목차 요약문 7 1. 빅데이터분석기술과프라이버시 10 가. 빅데이터와프라이버시와의관계 10 나. 빅데이터분석기술과개인정보보호법의문제 EU의 GDPR 12 가. 개인정보의목적외처리 13 나. 익명처리와가명처리 한국의개인정보보호법 21 가. 개인정보의

Transcription

1 빅데이터관련 주요국가의개인정보보호법제도분석에따른 한국개인정보보호법개선의검토 고려대학교법학전문대학원박노형교수 NAVER Privacy White Paper 1

2 목차 요약문 7 1. 빅데이터분석기술과프라이버시 10 가. 빅데이터와프라이버시와의관계 10 나. 빅데이터분석기술과개인정보보호법의문제 EU의 GDPR 12 가. 개인정보의목적외처리 13 나. 익명처리와가명처리 한국의개인정보보호법 21 가. 개인정보의목적외이용 제공 21 나. 통계작성및학술연구등목적 22 다. 익명처리와가명처리 23 라. 개인정보보호법제18조제2항제4호에따른빅데이터분석기술활용가능성 미국및일본의개인정보보호법제 25 가. 미국의비식별조치 26 나. 일본의비식별조치 34 다. 미국과일본의비식별조치평가 결어 : 빅데이터분석기술활용을위한한국의개인정보보호법개정방안 38 참고문헌 43 2

3 요약문 1. 빅데이터 (big data) 는 사람, 기기또는센서와같은다양한종류의출처로부터생성된다양한유형의큰분량의데이터 (large amounts of different types of data produced from various types of sources, such as people, machines or sensors) 를가리킴. - 빅데이터분석기술차원에서 개인정보의광범위한수집과추가처리 (extensive collection and further processing of personal information) 는대규모의전자적감시, 프로파일링및개인정보의공개와관련하여심각한프라이버시의우려를제기함. - 빅데이터분석기술이정보의최대한수집과활용인점에서개인정보보호의기본원칙중에서 개인정보최소화 (data minimization) 원칙을위반할가능성이높기때문임. - 빅데이터분석기술을통하여기후변화, 전염병또는약의부작용등의정확한예측이가능하게되는사회적유용성이인정되지만동시에개인의프라이버시나개인정보보호에대한침해가능성도커지게됨. 2. 빅데이터분석기술의활성화를위하여개인의프라이버시와개인정보보호가일방적으로제한되거나침해될수없을것이고, 동시에관련기술과혁신의발전이무조건제한되거나침해될수도없음. - 프라이버시와개인정보보호의법익과기술발전에근거한빅데이터분석기술의활용사이의올바른균형이요구됨. - 개인의프라이버시를침해하지않고서도빅데이터분석기술의모든이익을얻기위하여동분석기술의한계를정하고동분석기술에서의적절한개인정보보호안전조치를통합하는것이필요함. - 종래빅데이터분석기술과프라이버시를상호대척관계 (big data v. privacy) 로보고있었지만, 프라이버시와개인정보보호를빅데이터분석기술의내재적인기본적가치로서이해하여프라이버시를빅데이터분석기술에포함하는상호통합관계 (big data with privacy) 로보아야할것임. 3. 흥미롭게도한국의개인정보보호법은개인정보보호에관한일반법으로서일본이나유럽연합의상응하는법에비교하여상당히최근에제정되었음에도, 빅데이터분석기술등개인정보의활용측면에서는상당히부정적인역할을하는것으로이해됨. - IT강국이라고자타가공인하는한국에서개인정보보호와개인정보활용의올바른균형이상실된것으로볼수있음. - 한국개인정보보호법의빅데이터분석기술의활성화에대한문제는크게개인정보의 목적외이용 제공 과개인정보의소위 비식별화 에관련되는것으로볼수있음. - 빅데이터분석기술에서개인정보가수집또는제공되어이용되는과정에서그대상인대량의개인 3

4 정보가원래의수집목적으로만처리될수없는현실적인한계가있기때문임. - 이러한점에서개인정보의특정개인에대한식별성을제거하는비식별화가빅데이터분석기술을위한모범답안으로서제시되고있지만, 일단비식별화된개인정보가달리재식별화되는현실적인문제가제기됨. - 그럼에도, 개인정보의목적외이용 제공과비식별화는현실적으로불가피하고, 이들은개인정보보호를주된목적으로하는개인정보보호법의법적테두리내에서허용되어야할것임. 4. 빅데이터분석기술을허용하는방식에는크게두가지방식이존재한다할수있음. - 첫번째방식은개인정보를최초수집시목적이아닌추가목적에따라목적외처리하도록허용하는것이고, 두번째방식은개인정보를비식별처리하여해당정보가더이상해당법의적용을받지않게하는것임. - 유럽연합의 개인정보보호일반규칙 (GDPR) 은가명처리정보와익명처리정보를구분하여, 개인정보에해당하는가명처리정보는일정한법률요건을충족하는경우목적외처리로서허용하고, 개인정보에해당하지않는익명처리정보의활용은 GDPR의적용을배재함으로써상기두가지접근방식을모두취한다고볼수있음. - 이와달리, 미국의 비식별정보 및일본의 익명가공정보 는개인정보에해당하지않아서자유로운이용과제공이가능하여서, 이들두국가는빅데이터분석기술등개인정보의활용을위하여후자의접근방식을취하고있는것으로보임. - 문제는이러한비식별처리, 특히익명처리에따른빅데이터분석기술의허용은관련개인정보보호법제의테두리안에서규율되는것이아니라, 해당법의적용범위를벗어나게하여허용되는것임. 5. 결론적으로 21세기디지털경제에서빅데이터분석기술등을통한개인정보이용의활성화는결코피하거나억제할수없는것이지만, 동시에국가나국제사회에서의기본적구성원인개인의개인정보보호도결코양보될수없음. - 이점에서빅데이터분석기술과개인정보보호는함께가야할것이고, 이러한개인정보활용은개인정보보호를내재하면서허용되어야할것임. - 빅데이터분석기술과개인정보보호의조화에관하여유럽연합, 미국과일본의관련법제도를검토하는데, 개인정보의비식별화내지익명조치에중점을두는미국과일본의접근보다는목적외처리로서가명조치를포함하는유럽연합의접근이보다현실적이고법적으로안정적이라고판단됨. - 특히가명조치가익명조치보다선호되는것은가역성이라는점에서익명조치는결코완전하지않으며, 또한익명조치와달리가명조치는여전히개인정보보호법의적용범위내에있기때문임. - 즉, 개인정보보호법의세계적추세인개인정보보호와개인정보활용사이의균형이추구될수있을것임. 4

5 - 2016년발표된 개인정보비식별조치가이드라인 -비식별조치기준및지원 관리체계안내- 는미국과일본의접근과유사하게익명조치에집중한점에서또한보다정상적인개인정보보호법의개정을대신하는점에서긍정적이라고볼수없음. - 개인정보보호법의목적으로부터빅데이터분석기술의포용까지동법의전면적인개정이필요할것임. 5

6 1. 빅데이터분석기술과프라이버시 가. 빅데이터와프라이버시와의관계 빅데이터 (big data) 는 사람, 기기또는센서와같은다양한종류의출처로부터생성된다양한유형의큰분량의데이터 (large amounts of different types of data produced from various types of sources, such as people, machines or sensors) 를가리킨다. 1 빅데이터의일반적인예로기상정보, 인공위성이보낸사진, 디지털사진과비디오, 전송기록또는 GPS신호가있지만, 사람의이름, 사진, 이메일주소, 은행계좌번호, SNS에올린자료, 건강정보또는 IP주소와같은개인정보를포함할수있다. 2 빅데이터를통하여생성되는개인정보의경제적가치가확인되는데, 유럽시민의개인정보의가치가 2020년까지 1조유로 ( 약1,245조원 ) 로발전할것이라고한다. 3 개인정보를활용한빅데이터분석기술 (big data analytics) 의발전은개인정보의주체인사람의보호, 특히개인정보보호의높은수준을요구할것이다. 높은또는올바른수준의개인정보보호가유지되어야소비자의빅데이터분석기술활용에대한신뢰가높아지고그만큼그의활용이더욱확대될것이기때문이다. 빅데이터분석기술차원에서 개인정보의광범위한수집과추가처리 (extensive collection and further processing of personal information) 는대규모의전자적감시, 프로파일링및개인정보의공개와관련하여심각한프라이버시의우려를제기한다. 4 빅데이터분석기술이정보의최대한수집과활용인점에서개인정보보호의기본원칙중에서 개인정보최소화 (data minimization) 원칙을위반할가능성이높기때문이다. 빅데이터분석기술을통하여기후변화, 전염병또는약의부작용등의정확한예측이가능하게되는사회적유용성이인정되지만동시에개인의프라이버시나개인정보보호에대한 * 본고의작성과편집에도움을준고려대학교대학원박사과정김효권연구원과박주희연구원및석사과정홍진형연구원에게고마움을표한다. 1 European Commission, Factsheet: The EU Data Protection Reform and Big Data, ( ), p.1. 2 Information Commissioner soffice, Big Data and Data Protection, ( ), available online at: ico.org.uk/media/for-organisations/documents/1541/big-data-and-data-protection.pdf, pp European Commission, supra note 1, p.1. 4 ENISA, Privacy by design in big data: An overview of privacy enhancing technologies in the era of big data analytics, ( ), p.5. 6

7 침해의가능성도커지게된다. 5 빅데이터분석기술의활성화를위하여개인의프라이버시와개인정보보호가일방적으로제한되거나침해될수없을것이고, 동시에관련기술과혁신의발전이무조건제한되거나침해될수도없다. 따라서프라이버시와개인정보보호의법익과기술발전에근거한빅데이터분석기술의활용사이의올바른균형이요구된다. 개인의프라이버시를침해하지않고서도빅데이터분석기술의모든이익을얻기위하여동분석기술의한계를정하고동분석기술에서의적절한개인정보보호안전조치를통합하는것이필요하다. 이와관련하여종래빅데이터분석기술과프라이버시를상호대척관계 (big data v. privacy) 로보고있었지만, 프라이버시와개인정보보호를빅데이터분석기술의내재적인기본적가치로서이해하여프라이버시를빅데이터분석기술에포함하는상호통합관계 (big data with privacy) 로보아야할것이다. 6 이렇게프라이버시와빅데이터분석기술을통합관계로접근하여야 21세기디지털경제에서개인정보를활용할수밖에없는빅데이터분석기술은물론이러한개인정보의주체인개인도모두균형되게이익을추구할수있게된다. 나. 빅데이터분석기술과개인정보보호법의문제 최근유럽연합을비롯하여주요국가와국제기구가개인정보보호제도를개혁하고있는데, 이는지난 30년가까이급속하게발전한인터넷등관련정보통신기술의개인정보보호와의합리적인균형을이루기위한것으로이해된다. EU의 1995년개인정보보호지침 (Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with regard to the Processing of Personal Data and on the Free Movement of Such Data) 은 2016년 4월 개인정보보호일반규칙 (General Data Protection Regulation: GDPR) 으로대체되었고, 유럽평의회 (Council of Europe) 의 1981년 개인정보의자동처리에관한개인의보호를위한협약 (Convention for the Protection of Individuals with regard to Automatic Processing of 5 International Working Group on Data Protection in Communications, Working Paper on Big Data and Privacy, (2014); Article 29 Data Protection Working Party, Statement on the impact of the development of big data on the protection of individuals with regard to the processing of their personal data in the EU, 14/EN WP221, ( ), available online at: files/2014/wp221_en.pdf; European Data Protection Supervisor, Opinion 07/ Meeting the challenges of big data, (2015), available online at: Consultation/Opinions/2015/ _Big_Data_EN.pdf; 특히유럽의회는개인생활의다양한측면이데이터로전환되는 사회의데이터화 (datafication of society) 의문제를공감하였다. European Parliament, Big Data and Smart Devices and their Impact on Privacy, (2015), available online at: STUD/2015/536455/IPOL_STU%282015% _EN.pdf, p ENISA, supra note 4, pp

