[데이터융합포럼 특별기고-1] 데이터 결합, 보다 유연한 제도로의 개선 필요성

데이터 결합 제도, 데이터 활용 가능성 저해 우려…보다 융통성 있게 운영될 수 있도록 개선돼야

안전한 데이터 활용 촉진을 위해 실무적 이슈를 논의하는 데이터융합포럼은 정기적으로 회원들의 ‘데이터 보호와 활용’ 관련 기고문들을 데일리시큐 독자들과 공유해 나갈 계획이다. 첫 번째 기고는 박광배 변호사(법무법인 광장)의 글이다. <편집자 주>

빅데이터, 인공지능, 클라우드컴퓨팅, IoT, 핀테크 등 데이터에 기반한 새로운 산업을 육성하여 잃어버린 우리 경제의 동력을 다시 찾아보려는 노력이 활발히 진행되고 있다. 관점에 따라 각각의 주제어에 맞는 이슈가 조금씩 다르기는 하지만, 데이터경제에 있어서 이른바 정보집합물(데이터셋, dataset)의 결합의 중요성은 그 누구도 부인하기 어려울 것이다. 서로 다른 개인정보처리자가 보유한 데이터셋이 결합되면, 기존에는 존재하지 않거나 알 수 없었던 내용의 분석이 가능하게 되거나 기존 데이터의 품질을 향상시킬 수 있게 되고, 이를 통해 새로운 서비스·상품을 창출해 나갈 수 있게 되기 때문이다. 한편, 이러한 데이터의 결합은 그로 인해 프라이버시 침해의 위험을 가중시킨다는 점에서 데이터3법 개정작업 과정에서 가장 많은 논란을 야기했던 이슈중 하나였다.

■데이터 결합에 관한 독특한 제도의 탄생

데이터 결합은 동일한 개인정보처리자(사업자, 공공 기관 등) 내 다른 사업부 등에서 또는 서로 다른 개인정보처리자에 의해서 각각 관리되고 있는 데이터를 추가 정보없이는 개인을 알아볼 수 없도록 가명처리후, 가명상태에서 데이터를 결합하여 새로운 데이터 셋을 생성하는 것이다. 물론 재식별을 방지하기 위한 일정한 안전장치를 강구하여야 한다. 개정 데이터3법에 따라 정보주체의 동의가 없더라도 과학적 연구 또는 통계작성 등의 목적으로 가명처리하는 것이 허용되었고, 여기에는 가명처리된 데이터셋의 결합도 포함된다.

그런데, 개정 법은 다른 개인정보처리자가 보유하고 있는 데이터셋을 결합하는 행위는 반드시 정부에서 지정한 전문기관에서만 수행하도록 하였다. 민간 기업이 전문기관으로 지정되는 사례도 있지만, 적어도 초창기에는 공공 영역의 기관이나 비영리 기관들이 지정되고 있다. 이로서 데이터 처리 행태 중 하나에 불과한 데이터 결합이라는 행위자체를 외부의 전문기관에서 수행하고 일정한 제한 하에서만 그 결합물의 반출이 가능하도록 요구하는 독특한 제도가 탄생하게 되었다. 민간 영역에서까지 이러한 제약을 두는 선례를 찾기 어려운 불확실성은 데이터 결합을 통한 새로운 상품, 서비스의 개발, 제공을 염두에 두고 있는 기업들에게 또 다른 도전이 될 것으로 보인다.

■EU GDPR과의 차이점

사실 개인정보 처리행위의 유형(수집·이용, 제3자제공, 위수탁, 국외이전 등), 정보유형(민감정보, 고유식별정보), 목적유형(마케팅활용목적, 필수·선택여부) 등 다양한 기준에 따른 세분화된 동의를 요구하고 있는 우리법의 기준에서 보면, 개인정보처리행위 중 위험을 높이는 데이터의 결합을 별도로 취급되어야 할 개인정보처리행위의 한 유형이라고 생각할 만하기도 하다. 하지만 개인정보보호규율이 가장 까다롭다는 EU GDPR는 데이터 결합을 별도의 취급이 필요한 특별한 개인정보처리행위로 보지 않고, 그냥 개인정보의 수많은 처리행위의 한 유형으로만 보고 있다. 즉, 데이터 결합을 통해 특정 개인에 대해 처리되는 정보의 내용이나 항목이 확장되므로, 그러한 결합행위는 프라이버시 침해의 위험도를 높일 수 있는 여러 행위중 하나로 인식되고 있을 뿐이다.

