[이코리아] 정보보호의 날을 맞아 한국의 개인정보 정책 동향을 짚어 볼 수 있는 강연이 열렸다. 정보보호의 날은 매년 둘째 수요일이다. 국민의 정보보호 인식을 제고하기 위해 2012년 7월 법정기념일로 정했다. 7월은 정보보호의 달이다.

정부가 7월을 정보보호의 달로 정한 까닭은 과거 발생한 대규모 사이버공격 사태를 교훈 삼아 경각심을 일깨우기 위함이다. 2009년 7월 공공기관 등 22개 웹사이트가 디도스 공격을 받아 전산망이 마비된 바 있다.

과학기술정보통신부는 정보보호의 날을 기념해 ‘국제 정보보호 컨퍼런스 2022’를 13일 개최했다. 이날 개인정보 보호 세션에서는 한라대학교 김순석 교수가 개인정보 관련 정책에 대해 강연했다.

김 교수는 영국의 ‘익명화·가명화 및 프라이버시 강화 기술에 대한 가이드’를 비교하며 국내 법제 동향을 소개했다. 해당 가이드는 지난 5월 초안이 나왔고, 현재는 각계 의견수렴 과정에 있다.

그는 강연에서 주로 개인정보 가명·익명처리에 관한 내용을 다뤘다. 익명처리와 가명처리의 공통점은 개인을 알아볼 수 없도록 한다는 것이다. 다른 정보를 참조해서 개인정보를 식별할 수 있으면 가명처리, 재식별이 불가능한 수준으로 비식별화했으면 익명처리다.

예를 들어 명단에 적힌 ‘이름 홍길동’ ‘나이 32세’ ‘주소 서울시 종로구 한글길12’ 등 개인정보를 ‘홍OO’ ‘30대’ ‘서울시’로 비식별화하면 가명정보가 된다. 여기에서 이름과 주소만 알면 명단에서 그의 나이를 특정할 수 있다.

가명정보는 ‘과학적 목적’ ‘통계 작성’ ‘공익적 보존 목적’이라면 정보주체 동의 없이 활용 가능하다. 한국과 영국에서 같은 조건을 적용한다. 가명정보는 개인의 권리에 미치는 위험이 적으면서도 새로운 가치를 창출할 수 있다는 장점이 있다.

반면 익명정보는 개인정보보호법상 보호 대상이 아니다. 이에 개인정보처리자가 개인정보를 익명처리해 활용하는 데는 정보주체의 동의를 필요로 하지 않는다.

김 교수는 “익명정보와 달리 가명정보는 개인정보로 볼 수 있다”며 “가명정보를 활용하려면 안전하게 처리하고 쓸모 있게 만들어야 한다”고 말했다.

영국은 가명정보의 재식별을 금지하고, 이를 어길 시 과징금을 부과하고 있다. 단, 범죄 예방이나 탐지에 필요한 경우, 공익을 위해 정당화되는 경우 등에는 허용한다.

한국에서는 어떤 사유로도 허용하지 않는다. 다만 가명정보 활용 방법은 영국 대비 다양한 편이다. 특히 ‘가명정보 결합’에 관대하다. 영국은 공공기관이 보유한 가명정보에만 결합을 허용하지만, 한국은 기업의 가명정보도 서로 다른 기업이라면 활용할 수 있도록 한다. 참고로 가명정보 결합 및 활용이 가능한 국가는 전 세계에서 한국과 영국뿐이다.

양국의 익명정보에 관한 기준도 다르다. 영국은 모든 수단을 고려해 익명처리했으면, 재식별 가능성을 100% 차단하지 못했더라도 익명정보로 인정한다. 관련 법에서도 ‘재식별 불가능’ 이 아닌’ ‘재식별 가능하다고 보기에 거리가 멀다’ 등으로 표현한다.

한국은 재식별 가능성이 있으면 개인정보로 판단한다. 한국의 가이드에서는 익명정보를 ‘시간·비용·기술 등을 합리적으로 고려할 때 다른정보를 사용해도 개인을 알아볼 수 없는 정보’로 정의한다. 

김 교수는 이런 익명정보 기준은 해석이 다소 모호할 수 있다고 지적했다. 실무자 입장에서는 얼마나, 어디까지 처리해야 하는지 판단하기 어렵다는 이유에서다.

그는 끝으로 한국의 개인정보 활용 기조에 대해 “개인정보보호법상 가명정보 처리에 관한 특례가 나오면서 개인정보 활용에 방점을 둔 것으로 볼 수 있다”고 평가했다.