사회

보다 정의롭고 모두가 행복한 미래사회를 위해 달리는 경실련의 최근 이야기를 한자리에 모았습니다.
빅데이터 및 비식별화 관련 법안에 대한 반대 의견 발표

– ‘비식별화’ 개념을 통해 정보주체의 동의 없이
기업의 개인정보 처리 규범을 완화하는 것에 반대한다 –
1. 창조경제와 빅데이터 산업 활성화를 위해 정부가 행정입법으로 개인정보 보호 규범을 완화하려는 시도를 계속하고 있습니다. 지난해 2014. 12. 23. 방송통신위원회가 행정규칙으로 <빅데이터 개인정보보호 가이드라인>을 발표하였고, 6월 3일 금융위원회는 빅데이터 산업 활성화를 위해 신용정보법 시행령을 개정하겠다고 밝혔습니다. 
2. 이런 행정입법들의 핵심 취지는 ‘비식별화’된 개인정보에 현행 개인정보 보호 규범의 예외를 인정하고 기업으로 하여금 정보주체의 동의 없이 개인정보를 수집 및 처리할 수 있게끔 허용하겠다는 것입니다. 이는 결국 개인정보보호 규범을 우회하거나 약화시키겠다는 것으로서, 빅데이터 산업 활성화의 명분으로 국민의 기본권에 중대한 제한을 가져올 것입니다. 
3. 그런데 ‘비식별화’ 개념은 행정입법에 그치지 않고 국회에 발의되어 있는 일부 법안들에서 법정 개념으로 도입하고 있습니다. 이에 우리 단체들은 각각 강은희 의원, 강길부 의원, 부좌현 의원이 발의한 비식별화 관련 법안에 대한 반대 의견을 발표합니다. 
4. 전 세계적으로 빅데이터 산업이 개인정보 보호에 미칠 영향을 둘러싼 논의가 진지하게 이루어지고 있습니다. 특히 계속된 개인정보 유출 사고로 개인정보 보호 토대가 취약해진 것으로 지적받는 우리나라에서 지금 필요한 것은 성급한 입법이 아닙니다. 정부와 국회는 빅데이터 시대 예상되는 기업의 무분별한 개인정보 처리로부터 소비자의 개인정보를 보호하기 위하여 프로파일링을 규제하는 등 개인정보를 보호하기 위한 조치 마련에 우선적으로 나서야 할 것입니다.
<끝>
                                                                                             
