보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

[개인정보보호 칼럼-5] 개인정보 비식별화 제도에 대한 국내외 동향

입력 : 2023-07-11 11:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
활용가치가 가장 높은 데이터는 개인에 대한 정보지만, 그만큼 활용하기 힘들어
개인정보를 가장 안전하게 사용할 수 있는 방법으로 등장한 개인정보 비식별화 조치
세계 각국은 다양한 개인정보 비식별화 조치 활용


[보안뉴스= 주문호 개인정보보호위원회 데이터안전정책과 사무관] 모든 객체가 연결되어 정보 교류와 상호연결성이 극대화되는 초연결 사회(Hyper-connectivity society), 정보처리 능력의 고도화를 통한 인공지능 기술로 인해 모든 서비스 활동이 질적으로 향상되는 초지능사회(Super-intelligence society), 방대한 데이터 분석으로 새로운 가치와 혁신이 창출되는 초연결 지능정보사회(Hyper-connected intelligence information society) 등 기술 변화에 따라 우리 사회를 표현하는 개념과 용어들은 다양하게 변화되어 왔다. 그러나 그 중심을 관통하는 관념은 역시나 데이터다. 데이터는 석유를 뛰어넘어 세계에서 가장 영향력 있는 자원으로 평가되고 있으며, 앞으로의 사회를 표현할 수 있는 가장 알맞은 단어는 결국 데이터 경제가 될 것이다.

[이미지=gettyimagesbank]


데이터 경제 시대와 비식별화 제도의 등장
이처럼 사회 가치를 창출하는 데이터 분석의 주된 대상은 활용가치가 가장 높은 개인에 대한 정보지만, 해당 정보들은 개인정보보호 관련 법제의 규제 대상인 경우가 대부분이다. 지금까지는 이러한 규제 빗장을 풀고 개인정보를 활용하기 위한 방안으로 사전 동의의 방식을 주로 사용해왔다. 그러나 빅데이터 환경에서는 수집되는 수많은 데이터의 주체 판별이 힘들다는 점, 새롭게 결합되고 생성되는 데이터들에 대해 일일이 동의를 받기 힘들다는 점, 개인정보 이용 동의를 받기 위한 비용이 지나치게 증가한다는 점 등의 한계로 인해 기존 사전 동의의 패러다임이 한계에 봉착함에 따라 새로운 대안의 필요성이 요청되어 왔다.

이를 극복하기 위한 대안들 중 최근 가장 각광받고 있는 것이 바로 개인정보 비식별화 조치다. 개인정보 비식별화란 정보에 포함되어 있는 개인정보에 비식별 조치를 취함으로써 특정 개인을 식별하기 어렵도록 하는 행위를 말한다. 비식별화에 대한 합의된 정의는 없지만, 일반적으로 비식별화, 익명화, 가명화는 개인이 개인의 데이터와 연관될 가능성을 줄이는 과정을 뜻하며, 일반적으로 비식별화라는 용어가 가명화와 익명화를 통칭한다. 이는 개인을 알아볼 수 없도록 하는 조치를 통해 개인정보를 규제의 대상에서 제외시키고, 이를 통해 비식별화된 정보를 빅데이터 분석 등에 자유롭게 활용할 수 있도록 하기 위한 것으로, 기술적 우회를 통해 규제의 ‘보호 캡슐’을 벗겨내기 위한 노력이라 할 수 있다.

따라서 비식별화는 개인정보를 보다 안전하게 이용할 수 있는 방법 중 하나임과 동시에, 정보주체의 동의 범위에 한정되었던 활용 범위를 보다 넓혀줄 수 있는 방법이다. 데이터를 안전하게 활용하면서도 활용 가치는 유지시켜줄 수 있는 새로운 길을 열어주는 것이다.

