안녕하세요, 박경희 변호사입니다.
이번 개정을 통해 법이 가명정보, 혹은 익명정보를 만들고 이를 활용할 수 있는 기회를 많이 허용했는데요. 이를 어떻게 잘 활용할 수 있는지, 어떤 것들을 고려하고 준비하면 좋을지 살펴보도록 하겠습니다.
우선 개인정보 활용이라고 하면, 사실 경우에 따라서 개인정보를 직접 활용해야 할 때가 있고, 가명정보를 활용해야 할 때가 있고, 익명정보로도 괜찮을 때가 있거든요. 이 중 어떤 정보를 이용할지 정하려면, 사실 개념을 정확히 알아야 합니다.
1) 개인정보는 특정 개인을 알아볼 수 있는 정보, 2) 가명정보는 추가정보의 사용, 결합 없이는 특정 개인을 알아볼 수 없는 정보, 그리고 3) 익명정보는 시간, 비용, 기술 등을 합리적으로 고려했을 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보를 뜻합니다.
그런데 사실 이렇게 글로 보면 다 그게 그거 같고, 법률가로서도 뭐가 뭔지 헷갈릴 정도거든요. 그래서 실제 가명처리 하는 것, 익명처리된 정보의 예를 직접 보시는 게 도움이 될 것 같아서, 가이드라인에 나와있는 사례를 함께 살펴보도록 하겠습니다.
이게 원본 개인정보입니다. 사람 이름, 전화번호, 성별, 생년월일, 보험 가입건수… 아마 보험사에서 갖고 있는 정보로 보입니다. 이 상태는 당연히 개인을 알아볼 수 있기 때문에 개인정보라고 할 수 있겠죠. 이걸 어떻게 처리하면 가명정보가 되는지 보도록 하겠습니다.
이게 가명 처리된 후의 가명정보입니다. 일방향 암호화를 통해 만든 ID를 보면 뭐가 뭔지 알 수가 없죠. 성명, 전화번호 등 식별자를 알아볼 수 없게 삭제한 뒤, 식별자들을 모아 해시함수를 돌려 ID를 만든 겁니다.
아까는 생년월일이 있었죠. 생년월일의 경우 식별자는 아니지만, 식별가능정보라고 해서 개인을 식별할 가능성이 높은 정보입니다. 만일 연령별로 보험 가입 건수를 본다고 하면, 생일까진 필요가 없겠죠. 그래서 출생 연도까지만 잘라서 ‘일반화’를 한 모습입니다.
가명정보의 가장 큰 특징은 1:1로 대응관계가 유지된다는 것입니다. 개인정보야 당연히, 박경희란 사람은 한 사람밖에 없으니 1:1 대응이 되기 마련이고요. 가명정보의 경우, 식별자는 모두 삭제했지만 식별자를 해시함수로 암호화해서 개인을 특정할 수 있는 ID를 새로 발급했죠. 이 ID는 여전히 이 사람의 성별, 출생년도, 보험가입건수 등의 데이터 세트와 1:1로 대응관계를 유지합니다. 이런 1:1 대응이 있기 때문에 맨 뒤에서 살펴볼 데이터의 결합이 가능하게 됩니다.
그렇다면 익명정보는 무엇일까요? 똑같은 원본 개인정보를 가지고 익명처리를 해 보죠.
식별자는 당연히 없애야 되겠죠. 식별자만 없앤 게 아니라, 성별도 코드화를 합니다. C가 여자인지 D가 여자인지 알 수가 없죠. 나이도 출생연도로 매칭될 가능성이 높으니 20대 , 30대 , 40대 하는 식으로 범주화를 하게 됩니다.
맨 오른쪽을 보면 ‘동질집합 k=3’ 이란 얘기가 있는데요. 성별, 나이가 모두 같아 개인을 특정할 수 없는 정보가 3개씩 있는 겁니다. 가명정보만 해도 1:1 매칭이 되었는데, 익명 정보가 되면서 1:다로 매치가 되는 거죠. 이젠 더 이상 개인을 특정할 수 있는 정보가 아닌 거예요. 이렇게 바꾸어 개인정보보호법의 적용을 받지 않고 자유롭게 활용할 수 있는 정보가 되는 겁니다.
