• 검색

시작점에 선 데이터경제…"우려와 기대 공존"

  • 2020.01.17(금) 15:11

가명정보 결합·개인정보 이전에 대한 우려 있어
업계 "아직 큰 기대는 무리…실제 사례·판례 나와야"

데이터3법이 최근 국회를 통과하면서 IT는 물론 금융, 바이오 등 여러 업계에서 기대감이 높아지고 있다. 데이터 활용의 길이 더욱 넓어지고 인공지능(AI) 기술 개발을 위한 데이터 수집 및 분석의 기회가 확대되기 때문이다.

>>관련 기사: 데이터3법 열렸다…신약 개발 탄력 '기대'
데이터3법 통과...보험, 헬스케어 길 열리나

하지만 데이터3법 개정안에는 구체적인 개념 부족과 모호한 표현으로 해결해야 할 과제와 함께 기대와 우려의 시각이 공존하고 있다. 프라이버시에 대한 향후 충돌도 지속될 것으로 예상된다. 이에 하위법령과 시행령, 실제 사례 등 향후 움직임이 주목된다.

◇ 가명정보로 나를 식별할 수 있을까

데이터3법의 국회 통과로 시민단체에서 가장 우려하는 부분은 가명정보를 통해 개인을 식별할 수 있는지다. 이번 데이터3법 통과로 가명정보는 통계작성·과학적 연구·공익적 기록 보존 등을 위해 정보 주체의 동의 없이 적절한 안전조치 하에 이용할 수 있다.

이번 개정안은 가명정보에 대해 추가정보를 사용하지 않을 경우 특정 개인을 알아볼 수 없도록 가명처리한 정보라고 명시됐다. 가명정보가 그동안 산업계에서 활용해왔던 익명정보보다는 많은 정보를 담고 있지만 개인이 누구인지 특정할 수 있는 정보는 제외한다는 의미다.

가명정보 자체로는 개인정보 유출이나 식별에 대한 우려는 크지 않지만 문제는 A 서비스의 가명정보와 B서비스의 가명정보가 결합됐을 때 정보 주체에 대한 식별 가능성 때문이다.

참여연대는 "가명정보는 다른 정보와 결합해 여전히 재식별될 위험성이 있으므로 재식별이 불가능한 익명정보보다는 위험하다"면서 "재식별의 위험성은 가명처리의 방법 및 수준에 따라 달라진다"고 지적했다.

실제로 넷플릭스는 지난 2006년 영화 추천 알고리즘 정확성을 높이기 위해 경연대회를 개최하고 이용자 50만명이 1999년 12월부터 2005년 12월까지 영화 평점을 내린 1억건의 시청 이력 데이터를 공개했다. 사용자를 식별할 수 있는 데이터는 삭제했으나 데이터 처리 내용을 연결하기 위한 독특한 식별자, 영화에 대판 평가 내용, 평가 일시 등은 공개했다.

하지만 텍사스 대학의 한 그룹이 넷플릭스가 공개한 시청 이력 데이터와 영화정보 사이트에 공개된 사용자 리뷰를 결합해 일부 개인을 식별해냈다. 이에 미국연방거래위원회(FTC)가 프라이버시에 관한 문제를 지적해 제2회 경연은 중지됐다.

◇ '재식별' 걱정하기엔 시기상조

산업계에선 이러한 걱정은 너무 이르다는 의견이다. 그동안 개인정보와 익명정보만 존재했던 개념에서 '가명정보'의 법적 개념이 추가된 것으로 아직 구체적인 정의와 가명 처리 방식에 대해서는 규정되지 않은 상황이다.

가명정보가 일부 정보를 삭제 및 비식별 처리해 개인을 특정할 수 없는 정보이지만, 구체적으로 자동차번호나 직업을 포함한 정보를 삭제해야 하는지 등에 대해서는 여전히 모호하다.

넷플릭스의 사례는 10년 전 사례이며 데이터 처리 방식과 기술에 따라 식별 가능성이 달라지기 때문에 직접적으로 비교하기는 어렵다.

김재환 한국인터넷기업협회 정책실장은 "가명정보 결합을 통해 개인이 식별될 수 있을 것이라는 우려는 현재로서는 '기우'에 가깝다"며 "가명화를 어떠한 기술로 사용할지 구체적으로 정의되지 않은 상황이며 정부에서도 시행령을 가명정보 결합으로 개인 식별이 가능하도록 제정하지는 않을 것으로 보인다"고 말했다.

또 데이터3법 내에서도 임의로 가명정보 결합은 하지 못하도록 명시됐다.

