위험한 게임: 빅데이터와 개인정보 비식별 조치 가이드라인

글 | 민노씨(슬로우뉴스 편집장)

개인정보 플랫폼 기업이 개인정보를 판매 촉진 목적으로 활용하려고 할 때, 정보주체의 동의를 받아야만 하는지, 동의를 받지 않고도 분석, 가공, 판매할 수 있는지에 따라서 개인정보 플랫폼 기업에는 막대한 이윤 발생 여부가 결정된다. 이들의 이해관계가 첨예하게 걸려 있는 사안이다. (이은우 변호사, 정보인권연구소)

강원도에 사는 스무살 대학생 철수가 페이스북에 재잘거리는 한담이, 제주도에 사는 서른살 직장인 영희가 트위터에 올리는 짧은 한탄이 경제적인 가치를 지니는 ‘고급 정보’가 될 가능성은 그 자체로는 제로다. 하지만 10만 명의 철수가 100만 명의 영희가 모이면 얘기는 달라진다.

빅데이터, 그것이 문제로다 

오늘날 컴퓨팅 기술은 천문학적인 규모로 생산되는 무수히 다양한 개인의 디지털 정보를 드디어 ‘정복’하는 단계에 들어섰다. 그걸 상징하는 용어는 ‘빅데이터’다. 이제 쓰고, 말하며, 대화하고, 소비하는 물리적인 컴퓨터 서버의 어딘가에 저장된다. 이제 디지털 저장기술은 인간의 기억을 대신한다. 우리는 그저 끊임없이 생산하고, 소비하며, 흘려보내면 그뿐이다.

그런데 그렇게 디지털 전자신호로 서버 속 공간 아닌 공간을 흘러갔던 정보는, 철수와 영희는 영영 모르는 채로, 이제 산업적인 가치를 가지는 정보로 재가공된다. 누구도 감히 시도하지 못했던 정보의 총체적 재구성이다. 모든 흩어진 의미가 ‘찬란한 귀향의 축제’를 맞는다. 기업 입장에서는 서비스를 더욱더 진화시키고, 이윤을 극대화할 기회이자 재료다.

luckey_sun, “big data”, CC BY SA

하지만 개인정보 주체들에게는 디스토피아의 서막일 수도 있다. 근대 이후 개인은 자신의 권리를 지키기 위해 국가 권력으로부터 자신을 숨길 수 있는 권리(홀로 있을 권리)를 ‘획득’했다. 그리고 오늘날 문명화한 국가는 국가권력의 부당한 간섭으로부터 자신을 숨기는 것에 그치지 않고, 자신의 개인정보를 통제할 수 있는 권리를 명문의 법률로 규정했다. 자기 정보 통제권(혹은 개인정보 자기 결정권)은 그렇게 탄생했고, 그 권리는 그저 주어진 것이 아니다. 개인정보에 관한 권리에 눈뜬 근대적 자아가 획득한 전리품이다. (→ 참고: 거짓말할 수 있는 권리)

단, 이 자기 정보 통제권이 각자 자신에 대한 정보를 공개된 정보와 비공개된 정보 가릴 것 없이 자신이 소유한 자동차를 소유하듯이 마음대로 통제할 수 있는 절대적인 권리로 해석하면 그것은 곤란하다. 이는 타인들 간에 진실한 정보를 공유하는 생활에 검열권을 가지게 하는 셈이라서 자기 정보 통제권은 균형을 고려한 해석이 불가피하다.

위험한 게임, ‘개인정보 비식별 조치 가이드라인’

기업에 빅데이터가 잠재적 부가가치를 창출할 가능성이라면, 자기 정보 통제권을 자신도 모르는 사이에 빼앗길 수 있는 개인에게는 잠재적 공포다. 그 ‘위험한 게임’이 지금 막 시작됐다. 이름은 ‘개인정보 비식별 조치 가이드라인’.

• 국무조정실
• 행정자치부
• 방송통신위원회
• 금융위원회
• 미래창조과학부
• 보건복지부

참여 부처의 이름에서 확인할 수 있듯 그야말로 통합 가이드라인이다. 그 골자는 이렇다.

‘개인정보라고 하더라도 비식별 조치(익명화)를 거치면 정보주체의 사전 동의 없이 기업이 이를 활용하도록 할 수 있다.’ 

개인정보 비식별 조치 가이드라인 (국무조정실, 행정자치부, 방송통신위원회, 금융위원회, 미래창조과학부, 보건복지부, 2016. 6) 중에서

가이드라인의 쟁점 

이 글은 가이드라인의 개요와 쟁점을 단계적 ‘Q&A’ 형식으로 독자에게 최대한 쉽게 전하는 것을 목표로 한다.

1. ‘빅데이터’란 무엇인가

가이드라인의 중심에 있는 화두는 ‘빅데이터’다. 빅데이터 산업 육성이라는 가치와 개인보호라는 가치를 조화롭게 공존하게 하는 게 가이드라인의 취지라면, 이에 시민단체(오픈넷)와 정부(행자부)의 평가와 시각 차이는 명확하다.

오픈넷은“법률적으로 빅데이터에 대하여 정의된 바는 없다”고 전제한 뒤, “최근 빅데이터라는 단어 자체에 천착하여 빅데이터 산업의 진흥만이 주로 논의될 뿐, 빅데이터 환경이 정보 주체의 개인정보 자기결정권에 미치는 영향에 대한 논의는 부족“하고, 가이드라인도 이런 “흐름의 연장선”에 있다고 지적한다.^[2]

Intersection Consulting, CC BY NC

이에 대해 행자부는 빅데이터 산업 진흥과 개인정보의 관계는 “단순하게 이야기할 수 있는 성격은 아니”라면서, 이번 가이드라인이 데이터 이용함에 있어 “개인정보 보호를 위한 기준을 제시”했다고 자평한다.^[3]

2. ‘비식별 조치’란 무엇인가

가이드라인의 골자는 ‘비식별 조치’(익명화)다. 가이드라인은 비식별 조치 방법과 그 적정성을 평가하는 기준을 제시한다. 그런데 ‘비식별 조치’라는 용어, 익숙한가? 용어 정의부터 잘못됐다는 비판과 이에 대한 정부의 입장을 살펴보자.