보시면 아시겠지만 익명정보화가 될수록 정보의 양과 질은 사실 줄어들죠. 사실 개인정보 원본을 사용할 수 있다고 하면 활용가능성이 훨씬 더 높겠지만, 거기엔 여러가지 법적 제한들이 있습니다. 경우에 따라서 어떤 걸 활용할지 잘 판단하실 필요가 있습니다.
이번 데이터 3법 개정을 통해서 데이터를 활용할 기회가 많이 주어졌지만, 기회가 있으면 위험이 같이 따르는 법이죠. 순서대로 살펴보겠습니다.
이번에 데이터 활용을 강화하려는 큰 목적을 가지고 데이터 3법 개정이 이뤄졌습니다만, 그 전부터 여러 가지 비판이 많았습니다. 우리나라의 개인정보 보호법은 세계적으로 유례가 없을 정도로 강력하게 개인정보를 보호했기 때문에, 모든 경우에 사전동의를 받아야 하고, 사전동의를 받은 목적범위 내에서만 정보를 활용해야 했죠.
이런 규제는 개인정보를 보호하는 데는 도움이 될지 모르지만, 4차 산업의 가장 큰 트렌드인 빅데이터 활용에는 여러 제한을 낳았습니다. 결국 그것은 외국 기업 대비 우리나라 기업들의 경쟁력 약화라는 문제를 일으켰고요. 그래서 정부에서도 문제점을 인식을 하고 이번 개정을 하게 되었습니다.
일단 큰 두가지는 1) 추가처리가 허용되었다는 부분, 그리고 2) 가명정보 처리가 허용되었다는 부분입니다. 여기에서 중요한 건 정보주체의 ‘동의 없이’라는 부분이죠. 법에서 정하는 범위 내에 들어오면, 정보주체의 동의 없이 이용을 하게 해주겠다는 것이 가장 큰 변화입니다.
특히 가명정보 처리 허용 특례에 대해 기업들의 관심이 많은데요. 좋기만 한 걸까요? 그렇진 않겠죠. 풀어준 만큼 책임이 따르게 됩니다. 항상 권한과 책임, 권리와 의무가 같이 가니까요. 특히 중요한 게 형사처분입니다. 새로운 제도가 생겼을 때, 이를 활용하고자 하시는 분들은 관련 벌칙, 형사처분이 무엇이 있는지 꼭 알고 가셔야 합니다.
우선 가명정보의 처리목적 위반이 있습니다. 처리목적이 세 가지가 있었죠. 통계 작성, 과학적 연구, 공익적 기록 보전 등. 이런 처리목적에 맞지 않는 용도, 예를 들어 그냥 마케팅, 타겟 마케팅 같은 용도로 쓰면 안 되는 거죠. 그리고 가명정보라 해도, 아까 말씀드린 것처럼 추가 정보가 있으면 개인을 다시 식별할 수 있어요. 가명정보를 사용할 수 있도록 허락한 건 특정인이 식별이 안 되기 때문이잖아요. 그래서 추가정보는 주면 안 됩니다.
그리고 가명정보의 결합에 있어, 외부와 내부의 정보를 결합할 때는 결합 전문기관을 쓰게 되어 있습니다. 그런데 그러지 않고 내가 직접 한다, 그러면 안 됩니다.
가명정보는 기본적으로 특정 개인을 식별하지 못하도록 하는 건데, 이 정보와 저 정보를 섞으며 특정 개인을 알아보려고 하면 절대 안 됩니다. 이건 특히 엄격히 금지하는 것이고, 그래서 벌칙도 제일 셉니다. 5년 이하의 징역, 5천만원 이하의 벌금에 처해질 수 있는 건 물론, 과징금도 따로 있어요. 대략 전 3기 사업년도 매출액의 3/100 이하의 과징금에 처해질 수 있습니다.
