‘청개구리가 울면 비가 온다’는 명제를 활용하기 위해서 전통적인 과학자는 청개구리가 울 때의 온도나 습도 및 그 온도와 습도가 청개구리에 미치는 영향 등을 연구함으로써 명제의 참·거짓을 밝혀야 했다. 하지만 빅데이터 시대의 데이터 사이언티스트는 청개구리가 우는 데이터와 비가 오는 데이터를 모아 상호 연관성을 탐구하는 것만으로도 그 명제를 활용할 수 있게 됐다. 그 상호 연관성이 충족되면 청개구리의 우는 데이터를 기반으로 비가 오는 미래를 예측할 수도 있게 된 것이다.
이처럼 빅데이터 가능성은 우리 상상 이상으로 무궁무진하며 인류에게 새로운 진리탐구 방식을 제공하고 있고 궁극적으로는 미래를 예측할 수 있는 능력을 제공한다.
문제는 규범 미비로 인해 현재 빅데이터 활용이 막혀 있다는 것이다. 우리나라는 특히 개인정보 ‘비식별화’ 개념이 정립되지 않아 빅데이터 발전이 더뎌지고 있다.
지난 2014년 12월 방송통신위원회는 ‘비식별화’를 전제로 한 빅데이터 처리 원칙을 담은 ‘빅데이터 개인정보보호 가이드라인’을 발표했다. 이는 행정자치부나 금융위원회의 안내서나 가이드라인에도 그대로 반복되고 있다. 이 가이드라인은 법률에 부합하지 않고 EU 등 태도와도 맞지 않다는 비판이 지속적으로 제기됨으로 인해 규범력을 제대로 발휘하지 못하고 있는데, 그 비판 핵심에 해당하는 부분이 바로 ‘비식별화’ 개념 부분이다.
이와 관련, EU나 미국은 ‘비식별화(de-indentification)’와 ‘익명화(anonymization)’를 구분하고 있다. 비식별화는 ‘식별자 제거’로 인해 데이터에서 개인식별이 ‘매우 어려운’ 상태를 의미하고, 익명화란 개인과 식별자 사이 ‘링크가 비가역적으로 제거’돼서 데이터에서 개인식별이 ‘불가능한’ 상태로서 비식별화 후속조치에 해당한다.
즉 익명화란 복원이 불가능한 비식별화 또는 비가역적 비식별화 상태다. 이는 EU 개인정보 작업반이 펴낸 안내서 ‘anonymisation is a technique applied to personal data in order to achieve irreversible de-identification’이라는 문장에서도 명확하게 파악할 수 있다.
그런데 우리나라 각종 안내서나 가이드라인은 익명화가 아닌 비식별화로 처리를 하면 빅데이터 처리가 가능하고 나아가 개인정보보호 법령이 적용되지 않는 것으로 기술돼 있다. 또 이러한 태도는 EU 규율과 서로 모순돼 우리나라에서도 EU처럼 비식별화 대신에 익명화 규범을 만들어야 한다는 요구가 끊이지 않았다.
최근 일본은 개인정보보보호법이 개정됐는데, 빅데이터 처리가 가능한 ‘익명가공정보’를 정의하면서 ‘특정 개인을 식별할 수 없도록 개인정보를 가공해 얻을 수 있는 개인에 관한 정보로서 당해 개인정보를 복원할 수 없도록 한 것’이라고 해 EU와 부합하는 태도를 취하고 있어 우리나라의 논란은 더욱 커져 갔다.
빅데이터 활용을 허용하는 임계점이 비식별화인지 아니면 익명화인지는 사안의 중요성으로 보아 규범력이 약한 가이드라인이 아니라 정식 법률로 조속하게 해결해야 할 문제다.
개인적 생각으로는 데이터의 유형·민감도 및 학술·통계·마케팅 등 사용 용도에 따라 계층적인 비식별화·익명화 정도, 유연한 빅데이터 활용 허용 기준을 정하는 것이 바람직하다.
* 법무법인 민후 김경환 대표변호사 작성, 전자신문(2015. 10. 28.) 기고.
Kommentare