정부, 시장조사 등 상업적 활용 허용…추가 정보 이용하면 식별 가능 고의적 재식별은 형사처벌…"가명처리 방법·절차 명확히 해야"
31일 정부가 발표한 데이터 경제 활성화 방안은 데이터 활용에 중점을 두고 있다.
가장 눈에 띄는 점은 개인정보의 개념을 명시하고, 개인을 구분할 수 없는 가명정보는 당사자 동의 없이 기업이 활용할 수 있게 한 점이다.
이를 두고 데이터 시장 활성화의 물꼬를 텄다는 평가가 나오지만 개인정보의 무분별한 활용으로 이어질 수 있다는 우려도 제기된다.
◇ 가명·익명정보 구분…"데이터 시장 활성화 기대" 정부 안에 따르면 기업이 개인정보를 당사자 동의 없이 활용하려면 개인을 알아볼 수 없도록 비식별 처리 과정을 거쳐야 한다.
비식별 과정을 거친 개인정보는 크게 가명정보와 익명정보로 분류된다.
가명정보는 추가 정보 없이는 특정 개인을 알아볼 수 없게 조치한 정보다.
'43세 남성 홍길동'이란 개인정보를 '40대 임꺽정(가명)'으로 바꾸는 방식이 대표적이다.
익명정보는 한 발 더 나아가 모든 수단을 동원하더라도 더는 개인을 알아볼 수 없게 만든 정보를 말한다.
2016년 6월 당시 정부가 마련한 '개인정보 비식별 처리 가이드라인'에도 이런 내용이 담겼지만 익명정보와 가명정보를 뚜렷이 구분하지 않아 비식별 정보의 무분별한 이용을 조장한다는 비판을 받아왔다.
정의당 추혜선 의원실이 작년 10월 공개한 자료에 따르면 비식별 가이드라인 도입 이후 기업 등에 제공된 비식별 개인정보 결합물은 3억4천만건에 달한다.
이번에 가명과 익명정보의 개념을 법으로 명확히 규정해 오남용의 소지를 줄이겠다는 게 정부의 설명이다.
정부는 하반기 내 국회 통과를 목표로 데이터 활용 법안을 마련하고, 개인정보보호법·정보통신망법 등 관련 법을 개정할 계획이다.
행정안전부 정윤기 전자정부국장은 "안전하게 조처된 가명정보는 앞으로 (당사자) 동의를 받지 않고 활용할 수 있다는 게 핵심"이라며 "개인정보가 가명 조치되길 원치 않으면 현행법에 따라 기업에 처리 중지를 요청할 수 있지만, 규정이나 절차가 상세하게 마련돼 있지 않아 규정과 절차를 준비할 계획"이라고 말했다.
정부가 데이터 활용 문턱을 크게 낮춘 데는 국내 개인정보 규제가 지나치게 엄격하다는 판단이 작용했다.
한국의 정보제공 동의제도는 OECD 주요국 중 가장 까다로운 것으로 알려졌다.
개인정보 규제에 발이 묶여서는 급성장하는 데이터 시장에 대응하기 어렵다는 게 정부의 인식이다.
리서치업체 IDC에 따르면 세계 데이터 시장 규모는 2017년 1천508억달러(한화 약 167조원)에서 연평균 11.9% 성장해 2020년 2천100억달러(233조원)에 이를 것으로 전망된다.
국내 데이터 시장도 2017년 6조3천억원에서 2020년 7조8천억원, 2022년 10조원으로 연평균 7.6% 성장이 예상된다.
◇ 가명정보, 기업 시장조사에 활용 가능…추가 정보 늘면 재식별 위험 정부는 법적으로 당사자 동의 없이 활용할 수 있는 가명정보의 범위를 기존 통계작성, 학술 연구 등에서 상업적 목적의 시장조사와 공익적 기록 보존 등으로 확대했다.
기업이 서비스 개발을 위한 조사 목적으로 고객의 동의 없이 가명정보를 활용할 수 있게 된 것이다.
예를 들어 의류회사는 특정 지역 소비자들의 구매 데이터를 분석해 연령별 선호 색상을 파악할 수 있다.
물론 구매자의 이름, 주소, 나이 등은 일련번호로 대체하거나 범주화하는 방식으로 알 수 없게 처리했기에 특정 개인이 어떤 제품을 많이 샀는지는 파악하기 어렵다.
정부는 직접적인 판매나 영업 활동에는 가명정보 활용을 금지한다는 방침이지만 시장조사가 결국 판매 확대를 위한 것이라는 점에서 개인정보가 기업의 마케팅 활동에 무분별하게 사용될 가능성이 있다.
개인정보 보안을 우려하는 목소리도 만만치 않다.