연구소는 ‘비식별 조치’라는 표현 자체가 부적절하다면서 “용어 자체가 부적절한 법률용어”라고 말한다. 그렇다면 비식별 조치는 과연 어떤 의미일까? 개인정보 보호법제와 유사한 유럽연합과 일본의 용어 정의를 참고해보자.

• 유럽연합: “익명화된 데이터”(data rendered anonymous)^[4]
• 일본: 개인정보보호법의 개정시 “익명가공정보” 규정한다. 익명가공정보는 ‘특정 개인을 식별할 수 없도록 개인정보를 가공하여 얻어지는 개인에 관한 정보로서 해당 개인정보를 복원할 수 없도록 한 것을 말한다’고 정의한다.^[5]

더불어 ‘비식별 조치’ 혹은 ‘비식별화’라는 표현이 너무 모호하다고 지적한다. 가이드라인의 ‘비식별 조치가’가 ‘익명화’나 ‘익명정보’ 혹은 ‘익명가공정보’와 같은 의미라면 그냥 ‘익명화’나 ‘익명정보’로 쓰면 될 것을 “문법에도 맞지 않는 신조어”를 사용해 국민에게 혼동을 초래한다고 비판한다.

‘비식별 조치’는 쉽게 말해 ‘익명화’라고 할 수 있다.

반면 행자부는 익명화든 비식별 조치든 “이는 용어 선택의 문제일 뿐”이라고 일축하면서, “내용이 중요하지 용어 선택은 부차적”이라고 말한다. 그러면서 “요즘은 국제적으로 ‘비식별화’를 쓰는 추세”라고 부연한다.^[6]

한편, 오픈넷은 연구소 입장에 동의하면서, ‘익명화’라고 표현해야 정확하다는 입장이다.^[7]

3. 가이드라인의 ‘비식별 조치’ 평가 기준은 타당한가

여러 문제와 논란은 별론으로, 우선 가이드라인의 내용에 집중해 보자. 가이드라인은 ‘비식별 조치’와 이에 대한 적정성의 평가 기준과 절차를 규정한다. 그럼 가이드라인에서 제시하는 ‘비식별 조치’의 기준은 과연 합리적일까.

개인정보 비식별 조치 가이드라인 (국무조정실, 행정자치부, 방송통신위원회, 금융위원회, 미래창조과학부, 보건복지부, 2016. 6) 중에서

연구소는 가이드라인의 위 해당 문답을 해석하면 “이는 재식별 가능성이 현저하지 않은 것은 개인정보보호법을 준수하지 않아도 된다는 것”이라면서 “유럽연합에서 익명정보가 ‘더 이상 재식별 가능성이 없는 것’을 의미한다고 지적한다. 더불어, 일본의 개인정보보호법에서도 ‘익명가공정보’란 복구 불가능한 것이라고 정의하고 있는 것과 비교할 때 잘못”이며, “재식별 위험이 현저하지만 않다면 개인정보 주체는 그 위험을 감수하라”는 가이드라인이라고 비판한다.

이에 대해 행자부는 해당 문답의 표현 중 “현저히”는 ‘강조 수사’에 불과”하다며, “해당 문구에 큰 의미를 부여할 필요가 없다”고 답변했다. 가이드라인의 “전체 체계”가 중요하고, 해당 문구는 “강조 수식에 불과”하다는 입장이다. 참고로, 행자부는 인터뷰에서 가이드라인의 법적 성질을 묻는 질문에 “유권해석집”이라고 답했다

한편, 오픈넷은 “표현의 모호성 때문에 ‘가이드’의 역할도 제대로 하지 못할 것”이라고 말하면서 가이드라인이 ‘유권해석집’이라면, “구체적인 법 규정에 대한 해석이어야” 할 텐데, “비식별 조치라는 것은 기존 법에도 없는 새롭게 창조한 개념”이고, 이를 해석한다고 하니 “내용뿐만 아니라 법적인 근거나 성질도 모호할 수밖에 없다”고 비판했다.

4. 비식별 조치에 대한 적정성 평가 

가이드라인은 비식별 조치가 제대로 이뤄졌는지 평가하는 기준을 정한다. 이 적정성 평가 기준은 과연 타당한 것일까. 연구소는 ‘형식적이기 짝이 없다’고 비판하고, 행자부는 ‘다른 대안이 없다’고 말한다.

연구소는 가이드라인의 “적정성 평가 기준은 형식적이기 짝이 없다”면서 “K(익명성), L(다양성), T(근접성)의 세 가지 방법의 익명화 기술을 적용하라는 것”은 “겉으로는 복잡해 보이지만, 단순하기 그지 없다”고 지적한다. 그리고 무엇보다 이들 방법과 기준은 “재식별 가능성이 농후한 방법으로 지목받아 왔던 기술”이라고 비판한다.

이에 대해 행자부는 연구소의 비판은 “비판을 위한 비판”이라고 반박한다. “현재로썬 KLT 외에는 현실적인 대안이 없”고, “(오히려) 유럽에서는 K를 의무화하지 않았지만, 우리는 K를 의무화했다”면서 그만큼 개인정보 보호에 신경 쓰고 있다고 강조했다.

오픈넷은 해당 기술의 재식별 가능성도 중요한 이슈지만, “개인정보처리자 입장에서 특정 기술을 이용한 비식별 조치만을 취하면 개인정보가 아닌 것으로 추정되는 것인 양 오독할 여지가 큰 가이드라인 규정의 모호성이 가장 큰 문제”^[8]라고 지적한다.

