개인정보보호, 소프트웨어 정책
개인정보 비식별 조치에 관한 입법정책적 대응과제
우리나라를 비롯한 주요 국가들의 개인정보 보호법제들은 ‘개인 식별 가능성’을 가지는 정보를 개인정보로 개념정의하고, 이를 법적으로 보호하고 있다. 전통적 개인정보 보호체계는 최근 정보통신 기술 및 데이터 분석·활용 기술의 급격한 발전으로 인하여 그 변화의 필요성이 제기되고 있다. 즉 종래 익명성을 가지는 것으로 평가되던 정보가 데이터 분석 및 조합 과정을 거치면서 개인 식별 가능성을 가지는 정보로 전환될 가능성이 높아졌으며, 이에 따라 개인 식별 가능성과 익명성의 경계가 모호해진 상황이 전개되고 있다.
이러한 개인정보 보호법제의 해석 및 적용 과정에서의 모호성으로 인하여, 다양한 데이터의 활용을 통한 새로운 사회적·경제적 가치 창출에 어려움이 발생하면서, 주요 국가들은 개인정보 보호법제의 운용 및 개선에 관해 고민하고 있다.
우리나라의 경우에도 정부부처들은 특정 개인정보의 개인 식별 가능성을 제거하여 당해 정보를 활용할 수 있도록 하는 취지의 비식별화 정책을 뒷받침 해주는 각종 가이드라인 및 안내서를 발간해 오고 있으며, 최근 방송통신위원회 및 행정자치부와 같은 개인정보 보호업무 주요 소관 부처들을 비롯하여 다수의 정부부처들이 「개인정보 비식별 조치 가이드라인」을 공동으로 공표 및 운영하고 있다.
주요 국가들의 비식별 조치에 관한 제도적 대응방식은 크게 우리나라와 같은 ‘가이드라인을 통한 대응방식’, 그리고 비식별 조치 관련 사항들을 법률 등에 반영해 나가는 ‘입법조치를 통한 대응방식’으로 나눌 수 있다. 대표적으로 영국은 「익명화 실천규약」이라는 가이드라인을 제시하여 개인정보 보호법제의 해석 및 적용상의 방향성을 명확히 하고 있다. 이와 달리, EU는 최근 「개인정보 보호규칙」을 제정하여 비식별 조치의 맥락에서 ‘가명처리’ 개념을 실정법적으로 수용하는 태도를 취하고 있으며, 또한 일본은 「개인정보 보호법」을 개정하여 ‘익명가공정보’라는 새로운 개념을 도입하고 있다.
이러한 주요 국가들의 입법 동향은 개인정보 비식별화 또는 익명화를 둘러싼 정책적 논란이 비단 우리나라만의 문제가 아니라는 점을 보여준다. 그러나 주요 국가들의 제도적 대응방식과 내용에 견주어 보자면, 「개인정보 비식별 조치 가이드라인」을 통한 우리나라의 대응방식은 다음과 같은 한계를 가진다.
첫째, 개인정보 보호법제의 해석 및 집행 관행을 변화시키기 위해 제시한 가이드라인의 법적인 근거가 모호하다. 비식별화 또는 익명화를 통한 개인정보의 활용은 개인정보자기결정권 등 헌법상 기본권을 제한하는 사항이라고 볼 수 있어 법률적인 근거가 필요하다. 둘째, 현재의 가이드라인은 개인정보의 산업적 활용에 상당한 비중을 두고 있어, 개인정보자기결정권 및 프라이버시의 실질적인 보장(정보주체의 통제 및 관리 가능성)에 한계를 노출하고 있으며, 산업적 견지에서도 비식별화 또는 익명화가 실효적으로 기능할 수 있을지 불분명하다. 셋째, 비식별화 또는 익명화에 관한 개념정의 및 그 법적효과에 관한 사회적 합의과정이 없는 다소 단시안적이고 편의적인 가이드라인 방식의 접근으로 인하여, 관련 정책 및 입법 논의에 있어 혼선을 유발하고 있는 측면이 있다.
개인정보의 비식별화 또는 익명화 정책은 산업적 진흥에 기여할 수 있을 뿐만 아니라, 개인 식별 가능성을 가지는 정보의 직접적인 수집 및 활용을 일부 제약함으로써 개인정보 보호에도 일정부분 기여할 수 있는 측면을 부인하기 힘든 측면이 있다. 따라서 비식별화 또는 익명화 관련 입법정책 추진에 있어 개인정보의 활용과 보호라는 두 목적이 균형 있게 충족될 수 있는 방안들을 사회적 합의 과정을 통해 진지하게 모색해 나가야 할 필요성이 있다. 다만 비식별 조치 등에 관한 해외 주요 국가들의 입법적 논의 결과를 단순히 형식적으로 차용하는 방식, 또는 법집행 실무상의 편의적인 가이드라인 활용방식으로는 우리나라 개인정보 보호환경의 특수성을 반영하기 힘들다는 점에 유의할 필요가 있다.
