검색
법조광장

개인정보 보호법, 어떻게 개정되고 있나

국회 발의된 '개인정보법' 개정안
'가명정보' 정의 규정은 대동소이
활용범위에 관한 입장은 엇갈려

155567.jpg

1. 개정안 발의 배경

우리나라에서는 개인정보 보호 강화를 주장하는 입장과 산업적 활용을 강조하는 입장이 팽팽히 맞서고 있었다. 양측의 입장은 2016년 정부가 비식별 조치 가이드라인을 발표하자 더욱 첨예하게 갈렸다. 그러다가 2018년 EU에서 시행된 GDPR은 가명정보의 활용을 일정한 요건 하에 허용했다. 그 영향으로 우리나라에서도 2018년 4월 3일부터 이틀간 개최된 해커톤에서 가명정보 활용을 법제화하자는 대타협이 이루어졌다. 이를 반영하여 정부가 마련한 개인정보 보호법 개정안은 2018년 11월 15일 국회에 발의되었다. 이는 행안위 위원장인 인재근 의원을 통해 대표발의 되었으므로 이하에서 '인재근의원안'이라 한다.


2. 개인정보 정의조항

개인정보 보호법의 핵심은 규제 대상이 되는 '개인정보'의 범위를 설정하는 것이다. 개인정보에 해당할 경우 정보주체의 처리동의를 받아야 하고, 동의 받은 목적 범위 내에서 이용해야 하며, 정보주체의 권리(처리정지요구권 등)를 보장해야 한다.

     

현행법상 개인정보는 i) 그 자체로 개인을 알아볼 수 있는 정보, 또는 ii) 다른 정보와 쉽게 결합하여 개인을 알아볼 수 있는 정보로 정의되어 있다. 전자의 예시는 사람의 얼굴, 후자의 예시는 지문이 대표적이다. 지문을 육안으로 보아서는 누구의 것인지 알 수 없지만 지문감식기 및 지문등록 데이터베이스가 있으면 개인을 쉽게 식별할 수 있다. 이것이 결합의 개념이다.

 

한 발 더 나아가 환자의 이름 및 식별번호 등이 쓰여 있지 않은 엑스레이 사진, CT·MRI 사진 등은 개인정보에 해당할까. 당해 사진을 촬영한 병원의 관점에서는 보관된 의료기록과 결합하여 환자를 알아볼 수 있으므로 개인정보에 해당한다. 한편 질병진단 인공지능을 개발하는 연구기관에 환자의 이름 등을 지운 사진이 인공지능 학습 자료로 제공되었다면 어떠한가. 만약 그 연구기관의 관점에서도 그 사진이 개인정보에 해당한다고 볼 경우 환자 개개인의 사전 동의를 받아두지 않았다면 그러한 자료 제공은 법에 위반될 것이다. 이 관점에 따를 때 의료 인공지능 산업은 공멸한다.

 

결국 '누구의 관점에서' 결합 가능성을 따져야 하는지가 핵심이다. 이 요건은 '입수가능성'이라고도 한다. GDPR 전문 26항은 기본적으로 누구라도(any other person) '합리적 노력'을 통해 개인을 식별할 수 있다면 개인정보라고 함으로써, 일견 '제3자의 입수가능성'만으로 이 요건을 인정하는 것처럼 보인다. 다만, GDPR 해설서는 위 예시와 같은 상황에서 당해 개인정보처리자(the controller)가 결합에 필요한 정보에 접근하지 못하도록 기술적·관리적 안전장치가 되어 있다는 전제 하에 달리 볼 수 있다고 설명한다. 의료기관이 엑스레이 등 사진을 연구기관에 제공하되 각 환자와의 연결정보(matching table)를 법률상 또는 계약상 비밀로 유지한다면 그 연구기관의 관점에서는 위 연결정보에 불법적으로 접근하지 않는 이상(이는 '합리적 노력'의 범위를 벗어난다) 환자 개인을 식별하지 못하기 때문에 개인정보에 대해 가해지는 엄격한 규제(사전동의 등)를 완화해주는 것이다.

 

한편, 우리나라의 경우 스마트폰 앱 '증권통'이 이용자의 USIM 번호를 수집한 것이 개인정보 보호법에 위반된다는 하급심 판결이 2011년 선고된바 있다. 판결이유 중 '당해 개인정보처리자가 결합에 필요한 다른 정보를 구하기 쉬운지 어려운지와는 상관없이'라는 설시의 영향으로 실무에서는 '입수가능성' 요건을 불문한다는 보수적 해석이 통용되게 되었다. 이 해석에 따를 때 정부, 통신사 등 이른바 전지자(全知者)의 관점에서 개인 식별 가능성을 따지게 되어 개인정보의 범위가 '개인과 조금이라도 연관 있는 정보'로 확대되므로 데이터의 산업적 활용이 위축된다.

 

이를 우려하여 정부는 2016년 비식별 조치 가이드라인에 부록으로 마련한 해설서를 통해 해당 '개인정보처리자'의 관점에서 결합가능성을 따져야 하고 이 때 '입수가능성' 요건이 요구된다는 해석을 공표하였다. 이는 산업계에서 환영할 만한 해석이었지만 실무에서는 여전히 2011년 판결의 견해에 따른 보수적 해석을 완전히 떨치지 못하고 있었다.

 

그러다가 2018년 11월 15일 발의된 인재근의원안은 아예 '입수가능성' 요건을 개인정보 정의규정에 명문화했다. 또한 당해 '개인정보처리자' 관점에서 합리적 노력으로 개인을 알아볼 수 없는 정보를 익명정보(개인정보와 반대되는 개념)로 정의했다. 법안이 통과될 경우 '입수가능성' 요건에 관한 해석다툼은 상당부분 종식될 전망이다.