다음으로, 가명정보는 내부 관리 계획, 추가 정보의 분리 보관 등 안전성을 확보하기 위한 조치를 취해야만 쓸 수 있는 것이거든요. 이런 조치를 위반해서 개인정보가 유출, 변조, 훼손됐다면 2년 이하 징역이 됩니다. 안전조치 의무를 위반했지만 유출이나 도난은 안 됐다면, 다행이긴 하지만 3천만원 이하의 과태료에 처해질 수 있습니다.
가명정보가 당장은 특정 개인을 알아볼 수 없게 처리했더라도, 시간이 지나면서 상황이 바뀔 수도 있습니다. 내가 갖고 있는 데이터가 더 많아지거나, 제3자와 결합을 하는 과정에서 그 사람이 갖고 있는 다른 정보 때문에 식별이 가능해지거나, 암호화 기술이 너무 발전해서 식별이 가능해지거나… 이렇게 되면 바로 가명정보의 이용을 중지하거나, 회수하거나, 파기를 해야 하는데요. 이걸 위반했을 때에도 삼천만원 이하의 과태료에 처해질 수 있습니다.
그리고 가명정보 처리와 관련해서 어떤 가명정보들을 어떤 목적으로 어떻게 처리했는지 등을 보관해야 하는데요. 보관을 안 하면 천만원 이하의 과태료에 처해질 수 있습니다.
지금까지는 위험 요소에 대해 살펴보았고요. 이제부터는 실제로 회사가 데이터를 갖고 활용해보려 할 때 어떤 부분들을 고려해야 하는지를 차근차근 살펴보도록 하겠습니다.
첫번째로 고려할 사항은 이것입니다. 활용이 필요한 정보가 개인정보인가, 가명정보인가, 익명정보인가.
어떤 특정 개인 고객을 위한 서비스를 해야 한다면, 개인정보를 쓸 수밖에 없어요. 이 정보는 다른 사람에게는 필요하지 않을 테니까요. 하지만 가명정보만으로 가능한 부분은 가명정보를 쓰고, 익명정보만으로 가능하다면 익명정보를 써야 합니다. 개인정보보호법에서는 우선 익명정보만으로도 가능한 부분에선 익명정보를 쓰고, 익명정보로는 활용의 목적을 달성할 수 없을 때 가명정보를 쓰고, 가명정보로도 달성할 수 없으면 그때 개인정보를 쓰도록, 이렇게 활용의 순서를 정해 놓고 있습니다.
예를 들어서 지역별로, 연령대별로 어떤 종류의 음식을 배달시키는가, 그 분포를 알고 싶다고 해 보죠. 이 정도라면 개인을 특정해야 할 필요는 없죠.
그런데 어떤 지역에서 어떤 사람들이 어떤 음식을 배달을 시키는데 이 사람들이 신용카드는 어떤 것들을 많이 쓰더라, 이런 정보를 결합을 시키고 싶다고 해 보죠. 이런 정보는 따로 떨어져 있으면 통계 밖에 안 되지만, 두 가지를 결합할 수 있으면 좀 더 세밀하게 연령대별, 성별, 지역별 트렌드를 파악할 수 있거든요. 기업입장에서는 트랜드 파악이 되게 중요하잖아요. 트렌드를 파악해야 마케팅 포인트를 잡을 수 있고, 신사업을 할 수 있고요. 이런 경우에는 익명정보로는 안 되니 가명정보를 써야 하겠죠.
따라서 활용하고자 하는 목적에 따라 어떤 정보를 써야 할지, 그걸 사실 초기에 잘 결정을 해야 합니다. 초기에는 익명정보면 될 것 같다고 생각하고 익명처리를 했는데, 그러다 갑자기 새로운 아이디어가 나오고, 이 정보 정도만 추가되면 될 것 같은데 하는 생각이 든다면… 익명정보로는 안 되는 거죠. 완전히 새로 시작해야 합니다. 그러니 초기부터 목적과 방향성을 잘 정하는 게 필요합니다.
