출처 : http://www.boannews.com/media/view.asp?idx=57111&page=3&kind=2
주요국 비식별 법제화 동향
EU 개인정보 비식별 법체계
EU가 개인정보 비식별 조치 관련으로 추진해온 개인정보 보호 법제의 동향을 이해하기 위해서 우선 EU 법체계 구성을 알아볼 필요가 있다, 유럽연합의 기능에 관한 조약인 TFEU 제288조(Treaty on the functioning of the European Union Article 288)에서는 EU 기관이 EU의 권한을 행사하기 위해 채택할 수 있는 행위로서 Regulation, Directive, Decision, Recommendation 및 Opinion을 열거하고 있는데 각 각의 효력은 다음과 같다.
Regulation(규정)은 일반적으로 적용되고 모든 회원국 내에 직접 적용된다. ‘일반적’이란 수범자가 불특정 다수라는 것을 뜻한다. ‘직접 적용된다’란 의미는 Regulation이 제정됨과 동시에 자동적으로 회원국에 적용되며 별도의 회원국 국내법 편입 절차가 요구되지 않는다는 것을 의미한다. 2016년 제 정되어 2018년 시행되는 GPDR이 여기에 해당한다.
Regulation(규정)과 달리 Directive(지침)는 ‘달성된 결과에 대해서만(as to the result to be achieved)’ 구속력이 있으며, ‘형식과 방법의 선택(choice of form and methods)’은 회원국의 국내법 입법에 맡겨져 있다. 따라서 Directive에 따른 각 회원국의 국내법들은 그 입법 목적 및 달성될 결과에 있어서는 동 일하지만 회원국 별로 그 세부사항은 다를 수 있게 된다.
지금까지 EU 개인정보 보호 법제의 중심축이었던 Directive 95/46/EC가 여기에 해당된다고 할 수 있다. 또한 Decision(결정)은 회원국 전체적으로 구속적이어야 하고, 해결 대상자를 명시하는 결정은 해당 대상에만 구속력을 가진다고 명시되어 있다.
Recommendation(권고)과 Opinion(의견)은 구속력이 없는 비법적 행위에 해당한다. 구속력은 없지만 EU기관이 회원국들의 국내 법규를 조화시키기 위한 권고 및 의견에 대한 EU의 관점을 표시하는 기능을 한다. Directive 95/46/EC에 근거하여 설립된 제29조 작업반이 작성하는 각종 Opinion들이 여기에 해당된다고 할 수 있다.
EU는 개인정보 보호 법제의 중심축을 현재의 Directive에서 EU 회원국 간보다 통일된 법제체계를 이룰 수 있는 Regulation으로 개편하고 있다. 기존의 Directive 95/46/EC에서는 익명처리 정보의 경우 개인정보 보호원칙이 적용되지 않는다고만 규정하고 있지만, 2018년 5월에 시행될 GDPR에서는 가명처리의 정의를 하면서 목적 외 처리를 광범위하게 허용하는 방향으로 법제화했다.
먼저 1995년에 만들어진 EU Directive(95/46/EC) 지침은 비록 Directive의 형식이기는 하지만, 개인정보보호 관련한 EU 차원 최초의 입법이라는 점에서는 그 의미가 크다. 주요 내용으로 ① 목적, 개념정의, 적용범위 ② 개인정보 처리 일반원칙 ③ 정보주체의 권리 ④ 개인정보처리자 등의 통지의무 ⑤ 실효성 확보와 권리구제 ⑥ 개인정보의 제3국 이전 ⑦ 행동강령 ⑧ 감독기관 등에 대해 규정하고 있다.
이 지침은 개인정보 비식별 조치와 관련해서 전문 제26조에서 정보주체를 알아볼 수 없도록 익명처리(rendered anonymous)된 정보에는 지침에 따른 개인정보보호 원칙이 적용되지 않는다고 규정하고 있다. 이는 앞서 언급한 빅데이터 분석 및 활용을 위한 입법 기술 중 두 번째 방식에 해당한다 할 것이다.
