빅데이터는 금융, 통신, 유통, 온라인 등 전 산업분야에서 새 먹거리를 창출할 수 있는 신기술로 주목받고 있습니다. 그러나 이 '빅데이터'라는 것은 결국 온·오프라인에 공개된 누군가의 정보이기 마련입니다. 대형 매장에서 쇼핑객들이 어떤 동선으로 다니고, 어떤 물건을 집어드는지 CCTV와 센서를 통해 읽어 들인다면 이는 영상 정보와 위치정보의 수집입니다. 온라인 소셜네트워크 서비스에 자신의 취향, 가족관계 등을 밝혔다면 이는 엄연한 개인정보이지요. 결국 대량의 데이터에서 의미 있는 특정 데이터를 추출한다는 '빅데이터'의 개념은 특정인의 정보가 포함될 수밖에 없는 문제입니다.

기업 입장에서 빅데이터는 마케팅이나 신상품 개발, 매장 구조 배치 및 유통망 구성에 상당한 역할을 합니다. 수익 개선에도 높은 효과가 있는 것으로 나타나고 있습니다. 때문에 빅데이터를 위해 수집하는 개인정보가 기업들에게는 '노다지'나 마찬가지입니다. 하지만 그 빅데이터를 구성하는 개별 데이터들이 누군가의 '개인 정보'라면 이용자 입장에선 안심하기가 쉽지 않습니다. 별 생각 없이 온라인에 공개한 내 정보가 기업의 마케팅 정보로 이용된다면 유쾌하게 생각할 이용자는 많지 않을 것입니다.

현행 개인정보보호법 및 정보통신망법 등 개인정보보호 관련 법령상 개인정보 수집·이용을 위해서는 반드시 이용자의 사전동의(Opt-In)가 필요합니다. 그러나 대량의 데이터를 수집하고 처리하는 빅데이터 산업 특성상 사전동의를 얻기가 쉽지 않습니다.

기업들은 '비식별화 조치'를 취하면 안전하다고 주장합니다. 비식별화란 주민등록번호, 이메일 주소, 전화번호처럼 특정 개인을 나타내는 요소를 제거하고 누구인지 알아볼 수 없도록 정보를 가공하는 조치를 말합니다. 그러니 사전 동의를 얻지 않아도 비식별화를 하면 특정인이 노출될 이유가 없으니 산업계도 살리고, 정보도 활용하면서 개인은 맞춤형 서비스 등도 받을 수 있으니 '정보의 활용과 보호'라는 두 마리 토끼를 잡을 수 있다고 주장합니다.

빅데이터 사업을 적극 추진하고 있는 한 통신사 관계자는 "개인정보가 포함된 공개 정보를 수집, 이용할 때 이용자는 자신의 정보를 이용하길 원치 않는다면 '사후 거절(opt-out)' 등의 방식을 사용할 수 있다"면서 "비식별화된 정보는 특정인을 구분할 수 없어 개인 식별성이 없기 때문에 현행 법령상 개인정보에 포함되지도 않기에 빅데이터 서비스 활성화를 위해 활용범위를 확대할 필요가 있다"고 목소리를 높입니다.

반면 이용자 입장을 대변하는 시민단체 등은 비식별화 조치로는 안전하지 않다고 맞섭니다.

시민단체 측은 "빅데이터 처리를 위해 개인정보가 포함된 공개된 정보 등을 사후 거절 방식으로 수집 활용하는 것은 개인정보 수집 때 이용자 사전 동의를 받도록 한 현행 개인정보 보호 관계 법령을 위반한 것"이라면서 "개인에 대한 정보수집 및 분석과 관련된 사항은 입법으로 해결해야 한다"고 강조합니다.

개인정보보호위원회도 이용자 입장을 보다 고려하고 있습니다. 위원회 측은 "정보통신망법, 개인정보보호법은 개인정보가 포함된 공개된 정보를 달리 취급해 규정하고 있지 않으며 개인정보가 포함된 공개된 정보도 개인정보이므로 관련 법령상의 고지 및 동의 등 요건을 준수할 필요가 있다"고 각 부처에 권고했습니다.

특히 빅데이터를 위해 정보를 함부로 수집하는 것이 위험하다고 강조하는 측은 '재식별(특정인이 누구인지 다시금 알아볼 수 있도록 하는 것)에 대한 위험'을 강조합니다.

한국정보화진흥원(NIA)이 지난 12월 발표한 '개인정보 비식별화에 대한 적정성 자율평가 방안'에 따르면 비식별화 조치는 개인의 SNS 이용이나 연결정보 등을 활용해 '재식별'할 수 있는 위험성이 높다고 합니다. 이재근 정보화진흥원 수석연구원은 "비식별화한 개인정보가 온라인의 다른 정보와 결합되면서 재식별 될 수 있는 위험성은 충분히 높다"며 "정보의 비식별화가 향후 재식별 위험을 고려해 적정하게 수행됐는지 평가할 수 있도록 재식별 의도 및 능력, 개인정보보호 능력, 유출시 영향력 등 다양한 요소를 고려한 평가 방안이 필요하다"고 강조했습니다.

정부는 빅데이터 산업 활성화를 통한 먹거리 창출과 개인정보보호라는 두 가치의 충돌을 조정하기 위해 최근 '빅데이터 개인정보보호 가이드라인'을 내놨습니다.

이 가이드라인은 빅데이터를 위한 정보를 수집할 때부터 개인식별 정보에 대한 철저한 비식별화 조치(3조, 4조, 5조, 10조)를 취하도록 하고, 개인정보가 포함된 공개 정보 및 이용내역 정보는 비식별화 조치를 취한 후 수집, 저장, 조합, 분석하도록 규정하고 있습니다.

만약 빅데이터 처리 과정에서 개인정보가 재식별 될 경우, 즉시 파기하거나 추가적인 비식별화 조치를 하도록 했고 비식별화 된 정보라 하더라도 개인정보에 준하는 강력한 기술적, 관리적 보호조치가 뒤따라야 한다고 규정했습니다. 아울러 비식별화 조치가 미흡했을 경우 이에 대한 처벌 규정도 강화했습니다.

그러나 이 모든 제한 조건에도 불구하고 큰 의미는 온라인에 공개된 정보에 대해 기업이 '활용'해도 좋다는 것을 조건부로 승인한 의미가 더 큽니다. 기업들은 '규제가 심하다'며 투덜대지만 이는 그간 기업이 별다른 규제도 없이 이용자 정보를 함부로 활용했을 때 얘기이며, 현재 강력히 규제되고 있는 개인정보 '활용'을 일부 허용했다는 측면에서 앞으로도 뜨거운 논란이 이어질 것으로 보입니다.