그리고 어쩔 수 없이 개인정보를 써야 하는 경우, 수집목적과 합리적인 관련성이 있는 범위에서는 암호화 등의 적절한 조치를 통해서 정보주체의 동의 없이 사용할 수 있다고 되어 있는데요. 사실 그게 가능한지가 애매해요. 실제 사례에서 이건 됩니다. 이건 안 됩니다, 이렇게 명확하게 말할 수 있는 경우는 별로 없을 거 같아요. 선례나 관련 정부기관의 유권해석이 있어야 도움이 될 텐데, 아시겠지만, 법 시행 초기라서 그런 게 없습니다. 그러니 현재로서는 조금 보수적으로 진행을 하시도록 권유하고 싶어요.
실제로 GDPR(General Data Protection Regulation, 유럽연합의 일반 개인정보 보호 규칙)에서 가장 대표적으로 나오는 예시가 자사 마케팅인데요. 어떤 고객님이 우리 쇼핑몰에서 물건을 사 가셨다고 해 보죠. 쇼핑몰에 그 상품과 유사한 상품이 들어오면, 그 고객님에게 이런 게 나왔으니 한 번 보세요, 하고 싶잖아요. GDPR 하에서는 이걸 합리적인 연관성이 있는 범위로 가능하다고 보는데요.
다만 우리나라는 정보통신망법에 스팸에 대한 규정이 또 별도로 있어요. 여길 보면 영리를 목적으로 하는 광고성 정보를 전달할 때는 사전 동의를 받아야만 할 수 있어요. 예외가 있긴 하지만, 그 예외의 범위가 굉장히 좁거든요. 그래서 현재로서는 자사마케팅 용도로도 사용하기가 어려운 편인데요, 일단 일반적인 경우로만 이해해주시면 될 것 같습니다.
다음으로, 가명정보는 사실 개인정보예요. 추가정보를 통해서 개인을 식별할 수 있기 때문에 개인정보라고 봐야 하죠. 그럼에도 산업 발전을 위해서 사용을 허락했어요. 그렇기 때문에 그 목적을 아래와 같이 제한하고 있습니다. 통계작성, 과학적 연구, 공익적 기록 목적. 내가 지금 하려고 하는 게 이 세 가지 목적에 해당하는지 꼼꼼하게 판단할 필요가 있어요. 아니라면 익명정보를 고려해야 하고, 익명정보화를 할 때 어떤 절차를 거쳐야 할지를 고민할 필요가 있죠.
익명정보화라고 하면, 데이터 3법이 개정되기 전에 ‘비식별 조치 가이드라인’이라는 게 있었어요. 그게 정부에서 준 익명정보화의 가이드라인이었는데요. 조금 어려웠던 게, 익명처리를 하고 나서 적정성 평가를 받는데 3인 이상의 평가 위원회를 구성하고 3인 중에 2인을 외부전문가로 두도록 하고 있었거든요. 그런 과정 자체가 사실 기업에겐 부담스러운 거예요. 비용도 비용이지만, 외부인들이 우리가 데이터를 어떻게 활용하는지 알게 되는 거고, 또 그분들이 어떻게 의견을 줄지 모르니까요.
그럼 앞으로도 계속 그렇게 해야 하는지, 이것도 애매해요. 이에 대한 유권해석이 없는 상태이고, 금융위에서 나온 개인신용정보 익명처리 가이드라인을 보면 이런 가이드라인이 여전히 적용되는 것으로 보이는 문장들도 있습니다. 다만 이 부분은 조금 다르게 해석될 여지도 있어서, 앞으로의 진행방향과 선례를 참고해야 할 것 같습니다.
그리고 또 무엇을 고려해야 할까요? 개인정보보호법 관련 자문을 하다 보면, 많은 분들이 1) 우리 회사가 수집한 정보, 2) 제3자에게 제공받은 정보, 3) 그리고 정보를 가진 회사로부터 이렇게 저렇게 처리해달라고 처리 위탁을 받은 정보, 이 세가지를 구분하지 못하시는 경우가 있습니다. 하지만 법상에서는 규율이 다릅니다.
내가 지금 활용하고 싶은 정보가 1) 우리 회사, 내가 직접 수집한 정보인지, 2) 아니면 외부의 제3자한테서 제공받은 정보인지, 제공을 받았다면 어떤 목적에서, 어떤 범위, 기간 내에서 동의를 받고 제공받은 정보인 건지, 3) 아니면 처리 위탁을 받은 정보인 건지, 그에 따라 내용이 달라집니다.