5. 적정성 평가단: 고양이에 생선가게 맡기기? 

가이드라인은 분야별 전문기관을 두고, 이 전문기관이 비식별 조치의 적정성을 평가하게 한다. 그런데 이 적정성 평가 기관에 ‘한국신용정보원’과 같은 빅데이터 산업과 이해가 직결한 이익단체가 속해 있어 문제다. ‘고양이에게 어물전을 맡기는 꼴’이라는 비판이 나오는 이유다.

연구소는 이들 기관이 “공정성을 기대하기도 어렵고, 혼란만 야기할 것”이라면서 특히 분야별 전문기관 중에는 “특히 사업자들 모임인 한국신용정보원이 포함”돼 있고, 금융보안원, 사회보장정보원, 한국정보화진흥원 등은 “성과 위주의 조직”임을 지적한다.

특히, 한국신용정보원은 금융업계 모든 고객의 신용정보를 통합해서 관리하는 기관(세계 최초)으로 여기엔 이들은 빅데이터 활용에 가장 큰 이해관계를 가진 다음 ‘이익단체’들이 참여한다. 더불어 이들 협회 소속 기업에서 그동안 각종 개인정보 유출 사고가 연례행사처럼 이어져 왔던 건 주지의 사실이다.

• 은행연합회
• 금융투자협회
• 여신금융협회
• 생명보험협회
• 손해보험협회 등

빅데이터 산업에 직접적인 이해관계를 가진 ‘이익단체’가 적정성 평가를 한다?

이에 대해 행자부는 연구소 측에서 특히 문제 삼은 ‘한국신용정보원’은 “우리가 지정한 게 아니라 금융위원회가 지정한 것”이라면서, “분야별로 소관 부처에서 관련 기업을 지원할 수 있는 기관을 지정한 것”이라고 우회적으로 답변했다.

이 문제 관해 오픈넷은 “전문기관 자체가 법률에 근거가 없”고, “정보주체들로부터 개인정보의 처리 권한에 대한 동의를 받지 않”았으므로, “사업자 모임 여부와 상관없이 부적절하다”고 답했다.

6. 입증책임 문제 

가령, A라는 기업이 철수와 영희의 신용카드 구매 정보를 ‘비식별 처리’해서 B라는 기업에 팔았다고 가정해보자. 이때 비식별 처리가 제대로 이뤄졌다는 ‘입증’ 책임은 누가 질까? 철수와 영희일까? 아니면 A와 B라는 기업일까?

연구소는 가이드라인이 “비식별 조치가 적정하다는 평가를 받으면 해당 정보는 개인정보가 아닌 것으로 추정”된다고 규정하므로, 해당 정보를 어떤 개인이 “개인정보라고 주장하려면 개인정보 주체가 이를 입증해야 한다”고 해석한다.

이에 대해 행자부는 연구소 측 주장은 “근거 없는 주장”이라면서, “가이드라인에는 그런 내용이 없”으며, “당연히 비식별 조치를 한 측에서 (비식별 조치의 정당성과 적정성을) 입증해야 한다”고 말한다.

개인정보 비식별 조치 가이드라인 (국무조정실, 행정자치부, 방송통신위원회, 금융위원회, 미래창조과학부, 보건복지부, 2016. 6) 중에서

입증책임 논란에 대해 오픈넷은 법원에 까지 가는 사안이 생기면, 법률에 근거가 있는 것은 아니지만  “가이드라인이 ‘추정한다’고 하니 반증이 없는 한 개인정보가 아닌 것으로 판단”될 가능성이 높다고 연구소 측에선 해석한 것이고, 행자부 쪽에선 원칙적으로 법원이 가이드라인에 구속되지 않으니 “각자도생’해야 한다는 식으로 답변”한 것으로 보인다면서, “가이드라인에 법적 근거가 없는 이상 개인정보처리자인 기업들 역시 가이드라인에 따라 비식별조치된 정보를 섣불리 수집 목적 외로 이용하거나 제3자 제공에 나서지는 않을 것”이라는 게 현 시점에서 가이드라인의 위치라고 답했다.

‘비식별 처리’ 문제로 ‘분쟁’이 생겨 법원에 가는 일이 생기면, 기업과 일반 시민 중에서 누가 입증책임을 질까?

연구소 측에 행자부 답변 내용을 전하자, 연구소 측에선 “가이드라인이 입증책임과 관련 없다면, 가이드라인(의 해당 문구)은 존재할 필요가 없다”면서, “가이드라인의 논리 체계에 반하는 해석을 주무 공무원이 공식적으로 답하는 것은 아주 무책임하다”고 논평했다. 더불어 가이드라인에 참여한 행정부처들을 고려하면 현실적으로 “어떤 개인이 ‘재식별화가 제대로 되지 않았다고 신고했을 때, 경찰이 어떤 기준을 따르겠는가?”라고 반문하면서, “경찰 수사에 있어서 가이드라인은 실질적인 수사 기준이 될 것”이라고 전망했다.

생각건대, 행자부의 답변은 궤변이다. 연구소나 오픈넷의 지적처럼, 가이드라인를 준수한 기업조차 다시 재판에서 ‘입증책임’의 부담을 져야 한다면 가이드라인의 존재 근거가 없고, 기업은 가이드라인을 따를 이유도 없다. 반면에 그렇다고 입증책임을 개인에게 지운다면 이는 더 큰 문제다. 가이드라인의 딜레마인 셈이다.

7. ‘결합지원’ 문제 

가이드라인은 각각 비식별 조치를 한 개인에 관한 별개 정보집합물을 전문기관에서 개인별로 결합시켜 주겠다고 한다. 예를 들면, 비식별 조치를 한 통신사 고객정보와 비식별 조치를 한 신용카드사 고객의 신용카드 사용정보를 전문기관에 보내주면 각 개별로 결합시켜 결합정보를 제공하겠다는 것이다.

