지난해 12월 인재근 국회의원에 의해 발의된 개인정보보호법 개정안과 정보통신망법, 신용정보법 개정안의 국회 통과가 임박한 듯 보인다.

소위 데이터 3법이라고 불리우는 이들 3개 법률 중 가장 관심을 받고 있는 법은 단연 개인정보보호법 개정 법률안이다. 개인정보보호법 개정안은 개인정보보호의 주무부처를 개인정보보호위원회로 단일화하는 내용 등 2011년 동법의 제정 이후 개인정보보호 거버넌스에 있어서 획기적 변화를 담았다. 하지만 이 글에서는 이 법이 도입하려는 ‘가명정보’에 대해 짚어보고자 한다.

가명정보는 동 법률안에 따르면 그 자체로 특정 개인을 알아볼 수 있는 정보 또는 그 자체로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보를 가명처리함으로써 원상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보를 말하며 개인정보의 한 종류다. 개정법률안이 국회를 통과하면 우리나라의 개인정보는 기존의 두 가지 종류(식별개인정보, 비식별개인정보)에 가명정보가 더해져 모두 세 가지 종류가 된다.

가명정보의 도입 이유는 기존 개인정보의 정의가 너무 넓어 데이터산업의 발전을 저해해 인공지능의 출현이 불가하다는 인식이 공감대를 이루었고, 지난해 2월경 4차산업혁명위원회가 주관한 ‘개인정보보호 규제혁신 해커톤’에서 시민단체와 가명정보의 도입에 관한 합의가 이루어진 것이 계기다.

가명정보는 그 이용 및 제3자 제공에 정보주체의 동의를 요하지 않는다. 그럼 우리나라에 가명정보가 도입되면 빅데이터가 활성화되고 인공지능이 꽃필 수 있는가? 이 질문에 답을 하기 위해서는 우선 현행 개인정보보호법이 개인정보의 보호에 치우치고 그 활용이 어렵게 된 근본 원인을 살펴볼 필요가 있다. 현행법도 모든 개인 관련 정보를 그 식별가능성에 상관 없이 개인정보로 정의하지 않는다. 비식별개인정보는 결합으로 인해 개인을 식별하게 될 ‘다른 정보’를 입수하기 쉽고 결합하기 쉬운 경우에만 개인정보라 정의한다.

그동안 개인정보보호법이 지탄을 받게 된 이유는 바로 이 비식별개인정보의 범위가 어디까지인지 아무도 정확히 몰랐다는 데 있다. 그 자체로는 비식별정보이나 개인정보로 취급되는 휴대전화번호, 차량등록번호, IP주소와 같은 것들이 특정 개인을 알아볼 수 있게 할 ‘다른 정보’는 무엇인지, 어느 상황에서 그 다른 정보를 쉽게 입수할 수 있고 결합이 쉽다고 볼 수 있는지에 대해 사회적 합의가 전혀 이뤄지지 않았다. 그로 인해 ‘의심스러운 때에는 정보주체의 이익으로’라는 보호법리가 작동해 대부분 비식별정보를 모두 개인정보로 간주하는 불합리한 실무관행이 정착된 것이다. 이는 다분히 개인정보보호 주무부처들의 무관심에 기인한 바가 크다. 이런 상황에서 가명정보와 비식별개인정보를 구별해야 하는 법개정이 된다고 해도 주무관청의 분골쇄신이 없이는 그 개정목표를 달성하기 어렵다. 서말 구슬도 꿰어야 보배다.

/구태언 대한변협 특허변호사회 회장

서울회·법무법인 린