[the L] 충정 기술정보통신팀 변호사들이 말해주는 ‘혁신 기술과 법’ 이야기
최근 음성인식 비서 서비스, 동시통역 서비스, 사물인터넷, 로봇, 자율주행차 등 인공지능을 활용한 다양한 서비스가 등장하고 있다. 이와 같은 기술들은 공히 인공지능을 근간으로 하는데, 이처럼 인공지능이 발전할 수 있었던 것은 빅데이터, 즉 막대한 양의 데이터가 있었기 때문이다.
빅데이터는 관점에 따라 매우 다양한 형태로 정의되고 있으나, 이에 관한 합의된 통일적 개념은 정립되어 있지 않다. 최근 나온 다양한 논의를 종합하면 빅데이터란 “기존의 정보처리 기술 및 도구로 수집․저장․관리․분석 등을 할 수 있는 범위를 초과하는 대용량 데이터로서, 이를 활용, 분석하여 새로운 정보재화를 생성하고, 이 정보재화에 기초하여 일정한 사안에 대하여 능동적으로 대응하기 위한 정형 또는 비정형의 데이터 집합”라고 정의할 수 있다고 보인다.
이러한 빅데이터의 적극적 활용을 통하여 기업으로서는 신제품의 개발이나 서비스의 개선을, 정부로서는 새로운 정책적 전환을 기대할 수 있다. 이렇게 빅데이터는 순기능적으로 활용될 가능성도 많으나 동시에 개인정보의 수집․보관 등 처리과정에서 개인정보의 침해 위험도 커진다는 점에서 동전의 양면과 같다.
이에 주요 선진국을 중심으로 개인정보 침해가능성을 최소화 하면서 4차 산업혁명에 필수적인 빅데이터 활용방안을 모색하는 움직임이 일어나고 있다. 그 대표적인 방안이 ‘개인정보 비식별화 조치’ 이다. 비식별화 조치는 수집된 정보 중에서 개인을 식별할 수 있는 요소를 삭제하거나 대체하여 해당 개인을 식별할 수 없도록 하는 것이다. 데이터의 일부 또는 전부를 마스킹하거나 암호화함으로써 개인정보 유출 혹은 침해 위험을 미리 차단하는 것이 예이다. 이와 같이 비식별화된 정보는 개인정보 침해 위험이 상대적으로 낮으므로 일정한 요건하에 산업적으로 활용할 수 있는 길을 열어 주는 것이다.
선진국을 중심으로 살펴보면, 미국은 종합적인 개인정보 보호법은 없으나 분야별로 개인정보 보호에 관한 개별 법령이 운영되고 있다. 의료분야에서는 ‘건강보험 이전과 책임에 관한 법(HIPPA)’에 따른 ‘HIPPA 프라이버시 규칙’에서 비식별 조치가 된 의료정보는 제한없이 이용이 가능하도록 규정하고 있다. 교육분야에서는 ‘가족의 교육적 권리 및 프라이버시 법(FERPA)’에서 비식별 조치된 학생기록에 대해 별도의 동의 없이 배포가 가능하게 규정하고 있다. EU 는 가명처리된 정보는 공익, 과학적 연구, 역사연구, 통계목적을 위해서는 동의 없이 처리할 수 있도록 하는 내용을 GDPR에 포함하였다. 일본은 2017년 1월부터 개인정보보호법을 개정하여 익명가공정보 개념을 신설하고 익명가공정보는 복원 불가능하도록 안전 조치를 취하면 정보주체의 동의 없이 활용할 수 있도록 하고 있다.
우리나라도 현행 법령의 틀 안에서 빅데이터를 안전하게 활용할 수 있도록 하기 위해 2016년 관계부처 합동으로 ‘개인정보 비식별 조치 가이드라인‘을 제시한 바 있다. 하지만 이 가이드라인은 법적인 구속력이 없기 때문에, 설령 정부가 제시한 가이드라인대로 개인정보를 암호화하거나 비식별화 하더라도 실제 법 위반 여부가 다투어 졌을 때 정당성을 입증하기 위한 근거로 삼기 어렵다는 문제가 있다. 그런데 최근 지방법원 판결이지만 현행 개인정보보호법 하에서도 일정한 수준 이상으로 비식별화 조치된 정보는 개인정보 주체로부터 동의를 받지 않고 제공이 가능하다는 점을 확인한 판결이 나와 주목을 받고 있다.
서울중앙지방법원 2017. 9. 11. 선고 2014가합508066, 2014가합538302 판결은 적절한 비식별화 조치가 이루어진 개인정보는 개인정보 주체로부터 동의를 받지 않고 제공이 가능하다고 판결하면서, 비식별화가 행해졌는지 여부를 판단하기 위한 세부적인 기준을 제시하고 있다. 즉, 개인정보 중 일부는 양방향 암호화만 이루어져 적절한 수준의 암호화(역함수(逆函數)가 없는 암호화 알고리즘인 ‘일방향 암호화’ 또는 ‘해시’ 함수)가 이루어지지 않아 개인정보 보호법이 적용되는 반면, 개인정보 중 일부는 적절한 수준의 암호화가 이루어져 개인정보 보호법이 적용되지 않는다면서, 적절한 수준의 암호화 후 제공한 부분에 대해서는 ‘통계작성을 위한 것으로서 적절한 비식별 조치를 통해 특정 개인을 알아볼 수 없게 하여 제공하였으므로 개인정보 보호법 제18조 제2항 제4호에 따라 허용된다’고 판시하였다.
또한 위 판결은 암호와 기술의 수준만을 판단 요소로 제시한 것이 아니라 제공 받은 자의 재식별화 능력, 외부정보와의 결합 가능성, 비식별화된 정보에 대한 접근통제 가능성 등 비식별화 조치 전후의 제반 사정까지 종합적으로 고려하였다는 점에서, 적절한 비식별화 조치가 이뤄졌는지 여부를 판단하기 위한 세부적인 기준을 제시했다는 점에서 큰 의의가 있다고 생각한다.
빅데이터가 많은 곳에 활용되고 있지만, 명확한 법적 근거가 마련되지 아니하여 많은 공공기관과 기업들은 여전히 법 위반 위험에 노출되고 있다. 아직 위 판결이 확정되지 않아 그 결과를 예단할 수 없지만, 현행법 내에서 개인정보 비식별화 조치 관련 빅데이터의 활용에 관한 명확한 근거 및 기준을 마련하는 계기로 충분히 활용할 가치가 있다고 보인다.
