2016년 미국 대선 당시 페이스북을 통해 개인정보가 유출되어 활용되었다고 알려져 큰 파장이 일었다. 페이스북은 로그인 기능을 통해 이용자의 동의를 받은 뒤 그 이용자 프로필 정보를 데이터 분석 및 정치 컨설팅 업체인 ‘케임브리지 애널리티카’에 제공했다. 그런데 해당 이용자뿐 아니라 그와 친구 관계인 이들의 정보까지 제공되었다. 그 정보를 당시 트럼프 대선 캠프가 활용했다는 사실을 케임브리지 애널리티카 전 직원이 폭로한 것이다.

이 사건 이후 개인정보는 법률에 따라 보호할 필요가 있다는 주장이 더욱 힘을 얻었다. 다른 한편으로 개인정보를 수집해 활용하면 편리한 점이 적지 않다. 예를 들면 많은 양의 건강 정보를 수집한 뒤 빅데이터로 분석하면 질병을 진단하는 데 도움이 된다. 이처럼 정보는 보호 대상이면서 동시에 활용 대상이다. 그러나 개인정보 관련 법률은 보호 측면에만 초점을 맞추어 제정되었다. 한국에서는 2014년 1월 4대 카드사 고객의 개인정보 대량 유출 사건 이후 보호가 더 강화되었다. ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)’이 개정되었다. 개인정보의 수집과 보관, 제3자 제공 등과 관련한 규제를 엄격히 했다. 정보통신망법에 따르면 이용자들에게 개인정보를 수집하고 보관하는 목적을 분명하게 알리고 사전에 동의를 받도록 했다. 온라인 플랫폼 운영자가 다른 업체와 제휴해 서비스를 제공할 경우에도 개인정보를 다른 업체에 제공하는 목적을 명확히 밝히고 이용자들에게 사전 동의를 받도록 했다. 개인정보 수집 동의를 받을 때 ‘필수 정보’와 ‘선택 정보’를 구분해놓도록 했다. 이용자가 동의 의사를 표시하는 칸에 서비스 제공자가 미리 동의 체크를 해놓지 못하게 했다. 최근 개정된 정보통신망법에는 이용자가 입은 손해액의 3배 범위 내에서 손해를 배상하도록 하는 ‘징벌적 손해배상제도’까지 도입되었다.

ⓒEPA4월10일 페이스북 마크 저커버그 CEO가 출석한 상원 청문회에서 피켓 시위를 하고 있는 미국 시민들.
보호 측면에서 개인정보를 주로 논의해오다 보니 활용 측면에서 논의가 미흡했던 게 사실이다. 개인정보보호법에서는 정보 자체뿐 아니라 다른 정보와 결합해 개인을 알아볼 수 있는 정보까지도 개인정보로 정의하고 있어서 그 범위가 꽤 넓다. 예를 들면 서울중앙지방법원은 모바일 단말기 인증번호(IMEI), 유심 인증번호까지 다른 정보와 결합하면 휴대전화 소유자를 알 수 있다며 개인정보에 해당한다고 판단하기도 했다. 이렇다 보니 빅데이터 활용에서도 개인정보 관련 법률이 어디까지 적용되는지를 두고 논란이 계속되었다. 빅데이터를 구성하는 정보 역시 다른 정보와 결합되면 그 주체를 알 수 있기 때문이다. 하지만 개인정보 관련 법률에 이에 대한 구체적 언급이 없었다.

정부는 빅데이터 활용을 촉진하고자 2014년 12월 ‘빅데이터 가이드라인’을 발표했다. 2016년 7월에는 이를 구체화해서 ‘개인정보 비식별화 조치 가이드라인’을 잇달아 내놓았다. 가이드라인에 따르면 개인정보를 모아서 빅데이터로 활용하려면 해당 정보를 가명으로 처리하거나 총합계로 환산 처리하거나, 특정 데이터를 삭제하는 등 조치를 하여 정보 주체를 알아볼 수 없도록 해야 한다(비식별화 조치).

