• Legalinsight
  • Legaledu
  • 법률신문 법률정보

    바른

    데이터 3법 어떻게 개정되었나

    입력 :
    글자크기 : 확대 최소
  • 인쇄
  • 메일보내기
  • 기사스크랩
  • 스크랩 보기
  • #IT

    [ 2020.01.31. ]



    1. 개정법의 주된 취지 - 가명정보·빅데이터 활용의 물꼬를 트다

    우리나라에서는 개인정보 보호 강화를 주장하는 입장과 산업적 활용을 강조하는 입장이 팽팽히 맞서고 있었다. 양측의 입장은 2016년 정부에서 비식별 조치 가이드라인을 발표하자 더욱 첨예하게 갈렸다. 그러다가 2018년 EU에서 시행된 GDPR은 가명정보의 활용을 일정한 요건 하에 허용하고 있었다. 그 영향으로 우리나라에서도 2018. 4. 3.부터 이틀간 개최된 해커톤에서 가명정보 활용을 법제화하자는 대타협이 이루어졌다. 이를 반영하여 정부가 마련한 개인정보 보호법, 정보통신망법, 신용정보법(이른바 ‘데이터 3법’) 개정안이 2018. 11. 15. 발의되었고, 오랜 논의 끝에 2020. 1. 9. 국회 본회의를 통과하였다. 그 중 개인정보 보호법이 가장 기본이 되는 일반법이고, 정보통신망법상 이용자 개인정보 보호에 관한 규정은 개인정보 보호법으로 이관되며, 신용정보법은 금융기관 등의 신용정보 처리를 위한 특별법이다.



    2. 개인정보 정의조항

    제도의 핵심은 규제 대상이 되는 ‘개인정보’의 범위를 설정하는 것이다. 법률상 개인정보에 해당할 경우 정보주체의 처리동의를 받아야 하고, 동의 받은 목적 범위 내에서 이용해야 하며, 정보주체의 권리(처리정지요구권 등)를 보장해야 한다.


    종전 개인정보 보호법상 ‘개인정보’는 ‘그 자체로 개인을 알아볼 수 있는 정보’, 또는 ‘다른 정보와 쉽게 결합하여 개인을 알아볼 수 있는 정보’로 정의되어 있었다. 전자의 예시는 사람의 얼굴, 후자의 예시는 지문이 대표적이다. 지문을 육안으로 보아서는 누구의 것인지 알 수 없지만 지문감식기 및 지문등록 데이터베이스가 있으면 개인을 쉽게 식별할 수 있다. 이것이 결합의 개념이다. 참고로 개정법에서도 여전히 식별가능성 및 결합 가능성을 개인정보 해당여부의 판단 요건으로 삼고 있다.


    한 발 더 나아가, 환자의 이름 및 식별번호 등이 쓰여 있지 않은 엑스레이 사진, CT/MRI 사진 등은 개인정보에 해당할까. i) 당해 사진을 촬영한 병원의 관점에서는 보관된 의료기록과 결합하여 환자를 알아볼 수 있으므로 당연히 개인정보에 해당한다. ii) 한편, 질병진단 인공지능을 개발하는 연구기관에 환자의 이름 등이 없는 사진이 인공지능 학습 자료로 제공되었다면 어떠한가. 만약 그 연구기관의 관점에서도 학습 자료로 제공된 사진이 개인정보에 해당한다고 해석할 경우, 환자 개개인의 사전 동의를 받아두지 않았다면 그러한 자료 제공은 법에 위반될 것이다. 이 관점에 따를 때 의료 인공지능 산업은 공멸한다.