Ⅵ. 결론
□ 최근 급격하게 발전하고 있는 데이터 분석 및 활용 기술은, 전통적인 개인정보 보호법제의 원칙적 규정 내용들의 변화를 추동하고 있음
□ 특히 빅데이터 분석 등을 통해 다양한 데이터들의 조합 및 산출이 가능해지면서 이로 인한 개인정보의 침해 문제가 심각하게 대두되고 있는 상황이지만, 그렇다고 일방적으로 개인정보 보호법제상의 규제를 강화하는 방안은 타당하지 못한 측면이 있음
○ 산업적 이유에서는 물론이고 이용자 편의를 위해서도 개인정보의 활용은 불가피한 측면이 있어, 단편적으로 규제를 강화하는 방안은 바람직하지 않음
○ 특히 기술적 발전이 매우 급격하게 이루어지는 상황에서, 특정 역기능을 방지하기 위한 법적 규제의 남발은 사회적 대응비용을 증가시킬 가능성이 높다고 할 수 있음
□ 이상과 같은 개인정보의 보호와 활용의 조화라는 견지에서 논해지는 것이 바로 개인정보 비식별화 또는 익명화 정책이라고 할 수 있음
○ 개인정보 보호의 측면에서는 개인정보 비식별화를 전제로 한 정보 활용을 통하여 과도한 개인정보 침해 및 오남용을 방지할 수 있음
○ 개인정보 활용의 측면에서는 개인정보 비식별 조치가 이루어진 정보들에 대해서는 일반적인 개인정보에 비하여 법적 규제를 일부 완화해 줌으로써, 데이터의 활용을 통한 사회적 편익의 증대를 꾀할 수 있음
□ 개인정보 비식별화 정책 등이 논해지고 있는 가장 핵심적인 이유는 현행 개인정보 보호법제가 개인 식별 가능성을 가지는 정보를 대상으로 한 법적보호체계를 가지고 있기 때문이라고 할 수 있음
○ 개인 식별 가능성이라는 개인정보 개념정의는 우리나라뿐만 아니라 해외 주요 국가들도 공통적으로 활용하고 있음
○ 따라서 개인정보 비식별화 또는 익명화의 문제는 현재 세계적인 개인정보보호 입법의 화두라고 할 수 있음
□ 우리나라의 경우에는 최근 부처합동 「개인정보 비식별 조치 가이드라인」등을 공표하고, 비식별 조치를 기반으로 한 데이터 활성화와 이를 통한 산업 진흥 정책을 추진하고 있음
○ 이러한 정부의 가이드라인을 기반으로 한 비식별화 정책 추진은 결국 개인정보 보호법제가 상정하지 못했던 상황에 관해 법 해석 및 적용 실무상의 지침(행정지도)을 제시한 것으로 이해할 수 있음
○ 정부의 가이드라인은 비식별 조치가 이루어진 정보를 개인정보가 아닌 것으로 추정함으로써, 개인정보 보호법제의 적용을 면제해 주는 내용을 주축으로 하고 있음
□ 비식별화 또는 익명화와 관련하여, EU 및 일본 등 주요 국가들에서도 입법 및 관련 규정의 개선 담론 등이 증가하고 있는 상황이기 때문에, 이러한 국제적 논의에 주목하면서 성급한 입법적 결론을 내리기 보다는 우리나라 실정에 맞는 개인정보 보호법제 개선의 균형점을 찾기 위해 노력할 필요가 있음
○ 최근 정부가 주력하고 있는 가이드라인 등의 제시는 일정부분 의미를 가지고 있음에도 불구하고, 다른 국가들의 입법적 노력 등에 견주어 보면 다분히 개인정보의 편의주의적인 활용에 비중을 두고 있는 것이라는 평가가 가능함
○ 비식별화 및 익명화의 입법적 반영방안은 각국이 처한 현실 및 법적 체계에 입각하여 다양한 형태로 발전할 가능성이 있는 것이기 때문에, 해외 주요 국가들의 논의는 물론이고 우리나라의 현실에 대해서도 면밀한 분석이 필요할것으로 보임(예. 국가적 차원에서 활용되는 주민등록번호와 같은 범용 식별번호 등과의 연계성으로 인한 위험성 증대, 공공 및 민간을 포괄하는 일반법적 개인정보 규제체계 등)