[뉴스토마토 윤석진기자] 정부가 누구인지 알아볼 수 없는 개인정보를 이용하거나 제공할 수 있도록 '빅데이터 비식별화 조치 가이드라인'을 발표했지만 시민단체의 공분을 사고 있다. 시민단체는 '빅데이터' 활성화란 허울 좋은 명분을 내세워 기업의 배만 불리는 조치를 취했다는 것이다.
12일 경제정의실천시민연합은 참여연대, 진보네트워크 등 시민단체와 IT전문가, 변호사들과 함께 '빅데이터 비식별화 가이드라인'의 문제점을 짚어보는 간담회를 오는 13일 경실련 강당에서 개최한다고 밝혔다.
시민단체들은 여러개의 비식별정보가 합쳐지면 개인이 누구인지 드러나는 것은 시간문제라며 개인정보 침해 소지가 다분하다고 입을 모은다. 홈플러스 정보 유출 사건처럼 개인정보가 기업에 도매금으로 넘어가 악용될 수 있다는 우려의 목소리도 높다고 지적하고 있다.
◇정부 가이드라인 발표로 빅데이터 활용 기대
지난달 30일 행정자치부와 방송통신위원회, 금융위원회 등 정보보호와 관련된 부처들이 합동으로 내놓은 '개인정보 비식별 조치 가이드라인'을 보면, 일정 절차를 거친 개인정보는 이용 및 활용이 가능해진다.
사전검토-비식별조치-적정성평가-사후관리로 이어지는 4단계 ‘비식별 조치 가이드라’인만 거치면 개인정보라도 식별이 불가능한 비식별 정보로 가공되니, 현행법에 저촉되지 않는다. 즉, 이 가이드라인만 잘 지키면 개인정보보호법과 정보통신망법, 신용정보법 등에 명시된 '개인정보 사용 금지 조항'과 무관하게 기업은 정보 주체의 동의 없이 비식별정보를 마음껏 활용할 수 있다.
비식별정보란 이름, 주민등록번호, 주소, 전화번호 등 특정인임을 알 수 있는 내용은 지운 채 연령, 성별, 직업과 같은 항목만을 남겨둔 정보를 말한다. 식별정보는 누군지 분간이 가능한 정보로 개인정보법의 보호를 받는다.
정부는 개인정보 개념이 명확해져 기업이 빅데이터를 활용하는 데 어려움이 사라지고, 개인정보 보호가 강화될 것으로 기대하고 있다.
아울러 매년 30% 이상 급성장하고 있는 빅데이터 산업 분야에 새로운 전기가 마련되는 한편, 고급 데이터 분석가 등 IT 분야에 새로운 일자리가 창출되고 사회안전망도 확대될 것으로 내다봤다.
◇6월21일 오전 서울 강남구 삼성동 코엑스에서 열린 정부3.0 국민체험마당을 찾은 주한 외교사절단이 각
부처별 빅데이터 부스에서 다양한 체험을 하고 있다. 사진/뉴스1
◇비식별정보 재식별화 시간문제…개인정보 자기결정권 보장 못해
그러나 가이드라인이 있다고 하지만, 기업이 마음만 먹으면 얼마든지 비식별 정보를 식별정보로 바꿀 수 있어 우려의 목소리가 높다. 정보의 주체인 개인이 누구인지 드러나면, 개인정보 침해는 물론 수익을 위한 불법영업으로 이어질 수도 있다.
비식별 정보라도 기업이 개인의 정보를 동의도 얻지 않고 쓰는 것은 '개인정보자기결정권' 위배라는 시각도 적지 않다. 정부가 개인정보 보호 보다는 기업의 개인정보 이용에 면죄부를 준 것이란 해석이 나오고 있는 것도 이 때문이다. 개인의 정보가 음지에서 사고 팔리는 마당에, 그러한 행위를 합법화 해주는 것은 기업의 편의만을 고려한 결정이란 지적이다.
앞서 홈플러스는 지난 2011~2014년 동안 개인정보 2400만건을 수집해 건당 2800원을 받고 보험사에 팔아 231억원의 부당이득을 취했다는 혐의로 기소됐다. 다국적 빅데이터기업 IMS헬스가 병원과 약국 등지에서 대한민국 국민의 개인정보 4400만건을 몰래 사들여 제약회사에 70억원에 팔아 치운 전례도 있다.
참여연대 관계자는 "이번 조치는 개인정보를 비식별화 하면 개인정보를 쓸 수 있게 해준다는 건데, 사실 비식별 정보고 교차·비교하면 금새 누구인지 드러난다"며 "정부가 말장난을 한 것에 불과하지 사실상 개인정보를 기업에 마음껏 사용하라고 넘겨준 셈"이라고 꼬집었다.
박지호 경실련 간사는 "정부의 비식별정보 가이드라인은 산업 발전 만을 염두에 둔 일방적인 조치"라며 "개인의 정보가 어디로 흘러 들어가는 지 모르는 상황에서, 동의 절차도 없이 그 정보를 활용할 수 있게 되면 개인의 정보자기결정권은 사라지게 될 것"이라고 말했다.
◇해외보다 정보보호 조치 취약
해외와 비교하면 문제가 더 커진다. 정부는 미국과 영국 등에서도 개인을 알아 볼 수 없도록 조치한 비식별 정보를 자유롭게 활용하고 있으며, 익명화된 정보를 공개하고 있는 유럽연합(EU) 보다 엄격하게 개인정보를 보호하고 있다고 선전하고 있다.
그러나 시민단체는 정부의 주장이 어불성설이라며 맞서고 있다. 특히, EU가 채택한 ‘익명화 조치’는 우리 정부가 추진 중인 비식별화 조치보다 개인정보 보호 면에서 비교가 안될 정도로 뛰어나다고 평가한다. 예를 들어, EU는 기업이 빅데이터를 사업에 활용할 때 식별 가능성이 있는 정보는 아예 삭제해 처음부터 익명화를 시킨다.
이렇게 하면 다른 정보와 결합해도 식별될 확률이 현저하게 낮아진다. 반면, 우리 정부의 비식별화 가이드라인을 보면 “가명처리, 데이터삭제, 데이터 범주화, 데이터 마스킹 등 여러가지 기법을 단독 또는 복합적으로 활용할 수 있다”고 명시돼 있다. 또 “데이터 이용 목적과 기법별 장단점을 고려해 적절한 기법 세부기술을 선택 활용할 수 있다”고도 적혀있다. 기업의 판단에 따라 개인정보를 삭제하는 대신 여러 가지 방법으로 가공할 수 있게 된 셈이다.
경실련 관계자는 “일본이나 EU는 아무리 노력해도 식별할 수 없는 정보만 빅데이터 산업에 쓸 수 있도록 해놓고 이용시 개인의 동의를 구하도록 규제하는 데, 우리는 개인정보를 범주화 하거나 가리는 등 느슨한 기준을 적용했다”며 “사실상 기업의 요구를 그대로 들어준 것”이라고 말했다.
윤석진 기자 ddagu@etomato.com