빅데이터 개인정보 남용 걱정끝내도 될까?

빅데이터는 대한민국 IT의 미래를 책임질 핵심 국가 산업 !

 

IT 산업의 미래 발전을 규정 짓는 핵심 키워드 중의 하나는 빅 데이터(Big Data)이다.

TV나 신문 기사, 정부 정책, 블로그 등에도 자주 언급되며, 그 중요성에 대한 사회적 공감대도 이미 형성되어 있다.

빅데이터는 불특정 다수의 사람들이 만들어 내는 대규모 데이터를 분석하여 대중이 좋아하는 것이 무엇인지, 무엇에 관심이 있는지를 알아내는 행동 분석 산업이다.

사람들이 퇴근 시간에 가장 많이 찾는 곳은 어디일까 ?

빅데이터 분석을 하기 전까지는 누구도 이에 대해 명확히 얘기할 수 없다. 그러나 이동통신사가 갖고 있는 다수 이용자들의 기지국 기반 위치 정보, 스마트폰을 통한 대량의 네비게이션 길찾기 요청 데이터를 분석하면 답을 얻을 수 있다. 

이처럼 빅데이터 분석은 우리가 궁금해 하는 분야에 대한 명쾌한 답을 얻을 수 있다. 그러나 한편으로는 걱정이 앞선다. 빅데이터가 바로 우리들 자신에 대한 정보가 모여진 것이기 때문이다.

그렇다면 빅데이터 분석에서의 개인정보 보호, 프라이버시 침해 우려에 대해 걱정하지 않아도 될까 ? 어떤 대비책이 있는 것일까 ?

빅 데이터 분석에 대한 기대와 우려, Source: Office Clip art

 

 

빅데이터 분석에서의 개인정보 침해, 유출 가능성에 대한 우려 !

 

요즘 범죄 수사에서는 피의자, 범죄자들의 성격과 행동을 분석하는 프로파일링(Profiling) 분석 기법이 많이 활용된다. 이를 통해 범인들의 예상 도주로나 출몰 지점을 예측할 수 있다. 또한 이미 잡힌 범인이나 피의자라면 프로파일링 분석을 통해  그들의 범죄 동기나 행동을 이해하여 향후 예방책을 마련할 수도 있다,

이러한 프로파일링 분석 역시 큰 틀에서는 빅데이터 분석에 포함될 수 있다. 기존에 있었던 다수의 범죄 사례를 종합 분석해 유형을 만들어 이를 적용하기 때문이다. 또한 빅데이터 분석 결과는 개인에 대한 분석에 사용될 수도 있음을 의미한다.

빅데이터의 수집 단계에서는 다수의 개인 정보들이 수집될 수 밖에 없다. 근본적인 자료 자체가 각 개인에게서 나오는 것이기에 이를 피할 수는 없다.

따라서 빅데이터 분석이 중요하나 수집되는 자료에 특정 개인임을 알 수 있는 식별 정보가 포함되는 것을 방지해야 한다. 또한 단독으로는 특정인 임을 추정할 수 없으나 다른 정보와 결합되어 누군가를 특정할 수 있다면 그런 정보 역시 배제 되거나 정보의 일부만 저장 되어야 한다.

이러한 상황들이 의미하는 바는 명확하다. 빅데이터 수집, 분석 과정에서 특정 개인에 대한 정보가 수집되어 분석 및 특정 될 수 있다. 빅데이터 분석에서의 개인정보 보호 및 프라이버시(Privacy)에 대한 고려가 반드시 필요한 이유이다.

 

 

정부가 발표한 빅데이터 개인정보보호 가이드라인의 실효적 운영에 대한 기대 !

 

빅 데이터 분석에 따른 개인정보 침해 가능성을 우려하여 정부 소관부처인 방송통신위원회에서 "빅데이터 개인정보 보호 가이드라인"을 발표했다.

빅데이터 분석 시 개인정보에 대한 비 식별화 조치 시행, 빅데이터 처리 사실에 대한 공개, 파기 등의 내용을 담고 있다.