빅데이터 관련 이른바 ‘비식별화’ 입법에 대한 의견서
2015년 6월 8일
경실련 소비자정의센터·진보네트워크센터
1. 빅데이터 산업 활성화를 위해 정부가 행정입법으로 개인정보 보호법의 규범을 완화하려는 시도를 계속하고 있습니다.
정부는 “빅데이터로 창조경제 시동건다”(2013. 4. 21. 미래창조과학부 보도자료)는 기조 하에 빅데이터 산업 활성화를 추진해 왔습니다. 빅데이터 산업 활성화를 위해 방송통신위원회가 추진해온 <빅데이터 개인정보보호 가이드라인>은 대통령 직속 개인정보 보호위원회의 위법성 지적(2014. 7. 30. 의결) 등 논란 끝에 2014. 12. 23. 행정규칙으로 발표되었습니다.
방통위 가이드라인은 그 제목에 ‘개인정보보호’가 포함되어 있음에도 불구하고, 핵심 취지는 ‘비식별화’된 개인정보에 개인정보 보호 규범의 예외를 두는 것에 있습니다. 한국 정부가 창안한 ‘비식별화’라는 개념은, 해외에서 인정되고 있는 ‘익명화’에 비해 그 내용이 모호할 뿐 아니라, 핵심 취지가 기업으로 하여금 정보주체의 동의 없이 개인정보를 수집 및 처리할 수 있게끔 허용하겠다는 것입니다. 이는 결국 현행 개인정보보호 규범을 우회하거나 약화시키겠다는 것으로서, 빅데이터 산업 활성화의 명분으로 국민의 기본권에 중대한 제한을 가져올 것입니다. 
국민들은 계속되는 개인정보 유출 사고(’14 카드3사 1억 4백만 건 유출)와 개인정보 유상판매 사건(’15 고객정보 약 2천4백만 건을 개당 1,980원 혹은 2,800원씩 받고 보험회사들에 유상판매한 혐의로 홈플러스 경영진 형사기소)을 겪으면서 개인정보 보호 문제를 민감하게 인식하고 있습니다. ‘비식별화’ 라는 개념은 국가적인 개인정보 유출 사고 이후 국민 앞에 정부와 국회가 앞 다투어 제시한 개인정보 보호 비전과도 역행하는 것입니다.
그러나 방통위의 가이드라인 발표 이후, 정부 다른 부처에서도 ‘비식별화’ 개념을 무분별하게 도입하고 있어 시민사회로부터 깊은 우려를 사고 있습니다. 특히 지난 6월 3일 금융위원회는 빅데이터 산업 활성화를 위해 신용정보법 시행령을 개정하여 비식별정보를 개인신용정보에서 제외하겠다고 밝혔습니다. 개인정보를 동의받은 목적으로만 이용이 가능하도록 규정하고 있는 개인정보 보호법에도 불구하고, 개인정보를 비식별화할 경우 정보주체가 동의하지 않아도 빅데이터 처리 등에 사용할 수 있도록 허용하겠다는 의미입니다.
2. 현재 ‘비식별화’ 개념은 방송통신위원회의 행정규칙인 <빅데이터 가이드라인>이나 금융위 시행령(예정)에 그치지 않고 다음 법률안에서 법정 개념으로 도입하고 있습니다. 
• 개인정보 보호법 전부개정법률안(강은희의원 대표발의, 의안번호 19-13932)
• 정보통신망 이용촉진 및 정보보호 등에 관한 법률 일부개정법률안(강길부의원 대표발의, 의안번호 19-14200) 
• 개인정보 보호법 일부개정법률안(부좌현의원 대표발의, 의안번호 19-14166)
위 세 개 법안은 모두 빅데이터 산업 활성화 차원에서 정부가 창안한 ‘비식별화’ 개념을 도입하고 있으며, 그 규율 내용도 방통위 가이드라인의 핵심내용과 다르지 않습니다. 상호간의 미세한 차이점에도 불구하고 이 법안들의 공통된 면모는, 현행 개인정보 보호법에서 ‘비식별화’라는 새로운 예외대상을 신설하는 것을 주요골자로 합니다.
