[이슈분석]가명정보 이용·정보주체 권리 강화로 두 마리 토끼 잡는다

정부가 가명정보 개념을 도입한다. 개인정보 활용 거부권 강화와 정당하지 않은 정보 활용에 대한 처벌을 강화해 데이터경제 활성화를 지원한다. 산업계, 개인정보보호와 관련된 시민단체 등의 요구를 절충한 해법이다.

정부는 데이터 이용 활성화를 위한 가명정보 개념 도입에 합의했다. 미국·유럽연합(EU)·일본 등 해외사례를 참고했다. 선진국은 특정 개인을 알아볼 수 없는 정보를 각종 연구·개발 등에 활용하도록 법체계를 운영한다.

가명정보는 특정인 식별이 안 되도록 개인정보 데이터를 재가공한다. 일정 규칙의 알고리즘을 적용, 암호화해 개인정보를 대체하거나 사전에 정해진 외부 변수(항목)값과 연계해 교환하는 방식이다. 기업과 기관은 새로운 기술·제품·서비스 개발 등 산업 목적을 포함해 과학 연구 목적으로 가명정보를 사용할 수 있게 된다.

개인정보 원본, 가명정보, 익명정보 예시. <행정안전부 제공>
개인정보 원본, 가명정보, 익명정보 예시. <행정안전부 제공>

가명정보 활용이 본격화되면 특정 연령대·계층 등을 겨냥한 기업 맞춤형 상품 개발과 마케팅 활용에 유용할 전망이다. 단, 가명정보가 외부에 유출되거나 다른 정보와 결합을 통해 특정 개인을 식별 처리하면 형사처벌, 과태료, 연매출의 최대 3%에 해당하는 과징금을 부과한다.

개인 식별 가능성 증가 우려에 대비해 데이터 활용 시 준수해야 할 필수 안전조치 사항을 명확히 했다. 특정 개인을 알아보기 위한 목적으로 가명정보 처리를 금지한다. 가명정보를 복원하기 위한 추가정보는 별도 서버에 분리 보관해야 한다. 제3자에 정보 제공을 금지하고 데이터 활용 과정에서 개인 식별 가능한 정보가 우발적으로 생성된 경우 처리를 지체 없이 중단해야 한다.

다소 모호했던 개인정보 판단 기준도 정확하게 정리했다. 현행법상 개인정보 정의가 모호하게 규정됐다는 지적 관련 범위를 보다 명확하게 정의했다. 다른 정보 입수 가능성, 개인 식별에 소요되는 시간·비용·기술 등을 합리적으로 고려한다. 이러한 요건에 해당하지 않는 익명화된 정보는 개인정보보호법을 적용하지 않음을 명확히 했다.

개인정보 활용에 대한 국민 우려를 잠재우기 위한 개인정보보호 권리도 강화된다. 개인정보보호위원회로 감독 주체를 일원화한다. 데이터 결합은 개인을 식별할 수 없도록 보안시설을 갖춘 위원회에서만 허용한다. 관련법 추가 개정을 통해 EU GDPR(개인정보보호규정) 수준으로 개인정보 권리도 확대한다. EU GDPR은 현존하는 가장 강력한 개인정보보호법으로 평가된다.

정윤기 행안부 국장은 “데이터 활성화가 이뤄지는 만큼 정보 주체의 권리도 강화할 것”이라면서 “내년에 개인정보보호법 2차 개정을 통해 개인정보 주체의 거부권을 신설해 개인의사를 최대한 존중하는 토대를 만들겠다”고 말했다.

현행 개인정보보호법은 그동안 개인정보 활용과 보호 모두에 미흡하다는 지적을 받아왔다. 법 개정 이후 지난 정부 때 발표한 비식별 조치 가이드라인은 전면 개정된다. 개정법과 맞지 않는 부분은 삭제하고 비식별 조치된 데이터 활용 활성화를 지원하도록 수정·추가한다.

박종진기자 truth@etnews.com