익명정보와 달리 가명정보는 추가 데이터만 있으면 개인을 식별할 수 있다.
가령 '한국대학교에 다니는 유학생 A씨'라고 가명 처리하더라도 '한국대 유학생이 1명뿐'이라는 추가 정보와 결합하면 특정이 가능하다.
인공지능과 빅데이터 기술의 발전을 고려하면 현재 재식별이 불가능한 정보도 향후에는 재식별이 가능할 수 있다는 게 보안업계 관계자들의 예상이다.
재식별 우려와 관련해 이미 고소전으로 번진 사례가 있다.
약학정보원과 약사회 등은 2011년부터 데이터 업체인 IMS헬스에 50억건에 달하는 처방전 정보를 암호화해 제공했다가 의사와 환자들로부터 손해배상 청구소송을 당했다.
작년 9월 서울중앙지법은 실제 손해가 발생했다고 볼 증거가 부족하다며 원고 패소로 판결했지만, 개인정보보호법 위반에는 해당한다고 판단했다.
제공된 정보가 암호화되긴 했지만 개인 식별이 가능하다는 이유에서였다.
참여연대 등 12개 단체도 작년 11월 "비식별 처리됐다 하더라도 기업이 보유한 원데이터와 결합하는 등의 방식으로 재식별화의 위험이 크다"며 비식별 처리된 개인정보 결합물을 기업에 제공한 공공기관과 기업 20여곳을 검찰에 고발했다.
정부는 개인정보보호를 위해 재식별 행위를 금지하고, 위반 시 당사자를 형사처벌하고 기업에 과징금을 부과할 계획이다.
데이터 결합과 분석도 국가가 지정한 전문기관에서만 가능하게 해 기업이 임의대로 결합하지 못하게 하겠다는 방침이다.
하지만 재식별을 막기 위한 비식별 조치(가명처리)의 구체적 방법과 절차 등은 아직 내놓지 않았다.
정부는 추후 외부 전문가, 관련 부처 협의를 거쳐 정하겠다는 계획이지만 개인정보 유출을 막기 위해서는 비식별 조치에 대한 논의가 우선돼야 한다는 지적이 나온다.
고려대 정보보호대학원 김승주 교수는 "정부 안은 개인정보 활용을 위한 첫발을 내디뎠다는 의미가 있지만, 실효성을 갖추기 위해서는 비식별화 조치를 어느 정도까지 할 것이냐가 중요하다"며 "현재 우리나라의 비식별 기술 수준이 낮은 만큼 외국 사례를 다양하게 연구해 관련 기술 도입을 적극적으로 검토할 필요가 있다"고 말했다.
온라인 광고-소비 관계 파악해 광고주에 보고전례없는 광고효과 측정법이나 광범위한 사생활침해 논란구글이 온라인 광고가 실제 제품 구매에 얼마나 효과적이었는지를 추적하기 위해 마스터카드를 통해 소비자의 결제 기록을 수집하고 있다고 블룸버그통신이 30일(현지시간) 보도했다.소식통에 따르면 구글은 마스터카드와 비밀리에 계약을 맺고 지난 1년간 카드 정보를 사들여왔다.블룸버그는 구글이 온라인 광고와 그 품목에 대한 실제 소비의 관계를 파악할 전례없이 완벽한 방법을 찾았다고 해설했다.그러나 이런 작업이 이용자들에게 알리지 않고 그들의 정보를 은밀히 수집하는 방식으로 이뤄지는 까닭에 광범위한 사생활 침해 우려를 불러일으킨다고 지적했다.이 통신은 구글이 카드 정보를 수집하는 구체적 방식을 소개했다.이용자가 구글 사이트에 로그인한 다음 구글 광고를 클릭해 특정 제품을 살펴보고 나서 30일 이내에 매장에서 마스터카드로 이 제품을 산다.그러면 구글은 광고주에게 이 제품과 광고의 효과성에 대한 보고서를 보낸다.구글은 온라인 광고의 지배자다.구글은 글로벌 광고 시장의 30% 안팎을 점유하고 있다.구글은 이미 지난해 파트너 회사를 통해 미국의 신용카드와 현금카드의 약 70%에 접근할 수 있다고 밝힌 바 있다.이는 구글이 다른 카드회사들과도 결제 정보 구입 계약을 맺었다는 것을 의미한다고 블룸버그는 전했다.구글 대변인은 이용자 개인을 식별할 수 있는 정보는 암호화됐기 때문에 구글이나 파트너 회사들이 볼 수 없다고 설명했다.구글은 또 이용자가 원하면 '웹과 앱 활동' 메뉴에서 추적을 거부할 수 있다고 덧붙였다./연합뉴스