 

한편 2016년 이후 현재까지 국회에는 개인정보의 범위 설정과 관련된 개정안이 무려 18건이나 발의되어 있다. 그 중에서는 인재근의원안과 상반되는 입장을 취한 대안법안도 있다. 예컨대 2018년 11월 16일 발의된 이재정의원안은 '개인정보처리자 또는 제3자'의 관점에서 개인 식별 가능성을 따질 것을 요구함으로써 개인정보의 범위를 넓히고 있다.


3. 가명정보와 익명정보

가명정보와 익명정보를 구분하는 일응의 기준은 'single-out' 여부이다. 가명정보는 개별 정보주체와의 1:1 대응관계가 남아있어서 다른 정보(원 정보와의 matching table, 비밀유지 대상)와 결합하면 다시 개인을 알아볼 수 있는 정보이다. 반면 익명정보는 그러한 1:1 대응관계가 제거되어 matching-table이 없고 다른 정보와 결합해도 개인을 알아보는 것이 현행 기술상 극히 곤란한 정보이다.

 

참고로 익명정보에 관하여 개인 식별이 '불가능'이 아니라 '극히 곤란'하다는 표현을 쓴 이유는 개인 식별 가능성이 이론상 0%가 아니기 때문이다. 예컨대 데이터와 개인 사이의 1:1 대응관계를 1:k로 바꾸는 방법론이 k-익명성 모델이다(k값은 사안에 따라 달리 설정되는데, 소기업이라면 3 내지 5정도면 개인을 알아보기 곤란하겠지만 구글과 같은 데이터 공룡 기업이라면 무려 50이 요구될 수도 있다). k-익명성은 2016년 비식별 조치 가이드라인 등에서 제시하는 대표적인 익명화 기법이다. 그런데 k-익명성의 취약점을 지적하는 공학 석학들의 논문은 쏟아져 나오고 있다. 요컨대 익명정보란 규범적으로 개인 식별이 안 되는 것으로 분류되지만, 기술적으로 특수한 조건이 구비되면 일부 개인 식별 가능성이 상존할 수 있는 유동적인 개념이라고 이해해야 한다. GDPR 및 우리나라의 개정안들은 대체로 익명정보를 법 적용 면제 대상으로 분류하고 있으나, 예외적으로 2018년 12월 31일 발의된 박인숙의원안의 경우 익명처리의 적정성을 전문기관에게 평가받도록 함으로써 보다 엄격한 입장을 취하고 있다.

 

가명정보는 개인별 고유한 값(unique identifier, 이것이 누구의 것인지 모를 뿐)이 남아있어 중복 방지 및 다른 정보와의 결합 등이 가능하다. 이때문에 익명정보보다 유용하다. 개인정보가 포함된 데이터 집합물을 가명처리하려면 개인을 식별 내지 추론할 수 있는 이름, 생년월일, 주소 등은 지우거나 일부를 가리고 개인별 고유한 값인 주민등록번호, 휴대전화번호 등을 제3자가 풀어볼 수 없도록 암호화하는 방법이 있다. 현대의 암호기술은 서로 다른 원문을 입력했을 때 동일한 암호문이 나오지 않도록 수학적으로 설계되어 있기 때문에 원문이 고유한 값이면 그 암호문도 고유한 값이 된다(한편 암호문만 가지고 제3자가 원문을 역산하는 것은 현실적으로 불가능하다). 즉, single-out 속성이 유지된다. 그러면 데이터 집합물에 포함된 나머지 값(예: 통신요금, 보험료, 신용등급)이 산업적 활용 대상이 된다.

 

국회에 발의된 법안들의 가명정보 정의규정은 대동소이하다. 다만 가명정보의 활용 범위에 관하여 입장이 갈리고 있다. 예컨대 인재근의원안은 가명정보의 '과학적연구(GDPR은 과학적연구에 사인의 영리목적 연구가 포함된다고 규정한다)'를 허용하는 반면, 이재정의원안은 '학술연구'라고 하여 마치 비영리목적 처리만 허용하는 듯한 입장을 취한다.


4. 개인정보보호위원회

현재 집행기관이 행정안전부, 방송통신위원회, 개인정보보호위원회(개보위) 등에 분산되어 있는데 개정안 통과 시 이것이 개보위로 통합된다. 다만 신용정보법 중 개인정보 관련 집행은 그대로 금융위원회에서 관할하는 등 완전한 통합은 아니다.

 

인재근의원안은 개보위를 국무총리 소속 합의제 중앙행정기관으로 하고, 위원장은 국무총리 제청으로 나머지 위원들은 위원장 제청으로 각각 대통령이 임명하는 방식을 제안하고 있다(공정거래위원회 등이 이와 유사하다). 한편 다른 대안법안들은 개보위를 대통령 소속으로 하되 위원들을 국회 또는 교섭단체에서 추천하는 방식을 제안하고 있다.



5. 결어

개인정보, 가명정보, 익명정보의 경계가 전후 상황 및 기술 수준에 따라 유동적일 수 있음에도 이를 구분하는 이유는 리스크에 비추어 적정한 규범적 통제를 가하기 위함이다. 현행법처럼 개인정보·비(比)개인정보 이분법으로는 적정한 규율을 하기 어렵다. 안전장치가 된 가명정보 또한 현행법에서는 개인정보로서 획일적으로 규제되기 때문이다. 개정안이 늦지 않게 통과되기를 촉구한다.

 

 

전승재 변호사 (법무법인 바른)

 

관련 법조인

리걸에듀