세계 각 국의 비식별화 제도 비교
이에 세계 각 국은 비식별 관념을 자국의 개인정보보호법에 도입해 데이터 시대의 이니셔티브를 가져가고자 노력하고 있다. 그러나 재식별 가능성은 배경 지식에 크게 의존하는 연속체이기 때문에 상황과 문맥에 따라 너무 많은 변수가 존재하는 반면, 법률은 모든 것을 이분법적으로 나누어 다양한 상황에 대한 명확한 판단을 내려주어야 하기 때문에 기본적으로 비식별화 관념과 재식별 위험을 통제해야 하는 법률 사이에는 큰 괴리가 존재한다. 이에 유럽연합, 미국, 일본, 한국이 최근 비식별화 관행을 자국의 개인정보보호법을 통해 어떻게 수용하고 있는지를 비교 검토해보고자 한다.

① 비식별화와 관련 용어 비교
우선 용어 정의와 관련하여 살펴보도록 하겠다. 미국 NIST는 15년 넘게 비식별화에 대한 개념을 연구해왔으며, 비식별화(de-identification)와 익명화(anonymization)에 대한 개념과 용어를 제시했다. 보건의료 분야의 법률인 미국 건강보험 이동성 및 책임법(HIPAA)에서는 개인식별정보와 더 이상 개인을 식별할 수 없는 익명화 정보에 대한 개념만 포함되어 있다.

한편 EU는 GDPR을 통해 2018년 가명처리(Pseudonymisation) 개념을 법률에 최초로 도입했으며, 개인정보와 익명화된 정보 사이에 존재하는 가명정보 개념을 대중화하는데 기여했다. GDPR은 가명 정보에 대한 정의조항에서 추가 정보에 대한 별도 보관 및 안전조치를 강조하며, 보호적 측면을 강조하고 있다.

일본은 2017년 개인정보보호법 개정을 통해 익명가공정보 개념을 도입했으며, GDPR의 영향을 받아 2020년 개정안에는 가명가공정보 개념을 새롭게 추가했다. 2017년 개정법에서는 비식별 처리한 익명가공정보는 개인정보 규제에서 면제한다는 내용을 강조해 정보의 활용 측면을 강조했으나, 재식별 위험에 대한 우려가 커지자 추가적인 개정을 통해 해당 위험을 관리할 수 있도록 가명가공정보 개념을 뒤늦게 포함시킨 것이다. 일본 개인정보보호법은 가명처리정보의 정의 조항에 가명처리의 방법을 구체적으로 명시해 방법적인 측면을 강조하고 있다. 이는 익명가공정보의 정의도 마찬가지다.

우리나라는 기존 개인정보의 정의와 익명화할 시 개인정보보호법 규제 면제 조항만 가지고 있었던 개인정보보호법을 2020년에 개정하면서 가명정보 개념을 새롭게 도입했다. 한국의 개인정보보호법은 개인정보의 정의 안에 가명정보를 하나의 항목으로 포함시키고 있어 가명정보가 개인정보의 범주에 포함됨을 특히 강조했다.

② 비식별 정보의 법적 취급 비교
개인정보에 속한 정보는 개인정보보호법의 규율을 받아 정보 활용과 관련한 다양한 의무를 부여받게 되고, 개인정보에 속하지 않는 정보는 개인정보보호법의 규율을 대부분, 혹은 완전히 벗어나서 관련 규제를 면제받게 된다. 그렇다면 각 국가별 비식별 관련 정보의 법적 취급은 어떻게 될까?

EU와 한국은 가명정보를 개인정보의 영역에 포함시키어 법률의 보호 영역 내에서 관리하도록 하고 있다. 반면 미국은 일정 수준이상으로 비식별 처리를 한 정보는 비개인정보로 보고 규제의 범주에서 제외하고 있다. 동시에 재식별 금지 의무를 부여하면서 재식별화로 인한 위험은 개인정보처리자(Data Controller)가 책임지도록 하고 있다. 개인정보보호 보다는 데이터 활용에 방점을 둔 것이다.

