비식별화 정보, 개인 동의 없이 빅데이터로 활용할 수 있나? 

[보안뉴스 김경애] 특정 개인을 식별하지 않는 비식별화 정보를 두고 개인의 동의 없이 금융사가 빅데이터를 활용할 수 있다는 의견과 개인정보보호를 위해 이를 반대하는 의견이 충돌하면서 논란이 일고 있다. 금융권은 금융산업과 핀테크 활성화를 위해 비식별화 정보를 빅데이터 활용하도록 규제 완화를 요구하는 실정이며, 시민단체를 비롯한 일각에서는 개인정보를 보호하기 위한 조치 마련이 우선이라는 의견이 대립하고 있는 실정이다.

‘개인정보 비식별화에 대한 적정성 자율평가 안내서’에 따르면 비식별화는 정보의 일부 또는 전부를 삭제·대체하거나 다른 정보와 쉽게 결합하지 못하도록 해 특정 개인을 알아볼 수 없도록 하는 일련의 조치라고 표기돼 있다.

빅데이터 활용 제약 요인이 금융권 발목

그러나 금융권의 경우 과도한 규제가 빅데이터 활용에 제약이 되고 있다는 입장이다. 외국의 경우 빅데이터 활용이 하나의 산업군으로 연결되고 있어 새로운 경제의 성장동력으로 자리매김하고 있다. BOA은행의 경우 SNS 등을 통한 마케팅을 통해 고객유치·수익률을 제고하고 있으며, 시티은행의 경우 빅데이터 분석을 통해 대출심사의 정확도를 높이고 있다. 프로그레시브(Progressive) 보험사의 경우 자동차 운행기록정보를 통해 보험 재가입 여부를 결정하고, MetroMile의 경우 날씨 데이터에 기반해 농작물 보험을 판매한다. 이 뿐만 아니다. 비자카드의 경우도 리얼타임 메시징으로 타깃 마케팅을 실시하고, JCB카드사는 가맹점, 구매패턴 등을 분석해 실시간 할인쿠폰을 발행한다.

하지만 국내 금융권의 빅데이터 활용수준은 외국에 비해 초기단계이며, 빅데이터 활용 폭이 한정적이라는 게 금융당국의 설명이다. 게다가 외국은 빅데이터가 수익모델로 연결되고 있는 반면, 국내는 그렇지 못하다는 것이다.  

핀테크의 경우도 마찬가지다. 빅데이터 활용을 통해 금융서비스를 제공하는 사례가 증가하고 있지만, 국내는 핀테크 활성화에 있어 빅데이터 활용이 중요한 관건임에도 불구하고, 제대로 활용되지 못하고 있다는 지적이다.

금융위, 빅데이터 활성화 위해 규제 완화

이에 금융위는 지난 3일 ‘금융권 빅데이터 활성화 방안’으로 △법령상 제약요건 해소 △빅데이터 활성화 인프라 구축 △비식별화 지침 마련을 제시한 바 있다.

법령상 제약요건 해소의 경우 신용정보 범위를 명확히 하겠다는 방침이다. 금융위는 현행 개인정보보호법상에서 개인정보는 동의 받은 목적으로만 활용해야 하나, 비식별화시 동의 목적외 이용이 가능하다고 해석하고 있다. 그러나 신용정보법은 신용정보는 동의 받은 목적으로만 활용하도록 하고 있고, 개인정보보호법과 같은 예외 규정을 두지 않고 있다는 것이다.  

이에 금융위는 개인정보보호법에 따라 비식별화할 경우 동의 목적외 이용이 가능하다는 유권해석을 내놓으며, 신용정보법 시행령을 시행일인 오는 9월 12일까지 개정하겠다고 밝혔다.

이어 빅데이터 활성화 인프라 구축의 경우 신용정보법 개정으로 기존 은행연합회, 생명·손해보험협회, 금투협회, 여신협회 등의 신용정보집중기관이 종합신용정보집중기관으로 오는 2016년 3월까지 통합될 예정이다. 신용정보집중기관은 금융권, 핀테크 기업 등의 빅데이터 업무 활용을 지원하는 역할을 수행할 계획이다.

비식별화 지침 마련의 경우 금융회사에서 비식별화 방식 등을 구체적으로 명시해 줄 것을 요청해 오는 9월까지 금융권 공동으로 비식별화 지침을 마련하고 시행한다는 방침이다.

비식별화, 프라이버시 침해 우려 목소리도
하지만 신용정보법 개정을 두고 우려하는 목소리도 적지 않다. 이는 전 세계적으로 빅데이터 산업이 개인정보보호에 미칠 영향을 둘러싼 논의가 이루어지고 있는 데다가 국내의 경우 잇따른 개인정보 유출사고로 개인정보보호 토대가 아직까지 취약하다는 우려에 따른 것이다.  