8 Personal Data) 은소위현대화를위하여개정중이며, 1980 년 OECD 가이드라인 (OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data) 은 2013 년개정되었다. 또한, 일본의 2003 년개인정보보호법은 2015 년개정되었다. 흥미롭게도한국의개인정보보호법은개인정보보호에관한일반법으로서 2011년채택되어현재적용되고있지만, 일본이나유럽연합의상응하는법에비교하여상당히최근에제정되었음에도, 빅데이터분석기술등개인정보의활용측면에서는상당히부정적인역할을하는것으로이해된다. IT강국이라고자타가공인하는한국에서개인정보보호와개인정보활용의올바른균형이상실된것으로볼수있다. 예컨대, 국내빅데이터공급및수요기업을대상으로조사한결과에따르면빅데이터산업활성화에가장큰걸림돌중하나로 법제도 문제가지적되었다. 7 즉, 국내에서는개인정보범위의불명확성, 경직적사전동의제도등으로인해효율적빅데이터분석기술의발전이사실상곤란하다는것이다. 그결과국내기업의영업활동의지장이초래되고우리기업의글로벌경쟁력이저하된다는것이다. 한국개인정보보호법의빅데이터분석기술의활성화에대한문제는크게개인정보의 목적외이용 제공 과개인정보의소위 비식별화 에기인하는것으로볼수있다. 빅데이터분석기술에서개인정보가수집또는제공되어이용되는과정에서그대상인대량의개인정보가원래의수집목적으로만처리될수없는현실적인한계가있기때문이다. 이러한점에서개인정보의특정개인에대한식별성을제거하는비식별화가빅데이터분석기술을위한모범답안으로서제시되고있지만, 일단비식별화된개인정보가달리재식별화되는현실적인문제가제기된다. 그럼에도, 개인정보의목적외이용 제공과비식별화는현실적으로불가피하고, 이들은개인정보보호를주된목적으로하는개인정보보호법의법적테두리내에서허용되어야할것이다. 아래에서는주로유럽연합의 2016년 GDPR의채택과부차적으로미국과일본의관련개인정보보호법의내용을중심으로한국의개인정보보호법개선방안을검토한다. 2. EU 의 GDPR 2016 년 4 월유럽연합은 1995 년개인정보보호지침을전폭적으로개정하는내용의 개인정보보호일 반규칙 (General Data Protection Regulation: GDPR) 을채택하였다 년 GDPR 의적용으로현 재의 28 개회원국들에서일관되고통일적인개인정보보호법체제가시행될것이다. 7 한국정보화진흥원 ICT융합본부, 개인정보보호법제로인한빅데이터활용한계사례조사 분석, 한국정보화진흥원, ( ), p.1. 8 European Union, REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation, GDPR), (2016), available online at: 8

9 가. 개인정보의목적외처리 GDPR은목적외처리에대하여상당히유연한접근을취하고있다. GDPR 제6조제4항에따라개인정보의목적외처리가허용되는경우는첫째, 목적외처리에대한정보주체의동의를얻는경우, 둘째, 목적외처리가, 제23조제1항에명시된일련의목적을보호하기위하여, 유럽연합또는회원국의법률에근거하는경우, 9 셋째, 개인정보가최초로수집될때제시된목적과다른목적 (another purpose) 이최초수집목적과양립하는경우이다. 최초수집목적과양립하는다른목적에근거한추가적처리 (further processing) 를허용하는것은, 동규정에한정적으로명시된정보주체의동의또는법률에따른예외사유이외의목적외처리를폭넓게인정하려는것으로서, 개인정보의활용과관련이깊을것이다. GDPR 제6조제4항은이러한양립가능성을판단하기위한고려사항으로서 i) 최초수집목적과추가적처리를위한목적사이의연관성, ii) 정보주체와개인정보처리자의관계를고려하여, 해당개인정보가수집되는전후상황, iii) 제9조내지제10조에서규정하고있는민감정보및범죄기록처리여부등처리되는개인정보의특성, iv) 의도된추가적처리가정보주체에미칠수있는결과, v) 적절한안전장치 (safeguards) 10 로서암호처리 (encryption) 또는가명처리 (pseudonymisation) 여부를규정한다. 추가적처리를위한목적이최초수집목적과양립한다면, 이러한목적외처리는정보주체의동의나별도의법적근거없이도허용된다. 11 빅데이터분석기술등개인정보의활용과관련하여주목할규정은 GDPR 제5조제1항 (b) 이다. 동조항은개인정보의목적외처리를원칙적으로금지하면서도, GDPR 제89조제1항에따른 공익을위한기록보존목적, 과학또는역사연구목적, 또는통계적목적 (archiving purposes in the public interest, scientific or historical research purposes or statistical purposes) 은원래의수집목적과양립가능한것으로간주된다고규정한다. 이러한특별한목적에따른추가적처리는제89조제1항에규정된안전장치를구비하는한, 적법한목적외처리로서허용되는것이다. 9 GDPR 제23조제1항에규정된목적으로는국가안보, 방위, 공공안전, 범죄의예방, 조사, 적발, 기소또는형사처분집행 ( 공공안전확보및공공안전에대한위협의예방을포함 ), 그밖에유럽연합또는회원국의공익상중요한목적으로, 특히유럽연합또는회원국의중요한경제적또는재정적이익, 사법독립과사법절차의보호, 직업적윤리의위반에대한예방, 조사, 적발및기소, 상기언급된사항에대한공공기관의감독및조사, 정보주체의보호와정보주체가아닌다른사람의권리와자유, 민사청구의집행이존재한다. 10 여기서의 safeguards 는개인정보보호법제29조안전조치의무에서규정하는물리적 기술적 관리적조치를의미하는안전조치와구별될것이다. 개인정보보호법제29조와유사한조항은 GDPR 제32조 security of processing 으로서동조항에서규정하는 technical and organisational measure 가국내법상안전조치에해당한다고볼수있다. 이에따라 GDPR 제89조등에서명시하고있는 safeguards 는안전조치와구분되기위하여 안전장치 로표기될수있다. 동일한맥락에서, GDPR 제32조는 처리의안보 가아니라 안전한처리 로풀이될수있다. 11 GDPR Recital (50). 9

10 따라서, GDPR에서빅데이터분석기술을비롯한개인정보의활용은다음의근거에의하여목적외처리로서허용될수있다. 첫째, 제6조제4항 (e) 에따라가명처리또는암호처리가되어있는경우, 추가적처리를위한목적이최초수집목적과양립가능한경우가존재할수있다. 다만, 동조항에따른안전장치는목적의양립가능성을판단하기위한하나의고려사항에불과하므로, 가명처리또는암호처리의존재자체가목적외추가적처리를필연적으로적법하게하는것은아니다. 둘째, 제5조제1항 (b) 및제89조제1항에따라서, 공익을위한기록보존목적, 과학또는역사연구목적, 또는통계적목적에따른개인정보처리는, 해당처리가가명처리를포함한안전장치를구비하고있는한, 목적외처리로서허용된다. 양자의가장큰차이는공익을위한기록보존목적, 과학또는역사연구목적, 또는통계적목적을위한개인정보처리의경우, 최초수집목적과의양립가능성을별도로판단할필요가없다는점이다. 또한두경우에있어서, 가명처리또는암호처리를포함한안전장치는그법적지위가다르다할것이다. 즉, 제6조제4항 (e) 에근거하는경우안전장치는양립가능성을판단하기위한고려사항에불과한반면, 제 5조제1항 (b) 에서언급하는동규정제89조제1항에따른안전장치는목적외처리를허용하기위한필수적인요건에해당한다. 1) 공익을위한기록보존목적, 과학또는역사연구목적, 또는통계적목적 1 개념과범위공익을위한기록보존목적과관련하여, 공익적가치를지닌기록물을보유하고있는공공당국또는공공 민간기관이수행하는기록물의획득, 보존, 평가, 편찬, 기술, 교환, 홍보, 배포, 제공은목적외추가처리로서허용된다. 12 GDPR은과학적연구목적의개인정보처리는폭넓게해석되어야한다고규정하고있다. 여기서과학적연구는기술의발전과실현, 기초연구, 응용연구및민간투자연구, 공중보건분야에서시행된공공보건연구를포함한다. 13 특히 GDPR은과학적목적에따른개인정보처리에있어서 유럽연합기능에관한조약 (Treaty on the Functioning of the European Union) 제 179조제1항이고려되어야함을언급하고있는데, 동조항은과학자, 과학적지식및기술이자유롭게이동하는 유럽연구지역 (European Research Area) 의실현을목적으로한다. 역사적연구에는계보학 (genealogical) 연구가포함된다. 14 다만, 공익을위한기록보존과마찬가지로, 역사적연구를목적으로한개인정보처리에있어서사망한사람의개인정보는동규정의적용을받지않는다. 통계적목적에따른개인정보처리에대하여 GDPR은통계내용 (statistical content), 접근의통제 12 GDPR Recital (158). 13 GDPR Recital (159). 14 GDPR Recital (160). 10

11 (control of access), 통계목적에따른개인정보처리에대한세부사항과정보주체의권리와자유를보호하고통계의기밀성을보장하기위한적절한조치를유럽연합또는회원국의법률이결정해야함을명시하고있다. 15 통계적목적에따른개인정보처리는통계조사및통계결과를작성하기위하여필요한개인정보의수집및처리의작업일체를의미한다. 16 이러한통계결과는과학적목적을포함한다른목적을위하여추가적으로이용될수있다. 17 특히, 통계적목적은 i) 통계목적에따른처리의결과가개인정보가아니라총합적데이터 (aggregate data) 라는사실과, ii) 이러한통계처리의결과나통계에이용된개인정보는어떠한개인에관한조치나결정을지지하는데활용되지않았다는사실을의미한다. 18 통계적목적과관련된 GDPR의상기해설은개인정보의활용과관련하여매우중요한의미를가진다. 통계를위하여이용된정보에개인정보가포함되는경우, 그러한통계처리는 GDPR의적용을받는것이당연지만, 통계적목적에따른개인정보처리가목적외처리로서허용될수있는이유는그러한통계처리의결과물이개인정보가아닌총합적데이터로서간주되기때문이다. 이러한맥락에서가명처리와익명처리는통계적목적에따른개인정보의활용과밀접한연관성을가진다. 2013년제29조작업반은통계적목적에따른개인정보처리는교통사고에따른사망자통계와같이공익적목적뿐만아니라, 시장조사를목적으로하는빅데이터분석기술과같은상업용목적을포함한다는의견을제시하였다 목적외처리의실효성빅데이터분석기술등개인정보활용을통한시장가치의창출을도모함에있어서가장중요한부분은그러한개인정보처리를어떠한근거에따라서허용할것인가이다. 그런데, GDPR이규정하는개인정보의목적외처리, 특히공익을위한기록보존목적, 과학또는역사연구목적, 또는통계적목적에따른개인정보처리규정은개인정보의활용을허용하는근거가될수있다. 그러나목적외처리를허용하기위한법적근거를구비하는것과마찬가지로중요한것은개인정보의활용을실효적으로도모하기위한일관된법체계의마련이다. 이러한맥락에서 GDPR은공익을위한기록보존목적, 과학또는역사연구목적, 또는통계적목적에따른개인정보의활용과관련하여다음과같은관련규정을둔다. 첫째, GDPR 은위의목적에따라개인정보를활용하는개인정보처리자에대하여특정의무를경감 한다. GDPR 제 14 조는개인정보처리자가정보주체이외의출처로부터개인정보를수집하는경우, 15 GDPR Recital (162). 16 GDPR Recital (162). 17 GDPR Recital (162). 18 GDPR Recital (162). 19 Article 29 Data Protection Working Party, Opinion 03/2013 on Purpose Limitation, 00569/13/EN WP203, ( ), p

12 개인정보처리자로하여금정보주체에게자신에대한정보 ( 기관명, 세부연락처등 ), 처리의목적과근거, 처리되는개인정보의유형, 수령인, 국외이전에관한정보등을고지하도록요구한다. 그러나동조제5항 (b) 는개인정보처리자에게 과도한노력 (disproportionate effort) 이요구되고, 정보주체에대한고지가공익을위한기록보존목적, 과학또는역사연구목적, 또는통계적목적에따른개인정보처리를불가능하게만들거나그러한목적의달성을심각하게저해하는경우이러한고지의무를면한다고규정한다. 둘째, 공익을위한기록보존목적, 과학또는역사연구목적, 또는통계적목적에따른개인정보처리에대하여정보주체가가지는권리는다음과같이제한된다. GDPR 제17조에따른삭제권 (right to erasure) 은해당목적에따른개인정보의처리를불가능하게만들거나그러한목적의달성을심각하게저해하는경우에행사될수없다. 20 또한, 과학또는역사연구목적, 또는통계적목적에따른개인정보처리가공적인이유를근거로처리되는경우에, 정보주체는제21조에따른처리반대권 (right to object) 을주장할수없다. 21 또한, GDPR 제89조제2항은과학또는역사연구목적, 또는통계적목적에따른개인정보처리에대한실효성을확보하기위하여, GDPR 제15조, 제16조, 제18조에따른정보주체의열람권, 정정권, 처리제한권의행사를유럽연합또는회원국의입법조치로제한할수있다고규정한다. 22 셋째, GDPR 제9조제2항 (j) 에따라공익을위한기록보존목적, 과학또는역사연구목적, 또는통계적목적에따른민감정보처리는개인정보보호권리의본질을존중하고, 그러한목적이비례적인한도내에서허용된다. 이처럼 GDPR은공익을위한기록보존목적, 과학또는역사연구목적, 통계적목적에따른개인정보처리에있어서개인정보활용의유연성을대폭확대하면서, 프로파일링을포함한자동화된방식에따른개인정보처리의위험성을자각하고정보주체의권리를보호하는관련규정도마련하고있다. 나. 익명처리와가명처리 GDPR 은미국또는일본과달리익명처리와가명처리를구분하고가명처리 (pseudonymisation) 및 가명처리정보라는새로운개념을도입하여, 정보주체의권리를보호하는동시에개인정보활용의유연 성을제고하고있다. 즉, GDPR 은가명처리와가명처리정보를 GDPR 의적용범위에포함함과동시에, 20 GDPR 제 17 조제 3 항. 21 GDPR 제 21 조제 6 항. 22 GDPR 제 89 조제 2 항. 12

