개인정보보호, 소프트웨어 정책
2016년 7월 행정자치부와 금융위원회 등은 합동으로 개인정보 비식별 조치 가이드라인과 개인정보법·정보통신망법·신용정보법 통합 법 해설서를 발표했다. 목적은 빅데이터산업 활성화와 개인정보 강화이나 내용은 비식별화한 정보는 개인정보가 아니므로 정보주체의 동의 없이 빅데이터 분석 등 상업적 활용이 가능하다는 것이다. 이에 발 맞춰 금융위도 비식별화한 개인신용정보를 이용할 수 있도록 한 신용정보법 개정안을 입법예고하고 있다.
비식별화한 개인정보라도 다른 정보와 결합하면 재식별화를 통하여 개인을 알아볼 수 있으며, 이러한 정부의 정책은 개인정보 자기결정권을 침해하는 것이며, 기업의 개인정보 오남용 및 빅브라더를 양성하는 조치로 볼 수있다.
우리의 환경에서 비식별화는 개인 정보 보호에 실효성이 없으며 금융사나 유통사 등 대기업들은 비식별 정보를 수집하여 자사가 보유한 정보와 결합시키면 재식별이 가능하다. 또 2014년 카드3사 고객 정보 대규모 유출, IMS헬스코리아의 대규모 의료 정보 유출 사건 등으로 인해 비식별화 하더라도 개인정보를 안전하게 익명화하기 힘들다.
가이드라인의 비식별화 조치 적정성 평가인 ‘k-익명성’ 모델은 비식별 조치할 때 정보의 다양성을 고려하지 않는다. 동일한 정보를 가진 레코드가 비식별돼 하나의 동질 집합으로 구성될 경우 정보가 노출는 취약점을 가지고 있어 정보를 재식별화하려는 자의 배경지식이 많은 경우에도 재식별가 가능한 문제점을 가지고 있다.
통계목적 수준의 비식별화는 각 항목에 대하여 세부적으로 분류군을 가지지 않으므로 이를 상업적 목적의 활용에는 정보의 품질이 떨어지므로 정보에 대한 금전적 가치가 무의미한 수준이나, 현재 수준의 비식별화는 기업들이 비식별 정보를 구매하여 자사가 가진 다른 정보와 결합해 재식별화 할 수 있는 가능성이 높은 수준의 정보이므로 이는 개인정보의 판매를 조장하는 조치라 볼 수 있다.
비식별 조치 가이드는 개인정보보호법 취지에도 위반된다. 개인정보보호법은 개인정보 수집시 최소수집원칙을 요구하고 있으며, 다른 정보와 결합해 특정 개인을 알아볼 수 있는 정보도 개인정보로 정의하고 있으며, 개인정보 이용시에는 원칙적으로 개인 동의를 얻어야 한다”고 명시되어 있어 비식별 정보를 개인 동의 없이 이용을 허용하는 정부의 정책은 개인정보보호법의 제정 취지에 어긋난다.
특히 비식별화에 이용되는 원천 정보가 개인정보이므로 이를 비식별화하는 행위 자체가 개인정보를 이용하는 범위에 속하는 행위로 이를 위해서는 반드시 개인의 동의를 받아야하는 것이 현 개인정보보호법의 조항을 위반하는 소지가 있으나, 본 가이드는 이러한 법률적 문제점에 대한 합리적 근거없이 비식별화된 정보의 성격에 대하여서만 초점을 맞추어 개인정보가 아니니 활용이 가능하다는 것은 위법의 소지가 있는 근거에 의하여 생성된 비식별화 정보의 이용 및 판매를 하도록한 가이드 자체가 법위에 군림하는 모습을 보이고 있다.
개인정보의 결합 허용은 그 동안 기업의 제한적인 민감정보의 보유(통신사는 통신이용 정보, 병원은 의료정보, 금융기관은 금융정보, 쇼핑몰은 제품구매 정보)만 가능한하여 각 기업이 단편적인 민감정보만 보유하고 있었으나, 보유 주체간의 이해관에 따라 서로의 정보를 결합하게되면 모든 민감정보의 보유가 가능되며, 이렇게 결합된 정보를 판매가 가능하여 이는 정보 집중의 가속화 및 그에 따른 심각한 사생활 침해로 이어질 수 있다.
따라서 산업발전을 위하여 개인정보의 활용이 절실한다면 정보주체인 국민이 자신의 개인정보가 비식별화 처리 및 비식별 정보의 판매 및 이용에 대하여 고지와 더불어 개인의 동의를 통하여서만 처리되어야하며, 이를 위하여 보호와 활용의 균형점을 제도적으로 보완이 선결되어야 할것이다.
우리의 현실에서는 정보주체인 개인이 자신의 정보를 누가 언제 어떻게 수집·분석해 사고 파는지 인지하지 못한다. 이는 고양이에게 생선을 맞기는격으로 보호와 활용에 대한 현실적인 균형점의 모색없이 무조건적으로 데이터를 활용하는 산업 발전을 명분으로 개인정보의 무분별한 활용을 허용을 조장하는 가이드는 헌법이 보장하는 사생활보장, 개인정보자기결정권의 침해 및 개인정보의 오남용을 조장하는 조치라 볼 수있어 개인정보의 비식별화를 통하여 빅데이터 활용을 위한 정책은 재검토를 하여야한다.