빅데이터 분석이 점차 활성화 되고 있는 시점에서 규제 불확실성을 해소시켜 줄 수 있는 정책 가이드라인이기에 이에 대한 기대가 높다. 가이드라인의 주요한 내용은 다음과 같다.

[개인정보의 비 식별화 조치 의무화]

공개된 정보 및 이용 내역 정보에 개인을 식별할 수 있는 "개인 정보"가 포함될 수 있다. 이 경우 정보 수집 단계에서부터 해당 개인정보에 대한 비식별화 조치를 해야 한다.

비식별화 방법에는 해당 정보의 일부분을 "*"로 처리하는 등의 가리기(마스킹, Masking), 일부 내용 삭제, 가명 처리, 개인이 아닌 집단으로의 총합 처리, 범주 분류 등이 있다. 이러한 방법이 이용되면 해당 정보 단독으로 또는 다른 정보와 결합하여 특정인임을 알 수 없게 된다. 특정 개인에 대한 비 식별화 조치이다.

[비 식별화 조치 후에는 이용자 동의없이 정보를 수집, 이용 및 내부 목적으로 사용 가능]

개인정보의 경우 이용자 동의(Opt-in)를 받아야만 이를 이용할 수 있다. 그러나 위에서 언급된 비 식별화 조치가 시행된 경우 이용자 동의가 없더라도 이를 이용하거나 제3자에게 제공 할 수 있다.

또한 이용자가 거부 의사를 밝히지 않는  한 자신의 업무 수행을 위해 내부 목적으로 해당 정보를 이용할 수 있다.

[빅데이터 처리 사실, 목적 등 공개를 통한 투명성 확보]

여러가지 경로를 통해 수집된 개인정보가 얼마나 되는지, 누가 수집했는지 파악조차 힘든 세상이다. 이에 개인정보가 들어있는 공개된 정보와  이용 내역 정보를 수집하거나 이용하는 경우 해당 정보의 이용 사실과 새로운 정보가 만들어질 수 있다는 것 등을 공개해야 한다.

이와 같은 정보 공개를 통해 투명성을 확보할 수 있다.

이외에도 가이드라인에는 개인정보 재 식별 시 파기/비 식별화 조치, 만김한 정보나 비밀의 수집/이용/분석 금지, 수집된 정보의 저장 등에 따른 기술적, 관리적 보호 조치 등이 포함되어 있다.

세부적인 내용은 아래의 방송통신위원회 가이드라인을 참조하기 바란다.

[출처: 방송통신위원회]

｢빅데이터 개인정보보호 가이드라인｣ 전문

제 1조(목적) 이 가이드라인은 공개된 개인정보 또는 이용내역정보 등을 전자적으로 설정된 체계에 의해 수집‧저장‧조합‧분석 등 처리하여 새로운 정보를 생성함에 있어서 이용자의 프라이버시 등을 보호하고 안전한 이용환경을 조성하는 것을 목적으로 한다.

제2조(정의) 이 가이드라인에서 사용하는 용어의 정의는 다음과 같으며, 본 조에서 정의되지 않은 용어는 ｢정보통신망 이용촉진 및 정보보호 등에 관한 법률｣, ｢개인정보 보호법｣ 등 관련 법률에서 정의한 바에 따른다.

  1. “공개된 정보”란 이용자 및 정당한 권한이 있는 자에 의해 공개 대상이나 목적의 제한 없이 합법적으로 일반 공중에게 공개된 부호·문자·음성·음향 및 영상 등의 정보를 말한다.  
  2. “이용내역정보”란 이용자가 정보통신서비스를 이용하는 과정에서 자동으로 발생하는 서비스 이용기록, 인터넷 접속정보, 거래기록 등의 정보를 말한다.
  3. “정보 처리시스템”이란 공개된 개인정보 또는 이용내역정보 등을 전자적으로 설정된 체계에 의해 조합·분석 등 처리하여 새로운 정보를 생성하는 시스템을 말한다.
  4. “비식별화”란 데이터 값 삭제, 가명처리, 총계처리, 범주화, 데이터 마스킹 등을 통해 개인정보의 일부 또는 전부를 삭제하거나 대체함으로써 다른 정보와 쉽게 결합하여도 특정 개인을 식별할 수 없도록 하는 조치를 말한다.

