재식별 가능성 없어야 개인 동의 없이 활용 가능
[데이터넷] 코로나바이러스감염증-19(COVID-19) 초기부터 우리 방역당국은 확진자 동선을 세세하게 공개하고 감염확산을 차단하는데 주력했다. 이 같은 조치에 유럽의 여러 국가들은 확진자에 대한 프라이버시 보호 위배라고 비판하기 바빴다. 4월 말 현재 우리나라 감염자수는 하루 10명 내외로 줄어들어 안정적으로 관리되는 반면, 사생활 보호에 대한 비판을 쏟아냈 던 유럽은 하루 수천명의 확진자와 수백명의 사망자를 발생시키면서 혼란을 겪고 있다.
코로나19로 개인정보 보호와 활용에 대한 개념도 크게 바뀌고 있다. 개인정보와 사생활정보를 보호하는 것이 원칙이지만, 사회 안전을 위해서는 일정부분 희생도 필요하다는 인식이 자리잡게 됐다. 환자가 어떤 경로로 감염됐는지 알아야 그 부분에 대해 방역을 실시하고 또 다른 감염자가 없는지 확인하고 조기 치료해 추가 피해를 막아야 한다. 방역을 위해 반드시 필요한 개인정보는 공공성을 먼저 생각하는 것이 공동체 를 위해 바람직하다는 합의가 나오고 있다.
개인정보 ‘보호 vs 활용’ … 오랜 갈등 풀린다
개인정보 보호와 활용은 오랫동안 반목하면서 갈등을 겪어온 문제다. 기업은 더 많은 개인정보를 수집해 더 좋은 상품을 만들어 더 높은 판매수익을 얻고자 한다. 개인은 프라이버시 보호에 관심을 두지만, 서비스를 이용하기 위해서는 개인정보를 제공해야 하기 때문에 어쩔 수 없이 기업에게 개 인정보를 제공한다. 기업은 보관 중인 고객정보를 제대로 관리하지 못해 수많은 유출사고를 일으켰으며, 이를 이용한 전자금융사기, 신용카드 사기, 사회공학 기법 공 격, 피싱·파밍·보이스피싱 등 지능적인 범죄가 등장하고 있다.
개인정보 활용이 부정적인 측면만 있는 것은 아니다. 많은 환자의 질병 정보를 수집·분석해 생활 습관, 성별, 나이, 주변 환경, 직업 등의 특성에 따른 발병 현황과 예방법을 분석할 수 있다. 이를 기반으로 캠페인을 벌여 사람들이 더 건강하게 살 수 있도록 도와줄 수 있다.
환자의 임상데이터를 분석해 특정 질환을 가진 환자에게 권장하는 식단과 운동 등 건강관리법을 제공하며, 제약회사와 의료기기 제조사에는 신약와 의료기기 개발 방향을, 보험사에는 효율적인 보험료 계산 방안 을, 건강보험공단에는 건보료 운용 방안을 제안할 수 있다.
고속도로의 특정지점을 지나는 차량 속도, 탑승인원, 시간대별 정체여부, 이동 구간, 차선변경 및 추월 등의 특징을 분석해 도로 구조를 바꾸거나 휴게공간을 설치하는 등의 조치로 사고를 줄일 수 있다.
데이터를 통해 사람들의 삶의 질을 높이고 사회 시스템을 효율화할 수 있다. 이 때 가장 필요하고 중요한 데이터는 개인의 데이터다. 성별, 직업, 나이, 거주하는 곳, 이동경로, 소비성향, 자주 먹는 음식, 활동량, 차 량 소유 여부 등 다양한 개인정보와 사생활 정보가 모여야 한다. 이러한 정보는 정보주체의 동의가 없으면 사용할 수 없다.
그래서 8월 시행되는 개정 개인정보보호법에서는 특정 개인을 알아볼 수 없도록 비식별조치된 데이터는 개인의 동의를 받지 않고 사용할 수 있도록 하고 있다. 이 법에서는 ▲개인정보를 수집했 던 목적과의 상당한 관련성 ▲수집한 정황과 처리 관행 에 비춘 예측 가능성 ▲추가 처리가 정보주체나 제 3자 의 이익을 부당하게 침해하지 않을 것 등의 요건을 갖춘 경우 개인정보를 이용할 수 있다고 명시 했다.
마이데이터 산업 시작 … 시장 기대 높아
개인정보보호법 개정 전에도 가명정보를 개인 동의 없이 사용할 수 있었지만, 가명정보의 개념과 정의가 불분명하고 활용 가능한 분야도 정확하게 명시돼있지 않다는 문제로 확산에 제약이 있었다. 이번 개정안에서 이 문제를 명확하게 정리했으며, 개인정보 보호 컨트롤타 워인 개인정보보호위원회가 일관된 정책을 운영하도록 해 시장의 혼란을 줄이고 있다.
개인정보보호법은 현재 입법예고돼 있으며 하위 법령 과 시행령 마련 작업을 진행하고 있다. 업계에서는 현재 개정안이 ▲과학적 연구의 범위와 기업의 활용 범위 ▲데이터 결합을 위한 담당 전문기관의 성격 ▲반출 기준과 절차도 협의 필요 ▲국내 데이터의 국외 이전 관리 방안 등이 아직 모호하다고 지적하고 있다. 시 민단체는 가명데이터가 공익성이 확인된 사업에 사용돼 야 하며, 그 연구결과물은 사회 전반에 공유돼야 한다고 주장한다.
시민단체와 데이터 관련 업계의 의견은 적당한 수준 에서 시행령에 반영될 것으로 보이며, 정부에서는 시행 령 마련 전 공청회와 의견수렴 절차를 거칠 계획이라고 밝혔다.
가명정보 활용이 가능해지면서 새로운 산업 탄생의 기대가 높다. 마이데이터 산업이 본격화 될 수 있으며, 데이터 판매 전문기업과 비식별화 된 데이터를 결합해 분석하는 전문기업도 등장할 것으로 기대된다.
비식별 데이터도 보호방안 마련해야
데이터 활용을 원하는 기업들은 여러 비식별정보를 결합해 데이터에 대한 새로운 인사이트를 얻고자 한다. 비식별 데이터의 결합은 반드시 전문기관을 통해 검증 받아야 한다. 전문기관은 결합된 비식별 데이터가 재식별 가능한지 여부를 확인하고 재식별되지 않는다는 것을 확인한 후 사용하도록 한다.
비식별 처리된 가명정보라해도 영원히 보유할 수 있 는 것은 아니다. 데이터를 활용하고자 하는 기업은 가 명정보의 처리 목적, 보유기간, 파기 등의 사항을 기록 으로 작성해 보관해야 한다. 비식별 처리 전 원본데이터 는 반드시 분리보관하며 강력한 접근통제 정책을 적용 해야 한다.
현재 비식별조치 전문기관은 ▲한국인터넷진흥원: 통신·공공기관 대상 ▲한국정보화진흥원: 통신사 대상 ▲금융보안원·한국신용정보원: 금융사 대상 ▲사회보 장정보원: 보건복지 분야 대상 ▲한국교육학술정보원: 교육기관 대상으로 정해져있다. 8월 데이터 3법 개정안 이 정식 시작되면 전문기관 선정과 운영 방식에도 다소 변화가 있을 것으로 보인다.