예를 들어 가이드라인은 00홈쇼핑의 고객정보와 xx카드사의 구매금액 상위 10% 고객의 구매 내역 정보를 결합하여 xx카드사의 구매금액 상위 10% 고객 중 00홈쇼핑 고객을 골라 내서 구매내역을 분석할 수 있다고 한다. 이것은 홈쇼핑과 카드사가 고객의 동의도 받지 않고, 카드 구매내역을 분석하도록 허용하는 것과 같은 결과를 초래한다.

특히 결합은 산부인과나 산후조리원, 초등학생이나 유아 등 민감한 정보에도 무방비다. 이런 식이면 산부인과나 산후조리원은 환자나 산모의 동의도 받지 않고 임신, 출산한 고객 중 월 500만 원 이상 신용카드를 이용한 고객의 구매내역을 분석할 수도 있고, 초등학생 대상 학원에서는 초등학생이나 부모의 동의를 받지 않고도 통신사로부터 초등학생의 이동경로를 분석할 수도 있게 된다. 당사자는 이런 정보 결합에 대해 알지도 못하고, 반대할 기회도 갖지 못한다. (연구소 발제문 참조)

연구소는 비식별 조치를 했지만, 개인을 결합할 수 있다는 것은 “비식별 조치를 한 정보가 익명정보가 아니라는 것을 반증”하는 것이라면서 “만약 개인을 식별할 수 없도록 익명정보로 만들었다면 익명정보가 누구의 정보인지를 알 수 없는 것이기 때문에 다른 정보와 결합하는 것은 불가능하다”하다고 지적한다.

결합지원 이슈에 대해 행자부는 “리스크를 최소화하면서 나름으로 안을 짰는데, 결과적으로 유럽과 유사”하게 됐다면서 “신뢰할 수 있는 제3기관을 통해서 지원”하는 것이라고 답했다.

오픈넷은 “법률적 근거가 없는 전문기관에 의한 결합지원 역시 개인정보 자기 결정권을 침해”할 수 있다고 지적했다.

비식별 조치된 정보의 ‘결합지원’ 문제 역시 가이드라인이 다루는 중요한 문제 중 하나다.

왜 가이드라인가, 누구를 위한 가이드라인가 

행자부는 가이드라인의 법정 성질을 (개인정보보호법에 관한) “유권해석집”이라고 말한다. 그런데 왜 법을 개정하지 않고, 가이드라인으로 만들었을까? 행자부는 “법 개정은 오히려 업계에서 하는 주장”이라면서, “일본법은 개정안이 통과돼서 내년부터 시행될 예정”이라며 “(일본은) 법에서 규정한 안전조치(비식별 조치)를 준수하면, 기업의 책임이 면제”되므로, 우리나라 “업계에서도 법 개정을 원한다”고 말한다.

하지만 연구소 측은 “법률 개정이 필요한 사항을 가이드라인으로 만드는 것은 입법권을 무시하는 처사”라면서 가이드라인은 “상당한 재식별 가능성이 있어도 이를 무시하고 개인정보보호법의 적용을 배제”하고 있으므로, “즉각 폐기해야” 한다고 주장한다.

말도 많고, 탈도 많은 가이드라인, 과연 누구를 위한 것일까?

기업의 선의를 믿는다면, 기업은 더 좋은 서비스를 위해 비식별화한 정보를 활용할 것이고, 이는 서비스를 향유하고 소비하는 이용자에게도 좋은 일이다. 그리고 기업이 자신의 이익을 극대화하기 위해 재식별화하려는 욕망을 표출할 수밖에 없다는 견해도 부정적인 선입견일 수 있다.

하지만 인간은 과거에 있었던 행위를 회고하고, 성찰함으로써 미래를 전망한다. 기업의 개인정보 유출 사고뿐만 아니라 기업의 개인정보 ‘매매 사건’(홈플러스 사건), 거기에 더해 이런 개인정보 관련 사건 사고를 처리하는 국가권력(검찰)과 이를 최종적으로 판단하는 법원의 개인정보에 관한 인권 감수성(홈플러스 무죄 선고)을 떠올리면 개인정보의 주체, 그러니 평범한 시민이 기업의 선의, 관리자이자 감시자로서의 국가, 공정한 심판관으로서의 법원을 손쉽게 믿어주기 어려운 것 역시 사실이다.

홈플러스가 법을 위반해 번 돈은 4년간 약 232억 원. 2015년 4월 27일 공정위가 부과한 과징금은 4억3,500만 원. 그리고 법원에서는 무죄. 홈플러스 사건은 기업이 개인정보를 다루는 관점과 방식, 국가기관의 관리감독 능력, 그리고 공정한 심판자로서의 법원의 판단, 이 모두가 여전히 신뢰를 보내기에는 부족하다는 사실을 여실히 드러낸 사건이다.

여기서 하나 더 질문해보자. 가이드라인이 아니면 정말 기업이 빅데이터 산업 분야에 제대로 뛰어들 수 없는 걸까. 우리나라 개인정보 보호법제는 빅데이터 산업 육성에 방해 요소일까. 이미 개인정보보호법^[9]은 “통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우” 동의 없이 새로운 목적으로 이용하거나 제3자에게 제공할 수 있다고 규정한다. 빅데이터는 바로 통계를 목적으로 삼고 있지 않나.

