국회에 계류 중인 개인정보 관련법 개정안엔 가명정보, 익명정보 등 생소한 개념이 등장한다. 개인을 특정하기 어렵게 가공한다는 점은 동일하지만 어떻게 분류하느냐에 따라 활용 방식이 제각각이다.

기존 개인정보보호법은 이름·주민등록번호처럼 개인을 확실하게 구분할 수 있는 정보, 자동차 번호판처럼 해당 정보만으로는 특정 개인을 알아볼 수 없지만 다른 정보와 결합하면 개인을 특정할 수 있는 정보 등을 개인정보로 규정했다.

개정안엔 가명정보라는 개념이 추가된다. 개인정보를 보호하기 위해 특정인을 식별할 수 있는 정보의 상당 부분을 가렸다는 의미다. 신용카드 사용정보를 떠올리면 이해가 쉽다. ‘홍××, 1977년 6월생, 남성, 서울 강남구, 2018년 3월 신용카드 사용금액 127만원’처럼 데이터로서의 가치는 있지만 개인을 특정하기 어렵게 한 게 가명정보다.

익명정보는 여기서 한발 더 나아간 개념이다. 이름, 생년월일 등의 사람을 구분하는 핵심 식별 정보를 철저히 제거한다. ‘남성, 40대, 2018년 3월 신용카드 사용금액 127만원’ 정도만 남으면 데이터 결합을 통해서도 개인을 특정하는 게 불가능하다고 간주해 제한 없이 활용할 수 있는 익명정보가 된다.

개정 법안이 통과되면 통계 작성, 과학적 연구, 공익적 기록 보존 등을 위해 정보 주체의 동의 없이 가명정보를 사용하는 게 가능해진다. 비식별화 조치가 제대로 이뤄졌다는 전제 아래 제3자에게 정보를 제공할 수도 있다.

가명정보 활용이 허용돼도 논란의 여지가 남는다. 국회에 올라온 법안들은 기업 내부 데이터는 자체적으로 결합할 수 있지만 기업 간 데이터를 결합해 가명처리를 하려면 정부 허가를 받은 데이터거래소를 이용해야 한다고 규정하고 있다. 결합 데이터 수요자들이 가명 처리 수준을 결정하는 게 불가능한 구조다.

기업들의 관심은 정보를 만들 때 개인을 식별할 수 있는 요소들을 얼마나 제거하느냐에 쏠려 있다. ‘홍××, 1977년 6월생, 서울 강남구’ 수준이 아니라 ‘홍××, 197×년, 서울’처럼 익명정보에 가까운 데이터만 허용하면 분석의 의미가 퇴색할 수밖에 없다고 지적한다.

송형석 기자 click@hankyung.com