[MT리포트] 빅데이터 분석, '法'이 걸림돌, 비식별화가 답이지만…

[4차산업 핵심 '빅데이터'가 바꾸는 도시생활-⑤]개인정보보호법 등으로 범죄·질병 등 민감한 개인정보는 데이터 수집·활용 어려워

개인정보를 어떻게 빅데이터로 끌어 올 수 있을까. 빅데이터 산업의 핵심 과제다. 분석 가능한 데이터가 많을수록 분석 결과물의 질이 높아지는데 수많은 데이터를 수집·활용하려니 '개인정보보호'와 정면으로 부딪히는 것이 현실이다.

민감한 정보일수록 빅데이터 활용과는 거리가 더 멀어진다. 서울시가 서북병원과 '찾아가는 결핵 이동검사 서비스' 우선지역을 선정하기 위해 결핵 환자 관련 데이터를 모으는 과정은 쉽지 않았다. 질병관리본부가 보유한 환자 데이터를 받기 위해 생명윤리위원회 심사를 거치는 등 여러 단계를 거쳐야 했다.

이상이 서울시 빅데이터기획팀장은 "범죄와 질병 등은 민감한 정보기 때문에 데이터를 수집하기 더 어렵다"고 설명했다.

개인정보보호법, 정보통신망법 등 기존 법률은 개인정보를 보호하는 데 초점을 맞췄다. 당연한 기조지만 데이터를 활용해야 하는 빅데이터 등 4차산업을 발전시키는 데는 걸림돌이 될 수밖에 없다.

예컨대 현행법상 회원 가입을 받는 웹사이트 운영자가 회원의 개인정보를 수집할 때 수집목적과 활용처를 명확히 알리고 동의 받아야 한다. 수집한 데이터를 새 서비스 등에 활용하려면 다시 동의를 받아야 한다. 사전 동의 받지 않은 곳에는 활용할 수 없는 포지티브 방식 규제가 국내 법의 큰 틀이다.

개인정보를 보호하면서 그 정보를 활용하기 위해서 찾아낸 방식이 '비식별화'다. 해당 정보가 어떤 개인의 것인지 알 수 없게 정보를 조작하는 작업을 말한다. 비식별화 데이터를 얼마나 가공할 수 있는지가 빅데이터 등 4차 산업 기반이 된다.

정부가 나서서 개인정보 비식별조치 가이드라인 만든 이유다. 현행법 안에서 개인정보보호와 빅데이터 산업 발전을 동시에 달성하는 것이 목표다. 2016년 방송통신위원회가 나서 가이드라인을 만들었고 이듬해 부처합동 가이드라인도 발표했다.


문제는 해당 가이드라인도 비식별화의 구체적 범위와 재식별화가 됐을 때 책임 여부 등을 여전히 명확히 제시하지 못했다는 점이다. 합동 가이드라인은 가명처리, 데이터 범주화 등 일련의 비식별화 작업을 명시했지만 현장에서는 이것만으로 부족하다는 목소리가 나온다.

일각에서는 이 같은 논의가 가이드라인이 아니라 법 개정 수준에서 이뤄져야 한다고도 주장한다. 가이드라인은 강제성이 없기 때문에 빅데이터 분석을 하는 사업자, 공공기관 등이 이를 준수하지 않아도 제재할 방법이 없다. 반대로 해당 가이드라인을 지켜도 재식별화 사고가 벌어지면 법적 책임을 면할 수 없어 사업자들 입장에서도 믿을 구석이 못된다. 현재 20대 국회에서는 비식별화와 관련한 7개 법률안이 발의된 상태다.