구태언 ㅣ 코리아스타트업포럼 이사·법무법인 린 변호사
차량의 도로 이동 정보가 담긴 데이터 파일이 당신 손에 있다고 치자. 이 파일에는 차량번호와 이동에 든 시간, 시점과 종점에 관한 내용이 담겨 있다. 이 정보로 당신은 시간대별, 지역별 차량 이동 내용을 분석해 교통량을 분석하고 병목현상이 생기는 지역과 시간대를 파악해 도로 증설에 필요한 중요한 전략 정보를 얻을 수 있다. 이를 통해 예산 낭비를 줄이고 과잉 공급을 줄여 국가 재무 건전성 개선을 꾀할 수 있다. 이 분석으로 국민이 얻을 이익은 매우 클 것이라는 것은 자명하다.
위 차량의 도로 이동 정보 분석의 핵심은 차량번호를 기반으로 한 연계분석이다. 차량번호가 있어야 분석을 할 수 있고, 불필요한 도로 증설을 막아 예산을 아끼고 세금 징수를 줄일 수 있다. 그런데 차량번호를 그 자체로 개인정보라고 보는 순간, 위 데이터 제공은 현행법상 불가능하다. 차량번호의 주인을 찾아내 일일이 사전 동의를 받아야 하기 때문이다. 차량번호 주인을 찾아내려면 차량등록원부를 봐야 하는데 합법적으로 그것을 보기는 어렵다.
그렇다면 차량번호를 비식별화해 다른 번호로 대치하면 될까? 완전히 바꾸어도 다시 변환정보를 입수해 재식별할 수 있다고 보는 이상, 여전히 그 데이터는 개인정보다. 물론 국가뿐 아니라 민간 영역에서도 다양한 데이터를 분석해 공익에 기여하고 산업을 발전시켜 소비자의 후생을 늘릴 수 있을 텐데, 누군지도 모를 데이터의 주인에게 동의를 받으라고 하니 아무것도 할 수가 없다.
나는 개인정보보호법이 아니라 개인정보의 해석에 관한 주무 관청의 게으름이 데이터경제를 가로막은 주범이라고 본다. 현행법상 개인정보는 개인 관련 정보 중 그 자체로 특정 개인을 식별할 수 있는 ‘식별 개인정보’와 그 자체로는 특정 개인을 식별할 수 없으나 다른 정보와 쉽게 결합해 특정 개인을 식별할 수 있는 ‘비식별 개인정보’로 이루어져 있다. 이런 ‘식별 개인정보’와 ‘비식별 개인정보’를 제외한 정보를 ‘비식별 비개인정보’라고 할 수 있다. 안전한 활용을 위해서는 ‘비식별 비개인정보’와 ‘비식별 개인정보’를 잘 구별하는 것이 핵심이다. 그 자체로 식별되지 않는 정보이지만 다른 정보와 쉽게 결합해 특정 개인을 다시 식별할 가능성이 매우 높은 정보와 그렇지 않은 정보는 개인정보 오남용의 위험 면에서 큰 차이가 있기 때문이다.
행정안전부에 따르면 여기서 ‘쉽게 결합할 수 있다’는 뜻은 재식별을 위한 다른 정보의 ‘입수의 용이성’과 ‘결합의 용이성’으로 설명된다. 특정 개인을 식별할 수 있는 다른 정보를 쉽게 입수할 수 없다면 그 정보는 ‘비식별 비개인정보’로 보아야 한다는 뜻이다.
결국 그 자체로 특정 개인을 식별할 수 없는 개인 관련 정보는 다른 정보의 입수 가능성에 따라 법률상 개인정보냐 아니냐가 결정된다. 비식별 정보의 개인정보성은 이처럼 해당 정보가 놓인 환경에 따라 달라진다고 법은 이미 정의하고 있다.