한편, 이 지침은 개인정보의 목적 외 활용에 관하여는 전문 제29조에서 역사적, 통계적, 과학적 연구 목적의 경우 적절한 안전장치(safeguards)를 갖춘 경우 추가적 처리가 가능하다고 규정하고 있다. 지침 제29조는 지침에 대한 자문 역할을 담당하는 독립적인 기구인 작업반(Working Party on the Protection of Individuals with regard to the Processing of Personal Data)의 설치를 규정하고 있다.
개인정보보호 작업반은 유럽의 개인정보보호 및 프라이버시에 대한 자문을 제공하는 자문기구로써 개인정보보호지침과 관련한 이슈에 대하여 의견(Opinion)을 제시하여 회원국의 입법을 지원하는 역할을 제공한다. 앞서 살핀 바와 같이 지침은 익명처리 정보에는 개인정보보호 원칙이 적용되지 않는다고 규정하고 있는데, 작업반은 2014년 ‘개인정보 익명처리 기술’에 관하여 의견을 채택했다.
그러나 EU Directive 95/46/EC는 2018년 5월 25일 GDPR의 시행과 동시에 폐지된다. 따라서 GDPR이 시행되기 전까지는 Directive 95/46/EC가 EU 개인정보보호 법제의 기준이 된다 할 것이다. 다만, Directive 95/46/EC가 폐지되더라도 Directive와 작업반 의견은 GDPR에서도 해석의 기준이 된다.
EU 개인정보보호작업반에 의해서 채택된 익명처리 기법에 대한 의견서(Article 29 Working Party Opinion 05/2014 on Anonymisation Techniques)는 주요 익명처리 기법을 소개하고 익명처리 기법의 원칙, 강점과 약점 및 각 기법의 사용과 관련한 견해를 제시한다. 의견서는 주요 익명화처리 기법으로 일반화처리(Generalizatoin), 무작위화(Randomization)를 제시하고 있다.
작업반이 제시한 이러한 기법들은 우리나라의 ‘개인정보 비식별 조치 가이드라인’에서 제시하는 비식별 조치 기법과 매우 비슷하다고 볼 수 있다. 작업반 의견은 익명화 기술들의 효과와 한계에 대한 의견을 제시하고 효과적인 익명처리의 기준에 따라 각 기법들의 특징을 비교하고 있다.
익명처리 시에는 개인이 식별될 위험성이 있는지, 연결 가능성의 위험이 상존하는지, 그리고 추론의 위험이 상존하는지 등을 고려하여 식별처리 위험에 대한 철저한 평가가 있어야 한다고 명시하고 식별처리 위험을 줄이기 위해서 신규위험 및 잔존위험을 정기적으로 평가하고 있다. 또한, 식별된 위험에 대한 관리가 충분한지 평가하고 그에 맞춰 조정함은 물론 위험을 감시 통제해야 한다는 모범적인 익명처리 관행을 제시하고 있다.
EU 내에서 Directive의 실현방법은 회원국가에 일임하고 있어 EU 회원국 각자 입법과정에서는 회원국 전체가 체계적 통일성 면에서 일치하지 않을 수 있다. 이에 따라 EU는 보다 통일된 개인정보보호 법체계를 구현하기 위하여 2016년 4월 27일 GDPR(General Data Protection Regulation)을 채택하였다.
GDPR 역시 Directive 95/46/EC와 마찬가지로 전문 제26조에서 정보주체를 알아볼 수 없도록 익명 처리(rendered anonymous)된 정보에는 지침에 따른 개인정보보호 원칙이 적용되지 않는다고 규정하고 있다. 다만, GDPR은 Directive 95/46/EC나 우리나라 개인정보 보호 법률과 달리 개인정보의 목적 외 처리를 광범위하게 허용하여 정보 활용 측면을 강조하고 있다.
Directive에서 역사적, 통계적, 과학적 연구 목적의 경우만 목적 외 추가적 처리를 규정하고 있는 것과 달리 GDPR 제6조제4항은 정보 주체의 동의를 받는 경우, 제23조제1항에 명시된 목적을 보호하기 위하거나 EU 또는 회원국 법률에 근거한 경우, 개인정보가 최초 수집될 때 동의 받은 목적과 다른 목적이 최초 수집 목적과 양립 가능한 경우 목적 외 활용을 허용한다.
