[데이터3법] ⑤'홍길동 010-XXXX' 암호화→제 3의 기업도 활용 가능해진다

[편집자] 딥러닝(Deep Learning)으로 무장한 구글 '알파고'가 이세돌 9단을 누르며 인공지능(AI) 시대의 도래를 알린 지 3년 반이 지났습니다. 알파고 쇼크에 우리 기업과 대학은 앞다퉈 인공지능 투자를 선언했지요. 하지만 국내 법체계는 기업들이 개인정보를 활용하는 것을 제한하고 있습니다. 법 규제에 막혀 야심차게 닻을 올린 인공지능 연구가 속속 중단되고, 인재는 해외로 떠나고 있습니다. 정부와 국회가 뒤늦게 데이터 3법 개정을 추진 중이지만 법안이 1년 째 국회서 낮잠을 자고 있습니다. 국가경쟁력을 갉아먹고 있는 이 답답한 현실을 종합뉴스통신 뉴스핌이 30회 이상 '빅시리즈'로 꼼꼼하게 짚어봅니다.

[서울=뉴스핌] 김선엽 기자 = "개인정보를 가명정보화 해 기업들이 빅데이터 산업에 활용할 수 있도록 풀어주되, 가명정보를 개인정보(실명정보)와 결합하려고 시도하거나 개인정보를 안전하게 관리하지 못 하는 경우 엄격하게 처벌하는 것이 핵심이다" (국회 행정안전위원회 조의섭 수석전문위원)

현재 국회에 발의된 '데이터 3법' 중 가장 기본이 되는 법은 개인정보보호법이다. 인재근 더불어민주당의원이 발의한 개정안 위주로 그 외 법안이 병합 논의되고 있다.

[서울=뉴스핌] 최상수 기자 = 24일 오후 서울 여의도 국회 행정안전위원회에서 행정안전부, 중앙선거관리위원회, 인사혁신처, 경찰청, 소방청에 대한 국정감사가 열리고 있다. 2019.10.24 kilroy023@newspim.com

개정안의 핵심은 '가명정보' 개념의 도입이다. 개인정보 중 성명과 주민번호 등을 암호화 해 식별이 불가능하게 한 정보를 '가명정보'라 한다.

예컨대 우리가 치아보험에 가입할 때 보험사에 제공하는 정보가 성명, 주민번호, 핸드폰 번호, 나이, 성별, 주소, 직업, 보험가입 건수 등이다.

이 중 성명, 주민번호, 핸드폰 번호의 경우 그 정보 만으로도 개인에 대한 식별이 가능하기 때문에 이를 암호화 한 것이 '가명정보'다.

위 그림과 같이 성명과 주민번호를 암호화 해 숫자와 알파벳으로 전환한다. 추가정보, 즉 암호화 키를 모르는 이상 특정 개인을 알아볼 수 없다.

대신 익명의 개인에 대해 나이와 거주지, 직업과 현재 보헙가입 건수 등을 알 수 있기 때문에 이를 근거로 빅데이터 연구에 활용할 수 있다는 점이 현재와 달라지는 점이다.

이렇게 변환된 '가명정보'에 대해서는 당초 수집 목적 범위를 벗어나더라도 상업적 목적의 통계 작성 등에 활용할 수 있다. 또 정보 제공자의 동의가 없더라도 기업 내부에서 공유할 수 있고 전문기관의 승인을 거쳐 제 3자에게 제공할 수도 있다.

현행 개인정보보호법은 개인정보의 목적 외 이용, 제 3자 제공 등에 대해 예외적으로만 허용되고 있다. 이로 인해 산업적 연구라든지 학술 연구에 제약이 발생하고 있는 상황을 고려한 입법 발의다.

이런 점에서 데이터 3법은 빅데이터 산업을 위해 개인정보 활용의 빗장을 상당 부분 풀어주는 조치란 평가를 받는다.

물론 암호화 된다고 해도 개인 입장에서는 '찜찜함'을 씻을 수 없다. 우리나라는 과거 카드사와 인터넷쇼핑몰, 통신사 등이 고객의 개인정보를 고의 또는 과실로 유출해 여러 차례 홍역을 치른 바 있다.

이를 위해 개인정보보호법은 몇 가지 보안장치를 마련해 뒀다.

우선 앞서 언급한 가명정보 처리 과정에서 개인정보처리 기업, 즉 애초에 개인정보를 수집한 기업은 가명정보를 통해 특정 개인을 알아볼 수 없도록 충분한 안전 조치를 취하도록 규정했다.

즉 실명정보와 가명정보를 물리적 또는 기술적으로 별도로 분리해 관리하도록 규정했다. 이를 어길 경우 과태료가 부과된다.

또한 가명정보 처리된 정보에 특정 개인을 알아보기 위한 행위를 할 경우에는 과징금이 부과되고 형사 처벌(5년 이하 징역 또는 5000만원 이하 벌금)도 가능하다.

예컨대 A 보험사 영업 부서가 보험 서비스를 판매하면서 수집한 개인정보를 회사 내 마케팅 연구부서에 전달할 경우에 기업 내부라도 반드시 가명조치가 철저하게 이뤄져야 한다. 연구부서에서 암호화된 개인정보를 해독해서 특정 개인인지를 판별할 수 있으면 안 된다.

또 기업 간 데이터 결합은 국가가 지정한 전문기관에만 권한을 부여했다.

예컨대 SK텔레콤이 보유한 통신료 납입 정보, 단말기 정보 등과 한화생명이 보유한 추정소득금액, 추정 주택 가격, 보험 가입 건수 등을 결합해 두 기업이 공유하기를 원할 수 있다.

이 경우 전문기관의 승인이 우선 필요하다. 또 최종적으로 두 기업에 제공되는 개인정보와 분리된 가명정보 만이다. 따라서 기업들은 결합된 데이터를 봐도 애초에 누구의 것인지 알 수 없다.

개인정보보호법 개정안은 또 개인정보 보호위원회(보호위)를 새롭게 설치하고 위원장을 장관급으로 할 것을 명시했다. 위원 수는 총 7명으로 하되 상임 2명, 비상임 5명이고 대통령이 임명·위촉한다.

현재 행정안전부와 방송통신위원회, 금융위원회 등에 분산된 개인정보 보호 기능은 보호위로 이관돼 일원화 된다.

데이터 경제 활성화와 관련헤 20대 국회에 상정된 개인정보보호법 개정안은 총 20개다. 소관 상임위원회는 행정안전위원회다. 행안위 법안소위는 지금까지 인재근 의원 발의안 등을 3차례에 걸쳐 논의했다. 의원들은 개인정보를 가명정보로 변환해 공유하는 것에 대해 의견 일치를 본 상황이다.

이외에도 국회 정무위원회 법안소위가 신용정보법 개정안을 심의 중이고 과학기술방송통신위원회도 법안소위에서 정보통신망법 개정안을 논의할 예정이다. 3개 개정안은 발의자가 모두 다르지만 행정안전부가 발의한 법안을 민주당 의원이 발의하는 '청부입법'이다.

김선엽 기자 sunup@newspim.com