먼저, 개인정보 보호법 전부개정법률안(강은희 의원안)의 관련 주요내용은 다음과 같습니다.
• 통계·연구, 시장조사, 마케팅 등의 목적을 위한 경우에는 개인정보 비식별화 조치를 통해 정보주체의 동의 없이 이를 처리할 수 있도록 하고 개인정보 파기 요건 및 이에 관한 예외 사유를 규정하여, 개인정보 처리 과정에서의 유연성을 부여함(안 제39조 및 제40조).
• 안전성 확보에 필요한 보호조치를 하지 아니하여 비식별화 처리한 개인정보를 분실·도난·유출·변조 또는 훼손당한 자는 2년 이하의 징역 또는 1천만원 이하의 벌금에 처함(안 제99조 제4항 제7호)
정보통신망 이용촉진 및 정보보호 등에 관한 법률(강길부 의원안)의 주요내용은 다음과 같습니다.
• “비식별화 방법”을 이용해 빅데이터의 활용을 증진하면서도 개인정보를 안전하게 보호하기 위하여, 정보통신서비스 제공자가 비식별화된 개인정보를 이용하는 과정에서 개인정보가 발생하는 경우에는 이를 파기하거나 다시 비식별화하는 의무를 부과함(안 제24조의3).
• 비식별화의 기술적 기준 및 개인정보의 파기 및 추가적인 비식별화에 관하여 필요한 사항은 대통령령으로 정함(안 동조 제3항)
• 비식별화 개인정보를 이용하는 과정에서 개인정보가 생성되었음에도 불구하고 이를 지체 없이 파기하거나 비식별화하지 아니한 자에게 3천만원 이하의 과태료를 부과함 (안 제76조제1항 제2호의4).
개인정보 보호법 일부개정법률안(부좌현 의원안)의 주요내용은 다음과 같습니다.
• 빅데이터의 분석·활용 과정에서 개인정보가 유출되지 않도록 관련 규정을 마련한다는 취지 속에 개인정보처리자가 통계작성,학술연구,실태조사를 목적으로 개인정보를 처리하거나 이미 공개된 정보를 재가공하는 과정에서 개인정보가 유출되지 아니하도록 개인정보처리자에게 개인정보 비식별화 조치 의무를 부여함(안 제22조의2제1항).
• 그러한 한편으로 개인정보처리자가 개인정보를 비식별화하여 처리하는 경우에는 정보주체의 동의를 받지 아니할 수 있도록 하여 현행 법규범을 완화하고(안 제22조의2제2항).
• 개인정보처리자가 개인정보를 비식별화하여 처리하거나 비식별화된 개인정보를 처리하는 때에는 개인정보가 생성되지 않도록 하고, 이 과정에서 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하도록 하고(안 제22조의2제3항 및 제4항), 안전성 확보에 필요한 보호조치를 하지 아니하여 개인정보를 분실·도난·유출·변조 또는 훼손당한 자는 2년 이하의 징역 또는 1천만원 이하의 벌금에 처함(안 제73조 제1호).
이하에서는 위 법안들과 방통위 가이드라인에 규정된 ‘비식별화’ 개념을 보다 구체적으로 비판합니다.
3. ‘비식별화’ 개념은 개인정보 보호규범을 약화시키기 위해 정부가 창안한 근거없는 명분에 불과합니다.
• 현재 제안된 ‘비식별화’의 개념에 따르면 기업을 비롯한 개인정보 처리자들은 정보주체의 동의를 받지 않고 인터넷에서 개인정보를 수집하고, 저장하고, 분석하고, 심지어 제3자에게 판매하는 것이 가능해집니다. 반면 정보주체는 누가 언제 어떻게 자기의 정보를 수집하고, 분석하고, 조합하여 사고 파는지 알지 못하여 매우 불안한 상황에 처해질 것으로 보입니다. 이는 지금까지의 개인정보 보호 체계가 허물어 지는 것을 의미합니다.

