[디지털데일리 최민지 기자] 산업 활성화가 우선일까, 개인정보 보안이 먼저일까. 사실은 둘 다 중요하다. 다만 이 두가지를 모두 만족시키기위해서는 '비식별화 가이드라인'이 아닌 '법제화'를 통한 방안이 더 효율적이라는 주장이 제기되고 있다.
정부에서 마련한 개인정보 비식별 조치 가이드라인을 법제화해야 한다는 목소리에 힘이 실리고 있다. 앞서 지난 1일 소프트웨어정책연구소(SPRi)는 ‘개인정보 비식별화기술의 쟁점 연구 보고서’를 발간하고 이 같이 밝혔다.
가이드라인은 법적 효력이 없기 때문에 추후 개인정보보호법 위반 가능성에 노출될 수 있다는 주장이다. SPRi는 보고서를 통해 일본의 개정된 개인정보보호법을 참고해 새롭게 ‘개인정보’에 대한 정의를 명확히 하고 법적 실효성을 갖추자는 의견을 드러냈다.
정보 제공자가 비식별 조치를 취한 후 제3자에게 넘겼다면, 추후 재식별 등 문제가 생기더라도 면책 받을 수 있도록 법적 정의를 마련하자는 입장이다. 이러한 전제조건이 있어야만 기업 및 기관 등이 부담 없이 정보를 제공할 수 있고, 이는 산업이 커질 수 있는 기반 조성으로 이어질 수 있기 때문이다.
하지만 정보 제공자의 책임이 줄어들수록 보안에 대한 경각심은 낮아질 수 있다는 우려도 나타난다. 비식별 조치란 주민등록번호, 이름 등 개인을 파악할 수 있는 정보를 알 수 없게 만든 후 활용하는 것이다. 외부 공격자 등이 재식별 시도에 성공한다면 개인정보는 고스란히 유출돼 악용될 소지가 생긴다.
이와 관련 EU 관계자들은 지난달 열린 ‘한-EU 개인정보보호 세미나’에서 개인정보 비식별 조치에 따른 데이터 보호 문제를 지적한 바 있다.
브루노 젠카렐리 EU 집행위 개인정보보호과 과장은 “빅데이터는 상당한 장점을 갖고 있고 니즈도 많지만 미래에 대한 신뢰를 위해 강력한 데이터 보호법을 실행해야 한다”고 말했다.
또, 아시아 지역 개인정보보호 법제 권위자인 그레이엄 윌리엄 그린리프 호주 뉴사우스웨일즈대 교수는 “GDPR에서는 빅데이터에 개인정보를 양보하지 않으며, 비식별화를 했다고 무조건 데이터로 처리할 수 있는 것은 아니다”고 강조했다. GDPR(General Data Protection Regulation)은 오는 2018년 5월부터 시행되는 EU의 단일화된 개인정보보호법이다.
보고서에서 가이드라인 법제화 때 참조해야 할 사례로 꼽은 일본의 경우, 지난해 9월3일 개인정보보호법을 개정해 익명가공 정보는 개인정보가 아님을 명시하고 있다. 그러나 이 개정법은 아직 시행 전이라, 사회적·산업적 효용은 측정할 수 없는 상황이다.
SPRi 관계자는 “일본 사례를 참조해 개인정보 비식별 조치 가이드라인을 법제화해야 한다”며 “다만, 이 법은 내년에 시행되기 때문에 산업에 미치는 영향은 아직까지 알 수 없다”고 전했다.
이와 함께 보고서에서는 가이드라인만으로는 개인정보 정의에 대한 논란을 근본적으로 해소하지 못할 것이라고 지적했다. 정부의 가이드라인 형태의 유권해석은 사법적 판단의 참고자료라는 한계를 지니므로, 법 개정을 통해 그 범위를 명확히 해야 한다는 것이다.
보고서에 따르면 국내에서는 ‘쉽게 결합해 개인이 식별가능한 정보’의 범위에 대한 논란이 형사소송의 형태로 다수 계속되고 있다. 대표적 사례는 SK텔레콤 전자처방전 사건 등이다. 이 사건의 쟁점은 비식별화 기술의 일종인 암호화가 적용된 전자처방전이 개인정보인지 여부다.
SK텔레콤은 2만3060개 병원에서 약 7802만건 처방전 내역을 병원 외부 SK텔레콤 서버로 전송받은 후 가맹점 약국에 건당 50원에 판매, 환자정보 불법처리 및 전자처방전 정보 누출 혐의로 기소당한 바 있다. SK텔레콤 측은 개인의료정보를 저장한 것이 아니라 암호화돼 비식별화된 정보를 저장 및 전송한 것이므로 개인정보보호법과 의료법을 위반한 것이 아니라는 주장이다.
SPRi 측은 개인정보를 비식별화한 비식별 정보는 개인정보보호법의 적용대상은 아니지만, 다른 정보와 쉽게 결합해 식별 가능하게 된다면 개인정보로 인정되기 때문에 비식별화 기술의 적용만으로 개인정보보호법 위반 가능성이 없다고 단정하기 어렵다고 우려했다.
SPRi 관계자는 “개인정보 정의에서 가장 문제가 되는 점은 다른 정보와 결합해서 쉽게 알 수 있으면 그것도 개인정보가 된다는 것”이라며 “기준에 따라 비식별 조치를 했다면 제공자에게 책임을 묻지 않도록 법 개정을 해야 유효한 데이터를 충분히 얻을 수 있고 쉽게 공유하는 분위가 조성될 것”이라고 제언했다.
이어 “개개인에 대한 관심보다 범주화를 통해 전체적 라이프 스타일 등을 알고 이를 활용하자는 것”이라며 “직접적으로 개인에 대한 정보를 유통하는 것에 대해서는 법적 보호를 강화해야 하지만, 기업들이 가진 이용자 정보를 확산하고 활용하는 것을 막을 필요는 없다”고 덧붙였다.
한편, 정부는 가이드라인을 법제화할 계획을 세우지 않은 상태다. 가이드라인 발표 당시 방송통신위원회 측은 현재 법제화 검토는 하지 않고 있다고 밝혔다. 방송통신위원회에 따르면 가이드라인은 개인정보에 대한 해석의 기준 역할을 하고, 문제 발생 때 현행법에 따르는 것을 원칙으로 한다.