연구소는 “현재의 개인정보 보호법제는 빅데이터 활용에 장애 요소가 아니”라고 말하면서, 우리나라 공공 부문에서 발주하는 사업을 분석해 보더라도 공공 부문 빅데이터 활성화를 위해서는 “개인정보를 익명화하여 처리하거나 동의받는 것을 기초로 하더라도 충분하며, 비식별정보 동의 면제가 있어야만 빅데이터를 활용할 수 있다는 근거를 찾기 어렵다”고 주장한다.^[10]

빅데이터와 개인정보의 문제는 기본적으로 정보 처리 주체와 관리감독 기관에 대한 신뢰의 문제다. (출처: Julien Belli, CC BY)

그렇다면 가이드라인을 둘러싼 이 온갖 논란에 관한 해법은 무엇일까. 명확한 현실 인식은 그 해법을 마련하는 초석이다. 오픈넷의 답변으로 결론을 대신한다.

가이드라인 제정이 지나치게 급한 호흡으로 이루어졌다. 특히 시민사회의 의견 수렴이 매우 형식적으로 이루어졌다. 즉 가이드라인은 빅데이터 산업 진흥이라는 버즈워드(buzz word)에 천착한 것이라고 본다. 그리고 가이드라인 상 비식별 조치에 의한 “동의” 면제 시도는 개인정보 자기 결정권을 무력화할 우려가 크다.

정보주체의 동의 없이는 원칙적으로 개인정보를 수집하거나 이용할 수 없다는 “동의” 제도는 개인정보 자기결정권을 실질적으로 구현하는 방법으로 현재 개인정보 보호 법제에서 핵심적인 위치를 차지하고 있기 때문이다. 가이드라인의 뼈대라 할 수 있는 “비식별조치에 의한 동의 면제”는 개인정보 자기결정권의 핵심을 이루는 “동의” 제도를 무력화하는 것으로 이는 법률 개정으로 다루어야 할 문제이다.

특히 가이드라인에 따른 비식별 조치를 거쳤다고 하더라도 개인정보 재식별 위험성은 주민등록번호 제도 및 인터넷 상 본인확인을 강요하는 수많은 법률에 의해 그 어느 나라보다도 크다. 특히 본인확인기관으로 지정된 이동통신사는 식별 가능성이 가장 크다.

오히려 사물인터넷과 빅데이터 시대에 동의에 기반한 개인정보보호가 불충분하다. 어떻게 개인정보 자기 결정권을 보장할 수 있을 것인가에 대한 발전적 논의가 필요한 시점이라고 할 수 있다. 더불어 법적 근거 없는 전문기관의 운영은 매우 위험한 발상이며 개인정보보호위원회의 개인정보보호 콘트롤 타워로서의 기능 확립 필요하다.

우리나라의 주민등록제도는 특히 재식별화의 치명적인 위험 요소다. 왜냐하면, 주민등록번호가 모든 자물쇠를 여는 ‘만능열쇠’ 역할을 할 수 있기 때문이다.

——————————————-

[1] 이은우, 마케팅 활용 목적 빅데이터 활용과 판매: 개인정보 플랫폼 기업의 탐욕과 비식별화 조치 가이드라인 (빅데이터 시대 개인정보 보호를 위한 정책토론회, 2016. 9. 7. 국회의원회관 제9간단회의실) 별도 인터뷰 인용이 아닌 문단에는 문단이 끝나는 위치에 괄호( )로 해당 발제문의 페이지 수를 표시했음.

[2] 다만, 빅데이터는 통상적으로 사용되는 데이터 수집, 관리 및 처리 소프트웨어의 수용 한계를 넘어서는 크기의 정보라고 정의되며, 데이터의 양(volume), 데이터 입출력 속도(velocity), 데이터 종류의 다양성(variety)데이터의 양(volume), 입출력 속도(velocity), 종류의 다양성(variety)이라는 세 개의 차원에서 분석할 수 있다(가트너 보고서). 이를 빅데이터의 3V라고 하는데, 3V가 커질수록 그 데이터의 산업적 가치는 높아지지만, 이에 비례하여 개인정보의 유출 위험성이나 개인정보 자기결정권이 침해될 가능성도 커진다.

[3] 현 가이드라인이 기존에 행자부, 미래부, 방통위에 존재했던 개별안들이 ‘비식별’ 기술를 소개하고, 안내하는 수준이었다면, 검증절차와 보호조치에 관한 내용을 보완하면서 기존 개별안들을 통합한 것이다.

[4] 개인이 더는 식별될 가능성이 없다면(“no longer possible”) 개인정보로 보지 않는다고 규정한다.

[5] 그러면서 미국은 ‘개인정보’라는 개념 대신 ‘개인식별가능정보’(personally identifiable information)라는 개념이 법령에 정의되어 제한적인 보호 대상이 되고 있다고 더불어 언급하는데, 미국은 우리나라의 개인정보보호법제와 다르기 때문에 미국에서 개인정보호보규범이 적용되지 않는 범위를 규정한 비식별화(‘de-identification’) 규정이나, 그에 따른 비식별화(‘de-identification’) 가이드라인을 법제가 다른 우리나라 개인정보보호법에서는 그대로 적용할 수 없는 규정이라고 설명한다.

[6] 참고로, 현행 개보법에는 ‘비식별 조치’라는 용어나 표현은 없다. 다만 법(제18조 제2항 제4호)에서는 개인정보처리자 동의 없이 수집 목적 외로 이용하거나 제3자 제공이 가능한 예외로 “통계작성이나 학술연구 등의 목적으로 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공할 수 있다.” 고 규정하는데, 이 규정에서 개인정보를 “특정 개인을 알아볼 수 없는 형태”로 변환하면 제한적 목적(통계작성이나 학술연구 등)이긴 하나 동의 없는 이용이나 제공이 가능하므로 이를 ‘비식별 조치’ 혹은 ‘익명화’를 간접적으로 언급한 규정이라고 할 수 있다.

[7] 가이드라인이 창설한 비식별화(비식별 조치) 개념은 재식별화하여 개인정보로 인정될 위험성이 상존해 있는 상태를 의미하며, 만약 비식별화를 거쳐 동의 없이 이용, 제공한 경우 식별 여부에 대한 사법적 판단에 따라 특정 시점에서는 개인정보보호법을 위반할 우려가 있는 법적으로 매우 불안정한 상태를 의미한다.(오픈넷)

[8] 물론 가이드라인에서는 특정 기술조치 여부뿐 아니라 종합적 관점에서 판단한다고 이야기하고 있긴 하다.