13 개인정보처리자가가명처리정보를활용하도록관련규정을완화한다. 이에따라개인정보처리자는최 초수집목적과다른추가목적또는공익을위한기록보존목적, 과학또는역사연구목적, 또는통계적 목적에따라개인정보에해당하는가명처리정보를빅데이터분석기술에활용할수있다. 흥미롭게도, 1995년개인정보보호지침이 2016년 GDPR로대체되는과정에서익명처리 (anonymisation) 와가명처리 (pseudonymisation) 의두개념의지위가변경되었다고볼수있다. 먼저, 1995년개인정보보호지침은가명처리를언급하고있지않다. 다만, 제29조작업반은 익명처리기법에관한 05/2014 의견 (Opinion 05/2014 on Anonymisation Techniques) 에서동지침해설전문제26항에근거하여익명처리의개념을설명하면서, 익명처리는개인정보의추가적처리 (further processing) 로서이해되어야한다고판단하였다. 23 또한, 제29조작업반은가명처리가익명처리의수단이아니라고밝혔는데, 이는가명처리정보가재식별될수있는위험이아주작더라도존재하기때문이다. 24 이러한맥락에서, 제29조작업반은가명 (pseudonymity) 은식별성 (identifiability) 을허용할가능성이있으므로, 개인정보보호의법체제의범위내에서규율되어야한다는의견을제시하였다. 25 이와달리, GDPR은주요개념의정의에관한제4조를포함한여러관련조항에서가명처리를상세히규정하는한편, 해설전문제26항을통하여익명처리정보와익명처리정보의처리는동규정의적용대상이아님을명시한다. 26 이로써 1995년개인정보보호지침이 2016년 GDPR로대체되면서비식별화조치와관련된규율의주된관심은익명처리에서가명처리로바뀐것으로볼수있다. 27 1) 가명처리와익명처리의구별 GDPR에서가명처리와익명처리는명확하게구분된다. 먼저 GDPR 제4조에따라가명처리는개인정보의처리에해당하고, 가명처리된개인정보, 즉가명처리정보는여전히개인정보로서 GDPR의적용을받는다. 여기서가명처리는 추가적정보의이용없이개인정보가더이상특정정보주체에게귀속될수없는방식으로개인정보의처리 (processing of personal data in such a manner that the personal data can no longer be attributed to a specific data subject without the use of additional information) 를의미한다. 이러한경우이러한추가적정보는별도로보관되어야하고, 23 Article 29 Data Protection Working Party, Opinion 05/2014 on Anonymisation Techniques, 0829/14/EN WP216, ( ), p Ibid., p Ibid., p GDPR Recital (26). 27 GDPR이원칙적으로익명처리정보와익명처리정보의처리에대하여적용되지않는점을고려할때, 제29조작업반이제시한 익명처리기법에관한 05/2014 의견 을포함하여 1995년개인정보보호지침에따른익명처리정보에대한기존의해설은 2016년 GDPR의해석과관련하여조심스럽게다루어져야할것이다. 13

14 해당개인정보가식별된또는식별가능한자연인에귀속될수없게보장하도록기술적 관리적조치 가취해져야한다. 28 GDPR 해설전문제26항에따르면, GDPR은 i) 식별된또는식별가능한자연인과관련되지않거나 ii) 정보주체를더이상식별할수없도록개인정보에익명처리가가해진익명처리정보 (anonymous information) 에는적용되지않는다. 자연인에대한식별가능성여부를판단하기위해서개인정보처리자 (controller) 또는제3자에의하여합리적으로사용될것으로예상되는모든수단이고려되어야하고, 그러한수단이합리적으로사용될것으로예상되는지를판단하기위해서는식별하기위해소요되는비용 시간등객관적인요소와함께처리당시가용한기술과기술적발전을모두고려되어야한다. 29 한편, 국제표준화기구 (International Organization for Standardization: ISO) 는의료정보보호를위한기술보고서 Health informatics Pseudonymization 를발간하였는데, 비식별조치의이해에유용하다. 30 동보고서는비식별처리 (de-identification) 를 식별데이터셋과정보주체사이의연결을제거하는과정의일반용어 (general term for any process of removing the association between a set of identifying data and the data subject) 로정의한다. 31 익명처리는이러한비식별처리의하부범주로서 식별데이터셋과정보주체사이의연결을제거하는과정 (process that removes the association between the identifying dataset and the data subject) 이다. 32 ISO 는가명처리를 정보주체와의연결을제거하고또한정보주체에관련되는특별한특징셋과하나이상의가명사이의연결을추가하는특별한유형의익명처리 (a particular type of anonymization that both removes the association with a data subject and adds an association between a particular set of characteristics relating to the data subject and one or more pseudonyms) 라고정의한다. 33 일반적으로가명처리는직접식별자를무작위로생성된가치와같은가명 (pseudonym) 으로대체하는데, 34 가명은 일반적으로이용되는개인식별자와다른개인식별자 (personal identifier that is different from the normally used personal identifier) 를의미한다 GDPR 제4조제5호. 29 GDPR Recital (26). 30 ISO, ISO/TS 25237:2008 Health informatics Pseudonymization, ( ), available online at: =42807 참조. 동보고서는익명성의기본개념을정의하고비식별처리에따른개인정보활용사례를설명하고있다. 31 I S O, Ibid., p.3; Simson L. Garfinkel, De-Identification of Personal Information 2 - NISTIR 8053 National Institute of Standards and Technology Internal Report (NISTIR), ( ) 에서재인용. 32 I S O, Ibid., p.2; Simson L. Garfinkel, Ibid., p.43에서재인용. 미국 NIST는 anonymization 대신 de-identification 이라고한다. 33 I S O, Ibid., p.5; Simson L. Garfinkel, Ibid., p.2에서재인용. 34 Simson L. Garfinkel, Ibid., p.43에서재인용. 35 I S O, supra note 30, p.5; Simson L. Garfinkel, Ibid., p.43에서재인용. 14

15 가명처리의개념을이해하기위하여직접식별자 (direct identifier) 와간접식별자 (indirect identifier) 를구별할필요가있다. 직접식별자와간접식별자를정의하고있는 ISO 보고서에따르면, 한개인을직접적으로식별하는데이터 (data that directly identifies a single individual) 를의미하는직접식별자는 추가적정보없이또는공역에있는다른정보를통하여교차연계하여사람을식별하는데이용될수있는데이터 (data that can be used to identify a person without additional information or with cross-linking through other information that is in the public domain) 이다. 36 직접식별자의예는이름, 사회보장번호나이메일주소를포함한다. 37 간접식별자는 독립적으로개인을식별하지않지만추가적데이터포인트와결합한다면개별신원을드러낼수있는데이터 (data that do not identify an individual in isolation but may reveal individual identities if combined with additional data points) 를의미한다. 예컨대, 생일, 성별및우편번호라는세가지간접식별자를결합하는경우, 미국인의 87.1% 가식별될수있다고한다. 38 즉, 생일과같은간접식별자를단독으로이용하여개인을식별하는것은어려워도, 성별과우편번호라는다른간접식별자를결합하는방식으로특정개인을식별할수있게되는것이다. 가명처리는이러한직접식별자및간접식별자를제거하거나모호하게하는것이다. 이들데이터포인트는무작위식별번호나다른가명과같은키를사용하여비식별화된데이터베이스에연계될수있는별개의데이터베이스에보관된다. 익명처리와달리, 가명처리는추가적인정보와의결합을통하여개인을재식별할수있는위험성을가지므로, 39 그러한위험성을감소시키기위하여개인정보처리자는 가명처리의허가받지않은가역 (unauthorized reversal of pseudonymization) 을방지하는적절한안전조치를이행하여야한다. 40 이러한안전조치에는암호화 해싱 (hashing) 41 토큰화 (tokenization) 42 와같은기술적조치와, 43 협약 정책 프라이버시중심설계 (privacy by design) 와같은관리적조치가포함된다 I S O, Ibid., p.3; Simson L. Garfinkel, Ibid., p.15 에서재인용. 37 Simson L. Garfinkel, Ibid., p.15 에서재인용. 38 Latanya Sweeney, Simple Demographics Often Identify People Uniquely, Data Privacy Working Paper 3, Carnegie Mellon University, (2000), p Gabe Maldoff, Top 10 operational impacts of the GDPR: Part 8 Pseudonymization, ( ), available online at: 40 GDPR Recital (75). 41 해시 (hash) 는잘게자른조각을의미하는데, 전산처리에서 해싱 (hashing) 은디지털숫자열을원래의것을상징하는더짧은길이의값이나키로변환하는것을의미한다. 기록학용어사전, available online at: &cid=42081&categoryId= 토큰화는모바일결제시스템에서, 신용카드와같은개인정보를보호하기위해관련정보를토큰으로변환하여사용하는방식을의미한다. IT용어사전, available online at: Id= Article 29 Data Protection Working Party, supra note 23, pp Gabe Maldoff, supra note

16 2) 가명처리관련규정 GDPR은다음과같이가명처리를규율한다. 첫째, GDPR은정보주체의위험을감소시키고개인정보처리자의의무를충족시키는기술적조치로서가명처리를장려한다. 45 둘째, 가명처리정보를어떠한승인없이식별가능한개인정보로가역 (reversal) 하는행위는금지되고, 46 이러한행위는개인정보침해 (personal data breach) 를구성한다. 47 셋째, 가명처리를포함한안전장치 (safeguards) 는최초수집목적과다른목적의양립가능성을판단하는고려사항이다. 48 넷째, 개인정보처리자는 개인정보보호중심디자인및설정 (data protection by design and by default) 을고려하여, 처리의방법을결정하는시점과처리당시시점에서가명처리를포함한안전장치를취하여야한다. 49 다섯째, 개인정보처리자와수탁처리자는개인정보의안전한처리 (security of processing) 를위하여기술적 관리적조치를취할의무를가지는데, 가명처리는이러한기술적조치에해당한다. 50 여섯째, 개인정보처리자를대표하는협회나기타단체는행동강령 (code of conduct) 을제정함에있어서가명처리에관한세부규정을마련할수있다. 51 마지막으로, 가명처리는공익을위한기록보존목적, 과학또는역사연구목적, 또는통계적목적에따른개인정보처리에서반드시요구되는안전장치의예로서명시적으로언급된다. 52 특히, GDPR은개인정보를보유하고있는개인정보처리자로하여금자체적인가명처리에따른개인정보의활용을허용한다. 해설전문제29항에따르면개인정보처리자는 i) 개인을식별하는데쓰이는추가적정보를별도로보관하고, ii) 필요한기술적 관리적조치를취하며, iii) 이를감독하는책임자를선정하는경우, 자신이보유한개인정보를스스로가명처리할수있다. 예를들어, 오픈데이터를통하여수집한식별가능한개인정보나제3자로부터제공받은개인정보를가명처리한후, 해당가명처리정보를통계적목적에근거하여빅데이터분석기술에이용하는것은 GDPR에서허용된다. 45 GDPR Recital (28), (29). 46 GDPR Recital (75). 47 GDPR Recital (85). 48 GDPR 제6조제4항. 49 GDPR 제25조. 50 GDPR 제32조. 51 GDPR 제40조. 52 GDPR 제89조. 16

17 3. 한국의개인정보보호법 2011 년개인정보보호를위한일반법으로서채택된개인정보보호법은국제적으로도상당히강력한개 인정보보호법으로평가되고, 그만큼빅데이터분석기술등의활용을제약하고있다고이해된다. 가. 개인정보의목적외이용 제공 개인정보보호법은제 3 조에서개인정보처리목적을명확하게하고그목적에필요한범위에서최소한 의개인정보만을처리해야함을원칙으로규정하고있다. 그러나개인정보의활용을허용할수있는목 적외처리규정과관련하여개인정보보호법은 GDPR 과다음과같은차이점을가지고있다. 첫째, 개인정보보호법제2조는개인정보처리를 개인정보의수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정 ( 訂正 ), 복구, 이용, 제공, 공개, 파기 ( 破棄 ), 그밖에이와유사한행위 라고정의하는데, 개인정보의목적외이용 제공제한 에관한제18조는이러한처리중에서이용과제공에국한한다. 53 이는개인정보보호법이수집 ( 제15조 ), 제공 ( 제17조 ), 파기 ( 제21조 ) 등특정유형의개인정보처리를분리하여개별적으로규율하고있기때문이다. 물론, 빅데이터분석기술등개인정보의활용은대개의경우개인정보의이용 제공에해당하겠지만, 개인정보의목적외수집 저장 보유 가공 편집등이허용되지않는다는점은개인정보의활용을저해하는결과를야기할수있다. 둘째, 개인정보보호법제 18 조에따라동법제 15 조및제 17 조의범위를초과한개인정보의이용및제 공은원칙적으로금지되지만, 이에대하여다음과같은예외사유가존재한다. 53 개인정보보호법제 2 조. 17

