2016년도에 제정된 「개인정보 비식별 조치 가이드라인」(링크)은 당시 개인정보보호 법령의 틀 안에서 빅데이터가 안전하게 활용되는데 필요한 개인정보의 비식별 조치에 관한 내용을 담고 있었다. 그러나 '비식별(조치)'라는 것 자체가 법적 근거가 없었기에 많은 논란을 불러 일으켰다고 한다.
[slownews] 대한민국 발명품 '가명정보' 그것이 문제로다
그러면 가이드라인만 문제인가? 그건 아니다. 위 글은 국가인권위원회를 통해 발간된 연구용역보고서인 유럽연합「개인정보보호 규정」(GDPR) 등 국제인권기준에 따른 개인정보 보호 법제도 개선방안 연구(2020)의 주요 내용을 실은 슬로우뉴스 웹사이트의 「개인정보, 무엇을 어떻게 보호할 것인가」 연속 기고문의 하나이다. 여기를 보면 데이터 3법의 주요 쟁점과 문제점에 대해서도 상세히 다루고 있다. 보고서의 작성 주체는 사단법인 정보인권연구소이므로 진보적인 시각에서 작성되었을 것임을 미리 예상할 수 있겠다. 정보인권연구소의 웹사이트 주소는 https://idr.jinbo.net/ 이다!
가장 중요한 법이라고 할 수 있는 개인정보 보호법의 문제점은 굳이 이 보고서를 들추지 않더라도 인터넷 여기저기에서 쉽게 나타난다. 예를 들어서 국내법은 개인정보와 개인식별정보를 거의 동일하게 취급함으로써 많은 혼선을 빚고 있다. GDPR에서도 두 정보를 동일하게 간주하는 것으로 추정되지만, 이를 기계적으로 나누는 것에 초점을 맞추기보다는 넓은 범주를 개인정보로 판단하고 이를 활용하기 위해 어떻게 가명정보화할 것인가에 주목하고 있다고 한다(STEPI Insight 제227호 2018.12.21. "유럽 개인정보보호법(GDPR)과 국내 데이터 제도 개선방안", 12쪽 참조).
서두에서 소개한 가이드라인의 개정판은 2022년 4월에 나왔는데, 제목이 「가명정보 처리 가이드라인」(링크)으로 크게 바뀌었다. 137쪽에 이르는 이 자료에는 '비식별'이라는 낱말이 6쪽에 단 한 차례 나온다.
보호법 개정 및 시행(’20.8.5.)으로, 「개인정보 비식별조치 가이드라인」(’16)은 더 이상 현행법에 따른 가이드라인이 아니므로 활용하지 않음
가명정보 처리 가이드라인('22.4.29.) 6쪽의 개요. 가명정보는 pseudomymised data, 익명정보는 anonymised data에 해당한다. |
개인정보 보호법 개념을 GDPR(EU 개인정보보호법에 해당; 링크; 국내 KISA의 GDPR 대응지원센터 링크)에서 빌려왔지만, GDPR은 정작 가명정보를 정의하지 않는다고 한다. 즉, 유럽에서는 가명정보라는 특정한 상태나 그 방법을 정의해 놓는 것이 아니고, 개인정보 침해 위험을 줄이기 위한 여러 방법 중 하나로서 가명처리를 간주한다는 것이다. 진지한 고민이 필요한 영역이라고 생각한다.
데이터 3법의 개정을 통해 가명정보는 정보주체의 동의 없이 사용하는 것을 원칙으로 하였다. 정보인권연구소의 보고서에서는 시민 사회의 주장을 근거로 정보주체의 동의 없는 개인정보의 목적 외 활용은 순수한 학술연구로 제한해야 한다고 하였다. 그러나 요즘 세상에 순수한 학술연구라는 것이 어디 있는가? 영리를 추구하는 기업을 '악'으로 쉽게 규정하는 것에 대해서 주의를 기울이 필요가 있다. 기업은 고용 창출과 세금 납부를 통해서 제 몫의 사회 기여를 한다. 물론 그 과정이 항상 순탄한 것은 아니고 상당한 수준의 줄다리기가 존재하지만...
그러한 맥락에서 핀란드 보건의료 데이터의 활용 제도('19년 5월 도입한 「의료 및 사회보장 데이터 2차 활용에 관한 법률」 은 많은 것을 시사한다. 한국보건산업진흥원에서 발간한 보건산업브리프(KHIDI Brief) vol. 324(링크)의 마지막 부분인 시사점을 들추어 보자. 정보 신청 및 제공 동의 과정은 국내와 핀란드에 큰 차이는 없으나, 정보 제공 의무에 대해서는 핀란드가 더욱 적극적인 태도를 보인다. 즉, 국내에서는 가명정보의 제공은 의무사항이 아니며, 개인정보처리자의 재량 범위에 있지만, 핀란드는 그렇지 않다는 것이다.
개인으로부터 비롯된 정보가 사기업의 '돈벌이'에 쓰인다고 하여 너무 색안경을 끼고 볼 일은 아니라는 것이 나의 기본적인 생각이다. 이는 도덕이나 윤리와는 다른 차원의 문제라고 본다.
2023년 2월 1일 업데이트: 개인정보 비식별처리 방법
미국 상무부 산하 국립표준기술연구소(NIST)에서 2015년에 발간한 「개인정보의 비식별처리」(De-identification of personal information, 링크)를 소개한다. 구글을 잘 뒤지면 국문 번역본도 존재한다. 한국인터넷진흥원(KISA)에서 2016년에 발간한 「개인정보 비식별화 관련 해외 현황 및 사례」(링크)도 추천한다. 조금만 뒤지면 매우 상세한 연구 보고서와 논문도 수두룩하게 찾을 수 있을 것이다. 예를 들면 「해외 비식별 조치 가이드라인 등에 대한 비교·분석」(2018 링크)가 그러하다. 인용회수가 얼마 되지 않는 논문보다는 이런 연구 보고서를 읽어보는 것이 더욱 유익할 것이다.