일본은 가명처리정보를 ‘개인정보인 가명처리정보’와 ‘개인정보가 아닌 가명처리정보’로 나누어 서로 규율하고 있다. 다른 정보와 쉽게 대조할 수 있고 특정 개인을 식별할 수 있는 가명가공정보가 전자에 속하고, 다른 정보와 쉽게 대조할 수 없고 특정 개인을 식별할 수 없는 가명가공정보가 후자에 속한다. 일반적으로는 식별성 스펙트럼(개인이 확실하게 특정되는 범주부터 개인이 전혀 식별되지 않는 범주까지)에 따라 정보를 ‘identified’, ‘pseudonymized’, ‘anonymized’ 세 가지 영역으로 나누고 ‘pseudonymized’ 영역에 있는 정보에 대한 위험을 관리하는 규율을 채택하는데, 일본은 해당 영역을 비식별 수준에 따라 또다시 두 가지 영역으로 나누고 데이터 컨트롤러의 의무와 책임을 다르게 부여하고 있는 것이다. 이는 ‘pseudonymized’ 영역 내에서도 강한 보호가 필요한 영역과 약한 보호가 필요한 영역이 공존하여 차별적 규율이 필요한 문제가 생기자 재차 개념을 구분하는 새로운 방식을 시도한 것으로 보인다.

3. 국내외 비식별화 제도의 공통적 흐름
① ‘이분법적’ 접근방식에서 ‘스펙트럼’ 접근방식으로

비식별화는 개인정보를 활용하고자 할 때 실무자들이 사용하는 인기 있고 유용한 도구로 여겨왔다. 또한 데이터 세트는 전통적으로 비식별화 되거나, 그렇지 않은 것, 즉 일종의 이분법적 접근(binary)으로 생각되어 왔다. 그러나 가명정보가 생겨난 이후로 더 이상 이분법적인 접근방식은 잘못된 접근 방식이라고 인식되고 있으며, 최근의 국제동향 검토를 통해 실제로는 이분법적 접근보다는 비식별 정보를 사용하는 자에게 일부 규제를 면제해주는 등 일정 수준의 점진적인 인센티브를 주는 규제 방식이 나타나고 있는 것을 확인했다. 데이터 셋에 대한 이분법적인 접근방식이 스펙트럼 접근방식으
로 바뀌어가고 있는 것이다.

각 국은 최근 몇 년 사이 개인정보보호 법률에 가명정보의 개념과 정의를 공식적으로 포함시켰으며, 해당 정보에 대해서는 비식별 수준에 따라 법적 취급과 개인정보처리자에게 의무를 달리 적용하고 있음을 확인했다. 국가별로 적용 원칙과 방식은 일부 상이하지만, 이러한 규제의 변화 흐름을 보면 더 이상 이분법적인 데이터 규제가 빅데이터 시대에 적용되기 어려울 것이라는 예상은 누구나 할 수 있을 것이다. 국가별/지역별로 적용 원칙과 방식은 일부 상이하지만, 규제의 흐름을 보면 더 이상 비식별 처리된 정보를 완전히 규제 영역 바깥으로 제외시켜 자유롭게 활용할 수 있도록 허용하는 방향보다는, 비식별 정보의 수준을 다르게 취급하여 법률에서 정하는 대원칙 아래에서 다른 규제 수준을 적용하고 차등된 의무를 부과하는 방식의 규제를 채택하고 있는 경향을 확인할 수 있다.

② ‘익명화에 대한 믿음’에서 ‘위험관리’ 체계로
많은 학자들은 오랜 기간 익명화가 프라이버시를 온전히 보장할 수 있다는 익명화에 대한 믿음을 가지고 있었으며, 이를 구현하기 위한 규제를 설계하기 위한 노력을 해왔다. k-anonymity, l-diversity, t-closeness 등의 정량화된 프라이버시 보호 모델을 비식별된 정보의 자유로운 활용을 위한 기준으로 고정시키고자한 노력이 바로 그것이다. 그러나 상황이나 문맥에 따라 기준 값은 모두 다르므로 일괄적인 모델을 규제에 도입하는 것은 불가능했으며, 규제당국은 다양한 상황과 분야에서 일관된 데이터 보호 전략 수립을 요구하는 것은 무리가 있다는 결론에 도달했다.

