[성지은] 기업은 동의 없이 개인정보를 교환했나

최근 국정감사 시즌을 맞아 비식별 정보 활용을 두고 말이 많다.

비식별 정보를 결합한 기업은 '동의 없이 고객 개인정보를 교환했다'며 정치권으로부터 뭇매를 맞고 있다. 또 비식별 정보를 활용토록 길을 터준 정부 역시 '개인정보를 유통한 파렴치한 정부'로 비판받고 있다.

이러한 비판 속에 개인정보 활용을 원천 차단해야 한다는 극단적인 목소리까지 나온다.

그러나 이러한 비판이 맞는지 다시 한번 살펴볼 필요가 있다.

◆비식별 정보란?

우선 비식별 정보에 대해 알아야 한다.

비식별 정보란 개인정보가 비식별 조치된 정보를 말한다. 주민등록처럼 특정 개인을 구분할 수 있는 정보를 제거하고 개인을 식별할 수 없도록 한 데이터다.

가령 '39세 임꺽정'에 대한 정보는 '30대 후반 임OO' 같은 식으로 뭉뚱그리거나 알 수 없도록 마스킹 처리하는 식이다.

개인의 상태 등에 관한 개인정보는 데이터 가운데도 이용가치가 높은 데이터다. 신상품 개발, 마케팅 전략 수립 등 산업 측면에서 활용될 수 있다. 또 맞춤형 복지 설계 등 공공 차원에서도 다양하게 활용될 수 있다.

이 때문에 개인정보를 보호하면서 동시에 유의미한 데이터를 활용할 수 있는 여러 비식별 조치 방법이 연구되고 있다.

미국·영국·일본 등 주요 선진국은 개인정보 침해 가능성을 최소화하면서 데이터 산업을 활성화하기 위한 정책을 추진하고 있다.

◆개인정보 비식별 조치 가이드라인에 대해

이에 작년 6월 행정자치부(현 행정안전부) 등 관계부처는 합동으로 '개인정보 비식별 조치 가이드라인'을 내놓고 가이드라인에 비식별 조치 기준·절차·방법과 관련한 내용을 안내했다.

만약 개인정보 비식별 조치가 충분하지 않을 경우, 공개 정보 등 다른 정보와 결합해 개인을 식별하고 사생활을 침해하는 등 여러 가지 문제가 발생할 수 있다.

이에 가이드라인은 비식별 조치와 사후 관리 절차에 대한 내용을 담았다.

기업은 개인정보를 활용할 시 비식별 조치, 즉 개인이 식별되지 않도록 기술적·관리적 조치 등을 취해야 한다. 또 비식별 조치가 제대로 이뤄졌는지 평가단을 통해 적정성을 평가받는다.

평가단은 비식별 조치 전문기관을 통해 추천받은 외부전문가를 포함한다. 만약 비식별 조치가 제대로 이뤄지지 않았다면 추가적으로 조치를 취하고, 적정하게 이뤄졌다면 데이터를 활용할 수 있다.

만약 통신데이터와 금융데이터를 결합하고 싶다면 전문기관을 통해 비식별 조치한 정보집합물을(데이터세트)를 결합할 수 있다.

◆기업은 동의 없이 개인정보를 교환했나

본래의 논의로 돌아와서 다시 한번 살펴보자. 기업은 동의 없이 고객 개인정보를 교환했는가.

그렇지 않다. 가이드라인에 따르면, 비식별 정보는 비식별화가 제대로 이뤄졌다는 가정 하에 개인정보가 아닌 것으로 추정한다. 따라서 동의 없이 개인정보를 교환했다고 볼 수 없다.

현행법이 갖춰지지 않은 가이드라인이지만, 정부에서 내놓은 가이드라인을 준수한 기업을 무조건 나무랄 수는 없다.

만약 비식별 정보가 정보집합물 결합을 통해 개인이 식별될 경우, 기업이 제대로 비식별 조치를 취하지 않아 개인정보가 노출될 경우에는 문제가 될 수 있겠다.

그러나 이러한 가능성을 차단하기 위해 가이드라인은 사전적 조치와 사후적 조치를 취하도록 하고 있다.

정부에 대해서는 어떻게 봐야 할까. 사회적 논의를 거치지 않고 가이드라인을 섣불리 내놓은 것은 잘못일 수 있겠다.

법이 아닌 반쪽짜리 가이드라인이니 모호한 내용이 존재했고 기업 입장에서는 실효성이 떨어진다는 불만이 터져 나왔다. 시민단체에선 무분별하게 개인정보를 활용할 수 있는 길을 터줬다는 비판이 쏟아졌다.

그러나 4차 산업혁명 시대, 더군다나 빅데이터가 변화의 동력으로 여겨지는 시대. 가이드라인을 만들어 산업을 활성화하고 동시에 개인정보를 보호하려 했던 의지는 어찌 보면 정부로서는 당연히 할 일을 한 게 아닐까.

◆빅데이터 시대, 개인정보 활용 사회적 합의 도출해야

그동안 기업이 개인정보를 제대로 관리하지 못해 개인정보 유출 사고가 끊이지 않았다. 이 때문에 개인정보를 활용하겠다는 기업의 목소리가 나오면 따가운 눈총을 받는다.

그러나 개인정보를 보호하면서 활용하는 것이 전 세계적 패러다임이다. 개인정보를 무조건 가둬놓고 보호하기보다 이를 활용하되 동시에 적극적으로 관리하도록 하는 게 현실적이다.

또 개인정보 활용을 단순히 산업 측면에서 바라보기보다 시야를 확대해 공공 측면에서 바라볼 수도 있다. 어쩌면 가까운 미래에 비식별 정보를 활용해 특정 세대 혹은 특정 지역 거주자에게 맞는 정밀화된 의료 혜택, 저렴한 대출 금리 지원 등이 가능할 수 있다.

여러 배경, 구체적 상황을 살펴보지 않은 채 무조건 '개인정보 활용이 나쁘다'는 프레임이 만들어지는 거 같아 우려된다.

한쪽에선 가이드라인을 내놓고 개인정보를 적극 활용하라고 하고, 또 한쪽에선 개인정보를 활용했다고 문제삼는다. 정보를 활용하고자 하는 기관이나 기업 입장에선 도대체 어느 장단에 맞춰 춤을 춰야 할지 알 수 없는 노릇이다.

변화하는 시대의 흐름에 발맞춰 개인정보를 보호하면서 활용하는 방안에 대해 고민하고 사회적 합의를 도출할 때다.

성지은 기자의 다른 기사 보기

• "한국 비식별조치, 선진 국가보다 안전"

• 개인정보 활용하라는 겁니까, 말라는 겁니까