재판 진행을 위하여 관련 사건의 판결문을 구해보면 당사자 등의 개인정보가 도형화 처리되어 있어, 누구의 사건인지 알 수가 없다. 이렇게 정보주체를 식별하거나 식별할 수 있는 개인정보를 식별하지 못하거나 식별할 수 없는 형태로 만드는 조치를 데이터익명화(Data Anonymization)라 한다. 대표적으로 CCTV로 수집되는 영상에서 얼굴을 마스킹하는 것이 그러한 예이다.
이러한 익명화 조치가 데이터의 처리ㆍ분석ㆍ활용을 극대화하는 빅데이터 시대에 있어, 프라이버시 보호의 대책으로서 각광을 받고 있다. 민감한 의료 데이터 등에서 식별자를 가공함으로써 누구의 정보인지 알 수 없게 한 다음, 처리나 분석, 활용을 하게 되면 프라이버시 침해 우려도 없고 활용을 극대화할 수 있기 때문이다.
우리나라 개인정보보호법은 '개인정보처리자는 개인정보의 익명처리가 가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다(제3조 제7항)'라고 규정하여, 법적으로 익명화 처리를 권장하고 있다. 최근 영국의 ICO(Information Commissioner's Office)도 익명 데이터 실무지침(Anonymisation : managing data protection risk code of practice)을 발표하여 익명화에 대한 기준을 제시하고 있다.
이러한 익명화가 미국 국가안보국(NSA)의 대규모 데이터 수집과 감시 활동 이후에는 제3자의 감시를 피하기 위한 수단으로도 이용되고 있다. NSA 사건 이후 제3자의 감시가 어려운 익명성을 보장하는 웹 브라우징과 커뮤니케이션 서비스를 제공하는 인터넷 기업의 주가와 인기가 오르고 있다.
다만 이것저것 할 것 없이 모두 가려버리는 과잉 익명화는 정보의 자유나 알권리를 침해할 수 있고, 수준 낮은 익명화 기법은 시간이 지나면 다시 식별성이 되살아나는 재식별화의 문제점이 있다. 적정한 익명화 및 견고(robust)한 수준의 익명화 기준에 대한 고민이 필요한 때인 것 같다.
* 법무법인 민후 김경환 대표변호사 작성, 법률신문(2013. 12. 2.) 기고.