비식별·익명정보 활용은 세계 추세…日, 민감한 정보는 제한

[the300][런치리포트-비식별조치, 빅데이터 시대 방아쇠]④해외 제도의 시사점

해당 기사는 2016-11-03 런치리포트에 포함된 기사입니다 런치리포트 매거진 보기
해외의 개인정보 비식별조치 제도/머니투데이 더300

구글의 독감 트렌드(Flu trend) 분석은 빅데이터 활용의 대표적 사례로 꼽힌다. 시간·지역별 검색어를 바탕으로 독감 검색패턴을 분석, 독감 발생지역을 실시간으로 보여주고 예측도 했다. 이 데이터를 의료기관과 연결하면 최적의 예산으로 복지를 향상시킬 수 있다. 미국 이동통신회사 T-모바일은 다른 통신사로 옮기는 고객이 보이는 패턴을 분석, 고객이탈을 실시간 감지하는 시스템을 만들었다. 이를 통해 이탈 고객수를 줄였다.

이처럼 빅데이터 활용은 세계적 흐름이다. 미국이 앞서가는 가운데 유럽, 일본 등 선진국도 관련 법제 정비에 나섰다. 덜 민감한 정보는 널리 활용할 수 있게 하되, 민감 정보이거나 식별 가능성이 높으면 활용을 제한하는 식으로 정보활용과 보호 두 가지를 조화시키려는 노력이 보인다.

2일 정부와 정치권에 따르면 미국은 개인정보 보호에 관한 일반법이 없는 대신 의료, 교육 등 분야별로 개인정보 보호에 관한 개별 법령이 있다. 이들 개별 법령에서 제한하지 않는 한 자유로운 데이터의 이용이 보장된다. 이름, 주소, 생일, 전화번호, 이메일주소 등 18가지 주요 식별자를 제거하는 세이프 하버 방식으로 비식별 조치를 한다. 개인을 구별할 수 있는 데이터는 어지간하면 지워서 피해를 예방하는 것이다. 이밖에 전문가가 비식별 조치 범위를 결정할 수도 있다.

이를 통해 비식별 조치된 건강정보는 프라이버시 관련 규제를 적용하지 않는다. 비식별 조치된 학생기록은 별도동의 없이 배포할 수 있다. 이때 데이터 제공자와 받는자가 제공목적 등을 명시한 계약을 체결해야 진행할 수 있다.

일본은 지난해 9월 개인정보보호법을 개정했다. 개인정보와 개인 식별자가 무엇인지 새로 정의했고 익명가공정보(비식별정보) 관리체계도 세웠다. 병력 등 민감한 개인정보는 별도로 분류해 정보취득을 까다롭게 한 반면 민감정보가 아닌 개인정보는 당사자 통보 등 일정 요건을 갖추면 사전동의 없이도 제3자에게 제공할 수 있게 이원화했다. 개인정보를 취급하는 사업자에게 재식별 금지 의무도 부과했다.

EU는 개인정보보호지침상 익명화(가명 처리) 정보를 이 지침 규제대상이 아니라고 본다. 지난 4월 통과된 단일 개인정보 보호법(GDPR)은 이 지침 내용을 구속력 있는 법에 담고 동의 없이 가명 정보를 처리할 수 있는 경우를 공익, 과학연구, 통계 목적 등으로 정비했다. 이 법은 2018년 시행된다.

영국은 2012년 마련한 규약에서 충분한 익명화란 식별 위험성이 매우 낮은 정도라야 한다고 정했다. 합리적으로 식별 위험이 있다면 규제대상인 개인정보에 해당한다는 것이다.



 
  • 법안
  • 팩트체크
  • 데스크&기자칼럼