보다 구체적으로, GDPR 제35조는 신기술의 이용, 정보처리의 성격, 규모, 맥락과 목적을 감안하여 개인의 권리와 자유에 고도의 위험을 초래할 수 있는 경우, 대상이 되는 개인정보의 처리의 내용을 분석하고, 그 필요성과 비례성을 고려하여 위험을 평가한 후 이를 다루는 방법을 결정하기 위한 개인정보영향평가(data protection impact assessment, DPIA)를 수행하게 한다. 이는 개인정보처리자가 GDPR을 준수하기 위한 적절한 조치를 취하였음을 입증하는 근거로 작용한다. GDPR에서는 고위험을 초래할 수 있는 개인정보처리의 예시로 프로파일링 등에 근거한 체계적이고 광범위한 평가, 민감정보에 대한 대규모처리, 공개된 지역에서의 대규모의 체계적 모니터링의 3가지를 예시하고 있다. 하지만, EU의 개인정보실무작업반(GDPR이 시행됨으로 European Data Protection Board로 승격됨)에서 발행한 DPIA 가이드라인은 고위험여부를 판단할 때 고려해야 할 요소로 3가지가 아닌 10가지 요소(개인에 대한 평가 및 점수부여, 자동화된 의사결정, 체계적인 모니터링, 민감 정보, 대규모 정보처리, “데이터셋의 매칭 또는 결합”, 취약한 지위의 개인, 신기술사용, 역외이전, 정보주체의 계약상 권리행사제약 여부 등)를 제시하고 있다. 가이드라인은 대체로 이러한 10가지 요소 중 두가지 이상이 적용될 경우 DPIA수행을 권고하고 있다.

아무튼 GDPR하에서의 데이터 결합여부는 DPIA를 수행여부를 판단하는 하나의 요소일 뿐이고, 그 자체로 독립된 법적 의무와 효과가 부여되는 별도의 개인정보처리행위가 아니라는 점은 지적하고 싶다.

이와는 달리 이른바 규정기반 접근법(rule-based approach)을 취하고 있는 우리 법제의 경우, 데이터 결합에 대해 실질적인 위험성에 대한 고려보다는 절차적 정당성의 확보에 중점을 두는 쪽으로 제도가 설계된 것으로 보인다.

■무엇이 문제인가

개정 법에 의하면, 결합된 데이터를 외부로 반출하기에 앞서, 가명·익명처리가 적절히 이루어지고 이에 대해 반출승인심사위원회나 데이터전문기관의 적정성 평가가 이루어 질 것을 요구하고 있다. 이러한 적정성 평가절차는 기존의 비식별조치가이드라인(2017.6.발표)하에서의 데이터 결합의 사례에서 보듯이 전문기관에서 위촉받은 외부 전문가들에 의해 진행될 수밖에 없을 것으로 보인다.

GDPR에서는, 안전성 확보조치의 한 방법으로서 가명처리를 언급하고 있다 보니, 가명처리 자체의 완결성 여부보다는 다른 안전성 확보조치와 전체적으로 고려하여 적절한 안전조치가 취하여졌는지를 판단할 수 있는 융통성을 가진다. 반면, 우리법제는 기본적으로 동의 획득의무 면제의 전제요건으로서의 가명처리를 바라보기 때문에, 결합된 데이터셋에 대한 가명처리의 적정성 여부의 판단결과에 따라 동의 없는 가명정보의 이용/제공이 가능한지가 결정되는 문제로 변화된다. 그 결과 부적절한 가명처리의 결과는 형사책임까지 초래할 수 있는 위법한 개인정보처리행위가 된다. 한편, 이처럼 부담스러운 가명처리의 적정성에 대한 판단을 제3자인 전문기관(및 그로부터 위촉받은 외부 전문가들)로 하여금 판단하게 하는 것은, 평가에 대한 절차적 정당성을 확보하는 데에는 도움이 될 수 있겠지만 전문기관과 외부 전문가들에게 그러한 적정성 판단 부담이 고스란히 전가되는 구조가 된다. 따라서, 가명처리의 적정성 여부판단에 데이터 결합에 따른 실질적인 위험의 정도, 이를 보완하는 적절한 안전성확보조치 기타 제반 요소에 대한 고려를 가급적 배제하고, 획일적이고 보수적인 판단을 추구할 가능성이 크다.

