소위 ‘데이터3법’ (개인정보보호법·신용정보법·정보통신망법) 개정안이 지난 9일 국회 본회의를 통과했다.

개정안의 핵심은 ‘가명정보’를 본인 동의 없이 통계작성·과학적 연구·공익적 기록보존의 목적에 활용할 수 있게 한 점이다. 현행법은 가명 처리와 관계없이 기업·기관이 수집한 데이터를 활용하기 앞서 정보 주체의 동의를 받도록 의무화해왔다.

이를 위해 개정안은 개인정보와 관련된 개념체계를 개인정보·가명정보·익명정보로 명확히 했다.

예를 들어 ‘1980년 3월 20일생 남성 홍길동’은 개인정보이다. 개인을 식별할 수 있기 때문이다. ‘1980년 3월 20일생 남성 홍길동’을 ‘1980년생 홍씨’로 바꾸면 가명정보가 된다. 가명정보는 특정 개인을 식별할 수 없는 수준으로 처리한 정보를 말한다. 보다 구체적으로는 “가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아 볼 수 없는 정보”라고 개정안에 규정돼 있다

‘1980년생 홍씨’는 ‘40대 남성’같은 익명정보보다 구체적이다. 개인정보와 익명정보 중간에 위치한 개념으로 이해하면 된다.

이처럼 가명정보는 소득·나이·결제금액 같은 개인 신상 정보를 포함할 수 있다. 게다가 건강·금융·유통 등 다른 영역의 정보와 같이 모아서 볼 수도 있다. 개인을 식별할 수는 없지만 정보를 통합적으로 활용할 수 있어 빅데이터로서 가치가 높다.

가명정보가 법제화 되면서 이를 둘러싼 법적 분쟁도 일단락될 것으로 보인다.

그간 가명정보는 한국인터넷진흥원(KISA)이 제공하는 ‘개인정보 비식별 조치 가이드라인’ 상의 개념으로 존재했다. 이 가이드라인에 따라 비식별 개인정보를 활용한 기업에 대한 시민단체들의 고발이 있었는데, 가명정보에 대한 불법성이 해소되면서 분쟁이 일단락 될 것으로 보인다.

가명정보의 처리 및 활용 절차도 구체화했다.

개정안에 따르면 가명정보는 대통령령으로 정하는 보안시설을 갖춘 전문기관을 통해서만 결합할 수 있도록 하고, 전문기관의 승인을 거쳐 반출을 허용한다. 가명정보를 처리하는 경우에는 관련 기록을 작성·보관하는 등 대통령령으로 정하는 안전성 확보조치를 하도록 했다. 즉 전문기관을 통한 가명저치 및 정보 반출을 법제화한 것이다.

개인정보보호위원회의 위상도 한층 강화됐다.

개인정보보호위원회는 개인정보 침해·유출을 감독하는 개인정보 보호 관련 최고 국가기관이다. 데이터3법 통과로 대통령 직속 기구에서 중앙 행정기관으로 격상, 위원장이 국무회의에 참석하게 된다. 그간 행정안전부, 방송통신위원회, 금융위원회 3개 부처에 걸쳐 나뉘어 있던 개인정보보호 감독 업무가 개인정보보호위원회로 통합된 것이다. 이 위원회는 독립적인 개인정보 보호 컨트롤타워로서 법령 개선, 정책수립·집행, 개인정보 침해에 관한 조사·처분을 할 수 있다.

정부와 기업은 데이터3법 통과를 찬성하지만 여전히 반대하는 목소리도 많다.

‘재식별 가능성’ 때문이다. 개정안은 가명정보의 암호화를 되돌려 개인 신원을 식별하는 것을 금지하고 있다. 이를 위반하면 기업은 전체 매출의 3% 이하에 해당하는 과징금을, 개인은 5년 이하의 징역 또는 500만원 이하의 벌금에 처한다.

암호화 처리를 되돌리지 않더라도, 추가 정보들을 결합하면 개인정보가 될 수 있다는 우려가 제기된다. 동의 없이 가져간 가명정보로 내가 누구인지 노출될 가능성을 배제할 수 없다.

개인정보보호위원에서 곧 개인정보 보호 강화를 위한 마스터플랜을 발표한다고 한다. 데이터를 잘 활용하면서도 개인정보를 안정하게 보호할 수 있을지 귀추가 주목된다.