‘가명정보’ 도입이 핵심

데이터 활용력 높여

4차 산업 성장기반 강화해

재식별화 등 정보침해 우려도

터 이해원(목포대 법학과) 교수
선지원(광운대 법학부) 교수
이성엽(고려대 기술경영전문대학원) 교수

 

  지난 1월 국회 본회의를 통과한 데이터 385일부터 시행됐다. 데이터 3법은 개인정보보호법·정보통신망법·신용정보법 개정안을 통칭하는 법안이다. 개인정보를 가명 처리한 가명정보를 도입해 통계작성, 과학적 연구 등에서 개인정보 활용의 폭을 넓히고자 마련됐다. 또한 분산됐던 개인정보 관리·감독기관을 일원화해 중복 규제를 없애고 통합적인 형태로 운영하고자 했다.

  데이터 3법을 둘러싼 논의는 분분하다. 가명정보 도입으로 다양한 신사업이 전개될 수 있지만, 가명정보 간의 결합이 정보의 재식별화를 초래하고, 이로 인해 개인정보 유출이 더욱 심각한 수준으로 발생할 수 있다는 우려도 제기되고 있다. 오랜 기간 데이터 활용 법안을 연구해온 세 명의 교수들에게 앞으로 데이터 3법이 나아가야 할 방향을 물었다. 인터뷰는 개인별로 진행했고, 질문별로 답변을 정리했다.

 

- 데이터 3법이 제정된 배경은 무엇인가

  이해원 교수 ㅣ 데이터 3법 이전에는 개인정보 관련 법령이 공공기관을 규율하는 개인정보보호법과 민간기업을 규율하는 신용정보법 등으로 나뉘어 있었다. 이로 인해 민간부문에서 처벌하는 것을 공공부문에서 처벌하지 않는 등 중복규제로 인한 법적 불안정이 있었다. 또한 법이 나뉘어 있어 공공과 민간 간 데이터 공유도 잘 이뤄지지 않았다.

  이러한 불안정을 해결하고자 제정된 데이터 3법은 방송통신위원회, 행정안전부 등으로 분산됐던 개인정보 감독기관을 통합해 개인정보보호위원회로 일원화했다. 해당 위원회에 가명처리된 데이터를 결합·분리할 수 있는 기관을 직접 심사하고 지정할 수 있는 권한을 부여했다개인정보 오남용 및 유출을 통합적으로 관리·감독하도록 한 것이다.”

 

  이성엽 교수  ㅣ  이전까지는 데이터를 사용하려면 엄격한 사전동의의 원칙을 적용하는 등 개인정보 보호 측면에 집중했다. 데이터를 처음 수집할 때와 다른 목적으로 사용하는 경우, 일일이 개인의 재동의를 받아야만 했다. 하지만 필요할 때마다 동의를 받는 것은 사실상 불가능해 정보의 활용도가 낮았다.

  4차 산업혁명 시대에 맞춰 인공지능, 사물 인터넷(IoT) 등의 신사업이 발전하기 위해서는 개인정보를 비롯한 데이터의 활용이 필수다. 이에 데이터를 더 쉽게 활용할 수 있는 기반을 마련할 필요성이 제기됐고, 개인정보를 감독·관리하는 기구를 개인정보보호위원회로 단일화해 기존의 중복 규제로 인한 혼란을 줄이고자 했다.”

 

- 데이터 3법의 핵심은 가명정보의 도입이라고 들었다. 가명정보 도입으로 예상되는 긍정적인 변화는 무엇인가

  가명정보란 개인을 식별할 수 있는 정보의 일부를 삭제하거나 변경하는 방식으로, 추가 정보 없이는 특정인을 알아볼 수 없도록 가공한 정보다. 가명정보는 통계작성, 과학적 연구, 공익적 기록 보존에 한해 당사자의 동의 없이 사용할 수 있다.