최근 세계 각국의 개인정보보호법은 비식별 정보에 대한 관념에 대해 위험관리 관점으로 접근하는 경향을 확인할 수 있다. 비식별 정보를 활용하기 전 단계부터 사후관리 단계까지 비식별 정보가 노출될 수 있는 재식별 위험을 지속적으로 관리할 수 있는 비식별 절차 프레임워크에 해당하는 요소들을 가지고 있는 것이다. 이 절차 프레임워크에서도 명확한 기준을 제시하기보다는 데이터셋이 처한 환경과 문맥을 고려하도록 하고, 해당 환경을 가장 잘 이해하는 전문가를 선임하여 평가하도록 하여 맥락적 융통성을 남겨두고 있다. 그리고 비식별화 관련 책임자를 문서화하고 기록하며, 관련 서약을 하도록 하여 책임의 연결고리를 끊지 않고 연결해두는 규제 전략을 운용하고 있다.

③ 비식별화에 대한 국제 이니셔티브 및 상호 영향성
비식별화 법과 정책은 기술 변화와 새로운 정보처리 관행에 적응해가는 단계이고 이를 위한 논의는 국제적으로 중요한 문제가 되고 있으며, 이와 관련한 국제 이니셔티브는 개별 국가가 법과 정책을 수립하고 변화시켜 나가는 데 큰 영향을 주고 있다. 이 문제에 대한 초국가적 원칙, 합의 및 원칙은 개별 국가의 국가적 접근방식에 영향을 미친다. 특히 EU GDPR은 회원국의 국가 법률로 변경해야 하므로 유럽연합 전 국가에 영향을 끼치며, EU 역외 국가(제3국가)가 적정한(EU와 본질적으로 동등한) 수준으로 개인정보보호조치를 확보하고 있는지 평가하는 제도인 EU 적정성 결정으로 인해 다른 대륙의 개인정보보호법도 간접적인 영향을 받는다.

실제로도 분석한 각 국 및 지역의 비식별화 관련 규정들은 큰 틀에서 같은 맥락을 지니고 있었다. 가명정보에 대한 개념은 GDPR이 2018년 최초 도입했으며, 이에 영향을 받은 일본과 한국이 2020년 개인정보보호법 개정을 통해 비슷한 개념을 도입했음을 확인했다. 미국도 2020년부터 시행된 캘리포니아 주의 개인정보보호법(CCPA)에서 같은 개념을 도입해 운영하고자 하는 시도가 있다.

‘Identified’, ‘Pseudonymized’, ‘Anonymized’ 정보들을 다루는 규제의 형태 또한 큰 틀에서는 유사했으나, 가명정보의 법적 취급, 관련 의무, 비식별 절차의 강조점 등은 각 국의 법적 체계와 데이터 활용 철학에 따라 일부 상이한 것을 확인했다. 특히 개인정보처리자에게 요구되는 의무사항 면제에 대한 사항은 아주 사소한 차이라도 해당 국가의 데이터 시장의 성장과 데이터 보호에 아주 큰 영향을 미치기에 그 차이점에 대해 면밀히 살펴볼 필요가 있다.

이러한 규제의 차이점들은 결국 하나의 틀로 수렴해가거나 각기 다른 방식으로 발전해갈 것으로 예상된다. 이 흐름이 국제 표준을 주도하거나 시장의 영향력이 큰 국가를 따라갈지, 데이터 활용과 보호의 조화가 가장 잘 이루어지는 최선의 모델만이 살아남아 해당 모델로 통일되어갈지, 각 국 환경에 최적화된 모델로 각자 정착해 국제적으로는 최소한의 공통 원칙만이 통용될지 유심히 지켜볼 필요가 있을 것이다.
[글 _ 주문호 개인정보보호위원회 데이터안전정책과 사무관]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)