특히, 최초 수집 목적과 양립 가능한 경우 목적 외 처리를 가능하게 한 것은 개인정보 처리자(Data Controller)에게 빅데이터 분석 등을 위하여 정보를 활용함에 있어서 상당한 자유도 제공할 수 있을 것으로 보인다. 동 조항은 목적 외로 활용하기 위하여 최초 수집의 목적과 추가적 처리의 목적의 연관성, 개인정보 처리자와 정보주체의 관계, 개인정보의 특성, 개인정보 영향평가 가명 처리(pseudonymisation) 또는 암호화(encryption) 같은 적절한 보호수단의 유무 등을 고려해야 한다고 정하고 있다.
EU는 이와 같이 GDPR 채택을 통하여 EU 회원국 전체에 보다 더 일원화되고 통일된 개인 정보보호 법제를 적용하게 됐다. 특히, GDPR은 최초 수집 목적과 양립 가능하며 해당 정보가 가명 처리 또는 암호화되어 안전장치(safeguards)만 확보한다면 목적 외 처리가 가능하게 되어 정보 활용성을 매우 강조하고 있다고 볼 수 있다. 동시에 가명처리 정보는 개인정보보호로 보고 GDPR내 보호 적용 대상으로 규정함으로써 정보 처리자에게 목적 외 활용의 경우에도 개인정보보호 의무를 다할 수 있도록 하여 개인정보보호를 충실히 이행하면서 빅데이터 분석·활용 등의 새로운 산업 활성화에 뒷받침 이 되도록 개인정보 보호와 활용의 두 가지 목적을 조화시키고자 하는 것으로 보인다.
일본의 개인정보 비식별 법제화 동향
일본은 공공·민간 분야별 개별법에서 관리하던 기존 개인정보 보호 법제를 통합해 2003년 개인정보 보호에 관한 법률을 신규로 채택했다. 또한 2016년에는 익명가공정보, 익명가공정보 취급사업자, 요배려(要配慮) 개인정보 등을 포함하는 개인정보보호법을 개정하여 4차 산업혁명시대에 빅데이터, IoT 등 새로운 산업 활성화에 대비하고자 개인정보 보호와 활용의 균형점을 찾은 것으로 보인다.
일본은 개인정보보호법 제정 이전에는 개인정보보호와 관련한 법제를 공공부문과 민간부문으로 구분하여 법제를 구성하고 있었다. 특히 민간 부문은 의료법, 취업안정법 등 산업분야 별로 개별 법령에서 개인정보 보호 관련 조항을 정하고 있었다. 1990년대부터 인터넷이 보급되고 확산됨에 따라 일본 정부는 전문위원회를 설치하여 개인정보보호와 관련 논의를 지속적으로 해왔으며, 2003년 5월 30 일 개인정보 보호에 관한 법률을 공포하였는데 이 법은 총 6개 장 59개 조항으로 이루어져 있다.
제1장 총칙에서는 개인정보의 유용성을 고려하면서 개인의 권리이익을 보호하는 것을 목적으로 함과 각 용어에 대한 정의 및 기본이념을 정하고 있고, 제2장에서는 국가 및 지방자치단체의 책무 등을 정하고 있다. 제3장에서는 개인정보의 보호에 관한 시책으로 국가 및 지방자치단체의 시책을 규정하고 있으며 제4장에서는 개인정보취급사업자의 의무 등을 정하고 있다.
일본정부는 빅데이터, IoT 산업 등 4차 산업혁명 시대에 개인정보 활용으로 신산업을 창출하기 위하여 2003년 제정된 개인정보 보호에 관한 법률을 개정하여 2015년 9월 9일 공포했다. 개정안의 핵심은 제1장에서 익명가공정보, 익명가공정보취급사업자에 대한 용어 정의 신설과 제4장에서 익명가공 정보취급사업자의 의무 조항 신설, 그리고 제5장에서 새로운 산업 창출을 하고 개인의 권리이익을 보호하기 위한 개인정보 취급 감시 감독 권한을 가진 개인정보보호위원회를 내각총리대신의 소관에 속하도록 신설한 것이다.
