개인정보 비식별 조치 가이드라인의 법률적 의미와 쟁점

Abstract

우리나라 개인정보 보호법은 엄격한 사전동의 방식(Opt-In)을 채택하여, 개인정보처리자는 개인정보를 수집⋅활용⋅제3자 제공(이들을 일괄하여 지칭할 경우 이하 ‘처리’라 한다)함에 있어 사전에 정보주체의 명시적 동의를 받아야 하며, 그 동의 받은처리목적 범위 내에 한정하여서만 이를 활용할 수 있다. 그러나 이와 같은 규제 방식은 빅데이터 환경에서 그대로 적용되기 어렵다. 대안으로 정부는 6개 부처 합동으로 2016. 6. 30. 「개인정보 비식별 조치 가이드라인」을 발표함으로써 비식별화(de-identification)를 거친 개인정보를 빅데이터 분석 용도로 사용할 수 있도록 허용하고 이를 위해 사업자가 취해야 할 기술적⋅관리적 조치의 기준을 마련하기에 이르렀다. 이로 인해 빅데이터 분석 및 분석된 데이터의 교류가 가능해지도록 하는 제도적 기반이 조성되었다는 점은 상당히 고무적이다. 다만, 이번 가이드라인의 제정에도 불구하고 다음과 같은 문제점이 발견되어 입법적⋅정책적 해결을 요한다. 첫째, 개인정보 비식별 조치 가이드라인은 그 명칭에도 불구하고 법적 성질은 행정규칙에 해당하며, 빅데이터 산업의 방향성과 그 종사자들의 권리⋅의무에 지대한 영향을 미친다는 점을 고려할 때 그 제정에 앞서 행정예고 및 사전 의견청취와 같은 규범통제 절차를 거칠 필요가 있었다. 둘째, 개인정보 비식별 조치 가이드라인은 비식별 정보에 대한 사후관리 의무를 부과하고 있는데, 여기에는 비식별 정보의 양도인이 사후에 재식별 가능성을 발견할 경우 이를 즉시 양수인에게 통지하고 처리 중단 요구 및 해당 정보의 회수⋅파기 등 조치를 하여야 한다는 내용이 포함되어 있다. 그런데 위와 같은 사후관리 의무는 법률규정의 위임 없이 이번 가이드라인에서 독자적으로 정하여 일반국민에게 부과한 것으로서 법률유보원칙과 조화되기 어려운 측면이 있다.셋째, 위와 같은 사후관리 의무의 부과는 빅데이터 분석 결과의 교류 자체를 위축시킬 우려가 크다. 비식별 정보의 양도인으로서는 해당 데이터를 양수인에게 전달한 이후에도 출현할 수 있는 재식별 위험을 모니터링하여 이를 양수인에게 알려주어야 하는 새로운 의무를 부담함으로 인하여, 향후 양도인 자신의 책임 영역 밖에서 언제든지발생할 수 있는 재식별 리스크를 떨치지 못하게 되기 때문이다. 따라서 비식별 정보의양도인이 가이드라인에 따른 조치를 충실히 수행한 경우 향후 그의 책임 영역 밖에서발생하는 재식별 행위에 대하여는 그 재식별 행위자 및 재식별을 방지하지 못한 양수인의 책임을 추궁하는 것에 그치고, 양도인의 책임을 합리적인 범위 내로 제한할 수있는 근거규정을 마련하는 것이 빅데이터 산업 활성화 취지에 부합할 것이다. 넷째, 개인정보 비식별 조치 가이드라인은 비식별 조치의무를 ‘불충분’하게 거친 정보의 경우 ‘개인정보’에 해당한다고 보아 그 처리 행위에 대해 개인정보 침해에 관한처벌규정을 그대로 적용하는 논리구조를 취하고 있으나, 고의⋅중과실에 이르지 않고 단순 경과실로 비식별 조치의무를 불이행한 경우에도 동일한 근거규정으로 처벌할 수 있는지 여부에 대하여 검토가 필요하다. 다섯째, 비식별 조치의 적정성 평가를 수행하는 외부위원은 해당 정보의 개인정보처리자와는 별개의 법적 주체이므로, 그러한 외부위원에게 어느 정도의 비식별 위험에 관한 책임을 분배시킬 수 있는지에 관한 기준이 필요하다.