개인정보 비식별 관련 입법, 보호와 활용 ‘균형점’ 찾기

개인정보의 활용과 보호, 사회적 합의과정 통해 진지하게 모색해야

[보안뉴스= 심우민 경인교대 교수] 우리나라를 비롯한 주요 국가들의 개인정보 보호법제들은 ‘개인 식별 가능성’을 가지는 정보를 ‘개인정보’로 개념정의하고 이를 법적으로 보호하고 있다.

[이미지=iclickart]

입법 실무 현장에서는 다른 국가들의 개념정의 규정에 관한 입법례를 제시하면서 우리나라의 개인정보 개념정의가 광범위하다는 주장이 제기되고 있는 것이 사실이지만, 실제 각국의 개인정보 개념정의 규정을 살펴보면, 우리나라의 그것보다 더 광범위한 해석의 여지를 가지는 경우도 존재한다. 이는 입법의 문제라기보다는 법적용 실무상의 문제일 뿐이라는 유력한 반론도 만만치 않게 제기되고 있다는 사실에 유의할 필요가 있다.

따라서 개인정보 개념정의를 둘러싼 논란은 비단 우리나라에서만 발생하는 것이 아니다. 개인 식별 가능성을 가지는 정보를 중심 대상으로 하는 전통적 개인정보 보호체계는 최근 정보통신 기술 및 데이터 분석·활용기술의 급격한 발전으로 인하여 그 변화의 필요성이 제기되고 있다. 종래 익명성을 가지는 것으로 평가되던 정보가 데이터 분석 및 조합 과정을 거치면서 개인 식별 가능성을 가지는 정보로 전환될 가능성이 높아졌으며, 이에 따라 개인 식별 가능성과 익명성의 경계가 모호해진 상황이 발생하고 있는 것이다.

이러한 개인정보 보호법제의 해석 및 적용 과정에서의 모호성으로 인하여 다양한 데이터의 활용을 통한 새로운 사회적·경제적 가치 창출에 어려움이 발생하면서 주요 국가들은 개인정보 보호법제의 운용 및 개선에 관해 고민하고 있다. 우리나라의 경우에도 정부부처들은 특정 개인정보의 개인 식별 가능성을 제거하여 당해 정보를 활용할 수 있도록 하는 취지의 비식별화 정책을 뒷받침 해주는 각종 가이드라인 및 안내서를 발간해 오고 있으며, 최근 방송통신위원회 및 행정자치부와 같은 개인정보 보호업무 소관 부처들을 비롯하여 다수의 정부부처들이 ‘개인정보 비식별 조치 가이드라인’을 공동으로 공표 및 운영하고 있다.

하지만 이러한 가이드라인을 통한 대응방안이 타당성을 가지는지 여부, 특히 (재판상) 규범력을 가지지 않는 가이드라인은 오히려 사업자들의 규제 리스크를 높인다는 비판이 일각에서 제기되고 있다.

각국의 비식별 조치 관련 대응
주요 국가들의 비식별 조치에 관한 제도적 대응방식은 크게 우리나라와 같은 ‘가이드라인을 통한 대 응방식’(영국), 그리고 비식별 조치 관련 사항들을 법률 등에 반영해 나가는 ‘입법조치를 통한 대응방식’ (EU, 일본)으로 편의상 나눌 수 있다.

영국
대표적으로 영국은 ‘익명화 실천규약’이라는 가이드라인을 제시하여 개인정보 보호법제의 해석 및 적용상의 방향성을 명확히 하고 있다. 아직까지 영국에 실효적으로 적용되는 EU ‘개인정보보호지침’은 익명화 방식에 대해 구체적인 기준들을 규정하지 않고 있지만, 동 지침 제27조는 이에 관한 세부사항 들을 EU 회원국들에게 실천규약(code of conduct)이라는 형식으로 정할 수 있도록 위임하고 있다. 이에 근거하여 영국의 ‘익명화 실천규약’이 제정된 것이다.

