정부, 시장조사 등 상업적 활용 허용…추가 정보 이용하면 식별 가능
고의적 재식별은 형사처벌…"가명처리 방법·절차 명확히 해야"
31일 정부가 발표한 데이터 경제 활성화 방안은 데이터 활용에 중점을 두고 있다.

가장 눈에 띄는 점은 개인정보의 개념을 명시하고, 개인을 구분할 수 없는 가명정보는 당사자 동의 없이 기업이 활용할 수 있게 한 점이다.

이를 두고 데이터 시장 활성화의 물꼬를 텄다는 평가가 나오지만 개인정보의 무분별한 활용으로 이어질 수 있다는 우려도 제기된다.

◇ 가명·익명정보 구분…"데이터 시장 활성화 기대"
정부 안에 따르면 기업이 개인정보를 당사자 동의 없이 활용하려면 개인을 알아볼 수 없도록 비식별 처리 과정을 거쳐야 한다.

비식별 과정을 거친 개인정보는 크게 가명정보와 익명정보로 분류된다.

가명정보는 추가 정보 없이는 특정 개인을 알아볼 수 없게 조치한 정보다.

'43세 남성 홍길동'이란 개인정보를 '40대 임꺽정(가명)'으로 바꾸는 방식이 대표적이다.

익명정보는 한 발 더 나아가 모든 수단을 동원하더라도 더는 개인을 알아볼 수 없게 만든 정보를 말한다.
2016년 6월 당시 정부가 마련한 '개인정보 비식별 처리 가이드라인'에도 이런 내용이 담겼지만 익명정보와 가명정보를 뚜렷이 구분하지 않아 비식별 정보의 무분별한 이용을 조장한다는 비판을 받아왔다.

정의당 추혜선 의원실이 작년 10월 공개한 자료에 따르면 비식별 가이드라인 도입 이후 기업 등에 제공된 비식별 개인정보 결합물은 3억4천만건에 달한다.

이번에 가명과 익명정보의 개념을 법으로 명확히 규정해 오남용의 소지를 줄이겠다는 게 정부의 설명이다.

정부는 하반기 내 국회 통과를 목표로 데이터 활용 법안을 마련하고, 개인정보보호법·정보통신망법 등 관련 법을 개정할 계획이다.

행정안전부 정윤기 전자정부국장은 "안전하게 조처된 가명정보는 앞으로 (당사자) 동의를 받지 않고 활용할 수 있다는 게 핵심"이라며 "개인정보가 가명 조치되길 원치 않으면 현행법에 따라 기업에 처리 중지를 요청할 수 있지만, 규정이나 절차가 상세하게 마련돼 있지 않아 규정과 절차를 준비할 계획"이라고 말했다.

정부가 데이터 활용 문턱을 크게 낮춘 데는 국내 개인정보 규제가 지나치게 엄격하다는 판단이 작용했다.

한국의 정보제공 동의제도는 OECD 주요국 중 가장 까다로운 것으로 알려졌다.

개인정보 규제에 발이 묶여서는 급성장하는 데이터 시장에 대응하기 어렵다는 게 정부의 인식이다.

리서치업체 IDC에 따르면 세계 데이터 시장 규모는 2017년 1천508억달러(한화 약 167조원)에서 연평균 11.9% 성장해 2020년 2천100억달러(233조원)에 이를 것으로 전망된다.

국내 데이터 시장도 2017년 6조3천억원에서 2020년 7조8천억원, 2022년 10조원으로 연평균 7.6% 성장이 예상된다.
◇ 가명정보, 기업 시장조사에 활용 가능…추가 정보 늘면 재식별 위험
정부는 법적으로 당사자 동의 없이 활용할 수 있는 가명정보의 범위를 기존 통계작성, 학술 연구 등에서 상업적 목적의 시장조사와 공익적 기록 보존 등으로 확대했다.

기업이 서비스 개발을 위한 조사 목적으로 고객의 동의 없이 가명정보를 활용할 수 있게 된 것이다.

예를 들어 의류회사는 특정 지역 소비자들의 구매 데이터를 분석해 연령별 선호 색상을 파악할 수 있다.

물론 구매자의 이름, 주소, 나이 등은 일련번호로 대체하거나 범주화하는 방식으로 알 수 없게 처리했기에 특정 개인이 어떤 제품을 많이 샀는지는 파악하기 어렵다.

정부는 직접적인 판매나 영업 활동에는 가명정보 활용을 금지한다는 방침이지만 시장조사가 결국 판매 확대를 위한 것이라는 점에서 개인정보가 기업의 마케팅 활동에 무분별하게 사용될 가능성이 있다.

개인정보 보안을 우려하는 목소리도 만만치 않다.

익명정보와 달리 가명정보는 추가 데이터만 있으면 개인을 식별할 수 있다.

가령 '한국대학교에 다니는 유학생 A씨'라고 가명 처리하더라도 '한국대 유학생이 1명뿐'이라는 추가 정보와 결합하면 특정이 가능하다.

인공지능과 빅데이터 기술의 발전을 고려하면 현재 재식별이 불가능한 정보도 향후에는 재식별이 가능할 수 있다는 게 보안업계 관계자들의 예상이다.

재식별 우려와 관련해 이미 고소전으로 번진 사례가 있다.

약학정보원과 약사회 등은 2011년부터 데이터 업체인 IMS헬스에 50억건에 달하는 처방전 정보를 암호화해 제공했다가 의사와 환자들로부터 손해배상 청구소송을 당했다.

작년 9월 서울중앙지법은 실제 손해가 발생했다고 볼 증거가 부족하다며 원고 패소로 판결했지만, 개인정보보호법 위반에는 해당한다고 판단했다.

제공된 정보가 암호화되긴 했지만 개인 식별이 가능하다는 이유에서였다.

참여연대 등 12개 단체도 작년 11월 "비식별 처리됐다 하더라도 기업이 보유한 원데이터와 결합하는 등의 방식으로 재식별화의 위험이 크다"며 비식별 처리된 개인정보 결합물을 기업에 제공한 공공기관과 기업 20여곳을 검찰에 고발했다.
정부는 개인정보보호를 위해 재식별 행위를 금지하고, 위반 시 당사자를 형사처벌하고 기업에 과징금을 부과할 계획이다.

데이터 결합과 분석도 국가가 지정한 전문기관에서만 가능하게 해 기업이 임의대로 결합하지 못하게 하겠다는 방침이다.

하지만 재식별을 막기 위한 비식별 조치(가명처리)의 구체적 방법과 절차 등은 아직 내놓지 않았다.

정부는 추후 외부 전문가, 관련 부처 협의를 거쳐 정하겠다는 계획이지만 개인정보 유출을 막기 위해서는 비식별 조치에 대한 논의가 우선돼야 한다는 지적이 나온다.

고려대 정보보호대학원 김승주 교수는 "정부 안은 개인정보 활용을 위한 첫발을 내디뎠다는 의미가 있지만, 실효성을 갖추기 위해서는 비식별화 조치를 어느 정도까지 할 것이냐가 중요하다"며 "현재 우리나라의 비식별 기술 수준이 낮은 만큼 외국 사례를 다양하게 연구해 관련 기술 도입을 적극적으로 검토할 필요가 있다"고 말했다.

/연합뉴스