18 제18조제2항제58조제1항 1. 정보주체로부터별도의동의를받은경우 2. 다른법률에특별한규정이있는경우 3. 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히정보주체또는제3자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우 4. 통계작성및학술연구등의목적을위하여필요한경우로서특정개인을알아볼수없는형태로개인정보를제공하는경우 ( 밑줄추가 ) 5. 개인정보를목적외의용도로이용하거나이를제3자에게제공하지아니하면다른법률에서정하는소관업무를수행할수없는경우로서보호위원회의심의 의결을거친경우 ( 공공기관에한함 ) 6. 조약, 그밖의국제협정의이행을위하여외국정부또는국제기구에제공하기위하여필요한경우 ( 공공기관에한함 ) 7. 범죄의수사와공소의제기및유지를위하여필요한경우 ( 공공기관에한함 ) 8. 법원의재판업무수행을위하여필요한경우 ( 공공기관에한함 ) 9. 형 ( 刑 ) 및감호, 보호처분의집행을위하여필요한경우 ( 공공기관에한함 ) 1. 공공기관이처리하는개인정보중 통계법 에따라수집되는개인정보 2. 국가안전보장과관련된정보분석을목적으로수집또는제공요청되는개인정보 3. 공중위생등공공의안전과안녕을위하여긴급히필요한경우로서일시적으로처리되는개인정보 4. 언론, 종교단체, 정당이각각취재 보도, 선교, 선거입후보자추천등고유목적을달성하기위하여수집 이용하는개인정보 [ 표 1] 개인정보의목적외제공 이용에대한예외 [ 표 1] 에서나타나는바와같이, 개인정보보호법은목적외이용 제공에대한예외사유를한정적으로 명시하고있다. 이는최초수집목적과양립가능한목적에따른추가적처리를별도의법적근거없이 도허용하는 GDPR 과대조된다. 공익을위한기록보존목적, 과학또는역사연구목적, 통계적목적에근거한목적외처리를규정한 GDPR과유사하게, 개인정보보호법제18조제2항제4호는 특정개인을알아볼수없는형태로개인정보를제공하는경우 를요건으로, 통계작성및학술연구등의목적 에따른목적외제공을허용한다. 결국정보주체의동의를얻지아니한개인정보의활용은일반적으로개인정보보호법제18조제2항제4 호에근거하는것으로보아야할것이다. 따라서, 빅데이터분석기술과관련하여 i) 개인정보의활용목적이통계작성및학술연구등의목적에해당하는지여부와 ii) 특정개인을알아볼수없는형태로개인정보가제공되었는지에대한여부에따라판단된다할수있겠다. 나. 통계작성및학술연구등목적 개인정보보호법은통계작성및학술연구의개념과범위에대한별도의정의를내리지않는다. 다만 통 계작성및학술연구등 이라는문언에따라비단통계와연구목적이아니라하더라도제 18 조제 2 항제 18

19 4 호의취지에부합하는다른목적의제공이존재할수있을것이다. GDPR과비교하여, 통계작성및학술연구등목적에따른목적외제공 이용에는다음과같은차이점이존재한다. 첫째, 개인정보보호법제18조제2항제4호는 특정개인을알아볼수없는형태로개인정보를제공 할것을요구한다. 이와달리, GDPR 제89조제1항은공익을위한기록보존목적, 과학또는역사연구목적, 통계적목적에따른개인정보처리에있어서 적절한안전장치 (appropriate safeguards) 가반드시확보되어야함을규정하며, 가명처리가이러한안전장치에포함된다. 둘째, 개인정보보호법은제18조제2항제4호외에는통계작성내지학술연구목적과관련되는규정을두고있지않다. 즉, 개인정보보호법은제18조내에서목적외제공을가능하게하는예외사유로서통계작성및학술연구등목적을규정할뿐, 이와관련된다른조항을두고있지않다. 이와달리, GDPR은공익을위한기록보존목적, 과학또는역사연구목적, 통계적목적에따른목적외처리는개인정보의활용이라는측면에서가명처리의안전장치와함께보다자세하게규정하고있다. 다. 익명처리와가명처리 개인정보보호법은가명처리를고려하고있지않는것으로보인다. 첫째, 개인정보보호법은익명처리와달리가명처리라는용어를사용하지않는다. 다만, 동법제2조는 해당정보만으로는특정개인을알아볼수없더라도다른정보와쉽게결합하여알아볼수있는것 을개인정보에포함하는데, 이는 GDPR에서정의하고있는가명처리정보와결과적으로매우유사하다. 즉, GDPR의가명조치는 개인정보가추가적정보의이용없이특정정보주체에게더이상귀속될수없는방식으로개인정보의처리 를의미한다. 둘째, 개인정보보호법은제3조 7항에서 개인정보처리자는개인정보의익명처리가가능한경우에는익명에의하여처리될수있도록하여야한다 라고규정하여익명처리를명시적으로권고하고있다. 54 즉, 비식별화조치와관련하여개인정보보호법은익명처리를명시한다. 그러나, 동법은익명처리의구체적내용등에관하여규정하지않는다. 셋째, 개인정보보호법제18조제2항제4호의 특정개인을알아볼수없는형태로개인정보를제공하는경우 라는문구가가명처리또는익명처리를의미하는것인지명확하지않다. 그런데, 표준개인정보보호지침 ( 이하표준지침 ) 제8조제4항은 개인정보처리자가법제18조제2항제4호에따라개인정보를제3자에게제공하는경우에는다른정보와결합하여서도특정개인을알아볼수없는형태로제공하여야한다 라고규정하고있다. 55 이점에서개인정보보 54 개인정보보호법제 3 조 7 항은개인정보보호원칙으로서익명처리를권고하고있으나, 이러한익명처리가언제, 누구에의하여, 어떻게처리되어야만하는지에대한관련규정은존재하지않는다 년채택된표준지침은 2016 년개정되었는데, 조문번호만변경된제 8 조제 4 항은개정되지않았다. 19

20 호법제 18 조제 2 항제 4 호에서요구하는개인정보처리는가명처리가아닌익명처리로보는것이타당 하다. 이러한맥락에서, 현행개인정보보호법이 GDPR 에서중점적으로규정하고있는가명처리를반영 하고있다고보기는어려울것이다. 56 라. 개인정보보호법제 18 조제 2 항제 4 호에따른빅데이터분석기술활용가능성 빅데이터분석기술을포함한개인정보의활용이개인정보보호법제18조제2항제4호에근거하여허용될수있는지아래와같이판단될수있을것이다. 우선, 개인정보의활용에있어서가장큰걸림돌로서작용하는것은, 개인정보보호법제18조제2항제4호가목적외 제공 만을허용하고있는점이다. 이는목적외처리를허용하는 GDPR 및목적외이용 제공에관한제18조제2항에규정된다른예외사유와도차이를보인다. 즉, GDPR과달리, 개인정보보호법은학술연구및통계목적등에따른개인정보의 이용 을허용하고있지않다. 동법제18조제2항이 목적외 이용 제공이라는예외를규정하는점에서이러한예외는제한적으로허용되어야할것이고, 따라서명시적으로 이용 이규정되지않은의미가인정되어야할것이다. 이에따라개인정보처리자가식별가능한개인정보파일을보유하고있는상황에서, 자체적인비식별조치를거친후에도수집목적외의목적으로개인정보를활용하는것은허용되지않는것으로해석될수있다. 57 따라서목적외제공만을허용하는개인정보보호법제18조제2 항제4호는빅데이터분석기술에서개인정보처리자의자발적이고자율적인개인정보활용을금지하는것으로볼수있다. 동규정에따르면, 해당개인정보를익명처리하는자는제공자이지만, 정작학술연구또는통계목적에따라개인정보를활용하는자는제공받는자가된다. 개인정보보호법제18조제2항제4호에서명시된 특정개인을알아볼수없는형태 의정보가익명처리정보인지가명처리정보인지에대한여부는개인정보보호법적용여부와실무상빅데이터분석기술의허용여부를결정하는관건이된다. 여기서 i) 동호가개인정보의 이용 을규정하지않고, 제공 만을규정한다는점과 ii) 표준지침제8조제4항이 다른정보와결합하여서도특정개인을알아볼수없는형태로제공하여야한다 라고규정하고있다는점은이러한정보가익명처리정보에가깝다는결론을내리게한다. 만약제공받은자가이용하는정보가개인정보보호법제2조에따라개인정보에해당하는가명처리정보라면, 제공받은자의학술연구및통계목적에따른 가명처리정보의이용 이명시적으로규정되어야할것이다. 그러나동법제18조제2항제4호는학술연구및통계목적에따른가명처리정보의이용을 년 6월 30일공개된정부의 개인정보비식별조치가이드라인 -비식별조치기준및지원 관리체계안내- ( 이하 2016년가이드라인 이라함 ) 가익명처리를주된내용으로하는것은이러한맥락에서이해될수있다. 57 GDPR Recital (29) 참조. 그러나, 익명처리정보는개인정보보호법의적용을받지않는점에서개인정보처리자는스스로개인정보보호법의적용을받지않는익명처리정보를만들어서직접이용할수있다는주장도가능할것이다. 20

21 규정하는것으로보기는어렵다. 제공받은자의학술연구및통계목적에따른정보의 이용 을개인정보보호법이규율하지않는이유는, 특정개인을알아볼수없는형태로 제공된정보가개인정보보호법제2조에따른개인정보에해당하지않는, 즉동법의적용을받지않는익명처리정보에해당한다는판단에따른것이라고추측할수있다. 개인정보보호법의적용을받지않는익명처리정보의이용은개인정보보호법의규율대상이아니기때문이다. 이러한입법의도는표준지침제8조제4항에의하여확인될수있다. 전술한바와같이, GDPR에따라개인정보처리자는추가적정보의별도보관, 안전장치, 담당자지정이라는세가지요건을충족하는경우, 자신이보유하고있는개인정보를스스로가명처리할수있다. 이와달리, 개인정보보호법상개인정보처리자는자신이보유하고있는개인정보를스스로가명처리한후, 이를목적외이용하는것이허용되지않는다. 개인정보처리자는자신이보유하고있는개인정보를활용하기위해서해당정보를익명처리하는경우를상정할수있지만, 개인정보보호법은익명처리에관한세부규정을두지않는다. 4. 미국및일본의개인정보보호법제 빅데이터분석기술을허용하는방식에는크게두가지방식이존재한다할수있다. 첫번째방식은개인정보를최초수집시목적이아닌추가목적에따라목적외처리하도록허용하는것이다. 두번째방식은개인정보를비식별처리하여해당정보가더이상해당법의적용을받지않게하는것이다. GDPR 은가명처리정보와익명처리정보를구분하여, 개인정보에해당하는가명처리정보는일정한법률요건을충족하는경우목적외처리로서허용하고, 개인정보에해당하지않는익명처리정보의활용은 GDPR의적용을배재함으로써상기두가지접근방식을모두취한다고볼수있다. 58 이와달리, 미국의 비식별정보 (de-identified data) 및일본의 익명가공정보 는개인정보에해당하지않아서자유로운이용과제공이가능하여서, 이들두국가는빅데이터분석기술등개인정보의활용을위하여후자의접근방식을취하고있는것으로보인다. 다시말해, 이러한비식별처리, 특히익명처리에따른빅데이터분석기술의허용은관련개인정보보호법제의테두리안에서규율되는것이아니라, 해당법의적용범위를벗어나게하여허용되는것이다. 58 GDPR Recital (26). 21