 ◎ 예상되는 상황 (1)

현행 개인정보 보호법에서 규정하고 있는 제한에서 벗어나, 기업은 페이스북, 블로그, 트위터, 홈페이지, 카페, 직거래 사이트 등에 올려진 개인정보를 정보주체에게 동의 받지 않고 전부 수집할 수 있게 된다. 또 수집한 개인정보에 대해 비식별화 처리를 하면 제한없이 저장하고, 조합하고, 분석하고, 가공할 수 있고, 다른 기업에게 돈을 받고 팔거나 마찬가지로 사올 수도 있게 된다.
◎ 예상되는 상황 (2)
현행 개인정보 보호법에서 규정하고 있는 제한에서 벗어나, 기업은 개인의 위치정보(내비게이션 정보 포함), 콘텐츠 이용 내역, TV 시청 정보, 도서 구매 정보, 쇼핑 내역 정보, 카드 사용 정보 등 내밀한 정보도 정보주체의 동의 없이 비식별화한 후 마음대로 조합, 분석, 가공, 판매할 수 있게 된다. 

 ◎ 예상되는 상황 (3)

현행 개인정보 보호법의 보호에서 벗어나, 정보주체는 자신의 개인정보에 대한 통제권을 상실하게 된다. 비식별화한 자신의 개인정보를 어느 기업이 어떻게 가지고 있는지, 누가 누구에게 판매했는지, 비식별화 조치는 어느 정도나 안전한 것인지 정보주체는 알지 못한다. 정보주체는 끊임없는 마케팅의 표적이 되고, 자신의 통제권 바깥에서 벌어지는 개인정보 유출사고가 터질 때마다 지금까지보다 더 큰 불안에 떨 수 밖에 없게 된다.
• 2005년 헌법재판소는 공개된 개인정보를 포함하여 자신의 개인정보의 공개와 이용에 관하여 정보주체가 스스로 결정할 수 있는 개인정보자기결정권이 우리 헌법에서 보호하는 기본권이라고 선언하였습니다. 2011년 이러한 개인정보자기결정권을 구체화하려는 취지에서 개인정보 보호법이 제정되었습니다. 헌법재판소의 결정에 따르면 공개된 개인정보에 대한 수집과 이용 역시 정보주체의 권리로서 헌법으로 보호 받고 있습니다.

 개인정보자기결정권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리이다. 즉 정보주체가 개인정보의 공개와 이용에 관하여 스스로 결정할 권리를 말한다. 

개인정보자기결정권의 보호대상이 되는 개인정보는 개인의 신체, 신념, 사회적 지위, 신분 등과 같이 개인의 인격주체성을 특징짓는 사항으로서 그 개인의 동일성을 식별할 수 있게 하는 일체의 정보라고 할 수 있고, 반드시 개인의 내밀한 영역이나 사사(私事)의 영역에 속하는 정보에 국한되지 않고 공적 생활에서 형성되었거나 이미 공개된 개인정보까지 포함한다. 또한 그러한 개인정보를 대상으로 한 조사·수집·보관·처리·이용 등의 행위는 모두 원칙적으로 개인정보자기결정권에 대한 제한에 해당한다.  
– 헌재 2005. 5. 26. 99헌마513 등
• 개인정보보호법, 정보통신망법은 이 법률들이 규율하는 개인정보에 대하여, 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보 뿐 아니라 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함하여 정의하고 있습니다. 이 정의는 유럽연합의 개인정보보호지침의 개인정보의 정의 규정이나, 새로 제안된 유럽 GDPR의 개인정보의 정의 규정 혹은 각국 개인정보보호 관련 법률의 개인정보에 대한 정의와 크게 다르지 않습니다. 이러한 개인정보 정의에 따르면 ‘다른 정보와 결합하여 특정 개인을 알아볼 수 있다면’, 즉, 재식별화(re-identification)가 가능하면 개인정보로서, 개인정보보호법의 규율대상입니다. 

 「개인정보 보호법」

제2조(정의) 
1. “개인정보”란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.

 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」

제2조(정의) 
6. “개인정보”란 생존하는 개인에 관한 정보로서 성명·주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호·문자·음성·음향 및 영상 등의 정보(해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다)를 말한다.

• 현재 개인정보를 수집한 후 개인을 식별할 수 없게 하여 처리하는 것은 제한적으로 적법합니다. 현행 개인정보보호법은 개인정보 주체의 개인정보자기결정권을 실질적으로 보장하기 위하여 개인정보처리자가 ‘익명화’하더라도 정보주체의 동의 없이는 해당 개인정보를 통계 목적이나 연구 목적 등으로 제공하는 경우 외에는 제공할 수 없도록 규정하였습니다(이 법 제18조 제2항 제4호). 이처럼 개인정보보호법 규율의 예외가 되려면 ‘가명’ 등으로 ‘비식별화’가 아니라 ‘익명화’가 되어 더 이상(no longer possible) 개인을 (재)식별할 가능성이 완전히 사라져야 합니다. 
「개인정보 보호법」
제18조(개인정보의 목적 외 이용ㆍ제공 제한)
① 개인정보처리자는 개인정보를 제15조제1항에 따른 범위를 초과하여 이용하거나 제17조제1항 및 제3항에 따른 범위를 초과하여 제3자에게 제공하여서는 아니 된다.
② 제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다(…)

