2020년 새 해 개인정보보호와 관련된 의미 있는 법률들, 개인정보보호법, 정보통신망법, 신용정보법 개정안으로 구성된 데이터 3법이 통과되면서, 특정 개인을 알아볼 수 없도록 가명 처리한 데이터들을 넓게 활용할 수 있는 기준이 마련되었다.
구체적인 사안에 대해서는 법률 전문가의 도움을 받아야 할 것이고, 개인정보 담당자 입장에서 고민해야 할 내용들을 간략하게 정리해 본다.
1. 개인정보의 정의
먼저, 개인정보에 대한 정의를 살펴보면 "개인정보"란 살아 있는 개인에 관한 정보로서, 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보와 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보로 정의하고, 쉽게 결합할 수 있는지 여부에 대해 “정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려”하도록 변경되었다.
추가된 결합 조건을 적절하게 활용하여 개인정보 정책에 반영할 필요가 있어 보인다.
또한, 위 정의와 함께 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보 없이 특정 개인을 알아볼 수 없도록 처리한 가명정보도 개인정보에 포함된다고 판단할 수 있어 보인다.
다만, 예외적으로 시간·비용·기술 등을 합리적으로 고려할 때 다른 정보를 사용해도 더 이상 개인을 알아볼 수 없는 정보에는 적용하지 않도록 규정하고 있어 이 부분도 담당자 입장에서 참고해 볼 만 한 내용이다.(58조의 2)
2. 가명정보 활용 : 통계작성, 과학적 연구, 공익적 기록보존 목적
핵심적인 변화는, 가명 처리된 정보(가명정보)에 대해서 통계작성, 과학적 연구, 공익적 기록보존 목적에 한하여 이용자의 동의나 파기, 영업 양도 시 고지, 유출 시 통지의무, 정보주체의 열람권이나 정정삭제 요청권, 처리정지 요구권 등의 규정을 적용하지 않도록(제28조의 7)하여 쉽게 활용할 수 있는 가능성을 높였다.
여기에서 “과학적 연구”란 기술의 개발과 실증, 기초연구, 응용연구 및 민간 투자 연구 등 과학적 방법을 적용하는 연구라고 정의하고 있어 가명 정보를 연구에 활용이 가능할 것으로 보인다.
다만, 신용정보법에서는 가명정보를 산업적·상업적으로 이용할 수 있도록 명시적으로 포함하고 있는 것과 달리, 개인정보보호법에서는 명시하고 있지 않아 일반적인 기업이나 조직에서 상업적 서비스에 얼마나 활용될 수 있는지 여부는 고민이 필요해 보인다.
3. 가명정보 안전성 확보에 필요한 조치
또한, 가명정보를 처리하는 경우에 '원래의 상태로 복원하기 위한 추가 정보'를 별도로 분리하여 보관·관리하는 등 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 해야 하고, 정보주체의 동의 없이 개인정보를 이용하거나 제공하는 경우에 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등에 대한 검토를 추가로 적용해야 하는 부분도 부담이 될 수 있다.
4. 익명처리, 가명처리 원칙
개인정보보호법 제3조 7항에는 개인정보 보호 원칙으로 개인정보처리자가 개인정보를 익명 또는 가명으로 처리하여도 개인정보 수집목적을 달성할 수 있는 경우에 익명이나 가명에 의하여 처리하도록 한 내용이 있다.
무분별하게 실명으로 가입을 유도하거나, 서비스에서 불필요하게 개인을 식별할 수 있는 정보를 활용하는 것이 이 원칙에 어긋나는 것은 아닌지 검토할 필요가 있고, 가이드를 통해 충분한 설명이 필요한 부분이다.
5. 가명정보 결합 전문기관
서로 다른 개인정보 처리자가 보유하고 있는 가명정보를 결합하는 방법으로 전문기관을 지정하여 처리하는 방식은, 데이터 집중으로 인한 유출 불안감도 높을 수밖에 없다.
이을 해소할 수 있는 수준의 안전한 보관·처리 기준을 마련하고, 신뢰할 수 있는 기관을 선정하여 운영하는 것이 이용자와 개인정보처리자 모두에게 신뢰를 얻을 수 있는 방법이다.
6. 개인정보 활용과 보호를 위해
법률의 제안 이유에서 밝힌 것과 같이 “4차 산업혁명 시대를 맞아 핵심 자원인 데이터의 이용 활성화를 통한 신산업 육성이 범국가적 과제로 대두되고 있으며, 특히, 신산업 육성을 위해서는 인공지능(AI), 클라우드, 사물인터넷(IoT) 등 신기술을 활용한 데이터 이용이 필요한 바, 안전한 데이터 이용을 위한 사회적 규범 정립이 시급한 상황”에서 이번 개정 내용이 충분한 효과를 얻을 수 있도록 관련 고시와 가이드를 빠르게 정비할 필요가 있다.
기존 개인정보보호법에서 느슨했던 가명처리에 대한 기준이 이번 개정으로 어느 정도 명확하게 개선된 부분과 더불어, 준수해야 할 내용도 함께 늘어난 부분은 조직에 추가적인 부담으로 작용할 수 있다.
또한, 가명정보, 원래의 상태로 복원하기 위한 추가 정보, 기존의 일반적인 개인정보를 서비스나 시스템 단위로 식별해야 하고, 이에 대한 기술적·관리적·물리적 리스크를 파악하여 대응 방안을 만들어야 하는 입장에서 조직의 개인정보 담당자 업무 부담은 더 가중될 것으로 보인다. [글. 보안전략연구소 박나룡 소장]
★정보보안 대표 미디어 데일리시큐!★