    결국 ‘누구의 관점에서’ 결합 가능성을 따져야 하는지가 핵심이다. 이 요건은 ‘입수 가능성’이라고도 한다. 한편, 우리나라의 경우 스마트폰 앱 ‘증권통’이 이용자의 USIM 번호를 수집한 것이 위법하다는 하급심 판결이 선고된바 있었다(서울중앙지방법원 2011. 2. 23. 선고 2010고단5343 판결, 참고로 이때는 개인정보 보호법이 제정되기 전이었고 정보통신망법에서 개인정보 수집 동의 등을 규정하고 있었다). 판결이유 중 “당해 개인정보처리자가 결합에 필요한 다른 정보를 구하기 쉬운지 어려운지와는 상관없이”라는 설시의 영향으로 실무에서는 ‘입수 가능성’ 요건을 불문한다는 보수적 해석이 통용되게 되었다. 이 해석에 따를 때, 정부, 통신사 등 이른바 전지자(全知者)의 관점에서 개인 식별 가능성을 따지게 되고 개인정보의 범위가 ‘개인과 조금이라도 연관 있는 정보’로 확대될 수 있어 데이터의 산업적 활용이 위축된다.


    이를 우려하여 정부는 2016년 비식별 조치 가이드라인에 부록으로 마련한 해설서를 통해 ‘당해 개인정보처리자’의 관점에서 결합 가능성을 따져야 하고 이 때 ‘입수 가능성’ 요건이 요구된다는 해석을 공표하였다. 이는 산업계에서 환영할만한 해석이었지만, 실무에서는 여전히 2011년 하급심 판결의 견해에 따른 보수적 해석을 완전히 떨치지 못하는 경향이 있었다.


    그러다가 이번에 개정된 개인정보 보호법은 아예 ‘입수 가능성’ 요건을 개인정보 정의규정에 명문화했다(제2조 제1호 나목). 당해 개인정보처리자의 관점에서 ‘개인을 식별하기 위한 다른 정보’(예컨대 엑스레이 사진과 환자의 이름 간 matching table)를 입수할 가능성이 있어야 하고, 개인을 알아보기 위해 ‘당해 정보’와 ‘다른 정보’를 결합하는 것이 합리적 노력(시간, 비용, 기술 등)으로써 가능해야만 당해 정보가 ‘개인정보’에 해당하게 된다. 따라서 ‘입수 가능성’ 요건에 관한 해석다툼은 상당부분 종식될 전망이다.


    개정 신용정보법에는 ‘입수 가능성’ 요건이 명문화되지는 않았으나, 신용정보 정의규정 중 ‘특정 신용정보주체를 식별할 수 있는 정보’(제2조 제1항 가목) 부분의 ‘식별가능성’ 요건을 해석하는데 일반법인 개인정보 보호법의 개정 취지가 참고가 될 것이다.



    3. 가명정보 개념 도입

    개정된 개인정보 보호법은 ‘가명처리’를 거친 데이터의 산업적 활용을 허용하고 있다. 가명처리란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 가공하여 ‘추가 정보’(이하 ‘matching table’) 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말한다(제2조 제1의2호). 예컨대 개인정보에 해당하는 개인별 고유식별자를 양방향 암호화(복호화 할 수 있는 방법으로 암호화)할 경우 여기에 쓰인 암호 키(encryption key)가, 일방향 암호화(해시값으로 대체 등)할 경우 암호문과 원문을 대응시킨 표 등이 바로 matching table이다. 가명정보는 matching table과 결합 시 다시 개인을 알아볼 수 있으므로, 가명처리를 한 개인정보처리자가 matching table을 가지고 있는 한 그의 관점에서 가명정보는 여전히 ‘개인정보’에 해당한다.


    가명정보를 제3자에게 제공하는 경우 matching table을 분리하여 비밀로 관리함으로써 ‘제3자의 입수 가능성’을 배제해야 하고(제28조의2 제2항), matching table 없이 가명정보를 처리하는 과정에서 고의로든 우연이든 다시 개인식별이 가능해진 경우 그 처리를 즉시 중지해야 한다(제28조의5 제2항). 이러한 전제가 구비되어야만 개인 식별 리스크가 현저히 낮아지므로 가명정보의 활용이 허용될 수 있는 것이다.


