정부가 개인정보보호법 개정을 추진하고 있다. 데이터가 4차 산업혁명 시대의 자원으로 부상한 만큼 안전한 데이터 활용에 대한 논의가 이뤄져야 하는 시기이기 때문이다.
이에 빅데이터 산업 발전과 개인정보보호를 모두 충족시킬 수 있는 안이 나올지, 기대와 우려가 공존하고 있는 상태다.
전세계 주요 국가는 데이터를 활용하면서 안전하게 보호하는 방안에 대해 고민하고 있다. 미국, 유럽연합(EU), 일본 등도 마찬가지다. 다만, 한국은 일본과 EU에 가깝다.
이들 국가는 개인정보 보호에 방점을 두지만, 미국은 개인정보도 일반 정보와 동일하게 취급한다. 다만, 프라이버시는 중요하다. 개인정보 유출로 인해 프라이버시 침해가 일어날 수 있기 때문에 안전한 조치를 취하자는 것이 골자다.
한국의 개인정보보호법에 따르면 개인정보란 살아있는 개인에 관한 정보로, 성명, 주민등록번호 및 영상 등을 통해 개인을 알아볼 수 있는 정보다.
해당 정보만으로 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합해 알아볼 수 있는 것도 포함된다. 전화번호 뒷자리 번호 4개만 있어도 개인정보라 할 수 있다. 한국에서 개인정보를 보호하는 이유는 개인정보 자기결정권을 보장하기 위해서다.
정연돈 고려대학교 교수는 지난 27일 열린 ‘제2회 삼성전자 보안기술 포럼’에서 “데이터가 유출됐다고 반드시 프라이버시가 침해됐다는 의미는 아니다”라며 “개인정보가 아닌 값이 프라이버시를 침해할 수도 있다”고 말했다.
정 교수는 개인정보보호와 프라이버시 보호는 완전히 일치되지 않는다고 지적했다. 예를 들어, 5명이 속한 한 그룹의 몸무게 평균값이 50Kg로 나왔을 때, 4명의 몸무게를 알게 되면 나머지 한 명의 몸무게는 자동으로 산출 가능한 것처럼 말이다.
국가 간 개인정보와 프라이버시를 보는 관점도 다르다. 한국, 일본, 유럽은 개인정보에 대한 자기 결정권을 중시한다. 개인정보 주체에 대한 자기결정권을 인간의 기본 권리로 인식하기 때문에 국가가 개입해서 지켜준다.
반면, 미국은 개인정보라는 개념이 없다. 일반 정보와 개인정보에 차이를 두지 않는다. 정보는 정보를 만든 사람의 것이다. 하지만 개인의 프라이버시는 존재한다. 프라이버시를 침해받은 피해자가 가해자를 고소하는 이유다.
정 교수는 “한국에서는 데이터 익명화에 대해 직·간접적 방법으로 데이터가 식별되지 않도록 개인정보 데이터를 변형하도록 하고, 보호대상은 개인정보다”며 “미국의 경우, 개인정보이든 그렇지 않든 어떤 데이터로부터 개인의 프라이버시가 침해되는 상황이 발생하지 않도록 데이터를 가공하는 행위로 보고 있으며, 보호 대상은 개인의 프라이버시”라고 설명했다.
데이터를 익명화한다는 것은 특정 개인을 알 수 없도록 만드는 행위로, 익명화된 정보는 개인정보로 더 이상 취급하지 않는다. 개인정보를 개인정보가 아닌 것으로 가공하는 것이 익명화다.
정 교수는 “미국에서도 데이터 익명화 관련 규정들이 존재하는데, 의료 및 건강에 관한 정보의 처리 때 사용하는 HIPAA와 교육 관련 정보 공개 때 적용하는 FERPA가 있다”며 “이 규정에 따라 익명화 조치 후 공개된 데이터를 통해 개인의 프라이버시 침해가 발생할 경우, 국가기관이 그에 대한 책임을 지지 않게 하는 것이 목적”이라고 부연했다.
이어 “현재 한국에서는 개인정보보호법을 개정 중인데 익명 데이터를 어떻게 볼 것이냐의 명확한 기준 만들기가 중요한 포인트”라며 “미국처럼 프라이버시만 보호하는 체제로 가려면 헌법을 바꿔야 하기 때문에 어려울 것이며, 식별방지와 프라이버시 보호를 모두 충족하려고 하면 전세계에서 데이터를 가장 못 쓰게 하는 규정이 될 것이기 때문”이라고 덧붙였다.