4. 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우 

• 반면 방송통신위원회의 <빅데이터 가이드라인>이나 현재 발의된 법안들은 ‘익명화’가 아닌 ‘비식별화’라는 개념을 규정하고 있습니다. ‘비식별화’는 익명화와 달리 ‘재식별화’의 가능성을 내포하고 그 (상업적) 활용성을 보장하고자 하는 개념입니다. 이는 헌법에 의해 보호받고 있는 개인정보 자기결정권의 행사를 침해합니다. 또한 현행 개인정보보호법에서 그 보호대상으로 규정하고 있는 개인정보의 전체 정의에 심각한 혼란을 야기합니다. 현재의 개인정보 관련 법률들에서는  직접적으로 식별되는 개인정보 뿐 아니라 다른 정보와 쉽게 결합하여 간접적으로 식별되는 개인정보도 차별없이 보호대상으로 정의하고 있기 때문입니다.
「방통위 가이드라인」
제2조(정의)

  4. “비식별화”란 데이터 값 삭제, 가명처리, 총계처리, 범주화, 데이터 마스킹 등을 통해 개인정보의 일부 또는 전부를 삭제하거나 대체함으로써 다른 정보와 쉽게 결합하여도 특정 개인을 식별할 수 없도록 하는 조치를 말한다. 

 강은희 의원안

제2조(정의)
  9.“비식별화”란 데이터 값 삭제,가명처리,총계처리,범주화 등을 통해 개인정보의 일부 또는 전부를 삭제하거나 대체함으로써 다른 정보와 쉽게 결합하여도 개인을 식별할 수 없도록 하는 조치를 말한다.

 강길부 의원안

제24조의3(비식별개인정보의 이용)
 ① 정보통신서비스 제공자는 개인정보의 일부 또는 전부를 삭제하거나 대체함으로써 다른 정보와 쉽게 결합하여도 특정 개인을 알아볼 수 없도록 하는 조치(이하 “비식별화”라 한다)를 할 수 있다.

 부좌현 의원안

제22조의2(개인정보 비식별화에 관한 특례)
 ① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 비식별화(가명처리,범주화 등 대통령령으로 정하는 방식으로 개인정보의 일부 또는 전부를 삭제하거나 대체함으로써 다른 정보와 결합하여도 개인을 알아볼 수 없도록 하는 조치를 말한다)하여 이를 처리할 수 있다.

• ‘비식별화’는 국제적으로 유래가 없는 개념입니다. 유럽연합이나 해외의 사례에서도 ‘de-identification’이라는 용어가 아닌 ‘anonymisation’라는 용어를 사용합니다. 예를 들어 영국의 ICO(Information Commissioner’s Office)에서 발행한 비슷한 가이드라인의 경우 그 제목이 ‘Anonymisation: managing data protection risk code of practice’(익명화 : 데이터 보호 위험의 관리, 시행지침)입니다. 이를 ‘비식별화’에 대한 규범으로 해석하는 것은 잘못입니다.
• 무엇보다 비식별화 법안 등은, 비식별화만 한다면 개인정보주체의 동의를 받지 않고도 공개된 개인정보와 이용내역 정보를 포함한 개인정보를 수집, 저장, 조합, 분석 및 제공 등 처리할 수 있도록 하였습니다. 이는 현행 개인정보보호법이 보호하는 개인정보(직접적인 식별 뿐 아니라 다른 정보와 쉽게 결합하여 식별되는 경우도 해당)의 경우에 원칙적으로 정보주체의 동의를 받도록 한 이 법 제정 취지를 몰각하고 헌법 및 국제인권규범에서 보장하는 개인정보 자기결정권을 침해하고 있습니다.