제일 먼저 나오는 궁금증이, 처리 위탁을 받은 개인정보를 가명처리나 익명처리해서 사용할 수 있는가 하는 건데요. 사실 애매한 부분이 있습니다. 개인적으로는 가명처리에 대해서 정보조치 동의 없이 사용할 수 있도록 한 이상 가능하다고 봐야하지 않을까 싶긴 한데, 결국 이 부분도 유권해석이 나와야 하는 부분 같습니다.
또 가능하다고 했을 때, 위수탁 기간이 만료된 뒤에도 쓸 수 있느냐, 이 부분도 역시 의문이 생기는 부분입니다. 만일 법 해석상으로는 가능하다고 하더라도, 개인정보처리 위수탁계약 위반은 아닌지 고려해야 하고요. 다만 개인정보처리 위수탁계약은 계약조건을 잘 조정해서 처리할 수 있는 부분이니, 결국 유권해석이 어떻게 나오느냐가 가장 중요할 것 같습니다.
또 하나 고려해야 할 것은 내부정보로 충분한가, 외부 정보와 결합이 필요한가 하는 것인데요. 외부정보와 결합할 때는 외부의 결합전문기관을 통해서 해야 하기 때문에, 그 준비 기간을 고려해야합니다. 금융위 보도자료를 보면, 카드사가 보유한 카드 이용정보와 통신사의 고객 기지국 접속 정보를 결합해서 여행 관광 정보를 분석하는 사례가 나와 있는데요. 이런 목적을 위해서 이런 식으로 정보를 결합할 수 있겠구나 참고하시면 좋을 것 같습니다.
제가 볼 때, 가장 활용도가 높은 것은 가명정보일 것 같습니다. 그래서 가명처리 절차를 이해하는 게 필요할 것 같습니다.
기본 프로세스는 이렇습니다. 1) 사전준비를 하고, 2) 가명처리를 하고, 3) 가명처리가 잘 되었는지 적정성 검토를 하고, 검토에서 이상한 부분이 있으면 추가가명처리하고, 4) 그리고 활용 및 사후관리를 하게 되는데요.
사실 제가 제일 강조하고 싶은 부분은 사전준비 부분입니다. 가명처리 부분은 가이드라인을 보면 이렇게 할 수 있겠구나 알 수 있으실 텐데, 여기서 사전준비 부분이 미비하면 원래 예상했던 것보다 활용이 늦어질 수 있거든요.
우선 처리목적이 아까 말씀드린 세 가지 목적에 부합해야 합니다. 그리고 내부관리계획이 중요한데요. 뒤에 얘기하겠지만 데이터 결합에 있어서도 결합이 늦어지는 첫 번째 원인이 내부관리계획이나 개인정보처리방침 등, 가명정보 처리를 위한 사전준비작업이 미비해서 그걸 뒤늦게 처리하느라 그렇게 되는 경우가 많습니다. 보관장소를 확보하는 등의 내부 준비를 미리 하시고, 개인정보처리방침 역시 가명정보와 관련된 방침을 미리 포함시켜 공개하는 게 필요합니다.
그리고 가명정보 같은 경우에, 가명정보를 처리하는 부서에는 원본정보가 있기 때문에 가명정보 처리 과정에서 개인을 재식별할 가능성이 있습니다. 따라서 가명정보를 활용하는 부서는 가명정보만 갖고 있어야 하는 것이고요. 내부에서 처리하고 활용할 때도 부서나 담당자를 구분할 필요가 있습니다.
가명처리는 데이터 리스트에서 필요한 것들을 빼고, 개인 식별 가능 정보 중 위험도가 높은 것들은 최대한 범주화 하는 등의 과정을 거치게 됩니다. 이런 부분은 설명보다 가이드라인에 나온 실제 사례를 보시는 게 이해가 훨씬 수월하실 거예요.