22 가. 미국의비식별조치 미국은한국, 유럽연합, 일본과달리개인정보보호를규율하는일반법을두지않는다. 그런데, 개인정보 의비식별화에관하여적어도다음두가지대표적인입법예가있다. 1) HIPAA 프라이버시규칙 1966년 건강보험이동성및책임의법 (Health Insurance Portability and Accountability Act: HIPAA) 의프라이버시규칙 (Privacy Rules) 은 보호받는건강정보 (protected health information: PHI) 의비식별화를위한두가지접근을하고있다. 59 첫째접근은전문가결정방식이고, 둘째접근은세이프하버방식이다. 60 물론두가지접근은재식별화 (re-identification) 의위험이없는완전한비식별화방식이되지는못한다. 대신에이들두가지접근은재식별의낮은위험으로비식별화된건강정보를만들어서공유하도록하여실용적이도록의도된다. 61 동규칙의보호대상인 PHI는의료서비스제공자 (health care providers) 등동규칙에따라건강정보보호의무를가지는개인정보처리자 (covered entity) 가보유하거나전송하는 개별적으로식별가능한건강정보 (individually identifiable health information) 를의미한다. 62 여기서 개별적으로식별가능한건강정보 는개인의과거, 현재또는미래의신체적 정신적건강또는상태, 개인에대한의료서비스의제공, 개인에제공된의료서비스의과거, 현재또는미래의납입과관련하여 i) 개인을식별할수있는정보또는 ii) 합리적인이유에의하여개인을식별하기위하여이용될것이라믿을수있는정보를의미한다. 63 개별적으로식별가능한개인정보는이름, 주소, 생년월일, 사회보장번호 (Social Security Number) 등여러식별인자를포함한다. 다만, 가족교육권및프라이버시에관한법 (Family Educational Rights and Privacy Act) 의적용을받는근로기록 (employment records) 등은 HIPAA 프라이버시규칙의적용을받지않는다. 64 HIPAA 프라이버시규칙은개인의 PHI 가어떠한상황에서이용되거나공개될수있는지에대하여관 련기준을정하고이를제한하는데주된목적이있다. 동규칙에따라개인정보처리자는첫째, 동규 59 HIPAA는동법률이발효된이후 3년이내에미국의회가프라이버시관련법률을입법하지않는경우, 보건복지부장관으로하여금 개인을식별할수있는건강정보에대한관련프라이버시규칙을공표할것을요구하고있다. 이에따라 HIPAA 프라이버시규칙은 HIPAA가발효된후상기기간동안의회가관련입법을채택하지않았음을근거로보건복지부가채택하였다. 60 각각 45 CFR (b)(1) 및 (b)(2) 참조. 61 Simson L. Garfinkel, supra note 31, p CFR CFR Family Educational Rights and Privacy Act, 20 USC 1232g. 22

23 칙이허용하거나요구하는경우, 또는둘째, 해당정보의대상이되는개인또는그의대리인이서면형식으로승인하는경우에한하여 PHI를처리할수있다. 65 또한의료정보처리기관은개인또는그의대리인이해당개인의 PHI에대하여접근을요구하는경우이를공개해야하고, 조사 검토 법집행과관련된의무준수를위하여필요한경우해당정보를보건복지부에공개해야한다. 66 PHI의의무적공개는오직상기두경우에국한된다 1 전문가결정방식전문가결정방식 (Expert Determination Method) 에따라전문가가데이터를검토하고재식별화의위험을최소화하는비식별화의적절한수단을결정한다. 이에관하여프라이버시규칙은다음과같이규정한다. 정보를개인적으로식별하지못하게하는일반적으로수락된통계와과학적원칙과수단의적절한지식과경험을가진자가이러한원칙과수단을적용하여, 예견된수령인이단독으로또는다른합리적으로이용가능한정보와결합하여정보의주체인개인을식별하도록정보가이용되는위험이아주작게결정하고, 또한이러한결정을정당화하는분석의방법과결과를기록하는것이다. 그런데, 프라이버시규칙이나보건복지부시민권국 (Department of Health and Human Services Office of Civil Rights) 의이행가이드는전문가의자격이나기준을제시하지않고또한, 전문가를이용하는기관이전문가결정을공개하거나전문가결정이내려졌다는것을인정하기위한요건을제시하지않는다. 67 이들은어떻게재식별화위험이계산되어야하거나계량화되어야하는지를제시하지않고, 또한 아주작아야 (very small) 한다는것이외에재식별화의최소허용된위험을제시하지않는다. 전문가결정접근은전문가가 일반적으로수락된통계및과학적원칙과수단 (generally accepted statistical and scientific principles and methods) 을알고이용해야할것을제시한점에서통계적공개통제 (disclosure control) 와비식별화수단에대한관련문헌의이해가요구될것이다. 비식별화와위험수준의강한선례가존재하므로, 효과적인비식별화수단으로서이용될것이라고한다 CFR (a) CFR (a)(2). 67 Office of Civil Rights, Guidance Regarding Methods for De-identification of Protected Health Information in Accordance with the Health Insurance Portability and Accountability Act (HIPAA) Privacy Rule, US Department of Health and Human Services, ( ), available online at: understanding/coveredentities/de-identification/guidance.html 참조. 68 Federal Committee on Statistical Methodology, Statistical Policy Working Paper 22 (Second version, 2005): Report on Statistical Disclosure Limitation Methodology, ( ), available online at: files/2014/04/spwp22.pdf. 23

24 2 세이프하버방식세이프하버방식 (Safe Harbor Method) 은해당기관이 개인이나친척, 고용주, 또는개인의가족 (individual or relatives, employers, or household members of the individual) 에대한데이터의 18개특정유형을제거하여데이터의비식별조치를허용한다. 18개특정유형은다음과같다 : (A) 성명 ; (B) 주 (state) 보다작은모든지리적행정구역으로서, 거리주소 (street address), 시 (city), 카운티 (county), 지구 (precinct), 우편번호 (ZIP code) 및그와동등한지오코드 (geocode) 를포함하나, 통계국 (Bureau of the Census) 의현재공개적으로이용가능한데이터에따라 (i) 앞세자리가동일한모든우편번호를조합하여형성된지리적단위가 20,000명보다많은수를포함하고, (ii) 20,000명이하의수를포함하는이러한모든지리적단위의우편번호의앞세자리가 000으로변경되면우편번호의앞세자리는제외됨 ; (C) 생일, 입원일, 퇴원일, 사망일을포함하여개인에직접적으로관련되는일자에대한일자 ( 년을제외 ) 의모든요소, 및 89세보다많은모든연령과이러한나이를나타내는일자 ( 년을포함 ) 의모든요소, 단, 90세이상의단일범주로종합할수있는연령및요소는제외 ; (D) 전화번호 ; (E) 팩스번호 ; (F) 이메일주소 ; (G) 사회보장번호 ; (H) 의료기록번호 (Medical record numbers); (I) 의료보험 (Health Plan) 수혜자번호 ; (J) 계좌번호 ; (K) 자격증 / 면허번호 ; (L) 차량번호판번호포함한차량식별자및일련번호 ; (M) 기기식별자및일련번호 ; (N) 웹 URL(Universal Resource Locator); (O) 인터넷프로토콜 (IP) 주소 ; (P) 지문이나성문 (voiceprint) 을포함한생체인증식별자 ; (Q) 얼굴전체의사진및그와유사한이미지 ; (R) 기타고유한 (unique) 식별번호, 특징또는코드. 세이프하버방식은전문가결정방식에비해규칙을직접적으로적용할수있고과정을반복할수있으며합법적으로비식별화된정보집합 (dataset) 이라는알려진결과의가능성을제공한다. 어떠한방식을사용하더라도, 비식별조치를수행하는기관 (covered entity) 은 정보주체인개인을식별하기위하여정보를단독으로또는다른정보와결합하여사용될수있다는실제적지식을가지고있지 않아야한다. 69 그러나보건복지부는단순히재식별기법의존재를아는것은 실제적지식 (actual knowledge) 기준에부합하지않는다는특별지침을내렸다. 즉, 해당기관이개인을식별하기위하여보건정보를재식별하는방법에관한특정연구를알거나비식별화된보건정보를단독으로또는다른정보와결합하여이용하는것이필연적으로해당기관이세이프하버방식에따른실제적지식을갖고있음을의미하는가에대하여보건복지부는다음의답을제시하였다. 70 즉, 건강정보를식별하는특정방법으로정보를결합하는일정한분석기술과정량화능력을가진연구자들의 CFR (c). 70 Office of Civil Rights, supra note 67, p

25 능력에관한많은자료가있다. 71 개인을식별하기위하여해당기관은나머지정보를식별하는방법에관한연구나비식별화된정보를단독으로또는다른정보와결합하여이용하는연구를알고있을수있다. 그러나, 동기관의이러한연구와방법의단순한지식은그자체로서동기관이공개하고있는데이터와함께이러한방법이이용될것이라는실제적지식을갖고있음을의미하지않는다. 보건복지부시민권국 (OCR) 은해당기관이비식별화된데이터의모든잠재적수령자들의이러한능력을추정할것으로기대하지않는다고한다. 이는세이프하버방식의의도와일치하지않는데, 동방식은해당기관에게해당정보가적당하게비식별화되었는지를결정하는간단한방식을제공하기위한것이기때문이다. 72 PHI를포함하는데이터와비식별화된데이터에추가하여, HIPAA 프라이버시규칙은 제한된정보집합 (limited datasets) 이라는세번째유형의데이터를인정한다. 프라이버시규칙에따르면, 제한된정보집합은부분적으로비식별화되었지만여전히날짜, 시 (city), 주 (state), 우편번호, 및연령을포함한다. 이러한데이터는 PHI로간주되지만, 해당데이터를공유하는기관이 데이터이용합의 (data use agreement) 를실행하면, 연구, 공중보건, 의료보험운영을위하여공유될수있다. 데이터이용합의는최소한안전보호조치 (security safeguards) 를요구하고, 해당데이터의모든이용자가유사하게제한될것으로요구하며, 재식별, 허가없이다른데이터와의연결, 및정보주체와의접촉을금지하면된다. 73 2) FCC의 2016년 ISPs의프라이버시규칙미국연방통신위원회 (Federal Communications Commission: FCC) 는 2016년 10월 27일브로드밴드제공자들, 즉인터넷서비스제공자들 (internet service providers: ISPs) 이그들가입자들의웹브라우징, 앱이용, 위치및금융정보에대한수집및제공에대하여그들가입자들, 즉소비자의동의를요구하는 브로드밴드소비자프라이버시규칙 (Broadband Consumer Privacy Rules: 71 예컨대, Bradley Malin and Latanya Sweeney, How (not) to protect genomic data privacy in a distributed network: using trail re-identification to evaluate and design anonymity protection systems, Journal of Biomedical Informatics, Vol.37, Issue 3, ( ), pp ; Latanya Sweeney, Data sharing under HIPAA: 12 years later, A presentation at the Workshop on the HIPAA Privacy Rule s De-Identification Standard, Washington, DC., ( ) 참조. 72 Office of Civil Rights, supra note 67, p U.S. DEPARTMENT OF HEALTH AND HUMAN SERVICES National Institutes of Health, How Can Covered Entities Use and Disclose Protected Health Information for Research and Comply with the Privacy Rule?, available online at: 25

26 BCPR) 을채택하였다. 74 ISPs가제공하는서비스의가입자, 즉소비자는동서비스를이용함으로써 ISPs에자신의매우민감한개인정보를포함한개인정보를전달하고있다. ISPs는자신의인터넷연결을통과하는이러한소비자의브라우징습관등상당한분량의개인정보를들여다볼수있다. 소비자가자신과자신의아동의프라이버시를보호하기위하여이러한개인정보가이용되고공유되는방식에대한결정을내릴권리를가져야한다고판단한 FCC는 개방인터넷명령 (Open Internet Order) 을통하여브로드밴드인터넷접속서비스를통신서비스로재분류한다. 통신법 (Communications Act) Section 222는통신사업자가소비자정보의프라이버시를보호하도록요구하는데, BCPR은통신법 Section 222가규정한프라이버시요건을이행하기위하여채택된것이다. 소비자는 ISPs가자신의개인정보를수집하여이용하고공유함에대한 고지된결정 (informed decisions) 을함으로써자신의개인정보이용에대하여보다큰통제를할수있게된다. 75 즉, BCPR은 ISPs가소비자의개인정보를이용하고공유함에있어서소비자의동의를요구하는체제를수립하는데, 동체제는개인정보의민감성에따른다. 76 이렇게소비자동의를요구하는접근은연방거래위원회 (Federal Trade Commission: FTC) 와미국행정부의 소비자프라이버시권리장전 (Consumer Privacy Bill of Rights: CPBR) 의접근과일치한다고한다. 77 BCPR은브로드밴드서비스제공자와다른통신사업자에게적용된다. BCPR은음성서비스 (voice services) 에도적용되어, 과금기록정보 (call-detail record information) 를민감한정보로다룬다. 그러나, BCPR은 FTC의관할권아래 에지서비스 (edge services) 와웹사이트의프라이버시관행에적용되지않는다. 따라서, 트위터 (Twitter) 나페이스북 (Facebook) 과같은웹사이트나앱의프라이버시관행에는적용되지않는다. 또한, BCPR은소셜미디어웹사이트의운영이나정부의감청, 암호화및법집행과같은문제를포함한브로드밴드제공자의다른서비스에적용되지않는다. 74 FCC News, FCC adopts Privacy Rules to give broadband consumers increased choice, transparency and security for their personal data, ( ), available online at: db1027/doc a1.pdf. p.1. 동결정은 Wheeler 위원장, Rosenworcel 위원의찬성, Clyburn 위원의일부찬성및 Pai 위원과 O Rielly 위원의반대로확정되었다. 동프라이버시규칙의원문은다음을참조 : FCC, In the Matter of Protecting the Privacy of Customers of Broadband and Other Telecommunications Services (WC Docket No ) Notice of Proposed Rulemaking FCC 16-39, ( ), available online at: attachmatch/fcc-16-39a1.pdf. 75 FCC는이미전화네트워크에대한소비자의프라이버시를보호하고있었다. 76 이렇게개인정보가이용되는방법이아니라개인정보의민감성에대한연계는소비자의기대에부응한다고한다. FCC, Fact Sheet : The FCC adopts order to give broadband consumers increased choice over their personal information, ( ), p.2, available online at: A1.pdf. 77 FCC News, supra note 74, p.1. 26