개정된 일본 개인정보보호법 제2조에 신설된 익명가공정보는 ‘특정 개인을 식별할 수 없도록 개인 정보를 가공해 얻을 수 있는 개인에 관한 정보로서 당해 개인정보를 복원할 수 없도록 한 것’으로 정의하고 있다. 구체적으로는 해당 개인정보에 포함된 기술 등의 일부를 삭제하는 것(당해 일부의 기술 등을 복원할 수 있는 규칙성을 갖지 않는 방법에 의해 다른 기술 등으로 치환하는 것을 포함), 해당 개인정보에 포함된 개인 식별 부호의 전부를 삭제하는 것(당해 개인식별부호를 복원할 수 있는 규칙성을 갖지 않은 방법에 의해 다른 기술 등으로 치환하는 것을 포함)이라고 정의하고 있다.
제2조에서 정의한 익명가공정보를 취급 하는 경우 ‘익명가공정보 취급사업자’로 여겨지고 법 제36조1항에는 개인정보보호위원회규칙에 정하 는 기준에 따라 개인정보를 가공하도록 규정 하고 있는데, 개인정보보호위원회 규칙 제19조에서 정하 는 기준을 살펴보면 다음과 같이 가공해야 한다.
- 개인정보에 포함된 개인을 식별할 수 있는 기술 등의 전부 또는 일부를 제거
- 개인정보에 포함된 개인식별부호의 전부를 제거
- 개인정보와 해당 개인정보를 가공하여 얻은 정보의 연결부호를 제거
- 특이한 기술 등의 제거
- 각 호의 조치 외에, 개인정보에 포함된 기술 및 해당 개인정보를 포함한 개인정보 데이터베이스를 구성하는 기술 등의 차이, 기타 개인정보 데이터베이스의 특성 등을 감안하여 그 결과를 토대로 적절한 조치를 강구할 것
개정된 일본 개인정보보호법은 제36조제5항 및 제38조에서 개인정보취급사업자와 익명가공정보취급사업자에 대하여 익명가공정보를 다른 정보와 조합하는 행위를 금지하는 규정을 둠으로써 안전성을 확보하고 있다. 또한, 제36조제3항 및 6항에서는 개인정보취급사업자가 익명가공정보를 작성한 경우에는 당해 익명가공정보에 포함되는 개인에 관한 정보의 항목을 공표하도록 의무화했다. 이는 익명가공정보를 활용할 수 있도록 하되 개인의 개인정보 자기 결정권도 함께 보장하기 위함으로 평가할 수 있다.
미국 개인정보 비식별 법체계
미국은 EU GDPR, 일본 개인정보보호법 등과 달리 의료, 교육 등 각 분야별 개별법으로 개인정보 비식별 내용을 다루고 있다. 보건복지부(HHS) 소관의 HIPPA(Health Insurance Portability and Accountability Act), 프라이버시 규칙(HIPPA Privacy Rule)에 따르면 비식별정보로서 ‘개인을 식별하지 않는 개인정보와 개인을 식별할 수 있게 한다는 합리적인 근거가 없는 건강정보는 개인 식별이 가능한 건강정보가 아니다’라고 규정하고 있는데, 비식별화(De-identification) 방식으로 1.4절에서 두 가지 접근법을 규정하고 있다.
하나는 Safe Harbor 방식으로써 18가지 유형의 개인식별자가 제거된 후, 남은 데이터들이 다른 정보와 결합해 개인을 특정할 가능성이 없다면 HIPPA의 제한을 받지 않고 수집과 이용이 가능하도록 되어 있다, 또 하나는 전문가 결정방식(Expert Determination)으로 의료정보 관리기관이 전문가를 선임하여 대상이 되는 개인데이터가 HIPPA 프라이버시 규칙의 기준에 따라 식별 가능한 정보인지 여부를 판단하는 방식이다. 선임된 전문가가 해당 개인데이터가 식별화될 위험성이 매우 작다고 판단하면, 이 개인데이터는 식별성이 없는 데이터로 간주되어 프라이버시 규칙의 규제 대상에서 제외되는 것으로 하는데, 아주 작은 수준의 재식별 위험성에 대해서는 현실적으로 인정하고 데이터의 활용을 허용하는 것으로 볼 수 있다.
