[디지털데일리 이종현기자] 개인정보의 범위는 어디까지일까. 그 정보만으로는 특정인을 식별할 수 없지만, 다른 정보와 대조했을 때 누구인지 알 수 있다면 개인정보라고 해야 하지 않나. 이런 정보를 기업이 마음대로 활용하는 것이 적법한가. 전 세계적으로 이런 물음이 던져지고 있다.

최근 네이버클라우드가 자사 클라우드 스토리지 서비스 ‘마이박스(MYBOX)’ 이용자의 데이터를 바탕으로 통계 자료를 냈는데, 고객 개인정보를 마음대로 활용했다는 주장이 제기돼 어려움을 겪었다.

네이버클라우드가 이용한 것은 사진 메타데이터(EXIF)다. 사진 파일에 포함돼 있는 촬영일, 위치정보, 카메라 설정 등이다. 개인을 식별할 수 있는 내용은 모두 제거했다. 네이버클라우드는 자체적으로 해당 메타데이터를 ‘익명정보’로 판단했다. 익명정보의 경우 이용에 제약이 없다.

이를 비판하는 입장에서는 메타데이터 역시 다른 정보와 결합할 경우 개인을 식별할 수 있다고 주장한다. 이에 맞는 개념이 있다. 2020년 법 개정으로 처음 등장한 가명정보다.

개인정보와 가명정보, 익명정보에 대한 개념은 여전히 모호하다.

개인정보 컨트롤타워인 개인정보보호위원회(이하 개인정보위)에게 네이버클라우드의 사례를 두고 ‘사진의 메타데이터는 익명정보인가, 가명정보인가’를 묻자 “가명정보/익명정보 여부는 각 개념에 대한 정의와 가명정보 처리 가이드라인 등을 기반으로 사업자가 별도로 판단하도록 안내하고 있다”고 답했다.

또 메타데이터를 활용하는 것이 법·제도상 문제가 없는가에 대한 질문에는 “가명정보를 정보주체 동의 없이 활용하기 위해서는 통계작성, 과학적 연구, 공익적 기록보존 등 목적에 한해서만 가능하다. 사업자가 해당 법률에 따라 개인정보 또는 가명정보를 처리한 것인지 확인할 필요가 있다”는 원론적인 답변이 나왔다.

이런 가운데 일각에서는 개인정보위가 지난 9월 구글과 메타(구 페이스북)에게 약 1000억원의 과징금을 부과한 것을 두고, 비식별 정보 활용에 대대적인 제약을 두는 것 아니냐는 우려도 제기된다.

구글·메타는 이용자에게 동의를 구하지 않고 행태정보를 수집, 맞춤형 광고에 활용한 것이 문제시됐다. 검색 이력이나 다른 웹사이트 및 애플리케이션(앱) 이용 등을 수집했는데, 이용자들에게는 이에 대한 안내가 미흡했다는 것이 지적됐다. 개인정보위는 해당 사건 이후 행태정보 이용에 대해 논의하는 작업반을 구성, 맞춤형 광고에 대한 논의를 이어가고 있다.

기업들은 개인정보위의 판단에 촉각을 곤두세우고 있다. 세계적으로 제3자 쿠키 사용이 제한되는 수순인 만큼 제3자 쿠키를 이용한 맞춤형 광고에 대한 규제는 확실시되는 상황이다. 그러나 만약 행태정보 이용 자체를 제한하는 방향으로 나아간다면 그 파급력이 적지 않을 전망이다.

제3자 쿠키 사용 제한으로 주목받고 있는 고객데이터플랫폼(CDP) 기업들도 추이를 지켜보고 있다. 업계 관계자는 “구글과 메타의 경우 커머스 사업자가 아님에도 행태정보를 수집해 이를 비즈니스에 이용했다. 이커머스 기업이 서비스를 제공하기 위해 고객 행태정보를 수집·이용하는 것과는 결이 다르다고 생각한다”고 말했다.

개인정보위 역시 이런 우려에 선을 긋고 있다. 데이터 활용을 장려하고 있는 만큼, 정부 주도의 규제보다는 지속적인 논의를 바탕으로 합의점을 만들겠다는 방침이다.