[개인정보 비식별조치 안전한가]② 재식별화 완벽 통제없이는 유통 막아야

시민들의 개인정보 보호에 대한 관심이 높아졌다. 2014년 카드3사의 고객정보 1억건 유출 등 대규모 개인정보 유출이 잇따랐기 때문이다. 이 상황에서 정부는 누구인지 알 수 없도록 비식별화한 정보는 개인 동의 없이 상업적으로 이용할 수 있도록 한다는 방침을 내놨다. 특히 금융위원회는 기업들이 비식별 개인신용정보를 이용할 수 있도록 신용정보의 이용 및 보호에 관한 법률 개정안을 지난 4월 입법예고했다.

전문가들은 금융위 신용정보법 개정안이 비식별 신용정보의 재식별화 가능성을 고려하지 않았다고 16일 밝혔다.

금융위는 신용정보법 개정안 제32조의2 제2항 제4호에 '특정 개인을 알아볼 수 없는 형태로 처리하는 경우, 신용정보사 등은 개인신용정보를 목적 외 용도로 이용하거나 이를 3자에게 제공할 수 있다'고 명시했다.

이에 김은정 참여연대 경제금융센터 간사는 "비식별화한 개인신용정보는 SNS정보 등 다른 정보 들과 결합하면 재식별할 수 있다"며 "정부 가이드라인의 비식별화 조치 적정성 평가인 'k-익명성' 모델도 배경지식이 많은 경우 재식별이 가능하다"고 말했다.

김은정 간사는 "개인신용정보는 개인 사생활에서 중요한 부분을 차지한다. 보호 필요성이 크다. 비식별 신용정보를 유통하려면 재식별화 가능성을 충분히 통제한 상태에서만 허용해야 한다"며 "개정안은 재식별화 가능성을 충분히 통제하지 않은 채 비식별 신용정보의 이용·제공을 허용했다. 개정안 제4호를 삭제해야 한다"고 밝혔다.

장여경 진보네트워크 활동가는 "금융사와 유통 기업 등은 비식별 신용정보를 받아 자사가 가진 고객 정보와 합치면 재식별이 가능하다"며 "우리 나라에서는 2014년 카드3사 고객 정보 대규모 유출사건 등에 따라 비식별 개인신용정보도 안전하지 않다. 한국에서 비식별화는 개인 정보 보호에 효과가 없다"고 말했다.

전문가들은 금융위가 법 개정안을 통해 신용정보법 적용 범위를 금융사만으로 축소한 점도 문제를 제기했다. 신용정보법 개정안 제2조 제7호는 '신용정보제공·이용자' 범위를 금융거래 등을 하는 자로 정의했다.

김 간사는 "금융사든 비금융사든 개인 신용 정보를 취급, 처리하는 경우 이 법을 적용해야 한다"고 말했다. "비식별 개인신용정보를 영업에 활용하는 쇼핑몰, 유통 기업도 이 법의 적용 대상에 포함해야 할 것"이라고 밝혔다.

장여경 활동가는 "유통 기업 등 비금융사도 비식별 신용정보를 받아 자사가 가진 고객 정보와 합치면 재식별 할 수 있다"고 말했다.

금융위가 개인신용정보의 범위를 살아 있는 자로 한정한 것에 대한 지적도 나왔다. 사망한 자의 개인신용정보도 생존하는 개인에게 영향을 미칠 수 있기 때문이다.

금융위 신용정보법 개정안 제2조 제2호는 '개인신용정보란 신용정보 중 생존하는 개인에 관한 정보다. 신용정보 주체를 식별할 수 있는 정보(그 정보만으로 신용정보주체를 알아볼 수 없더라도 다른 정보와 쉽게 결합해 식별할 수 있는 정보를 포함)를 말한다'고 명시했다.

김은정 간사는 "사망한 개인의 신용 정보도 유전적 특성과 같은 생물학적 정보의 경우 생존하는 개인 신용정보에 큰 영향을 미친다. 상속과 같은 재산상 정보도 생존하는 개인에 영향을 미친다"며 "신용정보법 적용 범위를 생존하는 개인으로 제한하는 것은 바람직하지 않다"고 말했다.

금융위 관계자는 "입법 예고한 신용정보법 개정안은 최종적으로 정부의 개인정보 비식별 조치 가이드라인을 준수할 것"이라고 말했다.

지난 7월 행정자치부와 금융위 등은 개인정보 비식별 조치 가이드라인을 발표했다. 주 내용은 비식별 정보는 개인정보가 아니기에 개인 동의 없이 상업적 활용이 가능하다는 것이다.

금융위의 신용정보법 개정 입법예고안은 현재 규제개혁위원회 심사를 받고 있다. 빠르면 9월말 국회 제출 예정이다.