그 후에는 적정성 검토를 해야 합니다. 예를 들어 중간에 처리가 안된 부분이 있거나, 가명처리를 너무 심하게 해서 목적 달성이 불가능하거나, 개중에 너무 특이한 정보, 예를 들어 직업이 너무 특이하다든가 하는 이유로 누군지 알아볼 수 있거나 하는 것들은 추가 가명처리를 해야 합니다.
그리고 활용을 하면서 사후관리를 해야 하는데요. 앞에서 말씀드린 것처럼 더 나은 개인 식별 기술이라든가, 개인을 식별할 수 있는 다른 정보가 추가되었다든가 해서 개인식별 가능성이 증가했는지를 계속 모니터링해야 합니다. 추가 정보 관리도 필요하고, 가명정보 기록 등을 작성하고 보관해야 합니다.
마지막이 가명정보 결합입니다. 사실 결합 프로세스 같은 경우, 가이드라인을 보는 게 훨씬 이해가 수월합니다. 다만 제가 드리고 싶은 이야기가 있는데요.
앞에서도 말씀드렸다시피, 결합은 결합전문기관을 통해서만 수행을 할 수 있는데요. 금융위에서 2020년 8월 6일 금융보안원과 신용정보원을 전문기관으로 지정을 했습니다. 따라서 신용정보법에 따른 결합은 가능한 상황입니다. 그런데 개인정보보호위원회는 아직 지정 중입니다. 하는 데가 없어요. 언론 보도에 따르면, 과학기술정보통신부에서도 결합전문기관 지정을 별도로 추진한다고 하거든요.
그럼 이제 궁금한 건, 금융기관이라면 금융위에서 지정한 전문기관으로 가면 되겠지만, 금융기관이 아니면 어떡해야 하냐는 거죠. 제가 물어봈는데, 금융기관이 끼지 않은 정보들의 결합은 현재 금융보안원과 신용정보원에서는 해줄 수 없다고 해요. 개인정보보호위원회에서도 빨리 결합전문기관을 지정해야, 금융기관이 아닌 일반기업들의 가명정보 결합이 가능할 걸로 보입니다.
그리고 비용이 문제인데요. 신용정보원은 올해까진 무료라고 하고, 금융보안원은 200만원 정도라고 합니다. 다만 데이터가 너무 많아지면 좀 늘어나고요. 기간 같은 경우, 의뢰 기관에서 가명처리가 다 된 정보를 넘겨야 그 다음에 결합 전문기관에서 결합을 할 수 있는데요. 가명처리된 정보를 넘긴 시점에서 빠르면 일주일에서 10일, 늦으면 2~3주가 소요된다고 합니다.
가명정보 결합 반출절차를 보면, 사실 결합전문기관에서 하는 부분은 저희가 뭐 어떻게 할 수가 없습니다. 시키는 대로 해야 해요. 결국 우리 입장에서는 사전준비 및 신청단계가 문제겠죠. 사전준비를 어떻게 잘 할 수 있을지, 신청자 사이에 어떤 정보를 결합할지 사전 협의를 어떻게 잘 이끌어낼 수 있을지, 이런 게 중요할 것 같습니다.
마지막으로 몇 가지 말씀드리고 싶은 게 있습니다. 우선, 위탁 받은 정보보단 직접 수집한 정보를 사용하는 게 좋습니다. 그게 비교적 논란의 여지가 없습니다. 그럼, 어떤 정보를 활용하고 싶다고 할 때 내가 수집자가 될 수 있는 방법은 무엇인지도 고려를 해야 합니다. 어차피 정부 기관이 하는 일은 그쪽에서 할 수밖에 없는 것이니, 그런 기본적인 설계가 중요합니다.
그리고 법이 시행된 지 얼마 안 됐기 때문에, 지속적으로 유권해석과 선례에 대해 관심을 가져야 합니다. 벌칙도 확인해야 하고, 내부관리 계획이나 개인정보처리방침 등도 미리 준비해야 합니다. 그게 안 돼서 한두달씩 더 지연되는 일이 발생할 수 있습니다. 우리 회사가 갖고 있는 정보가 풍부하다, 플랫폼 기업이다, 그럼 당장 구체적인 계획이 없더라도 미리 내부관리계획이나 개인정보처리방침을 개정해 놓는 게 좋을 것 같습니다.