신용평가업체인 A사는 보유한 개인정보와 이동통신 결제패턴을 결합한 융합형 신용평가 서비스 개발을 추진했다. 통신 사용량, 요금납부 현황 등 개인정보를 신용평가 근거로 활용하면 신용거래 이력이 없는 대학생이나 사회초년생도 은행 대출이 가능해질 수 있다는 구상이었다.
그러나 서비스 개발은 현실의 벽에 부딪혀 시작도 하지 못한 채 수포로 돌아갔다. 여러 곳의 로펌에 자문한 결과 “신용평가사와 은행·통신사 간 데이터 통합이 현행 개인정보보호법상 문제가 되는지 확신할 수 없다”는 답만 돌아왔기 때문이다.
국내 빅데이터 사업은 ‘합법과 불법의 경계선 위를 걷는 일’로 비유된다. 개인정보보호법 체계가 ‘개인정보 활용은 일단 불법’이라는 전제를 바탕으로 구성돼 있기 때문이다. 데이터 수집 단계부터 위법인 경우가 태반인데다 관련 법이 얽히고설켜 ‘이 법에서는 합법, 저 법에서는 불법’인 경우가 비일비재하다. 개인정보 보호를 최우선에 두다가 자칫 빅데이터에 기반을 둔 4차 산업혁명의 문턱도 못 넘을 수 있다는 우려가 커지고 있다.
전문가들은 현행 제도의 문제점으로 △개인정보 보호 법제의 파편화 △데이터 수집·활용에 대한 과도한 제한 △형사 처벌 중심의 규제를 꼽고 있다. 현재 온라인상 개인정보는 정보통신망 이용촉진 및 정보보호법(정보통신망법), 신용거래상 개인정보는 신용정보의 이용 및 보호법(신용정보법)의 적용을 받는다. 이와 별개로 온오프라인과 민간·공공 등 개인정보 전반에 대한 사항은 개인정보보호법이 적용된다.
빅데이터 사업자는 3개의 법에 모두 적용받기 때문에 사업을 진행하는 데 번거로울 수밖에 없다. 개별법이 같은 위법 행위를 놓고도 처벌수위가 다르다는 점도 문제점으로 지적된다. 김애선 창조경제연구회 책임연구원은 “가령 정보주체의 동의 없이 개인정보를 수집하는 행위는 정보통신망법상 형사 처벌을 받을 수 있지만 개인정보보호법으로는 과태료 대상일 뿐”이라고 지적했다.
‘개인정보=비밀정보’라는 원칙도 문제다. 현행법상 4개의 숫자로 된 휴대폰 번호 뒷자리는 개인정보다. 특정 정보 자체만으로는 식별이 불가능해도 다른 정보와 결합해 식별할 수 있다면 개인정보로 간주한다는 개인정보보호법상 규정 때문이다. 같은 이유로 휴대폰 단말기에 부여되는 국제단말기인증번호(IMEI), 통신 가입자가 받는 유심(USIM)카드의 일련번호 역시 개인정보로 취급된다.
오정연 정보화진흥원 수석연구원은 “개인정보의 정의가 지나치게 포괄적이다 보니 잠재적 결합 가능성만으로도 규제를 받는 것”이라며 “데이터 활용을 위해 일일이 사용자 동의를 받아야 하는 것도 이 때문”이라고 설명했다. 영국 로펌인 호건로벨스는 지난 2014년 보고서를 내고 한국을 아시아에서 개인정보 보호 규제가 가장 심한 나라로 꼽기도 했다.
법을 위반했을 때 처벌수위가 다른 법보다 높다는 점도 형평성 논란으로 불거지고 있다. 개인정보보호법은 ‘동의 없이 개인정보를 제3자에게 제공하면 5년 이하의 징역 또는 5,000만원 이하의 벌금형에 처할 수 있다’고 규정하고 있다. 이는 명예훼손(최고 5년 이하 징역, 1,000만원 이하 벌금)이나 업무상 비밀 누설(최고 3년 이하 징역, 500만원 이하 벌금)보다도 처벌수위가 높다.
물론 3,500만개의 개인정보가 유출된 2011년 네이트·싸이월드 사건부터 무려 1억개의 개인신용정보가 새어나간 2014년 카드 3사 유출 사건, 지난달 인터파크(1,000만개 유출) 사건처럼 잊을 만하면 터지는 초대형 해킹 사례는 개인정보 보호에 대한 경각심을 고조시키는 주요한 원인이다.
개인정보 비식별화 조치는 이 같은 문제의식을 종합 반영한 것으로 △가명(익명) 처리 △총계화를 통한 개별 수치 숨기기 △특정 데이터 숨기기 및 삭제 △데이터 범주화 등의 조치로 데이터가 개인을 식별하지 못하도록 하면 사용자의 사전 동의 없이 사후 동의를 구해도 합법이 되도록 하자는 것이다.
현재 대부분의 국가에서 데이터 비식별화를 의무화하고 있다. 우리 정부도 지난달 ‘개인정보 비식별 조치 가이드라인’을 발표하며 데이터 활용 활로를 열겠다는 입장을 밝혔다. 그러나 해당 가이드라인은 ‘업데이트’를 통해 지속적으로 구체적이고 촘촘해져야 한다는 것이 전문가들의 지적이다.
이현승 소프트웨어정책연구소 선임연구원은 “비식별 조치를 취했는데도 개인정보 불법사용으로 서비스가 중단되거나 형사 재판을 받는 사례가 적지 않았다”며 “개인정보 개념을 명확히 하고 전담 기관을 세워 체계적인 관리를 해야 한다”고 강조했다.