개인정보보호, 소프트웨어 정책
오늘날 각종 정보 기기, 센서 및 네트워크가 새로운 형태의 데이터를 대량으로 생성하고 데이터 저장 비용이 획기적으로 낮아짐에 따라 데이터 재사용에 대한 일반의 관심이 커지고 수요 또한 증가하고 있다. ‘오픈 데이터(open data)’는 사회, 개인, 조직에 분명한 편익을 제공하지만 이는 개인 정보 및 사생활 보호에 관한 릶의의 권리가 존중되는 것을 전제로 한다.
익명처리는 이러한 오픈 데이터의 편익은 유지하되, 위험은 완화시킬 수 있는 훌륭한 전략이 될 수 있다. 일단 데이터세트가 제대로 익명처리 되어 개인 식별이 불가능해지면, 유럽 개인정보보호법은 적용되지 않는다. 하지만 사례연구 및 연구문헌에 따르면 업무에 필요한 기저 정보는 최대한 보유하면서도 방대한 개인정보에서 정으로 익명처리된 데이터세트를 생성하는 것은 결코 간단한 문제가 아니다. 예를 들어, 익명처리된 것으로 생각되는 데이터세트가 다른 데이터세트와 결합되어 개인 또는 복수의 개인 이 식별될 수가 있다.
본 의견서에서 WP는 EU의 개인 정보보호의 법적 배경을 토대로 기존 익명처리 기법의 효과성과 한계를 분석하고 익명처리 절차의 수립에 있어서 이들 기법을 신중하고 책임 있게 사용하기 위한 권고안을 제시한다.
요약보고서
개인정보보호작업반(WP)은 본 의견서에서 EU의 개인정보보호 관련 법률 배경으로 기존의 익명처리 기법의 효과성과 한계를 분석하고 각 기법에 내재된 식별조치의 잔존 위험을 고려하여 이들 기법을 다루기 위한 권고안을 제시한다.
WP는 특히 개인과 사회 전체적으로 ‘오픈 데이터’의 혜택을 향유하는 동시에 관련 개인의 위험을 완화시키기 위한 전략으로서 익명처리의 잠재가치를 인정한다. 다만, 사례연구와 연구문헌들은 업무에 필요한 기저 정보를 충분히 유지하면서 진정한 익명 데이터세트를 생성하는 것이 얼마나 어려운지를 보여주고 있다.
EU 지침 95/46/EC 및 기타 관련 EU 법적 수단에 비추어볼 때, 익명처리는 식별처리를 불가역적으로 방지하기 위해 개인 정보를 처리하는 것에서 비롯된다. 그 과정에서 개인 정보 처리자는 식별처리를 위해 ‘합리적으로 예상되는(likely reasonably)’ 모든 수단(개인 정보 처리자 또는 모든 제3자의 수단)과 관련된 요소를 고려해야 한다.
익명처리는 개인 정보의 추가적 처리의 하나이다. 따라서 익명처리는 법적 근거 및 추가 처리의 관점에서 양립가능성의 요건을 충족해야 한다. 아울러 익명처리된 정보는 개인 정보보호법의 적용을 받지 않지만, 정보주체는 여전히 다른 법률에 따라(예: 통신의비밀보호법) 보호를 받을 권리가 있을 수도 있다.
본 의견서는 주요 익명처리 기법의 무작위처리(randomization)와 일반처리(generalization)에 대해 기술한다. 특히 잡음 추가(noise addition), 치환(permutation), 차등 정보보호(differential privacy), 총계처리(aggregation), k익명성(k-anonymity), l-다양성(l-diversity), t-근접성(t-closeness)에 대해 논의한다. 아울러 익명처리 기법의 원칙, 강점과 약점 및 각 기법의 사용에 따라 발생하기 쉬운 오류와 실패에 대해서도 기술한다.
본 의견서는 아래 세 가지 기준을 근거로 각 기법의 안전성에 대해 상술한다.
(i) 여전히 개인을 식별하는 것이 가능한가?
(ii) 여전히 개인 기록부들을 서로 연결할 수 있는가?
(iii) 개인에 대한 정보를 유추할 수 있는가?
각 기법의 강점과 약점을 알면 주어진 상황에 적합한 익명처리 과정을 설계하는 데 도움이 된다.
익명처리와 관련된 몇 가지 함정과 오해를 규명하기 위해 가명처리에 대해서도 다룬다. 가명처리는 익명처리의 한 방법이 아니라, 단지 정보주체의 원래 신원과 데이터세트의 연결가능성을 줄이는 것이며 따라서 유용한 보안 조치 중의 하나이다.
본 의견서는 익명처리 기법은 프라이버시를 보장할 수 있으며 효율적인 익명처리 절차를 수립하는 데 사용될 수 있지만, 거기에는 익명처리 기법이 운용되어야 한다는 단서가 따른다. 그것은 일부 유용한 정보를 산출하는 동시에 익명처리의 목표를 달성하기 위해서는 익명처리 과정의 전제 조건(상황) 및 목적이 분명하게 제시되어야 한다는 의미이다. 최적의 해법은 사례별로 결정되어야 하며, 그 예로서는 여러 기법을 조합해서 사용하되 본 의견서에서 제시한 실용적의 권고를 참고할 수 있을 것이다.
끝으로, 개인 정보 처리자는 익명처리된 데이터세트가 여전히 정보주체에게 잔존 위험을 제기한다는 점을 고려해야 한다. 실제로, 익명처리 및 재식별처리가 한편으로는 활발한 연구분야로 새로운 발견이 꾸준히 발표되고 있고, 다른 한편으로는 통계자료와 같은 익명처리정보(anonymised data)까지도 개인 프로필의 가치를 높이는 데 사용될 수도 있어 새로운 개인 정보보호 문제를 제기하고 있다. 따라서 개인 정보처리자는 익명처리를 일회성 활동으로 생각해서는 안 되며 수반되는 주요 위험을 정기적으로 재평가해야 한다.
붙임자료 : EU-WP29-익명처리기법_번역문