개인정보보호 규제 완화는 문재인 정부가 은산분리 규제 완화와 함께 추진하는 규제개혁의 핵심 과제다. 박근혜 정부도 개인정보 규제 완화를 추진했지만 2014년 초 발생한 카드사 정보유출 사태 이후 시민단체의 거센 반발에 부딪혀 번번이 무산됐다. 이 때문에 이름, 주민등록번호, 직장, 집주소 등을 가려도 개인정보를 활용할 수 있는 길은 원천봉쇄돼 있다. 개인정보 유출이라는 ‘트라우마’에만 사로잡혀 빅데이터산업 글로벌 경쟁에서 한국이 뒤처지고 있다는 평가가 나온다.◆잇따라 중단된 규제완화개인정보 규제 완화의 핵심은 비(非)식별화된 개인정보를 당사자의 사전 동의 없이 상업적 목적으로 활용할 수 있느냐의 여부다. 국내에선 개인정보보호법, 정보통신망법, 신용정보법 등 3개 법에서 개인정보의 정보 수집 및 방식 등을 명시하고 있다. 이 중 핵심은 개인정보보호법이다. 당사자 동의 없는 개인정보 수집이나 활용 및 제3자 제공을 금지하기 위해 2011년 3월 제정됐다.하지만 개인정보 수집과 활용이 엄격히 제한돼 있어 ‘4차 산업혁명 시대의 원유’로 불리는 빅데이터산업 활성화는 꿈도 꾸기 어렵다는 지적이 제기됐다. 통상 빅데이터가 가장 많이 활용될 수 있는 분야로는 금융과 의료 분야가 꼽힌다. 금융회사들은 고객 카드 사용 및 대출 이력 등 빅데이터를 활용해 새로운 대출 상품 및 맞춤형 자산관리를 할 수 있다. 빅데이터를 활용하면 차주들의 상환능력에 대한 세밀한 평가가 가능해져 대출금리가 낮아지는 효과를 기대할 수 있다. 환자들의 건강검진 및 진료 내용 등 의료정보가 대거 쌓이면 신규 의료기술 개발도 가능해진다. 빅데이터를 분석하는 기업 육성을 통해 새로운 산업도 키울 수 있다.박근혜 정부는 2013년 말부터 빅데이터산업 활성화를 위해 본격적으로 개인정보 규제완화를 추진했다. 개인 식별이 불가능한 비식별정보는 당사자 사전 동의 없이도 금융사 등 민간기업이 자유롭게 활용할 수 있도록 하자는 취지였다. 현행 개인정보보호법상엔 비식별정보에 대한 개념조차 없다.그러나 이듬해 1월 KB국민카드, 롯데카드, 농협카드 등 3개 카드사에서 1억 건이 넘는 개인정보 유출 사고가 터지면서 규제완화 움직임은 크게 위축됐다. 규제완화 가이드라인 초안까지 내놨던 정부도 법 개정 논의를 사실상 중단했다. 박근혜 정부는 2년 뒤인 2016년 6월에서야 부처 합동으로 ‘개인정보 비식별조치 가이드라인’을 발표했지만 기준이 부실하고 법적 근거가 부족하다는 지적이 제기됐다.당시 정부는 가이드라인을 뒷받침할 개인정보보호법 등 관련법 개정을 추진했지만 정보 유출을 우려하는 시민단체 등의 반대에 가로막혀 번번이 무산됐다. 지난해 11월엔 이 가이드라인에 근거해 비식별정보를 활용한 공공기관과 기업들을 진보 시민단체들이 개인정보보호법 위반 혐의로 고발하면서 가이드라인은 사문화됐다.◆“가명정보 상업적 활용 가능”개인정보 규제 완화의 필요성이 다시 대두한 건 올초부터다. 유럽연합(EU)과 일본 등이 지난해부터 빅데이터 활성화를 위해 잇따라 개인정보 규제를 완화하는 와중에 한국만 뒤처지고 있다는 우려에서다. 한국정보화진흥원에 따르면 지난해 기준 국내 빅데이터 시장 규모는 4547억원으로 전체 정보통신기술(ICT)산업 총생산(428조원)의 0.1% 수준에 불과하다.한국의 개인정보 규제는 세계에서 최고 수준이라는 지적도 업계에서 제기돼 왔다. 이에 따라 대통령 직속 4차산업혁명위원회는 지난 2월과 4월 두 차례 끝장토론을 통해 비식별정보 활용을 권고했다. 최종구 금융위원장은 3월 금융권 빅데이터 활성화를 위한 규제완화 필요성을 역설했다. 국회 4차산업혁명 특별위원회도 5월 비식별정보의 일종인 가명(假名)정보의 입법화를 특별권고사항으로 지목했다.정부는 개인정보보호법 개정을 통해 비식별정보의 개념을 관련법에 명시하겠다는 계획이다. 주무부처인 행정안전부가 마련 중인 개정안 초안에 따르면 개인 관련 정보는 △개인정보 △가명정보 △익명정보로 구분된다. 비식별정보를 가명정보와 익명정보로 구분한 뒤 가명정보를 공공기관과 기업들이 당사자 사전동의 없이 상업적 목적으로도 자유롭게 활용하자는 방침이다. 단순 통계데이터인 익명정보와 달리 가명정보는 추가정보와 결합하면 개인 식별이 가능하기 때문에 그동안 활용이 금지돼왔다.강경민 기자 kkm1026@hankyung.com
