[디지털데일리 최민지기자] 개인을 식별할 수 없도록 조치한 데이터 간 결합을 통해 빅데이터 시장 내 새로운 비즈니스 모델을 창출하겠다는 정부 계획이 순항하지 못하고 있다. 시민단체들이 개인정보 침해를 이유로 반대하고 있기 때문이다.
대통령직속 4차산업혁명위원회(위원장 장병규, 이하 4차위)는 지난 3일과 4일 충청남도 천안 소재 우정공무원교육원에서 ‘제3차 규제․제도혁신 해커톤’을 개최하고, 개인정보 보호와 활용의 조화 방안에 대한 의제를 논의했다.
이 과정에서 데이터결합과 관련한 구체적인 방안에 대해서는 시민단체와 산업계가 서로 다른 의견을 제시해 합의에 이르지 못했다.
개인정보 비식별조치 가이드라인에 따라 데이터를 결합한 것을 문제 삼은 12개 시민단체는 지난해 11월 한국인터넷진흥원 등 공공기관과 20여개 기업을 검찰에 고발하기도 했다.
이 가이드라인에 의하면 규정에 따라 적정한 비식별조치 절차를 거친 데이터는 동의 없이 산업·연구 등에 활용될 수 있다. 개인을 식별할 수 없는 만큼 데이터결합을 통해 새로운 서비스 모델도 창출 가능하다. 이 부분에서 시민단체는 재식별 위험성이 크다고 지적해 왔다.
이날 해커톤을 통해 시민단체는 현행 개인정보보호체계에서 민간기업이 보유한 개인정보 연계와 결합은 허용될 수 없다고 재차 밝혔다.
시민단체 측은 “통계청 혹은 관련 전문기관이 개인정보 침해 위협에 비해 공익적 가치가 큰 연구 및 통계 목적에 한해 공공기관이 보유한 데이터의 연계, 결합을 관련 법률 및 유엔유럽경제위원회(UNECE) 원칙에서 규정한 엄격한 거버넌스 체제 하에서 수행할 수 있다”며 “정보주체 동의를 획득한 경우 또는 익명정보 사이의 결합은 가능하다”고 주장했다.
반면, 정부는 국내 비식별조치 가이드라인 기준이 다른 나라에 비해 엄격한 만큼 재식별될 가능성은 낮다고 강조하고 있다. 오히려 산업계에서는 실제 분석 유연성이 떨어진다고 토로할 정도다. 이에 한국인터넷진흥원은 연내 개인정보 비식별 콘테스트를 열고 재식별 위험 분석과 기술적 적정 수준을 도출할 예정이다.
산업계에서는 새로운 가치를 창출하기 위해 데이터 결합 제도를 도입하되, 인가받은 TTP(Trusted Third Party)를 통해 데이터 결합을 수행하거나 엄격한 안전조치 하에 자체적으로 수행할 수 있도록 해야 한다고 요청하고 있다. TTP에 대해 법적 지위를 부여해 TTP에 데이터를 제공하는 것은 데이터의 제3자 제공이 아님을 명확히 해달라는 것이다.
이를 위해 산업계는 안전한 결합과정을 위한 요건들을 열거했다. 결합과정에서 관리적 투명성을 확보하고, 가명처리의 적정성 평가를 거쳐야만 결합을 요청한 정보처리자에게 제공돼야 한다는 점을 들었다.
또, 결합된 데이터는 안전조치가 취해져야 하며 이를 위한 관리절차를 마련해 운영하고 기존 고객정보가 있는 레거시 시스템과 분리 보관해야 한다. 접근 권한도 별도로 부여하고 결합 데이터에 대해서는 어떤 형태로도 재식별 행위를 해서는 안 된다고 했다. 또, 결합 데이터는 당초 목적 내에서만 활용 가능하고, 목적 달성 때 폐기한다.
이날 양 측은 데이터 결합은 사회적 후생을 증진하는 중요한 역할을 할 수 있으나 그 과정에서 발생할 수 있는 개인정보 침해의 위험성도 간과돼서는 안 된다고 동의했다. 또, 정부는 데이터 결합의 법적 구성방식들을 구체화하고 개인정보 침해 위험에 비례해 사전적 또는 사후적 통제방안을 마련하도록 노력키로 했다.
이와 함께 가명정보의 활용 목적과 범위에 대한 논의도 이어졌다. 이번 해커톤을 통해 가명정보는 ▲공익을 위한 기록 보존의 목적 ▲학술 연구 목적 ▲통계 목적을 위해 당초 수집 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다고 합의했다.
이를 위해서는 가명처리를 포함한 기술적·관리적 조치 등 안전조치가 취해져야 한다. 학술연구 목적에는 산업정 연구 목적, 통계 목적에는 상업적 목적이 포함될 수 있다.
정부는 유럽연합 일반개인정보보호법(EU GDPR) 등 해외 입법례를 참조해 가명처리 여부 등 여러 사정을 고려, 개인정보를 당초 수집한 목적과 상충되지 않은 목적으로 활용할 수 있도록 하는 제도를 마련키로 했다.
또한, 정부는 익명처리 적정성을 평가하기 위한 절차와 기준을 준비할 수 있다. 이러한 절차와 기준은 기술적 중립성에 입각해야 하며, 강제적이거나 최종적인 것으로 해석돼서는 안 된다.
적정성 평가를 위해 신뢰할 수 있는 제3의 기관(Trusted Third Party)이나 전문가를 활용할 수 있는데, 현행 비식별조치 가이드라인 하의 전문기관을 지칭하는 것은 아니다.
아울러 정보통신망법, 신용정보법, 위치정보법은 각 부문에서 고유하게 규정할 필요가 있는 사항을 제외하고 개인정보 보호와 관련한 중복·유사 조항에 대해서는 통일적 규율이 필요하고 개인정보 보호와 활용을 위한 거버넌스 개선방안을 도출해야 한다는 점에서도 같은 의견을 나타냈다.