“개인정보의 오ㆍ남용을 방지하면서 빅데이터 산업의 활성화라는 두 마리 토끼를 잡을 묘안이 나왔다.”

지난해 12월 23일 방송통신위원회가 배포한 ‘빅데이터 개인정보보호 가이드라인’보도자료의 첫 문장이다. 가이드라인은 기업이 이용자의 사전동의 없이 개인정보를 수집할 수 있도록 하는 내용을 담고 있다. 

즉, 기업이 페이스북이나 트위터 등에 공개한 개인정보를 비롯해 검색기록, 의료기록 및 금융 거래기록 등을 수집해 마케팅을 할 수 있게 된다. 방통위는 ‘비식별화’라는 안전장치를 통해 개인정보의 오ㆍ남용을 방지할 수 있다고 자신했다. 비식별화란 개인정보가 식별되지 않도록 일종의 암호화를 거친다는 개념이다. 

   
▲ 지난해 12월 23일 방송통신위원회가 발표한 '빅데이터 개인정보보호 가이드라인' 보도자료.
 

방통위의 발표와 달리 전문가들은 가이드라인이 사생활을 침해할 우려가 크다고 지적했다. 프라이버시워킹그룹은 지난 13일 건국대학교에서 ‘빅데이터와 프로파일링’을 주제로 콜로키엄을 열고 방통위의 가이드라인을 비판했다. 이 자리에는 장여경 진보네트워크 활동가, 오길영 신경대 교수, 김보라미 변호사, 정혜승 변호사, 이은우 변호사 등이 참석했다.

경제정의실천시민연합 소비자정의센터 위원인 김보라미 변호사는 방통위의 보도자료 문구를 꼬집으며 “개인정보의 오남용을 방지하지 못하면서, 빅데이터 산업의 활성화에도 도움이 될지 우려스럽다. 두 마리 토끼를 다 놓치는 가이드라인”이라고 말했다.

김 변호사는 방통위의 가이드라인이 ‘모순’이 있다고 지적했다. 가이드라인이 비식별화가 풀려 개인정보가 드러나는 재식별화 가능성을 언급했기 때문이다. 가이드라인은 정보의 조합·분석 단계에서 다른 정보와 결합하여 재식별화 될 수 있는 가능성이 있는 경우 반드시 이를 즉시 파기하거나 추가적인 비식별화 조치를 취하도록 명시하고 있다. 김 변호사는 “재식별화 될 가능성이 있다면 비식별화의 안전성이 보장되지 않은 것이다. 비식별화가 안전하다고 강조한 게 모순인 셈”이라고 말했다. 

재식별화 시 추가적인 비식별화 조치를 취해야 한다는 가이드라인 내용 역시 문제가 있다고 김 변호사는 지적했다. 그는 “재식별화가 된다면 관련 정보를 반드시 파기해야 하는데, 방통위는 추가적인 비식별화 조치를 취하도록 하는 것을 허가했다”면서 “이 과정에서 개인정보가 오용되고 남용될 가능성이 매우 크다”고 말했다.

   
▲ 지난 13일 건국대학교에서 프라이버시워킹그룹의 주최로 '빅데이터와 프로파일링' 콜로키움이 열렸다. (사진=금준경 기자)
 

방통위의 가이드라인이 결과적으로 기업에도 도움이 되지 않는다고 김 변호사는 지적했다. “업계는 비용절감을 위해 개인의 동의 없이 정보수집이 가능해지기를 원했고 방통위는 이를 수용해 가이드라인을 만들었다. 하지만 가이드라인이 말하는 전반적인 비식별화의 개념 자체가 모호해 업계에도 큰 도움이 되지 않을 것으로 본다.”

법무법인 지향 소속 이은우 변호사는 “개인정보보호법에 위배되지 않으려면 ‘비식별화’가 아닌 ‘익명화’ 돼야 한다”고 주장했다. 이 변호사는 “유럽 등 외국에서는 보통 ‘비식별화’라는 용어를 사용하지 않고 ‘익명화’라는 표현을 쓴다”고 말했다. ISO의 정의에 따르면 ‘익명화’란 개인정보가 정보주체가 더 이상 직접 또는 간접적으로 정보처리자 또는 제 3자와의 협력으로 개인을 식별할 수 없도록 회복 불가능하게 변경하는 절차를 뜻한다.

이 변호사는 “익명화라는 표현 역시 완벽한 안전을 뜻하지 않기 때문에 외국에서도 조심스럽게 사용하고 있다”면서 “방통위는 언제든 재식별화될 가능성이 있는 비식별화라는 개념을 갖고 개인정보 보호가 완벽하게 이뤄진다고 자부하고 있다”고 비판했다.

   
▲ 방송통신위원회의 '빅데이터 개인정보 보호 가이드라인'. 방통위는 비식별화를 통해 개인정보가 안전하게 관리된다고 강조했지만, 해당 조항을 보면 비식별화가 완전하지 않다는 점을 알 수 있다.
 

가이드라인이 전면적인 프로파일링을 허용하고 있다고 이 변호사는 지적하기도 했다. 가이드라인이 사실상의 프로파일링인 ‘정보처리 시스템’을 허용하고 있기 때문이다. 가이드라인은 ‘정보처리 시스템’에 관해 “공개된 개인정보 또는 이용내역정보 등을 전자적으로 설정된 체계에 의해 조합, 분석 등 처리하여 새로운 정보를 생성하는 시스템”이라고 명시했다. 

이 변호사는 “사실상 프로파일링 행위를 ‘정보처리 시스템’이라는 위험하지 않아 보이는 표현을 쓰면서 심각성을 숨겼다”고 지적했다. 그는 “프로파일링은 매우 위험한 개인정보 처리방법으로 개인정보 자기결정권이 침해될 가능성이 크다. 현재 세계적으로도 프로파일링의 보호조치에 관한 필요성이 논의되고 있다”고 말했다. 

이 변호사는 “개인정보 처리기술이 급속도로 발전함에 따라 개인정보보호를 강화하는 것이 세계적인 추세인데 방통위는 이에 역행 하면서 동시에 현행 개인정보보호법을 위반하는 가이드라인을 만든 셈”이라고 덧붙였다.

기업의 프로파일링에 관해 오길영 신경대 교수도 비판적인 입장을 나타냈다. 오 교수는 “현재 범죄학에서 프로파일링을 하고 있지만 이는 공익에 이용되는 반면 빅데이터 환경의 프로파일링은 지나친 상업화 탓에 공익적 요소를 찾을 수 없다”고 말했다. 오 교수는 “프로파일링은 좁게 보면 프라이버시 침해지만 넓게 보면 인간의 존엄에 관련된 이슈이기 때문에 사익적 프로파일링에 대한 법철학적 고민이 필요하다”고 말했다.

진보네트워크 장여경 활동가는 “가이드라인을 보면 창조경제의 성과를 만들기 위해 정부와 방통위가 조급해하는 것 같다”며 “빅데이터 산업은 반드시 공익적 목적과 이용자의 사전동의가 양립하는 방향으로 논의돼야 한다”고 강조했다.

저작권자 © 미디어오늘 무단전재 및 재배포 금지