김동현 한국인터넷진흥원(KISA) 연구원은 "데이터3법에는 가명정보 결합을 재식별하면 안된다는 금지조항이 있고 결합을 할 경우 재식별 우려가 있기 때문에 국가지정 전문기관을 통해서만 결합이 가능하다"면서 "임의적으로 결합을 통해 재식별을 한다는 건 법 위반 행위다"라고 설명했다.

* 데이터 결합 사례 예시
① 한전의 전력데이터를 행정구역 정보, 기상 데이터와 결합해 계절별 지역별 에너지 수요 분석 및 전력예비율 부족 대책 마련
② 보험사 보유 운전보험 정보와 통신사 보유 운행 정보를 결합해 운전스타일별 보험요율을 산출, 보험료에 반영

◇ 개인정보 이전, 연구·통계 목적만 가능

또 일각에서는 개인정보를 동의 없이 이전이 가능하기 때문에 기업들이 데이터를 돈벌이 수단으로 이용하게 될 것이라는 우려도 나온다.

현재 데이터3법에 따르면 상업적 사용을 위한 가명정보 활용은 제한된다. ▲공익을 위한 기록 보존의 목적 ▲학술 연구, 학술 및 연구 목적 ▲통계 목적으로 활용 가능하다.

직접적인 상업적 목적으로 활용할 수 없지만 인권위원회는 민간 기업의 연구 및 통계 목적 활용에 우려를 표했다.

개인정보 오남용에 대한 우려도 남아있다. 아무리 법적으로 제한한다고 해도 21세기 원유로 불리는 '데이터'는 곧 돈이 되므로 유혹이 발생하기 마련이다. 페이스북 사용자의 개인정보가 사용자 동의 없이 케임브리지 애널리티카에 유출된 사건도 있었다.

이를 방지하기 위해 개정안에서는 가명정보를 조작해 재식별할 경우 기업 연 매출의 최대 3%에 해당하는 과징금, 개인은 5년 이하의 징역 또는 500만원 이하의 벌금에 처하는 등 책임성을 강화했다. 유럽연합(EU)의 일반개인정보보호법(GDPR)에서도 개인정보 규정을 위반할 경우 해당 기업의 전 세계 연매출액의 4%까지를 벌금으로 부과할 정도로 강하게 처벌한다.

◇ 향후 사례와 조치가 관심

업계에서는 데이터3법 통과로 당장의 큰 변화는 없을 것으로 예상했다. 가명정보를 연구 및 통계적 목적으로 활용할 수 있기 때문에 가명정보를 활용한 사용자별 타겟마케팅 등은 사실상 어렵다.

데이터분석 업체 관계자는 "가명정보 개념이 도입됐지만 아직 사례나 판례가 없어 조심스러운 입장이다"라며 "데이터를 활용하는 기업입장에서는 가명정보를 연구목적이나 트렌드 조사로 조금 더 많은 데이터를 활용할 수 있게 되지만 지금도 합법적으로 통계 목적의 데이터를 활용할 수는 있으며 단기간 내에 달라지는 부분은 없을 것으로 보인다"고 말했다.

이어 "눈치를 보면서 다양한 사례가 나와야 어떻게 활용할 수 있는지 방향을 잡을 수 있을 것 같다"고 덧붙였다.

데이터 경제에 대한 기대와 우려가 공존하는 상황에서 향후 진행 과정에 관심이 몰리고 있다. 개인정보보호위원회의 위상 격상과 함께 EU의 GDPR의 적정성 평가 절차도 남아있다. 그동안 데이터3법 개정안 통과의 주요 목적 중 하나도 EU의 GDPR 적정성 평가였다.

>> 관련 기사: [인사이드 스토리]국회 손에 달린 '21세기 원유, 데이터' 운명은

과학기술정보통신부는 "안전한 데이터 활용을 뒷받침할 하위법령, 유관 법령 등도 조속히 정비하고 감독기구 독립성 확보를 기반으로 EU GDPR 적정성 평가 승인을 조속히 추진할 예정"이라며 "데이터3법 개정에 따른 다양한 민간의 의견을 수렴하고 정책에 최대한 반영해 기업과 기관 등이 데이터를 안전하게 활용하고 데이터 경제 이행이 본격화되도록 지원할 계획"이라고 밝혔다.

과기정통부는 지난달 '범부처 데이터경제 활성화 테스크포스(TF)'를 출범하고 내달 중 종합 지원 방안을 발표할 예정이다.

naver daum
SNS 로그인
naver
facebook
google