그렇다면 주무 관청인 방송통신위원회와 행정안전부는 어떤 경우에 비식별 정보가 ‘비식별 개인정보’가 되는지 구별할 수 있는 기준을 제시해왔어야 한다. 예를 들어 차량번호는 전체 차량 등록대수 중 절반가량이 법인 소유임을 고려해 그 자체로는 비식별 정보이므로 어떤 경우에 ‘비식별 개인정보’가 되는지 해석 지침을 마련하고 개선해왔다면, 차량 정보를 활용한 산업이 발전할 수 있었다. 개인정보 주무 부처의 게으름 속에 차량번호는 그 자체로 ‘식별 개인정보’인 것처럼 호도돼 최근에는 차량번호가 개인정보라는 행정법원의 판결까지 선고돼, 차량번호를 중심으로 한 개인정보 처리는 사실상 막혀 있는 상황으로 치닫게 됐다.
비식별 정보의 프로파일링이 문제다. 특정 개인을 알 수 없는 비식별 정보는 재식별하기 전에는 특정 개인을 알 수 없고, 그래서 동의를 받는 것도 불가능하다. 비식별 정보를 재식별할 수 있는 다른 정보를 보유하고 있지 않는 한 재식별할 수도 없다. 다른 정보를 보유하고 있더라도 실제로 재식별 행위를 하지 않는 한 여전히 비식별 정보다. 비식별 정보 중 ‘쉬운 결합성’을 갖고 있는 정보만 개인정보로 정의하는 개인정보보호법의 입장은 그래서 개인 관련 정보의 보호와 활용을 조화롭게 하기 때문에 적절한 것이다. 문제는, 이런 법의 합리적 정신을 무시하고 ‘비식별 정보는 재식별할 가능성이 있으므로 무조건 개인정보’라는 식의 공포 조성이다. 현행법으로도 개인정보의 안전한 활용은 가능했던 것이다.
가명정보의 재식별 행위는 처벌된다. 가명정보는 개인정보를 가명 처리함으로써 원상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보다. 개인의 동의 없이 개인정보를 가명 조치하고 제3자에게 제공하더라도 이를 재식별하지 않는 한 비식별 상태에 있다. 특정 개인을 식별하는 행위가 문제이므로 동의 없는 재식별 행위를 금지하면 된다.
현재 국회에서 논의 중인 개인정보보호법 개정안은 이 재식별 목적의 가명정보 처리를 처벌하고 있으므로 그 보완 장치도 마련돼 있다. 가명정보 상태를 유지한다면, 그 처리가 어떤 개인의 권리를 침해하겠는가? 글로벌 선도국가는 빅데이터를 활용해 사회를 효율화하고 빅테크기업을 키워 세계경제를 지배하고 있다. 가명정보 활용은 ‘당신의 프라이버시를 침해한다’는 식의 막연한 공포 조성은 그만하자.
[이슈논쟁] ‘데이터 3법’ 약인가 독인가
이른바 ‘데이터 3법’으로 알려진 개인정보보호법·정보통신망법·신용정보법 개정안의 국회 처리를 앞두고 찬반 논란이 가열되고 있다. ‘데이터 3법’은 개인정보보호 규제를 일부 완화해 산업적·상업적 목적의 활용도를 높이도록 한다는 취지를 앞세워, 여야 국회의원 다수가 찬성해왔다. 정보의 주체인 개인의 동의를 얻지 않고도 개인정보를 가명 처리해서 제3자에게 제공할 수 있으며, 다른 기관의 가명정보와 결합해 쓸 수도 있게 하자는 것이다. 하지만 참여연대와 경제정의실천시민연합, 진보네트워크센터 등 시민사회단체들은 기업의 이윤을 위해 민감한 개인정보가 침해될 수 있다며 반대한다. 법 개정으로 생길 부작용에 대해 강하게 우려하고 있는 것이다. 10일 국회 본회의 통과 여부에 관심이 쏠린 가운데, 최종연 참여연대 정보인권사업단 위원과 구태언 코리아스타트업포럼 이사의 견해를 나란히 싣는다.