ⓒ행정안전부 제공행정안전부가 공동 주최한 ‘제5회 공공데이터 활용 창업경진대회’ 수상자들. 이 대회는 공공데이터 기반의 일자리 창출을 위해 2013년부터 매년 열리고 있다.
이 같은 가이드라인이 있는데도 논란은 계속되었다. 이번에는 공공기관 등이 수집해 보유한 데이터를 활용하는 것과 관련된 논란이다. 공공기관이 보유한 정보를 ‘공공데이터’라고 하는데, 공공데이터를 필요한 이들에게 제공하여 활용할 수 있도록 ‘공공데이터의 제공 및 이용 활성화에 관한 법률(공공데이터법)’이 제정되었다. 공공데이터 이용이 제3자의 권리를 침해하거나 불법행위에 악용될 소지가 있는 경우 등을 제외하고, 공공데이터를 영리적 목적으로 이용하는 것을 금지하거나 제한할 수 없도록 했다. 그런데 공공데이터 가운데 ‘개인정보 비식별화’ 조치를 한 데이터가 있는 경우에는 어떻게 해야 할까? 예를 들어 환자 진료기록 데이터를 가공해 환자 개인을 알아볼 수 없도록 비식별화 조치를 한 경우에는 활용할 수 있게 해야 할까? 아니면 비식별화 조치를 했더라도 다른 정보와 합치면 개인을 알아볼 수 있으므로 활용을 제한해야 할까? 실제로 지난해 국정감사에서 건강보험심사평가원이 8개 민간보험사와 2개 민간보험 연구기관에 총 52건의 전체 환자 데이터 세트 등을 제공한 사실이 밝혀져 논란이 되었다. 비식별화된 정보라 하더라도 다른 정보와 결합하면 쉽게 개인을 알아볼 수 있고, 보험회사가 이를 이용해 특정인의 보험 가입을 차별할 가능성이 있기 때문이다.

가공한 정보로 주체를 알아볼 수 없게 한다면

지난 5월25일 유럽연합(EU)에서는 새로운 개인정보보호법이 발효되었다. 법 이름의 머리글자를 딴 ‘GDPR(General Data Protection Regulation)’은 가장 광범위하고 획기적인 개인정보보호법이라는 평가를 받는다(〈시사IN〉 제556호 ‘프라이버시 보호, 글로벌 기준 세운다’ 기사 참조). 예를 들면 GDPR은 웹사이트에서 수집한 정보인 ‘쿠키’도 개인정보에 포함된다고 보고 보호 대상으로 규정했다. GDPR을 심각하게 위반하면 해당 기업은 연간 총매출액의 4% 혹은 2000만 유로(약 256억원) 중에서 더 높은 쪽을 과징금으로 내야 한다. 이처럼 광범위하면서 엄격한 GDPR에서도 개인을 식별할 수 없는 익명 정보는 개인정보가 아니라고 보았다. 개인정보에 가명 처리를 한 ‘가명 정보’도 이에 대한 규제를 완화해 정보 활용 가능성을 열어둔 것이다. 한국에서도 이런 움직임이 전혀 없는 것은 아니다. 지난 5월 국회 4차 산업혁명특별위원회에서 개인정보를 가공해 가명 처리를 한 가명 정보는 정보 주체의 동의와 무관하게 상업적 목적으로 활용 가능하도록 하는 방안을 입법 권고했다. 한국도 개인정보가 어느 정도 처리되었는지에 따라 규제를 달리 적용해 정보 활용의 가능성을 열어둘 필요가 있다.

개인정보를 보호하는 일은 매우 중요하다. 하지만 개인정보를 보호하는 것과 정당하게 활용하는 것이 반드시 반대되는 개념은 아니다. 개인정보를 보호하는 동시에 가공해 개인을 알아볼 수 없는 형태로 만들어 이용자에게 도움이 되는 방향으로 활용할 방안을 강구해야 한다. 즉 빅데이터 활용을 허용할 것인가 하는 논의를 넘어 비식별화 조치를 한 정보가 정보 주체를 식별하는 도구로 사용되지 않도록 어떤 장치를 해야 할지, 또 빅데이터 분석 결과가 특정인 차별에 이용되지 않으려면 어떻게 해야 할지 등에 대한 논의가 필요한 시점이다.

기자명 이나래 (변호사) 다른기사 보기 editor@sisain.co.kr
저작권자 © 시사IN 무단전재 및 재배포 금지
이 기사를 공유합니다
관련 기사