법제도/정책

“어디까지 가려야 개인정보 안전할까?”

최민지

[디지털데일리 최민지기자] 4차 산업혁명의 핵심 요소는 빅데이터다. 그러나 개인정보를 포함한 데이터는 여전히 안전 논란에서 벗어나지 못하고 있다. 최근 페이스북을 비롯한 각종 기업의 고객정보 유출 사태에서 알 수 있듯이, 잘못 사용된 고객 데이터는 기업·기관의 가치 및 신뢰도에 직격탄을 준다.

이에 각국에서는 안전한 데이터 활용에 대한 논의를 지속하고 있다. 미국은 자유로운 활용을 보장하는 편이다. 다만, 손해배상 소송이 국내보다 활발한 만큼 막대한 부담을 안아야 한다.

미국의 경우 빅데이터 이용·분석 과정에서 개인정보 처리를 제한하는 일반법이 없다. 관련 정보 및 비식별 정보는 다른 기관·기업 간 공유·공개 가능하다. 보호가 필요한 분야는 개별법으로 규율한다.

유럽은 일반개인정보보호법(GDPR) 및 회원국별 법 등을 통해 개인정보 처리를 제한한다. 공익을 위한 기록보존목적, 과학, 역사연구 목적, 통계목적의 가명정보는 정보주체 동의 없이 활용할 수 있다. 익명 처리된 정보는 개인정보 규제를 받지 않고 쓸 수 있다.

일본에서는 개인정보보호법에 신설된 익명가공정정보를 통해 목적 제한 없이 자유롭게 이용할 수 있도록 했다. 다만, 익명가공정보 취급사업자에 대해서는 별도 의무사항이 규정돼 있다. 공공데이터를 민간기업 등에 제공하는 비식별가공정보도 법령에 신설한 바 있다.

한국은 데이터·프라이버시 보호 강도가 다른 나라에 비해 강한 편으로 알려져 있다. 개인정보보호법, 정보통신망법, 신용정보의 보호법 등이 개인정보보호 관련 대표적인 법이다. 정보 주체 동의가 있어야만 개인정보를 쓸 수 있다. 최근에는 개인정보 비식별조치 가이드라인에 따라 조치된 익명정보 수준의 비식별정보는 활용 가능하도록 했지만 아직 사회적 합의가 필요한 만큼 활성화되지 못하고 있다.


김호성 한국인터넷진흥원(KISA) 개인정보기술단장은 “한국은 필요 최소의 범위만 정보 이용을 허용하고 있어 활용 유연성은 부족한 편”이라며 “개인정보 비식별 조치에 대해서는 한국은 재식별 불가능한 수준을 요구하고 있으며, 사후 관리에 대해서도 더 많은 요구사항을 담고 있다”고 말했다.

이어 “비식별 정보의 활용성과 안정성에 대한 갈등과 논란이 지속되면서 사회적 합의가 부족한 상황”이라며 “시민단체 등에서는 식별 가능성을 제기하며 반박하고 있는데, 오히려 산업계에서는 비식별 조치 기준이 너무 높아 실제 분석 유용성이 떨어진다고 말하고 있다”고 덧붙였다.

물론, 비식별 조치만으로 무조건 개인정보를 식별할 수 없다고 단정할 수 없다. 발전하는 인공지능과 빅데이터 기술을 통해 재식별할 수 있는 가능성도 제기된다. 아직까지는 사후 관리를 통해 문제점을 해결하는 방안에 치중돼 있다.

이에 KISA는 개인정보 비식별 콘테스트를 추진한다. 어디까지 암호화를 하고 감춰야 개인정보를 빅데이터로 안전하게 활용 가능한 지 경연을 통해 직접 알아보겠다는 것이다.

이는 재식별 위험 분석과 보호·활용 양립의 기술적 적정수준을 도출하기 위해서다. 반·비정형, 실시간 데이터 등 비식별조치 신기술 개발과 관련한 기술저변을 확대하면서 전문인력을 양성하겠다는 목표도 있다.

이를 위해 KISA는 일본 ‘PWS 컵’ 대회를 벤치마킹해 국내 기업·대학이 참여하는 대회 개최를 위해 데이터셋 확보와 운영프로그램을 개발한다. 내달 중 콘테스트 설명회를 개최하고 올해 상반기 내 대회 규칙 등을 마련하고 10개 참가팀 선발을 거쳐 연말 본선대회를 열 예정이다.

김 단장은 “장기적으로는 개인정보 활용 생태계에 있어 개인이 자기정보를 통제하는 구조로 가야 한다”며 “데이터 주체가 자신의 데이터 처리를 통제·제어하는 개인 중심 정보유통 시스템에 대한 개념 논의가 유럽 중심으로 본격화되고 있고, KISA도 자기 주도 관련 데이터 유통연구에 대한 과제를 진행하고 있다”고 말을 보탰다.

<최민지 기자>cmj@ddaily.co.kr

최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널