  다만 보안상의 문제로, 가명정보화된 데이터를 결합할 때에는 국가가 지정한 전문기관인 한국정보화진흥원’, ‘사회보장정보원등을 통해야 한다. 법 시행 초기에는 전문성이 있는 공공기관을 중심으로 지정하되, 점차 안정성이 확보되면 데이터 결합 수요 증가를 고려해 민간기관까지 확대할 계획이다.

 

  이성엽 교수  ㅣ  기업 입장에서 가명정보는 안정성을 확보함과 동시에 하나의 데이터로서의 활용 가치도 높다는 점에서 상당한 매력적일 것이다. 가명정보는 기업의 데이터 활용 사업의 핵심역량이 될 것이므로, 가명정보 처리기술, 데이터 결합 사업 등 새로운 산업이 활성화될 것으로 기대된다.”

 

  이해원 교수  ㅣ  가명정보가 도입되며 기업에서는 마케팅 목적으로 전개할 수 있는 사업의 범위가 넓어질 것으로 예상된다. 연령·성별에 따른 소비패턴 분석, 영수증 추적, 카드명세 분석 등 사람들의 소비경향을 분석해 마이데이터 사업을 비롯한 무궁무진한 사업을 전개할 수 있을 것이다.” 

 

  마이데이터란 개인이 본인의 정보를 보유한 기관에 그 정보를 제3자에게 이동시키도록 요구할 수 있는 권리다. 마이데이터는 동의절차를 거쳐 기존 정보처리자에게 위임했던 개인정보의 처리 권한을 개인이 다시 회수한다는 의미를 가지기도 한다.

  일례로 개인신용평가와 관련해, 개인이 신용평가 산정기관에 본인의 사회보험료, 통신료 납부실적을 제출해 신용등급의 상승을 꾀할 수 있다. 또한 여러 기관에 보관된 개인 금융거래정보 및 소비행태를 분석해 맞춤형 금융상품을 추천받을 수도 있다.

 

- 가명정보 도입을 두고 일부 시민단체에서는 가명정보 간 결합을 통해 특정인을 식별할 수 있는 재식별화 문제를 우려한다

  이성엽 교수  ㅣ  개인을 식별할 수 없도록 가명처리해도, 다른 데이터와 결합하면 누구의 정보인지 식별이 가능한 재식별화 문제가 발생할 수 있다. 이 경우 기존의 개인정보 침해와 마찬가지로 막대한 프라이버시 침해가 일어난다. 피해를 최소화하기 위해 정부는 강력한 처벌을 명시하고 있다. 가명처리 시 안전조치의무를 미준수하면 3000만 원 이하의 과태료를 부과하고, 의무 미준수로 인해 가명정보가 유출되면 2년 이하의 징역에 처하거나 2000만 원 이하의 벌금을 내야 한다.

  또한 가명처리된 정보를 재식별 목적으로 활용할 시 5년 이하의 징역에 처하거나 5000만 원 이하의 벌금을 내야 한다. 기업의 경우 전체 매출액의 3%까지 과징금이 병과된다. 다른 나라들과 달리 형사처벌까지 명시하고 있는 상황이다.”

 

  선지원 교수  ㅣ  "국가의 지정기관을 통해서만 가명정보를 결합할 수 있으며, 정보를 반출하는 경우에도 전문기관의 엄격한 심사를 거친 후 가명정보나 익명정보의 형태로만 반출할 수 있는 등 국가 과제를 통해서도 보호가 이뤄지고 있다. 하지만 예상치 못한 재식별화 문제가 발생할 가능성이 있다.

  이에 최근에는 블록체인 기술을 활용한 암호화 기술도 고려하고 있다. 블록체인 자체에 저장된 정보들은 타 기술과 달리 변조될 가능성이 거의 없다. 또한 블록체인 해킹을 위해서는 블록체인 네트워크 전체를 장악해야만 하므로 더 많은 데이터를 보다 안전하게 활용할 수 있을 것이다. 정부에서도 블록체인 기술을 활용한 시범 사업을 진행 중이다.”