과학기술 분야의 각종 표준을 담당하는 상무부 산하의 NIST(National Institute of Standards and Technology)는 2015년 10월 ‘개인정보 비식별화에 관한 보고서(NISTIR 8053 : De-idenfication of Personal Informaiton)’를 발표했다.
총 5장으로 구성된 이 보고서는 제1장에서 비식별처리(De-identification), 익명처리, 가명처리에 대한 용어 정의 제2장에서 비식별처리(De-identification), 재식별 위협 및 데이터 공유 모델에 대해서 기술하고 제3장에서는 정형화 된 정보의 비식별 처리, 재식별 접근법을 제4장에서는 비정형 개인정보의 비식별 처리 기법 들을 제시하고 있다.
또한, 비식별 처리의 적정성이나 특정한 비식별처리 알고리즘 등을 제시하지는 않지만 이 보고서는 ‘ISO/TS 25237:2008(E) Health Informatics-Pseudonymization’에 있는 비식별처리(De-identification), 익명처리(anonymization), 가명처리(pseudonymization) 용어를 사용하고 있다.
2012년 3월 FTC(Federal Trade Commission)는 비식별화 관련 내용이 포함된 ‘기업과 정책 담당자를 위한 권고사항 : 빠른 변화 시대에서의 소비자 프라이버시 보호(Protecting Consumer Privacy in an Era of Rapid Change)’ 보고서를 발표한 바 있다.
이 보고서에서는 특정한 소비자, 컴퓨터 및 기타 개인을 식별할 수 있는 장치들과 연관될 수 있는 것(reasonable linkability)은 어떠한 정보라도 보호의 대상이 되어야 한다고 규정하면서 비식별화 관련 요구 사항으로 첫째, 소비자 또는 컴퓨터 또는 다른 장치와 결합될 수 있는 개인정보는 반드시 비식별화되어야 한다. 둘째, 공개된 정보에 대해서는 재식별화를 시도하지 않아야 한다.
셋째, 제3자에게 비식별 데이터를 제공하는 경우에는 재식별을 금지 하도록 계약에 반영해야 한다고 하고 이 3가지 조건이 이행되면 특정 데이터가 식별 가능하지(reasonable linkable) 않은 것으로 판단하고 있다. 이처럼 미국은 비식별조치된 정보에 대한 활용을 보장하기 위해 단일화된 일반법 이 아닌 각 분야별 개별법을 통해서 비식별에 대한 내용을 다루고 있다.
한국의 비식별화 동향
한국은 지난 2013년부터 행자부, 방통위, 미래부 등이 각각 비식별조치에 관련된 가이드라인을 몇 차례 발표한 이후 2016년 6월 30일 행정자치부를 비롯하여 국무조정실, 방송통신위원회, 금융위원회, 미래창조과학부, 보건복지부 등 6개 부처 합동으로 개인정보 보호와 활용을 동시에 모색하는 범정부 합동 ‘개인정보 비식별 조치 가이드라인’을 발간했다.
가이드라인에는 개인정보 처리자가 개인정보를 비식별조치하고, 전문가로 구성된 적정성 평가단의 평가 판정을 받은 경우에는 해당 정보를 개인정보가 아닌 것으로 추정하고, 정보주체의 동의 없이 활용할 수 있다고 정하고 있다. 또한 개인정보를 비식별 조치하여 이용 또는 제공하려는 사업자 등이 준수해야 될 조치 기준으로 사전검토, 비식별조치, 적정성 평가, 사후관리 등 총 4단계의 조치사항을 제시했다.
사전검토 단계에서는 비식별처리하려고 하는 정보집합물이 개인정보에 해당되는지 여부를 검토하고 개인정보에 해당되는 경우에는 두 번째 단계로써 개인을 식별할 수 있는 요소를 전부 또는 일부 삭제하거나 대체하는 등의 여러 방법을 활용하여 개인을 알아볼 수 없도록 비식별조치를 한다.