개인정보보호법은 결합된 데이터의 반출시, 결합 목적과 반출 정보가 관련성이 있을 것, 특정 개인을 알아볼 가능성이 없을 것 그리고 반출 정보에 대한 안전조치 계획이 있을 것을 심사하도록 요구하고 있다. 한편 가명정보 처리 가이드라인은, 이러한 심사는 결합된 정보를 반출할 자의 처리 목적과 처리 환경 등을 고려하여 판단하도록 요구하고, 익명정보로도 목적달성이 가능하다면 익명처리하여 반출하도록 할 것을 요구하고 있다. 이러한 개별적인 판단에서는 적지 않은 시간과 노력이 소요되고, 상당한 난이도가 요구되는 판단행위가 요구될 가능성이 많음에도 별다른 여과없이 고스란이 전문기관과 외부 전문가들의 몫으로만 전가시키고 있다. 여기에, 데이터 경제의 활성화로 다른 개인정보처리자간 데이터 결합의 수요가 급증할 경우, 전문기관과 외부 전문가의 가명/익명처리 적정성 평가수요 역시 급증할 가능성이 많다.

■무엇을 개선할 것인가

모든 데이터 결합이 위험한 개인정보처리행위 유형이라는 전제가 타당한 것인지는 고민해 볼 필요가 있다. 이를테면, 데이터의 민감도, 규모, 활용의 목적 등을 고려하여 선정된 고위험 영역의 데이터 결합인 경우에만 필수적으로 전문기관을 통한 결합과 결합된 데이터의 반출을 위한 가명·익명처리의 적정성 여부에 대한 전문기관과 외부 전문가들에 의한 평가가 심도 있게 진행될 수 있도록 하는 방안도 가능할 것이다. 대신, 개인정보 영향평가와 유사하게 특정 데이터 결합행위에 따른 위험성을 해당 분야 전문가에 의해 전문적으로 평가토록 하고, 파악된 위험을 경감시키는 적절한 보완조치를 취한 것임이 전문가에 의해 검증이 된 경우에는 전문기관을 통하지 않고도 데이터 결합이 가능하도록 유도하는 방안도 가능할 것이다. 그리고 위험수준이 높지 않은 유형의 데이터 결합인 경우라면, 굳이 전문기관을 경유한 데이터 결합을 요구하기 보다는 가명처리에 관한 다른 개인정보보호법의 규율(재식별금지의무, 가명정보에 대한 안전성확보조치 의무, 위반시 전체매출액의 3%까지의 과징금이라는 엄중한 행정제재 및 최대 5년이하의 징역 등 형사처벌가능조항)만을 적용해도 충분할 것이다.

■바램

모든 다른 개인정보처리자 간의 데이터 결합시 전문기관의 필수적 경유를 요구하고, 전문기관에서 결합된 데이터 반출을 위한 가명·익명처리의 적정성 평가의 부담을 전문기관과 외부전문가들에게만 지울 경우, 개별 사안에서 데이터 결합에 따른 실질적인 위험과 이를 중화하기 위한 안전성확보장치의 내용 등에 대한 판단보다는, 보수적, 획일적인 기준에 의한 판단을 선호될 가능성이 커 보인다. 그러한 판단은 실제 위험과는 무관한 보수적인(강화된) 가명처리 내지 익명처리를 요구하고, 그로 인해 결합된 데이터에 대한 실질적인 활용가능성을 저하시킴으로써 개인정보의 안전한 활용을 위해 도입된 데이터 결합제도의 취지를 훼손시킬 가능성이 있다. 4차산업혁명을 통한 데이터 기반경제로의 도약을 위해 어렵게 가명처리, 가명정보의 개념이 도입되었다는 점을 고려하면, 그 핵심에 있는 데이터 결합과 관련한 제도가 보다 융통성 있게 운영될 수 있도록 개선되기를 바란다.

[글. 박광배 법무법인 광장 변호사 / kwangbae.park@leeko.com]

#’데이터융합포럼’은 2016년 6월 개인정보 비식별조치 가이드라인 발간에 맞춰 금융회사, 핀테크회사, 금융분야 유관기관 등의 실무자와 해당분야 전문가 중심 ‘비식별 연구반’이라는 이름으로 시작. 가이드라인 해석 및 실무적 해결방안에 대해 주제를 선정해 발제자가 발제하고 토론하는 학습 모임으로 발전. 인공지능(AI)기술로 대표되는 4차산업혁명시대를 맞아 핵심 자원인 안전한 데이터 활용을 촉진하기 위해 실무적 이슈에 대해 논의하는 포럼이다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★