 

- 데이터 3법의 도입으로 정보의 활용도는 높아졌지만, 의료데이터 등 민감정보 활용에 대한 우려도 많지 않나

  데이터 3법은 의료데이터뿐만 아니라 지문, 홍채 등 특정인을 식별할 수 있는 생체인식정보와 민족·인종 정보를 민감정보로 규정하고 있다. 민감정보는 개인정보보호법 제23조에 따라 기본 동의와 더불어 별도의 동의를 받아야만 사용할 수 있었지만, 데이터 3법이 통과되며 이 또한 불분명해졌다. 최근 금융위원회 등은 민감정보도 가명처리되면 동의없이 사용할 수 있다는 법률해석을 시도하고 있기 때문이다. 이에 일각에선 의료데이터를 포함한 민감정보는 개인의 내밀한 인격 및 사생활과 직결되는 만큼 가명처리 되더라도 동의 없이 사용해선 안 된다는 주장을 내놓고 있다.

 

  이성엽 교수  ㅣ 개인정보보호법, 의료법, 생명윤리 및 안전에 관한 법률 등 의료데이터를 관리, 유통, 활용하기 위한 법률적 근거나 제도가 부족한 것이 사실이다. 의료데이터는 개인의 질병, 진료기록 등에 관한 정보를 담고 있다. 관련 정보가 유출될 경우, 타 정보보다 치명적 불이익이 예상돼 민감정보로 취급되고 있기 때문에, 기존 의료법 체계에 데이터 3법이 전면적으로 적용될 수 있을지에 관한 논의가 계속되고 있다. 다만 유전자 데이터, 진료기록 등의 빅데이터를 분석하면 질환에 적합한 맞춤형 식사 처방 등이 가능하므로 의료데이터는 이용 가치도 높은 편이다.”

 

  선지원 교수  ㅣ  "의료 데이터를 가명처리한 뒤 인공지능(AI)과 결합한 서비스 등 의료 데이터를 활용하는 것에 대해 아직 사람들의 인식도 좋지 않은 편이다. 인간의 생명을 다루는 데이터인 만큼 가명처리 되더라도 사회에 유출된다면 그 위험성을 가늠하기 어렵기 때문이다. 하지만 일례로 보험회사의 경우, 개인의 질병 정보가 담긴 의료데이터를 활용한다면 다양한 맞춤형 상품 개발이 가능해지는 것도 사실이기에 의료데이터 부문은 아직 많은 논의가 필요할 것으로 보인다.”

 

- 데이터 3법 이후, ‘데이터는 어떠한 의미를 가지게 될 것으로 생각하는가

  이성엽 교수  ㅣ  "데이터 3법의 도입은 본격적인 데이터 경제 시대의 도래를 의미한다고 본다. 자본, 노동, 토지에 이은 새로운 생산요소로서 데이터 수집, 분석, 활용 능력이 업종을 불문하고 기업의 생존과 경쟁력을 좌우하게 될 것이다. 또한 코로나19로 인한 언택트 시대가 가속화되며 온라인으로 수집하는 막대한 양의 데이터를 어떻게 활용할 것인지 역시 앞으로 주목해야 할 점이라고 생각한다.”

 

이해원 교수  ㅣ  "데이터 소유권에관한 사람들의 관심이 높아지리라 생각한다. , 가명정보를 활용한 사업의 증가로 인해 개인정보를 더욱 소중한 가치로 인식하게 될 것이다. 더 나아가 자신의 개인정보를 무료로 제공해야 하는가에 대한 논의도 등장할 수 있다. 개인정보 활용의 폭이 넓어진 만큼, 개인정보를 어떻게 관리하고 보호해야 할지에 대한 법령도 더욱 구체화돼야 한다고 생각한다.”

 

글  ㅣ  조영윤 기자 dreamcity@

사진  ㅣ  양태은 기자 aurore@

사진 제공  ㅣ  이성엽 교수

 
저작권자 © 고대신문 무단전재 및 재배포 금지