27 빅데이터분석기술과관련하여 BCPR의중요한의의는개별적인소비자나기기와더이상연계되지못하도록변경된, 즉비식별화된개인정보 (de-identified information) 를의미하는 총합적소비자사유정보 (aggregate customer proprietary information) 를규정한것이다. 동정보는개별소비자신원과특징이제거된일정한그룹이나범주의서비스나소비자에관련되는집단데이터 (collective data) 를의미한다. 78 이러한정보의이용과공유는원칙적으로다른개인정보와달리프라이버시문제를야기하지않을것이다. 따라서 ISPs는일반적인소비자데이터에대한동의체제의밖에서이러한비식별화된개인정보, 즉 총합적소비자사유정보 를이용하고공유할수있다. 1 개인정보이용과공유의세가지범주 BCPR은소비자의개인정보이용과공유를세가지범주로구별하는데, 소비자의개인정보에대한투명성, 선택및보안요건에관하여 ISPs와소비자에게분명한지침을준다고한다. 79 첫째, 민감한개인정보에대한옵트인승인이다. 80 ISPs는소비자의민감한 사유정보 (proprietary information) 를이용하고공유하기위하여소비자의 긍정적인, 명시적인동의 (affirmative, express consent), 즉 옵트인 (opt-in) 동의를얻어야한다. BCPR이명시한민감한개인정보는휴대전화나다른기기의실제위치와같은 정확한지리위치 (precise geo-location), 금융정보, 건강정보, 아동의정보 (children s information), 사회보장번호, 웹브라우징기록 (web browsing history), 앱이용기록 (app usage history) 및통신내용 (content of communication) 을포함한다. 둘째, 민감하지않은개인정보에대한옵트아웃승인이다. 81 위의민감한개인정보가아닌다른모든개별적으로식별가능한소비자의개인정보에대하여 ISPs는소비자가옵트아웃 (opt-out) 하지않으면이러한개인정보를이용하고공유할수있다. 이메일주소와서비스단계정보 (service tier information) 와같은개인적으로식별가능한소비자의정보는민감하지않다고간주될것이어서, 이러한정보의이용과공유는소비자의기대에일치하여옵트아웃동의를받으면된다. 셋째, 동의요건에대한예외이다. 82 브로드밴드서비스의제공이나동서비스에대한계산청구와징수, 브로드밴드제공자네트워크의기망적이용으로부터브로드밴드제공자와그소비자의보호, 소비자가이용하는브로드밴드서비스와함께판매되는서비스와장치를제공하고판매하기위한민감하지않은개인정보의이용과공유와같이법에규정된일정한목적으로는소비자의동의가추론된 CFR (a). 79 FCC News, supra note 74, p.1; FCC, supra note 76, p CFR (f) 및 47 CFR (h) CFR (e) 및 47 CFR (i) CFR (a). 27

28 다. 이러한정보의이용을위하여소비자 -ISP 관계의창설을벗어나서추가적인소비자동의가요구 되지않는다. 2 BCPR의다른요건위의세가지요건이외에 BCPR은다음과같은요건도포함한다. 첫째, 투명성요건이다. 83 ISPs는소비자에게수집한정보, 동정보가어떻게이용될수있으며동정보가공유될수있는자및소비자가자신의프라이버시선호도를변경할수있는방법에대한분명하고, 뚜렷하며부단한고지를제공해야한다. 모바일브로드밴드또는고정브로드밴드를제공하는 ISPs는소비자에대한어떤유형의정보를수집하는지소비자에게고지하고, 동정보를어떻게무슨목적으로이용하고공유하는지명시하며, 동정보를공유하는자의부류를확인하여야한다. 따라서, ISPs는이러한정보를소비자가서비스이용에서명할때고지하고, ISPs의프라이버시정책이상당하게변경될때소비자에게고지하며, 이러한정보는부단하게 ISPs의웹사이트나모바일앱에서이용가능하여야한다. 84 둘째, 데이터보안의요건이다. 85 브로드밴드서비스제공자는 ISPs가취해야하는것으로고려해야하는조치에대한지침과합리적인데이터보안관행을수행해야한다. FTC와 NIST의보안요건에일치하여, 이러한조치는관련산업의모범관행의시행, 적절한책임의제공과보안관행에대한적절한감시, 강력한소비자인증장치의시행, 및 FTC의모범관행과 소비자프라이버시권리장전 (CPBR) 에일치하는데이터의적절한처리를포함한다. 86 셋째, 상식적인개인정보침해통지요건이다. 87 소비자는자신의개인정보가침해되었을때를알권리를가진다. ISPs가소비자데이터의비밀성을보호하고, 이렇게보호하는데실패한것을소비자와법집행기관에게통지하는것을권장하는데필요한 상식적인개인정보침해통지 (common sense data breach notification) 가요구된다. 88 이러한통지의요구는 ISPs가소비자의개인정보가불법적으로공개되었다고결정할때발동되는데, ISPs가합리적으로피해가발생하지않을것이라고결정하는경우는제외된다. 보고해야하는침해가발생하면, ISPs는다음의조치를취해야한다 : i) ISPs는피해를입은소비자에게침해를동침해의합리적결정후 30일이경과하지않는가능한한조속하게통지해야한다 ; ii) FCC, FBI 및비밀경호국 (U.S. Secret Service) 에게 5천명이상의소 CFR FCC는소비자자문위원회 (Consumer Advisory Committee: CAC) 로하여금자발적인표준적프라이버시고지형식을개발하게 할것이다 CFR 데이터보안요건은연방관보 (Federal Register) 에 BCPR의요약이게시된 90일후발효한다 CFR CFR 데이터침해통지요건은연방관보에 BCPR의요약이게시된 6개월후발효한다. 28

29 비자에게영향을주는침해를동침해의합리적결정후 7 근무일보다늦지않게통지하여야한다 ; iii) 5 천명미만의소비자에게영향을주는침해의경우해당소비자에게처음통지되는것과동시에 FCC 에통지하여야한다. 넷째, 금전적유인으로부터의소비자보호이다. ISPs는브로드밴드서비스제공을소비자의법령이보장한프라이버시권리의포기약속을조건으로하는것이금지된다. 89 소비자의개인정보의이용과공유에대한명시적인긍정적동의를대가로할인이나다른유인을제공하는소위 프라이버시지불 (pay for privacy) 의제의에대하여, FCC는서비스가격을프라이버시보호에관련시키는프로그램의정당성을사안별로검토할것이다. 90 따라서소비자는부풀어진가격의지불과프라이버시의유지사이에서선택을강요받지않게된다. 또한, 하거나말거나 (take-it-or-leave-it) 제안이금지되어서, ISPs는상업적목적으로자신의개인정보의이용과공유에동의하지않는소비자에게서비스를제공하는것을거부할수없다 총합적소비자사유정보 의보호개별적인소비자나기기와더이상연계되지못하도록변경된, 즉비식별개인정보 (de-identified information) 의이용과공유는원칙적으로일반적인개인정보와달리프라이버시문제를야기하지않을것이다. 따라서 ISPs는일반적인소비자데이터에대한동의체제의밖에서비식별개인정보를이용하고공유할수있다. BCPR에서이러한비식별개인정보를의미하는 총합적소비자사유정보 (aggregate customer proprietary information) 는개별소비자의신원과특징이제거된일정한그룹이나범주의서비스나소비자에관련되는집단데이터 (collective data) 를의미한다. 92 그럼에도 ISPs는이러한비식별화된개인정보, 즉 총합적소비자사유정보 를용이하게재식별할수있는기술적능력과그러한유인을가질수있다. ISPs가 BCPR의동의체제밖에서개인정보의이용과공유에서비식별화 (de-identification) 에의지하려한다면, 재식별화 (re-identification) 를방지하기위하여 2012년 FTC가처음개발한시험을충족해야할것이다. 93 즉, ISPs는첫째, 총합적소비자사유정보 가특정개인에게합리적으로연결되지않는다고결정하고, 둘째, 총합적소비자사유정보 를개별적으로식별될수없는형식으로유지하고또한동정보를재식별하지않는다고공개적으로약속하며, 셋째, 총합적소비자사유정보 를공개하거나접근하도록허가한자가동정보 CFR F C C, supra note 76, p CFR CFR (a). 93 F C C, supra note 76, pp

30 를재식별하는것을계약적으로금지하고, 넷째, 이러한계약이위반되지않도록보장하도록합리적 인감시를수행해야한다. 94 개별적소비자신원과특징이 총합적소비자사유정보 로부터제거되었 음의입증책임은 ISPs 에게있다. 95 나. 일본의비식별조치 일본의개인정보보호법은민간부문의개인정보보호에관한법률로서 2003년 5월제정 공포되고 2005년 4월부터시행되었는데, 기본이념, 국가의책무시행, 기본방침의책정등을규정하면서, 개인정보취급사업자의의무등을분야별로정리하여기본법적성격을가진다. 공공부문을위하여국가행정기관에대한법률, 독립행정법인등에대한법률및지방공공단체등에대한조례가있다. 그런데, 빅데이터등데이터활용을통한새로운산업과서비스창출이가능하도록 2014년 6월개인정보보호법개정이예고되었고, 2015년 3월정부안이확정되었으며, 동년 9월 3일중의원본회의에서가결되었다. 96 동개정에따라, 개인정보보호와개인정보활용의유용성확보를위하여개인정보의정의규정이명확하게되고, 본인의동의없는제공이가능하도록 익명가공정보 개념이신설되었다. 빅데이터관련하여일본의개인정보보호법의가장중요한내용은익명가공정보의도입이다. 97 또한, 개인정보취급감시감독권한을가진 제3기관 인개인정보보호위원회가설치되고, 국외제3자에대한정보제공의제한이명문화되었다. 1) 특정이용목적을위한개인정보의취급일본의개정된개인정보보호법에따라개인정보를취급하는개인정보취급사업자는개인정보의이용목적을가능한한특정하여야한다. 이용목적을변경하는경우에는변경전이용목적과관련성이있다고합리적으로인정되는범위를초과해서는안된다. 98 개정전에는변경전이용목적과 상당한 관련성을요구하였으나, 개정된개인정보보호법에서동문언이삭제되었다. 또한원칙적으로모든이용목적에대하여본인의동의를받아야하며, 동의를받지않고그이용목적달성에필요한범위를초과하여개인정보를취급하는것은금지된다. 99 다만, 법령에의거한경우, 사람의생명 신체 재산의보호를위하여필요한경우로서본인의동의를받기곤란한경우, 공중위생의향상또는아동의건전한육성추진을위해특히필요한경우로서본인의동의를받기곤란한경우, 국가기관, 지방공공단체또는그위탁을받은자가법령에정한사무를수행함에있어협력이필요한경우로서, 본인 CFR (g) CFR (g). 96 個人情報の保護に関する法律 ( 平成 15 年法律第 57 号 ) 97 일본개인정보보호법의익명가공정보에관한내용은아직효력을발생하지않고있다. 98 일본개인정보보호법제15조. 99 일본개인정보보호법제16조제1항. 30

