본문 바로가기

가명정보 빅데이터 산업 숨통…개인정보 침해 논란은 여전

중앙선데이 2020.02.08 00:21 672호 16면 지면보기

‘데이터 3법’ 기대와 우려

이른바 ‘데이터 3법(개인정보법·신용정보법·정보통신망법)’ 개정안이 올 초 국회 본회의를 통과했다. 개인·기업이 다양한 비식별 정보를 폭넓게 이용할 수 있어 데이터 기반 산업 생태계 활성화에 기여할 것이란 기대가 커졌다. 이와 달리 개인정보 보호에 대해서는 부족한 측면이 있다는 부정적 의견도 나온다. 상위법에서 가명정보 활용에 대한 불법 논란을 없앴지만, 구체적인 활용 가이드라인이 아직 나오지 않았고 개별법과 상충되는 대목도 있어 산업계의 눈치 보기가 이어질 전망이다.
 

비식별 정보 활용할 길 텄지만
구체적 가이드라인 없어 논란

실명·주민번호 등 암호화 해도
‘익명’보다 구체적, 재식별 가능

한번 샌 개인정보 되돌리기 곤란
유럽선 가명정보도 제한적 사용

이런 기대와 우려 속에 6일 금융위원회는 데이터 3법의 하나인 신용정보법 시행(8월 5일)에 앞서 금융회사의 빅데이터 업무를 활성화하기 위한 주요 조치를 마련한다고 밝혔다. 가명·익명정보 제공이나 개인신용정보, 데이터 분석·컨설팅 등 신용정보법이 허용한 빅데이터 업무를 금융회사도 영위할 수 있게 한다는 것이다. 이에 따라 소득·소비성향 같은 금융 데이터와 매출·학군·상권 등 비(非)금융 데이터를 결합·활용해 맞춤형 금융상품을 개발할 수 있다. 금융당국은 활용 가능한 데이터의 범위 등을 담은 ‘금융 분야 데이터 활용·유통 가이드라인’을 3월께 마련하고, 정보보호 상시 평가제 등 필요한 조치를 구체적으로 수립할 계획이다.
  
금융사도 빅데이터 활용 업무 가능
 
그래픽=박춘환 기자 park.choonhwan@joongang.co.kr

그래픽=박춘환 기자 park.choonhwan@joongang.co.kr

다만 가이드라인이 나오더라도 논란이 수드러들지는 미지수다. 참여연대를 비롯한 시민단체는 데이터 3법이 국회 본회의를 통과한 날 “1월 9일은 정보인권 사망의 날, 인간성의 일부인 개인정보를 기업의 돈벌이 수단으로 넘겨버린 날로 기억될 것”이라고 강하게 비판했다.
 
데이터 3법 개정안에서는 기업이 가명정보를 당사자의 동의 없이 이용할 수 있도록 했다. 가명정보란 개인을 식별할 수 없는 수준의 정보다. 실명이나 주민등록번호처럼 신원이 드러나는 개인정보를 암호화처리로 가린 것이다. 그러나 가명정보는 ‘30대 미혼 남성’ 같은 익명정보보다는 구체적이다. 가명정보는 소득·나이·결제금액 같은 개인 신상 정보를 포함할 수 있고, 건강·금융·유통 같은 다른 영역의 정보와 같이 모아서 볼 수도 있다. 그래서 빅데이터로서 가치가 있고 시장조사 같은 상업적 목적은 물론 과학적 연구에도 사용할 수 있지만 재식별할 수 있다는 허점도 존재한다.
 
예컨대 넷플릭스는 2006년부터 고객 기호에 맞는 영화를 추천하는 알고리즘의 정확성을 높이기 위해 경연대회인 ‘넷플릭스 프라이즈’를 열었다. 48만 명의 회원정보와 이들이 시청한 1억건의 가명 데이터를 공개하고 추천 시스템을 개선해 상금을 주는 형식이었다. 그런데 텍사스대학의 한 그룹이 넷플릭스가 공개한 가명 데이터를 다른 사이트에 공개된 사용자 리뷰와 결합해 특정 개인정보의 주체를 도출해냈다. 인권위 관계자는 “우리나라의 경우 국민 개인 식별번호인 주민등록번호 제도가 있어 가명 개인정보를 결합·활용하는 과정에서 재식별될 가능성이 크다”고 우려했다.
 
개인정보보호법 개정안은 이런 피해를 막기 위해 지정된 개인정보전문기관에서만 정보를 결합할 수 있도록 했다. 또 고의적으로 개인을 재식별할 경우 5년 이하의 징역과 5000만원 이하의 벌금형에 처할 수 있도록 했고, 기업에는 매출의 3%까지 과징금을 부과하도록 했다.
 
그러나 한번 퍼져나간 개인정보를 되돌리기 어렵기 때문에 이런 규제로는 충분하지 않다는 게 전문가들의 견해다. 이지은 법무법인 리버티 대표변호사(금융기술법학회 회장)는 “고의가 아니라 과실로 가명정보가 유통될 가능성이 있으며, 설사 고의적으로 가명정보가 유통된다고 하더라도 이를 입증할 방법이 없다”고 지적했다.  
  
미국은 데이터 유출 사고 소송 간소화
 
그는 또 “데이터 전문기관에 정보가 집중되면 보안 위험성이 더 커질 수 있다”고 덧붙였다. 금융위원회 관계자는 “가명정보 활용과 관련, 데이터 3법 시행 이후 가이드라인을 계속 개선해나갈 방침”이라고 말했다.
 
개인정보 침해 논란으로 미국과 유럽에서는 관련 규제를 오히려 강화하는 추세다. 유럽연합(EU)이 2018년 5월부터 시행하고 있는 ‘개인정보 보호 일반 규칙(General Data Protection Regulation, GDPR)’이 대표적인 예다. 개인정보와 관련한 권리를 강화하고 기업·공공기관의 선제적 정보보호 시스템 운영 의무를 강조하는 내용을 담았다. 이를 위반하면 최대 2000만 유로(약 265억원) 또는 세계 매출의 4% 이내에서 과징금을 내야 한다. 특히 ‘가명정보’라도 사전 동의 없이는 제한적으로만 유통할 수 있다.  
 
미국 캘리포니아주 의회는 2018년 기업이 수집한 개인정보 유형을 공개하도록 하는 법안을 통과시켰다. 이에 따라 개인은 정보를 삭제·판매·공유하지 말 것을 기업에 요구할 권리를 가진다. 데이터 유출 사고가 발생했을 때 소비자의 소송 절차도 간소화됐다. 이지은 변호사는 “많은 사람이 미국과 유럽에서 가명정보에 대한 산업적 활용이 자유롭다고 알고 있지만 최근 규제를 강화하는 추세”라며 “데이터 프라이버시와 관련한 국제 규범이 심도 있게 논의되는 만큼 국내에서도 조심스럽게 접근할 필요가 있다”고 말했다.
 
최윤신 기자 choi.yoonshin@joongang.co.kr

선데이 배너

공유하기
광고 닫기