미국과 유럽연합(EU), 일본 등 해외 주요 국가들은 빅데이터산업 활성화를 위해 개인을 알아볼 수 없는 비식별정보에 대해선 상업적 목적으로 활용할 수 있도록 관련법을 개정하는 등 규제완화에 나서고 있다. 개인정보는 철저히 보호하되, 비식별화된 가명정보는 기업이 자유롭게 활용할 수 있도록 하는 방식이다.빅데이터산업 활성화를 위해 비식별정보 활용을 장려하는 대표적인 국가는 미국이다. 미국은 한국처럼 모든 분야를 망라해 정보보호 원칙을 규정하는 개인정보보호법을 두지 않고 있다. 대신 개별 법률에서 개인정보 보호와 함께 활용방안도 규정하고 있다. 예를 들어 미 의료정보보호법은 이름·주소·전화번호 등 개인식별 요소가 제거된 데이터를 자유롭게 이용할 수 있도록 규정한다.기본적으로 비식별정보에 대해선 민간 자율규제를 원칙으로 하고 있어 사실상 자유로운 활용이 가능하다는 것이 정부 관계자의 설명이다. 미국은 스위스 국제경영개발대학원(IMD)이 올초 발표한 세계 빅데이터 활용·분석 순위에서 카타르와 이스라엘에 이어 3위를 차지했다. 다만 미국은 개인 식별이 가능한 정보를 유통하거나 개인 프라이버시권을 침해했다고 판단되면 엄격한 사후규제를 적용한다.일본은 2003년 제정된 개인정보보호법을 2015년 9월 개정해 빅데이터 활용을 촉진하는 제도적 기반을 마련했다. 개인을 알아볼 수 없는 ‘익명가공 정보화’라는 개념을 도입해 당사자 동의 없이도 제3자에게 비식별정보를 제공하도록 한 것이 개정안의 핵심이다. 중국이 핀테크(금융기술) 강국으로 떠오른 것도 개인정보 활용에 대한 장벽을 낮춰 사후규제를 적용한 것이 배경으로 꼽힌다. 다만 개인을 알아볼 수 있는 정보가 무차별적으로 유통되고 있다는 판단에 따라 중국 정부는 지난해 개인정보 보호 관련법(인터넷안전법)을 제정해 시행하고 있다.EU는 전통적으로 개인 프라이버시권에 초점을 둬 개인정보 보호에 대한 규제 수준이 다른 국가에 비해 강하다. 한국의 개인정보보호법도 EU의 규제를 벤치마킹했다는 것이 정부 관계자의 설명이다. IMD가 올초 발표한 세계 빅데이터 활용·분석 순위에서 상위권에 포함된 EU 국가를 찾기 어려운 것도 이런 이유에서다.다만 EU는 2015년 회원국 간의 단일법으로 일반정보보호규정(GDPR)을 제정한 뒤 지난 5월부터 시행하고 있다. 가명처리된 개인정보를 공익·연구·통계의 목적으로 사용할 경우 당사자 동의 없이도 빅데이터 분석을 할 수 있도록 허용한 것이 핵심이다. 당사자 동의가 있으면 상업적 목적으로도 활용 가능하다.개인정보보호법 주무부처인 행정안전부는 GDPR을 벤치마킹해 비식별정보에 대한 활용을 허용하는 개인정보보호법 개정안을 조만간 발의할 계획이다. 행안부 관계자는 “한국의 개인정보 규제는 EU 수준을 웃돌고 있다”며 “비식별화된 가명정보 활용을 높일 수 있도록 개인정보보호법을 개정할 계획”이라고 밝혔다.강경민/박진우 기자 kkm1026@hankyung.com
!['베니스의 장인들' 르네상스 조선소에 쿵쿵쿵 망치질! 클래스가 달랐던 토즈 전시 [2024 베네치아 비엔날레]](https://timg.hankyung.com/t/560x0/photo/202404/01.36496137.3.jpg)