31 의동의를받도록하면당해사무의수행에지장을초래할우려가있는경우에는예외가인정된다. 100 일본개인정보보호법은개인정보의목적외처리를규정하고있으나, 개인정보의목적외이용및개인데이터의제3자제공에대하여정보주체의동의를받을것을의무화하고있다. 당초에는상정하지않았던새로운이용목적이발생하거나예정되지않았던제3자제공을하는경우에는, 해당되는본인전부로부터동의를받아야하고, 이는개인정보를이용한신규사업을저해하는하는상황으로이어질수있다는점이지적되어왔다. 이에다음과같은익명가공정보가새로이도입된것으로볼수있다. 2) 익명가공정보일본개인정보보호법에서빅데이터분석기술등개인정보의활용에는목적외처리규정이아니라 익명가공정보 규정이관련되는것으로보인다. 개인정보에해당하지않도록데이터를가공하여 익명화 함으로써정보주체의프라이버시를보호하면서활용이가능하도록하고, 이와같이가공된정보를 익명가공정보 로서새로이정의하여, 정보주체의동의없이도해당정보를이용하고제공할수있게한것이다 익명가공정보익명가공정보는특정개인을식별할수없도록개인정보를가공하여얻어지는개인에관한정보로서, 당해개인정보를복원할수없도록만든정보이다. 102 즉, 개인정보의정의각호에서개인정보로서식별되는부분을삭제하고이를복원할수없게가공함으로써익명성을유지하도록만든것이다. 특정익명가공정보를컴퓨터를이용하여검색할수있도록체계적으로구성한것을사업의용도로취급하거나제공하는자는익명가공정보취급사업자로서의무를부담하게된다 익명가공정보취급규칙 일본개인정보보호법을개정하는과정에서특정개인을식별할가능성을감소시키기위하여가공을 100 일본개인정보보호법제16조제3항. 101 大場敏行, 約 10 年ぶりの改正 : 新しい個人情報保護法とその影響前編, デロイトトーマツサイバーセキュリティ先端研究所ニュースレター, Vol.4, ( ). 102 일본개인정보보호법제2조제9항. 익명가공정보란다음의각호에해당하는개인정보구분에대응하고해당각호에정하는조치를취하여특정개인을식별할수없도록개인정보를가공하여얻는개인에관한정보로서, 해당개인정보를복원할수없도록한것을말한다 : 제1호. 제1항제1호에해당하는개인정보. 당해개인정보에포함된기술등의일부를삭제하는것 ( 당해일부기술등을복원할수있는규칙성을가지지않은방법에의해다른기술등으로대체하는것을포함 ); 제2호 : 제1항제2호에해당하는개인정보. 당해개인정보에포함되는개인식별부호의전부를삭제하는것 ( 당해개인식별부호를복원할수있는규칙성을가지지않은방법에의해다른기술등으로대체하는것을포함 ). 103 일본개인정보보호법제2조제10항. 익명가공정보취급사업자는익명가공정보를포함하는정보집합물로서특정익명가공정보를전자계산기를이용하여검색할수있도록체계적으로구성한것기타특정익명가공정보를용이하게검색할수있도록체계적으로구성한것으로서정령으로정한것 ( 제36조제1항의익명가공정보데이터베이스등 ) 을사업용으로제공하고있는자를말한다. 31

32 하더라도완전히개인을특정할수없는정보로가공하는방법을정하는것은어렵다는점이지적되 었다. 104 때문에익명가공정보는특정개인이식별될위험을염두에두고가공한정보로평가되고있 으며, 그적정한취급을위한규칙이다음과같이마련되어있다. 105 익명가공정보취급에관한절차로는익명가공정보의작성, 익명가공정보의제공, 식별행위의금지, 안전관리조치등이규정되어있다. 먼저, 익명가공정보를작성하는경우에는개인정보보호위원회규칙이정하는바에따라특정개인을식별할수없도록하고, 그작성에사용된개인정보를복원할수없도록당해개인정보를가공하여야한다. 106 익명가공정보를작성한때에는개인정보보호위원회규칙이정하는기준에따라, 가공방법에관한정보유출을방지하기위해필요한대책으로서이들정보의안전관리조치를강구하여야한다. 107 또한그익명가공정보에포함되는개인정보의항목을공표하여야한다. 익명가공정보를작성한후에도특정개인을식별할가능성이완전히없어지는것은아니므로, 제3자에게제공하는경우에익명가공데이터에포함되는항목을미리공표함으로써개인의권익을보호하고투명성을확보하는것이목적이다. 해당항목으로는거주지역, 연령, 구입상품명, 제공된익명가공데이터의종류와포함된사항등을들수있다. 익명가공정보를작성한후에는그익명가공정보를다른정보와조합하여복원하는것이금지된다. 때문에익명가공정보를작성한사업자자신이그정보를취급하는경우에도, 익명가공정보의작성에사용된개인정보에관하여본인을식별하는것은허용되지않는다. 108 익명가공정보취급사업자가익명가공정보를제3자에게제공하는때에는, 제3자에게제공되는익명가공정보에포함된개인정보의항목과그제공방법에대하여, 개인정보보호위원회규칙이정하는사항을공표하여야한다. 또한제공하는정보가익명가공정보라는사실을명시하여야한다. 109 익명가공정보를작성한사업자가개인정보로복원하는것은금지되며, 익명가공정보취급사업자는 104 新保史生, 個人情報保護法改正のポイントを学ぶ (7): 匿名加工情報の取り扱い, 国民生活 ( ), p 일본개인정보보호법제2절익명가공정보취급사업자등의의무. 2016년 6월현재일본개인정보보호위원회는익명가공정보의가공방법과안전관리등에관한규칙을제정하기위하여그내용을검토중에있다. 個人情報保護委員會事務局, 改正個人情報保護法の槪要と施行に向けた取組について, (2016.6), pp 일본개인정보보호법제36조 ( 익명가공정보의작성등 ) 제1항. 익명가공정보작성시, 특정개인을식별하는것과그작성에이용되는개인정보를복원할수없도록하기위해필요한것으로서개인정보보호위원회규칙에정한기준에따라당해개인정보를가공해야한다. 107 일본개인정보보호법제36조제6항. 108 일본개인정보보호법제36조제5항. 109 일본개인정보보호법제37조 ( 익명가공정보의제공 ) 익명가공정보를제3자에게제공하는경우에는개인정보보호위원회규칙에서정하는바에따라, 제3자에게제공되는익명가공정보에포함되는개인에관한정보의항목및그제공방법에대하여공표함과동시에, 당해제3자에대해서당해제공에관련된정보가익명가공정보임을명시하여야한다. 32

33 식별행위금지의무가있다. 110 완전한익명가공정보를작성및가공하는방법을정하는것이불가능한현실에서, 일반적으로공개된정보와기존에보유하고있는정보를취합하거나분석함으로써특정개인을식별할가능성이있다. 이와같은처리를의도적으로시행하는것은금지되며. 의도하지않게식별되는일이없도록, 자신이보유한개인정보와혼동하여취급하지않도록주의가필요하다. 111 익명가공정보의안전관리를위해필요하고적절한조치, 익명가공정보의취급에관한고충처리, 기타익명가공정보의적정한취급을확보하기위하여필요한조치를강구하고, 당해조치의내용을공표하도록노력하여야한다. 112 익명가공정보는그가공방법등이공개되면특정개인에대한식별이가능할수있는정보이다. 때문에그취급에관하여안전관리조치를모색하는것이필수적이며, 또한종업원과수탁업자에대한감독도필요하다. 다. 미국과일본의비식별조치평가 미국의 HIPAA 프라이버시규칙과 FCC의 ISPs 프라이버시규칙및일본개인정보보호법의비식별조치는다음과같은점에서유사점을가진다. 첫째, 개인정보를변형 ( 미국 ) 또는가공 ( 일본 ) 하여정보주체와정보가실질적으로연결될수없다는합리적기대를가지게하거나 ( 미국 ) 개인정보를복원할수없도록하는것 ( 일본 ) 을의미하는점에서이러한조치는 GDPR의익명처리에가깝다고볼수있다. 113 HIPAA 프라이버시규칙에따라전문가가 i) 비식별처리된정보가단독으로정보주체를식별할수있는위험성이매우적다고판단하거나, ii) 합리적으로이용가능한정보와의결합을통하여도정보주체를식별할수있는위험성이매우적다고판단하는경우에해당정보는비식별정보가된다. 이처럼단독으로또는 110 일본개인정보보호법제38조 ( 식별행위의금지 ) 익명가공정보취급사업자는, 익명가공정보를취급함에있어당해익명가공정보의작성이이용된개인정보에관한본인을식별하기위해서당해개인정보에서삭제된기술등또는개인식별부호또는제36조제1항의규정에의해행해진가공방법에관한정보를취득하거나, 또는당해익명가공정보를다른정보와조합 ( 照合 ) 해서는안된다. 111 新保史生, supra note 104, p 일본개인정보보호법제39조 ( 안전관리조치등 ) 익명가공정보취급사업자는, 익명가공정보의안전관리를위해필요하고적절한조치, 익명가공정보의취급에관한고충처리, 기타익명가공정보의적정한취급을확보하기위하여필요한조치를스스로강구하고, 당해조치의내용을공표하도록노력해야한다. 113 일본의익명가공정보가 GDPR의가명처리정보에해당한다고보는견해가있으나, 그러한해석에는다음과같은문제가제기된다. 첫째, 일본의익명가공정보는그정의에서해당개인정보를복원할수없을것을명시적으로요구하고있으므로, 이는가명처리정보가아닌익명처리정보에해당할것이다. 둘째, 익명처리정보를개인정보로보지않고가명처리정보를개인정보로보는 GDPR의해석에따른다면, 개인정보에해당하지않는일본의익명가공정보는 GDPR의익명처리정보에더가깝다고보는것이타당하다. 셋째, 일본의익명가공정보를 GDPR의가명처리정보로해석하는것은일본개인정보보호법이다른정보와조합하여익명가공정보를복원하는것을금지하고, 해당정보의식별행위를금지하기때문일것이다. 그러나이러한재식별금지규정을근거로해당정보를가명처리정보로해석하는것은옳지않다. 미국과마찬가지로, 일본의개인정보보호법은개인정보의완벽한익명처리가현실적으로가능하지않다는사실을고려하고있다. 즉, 개인정보의가역또는재식별을금지하는규정은익명가공정보 ( 또는미국의비식별정보 ) 가가명처리정보에해당하기때문이아니라, 만에하나익명처리정보가기술적으로재식별이가능한경우를고려하여규정된것이라보아야한다. 33

34 다른정보와의결합을통하여도개인을식별할수없는경우에비식별정보가된다면, 그러한정보는가 명처리정보가아닌익명처리정보에해당할것이다. 둘째, 미국과일본의관련법제는비식별정보, 비식별건강정보및익명가공정보를개인정보로보지않는한편, 개인정보의완벽한익명처리가불가능하다는인식에따라, 이러한익명처리정보의가역또는재식별을금지하는규정을함께두고있다. 특히 FCC의 ISPs 프라이버시규칙이개인정보처리자 (covered entity) 로하여금재식별금지를약속하도록요구하거나, 수령인으로하여금비식별정보의재식별을금지하는계약적의무를부여하는것은해당정보가가명처리정보에해당하기때문이아니라그러한익명처리정보가재식별될수있는기술적가능성이있기때문이다. 114 일본개인정보보호법이익명가공정보를개인정보가복원될수없도록가공된정보로정의하면서도이러한익명가공정보의재식별을금지하는규정을별도로명시하는것은개인정보의완전한익명처리가현실적으로불가능하다는우려를반영한것으로보아야할것이다. 한편, GDPR도미국 HIPAA 프라이버시규칙과유사하게, 합리적으로이용가능한모든수단 (all the means reasonably likely to be used) 을동원하더라도개인정보처리자또는제3자가개인을식별할수없는경우를익명처리로본다 결어 : 빅데이터분석기술활용을위한한국의개인정보보호법개정방안 2016년 6월 30일행정자치부 ( 개인정보보호법관장 ), 방송통신위원회 ( 정보통신망법관장 ), 금융위원회 ( 신용정보법관장 ), 보건복지부 ( 의료법관장 ) 등개인정보보호관련법률의담당부처들은개인정보비식별조치가이드라인을발표하였다. 116 관련부처가개인정보비식별조치와관련하여기존에발간한지침, 안내서, 가이드라인등은일괄폐지되고 2016년 7월 1일부터 2016년가이드라인이적용되고있다. 2016년가이드라인은정보주체를알아볼수없도록처리된비식별정보를개인정보가아닌것으로 추정 하고이러한 비식별정보 의빅데이터분석을허용하고있다. 동가이드라인은비식별정보를익명처리정보로서추정하고있는데, 이러한접근방식은미국또는일본의법제를주로반영한것으로보인다. 114 이처럼완전한익명처리에대한불확신은 HIPAA 프라이버시규칙에서분명하게드러난다. 동규칙은전문가로하여금정보주체를더이상식별할수없다는사실을판단할것을요구하지않고정보주체를식별할수있는위험성이 매우적다 (very small) 는사실을판단할것을요구하기때문이다. Benjamin R. Jefferys et al, Navigating legal constraints in clinical data warehousing: a case study in personalized medicine, Interface Focus, Vol. 3, Issue 2, ( ), available online at: rsfs.royalsocietypublishing.org/content/3/2/ GDPR Recital (26). 116 개인정보비식별조치가이드라인 -비식별조치기준및지원 관리체계안내- ( 이하 2016년가이드라인 이라고함 ). 흥미롭게도개인정보보호위원회는동가이드라인의마련에공식적으로참여하지않은것으로보인다. 34

