[디지털데일리 최민지 기자] 최근 정부에서 개인정보 비식별 조치 가이드라인을 발간했으나, 법적 효력을 갖추기 위해 개인정보 관련 법 개정을 포함한 관리체계 재정비를 추진해야 한다는 주장이 제기됐다.
1일 소프트웨어정책연구소(SPRi)는 ‘개인정보 비식별화기술의 쟁점 연구 보고서’를 발간하고 개인정보의 정의에 관한 법 개정을 검토하고 적극적인 관리체계를 마련해야 한다고 밝혔다.
보고서에 따르면 비식별화 기술과 적정성 평가기준을 잘 활용할 경우, 개인의 사생활을 침해하지 않고 개인정보보호법 제약을 피하면서 개인정보를 산업적으로 활용해 서비스와 기술을 발전시킬 수 있다.
비식별 조치 가이드라인은 개인정보의 정의 중에서 다른 정보와 쉽게 결합해 개인을 식별할 수 있는 정보, 다시 말해 결합 용이성에 대해 입수가능성과 재식별의 합리적 가능성을 제시했다. 이를 통해 개인정보 정의를 명확히 하고 대상 범위를 제한하고 있다.
그러나 이 가이드라인은 법적 효력이 없는 참고자료이기 때문에,사법적 판단의 재량여부를 완전히 없앨 수는 없다.
예를 들어, 개인정보를 알아볼 수 없게 암호화를 했지만 개인정보를 불법유출했다며 현재 재판이 진행 중인 SK텔레콤의 전자처방전 사건이나 IMS헬스코리아사건이 다시 발생하더라도 가이드라인이 해당 사건들의 개인정보보호법 위반 여부의 기준이 될 수는 없다는 뜻이다.
이에 SPRi는 비식별화기술과 관련하여 개인정보의 보호와 활용을 조화시키는 방안으로 개인정보의 정의에 관한 법 개정을 적극 검토해야 하며, 개인정보의 오남용을 막기 위한 비식별정보의 유통에 대한 당국의 관리체계가 필요하다고 강조했다. 또, 법 체계 정비와 함께 개인정보보호위원회를 개인정보의 컨트롤타워로 강화할 필요가 있다고 했다.
한편, SPRi는 이 보고서에서 개인정보 제도와 밀접하게 관련된 빅데이터 산업과 데이터브로커 사업자의 현황과 함께 개인정보 자기결정권이 확립된 배경을 소개했다. 지난 6월30일 국무조정실 등에서 공동 발간한 ‘개인정보 비식별조치 가이드라인’에 언급된 17종의 비식별화기술과 3종의 비식별 적정성 평가기준에 대해서도 설명했다.