영국 정보보호위원회(ICO)는 ‘익명화 실천규약’의 초안을 홈페이지에 공고하고, 이에 대해 2012년 5월 31일부터 동년 8월 23일까지 의견수렴 절차를 진행하였으며, 이 기간동안 기관 및 개인들로부터 수집된 의견들에 대하여 74건의 회신 업무를 수행하였다. 이러한 의견수렴 과정을 거친 결과 실천규 약 초안은 실질적으로 다시 쓰여지는 수준으로 변경되었다고 한다.

이 규약의 내용중 특기할만한 사실은 기본적으로 익명화가 아닌 ‘가명처리’ 등과 같은 방식은 (반드시 극복할 수 없는 것은 아니지만) 중대한 프라이버시 위험을 가지고 있는 것이라는 입장을 취하고 있다. 또한 특정 개인에게 손해, 고통 또는 금전적 피해 등에 이르게 하는 경우와 같이 재식별 결과의 위험성이 중요한 의미를 가질 수 있는 경계선상 사례에 있어 익명화를 통해 관련 정보를 활용하고자 하는 기관은 정보 공개로 인해 발생할 수 있는 결과를 설명하고 정보주체의 동의를 구해야 하며, 위험분석 및 익명화에 관해 보다 엄격한 형식을 채택해야 취해야 한다고 설명하고 있다.

EU
EU에서 새롭게 제정된 ‘개인정보 보호규칙’은 입법이유(26)에서 “가명화를 거친 개인정보는, 추가 정보를 사용하여 해당 자연인을 확인할 수 있는 경우 식별 가능한 자연인에 관한 정보로 간주되어야 한다”고 설명함과 아울러 동 규칙상의 개인정보 보호원칙이 적용되지 않는 익명화와 관련 원칙이 적용 되는 가명화의 개념을 구분하고 있다.

실제 동 규칙 제4조 제5항은 “가명화는 추가 정보를 사용하지 않으면 개인정보가 더는 특정 정보 주체와 연결되지 않도록 개인정보를 처리하는 것을 의미한다. 단, 그러한 추가 정보는 별도로 관리되어야 하며, 개인정보가 식별되었거나 식별 가능한 자연인과 연결되지 않도록 하기 위한 기술적, 조직적 조치가 이루어져야 한다”고 규정하고 있다.

이 규칙상 가명화와 관련하여 특기할 만한 사실은, GDPR 제11조 제2항은 정보 관리자가 개인정보를 처리하는 목적이 정보 관리자에 의한 정보 주체 식별을 필요로 하지 않거나 더 이상 필요로 하지 않게 된 경우, 정보 관리자는 가능하면 이를 정보 주체에게 고지해야 한다고 규정하고 있어 개인정보에 관한 정보주체의 최소한의 통제 및 관리 가능성(실질적인 개인정보 자기결정권)을 보장하고 있다는 점이다.

일본
일본의 경우에는 최근 새롭게 개정된 ‘개인정보 보호법’ 제2조 제9항에서 ‘익명가공정보’라는 새로운 개념을 정의하고 있는데, 이는 “특정 개인을 식별할 수 없도록 개인정보를 가공하여 얻어지는 개인에 관한 정보로서, 당해 개인정보를 복원할 수 없도록 한 것”을 의미한다. 이와 관련해서, EU의 경우(가명 처리 규정)에는 관련 정보의 활용 맥락에 따라 그 정보의 속성이 결정되는 반면, 일본의 경우에는 특정 방식(형식)의 가공 처리를 거친 경우에는 ‘익명가공정보’가 된다는 측면, 즉 일본의 입법은 경우에 따라 실제 당해 정보가 활용되는 맥락보다는 형식적인 조치 여부를 전제로 정보의 속성이 결정될 수도 있다는 점에 유의할 필요가 있다.