35 그러나, 2016년가이드라인보다는유럽연합의 GDPR의접근이빅데이터분석기술의활성화를위하여또한정보주체의지속적인보호를위하여보다바람직하다고사료된다. 첫째, 미국과일본의법제가취하고있는방식의가장큰문제는, 개인정보의완전한익명처리에대한확신이존재하지않는상황에서, 더이상개인정보로취급되지않아서개인정보보호법제의적용에서배제되는비식별정보내지익명가공정보가중심이되는것이다. 117 빅데이터분석기술을촉진하고장려하는과정에서개인정보보호법의적용여부는매우중요한문제이다. 2016년 GDPR이기존 1995년개인정보보호지침에는존재하지않았던가명처리개념을도입한이유는개인정보보호와개인정보의활용이라는두보호법익을법의테두리안에서균형되게규율하기위함이다. 가명처리를 GDPR의적용범위에공식적으로도입한것은가명처리정보의활용을허용하면서개인정보처리자의안전조치의무, 정보주체의권리행사와같은일련의개인정보보호법원칙을빅데이터분석기술에서도적용하게한다는점에서의미가있다. 예컨대, 가명처리는 GDPR이최초로도입한 개인정보보호중심설계 (data protection by design) 의핵심이다. 즉, 개인정보처리자는 처리수단의결정시점과처리자체의시점에서 GDPR의요건을충족하고정보주체의권리를보호하기위하여개인정보보호원칙을효과적으로이행하기위한적절한기술적조치를이행하여야한다. 118 이러한기술적조치의핵심은가명처리이다. 이처럼 GDPR의가명처리규정은개인정보처리자로하여금개인정보의활용을허용하는동시에, 정보주체의권리보호를위하여장려되는안전장치로서의기능을하고있다. 또한 GDPR은빅데이터분석기술에사용되는프로파일링을포함한자동화된방식에의하여처리되는개인정보를별도로규율하고있다. 즉, GDPR은프로파일링을허용하면서도, 그러한대규모개인정보파일의처리에따른정보주체의권리침해를최소화하기위한여러규정을마련하고있다. 개인정보보호법이익명처리와가명처리를구분하지않는상황에서 2016 년가이드라인이비식별처리된개인정보를익명처리정보로추정하고그러한정보를일률적으로개인정보로서취급하지않는다면, 개인정보의활용과개인정보보호라는두가지법익사이에서전자의측면을지나치게강조한것이라는비판을받을수있다. 둘째, 개인정보의완전한익명처리가가능한지에대한기술적이고현실적인우려를고려할때, 가명처리정보가익명처리정보에비교하여법적규율의관점에서보다안정적이고효과적이다. 익명처리기법에관한제29조작업반의의견에따르면, 식별가능한원본데이터를삭제하지않은상황에서, 식별가능한데이터를제거한원본데이터의일부분을양도하더라도, 즉제공되는정보에직접식별자 (direct identifiers) 가제거되었다하더라도, 개인정보처리자또는제3자가 식별가능한원본데이터에접근할수있다면 제공되는정보는익명처리정보가아니라개인정보가된다. 119 다시말해, 제3자에게제공된데이터에직접식별자가제거되었다하더라도, 개인정보처리자 (controller) 또는제3자가식별가능한원본데이터에접근할수있는경우, 해당데 117 더욱이 2016년가이드라인은그의법적지위로말미암아현실적인 힘 과 정당성 을가지기어려울것이고, 따라서동가이드라인의 중심개념인익명조치내지비식별조치는정식으로개인정보보호법에도입되어야할것이다. 118 GDPR 제25(1) 조. 119 Article 29 Data Protection Working Party, supra note 23, p.9. 35

36 이터는가역성을가지므로익명처리정보가아닌개인정보가된다는것이다. 결국제29조작업반의견의핵심은익명처리정보는불가역성을가져야하므로, 식별가능한원본데이터에대한접근으로인하여개인정보로가역 (reversal) 될수있는가능성이존재하는경우에, 1995년개인정보보호지침의적용을배제해서는안된다는것이다. 120 제29조작업반이 식별가능한원본데이터의존재 를별도로논의한이유는, 동작업반해석의대상이 1995년개인정보보호지침이고, 동지침은가명처리및가명처리정보를명시적으로규율하고있지않기때문일것이다. 따라서 1995년개인정보보호지침과달리, 가명처리를규율하고있는 2016년 GDPR에따라개인정보처리자가보유하고있는원본데이터는, 추가적으로결합하여개인정보의재식별을가능케하는 추가적정보 (additional information) 에상응하는개념이라볼수있다. 다만, 제29조작업반은원본데이터가개인정보처리자또는제3자에게접근가능한경우만을상정하고있는반면, GDPR은그러한추가적정보를별도로보관하고그에대한기술적 관리적조치를보다중요하게요구하고있다는차이가존재한다. 익명처리정보보다가명처리정보의규율이보다현실적인이유는, 사업자인개인정보처리자의입장에서개인정보의활용을위하여자신이보유하고있는식별가능한개인정보를스스로익명처리하는상황을기대하기어렵기때문이다. 개인정보처리자로하여금원본데이터와같이추가적결합을통하여개인을식별할수있는추가적정보를삭제할것을요구하는것보다, 이러한추가적정보를별도로보관할것을요구하고그에대한안전조치의무를부여하는것이보다더현실적이기때문이다. GDPR에서규정하는가명처리정보는개인정보에해당한다. 흥미롭게도 2016년가이드라인은가명처리를 비식별조치 중하나로포함시키면서, 이러한비식별조치에따른정보는더이상개인정보에해당하지않는다고설명하고있다. 121 그러나동가이드라인에따른 비식별조치 는개인을더이상식별할수없고, 개인정보보호법의적용을벗어나는점에서 GDPR의익명처리와사실상같은개념일것이다. GDPR은추가적정보와의결합을통하여개인을식별할수있는가명처리정보를익명처리정보와달리개인정보에포함시키고있으므로, 가명처리정보가개인정보에해당하지않는다는 2016년가이드라인은 GDPR의관련규정과는다른입장을취하고있는것으로볼수있다. GDPR의목적외처리및가명처리관련규정을반영하여, 정보주체의보호라는개인정보보호법의근본적목적을훼손하지않으면서, 목적외이용 제공에따른개인정보의활용을도모하기위한개인정보보호법의개정방안은다음과같다. 첫째, 개인정보보호법제2조정의조항에서 GDPR에서와같은 가명처리 개념을도입하고, 제3조제7항에서 익명처리 대신에이를권고한다. 익명처리정보는더이상개인정보가되지않기때문에개인정보보호법의적용대상이될수없다. 또한, 오늘날기술의급속한발 120 Article 29 Data Protection Working Party, supra note 23, p 다만, 2016 년가이드라인은가명처리기법만단독활용된경우는충분한비식별조치로보기어렵다고첨언하고있다 년 가이드라인, supra note 116, p.7. 36

37 전으로완전한익명처리는비현실적이라는점에서, 법적으로개인정보의불가역성을요구하는것은무리라고할것이다. 둘째, 목적외이용 제공을허용하는개인정보보호법제18조제2항의제4호는다음과같이개정될수있다. 즉, 개인정보처리자는통계및연구등목적에따라자신이보유하고있는개인정보를스스로가명처리하여이를활용하는것이허용되어야할것이다. 또한, 제18조제2항제4호를설명하고있는현행표준지침제8조제4항은익명처리가아닌가명처리를의미하는방식으로개정되어야할것이다. 제18조 ( 개인정보의목적외이용 제공제한 ) 2 제1항에도불구하고개인정보처리자는다음각호의어느하나에해당하는경우에는정보주체또는제3자의이익을부당하게침해할우려가있을때를제외하고는개인정보를목적외의용도로이용하거나이를제3자에게제공할수있다. 다만, 제 5호부터제9호까지의경우는공공기관의경우로한정한다 통계및연구등의목적을위하여필요한경우로서특정개인을알아볼수없는형태로가명처리하여이용 제공하는경우 ( 개정안강조 ) [ 표 2] 개인정보보호법제 18 조제 2 항제 4 호의개정안 셋째, 개인정보처리자의의무, 정보주체의권리등가명처리에대한관련규정을재정비한다. 이러한규정에는프로파일링관련규정, 가명처리에관하여개인정보처리자에게부여되는안전장치의무, 가명처리정보의불법적인가역또는재식별화의금지및처벌등이포함될수있다. 넷째, 개인정보의이용및제공의유연성을확대하기위하여, 개인정보보호법제1조에개인정보의활용이라는목적이추가되어야할것이다. 현행개인정보보호법은개인의자유와권리에대한보호만을목적으로천명하고있는데, 개인정보보호법이개인정보의활용에따른국민편의, 복지증진, 국가경제활성화의도모도함께고려해야할필요가있다. 122 한편, 미국및일본의법제를반영한다면, 개인정보보호법은다음과같이개정될수있다. 첫째, 주요개념의정의조항에서미국의비식별정보 (de-identified data) 또는일본의익명가공정보와같이비식별조치가취해진정보를별도로정의한다. 둘째, 상기정의된비식별정보는개인정보에해당하지않는다는사실을명시하여, 해당정보를개인정보보호법의적용범위에서배제한다. 셋째, 비식별정보의재식별화를금지하는관련규정을마련한다. 122 GDPR은정보주체의권리뿐만아니라, 유럽연합내의개인정보의자유로운이동을동규정의목적으로함께규정하고있다. 대한민국정보통신망법역시제1조에서 정보통신망의이용을촉진하고정보통신서비스를이용하는자의개인정보를보호함과아울러정보통신망을건전하고안전하게이용할수있는환경을조성하여국민생활의향상과공공복리의증진에이바지함 을목적으로천명하고있다. 또한신용정보보호법제1조역시 이법은신용정보업을건전하게육성하고신용정보의효율적이용과체계적관리를도모하며신용정보의오용ㆍ남용으로부터사생활의비밀등을적절히보호함으로써건전한신용질서의확립에이바지함을목적으로한다 고규정한다. 두법은개인정보보호와함께정보통신망이용의촉진, 신용정보의효율적이용을법률이보호하는법익으로서천명하고있다. 37

38 결론적으로 21세기디지털경제에서빅데이터분석기술등을통한개인정보이용의활성화는결코피하거나억제할수없는것이지만, 동시에국가나국제사회에서의기본적인구성원인개인의개인정보보호도결코양보될수없다. 이점에서빅데이터분석기술과개인정보보호는함께가야할것이고, 이러한개인정보활용은개인정보보호를내재하면서허용되어야할것이다. 앞에서빅데이터분석기술과개인정보보호의조화에관하여유럽연합, 미국과일본의관련법제도를검토하였는데, 개인정보의비식별화내지익명조치에중점을두는미국과일본의접근보다는목적외처리로서가명조치를포함하는유럽연합의접근이보다현실적이고법적으로안정적이라고판단된다. 특히가명조치가익명조치보다선호되는것은가역성이라는점에서익명조치는결코완전하지않으며, 또한익명조치와달리가명조치는여전히개인정보보호법의적용범위내에있기때문이다. 즉, 개인정보보호법의세계적추세인개인정보보호와개인정보활용사이의균형이추구될수있다. 따라서 2016년가이드라인은미국과일본의접근과유사하게익명조치에집중한점에서또한보다정상적인개인정보보호법의개정을대신하려고하는점에서긍정적이라고볼수없다. 개인정보보호법의목적으로부터빅데이터분석기술을포용할수있도록보다전면적인개정이필요하다. 38

39 참고문헌 1. 국내문헌 법규개인정보보호법 ( 시행 ) 개인정보비식별조치가이드라인 -비식별조치기준및지원 관리체계안내 ( ) 신용정보의이용및보호에관한법률 ( 시행 ) 정보통신망이용촉진및정보보호등에관한법률 ( 시행 ) 표준개인정보보호지침안 ( 시행 ) 기타자료 한국정보화진흥원 ICT 융합본부, 개인정보보호법제로인한빅데이터활용한계사례조사 분석, 한국정보화진흥원, ( ). 2. 외국문헌 법규 General Data Protection Regulation(GDPR, Regulation (EU) 2016/679) EU Directive (EU Directive 95/46/EC - The Data Protection Directive) 1966년 건강보험이동성및책임의법 (Health Insurance Portability and Accountability Act: HIPAA) 의프라이버시규칙 (Privacy Rules) Code of Federal Regulations : Title 45 Public Welfare (45 CFR) Code of Federal Regulations : Title 47 Telecommunications (47 CFR) Family Educational Rights and Privacy Act (FERPA) (20 U.S.C. 1232g; 34 CFR Part 99) 個人情報の保護に関する法律 ( 平成 15 年法律第 57 号 ) 국제문서 Article 29 Data Protection Working Party, Statement on the impact of the development of big data on the protection of individuals with regard to the processing of their personal data in the EU, 14/EN WP221, ( ). Article 29 Data Protection Working Party, Opinion 03/2013 on Purpose Limitation, 39