[9] 제18조 제2항 제4호

[10] 유럽연합은 우리 법제보다 빅데이트 활용과 관련하여 프로파일링에 대한 규율을 신설, 보완하고, 동의에 대한 규정, 투명성에 대한 규정 등과 관련하여 개인정보주체의 권리를 강화하는 방향으로 법률을 개정하고 있다. 그런데 유럽에서 개인정보보호법제 때문에 빅데이터 활용에 제약이 있다는 움직임을 보이지는 않는다. 기업이 재식별화할 의사가 없더라도 재식별화할 가능성이 있다는 것이 문제고, 비식별화한 정보가 다른 업체에 매매됐을 때 다른 정보와 결합해서 손쉽게 재식별화된다는 것이 문제다. 이는 MIT 미디어랩의 연구를 통해서도 실증됐다. 가령 카드사의 구매 정보를 비식별화해서 이 정보를 이통사(이동정보)에 넘겼다면, 두 가지 정보가 결합되면 누가 어디서 어떤 물건을 구매했는지 알게 된다. 재식별화 의지가 없다라도 자동적으로 재식별화된다. 재식별화하면 훨씬 더 가치 있는 정보가 되는데 기업에서 안 할 이유가 있겠나. 더불어 재식별화 의지가 없더라도 해당 정보가 유출되어 악용될 가능성이 상존하니 그것도 문제다. (연구소)

* 위 글은 슬로우뉴스에 동시 게재하고 있습니다. (2016.10.06.)

2016 인터넷: 위로부터의 억압, 아래로부터의 분출

글 | 오픈넷

지난 11월 프리덤하우스가 조사해 발표한 2016 세계 인터넷 자유 지수(Freedom on the Net)에서 한국은 또다시 ‘부분적 자유’밖에 인정받지 못했다. 더 심각한 것은 자유 지수가 계속 추락하고 있다는 것이다. 박근혜 정부가 시작된 2013년에서 2016년에 이르는 동안 자유 지수는 매년 1~2점씩 꾸준히 추락했다. 국민에게는 자유를 향한 의지와 수단이 존재했으나, 정부가 이를 옭아매고 죄어왔기 때문이다. 걸핏하면 인터넷 게시물을 삭제하고 공직자 비판에 대해 명예훼손으로 처벌하겠다는 협박을 일삼아 왔으니, 놀라운 결과도 아니다.

인터넷상 표현의 자유와 정보 흐름의 자유, 열린 정부와 혁신을 주창해 온 오픈넷은 지난 2016년 인터넷을 달구었던 주요 이슈들을 되돌아보았다. 2016년의 한국 인터넷을 짧게 간추린다면 ‘위로부터의 억압, 아래로부터의 분출’이라고 할 만하다.

정부는 다양한 방식으로 인터넷에 개입하여 국민의 표현을 가로막고 기업의 혁신을 방해했다. 그 와중에도 국민들은 온라인 공간에서 사회적 문제를 고발하고 자신의 의사를 표현하며 정당한 권리를 찾기 위해 애썼다. 그러는 동안 다양한 이슈가 떠올랐다가 사라졌다. 그중 굵직한 이슈를 정리해 본다. ICT 전반이나 기기 관련 이슈는 제외하고 인터넷에만 한정하여 살펴보았다.

7월, 고고도 미사일 방어체계(사드) 도입을 강행하던 정부는 국민은 물론 지역 주민과의 협의도 거치지 않고 일방적으로 설치 지역을 발표하고 밀어붙였다. 사드는 지역 주민의 안전, 더 나아가 한반도 전체의 안정에 영향을 미치는 중요한 일이다. 그런데도 국민을 납득시키거나 설득하는 일이 생략되었다. 사드의 안전성과 그 배치 따른 영향에 대한 논란이 인터넷에서 벌어진 것은 당연한 일이다. 그러나 방송통신심의위원회는 사드의 안전성에 문제를 제기하는 인터넷 게시글들을 ‘사회 혼란 야기’라는 얼토당토않은 이유를 들어 삭제했다. 공적 사안에 대하여 정부 발표와 다른 의견을 제기하면 황당한 딱지를 붙여 억압하는 행태가 재현된 것이다.

이에 앞서 3월에 방송통신심의위원회는 북한의 기술 정보를 전문적으로 다루는 외국 웹사이트 ‘노스코리아테크(northkoreatech.org)’를 접속 차단했다. 북한 관련 웹사이트를 차단하는 일은 늘 있는 것이지만, 이 웹사이트는 영국 언론인이 운영하는 객관적인 사이트라는 점에서 논란을 일으켰다. 북한에 비판적인 정보도 실리고 한국의 보수 언론도 자주 인용하는 사이트였던 것이다. 따라서 북한 관련 정보는 어떤 것이라도 정부만이 독점하고 정부가 공개하는 것만 듣고 보아야 한다는 시대착오적 의지의 표현이라는 평가를 받았다. 노스코리아테크 운영자 마틴 윌리엄스는 “북한이 외국으로부터 오는 정보를 철저히 차단하는 폐쇄 국가여서 흥미를 느껴 웹사이트를 시작했는데, 그런 웹사이트가 명색 민주 국가라는 한국에 의해 차단당했다는 것은 아이러니가 아닐 수 없다”라고 말했다.