이러한 개념정의 규정과 더불어 동법 제36조 제1항은 익명가공정보를 작성하는 경우에는 재식별 또는 개인정보 복원을 할 수 없도록 개인정보보호위원회 규칙으로 정하는 기준에 따라 개인정보를 가공해야 함을 규정하고 있으며, 동조 제2항은 가공방법 등에 관한 정보의 누설을 방지하기 위해 개인정보보호위원회 규칙으로 정하는 기준에 따라 안전관리 조치를 하여야 한다고 규정하고 있다. 또한 동법 제36조 제5항은 익명가공정보와 다른 정보화의 조합을 금지하는 규정을 두고 있으며, 동조 제6항은 기타 안전관리를 위하여 필요한 조치 및 그 내용의 공표에 관해 규정하고 있다.

이러한 일본의 익명가공정보의 처리와 관련하여 특기할만한 사실은 동법이 익명가공정보의 작성 및 제공에 있어 익명가공정보의 안전관리를 위한 조치뿐만 아니라, 익명가공정보에 포함되는 개인에 관한 ‘정보의 항목’ 및 ‘그 제공의 방법’에 대하여 ‘공표’하도록 하고 있다는 점이다(동법 제36조 제3항, 제 4항 및 제37조). 이는 명시적으로 정보주체의 동의 요건 등과 같은 개인정보자기결정권의 실현 방식을 규정하고 있는 것은 아니지만, 최소한 정보주체가 자기 정보의 통제 및 관리 가능성을 확보할 수 있는 제도적 방안을 구체화하고 있다는 점에서 그 의의가 있다고 볼 수 있다.

비식별 조치 입법 관련 제언
이상과 같은 주요 국가들의 입법 동향은 개인정보 비식별화 또는 익명화를 둘러싼 정책적 논란이 비단 우리나라만의 문제가 아니라는 점을 보여준다. 그러나 주요 국가들의 제도적 대응방식과 내용에 견주어 보자면, ‘개인정보 비식별 조치 가이드라인’ 을 통한 우리나라의 대응방식은 다음과 같은 한계를 가진다.

(1) 개인정보 보호법제의 해석 및 집행 관행을 변화시키기 위해 제시한 가이드라인의 법적인 근거가 모호하다. 비식별화 또는 익명화를 통한 개인정보의 활용은 개인정보자기결정권 등 헌법상 기본권 을 제한하는 사항이라고 볼 수 있어 법률적인 근거가 필요하다.

(2) 현재의 가이드라인은 개인정보의 산업적 활용에 상당한 비중을 두고 있어 개인정보자기결정권 및 프라이버시의 실질적인 보장(정보주체의 통제 및 관리 가능성)에 한계를 노출하고 있으며, 산업적 견지에서도 비식별화 또는 익명화가 실효적으로 기능할 수 있을지 불분명하다.

(3) 비식별화 또는 익명화에 관한 개념정의 및 그 법적효과에 관한 사회적 합의과정이 없는 다소 단시안적이고 편의적인 가이드라인 방식의 접근으로 인하여, 관련 정책 및 입법 논의에 있어 혼선을 유발하고 있는 측면이 있다.

개인정보의 비식별화 또는 익명화 정책은 산업적 진흥에 기여할 수 있을 뿐만 아니라, 개인 식별 가능성을 가지는 정보의 직접적인 수집 및 활용을 일부 제약함으로써 개인정보 보호에도 일정부분 기여할 수 있는 측면을 부인하기 힘들다. 따라서 비식별화 또는 익명화 관련 입법정책 추진에 있어 개인 정보의 활용과 보호라는 두 목적이 균형 있게 충족될 수 있는 방안들을 사회적 합의과정을 통해 진지하게 모색해 나가야 할 필요성이 있다.

다만 비식별 조치 등에 관한 해외 주요 국가들의 입법적 논의 결과를 단순히 형식적으로 차용하는 방식, 또는 법집행 실무상의 편의적인 가이드라인 활용방식으로는 우리나라 개인정보 보호환경의 특수성을 반영하기 힘들다는 점에 유의할 필요가 있다.
[글_ 심우민 경인교육대학교 교수]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)