    Matching table이 주어지지 않더라도 가명정보만 가지고 원래 개인정보를 추론하는 등 재식별을 시도하는 것은 기술적으로 가능할 소지가 있지만, 이것은 일종의 해킹으로서 규범적으로 금지된다(제28조의5 제1항). 이를 위반할 경우 ‘전체 매출액’의 3% 이하의 과징금이 부과될 수 있다(제28조의6). 참고로 다른 유형의 개인정보 침해 행위에 대해서는 ‘위반행위와 관련된 매출액’(예컨대 문제된 인터넷 서비스 매출액)의 3%이하의 과징금이 부과될 수 있을 뿐인데(제39조의15, 이는 종전 정보통신망법 64조의3에서 옮겨온 것이다), 유독 가명정보와 관련하여서는 ‘전체 매출액’에 비례한 무거운 과징금이 부과될 수 있어 주의를 요한다.


    데이터가 가명정보 요건에 부합할 경우 정보주체의 동의를 받지 않고도 이를 처리할 수 있다(제28조의7). 빅데이터 활용의 본질은 개인정보의 수집 목적 외 이용 및 제3자 제공으로서, 이것은 원칙적으로 정보주체의 동의를 받아야만 적법하지만, 가명정보에 대해서는 그러한 동의를 예외적으로 면제해줌으로써 빅데이터 활용의 물꼬를 터 준 것이다. 동의 없이 가명정보를 처리할 수 있는 목적은 ‘과학적 연구’(기술의 개발과 실증, 기초연구, 응용연구 및 민간 투자 연구 등 과학적 방법을 적용하는 연구), 통계작성, 공익적 기록보존 등으로 규정되어 있다. 국회 논의 과정에서는 가명정보 처리 목적을 비영리적 활용으로만 제한해야 한다는 의견도 있었으나, 결과적으로는 영리목적 활용의 길도 열어주게 되었다. 다만, 복수의 가명정보 데이터 집합을 서로 ‘결합’하는 것은 아무나 할 수 없고 정부가 지정한 전문기관만이 수행할 수 있다는 제약은 붙는다(제28조의3).


    신용정보법에서도 마찬가지로 가명처리 개념(제2조 제15호) 및 활용 특례조항(제40조의3)이 신설되었으며, 개인식별 목적으로 가명정보를 처리한 경우 ‘전체 매출액’의 3% 이하의 과징금이 부과될 수 있다(제42조의2 제1항 제1의4호).



    4. 가명정보와 익명정보의 구분

    가명정보(pseudonymous information)와 대비되는 개념으로 익명정보(anonymous information)가 있다. 가명정보 또한 여전히 개인정보의 일종이기 때문에 위 면제 특례를 제외하고는 개인정보에 대해 부과되는 법적 의무(예컨대 개인정보 영향평가, 기술적·관리적 보호조치의무 등)를 준수해야 한다. 이와 달리 ‘익명정보’에 해당할 경우 아예 개인정보 보호법 등의 규제 대상에서 제외된다(이는 종전 법률에서도 마찬가지였다).


    가명정보와 익명정보를 구분하는 일응의 기준은 ‘single-out’ 여부이다. 가명정보는 개별 정보주체와의 1:1 대응관계가 남아있어서 다른 정보(원 정보와의 matching table, 비밀유지 대상)와 결합하면 다시 개인을 알아볼 수 있는 정보이다. 반면, 익명정보는 그러한 1:1 대응관계가 제거되어 matching-table이 없고 다른 정보와 결합해도 개인을 알아보는 것이 현행 기술상 극히 곤란한 정보이다.