제3조(개인정보의 보호) ① 정보통신서비스 제공자가 정보 처리시스템을 통해 공개된 정보, 이용내역정보를 수집․저장․조합‧분석 등 처리하고자 하는 경우, 개인정보의 보호를 위해 다음 각 호의 조치를 취하여야 한다.
  1. 개인정보가 포함된 공개된 정보 및 이용내역정보는 비식별화 조치를 취한 후 수집‧저장‧조합‧분석 등 처리하여야 한다.
  2. 비식별화 조치된 공개된 정보 및 이용내역정보를 조합‧분석 등 처리하는 과정에서 개인정보가 생성되지 않도록 하여야 한다. 다만, 개인정보가 생성되는 경우에는 지체없이 파기하거나 비식별화 조치를 취하여야 한다.
 ② 비식별화 조치된 공개된 정보 및 이용내역정보를 정보 처리시스템에 저장·관리하는 경우 다음 각 호의 보호조치를 취하여야 한다.
   1. 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치·운영
   2. 접속기록의 위조·변조 방지를 위한 조치
   3. 백신 소프트웨어의 설치·운영 등 악성 프로그램에 의한 침해 방지조치
   4. 기타 안전성 확보를 위해 필요한 보호조치

제 4조(공개된 정보의 수집․이용) ① 정보통신서비스 제공자가 개인정보가 포함된 공개된 정보를 비식별화 조치한 경우에는 이용자의 동의 없이 수집‧이용할 수 있다. 다만, 이용자의 동의를 받거나 법령상 허용하는 경우에는 비식별화 조치를 취하지 아니하고 수집‧이용할 수 있다.
  ② 정보통신서비스 제공자는 제1항에 따라 개인정보가 포함된 공개된 정보를 수집․이용하는 경우 공개된 정보의 수집 출처, 수집·저장·조합·분석 등 처리하는 사실 및 그 목적을 이용자 등이 언제든지 쉽게 확인할 수 있도록 개인정보 취급방침을 통해 공개하여야 한다.
  ③ 정보통신서비스 제공자는 이용자 등의 요구가 있으면 즉시 다음 각 호의 모든 사항을  이용자 등에게 알려야 한다.
  1. 개인정보의 수집 출처
  2. 개인정보의 수집·저장·조합·분석 등 처리의 목적
  3. 해당 개인정보의 처리 정지를 요구할 권리가 있다는 사실

제5조(이용내역정보의 수집·이용) ① 정보통신서비스 제공자는 다음 각 호의 경우를 제외하고는 이용자의 동의를 받거나 비식별화 조치를 취한 후 이용내역정보를 수집․이용할 수 있다.
  1. 정보통신서비스의 제공에 관한 계약을 이행하기 위하여 필요한 이용내역정보로서 경제적․기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우
  2. 정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우
  3. 다른 법률에 특별한 규정이 있는 경우
  ② 정보통신서비스 제공자는 제1항에 따라 이용내역정보를 수집하는 경우 해당 정보가 수집·저장·조합·분석 등 처리되는 사실 및 목적을 이용자가 언제든지 쉽게 확인할 수 있도록 개인정보 취급방침을 통해 공개하여야 한다.
  ③ 정보통신서비스 제공자는 이용내역정보의 수집·저장·조합·분석 등 처리를 거부할 수 있는 방법 및 절차를 마련하여야 한다.
  ④ 정보통신서비스 제공자는 이용자의 검색프로그램 등에서 이용자 또는 검색프로그램 등 공급자가 설정해 놓은 이용내역정보의 수집 거부 선택을 이용자의 동의 없이 변경해서는 아니 된다.

