[디지털데일리 이종현기자] 데이터3(개인정보보호법·신용정보법·정보통신망법) 개정안 통과되면서 데이터 활용에 대한 기대가 높아지고 있다. 하지만 이를 가장 반겨야 할 기업의 반응이 뜨뜻미지근하다. 새롭게 도입된 ‘가명정보’의 개념과 활용 범위가 모호하다는 의견이다.
개인정보보호법에는 가명정보라는 개념이 새롭게 도입됐다. 가명정보란 기업·기관이 수집한 개인정보에 비식별 조치를 해 추가정보 없이 개인을 알아볼 수 없도록 한 정보다. ‘홍길동, 31, 900101-1111111, 남성, 마포구 아현동’이라는 정보를 ‘홍**, 30대, 9*****-1******, 남성, 서울’처럼 개인을 알아볼 수 없도록 비식별화한 정보다.
이처럼 비식별 조치를 한 가명정보는 정보 주체의 동의 없이 데이터를 활용할 있도록 하는 것이 이번 데이터3법의 핵심이다. 하지만 비식별 조치는 어떻게 하는 것인지, 또 어느 정도의 비식별 조치를 해야 가명정보라고 할 수 있는 것인지, 가명정보의 활용 범위는 어디부터 어디까지인지 등의 문제가 산적해 있다.
가명정보는 개인을 식별할 수 없는 ‘익명정보’와는 달리, 다른 정보와 결합하면 개인을 식별할 수 있다. 식별 가능성이 남은 셈이다. 하지만 어느 정도의 비식별 조치가 적정한가에 대한 논의는 여전하다.
가령 휴대폰에 내장된 단말기 고유 일련번호인 ‘IMEI’나 ‘맥 어드레스’는 개인정보에 포함된다. 관련 지식이 있는 사람·기관은 IMEI나 맥 어드레스로 개인을 식별할 수 있다. 하지만 일반인의 경우 IMEI를 보더라도 이게 어떤 정보인지 알 수 없는 경우가 태반이며 이를 통해 개인을 식별하는 것은 더 드물다. 비식별 조치를 해 가명정보를 만들더라도 해당 정보에 대한 지식이나 추가 정보가 있는 사람·기관은 개인을 식별할 가능성이 있기 때문에 비식별 조치에 대한 지침, 가이드라인이 꼭 필요하다는 게 산·학·연 공통의 의견이다.
또 가명정보의 활용 범위를 학술적 연구에 국한해야 한다는 시민단체 지적도 있다. 개정된 개인정보보호법에는 가명정보의 활용 범위로 ▲통계작성 ▲과학적 연구 ▲공익적 기록보존 등 세 경우를 명시했다. 신용정보법의 경우 상업적 목적으로 이용할 수 있다는 내용이 담겨 있으나 개인정보보호법에는 해당 내용이 없어 해석의 여지가 남은 셈이다.
이에 대해 다수의 학계, 산업계 종사자는 데이터3법의 개정 취지가 신산업 육성인 만큼 산업적·학술적 연구에 활용하는 것은 무리 없다는 의견이다.
또 개정법이 개인정보보호를 위해 기존보다 더 엄격한 처벌 조항을 담은 것도 기업을 조심스럽게 만드는 요인 중 하나다. 하나의 사고에도 과징금, 과태료, 형사처벌을 중첩해서 받을 수 있다. 특히 형사처벌의 경우 지나치게 광범위하게 적용된다는 문제가 있다. 유럽연합(EU)의 일반 개인정보보호법(GDPR)에는 형사처벌 조항이 없다.
홍대식 서강대 법학전문대학원 교수는 지난 18일 개인정보보호법학회 주최로 열린 ‘데이터3법의 개정과 향후 입법과제 모색’ 토론회에서 데이터3법에 대해 “데이터3법은 데이터 활용의 문을 활짝 열어준 게 아니라 조금 열어준 것”이라고 평가하며 “기업이나 연구기관 등 데이터를 활용하고자 하는 입장에서는 조금 열린 문에 ‘이거 들어가도 되나?’, ‘나 들어갈 자격 있어?’ 등의 고민을 하고 있다”고 말했다.
이어서 그는 “법에서 가명정보 개념을 도입했지만 그 기준이 불명확한 상태”라며 “개인식별정보와 개인식발가명정보라는 것이 있다. 개인정보는 이름, 주민번호, 사진 등이고 개인식별가명정보는 전화번호, 이메일 등이다. 이 정보에서 식별자를 제거하면 가명정보가 되는 것일까. 앞으로의 과제는 이런 ‘가명처리의 기준’이다”고 전했다.
데이터3법은 1월9일 국회 본회의에서 통과됐고 2월4일 공표돼 6개월 이후인 8월5일부터 시행된다. 5개월가량 시간이 남았다. 시행령, 가이드라인, 법해설서 등 후속 조치를 책임질 개인정보보호위원회는 데이터 활용과 개인정보보호라는 두 마리 토끼를 다 잡기 위해 바삐 움직이고 있다. 공은 개인정보보호위원회로 넘어갔다.