비식별조치가 끝난 이후에도 해당 정보가 다른 정보와의 결합이나 다양한 추론 기법 등을 통해서 개인이 식별될 우려가 있으므로 개인정보 보호책임자의 책임 하에 외부전문가가 참여하는 ‘비식별조치 적정성 평가단’을 최소 3인 이상 구성하여 비식별조치한 정보집합물에 대해 개인 식별 가능성에 대한 엄격한 평가 절차, 즉 비식별 적정성 평가를 수행해야 한다. 평가기준으로 EU 29조 작업반 의견서(opnion)에서도 권고를 하고 있는 k-익명성, l-다양성, t-근접성 등의 프라이버시 보호모델을 제시하고 있다.
적정성 평가 판정을 받은 이후에는 해당 정보집합물을 빅데이터 분석이나 제3자 제공 등을 할 수 있으나 불특정 다수에게 공개하는 것은 식별 위험성이 있으므로 원칙적으로 금지하고 데이터 이용목적을 달성하거나 불필요하게 된 경우에는 지체 없이 파기토록 하고 있다. 마지막 사후관리 단계에서는 재식별 위험을 차단하기 위해 비식별 정보에 대한 안전조치로 관리적, 기술적 보호조치는 물론 재식별 가능성 모니터링 수행, 비식별 정보 제공 및 위탁시에 계약서에 포함해야 될 내용 등을 담고 있다.
또한, 개인정보 비식별조치 지원을 위해 지난해 9월부터 한국인터넷진흥원내에 개인정보 비식별지원센터를 설치·운영토록 하여 분야별 전문기관 운영 가이드라인 마련 및 실태점검, 전문기관 실무협의회 운영, 적정성 평가단 풀 관리 및 교육, 중소기업 및 스타트업 컨설팅·교육, 비식별 관련 정책·기술 동향 조사 및 연구 등의 역할을 부여했다.
아울러 한국인터넷진흥원, 한국신용정보원, 금융보안원, 사회보장정보원, 한국정보화진흥원, 교육학술정보원, 정부통합전산센터 등 총 7개 기관을 소관 부처에서 전문 기관으로 지정하고 적정성 평가단 풀 구성·운영, 산업별 비식별조치 이행권고 등의 역할을 부여하여 공공·민간 분야의 개인정보 비식별조치 지원을 하도록 하고 있다.
국내 개인정보보호법 제18조제2항 제4호(통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우)는 정보주체의 동의 없이 목적 외 이용하거나 제3자 제공을 할 수 있도록 허용하고 있지만 구체적인 기준이나 절차 등이 없어서 명확하지 않은 측면이 있다.
또한 동 조항에 따라 비식별 조치를 한 경우에는 통계작성이나 학술연구 등에 국한된 목적으로만 사용토록 되어 있어서 가이드라인에 따른 비식별정보의 활용 범위와는 다소 차이가 있고, 법률에서 허용한 통계작성, 학술연구 등으로 만 활용을 하고자 할 경우에는 가이드라인에 따른 비식별 적정성 평가를 제외할 수 있도록 했다.
국내외 법·제도 차이점
앞서 살펴본 바와 같이 우리나라의 가이드라인은 비식별에 대한 용어나 처리원칙 등에 대해서는 EU, 일본, 미국 등과 유사하나 EU는 GDPR, 일본은 개인정보보호법, 그리고 미국은 의료, 교육 등의 분야별 개별법을 통해서 비식별에 대한 제도를 운영하고 있는 점에서 우리와 차이가 있다.
비식별에 대한 용어의 차이를 보면 우리나라 가이드라인은 정보집합물에서 개인을 식별할 수 있는 요소를 전부 또는 일부 삭제하거나 대체하는 등의 방법을 활용, 개인을 알아볼 수 없도록 하는 조치를 하고, 다른 정보와 쉽게 결합하여 개인을 식별할 수 없도록 적정성 평가를 통해 전문 평가단으로부터 적정 평가를 받은 정보를 비식별 정보라고 정의하고 있다.