    참고로 익명정보에 관하여 개인 식별이 ‘불가능’이 아니라 ‘극히 곤란’하다는 표현을 쓴 이유는, 개인 식별 가능성이 이론상 0%가 아니기 때문이다. 예컨대 데이터와 개인 사이의 1:1 대응관계를 1:k로 바꾸는 방법론이 k-익명성 모델이다(k값은 사안에 따라 달리 설정되는데, 소기업이라면 3 내지 5정도면 개인을 알아보기 곤란하겠지만, 구글과 같은 데이터 공룡 기업이라면 무려 50이 요구될 수도 있다). k-익명성은 2016년 비식별 조치 가이드라인 등에서 제시하는 대표적인 익명화 기법이다. 그런데 k-익명성의 취약점을 지적하는 공학 석학들의 논문은 쏟아져 나오고 있다. 요컨대 익명정보란 규범적으로 개인 식별이 안 되는 ‘非개인정보’로 분류되지만, 기술적으로 특수한 조건이 구비되면 일부 개인 식별(해킹) 가능성이 상존할 수 있는 유동적인 개념이라고 이해해야 한다.


    가명정보는 개인별 고유한 값(unique identifier, 이것이 누구의 것인지 모를 뿐)이 남아있어 중복 방지 및 다른 정보와의 결합 등이 가능하다. 이 때문에 익명정보보다 훨씬 유용하다. 개인정보가 포함된 데이터 집합물을 가명처리하려면, 개인을 식별 내지 추론할 수 있는 이름, 생년월일, 주소 등은 지우거나 일부를 가리고, 개인별 고유한 값인 주민등록번호, 휴대전화번호 등을 제3자가 풀어볼 수 없도록 암호화하는 방법이 있다. 현대의 암호기술은 서로 다른 원문을 입력했을 때 동일한 암호문이 나오지 않도록 수학적으로 설계되어 있기 때문에, 원문이 고유한 값이면 그 암호문도 고유한 값이 된다(한편, 암호문만 가지고 제3자가 원문을 역산하는 것은 현실적으로 불가능하다). 즉, single-out 속성이 유지된다. 그러면 데이터 집합물에 포함된 나머지 값(예: 통신요금, 보험료, 신용등급)이 산업적 활용 대상이 되는 구조이다.



    5. 개정법의 의의 및 대응방안

    개인정보, 가명정보, 익명정보의 경계가 전후 맥락 및 기술 수준에 따라 유동적일 수 있음에도 이를 구분하는 이유는 리스크에 비추어 적정한 규범적 통제를 가하기 위함이다. 종전 법률처럼 개인정보/非개인정보 이분법으로는 적정한 규율을 하기 어려웠다. 안전장치가 충분히 된 가명정보 또한 종전 법률에서는 개인정보로 분류되어 획일적으로 규제될 소지가 컸기 때문이다.


    이번 개정법률 통과에 따라 가명정보 활용의 물꼬가 트였다. 그렇다고 해서 개인정보를 조금만 가공하면 제약 없이 마음껏 활용할 수 있게 되었다는 뜻은 결코 아니다. 엄격한 법률상 요건을 갖추어야만 가명정보 활용 특례규정을 적용받을 수 있다. 기업으로서는 활용하고자 하는 데이터가 개인정보, 가명정보, 익명정보 중 무엇에 해당하는지 법률적·기술적 측면 모두를 살펴 신중하게 검토해야 한다. 예컨대 주민등록번호 대체 수단인 CI(Connected Information)가 개인정보 또는 가명정보 중 무엇에 해당할지는 상황에 따라 유동적일 여지가 있다. 데이터가 어느 유형에 해당하느냐에 따라 가해지는 규제의 강도가 하늘과 땅 차이인데, 각 유형의 구분 기준은 이제부터 개정법의 해석론으로 정립해 나가야 한다. 우리 제도가 개인정보의 보호와 활용을 균형 있게 추구할 수 있도록 좋은 선례를 남기는 것이 기업과 정부, 그리고 법률가들의 역할이다.



    전승재 변호사 (seungjae.jeon@barunlaw.com)