유럽 GDPR의 '가명처리'와 우리 개인정보보호법상 '가명정보'비교

1. 유럽 GDPR의 개인정보와 가명처리(pseudonymisation)의 개념

 

GDPR Article 4 (1)은 개인정보(Personal data)를 “식별되었거나(identified) 또는 식별가능한 (identifiable) 자연인(정보주체)과 관련된 모든 정보”라고 정의하고 있다. 여기서 ‘식별가능’하다는 것은, 이름, 고유번호, 위치정보, 온라인 식별자, 기타 해당 개인의 신체적, 생리적, 유전적, 정신적, 문화적, 사회적 정체성에 대한 사항을 참조하여 그 정보의 주체를 알아볼 수 있다는 의미이다. 개인정보의 예로, 이름과 성, 주소, 개인 이메일 주소, ID 카드 번호, 위치정보, 웹브라우저의 쿠키 ID, 스마트폰의 광고 식별자(Advertising ID), 환자를 식별하는 데 쓰이는 의료기관 보유 데이터 등이 있다.

 

GDPR Article 4 (5)는 가명화(pseudonymisation)란 추가 정보(additional information)를 이용하지 않고는 더 이상 특정 정보 주체를 식별할 수 없는 방식으로 개인정보를 처리하는 것을 뜻한다. 즉, 가명화된 정보는 개인정보에서 식별되는 한 개인을 가명(pseudonym)으로 대체함으로써 본래 식별되는 한 개인의 이름과 가명을 연결시켜 해당 개인이 누구인지 알 수 있는 ‘추가 정보’를 이용하지 않고는 특정 개인을 알아볼 수 없는 상태의 정보이다. 여기서 개별과 식별을 연결시키는 ‘추가정보’에 대해서는 개인 식별에 이용될 수 없도록 분리 보관되는 등 기술적․관리적 조치가 요구된다. GDPR Article 89 (1)에서는 가명화된 정보 또한 여전히 개인정보로 취급되기는 하지만, 여기서는 공익을 위한 기록보존, 과학적, 역사적 연구(사인의 영리목적 연구 포함) 또는 통계 목적의 활용이 허용된다.

 

2. 우리나라 개인정보보호법 상의 ‘가명정보’

 

개정 데이터 3법의 개인정보보호법과 신용정보법에서는 ‘가명정보’에 관하여, 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가정보가 없이는 특정 개인을 알아볼 수 없도록 가명처리한 정보로 정의하고 있다. (개인정보보호법 제2조 제1의2, 신용정보법 제2조 제1호 제마목 15. 및 26)

신용정보법에 관한 정무위원회 수석전문위원 보고서에 따르면 익명정보와 가명정보에 관하여 아래와 같이 설명하고 있다.

 

금융위원회에서 발췌한 자료 

그리고 개인정보처리자는 당초 수집목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 정보주체의 동의 없이 제3자에게 개인정보를 제공할 수 있으며(개인정보보호법 제17조 제4항), 통계작성, 과학적 연구, 공익적 기록보존등을 위하여 정보주체의 동의 없이 처리할 수 있으며(동법 제28조의2 제1항), 여기서 ‘과학적 연구’에는 산업적 연구도 포함된다는 것이 입법자들의 입법 태도이다. 이러한 가명정보의 결합은 개인정보보호위원회 또는 관계 중앙행정기관의 장이 지정하는 전문기관만이 수행할 수 있다. (동법 제28조의3 제1항)

 

3. 소결

 

위에서 살펴본 유럽 GDPR의 가명화, 우리나라 개정 데이터 3법 상의 가명정보의 개념정의와 활용범위를 정리하면 아래 표와 같다.

 

○ 표 : 각국의 가명정보 개념정의와 활용범위

구분	개념정의	활용범위
유럽의 ‘가명화’	추가 정보를 이용하지 않고는 더 이상 특정 정보 주체를 식별할 수 없는 방식으로 개인정보를 처리하는 것	공익을 위한 기록보존, 과학적, 역사적 연구(사인의 영리목적 연구 포함) 또는 통계 목적의 활용이 허용
우리나라의 ‘가명정보’	추가정보가 없이는 특정 개인을 알아볼 수 없도록 가명처리한 정보	통계작성, 과학적 연구, 공익적 기록보존등을 위하여 정보주체의 동의 없이 처리(과학적 연구에는 산업적 연구 포함)

위 표에서 알 수 있듯이, 유럽 GDPR과 우리나라의 개정 데이터 3법상의 ‘가명정보’의 개념은 상당히 유사하다. 특히, 유럽 GDPR과 우리나라는 식별화될 수 있는 개인정보의의 경우에는 ‘양립가능성’ 혹은 ‘당초 수집 목적과 합리적으로 관련된 범위에서’ 암호화, 불이익발생 여부 등을 고려하여 정보주체의 동의 없이 제3자 제공이 가능하다고 하고, 가명정보의 경우에는 통계, 산업적 연구를 포함한 과학적 연구, 공익목적 등을 위하여 정보주체의 동의 없이 처리가 가능하다고 하여 개인정보와 가명정보를 최대한 구분하여 입법을 한 것으로 보인다.