이는 앞서 살핀 EU의 익명정보(anonymous information)와 일본의 익명가공정보와 달리 적정성 평가 절차를 추가적으로 포함하고 있다. EU GDPR 전문 제26조에서는 식별되었거나 또는 식별될 수 있는 개인과 관련되지 않는 정보 또는 그런 방식으로 익명 처리되어 더 이상 식별될 수 없는 정보를 익명정보로 하고 개인정보보호원칙에 적용되지 않는다고 했다. 또한, GDPR 제4조 및 전문 26조에서는 추가 정보의 사용 없이 더 이상 특정 정보주체를 식별할 수 없는 방식으로 수행된 개인정보를 가명처리(pseudonymisation)로 정의하면서 개인정보 보호원칙을 적용하여 기술적, 관리적 조치를 적용해야 한다고 했다. 즉 익명정보와 가명정보를 규정 하여 개인정보보호원칙에 적용 대상을 구분했다.
일본은 개인정보보호에 관한 법률 제2조에서 개인정보를 일부 삭제하거나 전부를 삭제하여 특정 개인을 식별할 수 없도록 가공한 정보로서 복원할 수 없도록 한 것을 익명가공정보로 정의하고 있다. 또한 미국 NIST가 2015년 10월에 발표한 비식별화 가이드라인(NISTIR 8053, De-Identification of Personal Information)을 발표한 바 있다.
‘ISO/TS 25237:2008(E) Health Informatics-Pseudonymization’을 인용하여 비식별처리(de-identification)는 정보 집합에서 식별정보(identifying data)를 제거함으로써 개인정보를 특정한 인물과 연결할 수 없도록 한다고 정의하고, 익명처리는(anonymization)은 식별정보 집합과 정보주체 간의 연결성을 제거하는 과정으로, 가명처리(pseudonymization)는 정보주체와 연계성을 제거하며 정보주체에 관련된 특정한 특징들과 하나 또는 하나 이상의 가명 간에 연계성을 추가하는 익명처리의 일종으로 표현하고 있다. 결국 우리나라의 비식별 정보, EU의 익명정보 및 일본의 익명가공정보 모두 개인정보가 아닌 것이라는 점에서 유사하다.
비식별 조치기법으로 국내 가이드라인은 가명처리, 총계처리, 데이터 삭제, 데이터 범주화, 데이터 마스킹 등 총 5가지 처리기법으로 구분된 17가지 세부기술을 제시하고 이와 함께 k-익명성, l-다 양성, t-근접성 등을 적용할 것을 정하고 있다. EU 29조 작업반 의견서(opinion)에서도 역시 잡음추가, 치환, 차등 정보보호, 총계처리, k-익명성, l-다양성, t-근접성 기법들을 무작위화(randomization) 일반화(generalization)로 구분하여 제시하고 있다.
일본 역시 가이드라인(익명가공정보편)에서 항목/레코드/셀 삭제, 일반화, 탑(다운)코딩, 마이크로 집합, 데이터교환(스와핑), 노이즈(오차/잡음)의 부여, 유사 데이터의 생성 기법을 예시로 들고 있다. 즉 각국의 비식별조치기법 또는 익명처리 기법은 매우 유사한 것을 알 수 있다. 또한, 우리나라 가이드라인 71쪽에서 새로운 결합기술이 출현하고 입수가능한 정보가 증가하는 경우에는 사후 재식별 가능성을 인정하고 있는데 이는 EU, 일본, 미국도 재식별 가능성 인정 측면에서는 우리와 비슷하다고 볼 수 있다.
개인정보 비식별화, 어떤 방향으로 가야 하나
이상 살펴본 바와 같이 EU, 일본, 미국 등 주요국은 빅데이터, IoT 등 새로운 산업 활성화에 대비하여 개인정보 비식별을 법률에 담아 개인정보보호와 활용을 적절히 조화시키고 있는 것으로 보인다. EU는 GDPR 5조에서 가명처리된 개인정보의 광범위한 목적외 사용을 할 수 있도록 규정하면서 또한 가명처리된 개인정보를 GDPR의 개인정보보호 규제 내에 두어 개인정보보호라는 이념을 동시에 추구하고 있음을 알 수 있다.
일본은 EU와는 달리 익명가공정보라는 개념을 법률로 정하여 다양한 개인정보의 활용의 활성화를 도모하고 있는데 이는 빅데이터 정보 활용을 위한 두 가지 입법 기술의 혼용이라고 평가할 수 있다. 즉, 익명처리에 관한 사항을 법률로 정하고 익명가공정보에 대하여 법의 적용을 배제시키는 것이 아니라, 익명가공정보 관련 의무 및 권리 역시 법률로써 관리하는 방식이다.