제 6조(새로운 정보의 생성) ① 정보통신서비스 제공자는 비식별화 조치하여 수집한 공개된 정보 및 이용내역정보를 정보 처리시스템을 통해 조합‧분석하여 새로운 정보를 생성할 수 있다. 다만, 새롭게 생성된 정보에 개인정보가 포함되어 있을 경우, 즉시 파기하거나 비식별화 조치를 취하여야 한다.
  ② 정보통신서비스 제공자는 제1항에 따라 개인정보가 포함된 정보가 생성될 수 있다는 사실 및 그 처리 방법을 이용자가 언제든지 쉽게 확인할 수 있도록 개인정보 취급방침을 통해 공개하여야 한다.

제 7조(민감정보 생성의 금지) 특정한 개인의 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 이용자의 사생활을 현저히 침해할 우려가 있는 정보의 생성을 목적으로 공개된 개인정보 등을 수집·저장·조합·분석 등 처리하여서는 아니 된다. 다만, 이용자의 사전 동의를 받거나 법률에 따라 허용된 경우에는 그러하지 아니하다.

제 8조(통신 내용의 조합, 분석 또는 처리 금지) 정보통신서비스 제공자는 전송중인 이메일, 문자메시지 등의 통신 내용에 대하여 양 당사자의 동의를 얻은 경우를 제외하고, 통신 내용의 전부 또는 일부를 조합, 분석 또는 처리하여서는 아니 된다. 

제 9조(공개된 정보 및 이용내역정보의 이용) ① 정보통신서비스 제공자는 비식별화 처리된 공개된 정보 및 이용내역정보를 자신의 서비스 제공업무 수행을 위해 내부에서 이용할 수 있다. 다만, 이용자가 거부 의사를 표시한 때에는 그러하지 아니하다.
  ② 정보통신서비스 제공자는 제1항에 따라 공개된 정보 및 이용내역정보를 이용하는 경우 해당 정보가 이용된다는 사실 및 그 목적을 이용자가 언제든지 쉽게 확인할 수 있도록 개인정보 취급방침을 통해 공개하여야 한다.

제 10조(제3자 제공) 정보통신서비스 제공자는 개인정보가 포함된 공개된 정보, 이용내역정보, 생성 정보의 경우, 이용자의 동의를 얻어 제3자에게 제공할 수 있다. 다만, 비식별화 처리된 공개된 정보, 이용내역정보, 생성 정보는 이용자 동의 없이 제3자 제공이 가능하다.

제11조(적용범위) 이 가이드라인에서 규정하지 않은 사항은 ｢정보통신망 이용촉진 및 정보보호 등에 관한 법률｣, ｢개인정보 보호법｣ 등 관련 법률에 따른다.

 

규제와 진흥 사이의 갈림길 ! 사후적 관리가 잘 되길 !

 

위에 소개한 방송통신위원회의 가이드라인을 보면서 여러 생각이 교차된다.

정부는 빅데이터라는 새로운 산업에 대한 진흥과 규제 모두를 추진해야 한다. 만약 규제에 치우친 정책이 나온다면 지나친 옥죄기로 태동기의 빅데이터 산업 발전을 저해한다는 따가운 비판이 나올 것이다.

반면 빅데이터 자료의 광범위한 활용을 허용하는 정책을 펴낸다면 기업들의 개인정보를 이용한 장사를 방치하고, 또 다른 개인정보 오남용을 조장한다는 비난에서 자유로울 수 없다.

따라서 방송통신위원회가 발표한 가이드라인을 유심히 살펴본다. 정책 수립 시 고민한 흔적이 많이 보이며, 규제와 진흥의 중간지점에 위치한 듯 보인다.

그러나 미래의 상황 전개가 어떻게 될 지, 어떤 변수가 튀어 나올지는 아무도 알 수 없다. 사전과 사후라는 시간 개념을 적용 시 정책에 대한 사후 관리가 무척 중요하다는 의미이다.  

앞으로 빅데이터 산업은 활성화 될 수 밖에 없다. 부디 정부가 가이드라인 발표로 역할을 끝내지 말고 향후 진행 상황을 면밀히 살펴, 필요 시 가이드라인의 개정도 추진하길 바란다.

알고 싶은 미래의 모습 ! 빅 데이터 분석이 해법일 수 있다. 개인정보의 유출이나 오남용이 없는 빅데이터 분석 산업이 하루빨리 활성화 되길 기대해 본다.