개인정보가 포함된 빅데이터 활용을 둘러싼 논란이 뜨겁다.
산업계에서는 4차산업혁명 시대에 대비한 경쟁력 강화를 위해 활용의 길을 열어줘야 한다는 입장이다. 과거 박근혜 정부가 전경련의 요청으로 비식별화를 거친 빅데이터 개인정보를 교환하도록 허용하고, 한국인터넷진흥원 등 공공기관을 동원해 결합을 지원하도록 한 것은 이 때문이다.
하지만 현행 ‘개인정보보호법’에서는 개인을 알아볼 수 없게 처리된 정보라 하더라도 학술연구 및 통계작성 목적으로만 사용할 수 있게 제한하고 있다. 영리를 목적으로 데이터를 사용할 수 없다는 의미다.
최근 이동통신사는 물론 보험사와 카드사 등 대기업들이 빅데이터 활용이라는 명목으로 개인정보 결합을 시도하고, 그 중 1200만 건 이상의 개인정보를 주고받았다는 지적이 제기된 것도 이 때문이다.
문제는 비식별화다. 개인정보 유통에 민감한 이들은 이름과 주민등록번호를 가리는 비식별화를 거쳤다고는 하지만 다른 정보와 결합하면 개인이 특정될 가능성이 높아진다고 주장한다. ‘홍길동’이라는 사람의 카드결제 정보와 통신사 가입·이용 정보 등을 하나로 묶으면 당사자가 누구인지 알 수 있는 확률이 높아진다는 설명이다.
반면 산업계에서는 포괄적 규정과 비식별 조치의 모호함, 그리고 개인 동의 규정 등으로 데이터 수집은 물론 유통, 활용이 모두 어렵다는 주장이다.
결국 정부는 개인정보의 활용과 보호라는 두 목적이 균형 있게 충족될 수 있는 방안들을 사회적 합의과정을 통해 모색해 나가야 한다.
우선 개인정보 보호와 활용이라는 두 마리 토끼를 잡기 위해 법제도 개선이 필요하다. 최소한 개인정보보호 주관 부처와 법제도를 일원화하는 것만으로도 기업들의 부담을 줄이고 개인정보보호도 강화할 수 있을 것이다.
분야별, 사안별로 비식별 정보 수준과 활용 가능 여부 등을 명확하게 만들어가는 것도 4차 산업혁명 시대를 준비하는 산업계에 혼선을 줄일 수 있는 방법이 될 수 있다.
특히 우리나라도 ‘비식별화’라는 용어 대신 ‘익명’과 ‘가명’을 구분해 사용해야 한다. 실제 해외에서는 ‘익명화’ 절차를 거친 후에야 데이터를 활용할 수 있도록 하고 있다. EU나 미국의 경우 IoT 환경에서의 보호수단으로 개인정보 비식별화를 보고 있다.
영국은 익명화가 아닌 ‘가명처리’ 등과 같은 방식은 중대한 프라이버시 위험을 가지고 있는 것이라는 입장을 취하고 있다. 익명화를 통해 관련 정보를 활용하고자 하는 기관은 정보 공개로 인해 발생할 수 있는 결과를 설명하고 정보주체의 동의를 구해야 하며, 위험분석 및 익명화에 관해 보다 엄격한 형식을 채택해야 취해야 한다.
EU의 개인정보 보호규칙 역시 익명화와 가명화를 엄격히 분리하고 있다. 개인정보가 식별되었거나 식별 가능한 자연인과 연결되지 않도록 하기 위한 기술적, 조직적 조치가 이루어져야 한다고 규정하고 있다.
규제당국은 비식별화와 관련해 미국과 유럽처럼 국민들을 설득할 수 있는 합리적인 틀을 마련하고 정보를 공유해야 할 것이다.