이른바 인터넷 방송도 방송통신심의위원회의 주요 목표로 떠올랐다. 2월에는 아프리카TV의 BJ 6명에게 이용정지 처분을 내렸으며, 6월에는 인터넷 방송 웹사이트인 ‘썸TV’를 폐쇄했다. 음란물의 유통은 규제돼야겠지만, 일부 UCC 콘텐츠가 음란하다고 하여 사이트 전체를 폐쇄하는 결정을 내린 것은 놀라운 일이었다. 정부는 이후에도 인터넷 방송 서비스를 제공하는 사업자가 이용자의 콘텐츠를 제대로 검열하고 감시하지 못할 때 과태료를 부과하는 방안을 추진하는 등 규제 강화를 모색했다. 이 같은 규제 일변도 정책은 인터넷의 특성을 제대로 이해하지 못한 채 모호한 기준을 들이대어 표현의 자유를 침해하고 인터넷 산업을 위축시킨다는 비판을 받았다.

12월에 네티즌 ‘자로’는 세월호 참사와 관련한 의혹을 오랫동안 조사하고 그 결과를 다큐멘터리 [세월X]로 만들어 인터넷에 공개했다. 세월호의 침몰 경위와 관련하여 정부 발표와 다른 주장을 내놓은 것이다. 동영상이 공개된 지 하루 만에 해군은 ‘잠수함 승조원의 명예훼손을 묵과할 수 없으며, 허위사실 유포에 대해서는 법적 대응 등 강력하게 대응할 것’이라고 일갈했다. 이 글이 발표되는 현재까지 별다른 법적 조치는 나오지 않고 있다.

6월, 남학생들이 참여하는 카카오톡 단체 톡방의 언어 성폭력 발언을 고발하는 대자보가 고려대 교정에 나붙었다. 이를 계기로, 비슷한 일이 다양한 대학 공동체에서 오랫동안 지속되어 왔다는 사실이 드러나 충격을 주었다. 아울러 카카오톡 같은 메신저의 대화방은 공개된 장소인지, 거기서 나온 발언을 처벌할 수 있는지, 어떤 경우에 가능하고 가능하지 않은지에 대해 논란이 벌어졌다. 그러한 질문에 대한 대답과는 별론으로, 이와 같은 언어 성폭력이 경계되어야 한다는 점에 사회적 공감이 형성되었다는 것은 논란의 중요한 성과라 할 만하다.

비슷한 시기에 카카오톡 대화방에서 공유한 웹사이트 링크가 검색에 잡히는 일이 벌어져 쟁점이 되었다. 대화방에서 공유한 정보는 대중 공개되지 않으리라고 믿어온 이용자들에게는 충격적인 일이었다. ‘메신저 망명’ 같은 일은 벌어지지 않았지만, 기업이 이용자의 프라이버시를 존중하는 데 좀 더 민감해질 필요가 있다는 점을 일깨우는 사건이었다.

7월, 게임회사 나이언틱은 증강현실을 이용한 모바일 게임 ‘포켓몬 고’를 출시하여 세계적인 선풍을 일으켰다. 한국도 예외가 아니었으나, 선풍의 내용이 좀 달랐다. 외국에서는 게임을 하는 게 화제였지만, 한국은 게임을 못 하는 게 화제였다. 이것은 게임 가능 지역에서 한국이 제외되었기 때문이다. 지도 정보가 부족하여 게임 서비스를 하지 못한다는 주장도 제기됐으나, 게임사가 한국 출시를 하지 않아서 발생한 일로 정리되었다. 속초 등 동해안 일부 지역에서는 플레이가 가능해, 때아닌 속초행 열풍이 일기도 했다.

6월에는 구글이 정부에 지도 반출을 신청하여 뜨거운 논란을 불러일으켰다. 인터넷 서비스를 제대로 하기 위해서 상세 지도를 국외 서버에 저장해야 한다는 것이다. 지금까지 정부는 국가 안보를 내세워 이를 허가하지 않았다. 사실 정부의 안보 명분은 지도 반출 불허의 근거가 되기 어려운 것이었으나, ‘구글이 국민 세금으로 만든 지도를 공짜로 반출하면 적에게 국가 기밀을 누설하게 된다’는 주장이 나돌면서 부정적인 여론이 형성됐다. 게다가 구글의 서버 존치 문제, 세금 납부 문제까지 한꺼번에 떠올랐다. 찬반 여론 사이에서 저울질하던 정부는 쉽게 결정을 내리지 못하고 한 차례 연기한 끝에 11월에 반출을 허가하지 않는 것으로 최종 결론을 내렸다.

5월, 서울 지하철 강남역 부근에서 한 여성이 이유도 없이 살해되었다. 이 사건은 한국 사회에 단단하게 고착되어 있던 여성 혐오와 차별 문제를 일거에 드러내는 기폭제가 되었다. SNS를 중심으로 한 인터넷 공간은 성 차별과 성폭행을 고발하는 광장이 되었다. 그동안 학계, 예술계, 문학계, 출판계 등에서 벌어져 온 성폭행이 ‘#OO_내_성폭행’이라는 해시태그를 달고 줄줄이 공개되고 공유되었다. 유명인들의 이름이 연달아 나왔다. 성 범죄가 일상화되어 있음을 드러냄과 동시에, 성 권력 관계 때문에 당하고도 침묵해야 했던 일이 인터넷을 통해 고발되고 사회적 각성이 촉구되었다는 점도 뜻깊은 일이었다.

SNS 서비스가 이러한 문제 제기를 잘 포용하는지도 도마 위에 올랐다. 강남역 살인사건이 벌어졌을 때, 그 희생자를 추모하는 글이 페이스북에 의해 삭제되었다. 페이스북의 게시물 규정을 어긴 점이 없는데도, 신고를 받고 그 내용을 검토하거나 작성자에게 소명할 기회를 주지 않았기 때문에 벌어진 일이었다. 페이스북은 신고에 따른 게시물 삭제와 관련하여 공정함을 잃었다는 비판을 받았다. 페이스북의 게시물 삭제 공정성에 대한 논란은 그 밖에도 나라 안팎에서 여러 차례 제기되었다.