이와 관련 경실련 소비자정의센터와 진보네트워크센터 측은 “비식별화 개념을 바탕으로 정보주체의 동의 없이 기업의 개인정보 처리 규범을 완화하는 것에 반대한다”며 “이는 개인정보보호 규범을 우회하거나 약화시키겠다는 것으로, 빅데이터 산업 활성화의 명분으로 국민 기본권에 중대한 제한을 가져올 것”이라고 지적했다.

특히, 성급한 입법 보단 빅데이터 시대에 예상되는 기업의 무분별한 개인정보 처리로부터 소비자의 개인정보를 보호하기 위해 프로파일링을 규제하는 등 개인정보를 보호하기 위한 조치 마련에 우선적으로 나서야 한다는 게 이들의 주장이다.

이러한 우려에 금융위 관계자는 9일 “정보보호는 신용정보법, 개인정보보호법, 정통망법을 전제로 보호대상을 규정하고 있다”며 “비식별화의 경우 식별성 정보와 동일하지 않고, 기술적인 부분도 있기 때문에 세부 지침은 금융권을 비롯해 실제 빅데이터를 활용할 실무담당자, 정보보호담당자, 금보원 관계자, 빅데이터 전문가 등 각 분야 전문가들과 모여서 논의 중에 있다”고 말했다. 현재로써는 비식별 정보의 기준에 대해 명확히 구분 지을 수 없다는 애기다.

이어 그는 “보호와 활용의 측면에서 충돌되고 있다는 시각보단 보호해야 하는 정보와 보호하지 않아도 될 정보를 명확히 구분 짓기 위함”이라며 “큰 틀은 한국정보화진흥원에서 발간한 비식별화 관련 안내서를 참고하면 될 것이다. 오는 9월 발표될 때 세부 지침에 대해서는 충분히 논의할 계획”이라고 밝혔다.
 
비식별화의 정의를 구체화해야

그렇다면 금융위에서는 빅데이터 활용을 위해 어떤 점을 우선 고려해야 할까? 이와 관련 한 개인정보보호 전문가는 “금융위가 발표한 비식별화 정보에 대해 개인의 동의 없이도 처리해도 된다는 의견은 개인정보보호법 18조2항제4호에 따른 통계 및 학술목적 정보활용에 관한 것으로 해석이 엇갈릴 수 있다”며 “이는 금융위 입장에서의 해석이지 통상적인 해석은 아니다”라며 빅데이터 활용 근거 조문이라고 하기엔 명분이 부족하다고 말했다.

이어 그는 “시민단체의 경우 비식별화 개념을 익명화를 기반으로 하고 있다”며 “동의를 받지 않으려면 식별성이 전혀 없어야 하는데 유권해석에는 비식별화만 의미하는 것인지 익명화도 해당하는 것인지 언급하지 않고 있다”고 덧붙였다. 이에 비식별성과 익명성을 명확히 구분해야 한다는 의견을 제시했다.

고려대학교 이경호 교수는 “먼저 식별화와 비식별화의 정의를 구체화해야 한다”며 “현재 비식별화로 되어 있지만 향후 특정한 기간 또는 특정한 방법으로 식별화가 가능하다면 그 경계를 포괄적으로라도 정의해 주는 것이 필요하다”고 말했다.

예를 들어 다른 정보와 쉽게 결합해 개인을 식별할 수 있으면 개인정보인데 ‘쉽게┖라는 표현이 어느 정도 수준을 의미하는지 열거적으로 제시할 필요가 있다는 얘기다. 이를 통해 시장에 가시성을 확보해 줄 수 있다는 것.

이어 비식별화된 정보를 개인정보로 취급할 것인가의 문제는 다른 관점을 추가해 판단해야 한다고 설명한 이경호 교수는 “비식별화 처리자는 식별화 방법을 보유하고 있을 가능성이 높아 쉽게 식별할 수 있다”며 “비식별화 처리자는 개인정보처리자로 포함시키는 것이 바람직하다”고 말했다.

반면 비식별화된 정보를 활용하는 경우는 개인정보처리자로 볼 수 없다며 쉽게 다른 정보와 결합해 식별성을 갖게 되는 경우는 앞서의 논리로 해결이 가능할 것이라고 제시했다.

이어 이경호 교수는 “개인을 식별할 수는 없으나 누군가 식별되지 않은 개인을 특정해 추적할 수 있어야 빅데이터 활용이 의미를 가질 수 있다. 식별성과 함께 정보의 특정성이라는 성질을 포함시키고, 이를 체계적으로 분류한다면 정보의 활용기회를 보다 합리적으로 도출할 수 있을 것”이라고 밝혔다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>