별 가능성을 완벽하게 차단한다는 의미가 아니라, 식별의 현실적 가능성을 크게 낮추는 것으로 이해해야 한다.

비식별 조치는 재식별 가능성을 내포하고 있으므로 재식별 시도 등을 막기 위해 데이터에 대한 접근통제 및 이용상의 절차 등에 관한 규정을 마련하고 이를 엄격하게 이행하는 것이 중요하다.

요컨대 적절한 비식별 조치란 식별 가능성을 최소화하는 기술적 조치가 이행되고, 동시에 해당 데이터에 대한 접근과 이용에 관해 절차적 통제가 이행되는 상황을 말하는 것이라고 할 수 있다.

유럽연합(EU)은 개인정보보호 일반법인 'GDPR(General Data Protection Regulation)'을 제정해 비식별 조치에 관해 절차적으로 통제하는 내용을 법에 반영했다. 가명처리(pseudonymisation)된 정보의 이용 범위를 규정하는 내용 등을 담았다.

영국에서는 개인정보보호 규제기관(ICO)에 의한 상세한 지침(code of conduct)이 지난 2012년 이미 발간된 바 있다.

일본의 경우, 법 개정을 통해 익명가공정보 개념을 새로이 규정했다. 또 법률의 위임을 받아 익명가공정보 작성방법을 세부적으로 규정하는 방식으로 절차적 통제를 구성했다.

우리나라 역시 개인정보 보호법 제18조에서 '통계작성 및 학술연구 등의 목적을 위해 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우'에는 정보 주체의 동의 없이 정보를 활용할 수 있는 가능성을 열어두고 있다.

이와 함께 '개인정보 비식별 조치 가이드라인' 등 지침이나 가이드라인을 제시하기 위한 노력도 지속되고 있다.

그러나 우리나라에서는 비식별 조치의 실무적 활용도가 그리 높지 않은 편이다. 논의도 아직 충분히 이뤄지지 않고 있다.

데이터 중심 경제가 도래하는 것을 고려하면, 안전한 개인정보 이용을 위한 비식별 조치에 관한 논의가 지속해서 이뤄져야 할 것이다. 비식별 조치의 핵심은 기술적 통제 및 절차적 통제 절차를 모두 마련하고 철저히 이행하는 것이다.

우리나라에서는 최근 관심이 본격화되기는 했지만, 정부, 기업 등 관계자와 전문가들 사이에서 많은 추가 논의가 필요하다.

고학수
(현) 서울대학교 법학전문대학원 교수
(현) 한국법경제학회 회장
미국 컬럼비아대학교 로스쿨 JD 및 경제학 PhD
국내외 로펌 근무

관련기사

뉴스 많이 본 뉴스