1월, 서울중앙지방법원은 납득하기 어려운 판결을 하나 내놨다. 홈플러스가 경품행사 등으로 수집한 고객의 개인정보 2,400만여 건을 보험사에 팔고 거액을 챙긴 데 대해 무죄 판결을 내린 것이다. 재판부는 깨알같이 적어 넣은 단서 조항을 들어 면죄부를 주었다. 8월에 나온 2심 판결도 같았다. 기업이 개인정보를 취득하여 활용하려면 그 목적 등을 명확한 방법으로 알리고 동의를 얻어야 한다. 고객과 시민단체들은 홈플러스의 경품 응모지가 이러한 조건을 제대로 적용하지 않아 고객을 속였다고 주장했으나 법원은 이를 인정하지 않았다.

이 사안은 주로 오프라인 경품 행사가 문제가 된 것이지만, 인터넷 활동이나 사물인터넷(IoT)을 통해 이용자 데이터를 얻어내기가 점점 쉬워지는 상황에서 경계심을 불러일으킨 판결이었다. 정부가 정한 ‘빅데이터 비식별 조치 가이드라인’ 등에서 비식별화를 빌미로 하여 데이터 수집에서 개인 동의를 생략하려는 움직임도 있어서 더욱 주의가 필요하다.

국정원, 경찰청, 검찰청 등 수사기관이 이동통신사를 통해서 국민의 개인정보인 휴대전화 통신자료를 영장도 없이 마구 퍼가고 있다는 것은 이제 비밀도 아니다. 그 수치가 전화번호 기준으로 한 해 1천만 건을 넘는다. 개인을 특정하는 중요한 정보는 이제 공공재가 되어버린 꼴이나 마찬가지인 셈이다.

3월에는 이러한 통신자료 캐가기가 수사와 직접 상관이 없는 것처럼 보이는 사람들에게까지 마구 적용되었다는 의혹이 불거졌다. 기자, 정당인, 활동가들처럼 타인과의 통신 내용이 매우 중요한 비밀이 될 수 있는 사람들도 다수 포함되었다. 수사 편의만을 내세운 마구잡이식 개인정보 침해에 대해 언론과 사회단체들이 꾸준하고도 강력하게 항의하고 있지만, 정부는 막무가내요 요지부동이다.

한편 긍정적인 판결도 나왔다. 인터넷 매체의 등록 요건을 강화하려 한 데 대해 헌법재판소가 제동을 건 것이다. 11월에 헌법재판소는, 인터넷신문의 직원을 5명 이상으로 한정하고 이들의 고용 증명을 제출해야만 등록이 가능하도록 한 신문법 개정안이 위헌이라는 결정을 내렸다. 헌재는 이러한 조건을 부과할 경우 소규모 인터넷신문이 언론으로서 활동할 수 있는 기회 자체를 원천적으로 봉쇄할 수 있다고 보았다. 인터넷 매체들은 등록 요건을 강화하려는 정부의 의도가 사이비 언론 추방보다는 인터넷 언론 규제에 있음을 의심해 왔다. 헌재의 결정에 따라, 인터넷 매체 수천여 개가 문을 닫는 사태를 피할 수 있었다.

인터넷 자유 지수를 집계한 프리덤하우스는 홈페이지에 이렇게 쓰고 있다.

“인터넷은 대중이 자신을 표현하고 서로의 생각을 주고받을 수 있는 매우 중요한 공간이다. 민주주의 지지자나 인권 활동가들이 정치적, 사회적, 경제적 개혁을 조직하고 추진하는 수단으로서도 갈수록 중요해지고 있다. 새로운 기술이 촉발하는 힘을 두려워하는 권위적인 정부들은, 명백하거나 숨겨진 방법을 동원하여 인터넷을 검열하고 감시하고 방해하며 인터넷의 개방성을 변질시킨다. 심지어 적지 않은 민주 국가들도 뉴 미디어로 인해 야기된 법적, 경제적, 보안적인 잠재적 문제에 대응하기 위해 다양한 제약을 가하거나 그런 일을 고려하고 있다.”

자유롭고 혁신적인 세상을 지향하는 인터넷과 이를 규제하려는 정부 간의 길항 작용은 2017년에도 그치지 않을 것이다. 게다가 빅데이터나 제로레이팅 같은 까다로운 이슈들이 끊임없이 등장한다. 인터넷이 나아갈 길은 새해에도 쉽지 않다. 다만 인터넷과 기술 혁신, 그로 인한 정치적, 사회적, 경제적 가치를 인식하는 정부가 존재한다면 상황은 조금 더 편안해질 것이다.

인터넷에서 다양한 사회적 논쟁거리가 만들어지고 논의되는 일도 계속될 것이다. 이것은 바람직한 일이기도 하다. 당장은 그 모양이 투박하거나 낯설더라도, 그러한 논란은 없는 편보다 있는 편이 훨씬 낫다. 그런 논란 속에서 우리는 공동 학습할 기회를 얻고, 이를 통해 조금씩 성장해 나갈 수 있기 때문이다. 강정수 메디아티 대표는 11월 8일 ‘혐오표현과 인터넷 공론장’을 주제로 하여 열린 ‘오픈넷 토크’에서 “인터넷은 여전히 청소년기에 있다”라고 평가했다. 비슷한 맥락에서 나온 진단이라고 볼 수 있다. 하나만 덧붙인다면, 인터넷과 이용자들이 그렇게 학습하고 성장하도록 그냥 좀 내버려 뒀으면 하는 것이다.

* 위 글은 슬로우뉴스에 게재했습니다. (2016.01.04.)

나머지 보기

시민사회단체, 17개 광역시도지사에게 규제프리존법 공개질의서 발송

나머지 보기

[소비자 개인정보 보호를 위한 시민사회 공동 기자간담회 개최