 방통위 가이드라인

제4조(공개된 정보의 수집·이용) 
① 정보통신서비스 제공자가 개인정보가 포함된 공개된 정보를 비식별화 조치한 경우에는 이용자의 동의 없이 수집·이용할 수 있다. 다만, 이용자의 동의를 받거나 법령상 허용하는 경우에는 비식별화 조치를 취하지 아니하고 수집·이용할 수 있다.
(…)
제10조(제3자 제공) 정보통신서비스 제공자는 개인정보가 포함된 공개된 정보, 이용내역정보, 생성 정보의 경우, 이용자의 동의를 얻어 제3자에게 제공할 수 있다. 다만, 비식별화 처리된 공개된 정보, 이용내역정보, 생성 정보는 이용자 동의 없이 제3자 제공이 가능하다.
강은희 의원안
제39조(개인정보의 비식별화)

① 개인정보처리자는 통계·연구·분석,공공정책의 수립,시장조사,마케팅 등의 목적을 위하여 필요한 경우 정보주체의 동의 없이 개인정보를 비식별화하여 처리할 수 있다. 

강길부 의원안
제24조의3(비식별개인정보의 이용)
① 정보통신서비스 제공자는 개인정보의 일부 또는 전부를 삭제하거나 대체함으로써 다른 정보와 쉽게 결합하여도 특정 개인을 알아볼 수 없도록 하는 조치(이하 “비식별화”라 한다)를 할 수 있다.

② 정보통신서비스 제공자는 비식별화를 통하여 다른 정보와 결합하여도 특정 개인을 쉽게 알아볼 수 없도록 가공된 정보(이하 “비식별화개인정보”라 한다)를 이용하는 과정에서 개인정보가 생성되는 경우 이를 지체 없이 파기하거나 추가적인 비식별화를 하여야 한다. 

부좌현 의원안
제22조의2(개인정보 비식별화에 관한 특례)

② 개인정보처리자가 개인정보를 비식별화하여 처리하거나 비식별화된 개인정보를 처리하는 경우에는 제15조제1항제1호, 제17조제1항제1호 및 제18조제2항제1호에도 불구하고 정보주체의 동의 없이 이를 처리할 수 있다. 

• 특히 방통위 가이드라인은 비식별화 처리 후 재식별화되더라도 ‘처리중단’이 아닌 ‘재비식별화’를 하여 ‘계속 이용’하도록 하고 있다는 점을 주목해야 합니다. 이는 ‘비식별화’란 개념이 명백히 ‘익명화’와 달리, 개인정보의 지속적인 이용을 보장한다는 사실을 보여주고 있습니다. 현행 개인정보 보호법의 정의에서 뿐 아니라 국제 개인정보보호 규범에 따르면, 재식별이 가능한 개인정보도 개인정보로서, 동의 없이 처리하는 것은 위법합니다. 개인정보 처리에 대해 정보주체의 동의가 없다면, 개인정보 처리자는 그 처리를 즉각 중단하고 해당 개인정보를 회수하거나 폐기해야 마땅합니다.
• 방통위 가이드라인에서 비식별화하면 동의 없이 사용할 수 있다고 본 ‘이용내역 정보’(이용자가 정보통신서비스를 이용하는 과정에서 자동으로 발생하는 서비스 이용기록, 인터넷 접속정보, 거래기록 등의 정보)는 매우 민감한 개인정보입니다. 통신사실에 대한 자료는 현행 통신비밀보호법에 따라 수사기관에 제공될 때 법원의 허가가 필요하기도 합니다. 쇼핑 내역, 검색 내역, 통신 내역, 의료 등의 이용내역 정보 또한 개인의 사상, 종교, 성적 취향, 정치적 신조, 노동조합 가입여부, 인종, 건강, 성생활에 대한 정보 등 매우 민감한 정보를 포함할 수 있다는 점에서 이에 대해 동의 없이 제공하는 것은 중대한 기본권 침해로 이어질 수 있습니다.
• 특히 우리나라 정보 환경에서 비식별화란 개인정보 보호에 아무런 효과가 없습니다. 통신사, 인터넷 포털, 유통, 신용카드사, 은행 등 개인정보가 대기업으로 집중되는 정도가 심하고, 그 동안 주민등록번호나 휴대전화번호 등 개인을 식별할 수 있는 정보가 광범위하게 활용되어 왔기 때문입니다. 그 동안 대규모 개인정보 유출 사례도 많아서 비식별화나 익명처리를 해도 개인정보를 안전하게 익명화하기는 거의 불가능한 상황입니다.
• 외국은 빅데이터 문제를 연구하며 더 이상 개인정보가 아니라고 볼 수 있는 ‘익명화’에서도 재식별될 가능성을 염두에 두고 매우 신중한 접근을 하고 있습니다. 개인정보를 설령 익명화하였더라도 기술 발전에 따라 개인정보 처리비용이 계속 낮아지고 가용 정보가 증가하기 때문에 추후 개인을 재식별할 가능성이 높기 때문입니다. 그런데 그간 수많은 사고들로 개인정보 보호의 토대가 취약해진 우리나라에서 ‘익명화’도 아니고 ‘비식별화’ 법안을 추진하여 개인정보 보호의 예외를 넓히는 것은 국민의 눈을 속이고 기업의 무분별한 개인정보 처리에 포괄적인 허가장을 내어주는 것입니다.
4. 빅데이터 시대 필요한 개인정보 보호는 ‘비식별화’가 아니라 ‘프로파일링 규제’입니다.
• 최근 국제사회는 빅데이터가 개인정보에 끼치는 위협으로 프로파일링(profiling) 문제에 주목하고 있습니다(별첨자료 참조). 프로파일링이란 개인을 평가하거나 개인의 업무실적, 경제상태, 위치, 건강, 선호, 행동을 분석 예측하기 위해 이루어지는 개인정보의 자동화된 처리를 말합니다(유럽 GDPR). 한마디로 개인별 평가, 분석, 예측을 자동적으로 처리하는 것으로 빅데이터 시대 개인정보 보호의 국제 이슈로 떠오르고 있습니다.
• 그러나 방통위 가이드라인은 프로파일링의 개념을 ‘정보처리 시스템’이라는 모호한 말 속에 암시적으로 담았으며, 보호하는 것이 아니라 그 활용을 독려하고 있습니다. 
방통위 가이드라인
제2조(정의) 

