유럽연합은 개인정보보호규정(General Data Protection Regulation)을 제정하여일반적인 개인정보, 가명정보, 익명정보라는 개념을 사용하여 개인정보를 보호하면서도 기술 발전을 위하여 개인정보를 활용할 수 있는 규범을 마련하고 있습니다. 우리나라의 개인정보 비식별조치 가이드라인도 이러한 기술개발을 위한 정부의 노력이나 입법의 미비로 제대로 활용되지 못하는 것 같습니다.
(1) 익명정보
GDPR에서 익명정보는 i) 식별되거나 식별될 수 있는 자연인과 관계되지 않는 정보, 또는 ii) 개인정보 주체가 식별되지 않거나 더 이상 식별되지 않도록 익명화된 정보로서, 익명정보에 대해서는 GDPR의 개인정보 보호규범이 적용되지 않습니다.
(2) 가명정보
GDPR에서 가명정보는 i) 개인정보에 추가적인 정보를 사용하지 않고서는 개인정보주체를 특정할 수 없도록 그 개인정보를 처리하고, ii) 개인정보가 식별되거나 식별될 수 있는 개인을 특정하지 않도록 그 추가적인 정보를 별도로 보관하고 기술적, 관리적 안전조치를 취한 것으로 정의하고 있습니다.
가명처리된 정보는 여전히 식별가능한 개인정보로서 개인정보 규범에 따라 보호받을 수 있습니다. 그러나 가명처리된 정보는 보호조치가 적용되고 별도 보관되므로개인정보 침해 위험을 감소시키고 개인정보 통제자가 일정한 범위에서 활용하는 것이 허용될 수 있습니다. 여기서 가명정보는 빅데이터 활용 등 개인정보 활용 측면에서 익명정보보다 더 가치가 있습니다.
GDPR은 가명화 보호조치를 하는 경우에 개인정보의 수집시 목적과 다른 목적을 위한 가명정보 이용에 보다 많은 재량을 허용하고 있습니다. 또한 공익목적을 위한 기록보존, 과학, 역사 연구 목적, 통계 목적을 위하여 개인정보를 처리하더라도 수집목적과 불일치 하지 않는 것으로 간주합니다. 가명화 보호조치는 개인정보보호를위한 기술적 관리적 조치의 하나로써 개인정보를 보호하는 핵심적인 구성요소이고, 개인정보 이용 시스템을 처음 설계하는 단계부터 시스템이 작동할 때까지의 전 과정을 통하여 개인정보 보호가 고려되도록 합니다. 또한 가명화 조치는 개인정보 데이터에 대한 기술적, 관리적 조치의 하나의 수단으로 활용될 수 있습니다.
3) 개인정보 비식별 조치 가이드라인
우리나라도 개인정보를 보호와 활용을 위하여 ‘개인정보 비식별 조치 가이드라인’을발표하고 비식별 조치를 취한 정보를 개인정보가 아닌 것으로 추정하여 이용 및 제3자 제공을 허용함으로써 빅데이터 분석 등을 활성화시키고자 하고 있습니다.
다만, 개인정보 통제자 또는 이용자는 비식별화 조치를 하더라도 특정 개인을 알아볼 수 있는 가능성이 여전히 존재하고 개인정보 보호법령에 의한 규제 가능성이 상존하므로 개인정보 이용자들은 개인정보로써 보호하고 개인정보주체의 동의를 받아야 하는 점은 주의하여야 합니다.
정회목 변호사
댓글 없음:
댓글 쓰기