EU GDPR의 익명정보, 가명정보와 일본의 익명가공정보는 조금 다른 형태로 개인정보 활용을 위한 법체계를 구축하고 있지만 개인정보를 비식별조치 후 활용하는 것을 활성화하고 있다는 점에서는 비슷한 동향을 보이고 있다.
우리나라 역시 개인정보 보호법 제18조제2항제4호에서 통계작성 및 학술 연구의 목적의 경우 특정 개인을 알아볼 수 없는 형태로 목적외 활용을 규정하고 있다. 이는 앞서 언급 한 첫 번째 입법기술에 해당한다. 다만, 우리나라 개인정보보호법은 목적외 활용을 통계작성 및 학술연구 목적으로 엄격하게 제한하고 있다. 그러나 비식별에 대한 구체적인 기준, 절차 등이 없어서 위 조항을 근거로 빅데이터 활용하는 것은 현실적으로 다소 제한적이라 볼 수 있다.
따라서 4차 산업혁명 시대에 빅데이터, IoT 등 신산업 발전과 안전한 개인정보 보호를 동시에 모색하기 위한 조치로 현행 개인정보보호 법령의 틀을 기반으로 하여 6개 부처 합동으로 공포한 것이 가이드라인의 의미라고 평가할 수 있다. 가이드라인은 비식별처리된 정보는 개인정보가 아닌 것으로 추정되어 활용 가능성을 열어 주는 것으로 두 번째 입법기술에 해당한다.
두 가지 입법기술을 모두 적용하고 있다는 점에서 우리나라와 유럽의 법제는 매우 유사하다고 평가할 수 있다. 다만, 우리의 법률은 EU의 GDPR에 비하여 개인정보의 목적외 처리를 매우 제한적으로 허용하고 있으며, 개인정보 비식별조치 가이드라인이 EU 29조 작업반 의견서에 비하여 적정성 평가 절차나 엄격한 사후관리 의무 등 명시적인 요건들을 요구한다는 점에서 개인정보 활용 측면보다 개인정보 보호에 보다 더 비중이 있다고 평가할 수 있다. EU, 일본, 미국 등 주요 국가들이 개인정보 비식별조치 관련 내용 등을 법률로 반영하여 대응을 해나가고 있는 점에 반해서 우리나라는 가이드라인을 통해 비식별조치 활성화를 도모하고 있어 비식별 정보 활용 측면에서의 위축성이나 가이드라인의 법적 지위에 대한 우려의 목소리가 있는 것도 사실이다.
현재 비식별처리 내용을 담은 개인정보보호법, 정보통신망법 개정(안) 및 규제프리존법 등 총 7건의 제·개정 법률(안)이 국회 계류 중에 있어서 우리나라도 EU, 일본, 미국 등 주요국처럼 비식별에 대한 입법 활동이 이루어지고 있다고 볼 수 있다. 이를 통해 보다 유연성 있는 가이드라인의 개정과 함께 우리나라 현실에 맞는 비식별조치에 대한 용어 정의, 기준, 절차 등 비식별 관련 규정들이 법 테두리 안으로 들어온다면 개인정보보호와 활용의 두 가지 가치가 보다 조화롭게 어울려 실현될 수 있을 것으로 보인다.
[글_ 노명선 한국인터넷진흥원 지역정보보호총괄센터 연구위원]
'old > 관리적 보안' 카테고리의 다른 글
| [기사] GDPR이 요구하는 DPO를 어떻게 확보할 것인가? (0) | 2017.10.17 |
|---|---|
| [기사] 개인정보 비식별 관련 입법 (0) | 2017.10.08 |
| [기사] 23 NYCRR 500 (0) | 2017.08.30 |
| [기사] EU GDPR 대비 우리나라의 개인정보보호 대응방향은? (0) | 2017.08.14 |
| [자료] GDPR과 필리핀 Data Privacy Act of 2012 비교 (0) | 2017.07.13 |