  3. “정보 처리시스템”이란 공개된 개인정보 또는 이용내역정보 등을 전자적으로 설정된 체계에 의해 조합·분석 등 처리하여 새로운 정보를 생성하는 시스템을 말한다. 

• ‘정보처리 시스템’이라는 모호한 개념을 통하여 정보주체의 동의 없이 개인에 대한 새로운 정보를 생성하여 그를 자동적으로 평가, 분석, 예측하는  것은 현행 법률에 위배될 뿐 아니라 헌법에서 보장하고 있는 개인정보자기결정권을 중대하게 침해합니다.
• 현재 발의된 법안들 중에서 프로파일링 처리를 규제하는 등 빅데이터 시대 개인정보를 보호할 수 있는 대책은 보이지 않습니다. 유럽 GDPR에서 프로파일링 처리에 대한 동의, 프로파일링을 거부할 권리, 프로파일링의 제한 등 정보주체의 권리를 규정하고 있는 점과 대조적입니다.
5. 이상과 같은 이유에서 우리는 빅데이터 산업 활성화를 위해 방통위 가이드라인이나 금융위원회에서 도입하고 있는 ‘비식별화’개념에 반대합니다. 더불어 ‘비식별화’ 개념을 법적으로 도입한 강은희, 강길부, 부좌현의원안에도 반대합니다.
전세계적으로 빅데이터 산업이 개인정보 보호에 미칠 영향을 둘러싼 논의가 진지하게 이루어지고 있습니다. 특히 계속된 개인정보 유출 사고로 개인정보 보호 토대가 취약해진 것으로 지적받는 우리나라에서 지금 필요한 것은 성급한 입법이 아닙니다. 정부와 국회는 빅데이터 시대 예상되는 기업의 무분별한 개인정보 처리로부터 소비자의 개인정보를 보호하기 위하여 프로파일링을 규제하는 등 개인정보를 보호하기 위한 조치 마련에 우선적으로 나서야 할 것입니다.
<끝>
“<별첨자료> 빅데이터 (EU 자료 번역)”는 첨부파일을 확인해주시기 바랍니다.