개정 데이터3법이 지난 8월 5일 시행되면서 가명정보 개념이 도입됐다. 4차 산업혁명 시대를 맞아 데이터 활용 가능성을 높였다는 평가다.
데이터3법 개정 이전에는 개인정보를 수집할 당시 동의받은 목적 범위 내에서만 이용 또는 제3자 제공이 가능했다. 당초 수집목적 범위를 벗어나 이용 제공이 필요한 경우 법이 열거하는 매우 제한적인 경우에만 가능했다.
이 때문에 비식별화 조치를 통해 익명정보로 가공해 더 이상 개인정보가 아닌 상태로 만든 후에 활용하는 방안이 시도됐다. 하지만 정부가 제시한 가이드라인에 따라 비식별조치를 하기 위해서는 외부 전문가가 과반수 이상 포함된 평가단으로부터 적정성 평가를 받아야 하는 어려움이 있었고, 재식별 가능성을 배제하기 위해 총계 처리, 데이터 범주화 등 비식별조치를 강하게 할수록 데이터로서의 활용가치는 떨어지는 문제가 있었다.
이러한 데이터 활용 한계와 개인정보 보호라는 가치간 균형을 고려해 이번 개정 데이터3법에서 가명정보 개념이 도입됐다. 이에, 기업 입장에서 자신들이 보유하고 있는 개인정보를 활용함에 있어 가명처리, 익명처리(비식별화) 중 어느 쪽이 적절한 지, 또 개정법에 따라 가명처리해 활용하기 위해서는 어떠한 절차를 거치고, 어떠한 점을 주의할 필요가 있는지 유념해야 한다.
우선 가명정보와 익명정보를 구분해 이해할 필요가 있다. 가명정보는 개인식별성 있는 정보를 삭제 또는 대체하지만 여전히 개별 데이터셋과 특정 개인간 1:1 대응관계가 유지된다. 이 때문에 개인정보보호법에서도 가명정보를 개인정보에 포함시키되, 개인정보 보호에 관한 몇몇 조항들의 적용을 배제하는 방식으로 규율하고 있다.
이는 특정 개인과의 1:1 대응관계가 없어 더 이상 개인정보에 해당하지 않는 익명정보와 차이가 있다. 그리고 정보주체 동의 없이 이용함에 있어 가명정보는 통계작성, 과학적 연구, 공익적 기록목적 등에 한정하지만 익명정보는 제한이 없다. 따라서 통계적인 자료로 주로 활용하는 경우라면 익명처리를 하는 것이 이용 범위에 제한이 없고, 사후 관리도 보다 용이하다.
개인과 1:1 대응을 유지하여 다른 데이터와 결합해 사용할 필요가 있다거나, 1:1 대응이 있어야 데이터 분석이 유의미한 경우라면 가명처리를 활용하는 게 좋다.
이처럼 개정된 데이터3법이 가명정보 활용 가능성을 열어두긴 했지만, 관련 법령상의 준수사항들을 놓치지 않기 위해서는 사전 준비 와 처리, 활용단계에 대한 이해가 필요하다. (하단 표 참조)
이처럼 가명정보 제도 도입으로 데이터 활용 가능성이 높아진 반면 가명정보 처리 목적 위반, 추가정보 제3자 제공, 가명정보 결합제한 위반, 특정 개인을 식별하기 위한 가명정보 이용, 가명 정보에 대한 안전조치 위반 등에 대해서는 형사처벌 대상이니 유의할 필요가 있다. 필자가 속한 법무법인 디라이트는 이에 대한 내용을 다루는 무료 웨비나를 오는 6일 오후 2시 개최한다.
*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.