규제중심 데이터 보호에서 벗어나 ‘안전한 활용’ 초점 맞춰야
[데이터넷] 4차 산업혁명의 원동력 ‘데이터’가 중요해지면서 ‘데이터 보호와 활용의 균형’에 대한 관심도 높아지고 있다. 일찍이 미국, 유럽, 일본 등은 빅데이터 산업을 활성화하기 위해 제도적 기반을 마련해왔다. 유럽 일반 개인정보 보호 규정(GDPR), 미국 의료정보보호법(HIPPA), 일본 개인정보 보호법 등은 데이터 활용의 법적 근거를 마련했으며, 개인정보 침해 사고에 대한 과징금을 높임으로써 조직의 책임을 강화하고 있다.
우리나라에서도 빅데이터 산업을 활성화하기 위한 데이터 3법 개정안이 2020년 8월 시행됐다. 여기에서 ‘가명정보’ 개념을 도입해 데이터 활용의 제도적 기반을 마련했는데, 가명정보는 개인정보 일부를 삭제·대체하는 등 가명으로 처리해 추가 정보 없이 개인을 알아볼 수 없도록 한 개인정보를 의미하며, 정보주체의 동의 없이 연구, 통계, 공익적 기록보존 등의 목적을 위해 활용할 수 있다.
정부는 법 개정에 그치지 않고 가명정보결합전문기관 지정, 가명정보활용지원센터 설치 등 데이터 활용 생태계 확산을 위한 후속 조치를 지속하고 있다. 특히 가명정보 결합 지원 업무를 수행하는 가명정보결합전문기관은 7개 부처, 22개 기관 및 기업이 지정돼 있으며, 2022년 9월까지 총 252건(완료 196건, 진행 중 56건)의 가명정보 결합을 진행했다.
정부의 이러한 노력에도 가명정보 활용 시장이 기대만큼 활성화되지 않고 있다. 이 이유로는 그동안 국내 데이터 활용 시장이 규제 중심으로 형성돼 왔기 때문에, 컴플라이언스가 확실하게 정립되지 않은 상황에서는 개인정보 침해 우려가 있어 적극적으로 데이터 활용에 나서기 어렵다는 것이 뽑힌다.
안전한 데이터 활용 위한 ‘비식별화’
현재 데이터 보호와 활용의 균형적 패러다임을 충족할 수 있는 기술로 각광받는 것은 비식별화 기술이다. 비식별화 기술은 개인정보를 개인을 식별할 수 없는 정보로 치환 또는 삭제함으로써 데이터 활용 과정에서 발생할 수 있는 프라이버시 침해를 예방하는 기술이다. 전 세계적으로 데이터 활용을 위해 비식별 기술을 연구하고 있으며, 각 국가의 컴플라이언스를 충족하기 위해 솔루션 시장이 형성되고 있다.
비식별화 기술에서 가장 중요한 개념은 ‘식별 가능성’이다. 일부의 데이터라도 개인을 식별할 수 있다면 프라이버시 침해로 이어질 수 있다. 이에 컴플라이언스에서는 개인정보가 식별되지 않도록 하는 ‘기술’뿐만 아니라 식별 가능성을 확인 및 평가하는 ‘절차’까지도 규정하고 있다.
식별 가능성과 관련해 가장 보편적인 모델로 자리 잡은 것이 KLT 프라이버시 보호 모델이다. KLT 프라이버시 보호 모델은 비식별된 데이터의 재식별 가능성을 검토하는 계량적인 방법이다. ▲k-익명성: 주어진 데이터에서 같은 속성값을 갖는 레코드가 k개 이상 존재할 것 ▲l-다양성: 주어진 데이터에서 함께 비식별 되는 레코드는 최소 l개의 서로 다른 민감정보를 가져야 함 ▲t-근접성: 동질 집합에서 특정 정보의 분포와 전체 데이터에서 정보의 분포가 t 이하의 차이를 보여야 함 등을 평가해 개인정보 재식별 가능성을 판단한다.
최근에는 동형암호, 재현데이터 등 차세대 데이터 활용 기술이 시장에서 주목받고 있다. 동형암호는 데이터를 암호화한 상태에서 분석 등 활용할 수 있는 기술이며, 재현데이터는 원본 데이터와 유사한 통계적 특성을 가진 가상의 데이터를 만들어 활용하는 기술이다.
데이터 활용에 대한 인식 바꿔야
이제는 ‘개인정보의 안전한 활용’이라는 키워드로 데이터 전략을 재구성해야 할 때다. 데이터 3법 개정안 시행으로 데이터 활용의 법적 근거는 마련됐지만, 개인정보 침해에 대한 우려로 인해 활용에는 적극적으로 나서지 못하고 있다. 하지만 데이터 활용은 이미 세계적인 트렌드로 자리잡은 상황에서 국내에서도 데이터를 활용하기 위한 방안을 모색해야 한다.
여기서 핵심은 ‘안전한 데이터 활용’ 방안이다. 아직까지 사회적 인식은 데이터 활용과 개인정보 보호라는 2가지 가치가 충돌하는 것에 머무르고 있다. 하지만 이미 시장에서는 ‘데이터 보호와 활용의 균형적 패러다임’에 대한 논의가 활발하게 이뤄지고 있다.
데이터 경제가 활성화되고 있는 지금, 데이터 활용과 개인정보 보호라는 가치가 충돌하지 않고, 두 마리 토끼 모두 잡을 수 있다는 인식이 확대돼야 한다. 이를 위해서는 데이터 활용 프로젝트 추진에 앞서 안전한 개인정보 보호 체계를 마련하는 것이 선행돼야 한다. 단순히 컴플라이언스 충족을 위한 보호체계가 아닌 실질적으로 데이터를 안전하게 보호하고 있는 상황에서 데이터를 활용함으로써 국민들로부터 신뢰받을 수 있는 환경을 구축해야 한다.
