개인정보보호, 소프트웨어 정책
가명정보에 있어 “다른 정보”와 “추가 정보”의 차이 및 가명처리의 대상과 범위
개정 개인정보 보호법의 시행을 앞두고 가명정보의 개념과 가명처리의 범위에 대해서 논란이 많다. 특히 개인정보 보호법 제2조제1호 “나목의 정보(간접식별정보)”와 “다목의 정보(가명정보)”가 어떻게 다른 것인지에 대하여 의문이 제기된다.1) 개인정보 보호법상 “간접식별정보”는 ‘다른 정보와 쉽게 결합하여 (특정개인을) 알아볼 수 있는 정보’이고, “가명정보”는 ‘추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보’이다.
전자는 긍정형으로 기술되어 있고 후자는 부정형으로 기술되어 있으며, 전자는 “다른 정보”와 결합을 전제로 하고 후자는 “추가 정보”와 결합을 전제로 하고 있다는 점에서 차이가 있을 뿐, 그 밖의 정보와 결합하여 특정 개인을 식별할 수 있는 정보라는 점에서 양자 사이에 차이가 없다. 따라서 “간접식별정보”와 “가명정보”를 명확히 구분하기 위해서는 “다른 정보”가 “추가 정보”와 어떻게 다른지를 알아야 한다. 또한 “추가 정보”의 의미를 명확히 이해하지 않으면 가명처리의 대상과 범위에 대해서도 계속 혼란을 초래하기 쉽다.
1) 제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다.
1. “개인정보”란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.
가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보.
이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다.
다. 가목 또는 나목을 제1호의2에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 “가명정보”라 한다)
1. 가명정보의 정의
개인정보 보호법상 “가명정보”란 ‘개인정보를 가명처리함으로써 원래의 상태로 복원하기 위한 “추가정보”의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보’를 의미하고, 이 경우 “가명처리”란 ‘개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것’을 의미한다.2) 바꿔 말하면 “가명정보”란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 특정 개인을 알아볼 수 없도록 처리함으로써 특정 개인을 알아볼 수 있는 원래의 상태로 복원하기 위해서는 추가 정보의 사용ㆍ결합이 필요한 정보를 의미한다. 따라서 가명정보가 되기 위해서는 첫째, 복원할 수 있는 원래의 개인정보가 존재해야 하고, 둘째, 해당 개인정보의 일부를 삭제하거나 전부 또는 일부를 대체하는 등의 방법으로 특정 개인을 알아볼 수 없게 해야 하며, 셋째, 원래의 상태로 복원하기 위한 추가 정보가 존재해야 한다.
첫째, 복원할 수 있는 원래의 개인정보가 존재해야 하므로 기존의 정보가 없다면 가명정보도 존재할 수 없다. 최초 수집할 때부터 특정 개인을 식별할 수 없게 수집했다면 그 정보는 “간접식별정보”이거나 후술하게 될 “익명정보”에 해당할 것이다. 다른 정보와 결합해서 특정 개인을 식별할 수 있으면 “간접식별정보”에해당하고, 다른 정보와 결합해도 특정 개인을 식별할 수 없으면 “익명정보”에 해당한다. 다만, 복원할 수 있는 원래의 개인정보가 없더라도 최초 가명정보를 수집·생성하면서 복원을 위한 추가 정보와 함께 원본정보(예컨대 이름, 연락처 등)를 별도로 남겨두고 있다면 그 정보는 가명정보로 볼 수 있다.
둘째, 개인정보의 일부를 삭제 또는 대체하여 특정 개인을 알아볼 수 없게 해야 한다. 개인정보의 일부를 삭제 또는 대체했더라도 나머지 정보만으로 특정 개인을 알아볼 수 있다면 “가목의 정보(직접식별정보)”에 해당할 것이고, “추가 정보” 이외의 다른 정보(제3자가 보유하고 있거나 공개된 정보)와 결합하여 특정 개인을 알아볼 수 있다면 “간접식별정보”에 해당할 것이며, 다른 정보와 결합해도 특정 개인을 알아볼 수 없다면 “익명정보”에 해당한다.
셋째, 원래의 상태로 복원하기 위한 추가 정보가 존재해야 하므로 추가 정보가 존재하지 않으면 가명정보라 할 수 없다. 추가 정보가 존재하지 아니하여 원래의 상태로 복원할 수는 없으나 다른 정보와 결합하여 특정 개인을 알아볼 수 있는 상태라면 “간접식별정보”에 해당하고, 추가 정보가 존재하지 아니하여 원래의 상태로 복원할 수 없고 “다른 정보”와 결합하여 특정 개인을 알아볼 수도 없다면 그 정보는 “익명정보”에 해당할 것이다.
참고로, 개인정보 보호법상 “가명처리”의 정의에는 개인정보를 대체하는 것 이외에 “삭제 등”을 하는 것도 포함하는 것으로 규정되어 있으나, 기술상으로 가명처리의 방법에는 대체(Counter, Random number generator, Cryptographic hash function, Message authentication code, Encryption 등)만 포함되고 삭제 등은 포함되지 않는다.3) 즉, 기술적으로 보면 가명처리는 삭제, 랜덤화(Noise addition, Permutation, Differential privacy), 일반화(Aggregation, K-anonymity, L-diversity, T-closeness), 아웃 라이어(outlier) 등과 함께 개인정보를 “비식별 조치”하기 위한 여러 기술적 방법의 하나일 뿐이다.4) 다만, 개인정보 보호법상으로는 대체, 삭제 등을 포함한 넓은 의미로 사용되고 있으므로 본고에서 가명처리라고하면 개인정보를 가명화하기 위해 사용될 수 있는 모든 비식별 기법을 의미하는 것으로 한다.
상세 내용은 첨부 자료를 보시기 바랍니다.
붙임자료 : 출처 KISA